处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

１.合法原则：

（１）个人信息处理应当具体法律依据即满足《个人信息保护法》第１３条规定；

（２）处理手段应当符合法律规定。

２.正当性原则：（１）目的正当；（２）手段正当。

３.必要原则：（１）目的必要；（２）方式必要；（３）方式必要。

４.诚信原则：（１）恪守承诺；（２）善意；（３）诚信。

【解读】

（１）不得通过误导、欺诈、胁迫等方式处理个人信息：是对合法、正当、必要、诚信原则的反向列举。

（２）《全国人民代表大会常务委员会关于加强网络信息保护的决定》第２条、《网络安全法》第４１条、《消费者权益保护法》第２９条、《民法典》第１０３５条仅规定信息处理的“合法、正当、必要原则”；《个人信息处理法》第５条规定“合法、正当、必要、诚信原则”，增加民法“帝王条款”之称的诚信原则。

１.目的明确原则：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关。

（１）明确：

Ａ．信息处理者在处理个人信息之前即应确定其处理目的并告知信息主体；

Ｂ．在后续处理中如个人信息处理的目的发生变更，则应再次告知信息主体并获得同意方可继续进行个人信息处理行为。

（２）合理：应当与处理目的直接相关。

２.最小化原则：

（１）处理个人信息采取对个人权益影响最小的方式；

（２）收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息：国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知第５条规定了３９类常见Ａｐｐ必要个人信息范围。

【解读】目的明确原则和最小化原则是国际个人信息保护法通行的两大基本原则。

处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

１.向信息主体公开；

２.向社会公开。

３.列举事项：（１）公开个人信息处理规则；（２）明示处理的目的、方式和范围。

【解读】根据《个人信息保护法》第７条规定，处理个人信息应当遵循公开、透明原则，将个人信息处理相关事项告知信息主体并征得其同意。

处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

１.个人信息的质量是指个人信息的准确性和完整性；

２.保证个人信息质量要求：

（１）信息处理者在收集个人信息时应注意个人信息的准确、完整；

（２）信息处理者不得私自篡改或毁损个人信息，且应在处理过程中采取必要的防护措施防止个人信息被窃取、篡改、删除；

（３）当信息主体发现其个人信息不准确、不完整而要求行使补充权时，信息处理者应当对其个人信息予以核实并及时更正、补充。

３.信息质量原则之目的：避免因个人信息不准确、不完整对个人权益造成不利影响。

（１）氩气信息处理者保障个人信息质量的目的在于避免由于个人信息质量准确对个人权益造成不利影响；

（２）若信息主体的个人信息权益并无被损害之虞，则信息处理者可以自由处理个人信息，不受本条信息质量原则限制。

个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

１.任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；

２.任何组织、个人不得从事危害国家安全、公共利益的个人信息处理活动。

《民法典》

　　第一百一十一条【个人信息受法律保护】自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

　　第一千零三十五条【个人信息处理的原则和条件】处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

　　（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

　　（二）公开处理信息的规则；

　　（三）明示处理信息的目的、方式和范围；

　　（四）不违反法律、行政法规的规定和双方的约定。

　　个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

　　第一千零三十八条【信息处理者的信息安全保障义务】信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。

　　信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

《个人信息处理法》

　　第五条【合法、正当、必要、诚信原则】处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

　　第六条【目的明确与最小化原则】处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

　　收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

　　第七条【公开透明原则】处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

　　第八条【信息质量原则】处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

　　第九条【安全责任原则】个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

　　第十条【依法处理原则】任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

　　第十三条【处理个人信息的情形】符合下列情形之一的，个人信息处理者方可处理个人信息：

　　（一）取得个人的同意；

　　（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

　　（三）为履行法定职责或者法定义务所必需；

　　（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

　　（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

　　（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

　　（七）法律、行政法规规定的其他情形。

　　依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

　　第四十六条【更正权、补充权】个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。

　　个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。

　　第五十一条【确保个人信息安全义务】个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

　　（一）制定内部管理制度和操作规程；

　　（二）对个人信息实行分类管理；

　　（三）采取相应的加密、去标识化等安全技术措施；

　　（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

　　（五）制定并组织实施个人信息安全事件应急预案；

　　（六）法律、行政法规规定的其他措施。

全国人民代表大会常务委员会关于加强网络信息保护的决定

　　二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。

　　网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。

　  三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

 　 四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。

《网络安全法》

　　第四十条【建立用户信息保护制度】网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

　　第四十一条【个人信息收集使用规则】网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

　　网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

　　第四十二条【网络运营者的个人信息保护义务】网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

　　网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

　　第四十三条【个人信息的删除权和更正权】个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

　　第四十九条【投诉举报及配合监督检查的义务】网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。

　　网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。

《消费者权益保护法》

　　第二十九条 经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。

　　经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

　　经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。

《征信业管理条例》

　　第二十三条　征信机构应当采取合理措施，保障其提供信息的准确性。

　　征信机构提供的信息供信息使用者参考。

《信息安全技术 公共及商用服务信息系统个人信息保护指南》

　　4.2　基本原则

　　个人信息管理者在使用信息系统对个人信息进行处理时，宜遵循以下基本原则：

　　a）目的明确原则--处理个人信息具有特定、明确、合理的目的，不扩大使用范围，不在个人信息主体不知情的情况下改变处理个人信息的目的。

　　b）最少够用原则--只处理与处理目的有关的最少信息，达到处理目的后，在最短时间内删除个人信息。

　　c）公开告知原则--对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。

　　d）个人同意原则--处理个人信息前要征得个人信息主体的同意。

　　e）质量保证原则--保证处理过程中的个人信息保密、完整、可用，并处于最新状态。

　　f）安全保障原则--采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段，保护个人信息安全，防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。

　　g）诚信履行原则--按照收集时的承诺，或基于法定事由处理个人信息，在达到既定目的后不再继续处理个人信息。

　　h）责任明确原则--明确个人信息处理过程中的责任，采取相应的措施落实相关责任，并对个人信息处理过程进行记录以便于追溯。

·刘某诉抚松县农村信用合作联社泉阳信用社姓名权纠纷案

【案号】吉林省抚松县人民法院民事判决书 (2018)吉0621民初93号

【裁判摘要】本院经审理认定事实如下：2017年12月份，刘某因购房办理贷款时发现，在中国人民银行征信中心有本人不良贷款及担保信息，该信息载明，2009年3月18日，刘某在泉阳信用社贷款3万元本息未偿还；2009年3月18日，刘某分别为刘某１、张某、薛某某、穆某某、关某某、李某某名下各贷款3万元提供担保，且均处于逾期状态。泉阳信用社承认上述不良贷款及担保信息所关联的借款合同及担保合同刘某本人未签名。．．．．．．本院认为，公民的姓名权受法律保护。．．．．．．泉阳信在刘某不知情的情况下，使用刘某个人信息签订借款合同及担保合同，致使刘某在中国人民银行个人信用信息基础数据库中产生不良信息，其行为侵犯了刘某的姓名权，应予停止。故刘某要求清除自己名下涉案贷款及担保的不良信息的诉求，本院应予以支持。

·中国消费者协会发布2019—2020年全国消费维权十大典型司法案例之一：黄某诉某移动APP隐私权、网络侵权责任纠纷案——移动APP用户个人信息与隐私的区分

【案号】北京互联网法院（2019）京0491民初16142号

【摘要１】法院判决认为，被告移动APP获取社交软件信息的行为，在读书软件许可服务协议中未以合理的“透明度”告知原告并获得同意，侵害了原告的个人信息权益。

【摘要２】本案的主要争议焦点包括：一、微信好友关系、读书信息是否属于个人信息和隐私；二、原告主张的微信读书获取原告微信好友关系、向原告共同使用该应用的微信好友公开原告读书信息、为原告自动关注微信好友并使得关注好友可以查看原告读书信息的行为，是否构成对原告个人信息权益或隐私权的侵害；．．．．．．

·中国农业银行股份有限公司沈阳浑南支行、孙某某一般人格权纠纷二审民事判决书

【案号】辽宁省沈阳市中级人民法院民事判决书(2021)辽01民终6393号

【裁判摘要】本案中，虽然借款合同中有被上诉人孙××的身份证复印件和户口本复印件，但《个人消费担保借款合同》上“孙××”签字并非孙××本人书写，指纹亦非孙××本人捺印，因此上诉人未提交充分的证据证明涉案借款已实际发放给孙××本人，故无法证明双方之间的借款关系成立。上诉人中国农业银行股份有限公司沈阳浑南支行依据不实的借款合同将孙××的“不良贷款记录”报送至中国人民银行个人征信系统，存在过错且侵害了孙××的人格权益，孙××有权要求中国农业银行股份有限公司沈阳浑南支行停止侵害、恢复名誉、消除影响。

·张某某与河北怀来农村商业银行股份有限公司名誉权纠纷一审民事判决书

【案号】河北省怀来县人民法院民事判决书 (2018)冀0730民初1419号

【裁判摘要】被告利用原告个人信息的行为属侵权行为，对于原告个人信用报告的“可疑”应予取消并赔礼道歉。原告要求赔偿精神抚慰金等各项损失10万元，没有法律及事实依据，本院不予支持，根据《中华人民共和国侵权责任法》第二条、第十五条第一项、第七项之规定判决如下：一、被告××公司于本判决生效后十日内消除原告个人信用报告中的“可疑”并向原告作出书面赔礼道歉。