１.个人信息处理者不得公开其处理的个人信息；

２.取得个人单独同意的除外。

（１）基于信息自决，个人有权自我决定个人信息公开的内容、方式、程度、范围、环境等；

（２）但必须单独取得个人同意，而不能通过“一揽子”告知同意等方式征得个人同意。

《民法典》

　　第一千零三十四条【个人信息的定义】自然人的个人信息受法律保护。

　　个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

　　个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

《个人信息保护法》

　　第二十五条【个人信息不得公开】个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。

《政府信息公开条例》

　　第十五条　涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息，行政机关不得公开。但是，第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的，予以公开。

·周某与上诉人中国保险监督管理委员会、北京中科汇联科技股份有限公司网络侵权责任纠纷案

【案号】海南省三亚市中级人民法院民事判决书(2016)琼02民终375号

【裁判摘要】中国保监会网站是经主管部门备案和权威部门测评合格后，给社会公众提供政务服务的网站，系网络服务提供者，依照《全国人民代表大会常务委员会关于加强网络信息保护的决定》第四条关于“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人信息泄露、损毁、丢失。……”之规定，中国保监会也依法负有保护申请政府信息公开申请人信息安全的义务。该会网站因网络漏洞泄露了周某的个人注册信息，系违法行为，根据《侵权责任法》第三十六条第一款之规定，应认定中国保监会对周某构成了侵权。