國家網信辦尤雪云：經營者不得通過誤導、欺詐、脅迫等方式處理消費者個人信息

雷玄

4月9日，在中華人民共和國國務院新聞辦公室舉行的介紹《中華人民共和國消費者權益保護法實施條例》（以下簡稱《條例》）有關情況吹風會上，國家網信辦網絡法治局負責人尤雪云表示，我國高度重視個人信息保護，2021年就制定實施該領域的基礎性法律《個人信息保護法》。《條例》第23條從三個方面規定了經營者保護消費者個人信息的義務。

一是經營者在提供商品或服務時，不得過度收集消費者個人信息，不得采用一次默認授權等方式，強制或者變相強制消費者同意收集、使用與經營活動無直接關系的個人信息。經營者處理消費者個人信息，應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。要遵守目的明確原則，具有明確合理的目的，并與處理的目的直接相關。要遵循最小化處理原則，采取對個人權益最小影響的方式，不得過度收集。要遵循公開透明原則，公開個人信息處理規則，明示處理目的、方式和范圍。還應在消費者充分知情的前提下，自愿、明確作出同意后，方可處理。消費者有權撤回同意，不得以消費者不同意或撤回同意為由拒絕提供商品或者服務。

二是經營者處理敏感個人信息的，應符合有關法律、行政法規的規定。敏感個人信息是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身財產安全受到危害的個人信息，包括生物識別、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個人信息。只有在具有特定目的和充分的必要性，并采取嚴格保護措施的情形下，方可處理個人敏感個人信息，并且應當取得消費者的單獨同意或者書面同意。如果處理不滿14周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意，還要制定專門的個人信息處理規則。

三是經營者應當依法保護消費者的個人信息。經營者應當保障消費者在個人信息處理活動中的知情權、決定權，包括查閱復制權、更正補充權、刪除權、解釋說明權等，建立便捷的消費者行使權利的申請受理和處理機制。經營者不得非法出售、提供或者公開消費者的個人信息，應當采取必要措施保障個人信息安全，防止未經授權的訪問以及個人信息的泄露、篡改、丟失，發生或者可能發生個人信息泄露、篡改、丟失的，經營者應當立即采取補救措施，并通知履行個人信息保護職責的部門和消費者。