經過三次審議，8月20日，十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》，將于2021年11月1日（明日）起正式施行。

　　關乎你我日后生活的方方面面，適合細讀的一項重要立法。

　　在信息化時代，個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。個人信息保護法堅持和貫徹以人民為中心的法治理念，牢牢把握保護人民群眾個人信息權益的立法定位，聚焦個人信息保護領域的突出問題和人民群眾的重大關切。

　　亮點一：確立個人信息保護原則

　　個人信息保護的原則是收集、使用個人信息的基本遵循，是構建個人信息保護具體規(guī)則的制度基礎。

　　個人信息保護法借鑒國際經驗并立足我國實際，確立了個人信息處理應遵循的原則，強調處理個人信息應當遵循合法、正當、必要和誠信原則，具有明確、合理的目的并與處理目的直接相關，采取對個人權益影響最小的方式，限于實現處理目的的最小范圍，公開處理規(guī)則，保證信息質量，采取安全保護措施等。

　　“這些原則應當貫穿于個人信息處理的全過程、各環(huán)節(jié)。”楊合慶說。

　　亮點二：規(guī)范處理活動保障權益

　　個人信息保護法緊緊圍繞規(guī)范個人信息處理活動、保障個人信息權益，構建了以“告知-同意”為核心的個人信息處理規(guī)則。

　　“‘告知-同意’是法律確立的個人信息保護核心規(guī)則，是保障個人對其個人信息處理知情權和決定權的重要手段?！睏詈蠎c說。

　　個人信息保護法要求，處理個人信息應當在事先充分告知的前提下取得個人同意，個人信息處理的重要事項發(fā)生變更的應當重新向個人告知并取得同意。同時，針對現實生活中社會反映強烈的一攬子授權、強制同意等問題，個人信息保護法特別要求，個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等環(huán)節(jié)應取得個人的單獨同意，明確個人信息處理者不得過度收集個人信息，不得以個人不同意為由拒絕提供產品或者服務，并賦予個人撤回同意的權利，在個人撤回同意后，個人信息處理者應當停止處理或及時刪除其個人信息。

　　此外，考慮到經濟社會生活的復雜性，個人信息處理的場景日益多樣，個人信息保護法從維護公共利益和保障社會正常生產生活的角度，還對取得個人同意以外可以合法處理個人信息的特定情形作了規(guī)定。

　　此外，個人信息保護法還分別對共同處理、委托處理等實踐中較為常見的處理情形作出有針對性規(guī)定。

　　亮點三：禁止“大數據殺熟”規(guī)范自動化決策

　　當前，越來越多的企業(yè)利用大數據分析、評估消費者的個人特征用于商業(yè)營銷。有一些企業(yè)通過掌握消費者的經濟狀況、消費習慣、對價格的敏感程度等信息，對消費者在交易價格等方面實行歧視性的差別待遇，誤導、欺詐消費者。其中，最典型的就是社會反映突出的“大數據殺熟”。

　　“‘大數據殺熟’行為違反了誠實信用原則，侵犯了消費者權益保護法規(guī)定的消費者享有公平交易條件的權利，應當在法律上予以禁止。”楊合慶說。

　　對此，個人信息保護法明確規(guī)定：個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

　　亮點四：嚴格保護敏感個人信息

　　值得關注的是，個人信息保護法將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息。個人信息保護法要求，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可處理敏感個人信息，同時應當事前進行影響評估，并向個人告知處理的必要性以及對個人權益的影響。

　　“這主要是考慮到此類信息一旦泄露或者被非法使用，極易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害，因此，對處理敏感個人信息的活動應當作出更加嚴格的限制?！睏詈蠎c說。

　　值得關注的是，為保護未成年人的個人信息權益和身心健康，個人信息保護法特別將不滿十四周歲未成年人的個人信息確定為敏感個人信息予以嚴格保護。同時，與未成年人保護法有關規(guī)定相銜接，要求處理不滿十四周歲未成年人個人信息應當取得未成年人的父母或者其他監(jiān)護人的同意，并應當對此制定專門的個人信息處理規(guī)則。

　　亮點五：規(guī)范國家機關處理活動

　　為履行維護國家安全、懲治犯罪、管理經濟社會事務等職責，國家機關需要處理大量個人信息。保護個人信息權益、保障個人信息安全是國家機關應盡的義務和責任。但近年來，一些個人信息泄露事件也反映出有些國家機關存在個人信息保護意識不強、處理流程不規(guī)范、安全保護措施不到位等問題。

　　對此，個人信息保護法對國家機關處理個人信息的活動作出專門規(guī)定，特別強調國家機關處理個人信息的活動適用本法，并且處理個人信息應當依照法律、行政法規(guī)規(guī)定的權限和程序進行，不得超出履行法定職責所必需的范圍和限度。

　　亮點六：賦予個人充分權利

　　個人信息保護法將個人在個人信息處理活動中的各項權利，包括知悉個人信息處理規(guī)則和處理事項、同意和撤回同意，以及個人信息的查詢、復制、更正、刪除等總結提升為知情權、決定權，明確個人有權限制個人信息的處理。

　　同時，為了適應互聯(lián)網應用和服務多樣化的實際，滿足日益增長的跨平臺轉移個人信息的需求，個人信息保護法對個人信息可攜帶權作了原則規(guī)定，要求在符合國家網信部門規(guī)定條件的情形下，個人信息處理者應當為個人提供轉移其個人信息的途徑。

　　此外，個人信息保護法還對死者個人信息的保護作了專門規(guī)定，明確在尊重死者生前安排的前提下，其近親屬為自身合法、正當利益，可以對死者個人信息行使查閱、復制、更正、刪除等權利。

　　亮點七：強化個人信息處理者義務

　　個人信息處理者是個人信息保護的第一責任人。據此，個人信息保護法強調，個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。

　　在此基礎上，個人信息保護法設專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務，要求個人信息處理者按照規(guī)定制定內部管理制度和操作規(guī)程，采取相應的安全技術措施，指定負責人對其個人信息處理活動進行監(jiān)督，定期對其個人信息活動進行合規(guī)審計，對處理敏感個人信息、利用個人進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估，履行個人信息泄露通知和補救義務等。

　　亮點八：賦予大型網絡平臺特別義務

　　互聯(lián)網平臺服務是數字經濟區(qū)別于傳統(tǒng)經濟的顯著特征?；ヂ?lián)網平臺為商品和服務的交易提供技術支持、交易場所、信息發(fā)布和交易撮合等服務。

　　“在個人信息處理方面，互聯(lián)網平臺為平臺內經營者處理個人信息提供基礎技術服務、設定基本處理規(guī)則，是個人信息保護的關鍵環(huán)節(jié)。”楊合慶指出，提供重要互聯(lián)網平臺服務、用戶數量巨大、業(yè)務類型復雜的個人信息處理者對平臺內的交易和個人信息處理活動具有強大的控制力和支配力，因此在個人信息保護方面應當承擔更多的法律義務。

　　據此，個人信息保護法對這些大型互聯(lián)網平臺設定了特別的個人信息保護義務，包括：按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督；遵循公開、公平、公正的原則，制定平臺規(guī)則；對嚴重違法處理個人信息的平臺內產品或者服務提供者，停止提供服務；定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督。個人信息保護法的上述規(guī)定是為了提高大型互聯(lián)網平臺經營業(yè)務的透明度，完善平臺治理，強化外部監(jiān)督，形成全社會共同參與的個人信息保護機制。

　　亮點九：規(guī)范個人信息跨境流動

　　隨著經濟全球化、數字化的不斷推進以及我國對外開放的不斷擴大，個人信息的跨境流動日益頻繁，但由于遙遠的地理距離以及不同國家法律制度、保護水平之間的差異，個人信息跨境流動風險更加難以控制。

　　“個人信息保護法構建了一套清晰、系統(tǒng)的個人信息跨境流動規(guī)則，以滿足保障個人信息權益和安全的客觀要求，適應國際經貿往來的現實需要。”楊合慶介紹說，一是明確以向境內自然人提供產品或者服務為目的，或者分析、評估境內自然人的行為等，在我國境外處理境內自然人個人信息的活動適用本法，并要求符合上述情形的境外個人信息處理者在我國境內設立專門機構或者指定代表，負責個人信息保護相關事務；二是明確向境外提供個人信息的途徑，包括通過國家網信部門組織的安全評估、經專業(yè)機構認證、訂立標準合同、按照我國締結或參加的國際條約和協(xié)定等；三是要求個人信息處理者采取必要措施保障境外接收方的處理活動達到本法規(guī)定的保護標準；四是對跨境提供個人信息的“告知-同意”作出更嚴格的要求，切實保障個人的知情權、決定權等權利；五是為維護國家主權、安全和發(fā)展利益，對跨境提供個人信息的安全評估、向境外司法或執(zhí)法機構提供個人信息、限制跨境提供個人信息的措施、對外國歧視性措施的反制等作了規(guī)定。

　　亮點十：健全個人信息保護工作機制

　　個人信息保護涉及的領域廣，相關制度措施的落實有賴于完善的監(jiān)管執(zhí)法機制。

　　根據個人信息保護工作實際，個人信息保護法明確，國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監(jiān)督管理工作，同時，對個人信息保護和監(jiān)管職責作出規(guī)定，包括開展個人信息保護宣傳教育、指導監(jiān)督個人信息保護工作、接受處理相關投訴舉報、組織對應用程序等進行測評、調查處理違法個人信息處理活動等。

　　此外，為了加強個人信息保護監(jiān)管執(zhí)法的協(xié)同配合，個人信息保護法還進一步明確了國家網信部門在個人信息保護監(jiān)管方面的統(tǒng)籌協(xié)調作用，并對其統(tǒng)籌協(xié)調職責作出具體規(guī)定。

　　附：中華人民共和國個人信息保護法

　　中華人民共和國個人信息保護法

　?。?021年8月20日第十三屆全國人民代表大會常務委員會第三十次會議通過）

　　目　　錄

　　第一章　總　　則

　　第二章　個人信息處理規(guī)則

　　第一節(jié)　一般規(guī)定

　　第二節(jié)　敏感個人信息的處理規(guī)則

　　第三節(jié)　國家機關處理個人信息的特別規(guī)定

　　第三章　個人信息跨境提供的規(guī)則

　　第四章　個人在個人信息處理活動中的權利

　　第五章　個人信息處理者的義務

　　第六章　履行個人信息保護職責的部門

　　第七章　法律責任

　　第八章　附　　則

　　第一章　總　　則

　　第一條　為了保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法。

　　第二條　自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。

　　第三條　在中華人民共和國境內處理自然人個人信息的活動，適用本法。

　　在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：

　?。ㄒ唬┮韵蚓硟茸匀蝗颂峁┊a品或者服務為目的；

　?。ǘ┓治觥⒃u估境內自然人的行為；

　　（三）法律、行政法規(guī)規(guī)定的其他情形。

　　第四條　個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

　　個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

　　第五條　處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

　　第六條　處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。

　　收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。

　　第七條　處理個人信息應當遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。

　　第八條　處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。

　　第九條　個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。

　　第十條　任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。

　　第十一條　國家建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業(yè)、相關社會組織、公眾共同參與個人信息保護的良好環(huán)境。

　　第十二條　國家積極參與個人信息保護國際規(guī)則的制定，促進個人信息保護方面的國際交流與合作，推動與其他國家、地區(qū)、國際組織之間的個人信息保護規(guī)則、標準等互認。

　　第二章　個人信息處理規(guī)則

　　第一節(jié)　一般規(guī)定

　　第十三條　符合下列情形之一的，個人信息處理者方可處理個人信息：

　?。ㄒ唬┤〉脗€人的同意；

　?。ǘ橛喠?、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；

　　（三）為履行法定職責或者法定義務所必需；

　　（四）為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；

　?。ㄎ澹楣怖鎸嵤┬侣剤蟮?、輿論監(jiān)督等行為，在合理的范圍內處理個人信息；

　　（六）依照本法規(guī)定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；

　　（七）法律、行政法規(guī)規(guī)定的其他情形。

　　依照本法其他有關規(guī)定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規(guī)定情形的，不需取得個人同意。

　　第十四條　基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個人信息應當取得個人單獨同意或者書面同意的，從其規(guī)定。

　　個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應當重新取得個人同意。

　　第十五條　基于個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。

　　個人撤回同意，不影響撤回前基于個人同意已進行的個人信息處理活動的效力。

　　第十六條　個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外。

　　第十七條　個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：

　?。ㄒ唬﹤€人信息處理者的名稱或者姓名和聯(lián)系方式；

　?。ǘ﹤€人信息的處理目的、處理方式，處理的個人信息種類、保存期限；

　?。ㄈ﹤€人行使本法規(guī)定權利的方式和程序；

　　（四）法律、行政法規(guī)規(guī)定應當告知的其他事項。

　　前款規(guī)定事項發(fā)生變更的，應當將變更部分告知個人。

　　個人信息處理者通過制定個人信息處理規(guī)則的方式告知第一款規(guī)定事項的，處理規(guī)則應當公開，并且便于查閱和保存。

　　第十八條　個人信息處理者處理個人信息，有法律、行政法規(guī)規(guī)定應當保密或者不需要告知的情形的，可以不向個人告知前條第一款規(guī)定的事項。

　　緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的，個人信息處理者應當在緊急情況消除后及時告知。

　　第十九條　除法律、行政法規(guī)另有規(guī)定外，個人信息的保存期限應當為實現處理目的所必要的最短時間。

　　第二十條　兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規(guī)定的權利。

　　個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任。

　　第二十一條　個人信息處理者委托處理個人信息的，應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，并對受托人的個人信息處理活動進行監(jiān)督。

　　受托人應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者終止的，受托人應當將個人信息返還個人信息處理者或者予以刪除，不得保留。

　　未經個人信息處理者同意，受托人不得轉委托他人處理個人信息。

　　第二十二條　個人信息處理者因合并、分立、解散、被宣告破產等原因需要轉移個人信息的，應當向個人告知接收方的名稱或者姓名和聯(lián)系方式。接收方應當繼續(xù)履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的，應當依照本法規(guī)定重新取得個人同意。

　　第二十三條　個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規(guī)定重新取得個人同意。

　　第二十四條　個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

　　通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。

　　通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

　　第二十五條　個人信息處理者不得公開其處理的個人信息，取得個人單獨同意的除外。

　　第二十六條　在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規(guī)定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的；取得個人單獨同意的除外。

　　第二十七條　個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規(guī)定取得個人同意。

　　第二節(jié)？？敏感個人信息的處理規(guī)則

　　第二十八條　敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

　　只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。

　　第二十九條　處理敏感個人信息應當取得個人的單獨同意；法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的，從其規(guī)定。

　　第三十條　個人信息處理者處理敏感個人信息的，除本法第十七條第一款規(guī)定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響；依照本法規(guī)定可以不向個人告知的除外。

　　第三十一條　個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監(jiān)護人的同意。

　　個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規(guī)則。

　　第三十二條　法律、行政法規(guī)對處理敏感個人信息規(guī)定應當取得相關行政許可或者作出其他限制的，從其規(guī)定。

　　第三節(jié)　國家機關處理個人信息的特別規(guī)定

　　第三十三條　國家機關處理個人信息的活動，適用本法；本節(jié)有特別規(guī)定的，適用本節(jié)規(guī)定。

　　第三十四條　國家機關為履行法定職責處理個人信息，應當依照法律、行政法規(guī)規(guī)定的權限、程序進行，不得超出履行法定職責所必需的范圍和限度。

　　第三十五條　國家機關為履行法定職責處理個人信息，應當依照本法規(guī)定履行告知義務；有本法第十八條第一款規(guī)定的情形，或者告知將妨礙國家機關履行法定職責的除外。

　　第三十六條　國家機關處理的個人信息應當在中華人民共和國境內存儲；確需向境外提供的，應當進行安全評估。安全評估可以要求有關部門提供支持與協(xié)助。

　　第三十七條　法律、法規(guī)授權的具有管理公共事務職能的組織為履行法定職責處理個人信息，適用本法關于國家機關處理個人信息的規(guī)定。

　　第三章　個人信息跨境提供的規(guī)則

　　第三十八條　個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：

　?。ㄒ唬┮勒毡痉ǖ谒氖畻l的規(guī)定通過國家網信部門組織的安全評估；

　　（二）按照國家網信部門的規(guī)定經專業(yè)機構進行個人信息保護認證；

　　（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；

　　（四）法律、行政法規(guī)或者國家網信部門規(guī)定的其他條件。

　　中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。

　　個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準。

　　第三十九條　個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權利的方式和程序等事項，并取得個人的單獨同意。

　　第四十條　關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規(guī)定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規(guī)和國家網信部門規(guī)定可以不進行安全評估的，從其規(guī)定。

　　第四十一條　中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于提供存儲于境內個人信息的請求。非經中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的個人信息。

　　第四十二條　境外的組織、個人從事侵害中華人民共和國公民的個人信息權益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。

　　第四十三條　任何國家或者地區(qū)在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區(qū)對等采取措施。

　　第四章　個人在個人信息處理活動中的權利

　　第四十四條　個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；法律、行政法規(guī)另有規(guī)定的除外。

　　第四十五條　個人有權向個人信息處理者查閱、復制其個人信息；有本法第十八條第一款、第三十五條規(guī)定情形的除外。

　　個人請求查閱、復制其個人信息的，個人信息處理者應當及時提供。

　　個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規(guī)定條件的，個人信息處理者應當提供轉移的途徑。

　　第四十六條　個人發(fā)現其個人信息不準確或者不完整的，有權請求個人信息處理者更正、補充。

　　個人請求更正、補充其個人信息的，個人信息處理者應當對其個人信息予以核實，并及時更正、補充。

　　第四十七條　有下列情形之一的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除：

　　（一）處理目的已實現、無法實現或者為實現處理目的不再必要；

　?。ǘ﹤€人信息處理者停止提供產品或者服務，或者保存期限已屆滿；

　　（三）個人撤回同意；

　　（四）個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息；

　?。ㄎ澹┓伞⑿姓ㄒ?guī)規(guī)定的其他情形。

　　法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。

　　第四十八條　個人有權要求個人信息處理者對其個人信息處理規(guī)則進行解釋說明。

　　第四十九條　自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使本章規(guī)定的查閱、復制、更正、刪除等權利；死者生前另有安排的除外。

　　第五十條　個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的，應當說明理由。

　　個人信息處理者拒絕個人行使權利的請求的，個人可以依法向人民法院提起訴訟。

　　第五章　個人信息處理者的義務

　　第五十一條　個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失：

　　（一）制定內部管理制度和操作規(guī)程；

　　（二）對個人信息實行分類管理；

　?。ㄈ┎扇∠鄳募用?、去標識化等安全技術措施；

　?。ㄋ模┖侠泶_定個人信息處理的操作權限，并定期對從業(yè)人員進行安全教育和培訓；

　?。ㄎ澹┲贫ú⒔M織實施個人信息安全事件應急預案；

　?。┓伞⑿姓ㄒ?guī)規(guī)定的其他措施。

　　第五十二條　處理個人信息達到國家網信部門規(guī)定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督。

　　個人信息處理者應當公開個人信息保護負責人的聯(lián)系方式，并將個人信息保護負責人的姓名、聯(lián)系方式等報送履行個人信息保護職責的部門。

　　第五十三條　本法第三條第二款規(guī)定的中華人民共和國境外的個人信息處理者，應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，并將有關機構的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護職責的部門。

　　第五十四條　個人信息處理者應當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。

　　第五十五條　有下列情形之一的，個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄：

　?。ㄒ唬┨幚砻舾袀€人信息；

　?。ǘ├脗€人信息進行自動化決策；

　?。ㄈ┪刑幚韨€人信息、向其他個人信息處理者提供個人信息、公開個人信息；

　　（四）向境外提供個人信息；

　?。ㄎ澹┢渌麑€人權益有重大影響的個人信息處理活動。

　　第五十六條　個人信息保護影響評估應當包括下列內容：

　?。ㄒ唬﹤€人信息的處理目的、處理方式等是否合法、正當、必要；

　?。ǘ€人權益的影響及安全風險；

　　（三）所采取的保護措施是否合法、有效并與風險程度相適應。

　　個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

　　第五十七條　發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。通知應當包括下列事項：

　　（一）發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；

　?。ǘ﹤€人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；

　?。ㄈ﹤€人信息處理者的聯(lián)系方式。

　　個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個人信息處理者可以不通知個人；履行個人信息保護職責的部門認為可能造成危害的，有權要求個人信息處理者通知個人。

　　第五十八條　提供重要互聯(lián)網平臺服務、用戶數量巨大、業(yè)務類型復雜的個人信息處理者，應當履行下列義務：

　?。ㄒ唬┌凑諊乙?guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督；

　　（二）遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內產品或者服務提供者處理個人信息的規(guī)范和保護個人信息的義務；

　?。ㄈ乐剡`反法律、行政法規(guī)處理個人信息的平臺內的產品或者服務提供者，停止提供服務；

　　（四）定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督。

　　第五十九條　接受委托處理個人信息的受托人，應當依照本法和有關法律、行政法規(guī)的規(guī)定，采取必要措施保障所處理的個人信息的安全，并協(xié)助個人信息處理者履行本法規(guī)定的義務。

　　第六章　履行個人信息保護職責的部門

　　第六十條　國家網信部門負責統(tǒng)籌協(xié)調個人信息保護工作和相關監(jiān)督管理工作。國務院有關部門依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內負責個人信息保護和監(jiān)督管理工作。

　　縣級以上地方人民政府有關部門的個人信息保護和監(jiān)督管理職責，按照國家有關規(guī)定確定。

　　前兩款規(guī)定的部門統(tǒng)稱為履行個人信息保護職責的部門。

　　第六十一條　履行個人信息保護職責的部門履行下列個人信息保護職責：

　?。ㄒ唬╅_展個人信息保護宣傳教育，指導、監(jiān)督個人信息處理者開展個人信息保護工作；

　　（二）接受、處理與個人信息保護有關的投訴、舉報；

　?。ㄈ┙M織對應用程序等個人信息保護情況進行測評，并公布測評結果；

　　（四）調查、處理違法個人信息處理活動；

　?。ㄎ澹┓?、行政法規(guī)規(guī)定的其他職責。

　　第六十二條　國家網信部門統(tǒng)籌協(xié)調有關部門依據本法推進下列個人信息保護工作：

　?。ㄒ唬┲贫▊€人信息保護具體規(guī)則、標準；

　　（二）針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規(guī)則、標準；

　?。ㄈ┲С盅芯块_發(fā)和推廣應用安全、方便的電子身份認證技術，推進網絡身份認證公共服務建設；

　　（四）推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服務；

　　（五）完善個人信息保護投訴、舉報工作機制。

　　第六十三條　履行個人信息保護職責的部門履行個人信息保護職責，可以采取下列措施：

　?。ㄒ唬┰儐栍嘘P當事人，調查與個人信息處理活動有關的情況；

　?。ǘ┎殚啞椭飘斒氯伺c個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料；

　?。ㄈ嵤┈F場檢查，對涉嫌違法的個人信息處理活動進行調查；

　　（四）檢查與個人信息處理活動有關的設備、物品；對有證據證明是用于違法個人信息處理活動的設備、物品，向本部門主要負責人書面報告并經批準，可以查封或者扣押。

　　履行個人信息保護職責的部門依法履行職責，當事人應當予以協(xié)助、配合，不得拒絕、阻撓。

　　第六十四條　履行個人信息保護職責的部門在履行職責中，發(fā)現個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的，可以按照規(guī)定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計。個人信息處理者應當按照要求采取措施，進行整改，消除隱患。

　　履行個人信息保護職責的部門在履行職責中，發(fā)現違法處理個人信息涉嫌犯罪的，應當及時移送公安機關依法處理。

　　第六十五條　任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理，并將處理結果告知投訴、舉報人。

　　履行個人信息保護職責的部門應當公布接受投訴、舉報的聯(lián)系方式。

　　第七章　法律責任

　　第六十六條　違反本法規(guī)定處理個人信息，或者處理個人信息未履行本法規(guī)定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

　　有前款規(guī)定的違法行為，情節(jié)嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。

　　第六十七條　有本法規(guī)定的違法行為的，依照有關法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。

　　第六十八條　國家機關不履行本法規(guī)定的個人信息保護義務的，由其上級機關或者履行個人信息保護職責的部門責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。

　　履行個人信息保護職責的部門的工作人員玩忽職守、濫用職權、徇私舞弊，尚不構成犯罪的，依法給予處分。

　　第六十九條　處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。

　　前款規(guī)定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額。

　　第七十條　個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權益的，人民檢察院、法律規(guī)定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。

　　第七十一條　違反本法規(guī)定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

　　第八章　附　　則

　　第七十二條　自然人因個人或者家庭事務處理個人信息的，不適用本法。

　　法律對各級人民政府及其有關部門組織實施的統(tǒng)計、檔案管理活動中的個人信息處理有規(guī)定的，適用其規(guī)定。

　　第七十三條　本法下列用語的含義：

　?。ㄒ唬﹤€人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。

　?。ǘ┳詣踊瘺Q策，是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動。

　?。ㄈ┤俗R化，是指個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。

　　（四）匿名化，是指個人信息經過處理無法識別特定自然人且不能復原的過程。

　　第七十四條　本法自2021年11月1日起施行。