１.敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

２.敏感个人信息包括：

（１）生物识别；

（２）宗教信仰；

（３）特定身份；

（４）医疗健康；

（５）金融账户；

（６）行踪轨迹等信息；

（７）不满１４周岁未成年人的个人信息。

３.特定目的原则（目的限制原则）和充分必要性原则（最小必要原则）：只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

１.处理敏感个人信息应当取得个人的单独同意；

２.法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

１.个人信息处理者处理敏感个人信息的告知义务：

（１）本法第１７条第１款规定的事项；

（２）还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

２.依照本法规定可以不向个人告知的除外。

个人信息处理者处理不满１４周岁未成年人个人信息的：

１.应当取得未成年人的父母或者其他监护人的同意；

２.应当制定专门的个人信息处理规则。

法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的，从其规定。

《民法典》

　　第一千零三十四条【个人信息的定义】自然人的个人信息受法律保护。

　　个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

　　个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

　　第一千零三十五条【个人信息处理的原则和条件】处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

　　（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

　　（二）公开处理信息的规则；

　　（三）明示处理信息的目的、方式和范围；

　　（四）不违反法律、行政法规的规定和双方的约定。

　　个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

《个人信息保护法》

　　第十七条【应当告知的事项】个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

　　（一）个人信息处理者的名称或者姓名和联系方式；

　　（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

　　（三）个人行使本法规定权利的方式和程序；

　　（四）法律、行政法规规定应当告知的其他事项。

　　前款规定事项发生变更的，应当将变更部分告知个人。

　　个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

　　第十八条【应当告知的例外情形】个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。

　　紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。

　　第二十八条【敏感个人信息的定义及处理原则】敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

　　只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

　　第二十九条【敏感个人信息特别同意规则】处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

　　第三十条【敏感个人信息告知义务】个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

　　第三十一条【未成年人个人信息的处理规则】个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

　　个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

　　第三十二条【处理敏感个人信息的法定限制】法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的，从其规定。

《网络安全法》

　　第四十一条【个人信息收集使用规则】网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

　　网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

《数据安全法》

　　第三十二条【数据处理活动应当遵循合法、正当、必要原则】任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。

　　法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。

最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释

　　第五条　非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：

　　（一）出售或者提供行踪轨迹信息，被他人用于犯罪的；

　　（二）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；

　　（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

　　（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；

　　（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；

　　（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；

　　（七）违法所得五千元以上的；

　　（八）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；

　　（九）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；

　　（十）其他情节严重的情形。

　　实施前款规定的行为，具有下列情形之一的，应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”：

　　（一）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；

　　（二）造成重大经济损失或者恶劣社会影响的；

　　（三）数量或者数额达到前款第三项至第八项规定标准十倍以上的；

　　（四）其他情节特别严重的情形。

《网络交易监督管理办法》

　　第十三条　网络交易经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。网络交易经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。

　　网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式，强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的，应当逐项取得消费者同意。

　　网络交易经营者及其工作人员应当对收集的个人信息严格保密，除依法配合监管执法活动外，未经被收集者授权同意，不得向包括关联方在内的任何第三方提供。

最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定

　　第二条　信息处理者处理人脸信息有下列情形之一的，人民法院应当认定属于侵害自然人人格权益的行为：

　　（一）在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析；

　　（二）未公开处理人脸信息的规则或者未明示处理的目的、方式、范围；

　　（三）基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意；

　　（四）违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等；

　　（五）未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改、丢失；

　　（六）违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息；

　　（七）违背公序良俗处理人脸信息；

　　（八）违反合法、正当、必要原则处理人脸信息的其他情形。

《征信业管理条例》

　　第十四条　禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。

　　征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是，征信机构明确告知信息主体提供该信息可能产生的不利后果，并取得其书面同意的除外。

　　第十五条　信息提供者向征信机构提供个人不良信息，应当事先告知信息主体本人。但是，依照法律、行政法规规定公开的不良信息除外。

　　第二十八条　金融信用信息基础数据库接收从事信贷业务的机构按照规定提供的信贷信息。

　　金融信用信息基础数据库为信息主体和取得信息主体本人书面同意的信息使用者提供查询服务。国家机关可以依法查询金融信用信息基础数据库的信息。

　　第二十九条　从事信贷业务的机构应当按照规定向金融信用信息基础数据库提供信贷信息。

　　从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息，应当事先取得信息主体的书面同意，并适用本条例关于信息提供者的规定。

　　第四十一条　信息提供者违反本条例规定，向征信机构、金融信用信息基础数据库提供非依法公开的个人不良信息，未事先告知信息主体本人，情节严重或者造成严重后果的，由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款；对个人处1万元以上5万元以下的罚款。

《理财公司理财产品销售管理暂行办法》

　　第五十条　理财产品销售机构收集、使用个人信息，应当按照法律法规规定，遵循正当、必要的原则，保证信息采集、处理及使用的安全性和合法性。未经客户专门授权，不得将客户个人信息及相关理财产品销售信息提供其他第三方机构和个人，法律、行政法规和银保监会另有规定的除外。

《电信和互联网用户个人信息保护规定》

　　第九条　未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。

　　电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。

　　电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。

　　电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。

　　法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。

《儿童个人信息网络保护规定》

　　第十条　网络运营者征得同意时，应当同时提供拒绝选项，并明确告知以下事项：

　　（一）收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围；

　　（二）儿童个人信息存储的地点、期限和到期后的处理方式；

　　（三）儿童个人信息的安全保障措施；

　　（四）拒绝的后果；

　　（五）投诉、举报的渠道和方式；

　　（六）更正、删除儿童个人信息的途径和方法；

　　（七）其他应当告知的事项。

　　前款规定的告知事项发生实质性变化的，应当再次征得儿童监护人的同意。

中国人民银行金融消费者权益保护实施办法

　　第三十四条　银行、支付机构应当按照国家档案管理和电子数据管理等规定，采取技术措施和其他必要措施，妥善保管和存储所收集的消费者金融信息，防止信息遗失、毁损、泄露或者被篡改。

　　银行、支付机构及其工作人员应当对消费者金融信息严格保密，不得泄露或者非法向他人提供。在确认信息发生泄露、毁损、丢失时，银行、支付机构应当立即采取补救措施；信息泄露、毁损、丢失可能危及金融消费者人身、财产安全的，应当立即向银行、支付机构住所地的中国人民银行分支机构报告并告知金融消费者；信息泄露、毁损、丢失可能对金融消费者产生其他不利影响的，应当及时告知金融消费者，并在72小时以内报告银行、支付机构住所地的中国人民银行分支机构。中国人民银行分支机构接到报告后，视情况按照本办法第五十五条规定处理。

《艾滋病防治条例》

　　第三十九条　疾病预防控制机构和出入境检验检疫机构进行艾滋病流行病学调查时，被调查单位和个人应当如实提供有关情况。

　　未经本人或者其监护人同意，任何单位或者个人不得公开艾滋病病毒感染者、艾滋病病人及其家属的姓名、住址、工作单位、肖像、病史资料以及其他可能推断出其具体身份的信息。

·深圳市国银盛达融资担保有限公司、黄某某侵权责任纠纷二审民事判决书

【案号】四川省广安市中级人民法院民事判决书(2019)川16民终1646号

【裁判摘要】国务院《征信业管理条例》第十三条规定“采集个人信息应当经信息主体本人同意，未经本人同意不得采集"，第十四条第二款规定“征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是，征信机构明确告知信息主体提供该信息可能产生的不利后果，并取得其书面同意的除外"，第十五规定“信息提供者向征信机构提供个人不良信息，应当事先告知信息主体本人。但是，依照法律、行政法规规定公开的不良信息除外"。本案中，根据黄某某与成都利信公司签订的《小额借款服务合同》及授权委托书，代偿的主体并非深圳国银担保公司。即使深圳国银担保公司依据《借款协议》对黄某某的借款进行了代偿，但深圳国银担保公司并未提交证据证明其报送黄某某的不良征信记录事先征得黄某某的同意并告知黄某某本人。因此，深圳国银担保公司在未告知黄某某的情况下向征信机构报送黄某某不良信用记录信息已构成侵权。