國家保密局網(wǎng)站>>政策法規>>法律法規

中華人民共和國個(gè)人信息保護法

2021年09月03日    來(lái)源:政策法規司【字體: 打印

(2021年8月20日第十三屆全國人民代表大會(huì )常務(wù)委員會(huì )第三十次會(huì )議通過(guò))

 

目錄

第一章 總則

第二章 個(gè)人信息處理規則

第一節 一般規定

第二節 敏感個(gè)人信息的處理規則

第三節 國家機關(guān)處理個(gè)人信息的特別規定

第三章 個(gè)人信息跨境提供的規則

第四章 個(gè)人在個(gè)人信息處理活動(dòng)中的權利

第五章 個(gè)人信息處理者的義務(wù)

第六章 履行個(gè)人信息保護職責的部門(mén)

第七章 法律責任

第八章 附則

第一章 總則

第一條 為了保護個(gè)人信息權益,規范個(gè)人信息處理活動(dòng),促進(jìn)個(gè)人信息合理利用,根據憲法,制定本法。

第二條 自然人的個(gè)人信息受法律保護,任何組織、個(gè)人不得侵害自然人的個(gè)人信息權益。

第三條 在中華人民共和國境內處理自然人個(gè)人信息的活動(dòng),適用本法。

在中華人民共和國境外處理中華人民共和國境內自然人個(gè)人信息的活動(dòng),有下列情形之一的,也適用本法:

(一)以向境內自然人提供產(chǎn)品或者服務(wù)為目的;

(二)分析、評估境內自然人的行為;

(三)法律、行政法規規定的其他情形。

第四條 個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。

個(gè)人信息的處理包括個(gè)人信息的收集、存儲、使用、加工、傳輸、提供、公開(kāi)、刪除等。

第五條 處理個(gè)人信息應當遵循合法、正當、必要和誠信原則,不得通過(guò)誤導、欺詐、脅迫等方式處理個(gè)人信息。

第六條 處理個(gè)人信息應當具有明確、合理的目的,并應當與處理目的直接相關(guān),采取對個(gè)人權益影響最小的方式。

收集個(gè)人信息,應當限于實(shí)現處理目的的最小范圍,不得過(guò)度收集個(gè)人信息。

第七條 處理個(gè)人信息應當遵循公開(kāi)、透明原則,公開(kāi)個(gè)人信息處理規則,明示處理的目的、方式和范圍。

第八條 處理個(gè)人信息應當保證個(gè)人信息的質(zhì)量,避免因個(gè)人信息不準確、不完整對個(gè)人權益造成不利影響。

第九條 個(gè)人信息處理者應當對其個(gè)人信息處理活動(dòng)負責,并采取必要措施保障所處理的個(gè)人信息的安全。

第十條 任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息,不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息;不得從事危害國家安全、公共利益的個(gè)人信息處理活動(dòng)。

第十一條 國家建立健全個(gè)人信息保護制度,預防和懲治侵害個(gè)人信息權益的行為,加強個(gè)人信息保護宣傳教育,推動(dòng)形成政府、企業(yè)、相關(guān)社會(huì )組織、公眾共同參與個(gè)人信息保護的良好環(huán)境。

第十二條 國家積極參與個(gè)人信息保護國際規則的制定,促進(jìn)個(gè)人信息保護方面的國際交流與合作,推動(dòng)與其他國家、地區、國際組織之間的個(gè)人信息保護規則、標準等互認。

第二章 個(gè)人信息處理規則

第一節 一般規定

第十三條 符合下列情形之一的,個(gè)人信息處理者方可處理個(gè)人信息:

(一)取得個(gè)人的同意;

(二)為訂立、履行個(gè)人作為一方當事人的合同所必需,或者按照依法制定的勞動(dòng)規章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需;

(三)為履行法定職責或者法定義務(wù)所必需;

(四)為應對突發(fā)公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需;

(五)為公共利益實(shí)施新聞報道、輿論監督等行為,在合理的范圍內處理個(gè)人信息;

(六)依照本法規定在合理的范圍內處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息;

(七)法律、行政法規規定的其他情形。

依照本法其他有關(guān)規定,處理個(gè)人信息應當取得個(gè)人同意,但是有前款第二項至第七項規定情形的,不需取得個(gè)人同意。

第十四條 基于個(gè)人同意處理個(gè)人信息的,該同意應當由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個(gè)人信息應當取得個(gè)人單獨同意或者書(shū)面同意的,從其規定。

個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類(lèi)發(fā)生變更的,應當重新取得個(gè)人同意。

第十五條 基于個(gè)人同意處理個(gè)人信息的,個(gè)人有權撤回其同意。個(gè)人信息處理者應當提供便捷的撤回同意的方式。

個(gè)人撤回同意,不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力。

第十六條 個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務(wù);處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。

第十七條 個(gè)人信息處理者在處理個(gè)人信息前,應當以顯著(zhù)方式、清晰易懂的語(yǔ)言真實(shí)、準確、完整地向個(gè)人告知下列事項:

(一)個(gè)人信息處理者的名稱(chēng)或者姓名和聯(lián)系方式;

(二)個(gè)人信息的處理目的、處理方式,處理的個(gè)人信息種類(lèi)、保存期限;

(三)個(gè)人行使本法規定權利的方式和程序;

(四)法律、行政法規規定應當告知的其他事項。

前款規定事項發(fā)生變更的,應當將變更部分告知個(gè)人。

個(gè)人信息處理者通過(guò)制定個(gè)人信息處理規則的方式告知第一款規定事項的,處理規則應當公開(kāi),并且便于查閱和保存。

第十八條 個(gè)人信息處理者處理個(gè)人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個(gè)人告知前條第一款規定的事項。

緊急情況下為保護自然人的生命健康和財產(chǎn)安全無(wú)法及時(shí)向個(gè)人告知的,個(gè)人信息處理者應當在緊急情況消除后及時(shí)告知。

第十九條 除法律、行政法規另有規定外,個(gè)人信息的保存期限應當為實(shí)現處理目的所必要的最短時(shí)間。

第二十條 兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的,應當約定各自的權利和義務(wù)。但是,該約定不影響個(gè)人向其中任何一個(gè)個(gè)人信息處理者要求行使本法規定的權利。

個(gè)人信息處理者共同處理個(gè)人信息,侵害個(gè)人信息權益造成損害的,應當依法承擔連帶責任。

第二十一條 個(gè)人信息處理者委托處理個(gè)人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個(gè)人信息的種類(lèi)、保護措施以及雙方的權利和義務(wù)等,并對受托人的個(gè)人信息處理活動(dòng)進(jìn)行監督。

受托人應當按照約定處理個(gè)人信息,不得超出約定的處理目的、處理方式等處理個(gè)人信息;委托合同不生效、無(wú)效、被撤銷(xiāo)或者終止的,受托人應當將個(gè)人信息返還個(gè)人信息處理者或者予以刪除,不得保留。

未經(jīng)個(gè)人信息處理者同意,受托人不得轉委托他人處理個(gè)人信息。

第二十二條 個(gè)人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉移個(gè)人信息的,應當向個(gè)人告知接收方的名稱(chēng)或者姓名和聯(lián)系方式。接收方應當繼續履行個(gè)人信息處理者的義務(wù)。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個(gè)人同意。

第二十三條 個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的,應當向個(gè)人告知接收方的名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類(lèi),并取得個(gè)人的單獨同意。接收方應當在上述處理目的、處理方式和個(gè)人信息的種類(lèi)等范圍內處理個(gè)人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個(gè)人同意。

第二十四條 個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策,應當保證決策的透明度和結果公平、公正,不得對個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷(xiāo),應當同時(shí)提供不針對其個(gè)人特征的選項,或者向個(gè)人提供便捷的拒絕方式。

通過(guò)自動(dòng)化決策方式作出對個(gè)人權益有重大影響的決定,個(gè)人有權要求個(gè)人信息處理者予以說(shuō)明,并有權拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。

第二十五條 個(gè)人信息處理者不得公開(kāi)其處理的個(gè)人信息,取得個(gè)人單獨同意的除外。

第二十六條 在公共場(chǎng)所安裝圖像采集、個(gè)人身份識別設備,應當為維護公共安全所必需,遵守國家有關(guān)規定,并設置顯著(zhù)的提示標識。所收集的個(gè)人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個(gè)人單獨同意的除外。

第二十七條 個(gè)人信息處理者可以在合理的范圍內處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息;個(gè)人明確拒絕的除外。個(gè)人信息處理者處理已公開(kāi)的個(gè)人信息,對個(gè)人權益有重大影響的,應當依照本法規定取得個(gè)人同意。

第二節 敏感個(gè)人信息的處理規則

第二十八條 敏感個(gè)人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個(gè)人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶(hù)、行蹤軌跡等信息,以及不滿(mǎn)十四周歲未成年人的個(gè)人信息。

只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個(gè)人信息處理者方可處理敏感個(gè)人信息。

第二十九條 處理敏感個(gè)人信息應當取得個(gè)人的單獨同意;法律、行政法規規定處理敏感個(gè)人信息應當取得書(shū)面同意的,從其規定。

第三十條 個(gè)人信息處理者處理敏感個(gè)人信息的,除本法第十七條第一款規定的事項外,還應當向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權益的影響;依照本法規定可以不向個(gè)人告知的除外。

第三十一條 個(gè)人信息處理者處理不滿(mǎn)十四周歲未成年人個(gè)人信息的,應當取得未成年人的父母或者其他監護人的同意。

個(gè)人信息處理者處理不滿(mǎn)十四周歲未成年人個(gè)人信息的,應當制定專(zhuān)門(mén)的個(gè)人信息處理規則。

第三十二條 法律、行政法規對處理敏感個(gè)人信息規定應當取得相關(guān)行政許可或者作出其他限制的,從其規定。

第三節 國家機關(guān)處理個(gè)人信息的特別規定

第三十三條 國家機關(guān)處理個(gè)人信息的活動(dòng),適用本法;本節有特別規定的,適用本節規定。

第三十四條 國家機關(guān)為履行法定職責處理個(gè)人信息,應當依照法律、行政法規規定的權限、程序進(jìn)行,不得超出履行法定職責所必需的范圍和限度。

第三十五條 國家機關(guān)為履行法定職責處理個(gè)人信息,應當依照本法規定履行告知義務(wù);有本法第十八條第一款規定的情形,或者告知將妨礙國家機關(guān)履行法定職責的除外。

第三十六條 國家機關(guān)處理的個(gè)人信息應當在中華人民共和國境內存儲;確需向境外提供的,應當進(jìn)行安全評估。安全評估可以要求有關(guān)部門(mén)提供支持與協(xié)助。

第三十七條 法律、法規授權的具有管理公共事務(wù)職能的組織為履行法定職責處理個(gè)人信息,適用本法關(guān)于國家機關(guān)處理個(gè)人信息的規定。

第三章 個(gè)人信息跨境提供的規則

第三十八條 個(gè)人信息處理者因業(yè)務(wù)等需要,確需向中華人民共和國境外提供個(gè)人信息的,應當具備下列條件之一:

(一)依照本法第四十條的規定通過(guò)國家網(wǎng)信部門(mén)組織的安全評估;

(二)按照國家網(wǎng)信部門(mén)的規定經(jīng)專(zhuān)業(yè)機構進(jìn)行個(gè)人信息保護認證;

(三)按照國家網(wǎng)信部門(mén)制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務(wù);

(四)法律、行政法規或者國家網(wǎng)信部門(mén)規定的其他條件。

中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個(gè)人信息的條件等有規定的,可以按照其規定執行。

個(gè)人信息處理者應當采取必要措施,保障境外接收方處理個(gè)人信息的活動(dòng)達到本法規定的個(gè)人信息保護標準。

第三十九條 個(gè)人信息處理者向中華人民共和國境外提供個(gè)人信息的,應當向個(gè)人告知境外接收方的名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類(lèi)以及個(gè)人向境外接收方行使本法規定權利的方式和程序等事項,并取得個(gè)人的單獨同意。

第四十條 關(guān)鍵信息基礎設施運營(yíng)者和處理個(gè)人信息達到國家網(wǎng)信部門(mén)規定數量的個(gè)人信息處理者,應當將在中華人民共和國境內收集和產(chǎn)生的個(gè)人信息存儲在境內。確需向境外提供的,應當通過(guò)國家網(wǎng)信部門(mén)組織的安全評估;法律、行政法規和國家網(wǎng)信部門(mén)規定可以不進(jìn)行安全評估的,從其規定。

第四十一條 中華人民共和國主管機關(guān)根據有關(guān)法律和中華人民共和國締結或者參加的國際條約、協(xié)定,或者按照平等互惠原則,處理外國司法或者執法機構關(guān)于提供存儲于境內個(gè)人信息的請求。非經(jīng)中華人民共和國主管機關(guān)批準,個(gè)人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個(gè)人信息。

第四十二條 境外的組織、個(gè)人從事侵害中華人民共和國公民的個(gè)人信息權益,或者危害中華人民共和國國家安全、公共利益的個(gè)人信息處理活動(dòng)的,國家網(wǎng)信部門(mén)可以將其列入限制或者禁止個(gè)人信息提供清單,予以公告,并采取限制或者禁止向其提供個(gè)人信息等措施。

第四十三條 任何國家或者地區在個(gè)人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類(lèi)似措施的,中華人民共和國可以根據實(shí)際情況對該國家或者地區對等采取措施。

第四章 個(gè)人在個(gè)人信息處理活動(dòng)中的權利

第四十四條 個(gè)人對其個(gè)人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個(gè)人信息進(jìn)行處理;法律、行政法規另有規定的除外。

第四十五條 個(gè)人有權向個(gè)人信息處理者查閱、復制其個(gè)人信息;有本法第十八條第一款、第三十五條規定情形的除外。

個(gè)人請求查閱、復制其個(gè)人信息的,個(gè)人信息處理者應當及時(shí)提供。

個(gè)人請求將個(gè)人信息轉移至其指定的個(gè)人信息處理者,符合國家網(wǎng)信部門(mén)規定條件的,個(gè)人信息處理者應當提供轉移的途徑。

第四十六條 個(gè)人發(fā)現其個(gè)人信息不準確或者不完整的,有權請求個(gè)人信息處理者更正、補充。

個(gè)人請求更正、補充其個(gè)人信息的,個(gè)人信息處理者應當對其個(gè)人信息予以核實(shí),并及時(shí)更正、補充。

第四十七條 有下列情形之一的,個(gè)人信息處理者應當主動(dòng)刪除個(gè)人信息;個(gè)人信息處理者未刪除的,個(gè)人有權請求刪除:

(一)處理目的已實(shí)現、無(wú)法實(shí)現或者為實(shí)現處理目的不再必要;

(二)個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù),或者保存期限已屆滿(mǎn);

(三)個(gè)人撤回同意;

(四)個(gè)人信息處理者違反法律、行政法規或者違反約定處理個(gè)人信息;

(五)法律、行政法規規定的其他情形。

法律、行政法規規定的保存期限未屆滿(mǎn),或者刪除個(gè)人信息從技術(shù)上難以實(shí)現的,個(gè)人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。

第四十八條 個(gè)人有權要求個(gè)人信息處理者對其個(gè)人信息處理規則進(jìn)行解釋說(shuō)明。

第四十九條 自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的相關(guān)個(gè)人信息行使本章規定的查閱、復制、更正、刪除等權利;死者生前另有安排的除外。

第五十條 個(gè)人信息處理者應當建立便捷的個(gè)人行使權利的申請受理和處理機制。拒絕個(gè)人行使權利的請求的,應當說(shuō)明理由。

個(gè)人信息處理者拒絕個(gè)人行使權利的請求的,個(gè)人可以依法向人民法院提起訴訟。

第五章 個(gè)人信息處理者的義務(wù)

第五十一條 個(gè)人信息處理者應當根據個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類(lèi)以及對個(gè)人權益的影響、可能存在的安全風(fēng)險等,采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規的規定,并防止未經(jīng)授權的訪(fǎng)問(wèn)以及個(gè)人信息泄露、篡改、丟失:

(一)制定內部管理制度和操作規程;

(二)對個(gè)人信息實(shí)行分類(lèi)管理;

(三)采取相應的加密、去標識化等安全技術(shù)措施;

(四)合理確定個(gè)人信息處理的操作權限,并定期對從業(yè)人員進(jìn)行安全教育和培訓;

(五)制定并組織實(shí)施個(gè)人信息安全事件應急預案;

(六)法律、行政法規規定的其他措施。

第五十二條 處理個(gè)人信息達到國家網(wǎng)信部門(mén)規定數量的個(gè)人信息處理者應當指定個(gè)人信息保護負責人,負責對個(gè)人信息處理活動(dòng)以及采取的保護措施等進(jìn)行監督。

個(gè)人信息處理者應當公開(kāi)個(gè)人信息保護負責人的聯(lián)系方式,并將個(gè)人信息保護負責人的姓名、聯(lián)系方式等報送履行個(gè)人信息保護職責的部門(mén)。

第五十三條 本法第三條第二款規定的中華人民共和國境外的個(gè)人信息處理者,應當在中華人民共和國境內設立專(zhuān)門(mén)機構或者指定代表,負責處理個(gè)人信息保護相關(guān)事務(wù),并將有關(guān)機構的名稱(chēng)或者代表的姓名、聯(lián)系方式等報送履行個(gè)人信息保護職責的部門(mén)。

第五十四條 個(gè)人信息處理者應當定期對其處理個(gè)人信息遵守法律、行政法規的情況進(jìn)行合規審計。

第五十五條 有下列情形之一的,個(gè)人信息處理者應當事前進(jìn)行個(gè)人信息保護影響評估,并對處理情況進(jìn)行記錄:

(一)處理敏感個(gè)人信息;

(二)利用個(gè)人信息進(jìn)行自動(dòng)化決策;

(三)委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開(kāi)個(gè)人信息;

(四)向境外提供個(gè)人信息;

(五)其他對個(gè)人權益有重大影響的個(gè)人信息處理活動(dòng)。

第五十六條 個(gè)人信息保護影響評估應當包括下列內容:

(一)個(gè)人信息的處理目的、處理方式等是否合法、正當、必要;

(二)對個(gè)人權益的影響及安全風(fēng)險;

(三)所采取的保護措施是否合法、有效并與風(fēng)險程度相適應。

個(gè)人信息保護影響評估報告和處理情況記錄應當至少保存三年。

第五十七條 發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的,個(gè)人信息處理者應當立即采取補救措施,并通知履行個(gè)人信息保護職責的部門(mén)和個(gè)人。通知應當包括下列事項:

(一)發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的信息種類(lèi)、原因和可能造成的危害;

(二)個(gè)人信息處理者采取的補救措施和個(gè)人可以采取的減輕危害的措施;

(三)個(gè)人信息處理者的聯(lián)系方式。

個(gè)人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的,個(gè)人信息處理者可以不通知個(gè)人;履行個(gè)人信息保護職責的部門(mén)認為可能造成危害的,有權要求個(gè)人信息處理者通知個(gè)人。

第五十八條 提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶(hù)數量巨大、業(yè)務(wù)類(lèi)型復雜的個(gè)人信息處理者,應當履行下列義務(wù):

(一)按照國家規定建立健全個(gè)人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個(gè)人信息保護情況進(jìn)行監督;

(二)遵循公開(kāi)、公平、公正的原則,制定平臺規則,明確平臺內產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規范和保護個(gè)人信息的義務(wù);

(三)對嚴重違反法律、行政法規處理個(gè)人信息的平臺內的產(chǎn)品或者服務(wù)提供者,停止提供服務(wù);

(四)定期發(fā)布個(gè)人信息保護社會(huì )責任報告,接受社會(huì )監督。

第五十九條 接受委托處理個(gè)人信息的受托人,應當依照本法和有關(guān)法律、行政法規的規定,采取必要措施保障所處理的個(gè)人信息的安全,并協(xié)助個(gè)人信息處理者履行本法規定的義務(wù)。

第六章 履行個(gè)人信息保護職責的部門(mén)

第六十條 國家網(wǎng)信部門(mén)負責統籌協(xié)調個(gè)人信息保護工作和相關(guān)監督管理工作。國務(wù)院有關(guān)部門(mén)依照本法和有關(guān)法律、行政法規的規定,在各自職責范圍內負責個(gè)人信息保護和監督管理工作。

縣級以上地方人民政府有關(guān)部門(mén)的個(gè)人信息保護和監督管理職責,按照國家有關(guān)規定確定。

前兩款規定的部門(mén)統稱(chēng)為履行個(gè)人信息保護職責的部門(mén)。

第六十一條 履行個(gè)人信息保護職責的部門(mén)履行下列個(gè)人信息保護職責:

(一)開(kāi)展個(gè)人信息保護宣傳教育,指導、監督個(gè)人信息處理者開(kāi)展個(gè)人信息保護工作;

(二)接受、處理與個(gè)人信息保護有關(guān)的投訴、舉報;

(三)組織對應用程序等個(gè)人信息保護情況進(jìn)行測評,并公布測評結果;

(四)調查、處理違法個(gè)人信息處理活動(dòng);

(五)法律、行政法規規定的其他職責。

第六十二條 國家網(wǎng)信部門(mén)統籌協(xié)調有關(guān)部門(mén)依據本法推進(jìn)下列個(gè)人信息保護工作:

(一)制定個(gè)人信息保護具體規則、標準;

(二)針對小型個(gè)人信息處理者、處理敏感個(gè)人信息以及人臉識別、人工智能等新技術(shù)、新應用,制定專(zhuān)門(mén)的個(gè)人信息保護規則、標準;

(三)支持研究開(kāi)發(fā)和推廣應用安全、方便的電子身份認證技術(shù),推進(jìn)網(wǎng)絡(luò )身份認證公共服務(wù)建設;

(四)推進(jìn)個(gè)人信息保護社會(huì )化服務(wù)體系建設,支持有關(guān)機構開(kāi)展個(gè)人信息保護評估、認證服務(wù);

(五)完善個(gè)人信息保護投訴、舉報工作機制。

第六十三條 履行個(gè)人信息保護職責的部門(mén)履行個(gè)人信息保護職責,可以采取下列措施:

(一)詢(xún)問(wèn)有關(guān)當事人,調查與個(gè)人信息處理活動(dòng)有關(guān)的情況;

(二)查閱、復制當事人與個(gè)人信息處理活動(dòng)有關(guān)的合同、記錄、賬簿以及其他有關(guān)資料;

(三)實(shí)施現場(chǎng)檢查,對涉嫌違法的個(gè)人信息處理活動(dòng)進(jìn)行調查;

(四)檢查與個(gè)人信息處理活動(dòng)有關(guān)的設備、物品;對有證據證明是用于違法個(gè)人信息處理活動(dòng)的設備、物品,向本部門(mén)主要負責人書(shū)面報告并經(jīng)批準,可以查封或者扣押。

履行個(gè)人信息保護職責的部門(mén)依法履行職責,當事人應當予以協(xié)助、配合,不得拒絕、阻撓。

第六十四條 履行個(gè)人信息保護職責的部門(mén)在履行職責中,發(fā)現個(gè)人信息處理活動(dòng)存在較大風(fēng)險或者發(fā)生個(gè)人信息安全事件的,可以按照規定的權限和程序對該個(gè)人信息處理者的法定代表人或者主要負責人進(jìn)行約談,或者要求個(gè)人信息處理者委托專(zhuān)業(yè)機構對其個(gè)人信息處理活動(dòng)進(jìn)行合規審計。個(gè)人信息處理者應當按照要求采取措施,進(jìn)行整改,消除隱患。

履行個(gè)人信息保護職責的部門(mén)在履行職責中,發(fā)現違法處理個(gè)人信息涉嫌犯罪的,應當及時(shí)移送公安機關(guān)依法處理。

第六十五條 任何組織、個(gè)人有權對違法個(gè)人信息處理活動(dòng)向履行個(gè)人信息保護職責的部門(mén)進(jìn)行投訴、舉報。收到投訴、舉報的部門(mén)應當依法及時(shí)處理,并將處理結果告知投訴、舉報人。

履行個(gè)人信息保護職責的部門(mén)應當公布接受投訴、舉報的聯(lián)系方式。

第七章 法律責任

第六十六條 違反本法規定處理個(gè)人信息,或者處理個(gè)人信息未履行本法規定的個(gè)人信息保護義務(wù)的,由履行個(gè)人信息保護職責的部門(mén)責令改正,給予警告,沒(méi)收違法所得,對違法處理個(gè)人信息的應用程序,責令暫;蛘呓K止提供服務(wù);拒不改正的,并處一百萬(wàn)元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

有前款規定的違法行為,情節嚴重的,由省級以上履行個(gè)人信息保護職責的部門(mén)責令改正,沒(méi)收違法所得,并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款,并可以責令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門(mén)吊銷(xiāo)相關(guān)業(yè)務(wù)許可或者吊銷(xiāo)營(yíng)業(yè)執照;對直接負責的主管人員和其他直接責任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款,并可以決定禁止其在一定期限內擔任相關(guān)企業(yè)的董事、監事、高級管理人員和個(gè)人信息保護負責人。

第六十七條 有本法規定的違法行為的,依照有關(guān)法律、行政法規的規定記入信用檔案,并予以公示。

第六十八條 國家機關(guān)不履行本法規定的個(gè)人信息保護義務(wù)的,由其上級機關(guān)或者履行個(gè)人信息保護職責的部門(mén)責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。

履行個(gè)人信息保護職責的部門(mén)的工作人員玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予處分。

第六十九條 處理個(gè)人信息侵害個(gè)人信息權益造成損害,個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯的,應當承擔損害賠償等侵權責任。

前款規定的損害賠償責任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定;個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的,根據實(shí)際情況確定賠償數額。

第七十條 個(gè)人信息處理者違反本法規定處理個(gè)人信息,侵害眾多個(gè)人的權益的,人民檢察院、法律規定的消費者組織和由國家網(wǎng)信部門(mén)確定的組織可以依法向人民法院提起訴訟。

第七十一條 違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。

第八章 附則

第七十二條 自然人因個(gè)人或者家庭事務(wù)處理個(gè)人信息的,不適用本法。

法律對各級人民政府及其有關(guān)部門(mén)組織實(shí)施的統計、檔案管理活動(dòng)中的個(gè)人信息處理有規定的,適用其規定。

第七十三條 本法下列用語(yǔ)的含義:

(一)個(gè)人信息處理者,是指在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。

(二)自動(dòng)化決策,是指通過(guò)計算機程序自動(dòng)分析、評估個(gè)人的行為習慣、興趣愛(ài)好或者經(jīng)濟、健康、信用狀況等,并進(jìn)行決策的活動(dòng)。

(三)去標識化,是指個(gè)人信息經(jīng)過(guò)處理,使其在不借助額外信息的情況下無(wú)法識別特定自然人的過(guò)程。

(四)匿名化,是指個(gè)人信息經(jīng)過(guò)處理無(wú)法識別特定自然人且不能復原的過(guò)程。

第七十四條 本法自2021年11月1日起施行。