一、个人信息的范围及定义

1.最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（法释[2014]11号）

基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息。

2.工业和信息化部《电信和互联网用户个人信息保护规定》（工业和信息化部令2013年第24号）

用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。

3. 国家质量监督检验检疫总局/ 国家标准化管理委员会《信息安全技术 公共及商用服务信息系统个人信息保护指南》（国家标准公告2012年第28号）（以下简称《保护指南》）

可为（计算机）信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。

其中，个人敏感信息指：一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。（收集前，需要明示同意）

个人一般信息指：除个人敏感信息以外的个人信息。（不反对，默示同意即可）

4.国家工商管理总局《侵害消费者权益行为处罚办法》（国家工商行政管理总局令第73号，2015年）

消费者个人信息是指经营者在提供商品或者服务活动中收集的消费者姓名、性别、职业、出生日期、身份证件号码、住址、联系方式、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合识别消费者的信息。

5.《中华人民共和国刑法》

第253条第2款 国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

6.2014年8月上海市第一中级人民法院审理的汉弗莱、虞英曾非法获取公民个人信息罪案，庭审中检方表达的观点。

体现公民身份、行踪、财产情况的资料

尤其是有关公民自身区别于他人的资料，包括经济状况、生活状态、活动信息等私密性信息

包括静态信息和动态信息。静态信息包括：户籍资料、家庭成员信息、车辆信息。动态信息包括：通话记录、出入境记录等。

二、个人信息的合法收集、处理和披露

1.《中华人民共和国消费者权益保护法》

第二十九条 经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。

经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。

2.工业和信息化部《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号,2013年）

第八条　电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。

第九条　未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。

电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。

电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。

电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。

法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。

第十条　电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

第十一条　电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。

第十二条　电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。

3.国家质量监督检验检疫总局/ 国家标准化管理委员会《信息安全技术公共及商用服务信息系统个人信息保护指南》（国家标准公告2012年第28号）

5.2.2在收集前要采用个人信息主体易知悉的方式，向个人信息主体明确告知和警示如下事项：

a)处理个人信息的目的；b)个人信息的收集方式和手段、收集的具体内容和留存时限；c)个人信息的使用范围，包括披露或向其他组织和机构提供其个人信息的范围；d)个人信息的保护措施；e)个人信息管理者的名称、地址、联系方式等相关信息；f)个人信息主体提供个人信息后可能存在的风险；g)个人信息主体不提供个人信息可能出现的后果；h)个人信息主体的投诉渠道；i)如需将个人信息转移或委托于其他组织和机构，要向个人信息主体明确告知包括但不限于以下信息：转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。

5.2.3处理个人信息前要征得个人信息主体的同意，包括默许同意或明示同意。收集个人一般信息时，可认为个人信息主体默许同意，如果个人信息主体明确反对，要停止收集或删除个人信息；收集个人敏感信息时，要得到个人信息主体的明示同意。

5.2.4只收集能够达到已告知目的的最少信息。

5.2.5要采用已告知的手段和方式直接向个人信息主体收集，不采取隐蔽手段或以间接方式收集个人信息。

5.2.6持续收集个人信息时提供相关功能，允许个人信息主体配置、调整、关闭个人信息收集功能。

5.2.7不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息，确需收集其个人敏感信息的，要征得其法定监护人的明示同意。

5.3加工阶段

5.3.1不违背收集阶段已告知的使用目的，或超出告知范围对个人信息进行加工。

5.3.2采用已告知的方法和手段。

5.3.3保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知。

5.3.4未经个人信息主体明示同意，不向其他个人、组织和机构披露其处理的个人信息。

5.3.5保证加工过程中信息系统持续稳定运行，个人信息处于完整、可用状态，且保持最新。

5.3.6个人信息主体发现其个人信息存在缺陷并要求修改时，个人信息管理者要根据个人信息主体的要求进行查验核对，在保证个人信息完整性的前提下，修改或补充相关信息。

5.3.7详细记录对个人信息的状态，个人信息主体要求对其个人信息进行查询时，个人信息管理者要如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工状态等内容，除非告知成本或者请求频率超出合理的范围。

《保护指南》中规定了如下有关转移、披露的内容：

5.4.1不违背收集阶段告知的转移目的，或超出告知的转移范围转移个人信息。

5.4.2向其他组织和机构转移个人信息前，评估其是否能够按照本指导性技术文件的要求处理个人信息，并通过合同明确该组织和机构的个人信息保护责任。 5.4.3保证转移过程中，个人信息不被个人信息获得者之外的任何个人、组织和机构所获知。

5.4.4保证转移前后，个人信息的完整性和可用性，且保持最新。

5.4.5未经个人信息主体的明示同意，或法律法规明确规定，或未经主管部门同意，个人信息管理者不得将个人信息转移给境外个人信息获得者，包括位于境外的个人或境外注册的组织和机构。

三、侵犯个人信息权利的法律责任

1.《中华人民共和国消费者权益保护法》

第五十条：经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。

2.《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（法释[2014]11号）

第十二条　网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。但下列情形除外：

（一）经自然人书面同意且在约定范围内公开；

（二）为促进社会公共利益且在必要范围内；

（三）学校、科研机构等基于公共利益为学术研究或者统计的目的，经自然人书面同意，且公开的方式不足以识别特定自然人；

（四）自然人自行在网络上公开的信息或者其他已合法公开的个人信息；

（五）以合法渠道获取的个人信息；

（六）法律或者行政法规另有规定。

网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息，或者公开该信息侵害权利人值得保护的重大利益，权利人请求网络用户或者网络服务提供者承担侵权责任的，人民法院应予支持。

国家机关行使职权公开个人信息的，不适用本条规定。

1. 《全国人民代表大会常务委员会关于加强网络信息保护的决定》

第十一条：对违反本决定规定的行为，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布；构成违反治安管理行为的，依法给予治安管理处罚。构成犯罪的，依法追究刑事责任。侵害他人民事权益的，依法承担民事责任。

2. 《中华人民共和国消费者权益保护法》

经营者侵害消费者个人信息得到保护的权利的，除承担相应的民事责任外，其他有关法律、法规对处罚机关和处罚方式有规定的，依照法律、法规的规定执行；法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照。

3. 工业和信息化部《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）

对于法律责任部分规定了责令限期改正、警告和罚款。对于未按规定制定和公布个人信息收集、使用规则，或未建立和公布用户投诉处理机制的电信互联网服务商，责令限期改正，予以警告，可并处以一万元以下的罚款；对于违反其他实质性个人信息保护义务的行为，责令限期改正，予以警告，可并处以一万元以上三万元以下的罚款，向社会公告。构成犯罪的，追究刑事责任。

因侵犯个人信息而被追究行政责任的现存案例较少，笔者仅在公开信息中查得江苏银行上海金桥支行因泄露个人信息而被中国人民银行施以行政处罚的新闻报道。（江苏银行上海金桥支行凭借宜信普惠信息咨询（北京）有限公司提供的查询授权书，在未与客户发生业务关系的情况下，查询了3.2万余人的个人信用报告，并将部分查询结果提供给宜信公司。后由中国人民银行上海分行金融服务二部对其进行行政处罚。）

《中华人民共和国刑法》

第二百五十三条之一：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

因“个人信息”问题而被追究刑事责任 的案例，类型主要为“私家侦探、讨债公司”、以及类似“一号店员工泄露个人信息”这样以营利为目的而大量泄露、买卖公民个人信息的案件，涉及的个人信息数 量往往上万条甚至上百万条。但在2014年汉弗莱、虞英曾非法获取公民个人信息案（以下简称“汉弗莱案”）中，涉及的信息数量较少，该案件中被告人将非法 获取的公民个人信息（购买、通过跟踪、监控等调查手段）用于制作“调查报告”卖给委托客户（其中大部分为外资公司），案涉公司是通过出具报告的形式提供服 务，因此该案件引发舆论关注的同时给引起相关从业人员的紧张甚至恐慌。此案也引发业界对于个人信息定罪标准的讨论，在“情节严重”的标准没有在相关刑法法 律规定及重大案件中得到明晰的前提下，检察机关的公诉及最后法院的有罪判决也引发一些争议与讨论。而刑事责任作为震慑性最高、影响性最大的法律责任，应当 对个人信息的定义、违法和犯罪的界限作出明确的界定，以发挥应有的惩戒及示范性作用。这些问题在汉弗莱案中虽有一些讨论和争辩，但令人遗憾的是仍然不清晰。

结语