中华人民共和国主席@@令@@
第@@九十一@@号@@
《中华人民共和国个人@@信息保护法@@》已由中华人民共和国第@@十三@@届全国人民代表大会常务委员会第@@三@@十次会议于@@2021年@@8月@@20日@@通过@@,现予公布@@@@,自@@2021年@@11月@@1日@@起施行@@。
中华人民共和国主席@@ 习近平@@
2021年@@8月@@20日@@
目@@ 录@@
第@@一@@章@@ 总@@ 则@@
第@@二@@@@章@@ 个人@@信息处理规则@@@@
第@@一@@节@@ 一@@般规定@@
第@@二@@@@节@@ 敏感个人@@信息的处理规则@@@@
第@@三@@节@@ 国家机关处理个人@@信息的特别规定@@
第@@三@@章@@ 个人@@信息跨境提供@@的规则@@@@
第@@四@@章@@ 个人@@在个人@@信息处理活动中的权利@@
第@@五@@章@@ 个人@@信息处理者@@的义务@@
第@@六@@章@@ 履行个人@@信息保护职责的部门@@
第@@七@@章@@ 法律@@责任@@
第@@八章@@ 附@@ 则@@
中华人民共和国个人@@信息保护法@@
(2021年@@8月@@20日@@第@@十三@@届全国人民代表大会常务委员会第@@三@@十次会议通过@@)
第@@一@@章@@ 总@@ 则@@
第@@一@@条@@ 为了保护个人@@信息权益@@,规范个人@@信息处理活动@@,促进个人@@信息合理利用@@,根据宪法@@,制定本法@@。
第@@二@@@@条@@ 自@@然人的个人@@信息受法律@@保护@@,任何组织@@、个人@@不得侵害自@@然人的个人@@信息权益@@。
第@@三@@条@@ 在中华人民共和国境内处理自@@然人个人@@信息的活动@@,适用本法@@。
在中华人民共和国境外处理中华人民共和国境内自@@然人个人@@信息的活动@@,有下列情形之一@@的@@,也适用本法@@@@:
(一@@)以向境内自@@然人提供@@产品或者服务为目@@的@@;
(二@@)分析@@、评估境内自@@然人的行为@@;
(三@@)法律@@、行政法规规定的其他情形@@。
第@@四@@条@@ 个人@@信息是以电子或者其他方式记录@@@@的与已识别或者可识别的自@@然人有关的各种信息@@,不包括匿名化@@处理后的信息@@。
个人@@信息的处理包括个人@@信息的收集@@、存储@@、使用@@、加工@@、传输@@、提供@@、公开@@、删除等@@。
第@@五@@条@@ 处理个人@@信息应当遵循合法@@、正当@@、必要@@和诚信原则@@@@,不得通过误导@@、欺诈@@、胁迫等方式处理个人@@信息@@。
第@@六@@条@@ 处理个人@@信息应当具有明确@@、合理的目@@的@@,并应当与处理目@@的@@直接相关@@,采取对个人@@权益影响最小的方式@@。
收集个人@@信息@@,应当限于实现处理目@@的@@的最小范围@@,不得过度收集个人@@信息@@@@。
第@@七@@条@@ 处理个人@@信息应当遵循公开@@@@@@、透明原则@@@@,公开@@个人@@信息@@处理规则@@@@@@,明示处理的目@@的@@、方式和范围@@。
第@@八条@@ 处理个人@@信息应当保证个人@@信息的质量@@,避免因个人@@信息不准确@@@@、不完整对个人@@权益造成不利影响@@。
第@@九条@@ 个人@@信息处理者@@应当对其个人@@信息处理活动负责@@,并采取必要@@措施保障所处理的个人@@信息的安全@@@@。
第@@十条@@ 任何组织@@、个人@@不得非法收集@@、使用@@、加工@@、传输@@他人个人@@信息@@,不得非法买卖@@、提供@@或者公开@@他人个人@@信息@@;不得从事危害国家安全@@、公共利益的个人@@信息处理活动@@。
第@@十一@@条@@ 国家建立健全个人@@信息保护制度@@,预防和惩治侵害个人@@信息权益的行为@@,加强个人@@信息保护宣传教育@@,推动形成政府@@、企业@@、相关社会组织@@、公众共同参与个人@@信息保护的良好环境@@。
第@@十二@@条@@ 国家积极参与个人@@信息保护国际规则@@的制定@@,促进个人@@信息保护方面的国际交流与合作@@,推动与其他国家@@、地区@@、国际组织之间的个人@@信息保护规则@@@@、标@@准@@等互认@@。
第@@二@@@@章@@ 个人@@信息处理规则@@@@
第@@一@@节@@ 一@@般规定@@
第@@十三@@条@@ 符合下列情形之一@@的@@,个人@@信息处理者@@方可处理个人@@信息@@:
(一@@)取得个人@@的同意@@;
(二@@)为订立@@、履行个人@@作为一@@方当事人的合同所必需@@,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需@@;
(三@@)为履行法定职责或者法定义务所必需@@;
(四@@)为应对突发公共卫生事件@@,或者紧急情况下为保护自@@然人的生命健康@@和财产安全所必需@@;
(五@@)为公共利益实施新闻报道@@、舆论监督等行为@@,在合理的范围内处理个人@@信息@@;
(六@@)依照本法规定在合理的范围内处理个人@@自@@行公开@@或者其他已经合法公开@@的个人@@信息@@;
(七@@)法律@@、行政法规规定的其他情形@@。
依照本法其他有关规定@@,处理个人@@信息应当取得个人@@同意@@,但是@@有前款第@@二@@@@项至第@@七@@项规定情形的@@,不需取得个人@@同意@@。
第@@十四@@条@@ 基于个人@@同意处理个人@@信息的@@,该同意应当由个人@@在充分知情的前提下自@@愿@@、明确作出@@。法律@@、行政法规规定处理个人@@信息应当取得个人@@单独同意或者书面同意的@@,从其规定@@。
个人@@信息的处理目@@的@@@@、处理方式@@和处理的个人@@信息种类@@发生变更的@@,应当重新取得个人@@同意@@。
第@@十五@@条@@ 基于个人@@同意处理个人@@信息的@@,个人@@有权撤回其同意@@。个人@@信息处理者@@应当提供@@便捷的撤回同意的方式@@。
个人@@撤回同意@@,不影响撤回前基于个人@@同意已进行的个人@@信息处理活动的效力@@。
第@@十六@@条@@ 个人@@信息处理者@@不得以个人@@不同意处理其个人@@信息或者撤回同意为由@@,拒绝提供@@产品或者服务@@;处理个人@@信息属于提供@@产品或者服务所必需的除外@@。
第@@十七@@条@@ 个人@@信息处理者@@在处理个人@@信息前@@,应当以显著方式@@、清晰易懂的语言真实@@、准确@@、完整地向个人@@告知下列事项@@:
(一@@)个人@@信息处理者@@的名称或者姓名和联系方式@@@@;
(二@@)个人@@信息的处理目@@的@@@@、处理方式@@,处理的个人@@信息种类@@、保存期限@@@@;
(三@@)个人@@行使本法规定权利的方式和程序@@;
(四@@)法律@@、行政法规规定应当告知的其他事项@@。
前款规定事项发生变更的@@,应当将变更部分告知个人@@@@。
个人@@信息处理者@@通过制定个人@@信息处理规则@@@@的方式告知第@@一@@款规定事项的@@,处理规则@@应当公开@@@@,并且便于查阅@@和保存@@。
第@@十八条@@ 个人@@信息处理者@@处理个人@@信息@@,有法律@@@@、行政法规规定应当保密或者不需要告知的情形的@@,可以不向个人@@告知前条第@@一@@款规定的事项@@。
紧急情况下为保护自@@然人的生命健康@@和财产安全无法及时向个人@@告知的@@,个人@@信息处理者@@应当在紧急情况消除后及时告知@@。
第@@十九条@@ 除法律@@@@、行政法规另有规定外@@,个人@@信息的保存期限@@@@应当为实现处理目@@的@@所必要@@的最短时间@@。
第@@二@@@@十条@@ 两个以上的个人@@信息处理者@@共同决定个人@@信息的处理目@@的@@@@和处理方式@@的@@@@,应当约定各自@@的权利和义务@@。但是@@,该约定不影响个人@@向其中任何一@@个个人@@信息处理者@@要求行使本法规定的权利@@。
个人@@信息处理者@@共同处理个人@@信息@@,侵害个人@@信息权益造成损害的@@,应当依法承担连带责任@@。
第@@二@@@@十一@@条@@ 个人@@信息处理者@@委托处理个人@@信息@@的@@,应当与受托人约定委托处理的目@@的@@、期限@@、处理方式@@、个人@@信息的种类@@、保护措施以及双方的权利和义务等@@,并对受托人的个人@@信息处理活动进行监督@@。
受托人应当按照约定处理个人@@信息@@,不得超出约定的处理目@@的@@@@、处理方式@@等处理个人@@信息@@;委托合同不生效@@、无效@@、被撤销或者终止的@@,受托人应当将个人@@信息返还个人@@信息处理者@@或者予以删除@@,不得保留@@。
未经个人@@信息处理者@@同意@@,受托人不得转委托他人处理个人@@信息@@。
第@@二@@@@十二@@条@@@@ 个人@@信息处理者@@因合并@@、分立@@、解散@@、被宣告破产等原因需要转移个人@@信息的@@,应当向个人@@告知接收方的名称或者姓名@@和联系方式@@@@。接收方应当继续履行个人@@信息处理者@@的义务@@@@。接收方变更原先的处理目@@的@@@@、处理方式@@的@@,应当依照本法规定重新取得个人@@同意@@。
第@@二@@@@十三@@条@@ 个人@@信息处理者@@向其他个人@@信息处理者@@提供@@其处理的个人@@信息的@@,应当向个人@@告知接收方的名称或者姓名@@、联系方式@@、处理目@@的@@、处理方式@@和个人@@信息的种类@@@@,并取得个人@@的单独同意@@。接收方应当在上述处理目@@的@@@@、处理方式@@和个人@@信息的种类@@@@等范围内处理个人@@信息@@。接收方变更原先的处理目@@的@@@@、处理方式@@的@@,应当依照本法规定重新取得个人@@同意@@。
第@@二@@@@十四@@条@@ 个人@@信息处理者@@利用个人@@信息进行自@@动化决策@@@@@@,应当保证决策的透明度和结果公平@@@@、公正@@,不得对个人@@在交易价格等交易条件上实行不合理的差别待遇@@。
通过自@@动化决策@@方式向个人@@进行信息推送@@、商业营销@@,应当同时提供@@不针对其个人@@特征的选项@@,或者向个人@@提供@@便捷的拒绝方式@@。
通过自@@动化决策@@方式作出对个人@@权益有重大影响的@@决定@@,个人@@有权要求个人@@信息处理者@@予以说明@@,并有权拒绝个人@@信息处理者@@仅通过自@@动化决策@@的方式作出决定@@。
第@@二@@@@十五@@条@@ 个人@@信息处理者@@不得公开@@其处理的个人@@信息@@,取得个人@@单独同意的除外@@。
第@@二@@@@十六@@条@@ 在公共场所安装图像采集@@、个人@@身份识别设备@@,应当为维护公共安全所必需@@,遵守国家有关规定@@,并设置显著的提示标@@识@@。所收集的个人@@图像@@、身份识别信息只能用于维护公共安全的目@@的@@,不得用于其他目@@的@@;取得个人@@单独同意的除外@@。
第@@二@@@@十七@@条@@ 个人@@信息处理者@@可以在合理的范围内处理个人@@自@@行公开@@或者其他已经合法公开@@的个人@@信息@@;个人@@明确拒绝的除外@@。个人@@信息处理者@@处理已公开@@的个人@@信息@@,对个人@@权益有重大影响的@@,应当依照本法规定取得个人@@同意@@。
第@@二@@@@节@@ 敏感个人@@信息的处理规则@@@@
第@@二@@@@十八条@@ 敏感个人@@信息是一@@旦泄露或者非法使用@@@@,容易导致自@@然人的人格尊严受到侵害或者人身@@、财产安全受到危害的个人@@信息@@,包括生物识别@@、宗教信仰@@、特定身份@@、医疗健康@@@@、金融账户@@、行踪轨迹等信息@@,以及不满十四@@周岁未成年@@人的个人@@信息@@。
只有在具有特定的目@@的和充分的必要@@性@@,并采取严格保护措施的情形下@@,个人@@信息处理者@@方可处理敏感个人@@信息@@@@。
第@@二@@@@十九条@@ 处理敏感个人@@信息@@应当取得个人@@的单独同意@@;法律@@、行政法规规定处理敏感个人@@信息@@应当取得书面同意的@@,从其规定@@。
第@@三@@十条@@ 个人@@信息处理者@@处理敏感个人@@信息@@的@@,除本法第@@十七@@条@@第@@一@@款规定的事项外@@,还应当向个人@@告知处理敏感个人@@信息@@的必要@@性以及对个人@@权益的影响@@;依照本法规定可以不向个人@@告知的除外@@。
第@@三@@十一@@条@@ 个人@@信息处理者@@处理不满十四@@周岁未成年@@人个人@@信息的@@,应当取得未成年@@人的父母或者其他监护人的同意@@。
个人@@信息处理者@@处理不满十四@@周岁未成年@@人个人@@信息的@@,应当制定专门的个人@@信息处理规则@@@@@@。
第@@三@@十二@@条@@@@ 法律@@、行政法规对处理敏感个人@@信息@@规定应当取得相关行政许可或者作出其他限制的@@,从其规定@@。
第@@三@@节@@ 国家机关处理个人@@信息的特别规定@@
第@@三@@十三@@条@@ 国家机关处理个人@@信息的活动@@,适用本法@@;本节有特别规定的@@,适用本节规定@@。
第@@三@@十四@@条@@ 国家机关为履行法定职责处理个人@@信息@@,应当依照法律@@@@、行政法规规定的权限@@、程序进行@@,不得超出履行法定职责所必需的范围和限度@@。
第@@三@@十五@@条@@ 国家机关为履行法定职责处理个人@@信息@@,应当依照本法规定履行告知义务@@;有本法第@@十八条@@第@@一@@款@@规定的情形@@,或者告知将妨碍国家机关履行法定职责的除外@@。
第@@三@@十六@@条@@ 国家机关处理的个人@@信息应当在中华人民共和国境内存储@@@@;确需向境外提供@@的@@,应当进行安全评估@@。安全评估可以要求有关部门提供@@支持与协助@@。
第@@三@@十七@@条@@ 法律@@、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人@@信息@@,适用本法@@关于国家机关处理个人@@信息的规定@@。
第@@三@@章@@ 个人@@信息跨境提供@@的规则@@@@
第@@三@@十八条@@ 个人@@信息处理者@@因业务等需要@@,确需向中华人民共和国境外提供@@个人@@信息的@@,应当具备下列条件之一@@@@:
(一@@)依照本法第@@四@@十条@@的规定通过国家网信部门组织的安全评估@@;
(二@@)按照国家网信部门的规定经专业机构进行个人@@信息保护认证@@;
(三@@)按照国家网信部门制定的标@@准@@合同与境外接收方订立合同@@,约定双方的权利和义务@@;
(四@@)法律@@、行政法规或者国家网信部门规定的其他条件@@。
中华人民共和国缔结或者参加的国际条约@@、协定@@对向中华人民共和国境外提供@@个人@@信息的条件等有规定的@@,可以按照其规定执行@@。
个人@@信息处理者@@应当采取必要@@措施@@,保障境外接收方处理个人@@信息的活动达到本法规定的个人@@信息保护标@@准@@@@。
第@@三@@十九条@@ 个人@@信息处理者@@向中华人民共和国境外提供@@个人@@信息的@@,应当向个人@@告知境外接收方的名称或者姓名@@、联系方式@@、处理目@@的@@、处理方式@@、个人@@信息的种类@@以及个人@@向境外接收方行使本法规定权利的方式和程序等事项@@,并取得个人@@的单独同意@@。
第@@四@@十条@@ 关键信息基础设施运营者和处理个人@@信息达到国家网信部门规定数量的个人@@信息处理者@@@@,应当将在中华人民共和国境内收集和产生的个人@@信息存储@@在境内@@。确需向境外提供@@的@@,应当通过国家网信部门组织的安全评估@@;法律@@、行政法规和国家网信部门规定可以不进行安全评估的@@,从其规定@@。
第@@四@@十一@@条@@ 中华人民共和国主管机关根据有关法律@@和中华人民共和国缔结或者参加的国际条约@@@@、协定@@,或者按照平等互惠原则@@@@,处理外国司法或者执法机构关于提供@@存储@@于境内个人@@信息的请求@@。非经中华人民共和国主管机关批准@@,个人@@信息处理者@@不得向外国司法或者执法机构提供@@存储@@于中华人民共和国境内的个人@@信息@@。
第@@四@@十二@@条@@@@ 境外的组织@@、个人@@从事侵害中华人民共和国公民的个人@@信息权益@@,或者危害中华人民共和国国家安全@@、公共利益的个人@@信息处理活动@@的@@,国家网信部门可以将其列入限制或者禁止个人@@信息提供@@清单@@,予以公告@@,并采取限制或者禁止向其提供@@个人@@信息等措施@@。
第@@四@@十三@@条@@ 任何国家或者地区@@在个人@@信息保护方面对中华人民共和国采取歧视性的禁止@@、限制或者其他类似措施的@@,中华人民共和国可以根据实际情况对该国家或者地区@@对等采取措施@@。
第@@四@@章@@ 个人@@在个人@@信息处理活动中的权利@@
第@@四@@十四@@条@@ 个人@@对其个人@@信息的处理享有知情权@@、决定权@@,有权限制或者拒绝他人对其个人@@信息进行处理@@;法律@@、行政法规另有规定的除外@@。
第@@四@@十五@@条@@ 个人@@有权向个人@@信息处理者@@查阅@@@@、复制@@其个人@@信息@@;有本法第@@十八条@@第@@一@@款@@、第@@三@@十五@@条@@规定情形的除外@@。
个人@@请求查阅@@@@、复制@@其个人@@信息@@的@@,个人@@信息处理者@@应当及时提供@@@@。
个人@@请求将个人@@信息转移至其指定的个人@@信息处理者@@@@,符合国家网信部门规定条件的@@,个人@@信息处理者@@应当提供@@转移的途径@@。
第@@四@@十六@@条@@ 个人@@发现其个人@@信息不准确@@或者不完整的@@,有权请求个人@@信息处理者@@更正@@@@、补充@@。
个人@@请求更正@@@@、补充@@其个人@@信息的@@,个人@@信息处理者@@应当对其个人@@信息予以核实@@,并及时更正@@@@、补充@@。
第@@四@@十七@@条@@ 有下列情形之一@@的@@,个人@@信息处理者@@应当主动删除个人@@信息@@;个人@@信息处理者@@未删除的@@,个人@@有权请求删除@@:
(一@@)处理目@@的@@已实现@@、无法实现或者为实现处理目@@的@@不再必要@@@@;
(二@@)个人@@信息处理者@@停止提供@@产品或者服务@@,或者保存期限@@@@已届满@@;
(三@@)个人@@撤回同意@@;
(四@@)个人@@信息处理者@@违反法律@@@@、行政法规或者违反约定处理个人@@信息@@;
(五@@)法律@@、行政法规规定的其他情形@@。
法律@@、行政法规规定的保存期限@@@@未届满@@,或者删除个人@@信息从技术上难以实现的@@,个人@@信息处理者@@应当停止除存储@@和采取必要@@的安全保护措施之外的处理@@。
第@@四@@十八条@@ 个人@@有权要求个人@@信息处理者@@对其个人@@信息处理规则@@@@进行解释说明@@。
第@@四@@十九条@@ 自@@然人死亡的@@,其近亲属为了自@@身的合法@@、正当@@利益@@,可以对死者的相关个人@@信息行使本章规定的查阅@@@@、复制@@、更正@@、删除等@@权利@@;死者生前另有安排的除外@@。
第@@五@@十条@@ 个人@@信息处理者@@应当建立便捷的个人@@行使权利的申请受理和处理机制@@。拒绝个人@@行使权利的请求的@@,应当说明理由@@。
个人@@信息处理者@@拒绝个人@@行使权利的请求的@@@@,个人@@可以依法向人民法院提起诉讼@@。
第@@五@@章@@ 个人@@信息处理者@@的义务@@
第@@五@@十一@@条@@ 个人@@信息处理者@@应当根据个人@@信息的处理目@@的@@@@@@、处理方式@@、个人@@信息的种类@@以及对个人@@权益的影响@@、可能存在的安全风险等@@,采取下列措施确保个人@@信息处理活动符合法律@@@@、行政法规的规定@@,并防止未经授权的访问以及个人@@信息泄露@@、篡改@@、丢失@@:
(一@@)制定内部管理制度和操作规程@@;
(二@@)对个人@@信息实行分类管理@@;
(三@@)采取相应的加密@@、去标@@识化@@等安全技术措施@@;
(四@@)合理确定个人@@信息处理的操作权限@@,并定期对从业人员进行安全教育和培训@@;
(五@@)制定并组织实施个人@@信息安全事件应急预案@@;
(六@@)法律@@、行政法规规定的其他措施@@。
第@@五@@十二@@条@@@@ 处理个人@@信息达到国家网信部门规定数量的个人@@信息处理者@@应当指定个人@@信息保护负责人@@,负责对个人@@信息处理活动以及采取的保护措施等进行监督@@。
个人@@信息处理者@@应当公开@@个人@@信息@@保护负责人的联系方式@@@@,并将个人@@信息保护负责人的姓名@@、联系方式@@等报送履行个人@@信息保护职责的部门@@@@。
第@@五@@十三@@条@@ 本法第@@三@@条@@第@@二@@@@款规定的中华人民共和国境外的个人@@信息处理者@@@@,应当在中华人民共和国境内设立专门机构或者指定代表@@,负责处理个人@@信息保护相关事务@@,并将有关机构的名称或者代表的姓名@@、联系方式@@等报送履行个人@@信息保护职责的部门@@@@。
第@@五@@十四@@条@@ 个人@@信息处理者@@应当定期对其处理个人@@信息遵守法律@@@@、行政法规的情况进行合规审计@@。
第@@五@@十五@@条@@ 有下列情形之一@@的@@,个人@@信息处理者@@应当事前进行个人@@信息保护影响评估@@,并对处理情况进行记录@@@@@@:
(一@@)处理敏感个人@@信息@@;
(二@@)利用个人@@信息进行自@@动化决策@@@@;
(三@@)委托处理个人@@信息@@、向其他个人@@信息处理者@@提供@@个人@@信息@@、公开@@个人@@信息@@;
(四@@)向境外提供@@个人@@信息@@;
(五@@)其他对个人@@权益有重大影响的@@个人@@信息处理活动@@。
第@@五@@十六@@条@@ 个人@@信息保护影响评估应当包括下列内容@@:
(一@@)个人@@信息的处理目@@的@@@@、处理方式@@等是否合法@@、正当@@、必要@@;
(二@@)对个人@@权益的影响及安全风险@@;
(三@@)所采取的保护措施是否合法@@、有效并与风险程度相适应@@。
个人@@信息保护影响评估报告和处理情况记录@@@@应当至少保存三@@年@@@@。
第@@五@@十七@@条@@ 发生或者可能发生个人@@信息泄露@@、篡改@@、丢失@@的@@,个人@@信息处理者@@应当立即采取补救措施@@,并通知履行个人@@信息保护职责的部门@@和个人@@@@。通知应当包括下列事项@@:
(一@@)发生或者可能发生个人@@信息泄露@@、篡改@@、丢失@@的@@信息种类@@、原因和可能造成的危害@@;
(二@@)个人@@信息处理者@@采取的补救措施和个人@@可以采取的减轻危害的措施@@;
(三@@)个人@@信息处理者@@的联系方式@@@@。
个人@@信息处理者@@采取措施能够有效避免信息泄露@@、篡改@@、丢失@@造成危害的@@,个人@@信息处理者@@可以不通知个人@@@@;履行个人@@信息保护职责的部门@@认为可能造成危害的@@,有权要求个人@@信息处理者@@通知个人@@@@。
第@@五@@十八条@@ 提供@@重要互联网平台@@服务@@、用户数量巨大@@、业务类型复杂的个人@@信息处理者@@@@,应当履行下列义务@@:
(一@@)按照国家规定建立健全个人@@信息保护合规制度体系@@,成立主要由外部成员组成的独立机构对个人@@信息保护情况进行监督@@;
(二@@)遵循公开@@@@、公平@@、公正@@的原则@@@@,制定平台@@规则@@@@,明确平台@@内产品或者服务提供@@者处理个人@@信息的规范和保护个人@@信息的义务@@;
(三@@)对严重违反法律@@@@、行政法规处理个人@@信息的平台@@内的产品或者服务提供@@者@@,停止提供@@服务@@;
(四@@)定期发布个人@@信息保护社会责任报告@@,接受@@社会监督@@。
第@@五@@十九条@@ 接受@@委托处理个人@@信息@@的受托人@@,应当依照本法和有关法律@@@@、行政法规的规定@@,采取必要@@措施保障所处理的个人@@信息的安全@@,并协助个人@@信息处理者@@履行本法规定的义务@@。
第@@六@@章@@ 履行个人@@信息保护职责的部门@@
第@@六@@十条@@ 国家网信部门负责统筹协调个人@@信息保护工作和相关监督管理工作@@。国务院有关部门依照本法和有关法律@@@@、行政法规的规定@@,在各自@@职责范围内负责个人@@信息保护和监督管理工作@@。
县级以上地方人民政府有关部门的个人@@信息保护和监督管理职责@@,按照国家有关规定确定@@。
前两款规定的部门统称为履行个人@@信息保护职责的部门@@@@。
第@@六@@十一@@条@@ 履行个人@@信息保护职责的部门@@履行下列个人@@信息保护职责@@:
(一@@)开展个人@@信息保护宣传教育@@,指导@@、监督个人@@信息处理者@@开展个人@@信息保护工作@@;
(二@@)接受@@、处理与个人@@信息保护有关的投诉@@、举报@@;
(三@@)组织对应用程序等个人@@信息保护情况进行测评@@,并公布@@测评结果@@;
(四@@)调查@@、处理违法个人@@信息处理活动@@;
(五@@)法律@@、行政法规规定的其他职责@@。
第@@六@@十二@@条@@@@ 国家网信部门统筹协调有关部门依据本法推进下列个人@@信息保护工作@@:
(一@@)制定个人@@信息保护具体规则@@@@、标@@准@@;
(二@@)针对小型个人@@信息处理者@@@@、处理敏感个人@@信息@@以及人脸识别@@、人工智能等新技术@@、新应用@@,制定专门的个人@@信息保护规则@@@@、标@@准@@;
(三@@)支持研究开发和推广应用安全@@、方便的电子身份认证技术@@,推进网络身份认证公共服务建设@@;
(四@@)推进个人@@信息保护社会化服务体系建设@@,支持有关机构开展个人@@信息保护评估@@、认证服务@@;
(五@@)完善个人@@信息保护投诉@@、举报@@工作机制@@。
第@@六@@十三@@条@@ 履行个人@@信息保护职责的部门@@履行个人@@信息保护职责@@,可以采取下列措施@@:
(一@@)询问有关当事人@@,调查@@与个人@@信息处理活动有关的情况@@;
(二@@)查阅@@、复制@@当事人与个人@@信息处理活动有关的合同@@、记录@@@@、账簿以及其他有关资料@@;
(三@@)实施现场检查@@,对涉嫌违法的个人@@信息处理活动进行调查@@@@;
(四@@)检查与个人@@信息处理活动有关的设备@@、物品@@;对有证据证明是用于违法个人@@信息处理活动的设备@@、物品@@,向本部门主要负责人书面报告并经批准@@,可以查封或者扣押@@。
履行个人@@信息保护职责的部门@@依法履行职责@@,当事人应当予以协助@@、配合@@,不得拒绝@@、阻挠@@。
第@@六@@十四@@条@@ 履行个人@@信息保护职责的部门@@在履行职责中@@,发现个人@@信息处理活动存在较大风险或者发生个人@@信息安全事件的@@,可以按照规定的权限和程序对该个人@@信息处理者@@的法定代表人或者主要负责人进行约谈@@,或者要求个人@@信息处理者@@委托专业机构对其个人@@信息处理活动进行合规审计@@。个人@@信息处理者@@应当按照要求采取措施@@,进行整改@@,消除隐患@@。
履行个人@@信息保护职责的部门@@在履行职责中@@,发现违法处理个人@@信息涉嫌犯罪的@@,应当及时移送公安机关依法处理@@。
第@@六@@十五@@条@@ 任何组织@@、个人@@有权对违法个人@@信息处理活动向履行个人@@信息保护职责的部门@@进行投诉@@、举报@@。收到投诉@@、举报@@的部门应当依法及时处理@@,并将处理结果告知投诉@@、举报@@人@@。
履行个人@@信息保护职责的部门@@应当公布@@接受@@投诉@@、举报@@的联系方式@@@@。
第@@七@@章@@ 法律@@责任@@
第@@六@@十六@@条@@ 违反本法规定@@处理个人@@信息@@,或者处理个人@@信息未履行本法规定的个人@@信息保护义务的@@,由履行个人@@信息保护职责的部门@@责令改正@@,给予警告@@,没收违法所得@@,对违法处理个人@@信息的应用程序@@,责令暂停或者终止提供@@服务@@;拒不改正的@@,并处一@@百万元以下罚款@@;对直接负责的主管人员和其他直接责任人员处一@@万元以上十万元以下罚款@@。
有前款规定的违法行为@@,情节严重的@@,由省级以上履行个人@@信息保护职责的部门@@责令改正@@,没收违法所得@@,并处五@@千万元以下或者上一@@年@@度营业额百分之五@@以下罚款@@,并可以责令暂停相关业务或者停业整顿@@、通报有关主管部门吊销相关业务许可或者吊销营业执照@@;对直接负责的主管人员和其他直接责任人员处十万元以上一@@百万元以下罚款@@,并可以决定禁止其在一@@定期限@@内担任相关企业@@的董事@@、监事@@、高级管理人员和个人@@信息保护负责人@@。
第@@六@@十七@@条@@ 有本法规定的违法行为的@@,依照有关法律@@@@、行政法规的规定@@记入信用档案@@,并予以公示@@。
第@@六@@十八条@@ 国家机关不履行本法规定的个人@@信息保护义务的@@,由其上级机关或者履行个人@@信息保护职责的部门@@责令改正@@;对直接负责的主管人员和其他直接责任人员依法给予处分@@@@。
履行个人@@信息保护职责的部门@@的工作人员玩忽职守@@、滥用职权@@、徇私舞弊@@,尚不构成犯罪的@@@@,依法给予处分@@。
第@@六@@十九条@@ 处理个人@@信息侵害个人@@信息权益造成损害@@,个人@@信息处理者@@不能证明自@@己没有过错的@@,应当承担损害赔偿等侵权责任@@。
前款规定的损害赔偿责任按照个人@@因此受到的损失或者个人@@信息处理者@@因此获得的利益确定@@;个人@@因此受到的损失和个人@@信息处理者@@因此获得的利益难以确定的@@,根据实际情况确定赔偿数额@@。
第@@七@@十条@@ 个人@@信息处理者@@违反本法规定@@处理个人@@信息@@@@,侵害众多个人@@的权益的@@,人民检察院@@、法律@@规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼@@。
第@@七@@十一@@条@@ 违反本法规定@@,构成违反治安管理行为的@@,依法给予治安管理处罚@@;构成犯罪的@@,依法追究刑事责任@@。
第@@八章@@ 附@@ 则@@
第@@七@@十二@@条@@@@ 自@@然人因个人@@或者家庭事务处理个人@@信息的@@,不适用本法@@@@。
法律@@对各级人民政府及其有关部门组织实施的统计@@、档案管理活动中的个人@@信息处理有规定的@@,适用其规定@@。
第@@七@@十三@@条@@ 本法下列用语的含义@@:
(一@@)个人@@信息处理者@@,是指在个人@@信息处理活动中自@@主决定处理目@@的@@@@、处理方式@@的@@组织@@、个人@@。
(二@@)自@@动化决策@@,是指通过计算机程序自@@动分析@@@@、评估个人@@的行为习惯@@、兴趣爱好或者经济@@、健康@@、信用状况等@@,并进行决策的活动@@。
(三@@)去标@@识化@@,是指个人@@信息经过处理@@,使其在不借助额外信息的情况下无法识别特定自@@然人的过程@@。
(四@@)匿名化@@,是指个人@@信息经过处理@@无法识别特定自@@然人且不能复原的过程@@。
第@@七@@十四@@条@@ 本法自@@@@2021年@@11月@@1日@@起施行@@。
