中華人民共和國個(gè)人信息保護(hù)法
(2021年8月20日第十三屆全國人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議通過)
目 錄
第一章 總 則
第二章 個(gè)人信息處理規(guī)則
第一節(jié) 一般規(guī)定
第二節(jié) 敏感個(gè)人信息的處理規(guī)則
第三節(jié) 國家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定
第三章 個(gè)人信息跨境提供的規(guī)則
第四章 個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利
第五章 個(gè)人信息處理者的義務(wù)
第六章 履行個(gè)人信息保護(hù)職責(zé)的部門
第七章 法律責(zé)任
第八章 附 則
第一章 總 則
第一條 為了保護(hù)個(gè)人信息權(quán)益,規(guī)范個(gè)人信息處理活動(dòng)��,促進(jìn)個(gè)人信息合理利用�,根據(jù)憲法�����,制定本法�����。
第二條 自然人的個(gè)人信息受法律保護(hù),任何組織�、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益。
第三條 在中華人民共和國境內(nèi)處理自然人個(gè)人信息的活動(dòng)��,適用本法�。
在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個(gè)人信息的活動(dòng),有下列情形之一的�,也適用本法:
(一)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的;
(二)分析�、評(píng)估境內(nèi)自然人的行為;
(三)法律�����、行政法規(guī)規(guī)定的其他情形����。
第四條 個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息�����。
個(gè)人信息的處理包括個(gè)人信息的收集�、存儲(chǔ)、使用�、加工��、傳輸�、提供�、公開、刪除等���。
第五條 處理個(gè)人信息應(yīng)當(dāng)遵循合法���、正當(dāng)、必要和誠信原則����,不得通過誤導(dǎo)、欺詐�����、脅迫等方式處理個(gè)人信息���。
第六條 處理個(gè)人信息應(yīng)當(dāng)具有明確�����、合理的目的���,并應(yīng)當(dāng)與處理目的直接相關(guān),采取對(duì)個(gè)人權(quán)益影響最小的方式���。
收集個(gè)人信息��,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍��,不得過度收集個(gè)人信息�。
第七條 處理個(gè)人信息應(yīng)當(dāng)遵循公開���、透明原則����,公開個(gè)人信息處理規(guī)則����,明示處理的目的、方式和范圍�����。
第八條 處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量�,避免因個(gè)人信息不準(zhǔn)確�、不完整對(duì)個(gè)人權(quán)益造成不利影響�。
第九條 個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé),并采取必要措施保障所處理的個(gè)人信息的安全��。
第十條 任何組織�����、個(gè)人不得非法收集���、使用�����、加工����、傳輸他人個(gè)人信息��,不得非法買賣�、提供或者公開他人個(gè)人信息;不得從事危害國家安全�、公共利益的個(gè)人信息處理活動(dòng)�����。
第十一條 國家建立健全個(gè)人信息保護(hù)制度����,預(yù)防和懲治侵害個(gè)人信息權(quán)益的行為����,加強(qiáng)個(gè)人信息保護(hù)宣傳教育,推動(dòng)形成政府�、企業(yè)、相關(guān)社會(huì)組織�、公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境。
第十二條 國家積極參與個(gè)人信息保護(hù)國際規(guī)則的制定�,促進(jìn)個(gè)人信息保護(hù)方面的國際交流與合作,推動(dòng)與其他國家��、地區(qū)�����、國際組織之間的個(gè)人信息保護(hù)規(guī)則��、標(biāo)準(zhǔn)等互認(rèn)��。
第二章 個(gè)人信息處理規(guī)則
第一節(jié) 一般規(guī)定
第十三條 符合下列情形之一的���,個(gè)人信息處理者方可處理個(gè)人信息:
(一)取得個(gè)人的同意���;
(二)為訂立�����、履行個(gè)人作為一方當(dāng)事人的合同所必需��,或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需��;
(三)為履行法定職責(zé)或者法定義務(wù)所必需�����;
(四)為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件��,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需�;
(五)為公共利益實(shí)施新聞報(bào)道����、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個(gè)人信息�;
(六)依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息;
(七)法律、行政法規(guī)規(guī)定的其他情形��。
依照本法其他有關(guān)規(guī)定�����,處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意��,但是有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的�����,不需取得個(gè)人同意��。
第十四條 基于個(gè)人同意處理個(gè)人信息的�����,該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿���、明確作出。法律�、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的,從其規(guī)定�。
個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的,應(yīng)當(dāng)重新取得個(gè)人同意����。
第十五條 基于個(gè)人同意處理個(gè)人信息的,個(gè)人有權(quán)撤回其同意�����。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式����。
個(gè)人撤回同意,不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力����。
第十六條 個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務(wù)�����;處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外�����。
第十七條 個(gè)人信息處理者在處理個(gè)人信息前�����,應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)����、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng):
(一)個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式��;
(二)個(gè)人信息的處理目的�����、處理方式�,處理的個(gè)人信息種類���、保存期限����;
(三)個(gè)人行使本法規(guī)定權(quán)利的方式和程序�;
(四)法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)�。
前款規(guī)定事項(xiàng)發(fā)生變更的,應(yīng)當(dāng)將變更部分告知個(gè)人��。
個(gè)人信息處理者通過制定個(gè)人信息處理規(guī)則的方式告知第一款規(guī)定事項(xiàng)的,處理規(guī)則應(yīng)當(dāng)公開�����,并且便于查閱和保存����。
第十八條 個(gè)人信息處理者處理個(gè)人信息,有法律�����、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的��,可以不向個(gè)人告知前條第一款規(guī)定的事項(xiàng)����。
緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無法及時(shí)向個(gè)人告知的,個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知�。
第十九條 除法律、行政法規(guī)另有規(guī)定外�,個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。
第二十條 兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的�,應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。但是���,該約定不影響個(gè)人向其中任何一個(gè)個(gè)人信息處理者要求行使本法規(guī)定的權(quán)利����。
個(gè)人信息處理者共同處理個(gè)人信息,侵害個(gè)人信息權(quán)益造成損害的�,應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任。
第二十一條 個(gè)人信息處理者委托處理個(gè)人信息的����,應(yīng)當(dāng)與受托人約定委托處理的目的、期限�、處理方式、個(gè)人信息的種類�����、保護(hù)措施以及雙方的權(quán)利和義務(wù)等�����,并對(duì)受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督�����。
受托人應(yīng)當(dāng)按照約定處理個(gè)人信息��,不得超出約定的處理目的����、處理方式等處理個(gè)人信息;委托合同不生效����、無效、被撤銷或者終止的��,受托人應(yīng)當(dāng)將個(gè)人信息返還個(gè)人信息處理者或者予以刪除�����,不得保留��。
未經(jīng)個(gè)人信息處理者同意�����,受托人不得轉(zhuǎn)委托他人處理個(gè)人信息��。
第二十二條 個(gè)人信息處理者因合并�����、分立、解散��、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的�,應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式。接收方應(yīng)當(dāng)繼續(xù)履行個(gè)人信息處理者的義務(wù)��。接收方變更原先的處理目的����、處理方式的,應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意����。
第二十三條 個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的,應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名�、聯(lián)系方式、處理目的��、處理方式和個(gè)人信息的種類���,并取得個(gè)人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述處理目的����、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息���。接收方變更原先的處理目的、處理方式的����,應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意。
第二十四條 個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策�,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正���,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇��。
通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送��、商業(yè)營銷����,應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)�����,或者向個(gè)人提供便捷的拒絕方式����。
通過自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定���,個(gè)人有權(quán)要求個(gè)人信息處理者予以說明,并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定��。
第二十五條 個(gè)人信息處理者不得公開其處理的個(gè)人信息�����,取得個(gè)人單獨(dú)同意的除外�����。
第二十六條 在公共場所安裝圖像采集���、個(gè)人身份識(shí)別設(shè)備���,應(yīng)當(dāng)為維護(hù)公共安全所必需,遵守國家有關(guān)規(guī)定��,并設(shè)置顯著的提示標(biāo)識(shí)��。所收集的個(gè)人圖像��、身份識(shí)別信息只能用于維護(hù)公共安全的目的��,不得用于其他目的�;取得個(gè)人單獨(dú)同意的除外。
第二十七條 個(gè)人信息處理者可以在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息����;個(gè)人明確拒絕的除外。個(gè)人信息處理者處理已公開的個(gè)人信息�,對(duì)個(gè)人權(quán)益有重大影響的,應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意��。
第二節(jié)??敏感個(gè)人信息的處理規(guī)則
第二十八條 敏感個(gè)人信息是一旦泄露或者非法使用���,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身���、財(cái)產(chǎn)安全受到危害的個(gè)人信息,包括生物識(shí)別����、宗教信仰、特定身份�、醫(yī)療健康、金融賬戶�����、行蹤軌跡等信息,以及不滿十四周歲未成年人的個(gè)人信息��。
只有在具有特定的目的和充分的必要性�����,并采取嚴(yán)格保護(hù)措施的情形下�,個(gè)人信息處理者方可處理敏感個(gè)人信息。
第二十九條 處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意����;法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的�����,從其規(guī)定���。
第三十條 個(gè)人信息處理者處理敏感個(gè)人信息的����,除本法第十七條第一款規(guī)定的事項(xiàng)外���,還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響�;依照本法規(guī)定可以不向個(gè)人告知的除外。
第三十一條 個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的�,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意��。
個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的�����,應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則����。
第三十二條 法律、行政法規(guī)對(duì)處理敏感個(gè)人信息規(guī)定應(yīng)當(dāng)取得相關(guān)行政許可或者作出其他限制的��,從其規(guī)定��。
第三節(jié) 國家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定
第三十三條 國家機(jī)關(guān)處理個(gè)人信息的活動(dòng)����,適用本法;本節(jié)有特別規(guī)定的����,適用本節(jié)規(guī)定��。
第三十四條 國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息���,應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限��、程序進(jìn)行�����,不得超出履行法定職責(zé)所必需的范圍和限度�。
第三十五條 國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息,應(yīng)當(dāng)依照本法規(guī)定履行告知義務(wù)�;有本法第十八條第一款規(guī)定的情形,或者告知將妨礙國家機(jī)關(guān)履行法定職責(zé)的除外����。
第三十六條 國家機(jī)關(guān)處理的個(gè)人信息應(yīng)當(dāng)在中華人民共和國境內(nèi)存儲(chǔ);確需向境外提供的��,應(yīng)當(dāng)進(jìn)行安全評(píng)估����。安全評(píng)估可以要求有關(guān)部門提供支持與協(xié)助。
第三十七條 法律����、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織為履行法定職責(zé)處理個(gè)人信息�����,適用本法關(guān)于國家機(jī)關(guān)處理個(gè)人信息的規(guī)定�����。
第三章 個(gè)人信息跨境提供的規(guī)則
第三十八條 個(gè)人信息處理者因業(yè)務(wù)等需要,確需向中華人民共和國境外提供個(gè)人信息的����,應(yīng)當(dāng)具備下列條件之一:
(一)依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評(píng)估;
(二)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證����;
(三)按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù)����;
(四)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件�。
中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對(duì)向中華人民共和國境外提供個(gè)人信息的條件等有規(guī)定的���,可以按照其規(guī)定執(zhí)行�。
個(gè)人信息處理者應(yīng)當(dāng)采取必要措施,保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)���。
第三十九條 個(gè)人信息處理者向中華人民共和國境外提供個(gè)人信息的���,應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式����、處理目的、處理方式���、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)��,并取得個(gè)人的單獨(dú)同意�����。
第四十條 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者�,應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)�����。確需向境外提供的,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評(píng)估�;法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的���,從其規(guī)定��。
第四十一條 中華人民共和國主管機(jī)關(guān)根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約���、協(xié)定,或者按照平等互惠原則��,處理外國司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供存儲(chǔ)于境內(nèi)個(gè)人信息的請(qǐng)求��。非經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn)�����,個(gè)人信息處理者不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國境內(nèi)的個(gè)人信息�。
第四十二條 境外的組織��、個(gè)人從事侵害中華人民共和國公民的個(gè)人信息權(quán)益�����,或者危害中華人民共和國國家安全、公共利益的個(gè)人信息處理活動(dòng)的�����,國家網(wǎng)信部門可以將其列入限制或者禁止個(gè)人信息提供清單�,予以公告,并采取限制或者禁止向其提供個(gè)人信息等措施��。
第四十三條 任何國家或者地區(qū)在個(gè)人信息保護(hù)方面對(duì)中華人民共和國采取歧視性的禁止���、限制或者其他類似措施的�,中華人民共和國可以根據(jù)實(shí)際情況對(duì)該國家或者地區(qū)對(duì)等采取措施�。
第四章 個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利
第四十四條 個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)�����,有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理��;法律���、行政法規(guī)另有規(guī)定的除外����。
第四十五條 個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息�;有本法第十八條第一款、第三十五條規(guī)定情形的除外�。
個(gè)人請(qǐng)求查閱、復(fù)制其個(gè)人信息的�����,個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供����。
個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者,符合國家網(wǎng)信部門規(guī)定條件的���,個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。
第四十六條 個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的���,有權(quán)請(qǐng)求個(gè)人信息處理者更正����、補(bǔ)充�。
個(gè)人請(qǐng)求更正、補(bǔ)充其個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息予以核實(shí)����,并及時(shí)更正、補(bǔ)充���。
第四十七條 有下列情形之一的�����,個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息����;個(gè)人信息處理者未刪除的���,個(gè)人有權(quán)請(qǐng)求刪除:
(一)處理目的已實(shí)現(xiàn)��、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要��;
(二)個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)����,或者保存期限已屆滿�;
(三)個(gè)人撤回同意;
(四)個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息�;
(五)法律、行政法規(guī)規(guī)定的其他情形�。
法律、行政法規(guī)規(guī)定的保存期限未屆滿��,或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的����,個(gè)人信息處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。
第四十八條 個(gè)人有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說明��。
第四十九條 自然人死亡的�����,其近親屬為了自身的合法�����、正當(dāng)利益���,可以對(duì)死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱、復(fù)制���、更正���、刪除等權(quán)利���;死者生前另有安排的除外。
第五十條 個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制�����。拒絕個(gè)人行使權(quán)利的請(qǐng)求的�����,應(yīng)當(dāng)說明理由�。
個(gè)人信息處理者拒絕個(gè)人行使權(quán)利的請(qǐng)求的,個(gè)人可以依法向人民法院提起訴訟�����。
第五章 個(gè)人信息處理者的義務(wù)
第五十一條 個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的���、處理方式����、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等���,采取下列措施確保個(gè)人信息處理活動(dòng)符合法律���、行政法規(guī)的規(guī)定,并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露����、篡改、丟失:
(一)制定內(nèi)部管理制度和操作規(guī)程����;
(二)對(duì)個(gè)人信息實(shí)行分類管理;
(三)采取相應(yīng)的加密����、去標(biāo)識(shí)化等安全技術(shù)措施;
(四)合理確定個(gè)人信息處理的操作權(quán)限����,并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn);
(五)制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案�;
(六)法律、行政法規(guī)規(guī)定的其他措施����。
第五十二條 處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督��。
個(gè)人信息處理者應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式���,并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名����、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門���。
第五十三條 本法第三條第二款規(guī)定的中華人民共和國境外的個(gè)人信息處理者�,應(yīng)當(dāng)在中華人民共和國境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表�,負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù),并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名���、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門�。
第五十四條 個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律�����、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)����。
第五十五條 有下列情形之一的�,個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估�,并對(duì)處理情況進(jìn)行記錄:
(一)處理敏感個(gè)人信息;
(二)利用個(gè)人信息進(jìn)行自動(dòng)化決策���;
(三)委托處理個(gè)人信息���、向其他個(gè)人信息處理者提供個(gè)人信息、公開個(gè)人信息����;
(四)向境外提供個(gè)人信息;
(五)其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)���。
第五十六條 個(gè)人信息保護(hù)影響評(píng)估應(yīng)當(dāng)包括下列內(nèi)容:
(一)個(gè)人信息的處理目的����、處理方式等是否合法���、正當(dāng)�����、必要�����;
(二)對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)����;
(三)所采取的保護(hù)措施是否合法���、有效并與風(fēng)險(xiǎn)程度相適應(yīng)�。
個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年����。
第五十七條 發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改��、丟失的���,個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施���,并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。通知應(yīng)當(dāng)包括下列事項(xiàng):
(一)發(fā)生或者可能發(fā)生個(gè)人信息泄露��、篡改、丟失的信息種類��、原因和可能造成的危害���;
(二)個(gè)人信息處理者采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施����;
(三)個(gè)人信息處理者的聯(lián)系方式��。
個(gè)人信息處理者采取措施能夠有效避免信息泄露�、篡改、丟失造成危害的����,個(gè)人信息處理者可以不通知個(gè)人;履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為可能造成危害的���,有權(quán)要求個(gè)人信息處理者通知個(gè)人�����。
第五十八條 提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)�、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者��,應(yīng)當(dāng)履行下列義務(wù):
(一)按照國家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系�����,成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督����;
(二)遵循公開����、公平、公正的原則�,制定平臺(tái)規(guī)則,明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)���;
(三)對(duì)嚴(yán)重違反法律�、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者����,停止提供服務(wù);
(四)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告��,接受社會(huì)監(jiān)督。
第五十九條 接受委托處理個(gè)人信息的受托人�,應(yīng)當(dāng)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定�,采取必要措施保障所處理的個(gè)人信息的安全,并協(xié)助個(gè)人信息處理者履行本法規(guī)定的義務(wù)���。
第六章 履行個(gè)人信息保護(hù)職責(zé)的部門
第六十條 國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作�。國務(wù)院有關(guān)部門依照本法和有關(guān)法律��、行政法規(guī)的規(guī)定�,在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。
縣級(jí)以上地方人民政府有關(guān)部門的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)��,按照國家有關(guān)規(guī)定確定���。
前兩款規(guī)定的部門統(tǒng)稱為履行個(gè)人信息保護(hù)職責(zé)的部門���。
第六十一條 履行個(gè)人信息保護(hù)職責(zé)的部門履行下列個(gè)人信息保護(hù)職責(zé):
(一)開展個(gè)人信息保護(hù)宣傳教育,指導(dǎo)��、監(jiān)督個(gè)人信息處理者開展個(gè)人信息保護(hù)工作�����;
(二)接受、處理與個(gè)人信息保護(hù)有關(guān)的投訴��、舉報(bào)�����;
(三)組織對(duì)應(yīng)用程序等個(gè)人信息保護(hù)情況進(jìn)行測評(píng)���,并公布測評(píng)結(jié)果�����;
(四)調(diào)查����、處理違法個(gè)人信息處理活動(dòng)��;
(五)法律����、行政法規(guī)規(guī)定的其他職責(zé)����。
第六十二條 國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)本法推進(jìn)下列個(gè)人信息保護(hù)工作:
(一)制定個(gè)人信息保護(hù)具體規(guī)則、標(biāo)準(zhǔn);
(二)針對(duì)小型個(gè)人信息處理者�、處理敏感個(gè)人信息以及人臉識(shí)別、人工智能等新技術(shù)��、新應(yīng)用���,制定專門的個(gè)人信息保護(hù)規(guī)則����、標(biāo)準(zhǔn)����;
(三)支持研究開發(fā)和推廣應(yīng)用安全、方便的電子身份認(rèn)證技術(shù)�����,推進(jìn)網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)建設(shè)����;
(四)推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè),支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評(píng)估����、認(rèn)證服務(wù)��;
(五)完善個(gè)人信息保護(hù)投訴���、舉報(bào)工作機(jī)制。
第六十三條 履行個(gè)人信息保護(hù)職責(zé)的部門履行個(gè)人信息保護(hù)職責(zé)���,可以采取下列措施:
(一)詢問有關(guān)當(dāng)事人��,調(diào)查與個(gè)人信息處理活動(dòng)有關(guān)的情況����;
(二)查閱����、復(fù)制當(dāng)事人與個(gè)人信息處理活動(dòng)有關(guān)的合同、記錄��、賬簿以及其他有關(guān)資料���;
(三)實(shí)施現(xiàn)場檢查,對(duì)涉嫌違法的個(gè)人信息處理活動(dòng)進(jìn)行調(diào)查����;
(四)檢查與個(gè)人信息處理活動(dòng)有關(guān)的設(shè)備��、物品��;對(duì)有證據(jù)證明是用于違法個(gè)人信息處理活動(dòng)的設(shè)備���、物品,向本部門主要負(fù)責(zé)人書面報(bào)告并經(jīng)批準(zhǔn)�����,可以查封或者扣押��。
履行個(gè)人信息保護(hù)職責(zé)的部門依法履行職責(zé)�����,當(dāng)事人應(yīng)當(dāng)予以協(xié)助����、配合,不得拒絕�����、阻撓�。
第六十四條 履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中�,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的��,可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談�,或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施��,進(jìn)行整改����,消除隱患。
履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中�,發(fā)現(xiàn)違法處理個(gè)人信息涉嫌犯罪的,應(yīng)當(dāng)及時(shí)移送公安機(jī)關(guān)依法處理�。
第六十五條 任何組織、個(gè)人有權(quán)對(duì)違法個(gè)人信息處理活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴�����、舉報(bào)�。收到投訴、舉報(bào)的部門應(yīng)當(dāng)依法及時(shí)處理����,并將處理結(jié)果告知投訴�����、舉報(bào)人。
履行個(gè)人信息保護(hù)職責(zé)的部門應(yīng)當(dāng)公布接受投訴�����、舉報(bào)的聯(lián)系方式�����。
第七章 法律責(zé)任
第六十六條 違反本法規(guī)定處理個(gè)人信息����,或者處理個(gè)人信息未履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的,由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正����,給予警告,沒收違法所得�,對(duì)違法處理個(gè)人信息的應(yīng)用程序,責(zé)令暫?;蛘呓K止提供服務(wù);拒不改正的�,并處一百萬元以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款�����。
有前款規(guī)定的違法行為,情節(jié)嚴(yán)重的�����,由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正��,沒收違法所得����,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓���、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照��;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款�,并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事���、監(jiān)事��、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人�。
第六十七條 有本法規(guī)定的違法行為的,依照有關(guān)法律����、行政法規(guī)的規(guī)定記入信用檔案����,并予以公示。
第六十八條 國家機(jī)關(guān)不履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的�,由其上級(jí)機(jī)關(guān)或者履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分�。
履行個(gè)人信息保護(hù)職責(zé)的部門的工作人員玩忽職守、濫用職權(quán)����、徇私舞弊,尚不構(gòu)成犯罪的�����,依法給予處分����。
第六十九條 處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害,個(gè)人信息處理者不能證明自己沒有過錯(cuò)的�,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。
前款規(guī)定的損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定;個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的�,根據(jù)實(shí)際情況確定賠償數(shù)額。
第七十條 個(gè)人信息處理者違反本法規(guī)定處理個(gè)人信息��,侵害眾多個(gè)人的權(quán)益的���,人民檢察院�����、法律規(guī)定的消費(fèi)者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟����。
第七十一條 違反本法規(guī)定�,構(gòu)成違反治安管理行為的,依法給予治安管理處罰�����;構(gòu)成犯罪的���,依法追究刑事責(zé)任���。
第八章 附 則
第七十二條 自然人因個(gè)人或者家庭事務(wù)處理個(gè)人信息的��,不適用本法�。
法律對(duì)各級(jí)人民政府及其有關(guān)部門組織實(shí)施的統(tǒng)計(jì)���、檔案管理活動(dòng)中的個(gè)人信息處理有規(guī)定的��,適用其規(guī)定。
第七十三條 本法下列用語的含義:
(一)個(gè)人信息處理者��,是指在個(gè)人信息處理活動(dòng)中自主決定處理目的����、處理方式的組織、個(gè)人�。
(二)自動(dòng)化決策,是指通過計(jì)算機(jī)程序自動(dòng)分析��、評(píng)估個(gè)人的行為習(xí)慣�����、興趣愛好或者經(jīng)濟(jì)�����、健康、信用狀況等�,并進(jìn)行決策的活動(dòng)。
(三)去標(biāo)識(shí)化����,是指個(gè)人信息經(jīng)過處理,使其在不借助額外信息的情況下無法識(shí)別特定自然人的過程�。
(四)匿名化,是指個(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原的過程��。
第七十四條 本法自2021年11月1日起施行���。
