中華人民共和國個人信息保（bǎo）護法

（2021年8月20日第十（shí）三屆全國人民代表大會常務委員會第三十次會議通過）

目錄

第一章（zhāng） 總則

第二章 個人信息處理（lǐ）規則

第一節 一（yī）般規定

第二節 敏感個人信（xìn）息的處理規則

第三節 國家機關處（chù）理個人信息的特別規定

第（dì）三章 個人信息跨境（jìng）提供的規則（zé）

第（dì）四章 個人在個人信息處理活動中的權利

第（dì）五章 個人信息處（chù）理者的義務

第（dì）六章（zhāng） 履行（háng）個人信息保護職（zhí）責（zé）的部門

第七章 法律責任

第八章 附則

第一章 總則

第一條 為了保護個人信（xìn）息權（quán）益（yì），規範個人信息處理（lǐ）活動，促進個人信息（xī）合理利用，根據憲法，製定本法。

第二（èr）條 自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。

第三條 在中華人民共和國（guó）境內處理自然人個人信息的活動，適用本法。

在中（zhōng）華人民共和國境外（wài）處（chù）理中華人民共和（hé）國境內自然人個人信息的活動，有（yǒu）下（xià）列情形（xíng）之一的，也適用本法：

（一）以向境內自然（rán）人提供產品或（huò）者服務（wù）為目的；

（二）分析、評估境內自然人的行為；

（三）法律、行政法規（guī）規定的其他情形。

第四條 個人信息（xī）是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種（zhǒng）信息，不包括匿名化處理後的信息。

個人信息的處理（lǐ）包括個人信息的收集、存儲、使用、加工（gōng）、傳輸、提供、公開、刪除等。

第五（wǔ）條 處理個人信息應當遵循合法、正當、必（bì）要和誠信（xìn）原則，不得通過誤導、欺（qī）詐、脅迫等方式處理個人信（xìn）息。

第六條（tiáo） 處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關（guān），采取對個（gè）人權益影響最小（xiǎo）的方式。

收集個人（rén）信息，應當限於實（shí）現處理目的的最小範圍（wéi），不得過度收集個人（rén）信息。

第七條 處理個人（rén）信息應當遵循公開、透明（míng）原則，公開個人信息處理規則，明示處理的目的、方式和範圍。

第八條 處理個人信息應當保證個人信息的質量（liàng），避免因個人信息不準確（què）、不完整對個（gè）人權益（yì）造成不（bú）利影響。

第（dì）九條 個人信息處理者應當對其個人信息處理活動負責，並采取必要措施保障所處理的個人信息的安全。

第十條 任何組織、個人不得（dé）非法收集、使用（yòng）、加工、傳輸他人個人信息，不得非法買賣、提供（gòng）或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。

第十一條 國家建立健全個人信息保護製度（dù），預防和懲（chéng）治侵害個人信息權益的行為，加強個人信息（xī）保護宣傳教育，推動形成政府、企業、相（xiàng）關社會組織、公眾共同參與個人信息保護的（de）良好環境。

第十二條 國家（jiā）積極參與個人信息保護國（guó）際規則的製定，促進（jìn）個人信息保護方麵的國際交流與合作，推動與其他國家、地區、國際組織之間的（de）個人信息保護規則、標（biāo）準等互認。

第二章 個人信息處理規則

第一節 一般規定

第十三條 符合下列情（qíng）形之一（yī）的，個人信息處理者方可處理個人信息：

（一）取得個人的同意；

（二）為訂立、履行個（gè）人作為一方當事人的合同所必需，或（huò）者按照依法製定的勞動規章製度和依法（fǎ）簽訂（dìng）的集體合同（tóng）實施人力資源（yuán）管理所必需；

（三）為履行法（fǎ）定職責或者法定義務所必需；

（四）為應對突（tū）發公共衛生事件，或者緊急情（qíng）況下為（wéi）保（bǎo）護（hù）自然人（rén）的生命健康和財產安全所必需；

（五）為公共利益（yì）實施新聞報道、輿論監督（dū）等行為，在合理的範圍內處（chù）理個人信息；

（六）依（yī）照本法規定在合理的範圍內處理個人（rén）自行公開或（huò）者其他已（yǐ）經合法公開（kāi）的個人信息；

（七）法律、行政法規規定的其他情形。

依照（zhào）本法其他有關（guān）規定，處理個人信息應當（dāng）取得個人（rén）同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。

第十四條 基於個人同意處理個人信息的，該同意應當由個人在充（chōng）分知情的前提下（xià）自願、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書（shū）麵同意的，從其規定。

個人信息的（de）處理（lǐ）目的、處理方式和處理的個人信息種（zhǒng）類發（fā）生變更的，應當重新取得個人同意。

第十五條 基於個人同意處理個人信息（xī）的，個（gè）人有權撤回其（qí）同意。個人信息處理（lǐ）者應當提供便捷的撤回同意（yì）的方式。

個人撤（chè）回同意，不影響撤（chè）回前基於個（gè）人同意（yì）已進行的個人信息處理活動的效力。

第十六條 個人信息（xī）處理者不得以個人不同意處理其個人（rén）信息或（huò）者撤（chè）回同意為由，拒絕提（tí）供產品或者服（fú）務；處理個人信息屬於提供產品或（huò）者服（fú）務所必需的除外（wài）。

第十七條 個人信（xìn）息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言（yán）真實、準確、完（wán）整地向個人告知下列事（shì）項：

（一）個人信息處（chù）理者的名稱或者姓名和聯係方式；

（二）個人信息的處理目的、處理（lǐ）方式，處理的個人信息種（zhǒng）類、保存期限；

（三）個（gè）人行使本法規定權利的方式和程序；

（四）法律、行政法規規定應當（dāng）告知的其他事項。

前款規定事項發生變更的，應當將變更部分（fèn）告知個人。

個人信息處理者通過製定個人信息處（chù）理規則的方（fāng）式告知第（dì）一款規定事項的，處理規則應當公（gōng）開，並且（qiě）便於查閱和保存。

第十八（bā）條 個（gè）人信息處理者處理個人信息，有法律、行政法規規定應當保密或者（zhě）不需要告知的情形的，可以不向（xiàng）個（gè）人告知前條第一款規定的事項（xiàng）。

緊急情況下為保護（hù）自（zì）然人的生命健（jiàn）康和財產安全無法及時向個人告知的，個人信息處理者（zhě）應當（dāng）在緊急情況（kuàng）消除後及時告知。

第十九條 除法律（lǜ）、行政法規另有規定外，個人信息的保存期限（xiàn）應當為實現處理目的所必（bì）要的最短時間。（未完待續）

第二十條 兩個（gè）以上（shàng）的個人信息處（chù）理（lǐ）者（zhě）共同決定個人信（xìn）息的（de）處理目的和處理方式的，應當約定各自（zì）的權利和義務。但是，該（gāi）約定不影響個人向其中任何一個個人信息處理者要求（qiú）行使本法規定的（de）權利。

個人信息處理者（zhě）共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任。

第二十（shí）一條 個人信息處理（lǐ）者委托處（chù）理個人信息的，應當與受托人約定委托處理的目的、期限、處理方式、個人信息的（de）種類、保護（hù）措施以及雙方的權利和（hé）義務（wù）等，並對受托人（rén）的個人信息處理活動進行監督。

受托（tuō）人應當按照約定處理（lǐ）個人信息（xī），不得超出約（yuē）定的處理目的（de）、處理方（fāng）式（shì）等（děng）處理個人信息；委托合同不生效、無效、被撤銷或者終（zhōng）止的，受托人應當將個人信息（xī）返還（hái）個人信息處理者或者予以刪除，不得保留。

未經個（gè）人信息處理（lǐ）者同意，受托人（rén）不得轉委托他人處理個人（rén）信息（xī）。

第二十條 兩個以上的個人信息處理者共（gòng）同決定個人信息的（de）處理目的和處理方式的，應當約（yuē）定各自的權利和義務。但（dàn）是，該約定不影（yǐng）響個（gè）人（rén）向其中任何一個個人信息處理者要（yào）求行使（shǐ）本法規定的（de）權利。

個人信息處（chù）理者共同處理個人（rén）信息，侵（qīn）害（hài）個人信息權益造（zào）成損害的，應（yīng）當（dāng）依（yī）法承擔（dān）連（lián）帶責任。

第二十一條（tiáo） 個人信息處理者委托處理個（gè）人信息的（de），應（yīng）當與（yǔ）受托人約定委托處理的目的、期限、處理方（fāng）式、個人信（xìn）息的種類、保護措施以及（jí）雙（shuāng）方的權利和（hé）義務等，並對受托人的（de）個人信息處理活動進行監督。

受托人應當按（àn）照約定處理個（gè）人信息，不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者（zhě）終（zhōng）止的，受托人應當將個人信息返還個人（rén）信息處理者或者予以刪除，不得（dé）保（bǎo）留。

未經個人信息處理者同意，受托人（rén）不得轉委托他人處理個人信息。

第二十二條 個人信息處理者（zhě）因（yīn）合並、分立、解散、被宣告破產等原（yuán）因需要轉移個人信息的（de），應當向個人（rén）告知接收方的名稱或（huò）者姓名和聯（lián）係方式。接收方應當繼續履行（háng）個人信息處（chù）理者的義務。接收方變更原先的處理目的、處理方式的，應當（dāng）依照本法規定重新取得個（gè）人同意。

第二十（shí）三條（tiáo） 個人信（xìn）息處理者向其他（tā）個人信息處理者提供其處（chù）理的個人信息的，應當向個人告知（zhī）接收方的名稱（chēng）或者姓名、聯係方式、處理目的、處理方式和個人信息的種類，並（bìng）取得個人（rén）的單獨同意。接收方應當在上（shàng）述處理目的、處理方式和個人信息的種類等範圍內處理個人信（xìn）息。接收方（fāng）變更原先的處理目的、處理方式的，應當依照本法規定（dìng）重新（xīn）取得個人同意。

第二十四條 個人信息處理者利用個（gè）人信息進行自動化決策，應當保證（zhèng）決策（cè）的透明度和結果公平、公正，不得對個人在交易價格等交易條件上（shàng）實行不合理的差別待遇。

通過自動化決策方式向（xiàng）個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選（xuǎn）項，或者向個人提供便捷的拒（jù）絕方式。

通過自動化決策方式作出對（duì）個人權益有重大影響的決定，個人有權要求個人信息處理者予（yǔ）以說明，並有權拒（jù）絕個人信息（xī）處（chù）理者僅通過自動（dòng）化決策的方式（shì）作出決定。

第二十五條 個（gè）人信息處（chù）理者不得公開其處理（lǐ）的個人信息，取（qǔ）得個人單獨（dú）同意的除外。

第二十六條 在公共（gòng）場所安裝圖像采集、個人身份（fèn）識別設備，應當為維護公（gōng）共安全所必需，遵守國（guó）家有關規定，並設（shè）置顯著（zhe）的提（tí）示（shì）標識。所收集的個人圖像、身份識別信息隻能（néng）用於維護公共安全的目的，不得用於其他目的；取得（dé）個人單獨同意的（de）除外。

第二十七條 個人信息處（chù）理者可以（yǐ）在合理的範圍內處理個人自（zì）行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已（yǐ）公開的個人信息，對個人權益有重大影響的，應當依照（zhào）本法規定取得個人同意。

第二節 敏（mǐn）感個人信息的（de）處理規則

第二十八條 敏感個人（rén）信息是一旦（dàn）泄露或者非法使用（yòng），容易導致自然人的人格尊嚴受到侵害或者人（rén）身（shēn）、財產安全（quán）受到危害的個人信息，包（bāo）括生物識別、宗教信仰、特定（dìng）身份、醫療（liáo）健（jiàn）康、金融賬戶、行蹤軌跡等（děng）信息，以及不滿十四周歲未（wèi）成（chéng）年人的個人信息。

隻有在具有特定的目的和充分的必要性，並采取嚴格保護（hù）措施的情形下，個人信息處理者方可處理敏感個人信息（xī）。

第二十九條 處理敏感個人信息應當取得個人（rén）的單獨同意；法律、行政（zhèng）法規規定處理敏感（gǎn）個（gè）人信息應當取得書麵同意的（de），從其規（guī）定（dìng）。

第三十條（tiáo） 個人信息處理者處理敏感個人信息的，除（chú）本法第十七條第一（yī）款規定的事項外，還應當向個人告知處理敏感個人信息的必要（yào）性以及對個人權益的影響；依照本法規定可以不向個人告知的除外。

第三十一條 個人信（xìn）息處理者處理不滿十四周歲未（wèi）成年人個人（rén）信息的（de），應當取得未成年人的父母或者其他（tā）監護人的同意。

個人信息處理者處理不滿十四周歲（suì）未成年人個人信息的，應當製定專門的個人信息（xī）處理規則。

第三十二條 法律、行（háng）政法（fǎ）規對處理敏感個人信息（xī）規定應當取得（dé）相關行政許可或者作出其（qí）他限製的，從其規定。

第三節 國家機關處理個人信息的特別規定

第三十三條 國家機關（guān）處理個人信息的活動，適用（yòng）本法；本節有（yǒu）特別規定的，適用本節規定（dìng）。

第三十（shí）四條 國家機關為履行法定職責處（chù）理個（gè）人信（xìn）息，應當依照法律、行政法規規定的權限、程（chéng）序進行，不得超出履行法定職責（zé）所必需的範圍（wéi）和限度。

第三十五條 國家機關為（wéi）履行法定職責處理個人信息，應當依照本法規定履行告知（zhī）義務；有本法第（dì）十八條第一款規定的情形，或者告知將妨礙國家機關履行法定職責的除外。

第三十六條 國家機關處理的個人信（xìn）息應當在中華人民共和國境內存儲；確需向境外提供的（de），應當進行安全評估。安（ān）全評估可以要求有關部門提供支持與協助。

第三十七條 法律、法規授權的具有管理（lǐ）公共事務職（zhí）能的組織為履行法定職責處（chù）理個人（rén）信息（xī），適（shì）用本法關於國家機關處理個人信息的規定。

第（dì）三章 個人（rén）信息跨境提供的規則

第三十八（bā）條 個人信息處理（lǐ）者因（yīn）業務等需要，確（què）需向中華人（rén）民共（gòng）和（hé）國境外提供個人信息的，應當具備下列條件之一：

（一）依照本法第（dì）四十條的規定通過（guò）國（guó）家網信部門組織的安全評估；

（二）按照國家網信部門的規定經專（zhuān）業機構進行個人信息保護認證；

（三）按照（zhào）國家（jiā）網信部門（mén）製定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；

（四（sì））法律、行政（zhèng）法規或者（zhě）國家網信部門規定的其他條件。

中華人民共和國締結或者（zhě）參加的國際（jì）條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的，可以按（àn）照其規定執行。

個人（rén）信息（xī）處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規定的（de）個人信息（xī）保護標準。

第三十九條 個（gè）人信息處理者向中（zhōng）華人（rén）民共和（hé）國境外提供個人信（xìn）息的，應當向個人告知境外接收方的名稱或者姓名、聯係方（fāng）式、處理目的、處理方（fāng）式、個（gè）人信息的種（zhǒng）類以及個人向境外接收方（fāng）行使本法規定權利的（de）方式和程序等事項，並取得個人（rén）的（de）單（dān）獨同意。

第四十條 關鍵信息基礎設施運營（yíng）者和處理個人信息達到國家網信部門規定數量的個人信（xìn）息處理者，應（yīng）當將在中華人民共和國境（jìng）內收集和產生的個人信息（xī）存儲在境內。確需向境外提（tí）供的，應當（dāng）通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安（ān）全評估的，從其規定。

第四十一條 中華人民（mín）共和國主管機（jī）關根據有關法律和中華人民共和國締結或者參加的國際條約、協定（dìng），或者按照平等互惠（huì）原則，處理外國司法或者執法（fǎ）機構關於提供存儲（chǔ）於境內個人信息（xī）的請（qǐng）求。非經中華人民共和國主管機關批準（zhǔn），個人信息處理者不得向外國（guó）司法或者執法（fǎ）機構（gòu）提供存儲於中華人民共和國境內的個人信息。（未完待續）

第四十二條（tiáo） 境外的組織、個人從事侵（qīn）害中華人民共和國公民的個人信息權益，或者危害中華人（rén）民共和國國家安全、公共利益的個人信息處理活動的，國家網信（xìn）部門可以將其列入限製（zhì）或者禁止個人信息提（tí）供清單，予以公告（gào），並采取限製或者禁止向其提供個人信息等措施。

第四十三條 任何國家或者地（dì）區在個（gè）人信息保護方麵對中華人民共（gòng）和國采取歧視性的禁止、限製（zhì）或（huò）者其他類（lèi）似措施的，中華人民共和國可以（yǐ）根據實際（jì）情（qíng）況對該國（guó）家或者地區對等采取措（cuò）施。

第四（sì）章 個人在個（gè）人信息處理活動中的權利

第四十（shí）四條 個人（rén）對其個人信息（xī）的處理享（xiǎng）有知情權、決定權，有權限製（zhì）或者拒（jù）絕他人對其個人信息進行處理；法（fǎ）律、行（háng）政法規另有規定的除外。

第四十五條 個人有權向個人信息處理者查閱、複製其個人信息；有本法第十八條第一款、第三十五條規（guī）定情形的除外。

個人請求查閱、複製其個人信息（xī）的，個人信息處理者應當及時（shí）提供。

個人請求將個人（rén）信息轉移至其指定的個人信息處理者，符合國家網（wǎng）信部（bù）門規定條件的，個人信（xìn）息處理者（zhě）應（yīng）當提供轉移的途徑。

第四十（shí）六（liù）條（tiáo） 個人發現其個人信息不準確或者不完整（zhěng）的，有權請求個人信息處理者更正（zhèng）、補充。

個人請求更（gèng）正、補充其個人信息的，個人信息處理者應當對其個人信息予以核實，並（bìng）及時更正、補充（chōng）。

第四十七條 有下（xià）列（liè）情形之一的，個人信息處理者應當主動刪除個人信息；個人信（xìn）息處（chù）理者未刪除（chú）的，個人有權請求刪除：

（一）處理目的已實現、無法實現或者為實現處理目的不再必要；

（二）個人信（xìn）息（xī）處理者停止提供產品或者服務，或（huò）者保（bǎo）存期限已屆（jiè）滿；

（三）個人撤回同意；

（四）個人信息處理者違反法律、行政法規或者違反約定處理個人信息；

（五）法律、行政法規規定的其他情形。

法律、行政法規規定的保存期限未屆滿，或者刪除（chú）個人信息從技術上難以實（shí）現的，個人信息處理者應當（dāng）停（tíng）止（zhǐ）除存儲和采取必要的安全保護措施（shī）之外的處理。

第四十八條（tiáo） 個人有權要求（qiú）個人信（xìn）息處理者對其個人（rén）信息處理規則進行解釋說明。

第四十九條 自然（rán）人死（sǐ）亡的，其近（jìn）親屬為了自身的合法、正當利益，可以對（duì）死者（zhě）的相關個人信息行使本章規定的查閱、複（fù）製（zhì）、更正、刪除等權利；死者生前另有安排的除外（wài）。

第（dì）五十條 個人信息處（chù）理者應當建立便捷的個人行使權（quán）利的申請受理和處理機製（zhì）。拒絕個人行使權利的請求的，應當說明理由。

個人信息處理者拒絕個人行使權利（lì）的請求的，個人可以（yǐ）依法向人民法院（yuàn）提起訴訟。

第五章（zhāng） 個（gè）人信息處理者（zhě）的義務

第五十一條 個人信息處理者應當根據個人信息的處（chù）理目的、處理方式（shì）、個人信息的種類以（yǐ）及對個（gè）人（rén）權益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規的規定，並防止未經授權的訪問以及個（gè）人（rén）信息泄露、篡改、丟失：

（一）製定內部管理（lǐ）製度和操作規程（chéng）；

（二）對個人信息實行分（fèn）類管理；

（三）采取相應（yīng）的加密、去標識化等安全技術措施；

（四）合理確定個人信息處理的操（cāo）作權限，並定期對從業人員進行安全教（jiāo）育和培訓；

（五）製定並組織實施個人信息（xī）安全事件應急（jí）預案；

（六）法律、行政法規（guī）規定的其他措施。

第五十二條 處理個人信息達到國家網信部門規定數量的個（gè）人信息處理者應當指定個人信息（xī）保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監（jiān）督。

個人信息（xī）處（chù）理者應當公開個人信（xìn）息（xī）保護負責人的聯係方式，並將個人信息保護負責人的姓名、聯係方式等報送履行個人信息保護職責（zé）的（de）部門。

第五十（shí）三條（tiáo） 本法第三條（tiáo）第二款規定的中華人民共和國境外的個人信息處理者，應當在中華人民（mín）共和國境內設立專門機構或者指定代表，負責（zé）處（chù）理個人信息保護相關事務，並將有（yǒu）關機構的名稱或者代表的姓名、聯係方式等報送履行個人信息保護職責的（de）部門。

第五十四條 個（gè）人信息處理者（zhě）應當定期對其處理個人信息遵守法（fǎ）律（lǜ）、行政法規的情況進（jìn）行合規審計。

第五（wǔ）十（shí）五條 有下列情形之一的，個人信息處（chù）理者應當事前進行個人信息保護影響評估，並對處理情況進行記錄（lù）：

（一（yī））處理敏感（gǎn）個人信（xìn）息；

（二（èr））利用個人信息進行自動化決策（cè）；

（三）委托處理（lǐ）個人信息、向其他個人信息處理者提供個人（rén）信息、公開個人信（xìn）息；

（四）向境外提供個人信息；

（五）其他對個人權益有重大影（yǐng）響的個人信息（xī）處理（lǐ）活動。

第五十六條 個人信息保護影響評估應（yīng）當包括下列內容：

（一）個人信息的處理目的、處理方式等是否合法、正當、必要；

（二）對個人權益（yì）的影響及安全（quán）風（fēng）險；

（三）所采（cǎi）取的保護措施是否合法、有（yǒu）效並與風險程（chéng）度相適（shì）應。

個人信息保護影響評估報告和處理（lǐ）情況記錄應當至少（shǎo）保存三年。

第五十七條 發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應（yīng）當立即采取補救措施，並通知履行個人信息保護職（zhí）責的部（bù）門（mén）和個人。通知應當包括下列事項：

（一）發（fā）生或者可能發生個人信息泄露、篡改、丟失的信息種類、原（yuán）因和可能（néng）造成的危（wēi）害；

（二）個（gè）人信息處理者采取的補救措施和個人可以采取的減輕危害的（de）措施；

（三）個人信息處理者的聯係方式。

個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失（shī）造成危害的，個人信息處（chù）理者可以不通知個人；履行個人信息保護（hù）職責的部門認為可能造成危害的，有權要求個人信息處理者通知個人。

第五十八條 提供重要（yào）互聯網平（píng）台服務、用戶數量巨大（dà）、業務類型複雜的個人信（xìn）息處理者，應當履（lǚ）行下列義務：

（一）按照國家規定建立健全個人信息保護合規製度體係，成立主要由外部成員組成的獨立機（jī）構對個人信息保護（hù）情況進行（háng）監督；

（二）遵循公開（kāi）、公平、公正的（de）原則，製定平台規則，明確平台內產品或者服務提供者處（chù）理個人信（xìn）息的（de）規範和保護個人信息的義務；

（三）對嚴重違反法律、行政法規處理個人信息的平台內的（de）產品或者服務（wù）提供者（zhě），停止提供服務；

（四）定期發布個人信息保護（hù）社會責任報告，接受社會監督。

第五十九條 接受委托處理個（gè）人信息的受托人，應當依照本法和有關法律、行（háng）政法（fǎ）規的規定（dìng），采取必要措施保障所處理的個人信息的安全（quán），並協助個人信息處理者履（lǚ）行本法規定的義務。（未完待續（xù））

第六章 履行個人信息保護職責的部門

第（dì）六十條 國家網信部門負責統籌協調個人信息保護工作和相關監督（dū）管理工作。國務院有（yǒu）關部門依照本法和有關（guān）法律（lǜ）、行政（zhèng）法（fǎ）規的規定，在各自職責範（fàn）圍內負責個人信息保護和監督（dū）管理（lǐ）工作。

縣級（jí）以上地方人（rén）民政府有關部門的個人信息保（bǎo）護（hù）和監督管理職責，按照（zhào）國家有（yǒu）關規定確定。

前兩款規定的部門統稱為履行個人信息保護職責的部（bù）門。

第（dì）六十一條 履行個人信（xìn）息保護職責的部（bù）門履行下列個人信息保護職責：

（一）開展個人信息保護（hù）宣傳教育，指導、監督個人信息（xī）處理者（zhě）開展個人信（xìn）息保（bǎo）護工作（zuò）；

（二）接受、處理與個人信息保（bǎo）護有關的投訴、舉報；

（三）組（zǔ）織對應用程序等（děng）個人信息保護情況進行測評，並公布測評結果（guǒ）；

（四（sì））調（diào）查、處理違法個人信息處理活動；

（五）法律、行政法規（guī）規定的其（qí）他職責。

第六十二條 國家網信部門統籌（chóu）協調有關部門依據本（běn）法推進下列個人（rén）信息保護工作：

（一）製定個（gè）人信息保護具體規則、標準；

（二）針對小型個人信息處理（lǐ）者、處理敏感個人信息以及（jí）人（rén）臉識別、人工智能等新技術、新應用，製定專門的個人信息保護規則、標準；

（三）支持研究開發和推廣應（yīng）用安全、方便的電子身份認證技術，推進網絡身份認證公共服務建設；

（四）推進個人信息保護社會化服務體（tǐ）係建（jiàn）設，支持（chí）有關機構開展個人信息保護評估、認證服務；

（五）完善個人信息保護投訴、舉報工作機製。

第六十三（sān）條（tiáo） 履行個人信息保護職（zhí）責的部門履行個人信息保護職責，可以采取下列措施：

（一）詢問有關當事人，調查與個人信息處理活動有關的情況；

（二）查閱、複製當（dāng）事人與個人信息處理活（huó）動有關的合同、記錄、賬簿以及其他有（yǒu）關資料（liào）；

（三）實施現場檢查，對涉嫌違法的個人（rén）信（xìn）息處理活（huó）動進行調查；

（四）檢查與個人信息（xī）處理活動有關的設（shè）備、物品；對有（yǒu）證據證（zhèng）明是（shì）用於違法個人（rén）信息處理活動的（de）設備、物品（pǐn），向本部門主要負責人書麵（miàn）報告並經批準（zhǔn），可以查封或者（zhě）扣押（yā）。

履行個人信息保護（hù）職責的部門依法（fǎ）履行職責，當事人（rén）應當予以協助、配合，不得拒絕、阻撓。

第六十四條 履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事（shì）件（jiàn）的，可以（yǐ）按照規定的權限和程序對該個人信息處（chù）理者的法定代表人或者主（zhǔ）要負責（zé）人進行約談，或者要求個（gè）人信息處理者（zhě）委托專業機構對其個人信息（xī）處理活動進行合規審計。個人信息處理者應當（dāng）按照要求采取措施，進行整改，消除隱患。

履行個人信息保護（hù）職責的部門在（zài）履行職責中，發現違法處理個人信息涉嫌犯罪的，應當及時移送公安機關依法處理。

第六十五條 任何組織、個人有權對違（wéi）法個人信息處理活動向履行個（gè）人信（xìn）息保護職責的（de）部門進行投訴、舉報。收到投訴、舉報的（de）部門應當依（yī）法及時處理，並（bìng）將處理結果告知投訴、舉報人。

履行個（gè）人信息保護（hù）職責的部門應當公布接（jiē）受投訴、舉報的聯係方（fāng）式（shì）。

第七章 法律（lǜ）責任

第六十六（liù）條（tiáo） 違反本法規定處理個人信息，或者處理個（gè）人信息未履行本法規定的個人信（xìn）息保護義務的，由履行個人信息保護（hù）職責的部（bù）門責令改正，給予警告，沒（méi）收違法所得，對違法處理個人信息的應用（yòng）程（chéng）序，責（zé）令暫停或者終止（zhǐ）提供服務（wù）；拒不改（gǎi）正的，並處一百萬元以（yǐ）下罰款；對直接負責的主管（guǎn）人員和其他直接責任人員（yuán）處一萬元以上十（shí）萬元以下罰款。

有前款規定的違法行為，情節嚴（yán）重的，由（yóu）省級以（yǐ）上履行個人（rén）信息保護職責的部門責令改正，沒收違法所得，並（bìng）處（chù）五千萬元以下或者上一年度營業額百分之五（wǔ）以下罰款，並可以責令暫停相關業務或者停（tíng）業整頓、通報有關主管部門吊（diào）銷相關業（yè）務許（xǔ）可或者吊銷營業（yè）執（zhí）照；對（duì）直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，並可以決定禁止（zhǐ）其在一定期限內擔任（rèn）相關（guān）企業的董事、監事、高級管（guǎn）理人員和個人信息保護負責人。

第六十七條 有本法規定的違法行為的，依照有（yǒu）關法律、行政法規的規定記入（rù）信用檔（dàng）案，並予以公示。

第六十八條（tiáo） 國家（jiā）機關不履行本法（fǎ）規（guī）定的個人信息保護義務的，由（yóu）其上級機關（guān）或者履行個人信息保護職責的部門責令改正；對直接負責的主（zhǔ）管人員和其他直接責任人員依法（fǎ）給（gěi）予處（chù）分。

履行個人信（xìn）息保護職責（zé）的（de）部門（mén）的工作（zuò）人員玩忽職守、濫用職權、徇私舞弊，尚不構成犯罪的，依法給（gěi）予處分。

第六（liù）十九條 處理個人信息侵害個人信息權（quán）益造成（chéng）損害，個人信息處理者不能（néng）證明自己沒有過錯的，應當承擔損害賠償等（děng）侵權（quán）責任。

前款規定的損害賠償（cháng）責任按照（zhào）個人因此受到的損失（shī）或者個人（rén）信息處理者（zhě）因此獲得的利益確定；個人因此受到的（de）損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額（é）。

第七十（shí）條 個（gè）人信（xìn）息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院（yuàn）、法律規定的消費者組織和由國家網信部（bù）門確定的組織可以依法（fǎ）向人民法院提起訴訟。

第七（qī）十一條 違反本法規定，構成違反治（zhì）安管理行為的，依法給予治安管理處（chù）罰；構成犯罪的（de），依法追究刑事責（zé）任。

第（dì）八章 附（fù）則

第七十二條 自然人因個人或者家庭事務處理個人信息（xī）的，不（bú）適用本法。

法律對各級人民政府及其有（yǒu）關部門組織實施的統計、檔（dàng）案管理活動中（zhōng）的個（gè）人信息處理有規定的，適用其規定。

第七十三條 本法下列用語的含義：

（一）個人信息處（chù）理者，是指在個人（rén）信息處理活動中自主（zhǔ）決定處理目的、處理方式的組織、個人。

（二）自動化決策，是指通過計（jì）算機程（chéng）序自動分析、評估個人的行（háng）為習慣、興趣愛好或者經濟、健康、信用狀況等，並進行（háng）決策（cè）的活動（dòng）。

（三）去標識化，是指個人信（xìn）息經過處理（lǐ），使其（qí）在不借助額外信息的情況下（xià）無法識別特定自然（rán）人的過程。

（四（sì））匿名化，是指個人信息經過處理無法識別特定自然人且不能複（fù）原的過程。

第七十四條 本法自2021年11月1日起施行（háng）。（完）