憲法對于公民權益是概括性規定，詳細的規定見民法典。

中華人民共和國憲法，第三十八條，中華人民共和國公民的人格尊嚴不受侵犯。禁止用任何方法對公民進行侮辱、誹謗和誣告陷害。

《中華人民共和國民法典》已由中華人民共和國第十三屆全國人民代表大會第三次會議于2020年5月28日通過,自2021年1月1日起施行。其中，第六章為“隱私權和個人信息保護”，基本內容包括：

隱私權、個人信息的定義

典型的侵權行為

個人信息處理的原則

個人信息主體的權利

信息處理者的安全義務和保密義務

現摘錄全文如下。

1 第六章"隱私權和個人信息保護"全文

第一千零三十二條 【隱私權】自然人享有隱私權。任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的隱私權。

隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。

第一千零三十三條 【隱私權侵害行為】除法律另有規定或者權利人明確同意外,任何組織或者個人不得實施下列行為:

(一)以電話、短信、即時通訊工具、電子郵件、傳單等方式侵擾他人的私人生活安寧;

(二)進入、拍攝、窺視他人的住宅、賓館房間等私密空間;

(三)拍攝、窺視、竊聽、公開他人的私密活動;

(四)拍攝、窺視他人身體的私密部位;

(五)處理他人的私密信息;

(六)以其他方式侵害他人的隱私權。

第一千零三十四條 【個人信息的定義】自然人的個人信息受法律保護。

個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。

第一千零三十五條 【個人信息處理的原則和條件】處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,并符合下列條件:

(一)征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;

(二)公開處理信息的規則;

(三)明示處理信息的目的、方式和范圍;

(四)不違反法律、行政法規的規定和雙方的約定。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。

第一千零三十六條 【處理個人信息免責事由】處理個人信息,有下列情形之一的,行為人不承擔民事責任:

(一)在該自然人或者其監護人同意的范圍內合理實施的行為;

(二)合理處理該自然人自行公開的或者其他已經合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;

(三)為維護公共利益或者該自然人合法權益,合理實施的其他行為。

第一千零三十七條 【個人信息主體的權利】自然人可以依法向信息處理者查閱或者復制其個人信息;發現信息有錯誤的,有權提出異議并請求及時采取更正等必要措施。

自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,有權請求信息處理者及時刪除。

第一千零三十八條 【信息處理者的信息安全保障義務】信息處理者不得泄露或者篡改其收集、存儲的個人信息;未經自然人同意,不得向他人非法提供其個人信息,但是經過加工無法識別特定個人且不能復原的除外。

信息處理者應當采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失;發生或者可能發生個人信息泄露、篡改、丟失的,應當及時采取補救措施,按照規定告知自然人并向有關主管部門報告。

第一千零三十九條 【國家機關、承擔行政職能的法定機構及其工作人員的保密義務】國家機關、承擔行政職能的法定機構及其工作人員對于履行職責過程中知悉的自然人的隱私和個人信息,應當予以保密,不得泄露或者向他人非法提供。

2 相關法律

除了民法典，還有其他法律、規范也對個人信息的保護進行約束，如《網絡安全法》、GB/T 35273-2020《 個人信息安全規范》，以及正在立法規劃中的《個人信息保護法》、《數據安全法》等等。其中，GB/T 35273-2020《個人信息安全規范》屬于推薦性質的規范，不具有強制效力，也不能直接引用用于處罰，但在通過其他規章、行政決定、監管要求、內部管理規定、合同承諾、公開承諾等形式引用之后，也具有強制效力。

《網絡安全法》摘錄：

第三十七條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

第四十一條 網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

第四十二條 網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。

網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。

第四十三條 個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。

第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

第四十五條 依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供。

第六十四條 網絡運營者、網絡產品或者服務的提供者違反本法第二十二條第三款、第四十一條至第四十三條規定，侵害個人信息依法得到保護的權利的，由有關主管部門責令改正，可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節嚴重的，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

違反本法第四十四條規定，竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息，尚不構成犯罪的，由公安機關沒收違法所得，并處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款。