(2021年8月20日第十三屆全國(guó)人民(mín)代表大會常務(wù)委員會第三十次會議通過)
目 錄
a第一章 總則
a第二章 個人信息處理(lǐ)規則
a第一節 一般規定
a第二節 敏感個人信息的處理(lǐ)規則
a第三節 國(guó)家機關處理(lǐ)個人信息的特别規定
a第三章 個人信息跨境提供的規則
a第四章 個人在個人信息處理(lǐ)活動中(zhōng)的權利
a第五章 個人信息處理(lǐ)者的義務(wù)
a第六章 履行個人信息保護職責的部門
a第七章 法律責任
a第八章 附則
第一章 總則
a第一條 為(wèi)了保護個人信息權益,規範個人信息處理(lǐ)活動,促進個人信息合理(lǐ)利用(yòng),根據憲法,制定本法。
a第二條 自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益。
a第三條 在中(zhōng)華人民(mín)共和國(guó)境内處理(lǐ)自然人個人信息的活動,适用(yòng)本法。
a在中(zhōng)華人民(mín)共和國(guó)境外處理(lǐ)中(zhōng)華人民(mín)共和國(guó)境内自然人個人信息的活動,有(yǒu)下列情形之一的,也适用(yòng)本法:
a(一)以向境内自然人提供産(chǎn)品或者服務(wù)為(wèi)目的;
a(二)分(fēn)析、評估境内自然人的行為(wèi);
a(三)法律、行政法規規定的其他(tā)情形。
a第四條 個人信息是以電(diàn)子或者其他(tā)方式記錄的與已識别或者可(kě)識别的自然人有(yǒu)關的各種信息,不包括匿名(míng)化處理(lǐ)後的信息。
a個人信息的處理(lǐ)包括個人信息的收集、存儲、使用(yòng)、加工(gōng)、傳輸、提供、公(gōng)開、删除等。
a第五條 處理(lǐ)個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理(lǐ)個人信息。
a第六條 處理(lǐ)個人信息應當具(jù)有(yǒu)明确、合理(lǐ)的目的,并應當與處理(lǐ)目的直接相關,采取對個人權益影響最小(xiǎo)的方式。
a收集個人信息,應當限于實現處理(lǐ)目的的最小(xiǎo)範圍,不得過度收集個人信息。
a第七條 處理(lǐ)個人信息應當遵循公(gōng)開、透明原則,公(gōng)開個人信息處理(lǐ)規則,明示處理(lǐ)的目的、方式和範圍。
a第八條 處理(lǐ)個人信息應當保證個人信息的質(zhì)量,避免因個人信息不準确、不完整對個人權益造成不利影響。
a第九條 個人信息處理(lǐ)者應當對其個人信息處理(lǐ)活動負責,并采取必要措施保障所處理(lǐ)的個人信息的安(ān)全。
a第十條 任何組織、個人不得非法收集、使用(yòng)、加工(gōng)、傳輸他(tā)人個人信息,不得非法買賣、提供或者公(gōng)開他(tā)人個人信息;不得從事危害國(guó)家安(ān)全、公(gōng)共利益的個人信息處理(lǐ)活動。
a第十一條 國(guó)家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為(wèi),加強個人信息保護宣傳教育,推動形成政府、企業、相關社會組織、公(gōng)衆共同參與個人信息保護的良好環境。
a第十二條 國(guó)家積極參與個人信息保護國(guó)際規則的制定,促進個人信息保護方面的國(guó)際交流與合作(zuò),推動與其他(tā)國(guó)家、地區(qū)、國(guó)際組織之間的個人信息保護規則、标準等互認。
第二章 個人信息處理(lǐ)規則
第一節 一般規定
a第十三條 符合下列情形之一的,個人信息處理(lǐ)者方可(kě)處理(lǐ)個人信息:
a(一)取得個人的同意;
a(二)為(wèi)訂立、履行個人作(zuò)為(wèi)一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體(tǐ)合同實施人力資源管理(lǐ)所必需;
a(三)為(wèi)履行法定職責或者法定義務(wù)所必需;
a(四)為(wèi)應對突發公(gōng)共衛生事件,或者緊急情況下為(wèi)保護自然人的生命健康和财産(chǎn)安(ān)全所必需;
a(五)為(wèi)公(gōng)共利益實施新(xīn)聞報道、輿論監督等行為(wèi),在合理(lǐ)的範圍内處理(lǐ)個人信息;
a(六)依照本法規定在合理(lǐ)的範圍内處理(lǐ)個人自行公(gōng)開或者其他(tā)已經合法公(gōng)開的個人信息;
a(七)法律、行政法規規定的其他(tā)情形。
a依照本法其他(tā)有(yǒu)關規定,處理(lǐ)個人信息應當取得個人同意,但是有(yǒu)前款第二項至第七項規定情形的,不需取得個人同意。
a第十四條 基于個人同意處理(lǐ)個人信息的,該同意應當由個人在充分(fēn)知情的前提下自願、明确作(zuò)出。法律、行政法規規定處理(lǐ)個人信息應當取得個人單獨同意或者書面同意的,從其規定。
a個人信息的處理(lǐ)目的、處理(lǐ)方式和處理(lǐ)的個人信息種類發生變更的,應當重新(xīn)取得個人同意。
a第十五條 基于個人同意處理(lǐ)個人信息的,個人有(yǒu)權撤回其同意。個人信息處理(lǐ)者應當提供便捷的撤回同意的方式。
a個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理(lǐ)活動的效力。
a第十六條 個人信息處理(lǐ)者不得以個人不同意處理(lǐ)其個人信息或者撤回同意為(wèi)由,拒絕提供産(chǎn)品或者服務(wù);處理(lǐ)個人信息屬于提供産(chǎn)品或者服務(wù)所必需的除外。
a第十七條 個人信息處理(lǐ)者在處理(lǐ)個人信息前,應當以顯著方式、清晰易懂的語言真實、準确、完整地向個人告知下列事項:
a(一)個人信息處理(lǐ)者的名(míng)稱或者姓名(míng)和聯系方式;
a(二)個人信息的處理(lǐ)目的、處理(lǐ)方式,處理(lǐ)的個人信息種類、保存期限;
a(三)個人行使本法規定權利的方式和程序;
a(四)法律、行政法規規定應當告知的其他(tā)事項。
a前款規定事項發生變更的,應當将變更部分(fēn)告知個人。
a個人信息處理(lǐ)者通過制定個人信息處理(lǐ)規則的方式告知第一款規定事項的,處理(lǐ)規則應當公(gōng)開,并且便于查閱和保存。
a第十八條 個人信息處理(lǐ)者處理(lǐ)個人信息,有(yǒu)法律、行政法規規定應當保密或者不需要告知的情形的,可(kě)以不向個人告知前條第一款規定的事項。
a緊急情況下為(wèi)保護自然人的生命健康和财産(chǎn)安(ān)全無法及時向個人告知的,個人信息處理(lǐ)者應當在緊急情況消除後及時告知。
a第十九條 除法律、行政法規另有(yǒu)規定外,個人信息的保存期限應當為(wèi)實現處理(lǐ)目的所必要的最短時間。
a第二十條 兩個以上的個人信息處理(lǐ)者共同決定個人信息的處理(lǐ)目的和處理(lǐ)方式的,應當約定各自的權利和義務(wù)。但是,該約定不影響個人向其中(zhōng)任何一個個人信息處理(lǐ)者要求行使本法規定的權利。
a個人信息處理(lǐ)者共同處理(lǐ)個人信息,侵害個人信息權益造成損害的,應當依法承擔連帶責任。
a第二十一條 個人信息處理(lǐ)者委托處理(lǐ)個人信息的,應當與受托人約定委托處理(lǐ)的目的、期限、處理(lǐ)方式、個人信息的種類、保護措施以及雙方的權利和義務(wù)等,并對受托人的個人信息處理(lǐ)活動進行監督。
a受托人應當按照約定處理(lǐ)個人信息,不得超出約定的處理(lǐ)目的、處理(lǐ)方式等處理(lǐ)個人信息;委托合同不生效、無效、被撤銷或者終止的,受托人應當将個人信息返還個人信息處理(lǐ)者或者予以删除,不得保留。
a未經個人信息處理(lǐ)者同意,受托人不得轉委托他(tā)人處理(lǐ)個人信息。
a第二十二條 個人信息處理(lǐ)者因合并、分(fēn)立、解散、被宣告破産(chǎn)等原因需要轉移個人信息的,應當向個人告知接收方的名(míng)稱或者姓名(míng)和聯系方式。接收方應當繼續履行個人信息處理(lǐ)者的義務(wù)。接收方變更原先的處理(lǐ)目的、處理(lǐ)方式的,應當依照本法規定重新(xīn)取得個人同意。
a第二十三條 個人信息處理(lǐ)者向其他(tā)個人信息處理(lǐ)者提供其處理(lǐ)的個人信息的,應當向個人告知接收方的名(míng)稱或者姓名(míng)、聯系方式、處理(lǐ)目的、處理(lǐ)方式和個人信息的種類,并取得個人的單獨同意。接收方應當在上述處理(lǐ)目的、處理(lǐ)方式和個人信息的種類等範圍内處理(lǐ)個人信息。接收方變更原先的處理(lǐ)目的、處理(lǐ)方式的,應當依照本法規定重新(xīn)取得個人同意。
a第二十四條 個人信息處理(lǐ)者利用(yòng)個人信息進行自動化決策,應當保證決策的透明度和結果公(gōng)平、公(gōng)正,不得對個人在交易價格等交易條件上實行不合理(lǐ)的差别待遇。
a通過自動化決策方式向個人進行信息推送、商(shāng)業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
a通過自動化決策方式作(zuò)出對個人權益有(yǒu)重大影響的決定,個人有(yǒu)權要求個人信息處理(lǐ)者予以說明,并有(yǒu)權拒絕個人信息處理(lǐ)者僅通過自動化決策的方式作(zuò)出決定。
a第二十五條 個人信息處理(lǐ)者不得公(gōng)開其處理(lǐ)的個人信息,取得個人單獨同意的除外。
a第二十六條 在公(gōng)共場所安(ān)裝(zhuāng)圖像采集、個人身份識别設備,應當為(wèi)維護公(gōng)共安(ān)全所必需,遵守國(guó)家有(yǒu)關規定,并設置顯著的提示标識。所收集的個人圖像、身份識别信息隻能(néng)用(yòng)于維護公(gōng)共安(ān)全的目的,不得用(yòng)于其他(tā)目的;取得個人單獨同意的除外。
a第二十七條 個人信息處理(lǐ)者可(kě)以在合理(lǐ)的範圍内處理(lǐ)個人自行公(gōng)開或者其他(tā)已經合法公(gōng)開的個人信息;個人明确拒絕的除外。個人信息處理(lǐ)者處理(lǐ)已公(gōng)開的個人信息,對個人權益有(yǒu)重大影響的,應當依照本法規定取得個人同意。
第二節 敏感個人信息的處理(lǐ)規則
a第二十八條 敏感個人信息是一旦洩露或者非法使用(yòng),容易導緻自然人的人格尊嚴受到侵害或者人身、财産(chǎn)安(ān)全受到危害的個人信息,包括生物(wù)識别、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌迹等信息,以及不滿十四周歲未成年人的個人信息。
a隻有(yǒu)在具(jù)有(yǒu)特定的目的和充分(fēn)的必要性,并采取嚴格保護措施的情形下,個人信息處理(lǐ)者方可(kě)處理(lǐ)敏感個人信息。
a第二十九條 處理(lǐ)敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理(lǐ)敏感個人信息應當取得書面同意的,從其規定。
a第三十條 個人信息處理(lǐ)者處理(lǐ)敏感個人信息的,除本法第十七條第一款規定的事項外,還應當向個人告知處理(lǐ)敏感個人信息的必要性以及對個人權益的影響;依照本法規定可(kě)以不向個人告知的除外。
a第三十一條 個人信息處理(lǐ)者處理(lǐ)不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他(tā)監護人的同意。
a個人信息處理(lǐ)者處理(lǐ)不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理(lǐ)規則。
a第三十二條 法律、行政法規對處理(lǐ)敏感個人信息規定應當取得相關行政許可(kě)或者作(zuò)出其他(tā)限制的,從其規定。
第三節 國(guó)家機關處理(lǐ)個人信息的特别規定
a第三十三條 國(guó)家機關處理(lǐ)個人信息的活動,适用(yòng)本法;本節有(yǒu)特别規定的,适用(yòng)本節規定。
a第三十四條 國(guó)家機關為(wèi)履行法定職責處理(lǐ)個人信息,應當依照法律、行政法規規定的權限、程序進行,不得超出履行法定職責所必需的範圍和限度。
a第三十五條 國(guó)家機關為(wèi)履行法定職責處理(lǐ)個人信息,應當依照本法規定履行告知義務(wù);有(yǒu)本法第十八條第一款規定的情形,或者告知将妨礙國(guó)家機關履行法定職責的除外。
a第三十六條 國(guó)家機關處理(lǐ)的個人信息應當在中(zhōng)華人民(mín)共和國(guó)境内存儲;确需向境外提供的,應當進行安(ān)全評估。安(ān)全評估可(kě)以要求有(yǒu)關部門提供支持與協助。
a第三十七條 法律、法規授權的具(jù)有(yǒu)管理(lǐ)公(gōng)共事務(wù)職能(néng)的組織為(wèi)履行法定職責處理(lǐ)個人信息,适用(yòng)本法關于國(guó)家機關處理(lǐ)個人信息的規定。
第三章 個人信息跨境提供的規則
a第三十八條 個人信息處理(lǐ)者因業務(wù)等需要,确需向中(zhōng)華人民(mín)共和國(guó)境外提供個人信息的,應當具(jù)備下列條件之一:
a(一)依照本法第四十條的規定通過國(guó)家網信部門組織的安(ān)全評估;
a(二)按照國(guó)家網信部門的規定經專業機構進行個人信息保護認證;
a(三)按照國(guó)家網信部門制定的标準合同與境外接收方訂立合同,約定雙方的權利和義務(wù);
a(四)法律、行政法規或者國(guó)家網信部門規定的其他(tā)條件。
a中(zhōng)華人民(mín)共和國(guó)締結或者參加的國(guó)際條約、協定對向中(zhōng)華人民(mín)共和國(guó)境外提供個人信息的條件等有(yǒu)規定的,可(kě)以按照其規定執行。
a個人信息處理(lǐ)者應當采取必要措施,保障境外接收方處理(lǐ)個人信息的活動達到本法規定的個人信息保護标準。
a第三十九條 個人信息處理(lǐ)者向中(zhōng)華人民(mín)共和國(guó)境外提供個人信息的,應當向個人告知境外接收方的名(míng)稱或者姓名(míng)、聯系方式、處理(lǐ)目的、處理(lǐ)方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,并取得個人的單獨同意。
a第四十條 關鍵信息基礎設施運營者和處理(lǐ)個人信息達到國(guó)家網信部門規定數量的個人信息處理(lǐ)者,應當将在中(zhōng)華人民(mín)共和國(guó)境内收集和産(chǎn)生的個人信息存儲在境内。确需向境外提供的,應當通過國(guó)家網信部門組織的安(ān)全評估;法律、行政法規和國(guó)家網信部門規定可(kě)以不進行安(ān)全評估的,從其規定。
a第四十一條 中(zhōng)華人民(mín)共和國(guó)主管機關根據有(yǒu)關法律和中(zhōng)華人民(mín)共和國(guó)締結或者參加的國(guó)際條約、協定,或者按照平等互惠原則,處理(lǐ)外國(guó)司法或者執法機構關于提供存儲于境内個人信息的請求。非經中(zhōng)華人民(mín)共和國(guó)主管機關批準,個人信息處理(lǐ)者不得向外國(guó)司法或者執法機構提供存儲于中(zhōng)華人民(mín)共和國(guó)境内的個人信息。
a第四十二條 境外的組織、個人從事侵害中(zhōng)華人民(mín)共和國(guó)公(gōng)民(mín)的個人信息權益,或者危害中(zhōng)華人民(mín)共和國(guó)國(guó)家安(ān)全、公(gōng)共利益的個人信息處理(lǐ)活動的,國(guó)家網信部門可(kě)以将其列入限制或者禁止個人信息提供清單,予以公(gōng)告,并采取限制或者禁止向其提供個人信息等措施。
a第四十三條 任何國(guó)家或者地區(qū)在個人信息保護方面對中(zhōng)華人民(mín)共和國(guó)采取歧視性的禁止、限制或者其他(tā)類似措施的,中(zhōng)華人民(mín)共和國(guó)可(kě)以根據實際情況對該國(guó)家或者地區(qū)對等采取措施。
第四章 個人在個人信息處理(lǐ)活動中(zhōng)的權利
a第四十四條 個人對其個人信息的處理(lǐ)享有(yǒu)知情權、決定權,有(yǒu)權限制或者拒絕他(tā)人對其個人信息進行處理(lǐ);法律、行政法規另有(yǒu)規定的除外。
a第四十五條 個人有(yǒu)權向個人信息處理(lǐ)者查閱、複制其個人信息;有(yǒu)本法第十八條第一款、第三十五條規定情形的除外。
a個人請求查閱、複制其個人信息的,個人信息處理(lǐ)者應當及時提供。
a個人請求将個人信息轉移至其指定的個人信息處理(lǐ)者,符合國(guó)家網信部門規定條件的,個人信息處理(lǐ)者應當提供轉移的途徑。
a第四十六條 個人發現其個人信息不準确或者不完整的,有(yǒu)權請求個人信息處理(lǐ)者更正、補充。
a個人請求更正、補充其個人信息的,個人信息處理(lǐ)者應當對其個人信息予以核實,并及時更正、補充。
a第四十七條 有(yǒu)下列情形之一的,個人信息處理(lǐ)者應當主動删除個人信息;個人信息處理(lǐ)者未删除的,個人有(yǒu)權請求删除:
a(一)處理(lǐ)目的已實現、無法實現或者為(wèi)實現處理(lǐ)目的不再必要;
a(二)個人信息處理(lǐ)者停止提供産(chǎn)品或者服務(wù),或者保存期限已屆滿;
a(三)個人撤回同意;
a(四)個人信息處理(lǐ)者違反法律、行政法規或者違反約定處理(lǐ)個人信息;
a(五)法律、行政法規規定的其他(tā)情形。
a法律、行政法規規定的保存期限未屆滿,或者删除個人信息從技(jì )術上難以實現的,個人信息處理(lǐ)者應當停止除存儲和采取必要的安(ān)全保護措施之外的處理(lǐ)。
a第四十八條 個人有(yǒu)權要求個人信息處理(lǐ)者對其個人信息處理(lǐ)規則進行解釋說明。
a第四十九條 自然人死亡的,其近親屬為(wèi)了自身的合法、正當利益,可(kě)以對死者的相關個人信息行使本章規定的查閱、複制、更正、删除等權利;死者生前另有(yǒu)安(ān)排的除外。
a第五十條 個人信息處理(lǐ)者應當建立便捷的個人行使權利的申請受理(lǐ)和處理(lǐ)機制。拒絕個人行使權利的請求的,應當說明理(lǐ)由。
a個人信息處理(lǐ)者拒絕個人行使權利的請求的,個人可(kě)以依法向人民(mín)法院提起訴訟。
第五章 個人信息處理(lǐ)者的義務(wù)
a第五十一條 個人信息處理(lǐ)者應當根據個人信息的處理(lǐ)目的、處理(lǐ)方式、個人信息的種類以及對個人權益的影響、可(kě)能(néng)存在的安(ān)全風險等,采取下列措施确保個人信息處理(lǐ)活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息洩露、篡改、丢失:
a(一)制定内部管理(lǐ)制度和操作(zuò)規程;
a(二)對個人信息實行分(fēn)類管理(lǐ);
a(三)采取相應的加密、去标識化等安(ān)全技(jì )術措施;
a(四)合理(lǐ)确定個人信息處理(lǐ)的操作(zuò)權限,并定期對從業人員進行安(ān)全教育和培訓;
a(五)制定并組織實施個人信息安(ān)全事件應急預案;
a(六)法律、行政法規規定的其他(tā)措施。
a第五十二條 處理(lǐ)個人信息達到國(guó)家網信部門規定數量的個人信息處理(lǐ)者應當指定個人信息保護負責人,負責對個人信息處理(lǐ)活動以及采取的保護措施等進行監督。
a個人信息處理(lǐ)者應當公(gōng)開個人信息保護負責人的聯系方式,并将個人信息保護負責人的姓名(míng)、聯系方式等報送履行個人信息保護職責的部門。
a第五十三條 本法第三條第二款規定的中(zhōng)華人民(mín)共和國(guó)境外的個人信息處理(lǐ)者,應當在中(zhōng)華人民(mín)共和國(guó)境内設立專門機構或者指定代表,負責處理(lǐ)個人信息保護相關事務(wù),并将有(yǒu)關機構的名(míng)稱或者代表的姓名(míng)、聯系方式等報送履行個人信息保護職責的部門。
a第五十四條 個人信息處理(lǐ)者應當定期對其處理(lǐ)個人信息遵守法律、行政法規的情況進行合規審計。
a第五十五條 有(yǒu)下列情形之一的,個人信息處理(lǐ)者應當事前進行個人信息保護影響評估,并對處理(lǐ)情況進行記錄:
a(一)處理(lǐ)敏感個人信息;
a(二)利用(yòng)個人信息進行自動化決策;
a(三)委托處理(lǐ)個人信息、向其他(tā)個人信息處理(lǐ)者提供個人信息、公(gōng)開個人信息;
a(四)向境外提供個人信息;
a(五)其他(tā)對個人權益有(yǒu)重大影響的個人信息處理(lǐ)活動。
a第五十六條 個人信息保護影響評估應當包括下列内容:
a(一)個人信息的處理(lǐ)目的、處理(lǐ)方式等是否合法、正當、必要;
a(二)對個人權益的影響及安(ān)全風險;
a(三)所采取的保護措施是否合法、有(yǒu)效并與風險程度相适應。
a個人信息保護影響評估報告和處理(lǐ)情況記錄應當至少保存三年。
a第五十七條 發生或者可(kě)能(néng)發生個人信息洩露、篡改、丢失的,個人信息處理(lǐ)者應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人。通知應當包括下列事項:
a(一)發生或者可(kě)能(néng)發生個人信息洩露、篡改、丢失的信息種類、原因和可(kě)能(néng)造成的危害;
a(二)個人信息處理(lǐ)者采取的補救措施和個人可(kě)以采取的減輕危害的措施;
a(三)個人信息處理(lǐ)者的聯系方式。
a個人信息處理(lǐ)者采取措施能(néng)夠有(yǒu)效避免信息洩露、篡改、丢失造成危害的,個人信息處理(lǐ)者可(kě)以不通知個人;履行個人信息保護職責的部門認為(wèi)可(kě)能(néng)造成危害的,有(yǒu)權要求個人信息處理(lǐ)者通知個人。
a第五十八條 提供重要互聯網平台服務(wù)、用(yòng)戶數量巨大、業務(wù)類型複雜的個人信息處理(lǐ)者,應當履行下列義務(wù):
a(一)按照國(guó)家規定建立健全個人信息保護合規制度體(tǐ)系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;
a(二)遵循公(gōng)開、公(gōng)平、公(gōng)正的原則,制定平台規則,明确平台内産(chǎn)品或者服務(wù)提供者處理(lǐ)個人信息的規範和保護個人信息的義務(wù);
a(三)對嚴重違反法律、行政法規處理(lǐ)個人信息的平台内的産(chǎn)品或者服務(wù)提供者,停止提供服務(wù);
a(四)定期發布個人信息保護社會責任報告,接受社會監督。
a第五十九條 接受委托處理(lǐ)個人信息的受托人,應當依照本法和有(yǒu)關法律、行政法規的規定,采取必要措施保障所處理(lǐ)的個人信息的安(ān)全,并協助個人信息處理(lǐ)者履行本法規定的義務(wù)。
第六章 履行個人信息保護職責的部門
a第六十條 國(guó)家網信部門負責統籌協調個人信息保護工(gōng)作(zuò)和相關監督管理(lǐ)工(gōng)作(zuò)。國(guó)務(wù)院有(yǒu)關部門依照本法和有(yǒu)關法律、行政法規的規定,在各自職責範圍内負責個人信息保護和監督管理(lǐ)工(gōng)作(zuò)。
a縣級以上地方人民(mín)政府有(yǒu)關部門的個人信息保護和監督管理(lǐ)職責,按照國(guó)家有(yǒu)關規定确定。
a前兩款規定的部門統稱為(wèi)履行個人信息保護職責的部門。
a第六十一條 履行個人信息保護職責的部門履行下列個人信息保護職責:
a(一)開展個人信息保護宣傳教育,指導、監督個人信息處理(lǐ)者開展個人信息保護工(gōng)作(zuò);
a(二)接受、處理(lǐ)與個人信息保護有(yǒu)關的投訴、舉報;
a(三)組織對應用(yòng)程序等個人信息保護情況進行測評,并公(gōng)布測評結果;
a(四)調查、處理(lǐ)違法個人信息處理(lǐ)活動;
a(五)法律、行政法規規定的其他(tā)職責。
a第六十二條 國(guó)家網信部門統籌協調有(yǒu)關部門依據本法推進下列個人信息保護工(gōng)作(zuò):
a(一)制定個人信息保護具(jù)體(tǐ)規則、标準;
a(二)針對小(xiǎo)型個人信息處理(lǐ)者、處理(lǐ)敏感個人信息以及人臉識别、人工(gōng)智能(néng)等新(xīn)技(jì )術、新(xīn)應用(yòng),制定專門的個人信息保護規則、标準;
a(三)支持研究開發和推廣應用(yòng)安(ān)全、方便的電(diàn)子身份認證技(jì )術,推進網絡身份認證公(gōng)共服務(wù)建設;
a(四)推進個人信息保護社會化服務(wù)體(tǐ)系建設,支持有(yǒu)關機構開展個人信息保護評估、認證服務(wù);
a(五)完善個人信息保護投訴、舉報工(gōng)作(zuò)機制。
a第六十三條 履行個人信息保護職責的部門履行個人信息保護職責,可(kě)以采取下列措施:
a(一)詢問有(yǒu)關當事人,調查與個人信息處理(lǐ)活動有(yǒu)關的情況;
a(二)查閱、複制當事人與個人信息處理(lǐ)活動有(yǒu)關的合同、記錄、賬簿以及其他(tā)有(yǒu)關資料;
a(三)實施現場檢查,對涉嫌違法的個人信息處理(lǐ)活動進行調查;
a(四)檢查與個人信息處理(lǐ)活動有(yǒu)關的設備、物(wù)品;對有(yǒu)證據證明是用(yòng)于違法個人信息處理(lǐ)活動的設備、物(wù)品,向本部門主要負責人書面報告并經批準,可(kě)以查封或者扣押。
a履行個人信息保護職責的部門依法履行職責,當事人應當予以協助、配合,不得拒絕、阻撓。
a第六十四條 履行個人信息保護職責的部門在履行職責中(zhōng),發現個人信息處理(lǐ)活動存在較大風險或者發生個人信息安(ān)全事件的,可(kě)以按照規定的權限和程序對該個人信息處理(lǐ)者的法定代表人或者主要負責人進行約談,或者要求個人信息處理(lǐ)者委托專業機構對其個人信息處理(lǐ)活動進行合規審計。個人信息處理(lǐ)者應當按照要求采取措施,進行整改,消除隐患。
a履行個人信息保護職責的部門在履行職責中(zhōng),發現違法處理(lǐ)個人信息涉嫌犯罪的,應當及時移送公(gōng)安(ān)機關依法處理(lǐ)。
a第六十五條 任何組織、個人有(yǒu)權對違法個人信息處理(lǐ)活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理(lǐ),并将處理(lǐ)結果告知投訴、舉報人。
a履行個人信息保護職責的部門應當公(gōng)布接受投訴、舉報的聯系方式。
第七章 法律責任
a第六十六條 違反本法規定處理(lǐ)個人信息,或者處理(lǐ)個人信息未履行本法規定的個人信息保護義務(wù)的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理(lǐ)個人信息的應用(yòng)程序,責令暫停或者終止提供服務(wù);拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他(tā)直接責任人員處一萬元以上十萬元以下罰款。
a有(yǒu)前款規定的違法行為(wèi),情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分(fēn)之五以下罰款,并可(kě)以責令暫停相關業務(wù)或者停業整頓、通報有(yǒu)關主管部門吊銷相關業務(wù)許可(kě)或者吊銷營業執照;對直接負責的主管人員和其他(tā)直接責任人員處十萬元以上一百萬元以下罰款,并可(kě)以決定禁止其在一定期限内擔任相關企業的董事、監事、高級管理(lǐ)人員和個人信息保護負責人。
a第六十七條 有(yǒu)本法規定的違法行為(wèi)的,依照有(yǒu)關法律、行政法規的規定記入信用(yòng)檔案,并予以公(gōng)示。
a第六十八條 國(guó)家機關不履行本法規定的個人信息保護義務(wù)的,由其上級機關或者履行個人信息保護職責的部門責令改正;對直接負責的主管人員和其他(tā)直接責任人員依法給予處分(fēn)。
a履行個人信息保護職責的部門的工(gōng)作(zuò)人員玩忽職守、濫用(yòng)職權、徇私舞弊,尚不構成犯罪的,依法給予處分(fēn)。
a第六十九條 處理(lǐ)個人信息侵害個人信息權益造成損害,個人信息處理(lǐ)者不能(néng)證明自己沒有(yǒu)過錯的,應當承擔損害賠償等侵權責任。
a前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理(lǐ)者因此獲得的利益确定;個人因此受到的損失和個人信息處理(lǐ)者因此獲得的利益難以确定的,根據實際情況确定賠償數額。
a第七十條 個人信息處理(lǐ)者違反本法規定處理(lǐ)個人信息,侵害衆多(duō)個人的權益的,人民(mín)檢察院、法律規定的消費者組織和由國(guó)家網信部門确定的組織可(kě)以依法向人民(mín)法院提起訴訟。
a第七十一條 違反本法規定,構成違反治安(ān)管理(lǐ)行為(wèi)的,依法給予治安(ān)管理(lǐ)處罰;構成犯罪的,依法追究刑事責任。
第八章 附則
a第七十二條 自然人因個人或者家庭事務(wù)處理(lǐ)個人信息的,不适用(yòng)本法。
a法律對各級人民(mín)政府及其有(yǒu)關部門組織實施的統計、檔案管理(lǐ)活動中(zhōng)的個人信息處理(lǐ)有(yǒu)規定的,适用(yòng)其規定。
a第七十三條 本法下列用(yòng)語的含義:
a(一)個人信息處理(lǐ)者,是指在個人信息處理(lǐ)活動中(zhōng)自主決定處理(lǐ)目的、處理(lǐ)方式的組織、個人。
a(二)自動化決策,是指通過計算機程序自動分(fēn)析、評估個人的行為(wèi)習慣、興趣愛好或者經濟、健康、信用(yòng)狀況等,并進行決策的活動。
a(三)去标識化,是指個人信息經過處理(lǐ),使其在不借助額外信息的情況下無法識别特定自然人的過程。
a(四)匿名(míng)化,是指個人信息經過處理(lǐ)無法識别特定自然人且不能(néng)複原的過程。
a第七十四條 本法自2021年11月1日起施行。