個(ge)(ge)(ge)人信(xin)(xin)息(xi)保(bao)護法(fa)(fa)是一部(bu)保(bao)護個(ge)(ge)(ge)人信(xin)(xin)息(xi)的(de)(de)法(fa)(fa)律(lv)(lv)條款，涉及(ji)(ji)法(fa)(fa)律(lv)(lv)名稱的(de)(de)確立(li)、立(li)法(fa)(fa)模式問(wen)題(ti)(ti)(ti)、立(li)法(fa)(fa)的(de)(de)意義和重要性、立(li)法(fa)(fa)現狀以及(ji)(ji)立(li)法(fa)(fa)依據(ju)、法(fa)(fa)律(lv)(lv)的(de)(de)適用(yong)范圍、法(fa)(fa)律(lv)(lv)的(de)(de)適用(yong)例(li)外及(ji)(ji)其規(gui)定方式、個(ge)(ge)(ge)人信(xin)(xin)息(xi)處(chu)理(li)的(de)(de)基本(ben)原則、與(yu)(yu)政府信(xin)(xin)息(xi)公開條例(li)的(de)(de)關系(xi)、對政府機(ji)關與(yu)(yu)其他個(ge)(ge)(ge)人信(xin)(xin)息(xi)處(chu)理(li)者的(de)(de)不同規(gui)制(zhi)方式及(ji)(ji)其效果、協調(diao)個(ge)(ge)(ge)人信(xin)(xin)息(xi)保(bao)護與(yu)(yu)促進(jin)信(xin)(xin)息(xi)自(zi)由流(liu)動(dong)的(de)(de)關系(xi)、個(ge)(ge)(ge)人信(xin)(xin)息(xi)保(bao)護法(fa)(fa)在特定行(xing)業的(de)(de)適用(yong)問(wen)題(ti)(ti)(ti)、關于敏(min)感個(ge)(ge)(ge)人信(xin)(xin)息(xi)問(wen)題(ti)(ti)(ti)、法(fa)(fa)律(lv)(lv)的(de)(de)執行(xing)機(ji)構、行(xing)業自(zi)律(lv)(lv)機(ji)制(zhi)、信(xin)(xin)息(xi)主體權(quan)利(li)、跨境信(xin)(xin)息(xi)交(jiao)流(liu)問(wen)題(ti)(ti)(ti)、刑(xing)事責任問(wen)題(ti)(ti)(ti)。對個(ge)(ge)(ge)人及(ji)(ji)行(xing)業有著(zhu)很大(da)的(de)(de)作(zuo)用(yong)。 [1]

個(ge)(ge)人(ren)信息保(bao)護可以通過(guo)數(shu)(shu)據(ju)庫安全的(de)技術手(shou)段實(shi)現(xian)，核心數(shu)(shu)據(ju)加密(mi)存儲，通過(guo)數(shu)(shu)據(ju)庫防火(huo)墻實(shi)現(xian)批量數(shu)(shu)據(ju)防泄漏，也可以通過(guo)數(shu)(shu)據(ju)脫敏實(shi)現(xian)批量個(ge)(ge)人(ren)數(shu)(shu)據(ju)的(de)匿名化，通過(guo)數(shu)(shu)字水印實(shi)現(xian)溯源處理。

2021年(nian)(nian)8月20日，十三屆全(quan)國人大(da)常(chang)委會第三十次會議表決通過《中(zhong)華人民共和國個人信息保護法》。自2021年(nian)(nian)11月1日起(qi)施行。 [12]??[16]

中華(hua)人民共和國個人信息保護法

（2021年(nian)8月20日第十(shi)三屆全國人民代表(biao)大會(hui)常務委員會(hui)第三十(shi)次會(hui)議(yi)通過） [17]

目錄

第一章 總 則

第二章 個人信息處理規則

第一節 一般規定

第二節 敏感個人信息(xi)的處(chu)理規(gui)則

第三節 國家機關處理個人信息的特別(bie)規定(ding)

第三(san)章(zhang) 個(ge)人(ren)信(xin)息(xi)跨境提供(gong)的規則

第四(si)章 個人在個人信息處理活動(dong)中(zhong)的權利

第五(wu)章 個(ge)人信息處理者的義務

第(di)六章(zhang) 履行(xing)個人(ren)信(xin)息保(bao)護職責的(de)部門

第七章 法律責任

第八章 附 則

內容

第一章 總 則

第(di)一條 為了保(bao)護個(ge)人信息權益，規(gui)范個(ge)人信息處理活(huo)動，促(cu)進個(ge)人信息合(he)理利用，根(gen)據憲法，制定本(ben)法。

第二條 自然(ran)人(ren)的(de)個人(ren)信息(xi)受(shou)法律(lv)保護，任何組(zu)織、個人(ren)不得侵害自然(ran)人(ren)的(de)個人(ren)信息(xi)權(quan)益。

第三條 在中華人民共和國境內處理自然(ran)人個(ge)人信息的(de)活動，適用本法。

在中(zhong)華(hua)人(ren)(ren)民共和(he)國境(jing)外處理(li)中(zhong)華(hua)人(ren)(ren)民共和(he)國境(jing)內(nei)自(zi)然人(ren)(ren)個人(ren)(ren)信(xin)息(xi)的活動(dong)，有下列情(qing)形(xing)之一(yi)的，也適(shi)用(yong)本法：

（一(yi)）以(yi)向境內(nei)自然人提供(gong)產(chan)品或者服務為目的(de)；

（二）分析、評(ping)估(gu)境內自然人的行為(wei)；

（三）法律、行政法規規定的其他情形。

第四條 個人信息是以(yi)電(dian)子或(huo)者其他方式記錄的與已識別或(huo)者可識別的自(zi)然人有(you)關(guan)的各種(zhong)信息，不包括匿名化處理后的信息。

個人信息(xi)(xi)的處理包括(kuo)個人信息(xi)(xi)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

第五條 處(chu)理個人信息(xi)(xi)應當(dang)遵循合(he)法、正當(dang)、必(bi)要和(he)誠信原則，不得通(tong)過(guo)誤(wu)導、欺(qi)詐、脅迫等方式處(chu)理個人信息(xi)(xi)。

第六條 處理(li)個人信息應(ying)當具有明確(que)、合理(li)的(de)目的(de)，并應(ying)當與處理(li)目的(de)直接相關(guan)，采(cai)取(qu)對個人權(quan)益影響(xiang)最小的(de)方式。

收(shou)集(ji)個人信(xin)息，應當限于實現處理目的(de)的(de)最小范圍，不得過度收(shou)集(ji)個人信(xin)息。

第(di)七條 處理(li)個(ge)人信息(xi)應當(dang)遵循公(gong)(gong)開、透(tou)明原則(ze)，公(gong)(gong)開個(ge)人信息(xi)處理(li)規則(ze)，明示處理(li)的(de)目(mu)的(de)、方式和范圍。

第八條 處理個人信息(xi)應(ying)當保證個人信息(xi)的(de)質量，避(bi)免(mian)因個人信息(xi)不準確、不完整對(dui)個人權益造成不利影響。

第九條 個(ge)人(ren)信(xin)息(xi)處(chu)(chu)理者應當對其個(ge)人(ren)信(xin)息(xi)處(chu)(chu)理活動負責，并采取必要措施保障所處(chu)(chu)理的個(ge)人(ren)信(xin)息(xi)的安全(quan)。

第十條 任何組織、個(ge)(ge)人不(bu)得(de)非法收集、使用、加工、傳輸他(ta)人個(ge)(ge)人信(xin)息(xi)，不(bu)得(de)非法買賣、提(ti)供或者公(gong)開他(ta)人個(ge)(ge)人信(xin)息(xi)；不(bu)得(de)從事危害國家安全、公(gong)共利(li)益的個(ge)(ge)人信(xin)息(xi)處理活動。

第十一條 國家(jia)建立(li)健全個(ge)人信(xin)息保(bao)(bao)(bao)護(hu)制(zhi)度(du)，預(yu)防和懲治侵害個(ge)人信(xin)息權益的行為，加強個(ge)人信(xin)息保(bao)(bao)(bao)護(hu)宣傳教育，推動(dong)形成政府、企業、相關社(she)會(hui)組織、公眾(zhong)共(gong)同參與個(ge)人信(xin)息保(bao)(bao)(bao)護(hu)的良好環境。

第十二(er)條 國(guo)家(jia)(jia)積極參與個(ge)人(ren)信(xin)息保(bao)(bao)護國(guo)際(ji)規(gui)則的制(zhi)定，促進個(ge)人(ren)信(xin)息保(bao)(bao)護方面的國(guo)際(ji)交流(liu)與合(he)作，推動與其他國(guo)家(jia)(jia)、地(di)區、國(guo)際(ji)組織之間的個(ge)人(ren)信(xin)息保(bao)(bao)護規(gui)則、標準等互認。

第二章 個人信息處理規則

第一節 一般規定

第十三條 符合下列情形之一(yi)的，個(ge)人信息(xi)處(chu)理者方可處(chu)理個(ge)人信息(xi)：

（一）取得個人的同(tong)意；

（二）為訂立(li)、履行個人作為一(yi)方當事人的合同(tong)所必(bi)需(xu)，或者按照依法制(zhi)定的勞動規章制(zhi)度(du)和依法簽訂的集體合同(tong)實施人力(li)資源管理所必(bi)需(xu)；

（三）為履行法定(ding)職責或者法定(ding)義(yi)務(wu)所必需；

（四(si)）為應對突發公共衛生(sheng)事件，或者緊急情(qing)況下為保護自然人(ren)的(de)生(sheng)命健康和財產安全所(suo)必需(xu)；

（五）為(wei)公共利益實施新聞報(bao)道、輿論監督(du)等行為(wei)，在合理(li)(li)的(de)范(fan)圍內處(chu)理(li)(li)個人信息；

（六）依照本法規定在合理(li)(li)的(de)范圍(wei)內處理(li)(li)個人自行公(gong)開(kai)或者其他已經合法公(gong)開(kai)的(de)個人信息；

（七）法律、行政法規規定的其他情形。

依照本法其他有(you)關規定，處理個(ge)人信息應當(dang)取得(de)個(ge)人同(tong)意，但是有(you)前(qian)款(kuan)第二項(xiang)至(zhi)第七(qi)項(xiang)規定情(qing)形(xing)的，不需取得(de)個(ge)人同(tong)意。

第十(shi)四條(tiao) 基于個人(ren)同(tong)(tong)意(yi)處理個人(ren)信息的(de)(de)，該同(tong)(tong)意(yi)應當由個人(ren)在充分知情的(de)(de)前(qian)提下自愿、明確作出。法律、行政法規(gui)規(gui)定處理個人(ren)信息應當取得個人(ren)單獨(du)同(tong)(tong)意(yi)或者書面同(tong)(tong)意(yi)的(de)(de)，從其規(gui)定。

個人(ren)信(xin)息的處理(li)(li)目的、處理(li)(li)方式和處理(li)(li)的個人(ren)信(xin)息種(zhong)類(lei)發生(sheng)變更(geng)的，應當重新取得個人(ren)同(tong)意。

第十五條 基于個(ge)人同(tong)意(yi)處理(li)個(ge)人信息(xi)的(de)，個(ge)人有(you)權撤回其同(tong)意(yi)。個(ge)人信息(xi)處理(li)者(zhe)應(ying)當提供(gong)便捷的(de)撤回同(tong)意(yi)的(de)方式(shi)。

個人撤回同意(yi)，不影響(xiang)撤回前基于個人同意(yi)已進行的個人信息處理活(huo)動的效力。

第十六條 個(ge)(ge)人信息處理(li)(li)者(zhe)不得以個(ge)(ge)人不同意處理(li)(li)其(qi)個(ge)(ge)人信息或者(zhe)撤回同意為由，拒絕提供產品或者(zhe)服(fu)務；處理(li)(li)個(ge)(ge)人信息屬(shu)于提供產品或者(zhe)服(fu)務所必需的除外(wai)。

第十七條 個人(ren)信息處(chu)理(li)者在處(chu)理(li)個人(ren)信息前，應當(dang)以顯著方(fang)式(shi)、清晰易懂的語言(yan)真(zhen)實、準確、完整地(di)向個人(ren)告知下列事項：

（一）個人信息處理者的名稱或(huo)者姓名和聯(lian)系方式；

（二）個人(ren)信息的處理目的、處理方式(shi)，處理的個人(ren)信息種類(lei)、保(bao)存期(qi)限；

（三）個(ge)人行(xing)使本法規定權(quan)利(li)的方(fang)式和程(cheng)序；

（四(si)）法律、行政(zheng)法規規定應當告知的其他事項。

前款規定(ding)事項發(fa)生(sheng)變(bian)更的，應當將變(bian)更部分告知個(ge)人。

個人信息(xi)(xi)處理者通(tong)過制(zhi)定個人信息(xi)(xi)處理規(gui)(gui)則(ze)(ze)的(de)方式告知第(di)一款(kuan)規(gui)(gui)定事項的(de)，處理規(gui)(gui)則(ze)(ze)應當(dang)公開，并(bing)且(qie)便于查閱和保存。

第十八條(tiao) 個(ge)人(ren)信息處(chu)理者處(chu)理個(ge)人(ren)信息，有法律、行政法規(gui)規(gui)定(ding)應當保密或者不需要告知的情形的，可以不向個(ge)人(ren)告知前條(tiao)第一款規(gui)定(ding)的事(shi)項。

緊急情況(kuang)(kuang)下為保護(hu)自然人(ren)(ren)的生命健(jian)康和財(cai)產(chan)安全無法及(ji)時向個(ge)人(ren)(ren)告(gao)知的，個(ge)人(ren)(ren)信(xin)息處理者(zhe)應(ying)當在緊急情況(kuang)(kuang)消除后及(ji)時告(gao)知。

第十九條 除法律、行政法規(gui)另有規(gui)定外，個(ge)人信息的(de)保存(cun)期限應(ying)當為實(shi)現處理目的(de)所必要的(de)最短時間(jian)。

第(di)二十條 兩個(ge)(ge)以上的(de)(de)個(ge)(ge)人(ren)信(xin)息處(chu)理者共同決定個(ge)(ge)人(ren)信(xin)息的(de)(de)處(chu)理目的(de)(de)和(he)處(chu)理方式(shi)的(de)(de)，應當約(yue)定各自的(de)(de)權(quan)利和(he)義(yi)務。但是，該約(yue)定不影響個(ge)(ge)人(ren)向其中任何一(yi)個(ge)(ge)個(ge)(ge)人(ren)信(xin)息處(chu)理者要求行使本法(fa)規定的(de)(de)權(quan)利。

個(ge)人信息(xi)處(chu)理者共同處(chu)理個(ge)人信息(xi)，侵害(hai)個(ge)人信息(xi)權益造(zao)成損害(hai)的，應當依法承(cheng)擔(dan)連帶(dai)責任。

第二十一條 個人(ren)信(xin)(xin)息(xi)處(chu)(chu)理(li)者委托處(chu)(chu)理(li)個人(ren)信(xin)(xin)息(xi)的(de)(de)，應當與(yu)受托人(ren)約(yue)定委托處(chu)(chu)理(li)的(de)(de)目(mu)的(de)(de)、期限、處(chu)(chu)理(li)方式、個人(ren)信(xin)(xin)息(xi)的(de)(de)種類(lei)、保(bao)護(hu)措(cuo)施以及雙方的(de)(de)權利和義(yi)務等(deng)，并對受托人(ren)的(de)(de)個人(ren)信(xin)(xin)息(xi)處(chu)(chu)理(li)活動(dong)進行監督。

受(shou)(shou)托(tuo)人(ren)應(ying)(ying)當(dang)按(an)照約(yue)定(ding)處(chu)(chu)理個(ge)(ge)人(ren)信息，不得(de)超出約(yue)定(ding)的(de)處(chu)(chu)理目的(de)、處(chu)(chu)理方式等處(chu)(chu)理個(ge)(ge)人(ren)信息；委(wei)托(tuo)合同不生效、無效、被撤銷或者終止的(de)，受(shou)(shou)托(tuo)人(ren)應(ying)(ying)當(dang)將(jiang)個(ge)(ge)人(ren)信息返(fan)還個(ge)(ge)人(ren)信息處(chu)(chu)理者或者予以刪除，不得(de)保留。

未經個(ge)人(ren)(ren)信息處理者同意，受托人(ren)(ren)不得(de)轉委托他人(ren)(ren)處理個(ge)人(ren)(ren)信息。

第二十二條 個人信息(xi)(xi)處理者(zhe)因(yin)合并、分立、解散、被宣告破(po)產(chan)等原(yuan)(yuan)因(yin)需要轉移(yi)個人信息(xi)(xi)的(de)(de)(de)，應當向個人告知接收方(fang)(fang)的(de)(de)(de)名稱或者(zhe)姓名和聯系方(fang)(fang)式。接收方(fang)(fang)應當繼(ji)續(xu)履行個人信息(xi)(xi)處理者(zhe)的(de)(de)(de)義(yi)務。接收方(fang)(fang)變更(geng)原(yuan)(yuan)先的(de)(de)(de)處理目的(de)(de)(de)、處理方(fang)(fang)式的(de)(de)(de)，應當依照本法規定重新取得(de)個人同(tong)意。

第二十(shi)三條 個(ge)人(ren)(ren)信(xin)息(xi)處(chu)(chu)(chu)理(li)(li)(li)者(zhe)(zhe)向(xiang)其他個(ge)人(ren)(ren)信(xin)息(xi)處(chu)(chu)(chu)理(li)(li)(li)者(zhe)(zhe)提供(gong)其處(chu)(chu)(chu)理(li)(li)(li)的(de)個(ge)人(ren)(ren)信(xin)息(xi)的(de)，應(ying)當向(xiang)個(ge)人(ren)(ren)告知(zhi)接收方(fang)(fang)(fang)的(de)名稱或者(zhe)(zhe)姓名、聯系方(fang)(fang)(fang)式、處(chu)(chu)(chu)理(li)(li)(li)目的(de)、處(chu)(chu)(chu)理(li)(li)(li)方(fang)(fang)(fang)式和(he)(he)個(ge)人(ren)(ren)信(xin)息(xi)的(de)種(zhong)類，并取得個(ge)人(ren)(ren)的(de)單獨同意(yi)(yi)。接收方(fang)(fang)(fang)應(ying)當在上述處(chu)(chu)(chu)理(li)(li)(li)目的(de)、處(chu)(chu)(chu)理(li)(li)(li)方(fang)(fang)(fang)式和(he)(he)個(ge)人(ren)(ren)信(xin)息(xi)的(de)種(zhong)類等范圍內處(chu)(chu)(chu)理(li)(li)(li)個(ge)人(ren)(ren)信(xin)息(xi)。接收方(fang)(fang)(fang)變更原先(xian)的(de)處(chu)(chu)(chu)理(li)(li)(li)目的(de)、處(chu)(chu)(chu)理(li)(li)(li)方(fang)(fang)(fang)式的(de)，應(ying)當依(yi)照本法規定(ding)重新(xin)取得個(ge)人(ren)(ren)同意(yi)(yi)。

第二十四條(tiao) 個人(ren)(ren)信(xin)息(xi)處理者利用(yong)個人(ren)(ren)信(xin)息(xi)進行自動化決策(ce)，應當保證(zheng)決策(ce)的(de)透明度和結果(guo)公平(ping)、公正，不(bu)得對個人(ren)(ren)在交(jiao)易價格等交(jiao)易條(tiao)件(jian)上實(shi)行不(bu)合理的(de)差別待遇(yu)。

通過自(zi)動化(hua)決策方式向(xiang)個人進行信息推送、商(shang)業(ye)營(ying)銷，應當同時(shi)提(ti)供不針對其個人特(te)征的(de)選項，或者向(xiang)個人提(ti)供便捷的(de)拒絕方式。

通過自(zi)動(dong)化(hua)決策方式作出(chu)對個人權益(yi)有重(zhong)大(da)影響的決定(ding)，個人有權要求個人信(xin)息處理者(zhe)(zhe)予以說明，并(bing)有權拒(ju)絕(jue)個人信(xin)息處理者(zhe)(zhe)僅通過自(zi)動(dong)化(hua)決策的方式作出(chu)決定(ding)。

第二十五條 個(ge)人信息處理(li)者不得公開其處理(li)的個(ge)人信息，取得個(ge)人單(dan)獨同意的除外。

第(di)二十(shi)六條 在公共(gong)場所(suo)安裝圖像(xiang)采集、個人(ren)身份識別(bie)設(she)備，應當為(wei)維護公共(gong)安全所(suo)必需，遵守國家有關規定，并設(she)置顯著的(de)(de)提(ti)示(shi)標識。所(suo)收(shou)集的(de)(de)個人(ren)圖像(xiang)、身份識別(bie)信息只能(neng)用(yong)于維護公共(gong)安全的(de)(de)目(mu)的(de)(de)，不得用(yong)于其他(ta)目(mu)的(de)(de)；取得個人(ren)單獨(du)同意的(de)(de)除外。

第二(er)十七(qi)條 個(ge)(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)息處理(li)者可(ke)以在合理(li)的(de)范圍內處理(li)個(ge)(ge)(ge)(ge)人(ren)(ren)自行公開(kai)或者其他已經(jing)合法公開(kai)的(de)個(ge)(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)息；個(ge)(ge)(ge)(ge)人(ren)(ren)明確拒(ju)絕(jue)的(de)除外。個(ge)(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)息處理(li)者處理(li)已公開(kai)的(de)個(ge)(ge)(ge)(ge)人(ren)(ren)信(xin)(xin)息，對個(ge)(ge)(ge)(ge)人(ren)(ren)權益有重(zhong)大影響的(de)，應當(dang)依照本法規定取得個(ge)(ge)(ge)(ge)人(ren)(ren)同意。

第二節 敏感個人信(xin)息的處理規則

第二十(shi)八條 敏感(gan)個人(ren)(ren)信(xin)(xin)(xin)息是一旦(dan)泄露或(huo)者非法使(shi)用(yong)，容易導致(zhi)自然人(ren)(ren)的人(ren)(ren)格尊(zun)嚴受到(dao)侵害(hai)或(huo)者人(ren)(ren)身、財產安全受到(dao)危害(hai)的個人(ren)(ren)信(xin)(xin)(xin)息，包(bao)括生物識別(bie)、宗教信(xin)(xin)(xin)仰(yang)、特定身份(fen)、醫療健(jian)康(kang)、金融賬戶、行(xing)蹤軌跡(ji)等信(xin)(xin)(xin)息，以及不滿十(shi)四(si)周歲未(wei)成年人(ren)(ren)的個人(ren)(ren)信(xin)(xin)(xin)息。

只有在具有特定的(de)目(mu)的(de)和充(chong)分的(de)必要性(xing)，并采(cai)取嚴(yan)格保(bao)護措施的(de)情形下，個(ge)人(ren)信息處(chu)理(li)者方(fang)可處(chu)理(li)敏感個(ge)人(ren)信息。

第二十九(jiu)條 處理敏(min)感個人信息(xi)應當(dang)取得個人的(de)單獨同意；法(fa)律(lv)、行(xing)政法(fa)規(gui)規(gui)定處理敏(min)感個人信息(xi)應當(dang)取得書面同意的(de)，從其規(gui)定。

第三十條 個人(ren)(ren)信(xin)息(xi)處理者處理敏感(gan)個人(ren)(ren)信(xin)息(xi)的，除(chu)本(ben)(ben)法第十七條第一款規定(ding)的事(shi)項外，還應當向個人(ren)(ren)告知處理敏感(gan)個人(ren)(ren)信(xin)息(xi)的必要性以及對個人(ren)(ren)權益的影(ying)響；依照本(ben)(ben)法規定(ding)可以不向個人(ren)(ren)告知的除(chu)外。

第三十(shi)一條 個人信息處理者處理不滿十(shi)四(si)周(zhou)歲(sui)未成(cheng)年人個人信息的(de)(de)，應(ying)當取得未成(cheng)年人的(de)(de)父母或者其他監護人的(de)(de)同(tong)意。

個人(ren)信(xin)息處理(li)者處理(li)不滿十四周(zhou)歲未成(cheng)年(nian)人(ren)個人(ren)信(xin)息的，應當制定專門(men)的個人(ren)信(xin)息處理(li)規(gui)則。

第三十(shi)二(er)條 法律、行政法規對處理(li)敏感個人信息規定應當取得相(xiang)關(guan)行政許(xu)可或者作(zuo)出其(qi)他(ta)限制的，從(cong)其(qi)規定。

第三(san)節 國家機關處理(li)個(ge)人信息(xi)的特(te)別規定

第(di)三十(shi)三條 國家(jia)機關處理個人信息的活動，適用本(ben)(ben)法；本(ben)(ben)節(jie)有特別(bie)規定(ding)的，適用本(ben)(ben)節(jie)規定(ding)。

第三十(shi)四條 國家機關(guan)為履(lv)行法(fa)定職責(ze)處理個人信息(xi)，應當依照法(fa)律、行政法(fa)規規定的權(quan)限、程序進(jin)行，不得超出履(lv)行法(fa)定職責(ze)所必需的范(fan)圍(wei)和限度。

第(di)三十五條 國家機關為履行(xing)法(fa)定(ding)職(zhi)責處理個(ge)人信(xin)息，應當依(yi)照本法(fa)規定(ding)履行(xing)告(gao)知義務；有(you)本法(fa)第(di)十八條第(di)一(yi)款規定(ding)的(de)情形(xing)，或者告(gao)知將妨(fang)礙國家機關履行(xing)法(fa)定(ding)職(zhi)責的(de)除外。

第三十六條(tiao) 國家機關(guan)(guan)處(chu)理的個人(ren)信(xin)息應當在中華人(ren)民共和國境內存儲；確需向境外提(ti)供的，應當進(jin)行安(an)全評估。安(an)全評估可(ke)以(yi)要求有關(guan)(guan)部門提(ti)供支持與協助。

第(di)三十七(qi)條 法律、法規授權的具有(you)管理(li)公共事(shi)務職能的組織為履行法定職責處(chu)理(li)個人信息，適用本法關(guan)于國家機關(guan)處(chu)理(li)個人信息的規定。

第三章 個人(ren)信息跨境提供(gong)的規則

第(di)三(san)十八條 個人信(xin)息處理者因業(ye)務等(deng)需要(yao)，確需向中華人民共和國境外提供個人信(xin)息的，應(ying)當具備下列(lie)條件(jian)之(zhi)一：

（一(yi)）依照(zhao)本法第四十條(tiao)的規定通過國(guo)家網信部門組(zu)織(zhi)的安全評估；

（二）按照國家網信部門(men)的規定經專(zhuan)業(ye)機構(gou)進行個人信息(xi)保護(hu)認(ren)證；

（三）按照國家網信部門制定的標準合(he)同(tong)與境外接收方(fang)訂(ding)立合(he)同(tong)，約(yue)定雙(shuang)方(fang)的權利和義(yi)務；

（四）法律(lv)、行(xing)政(zheng)法規(gui)或者國家網信部門規(gui)定的(de)其(qi)他(ta)條件。

中華人民(min)共(gong)和(he)國締結或(huo)者參加(jia)的(de)國際(ji)條約、協定對向中華人民(min)共(gong)和(he)國境外提供個人信息的(de)條件(jian)等有規(gui)定的(de)，可以按(an)照(zhao)其規(gui)定執行。

個人信(xin)息(xi)(xi)處(chu)(chu)理者應當采取必要措施，保障境外(wai)接收方處(chu)(chu)理個人信(xin)息(xi)(xi)的活動達到本法(fa)規定(ding)的個人信(xin)息(xi)(xi)保護(hu)標準(zhun)。

第(di)三十九條(tiao) 個(ge)人(ren)(ren)信息(xi)(xi)處理者向(xiang)(xiang)中華人(ren)(ren)民共(gong)和國境(jing)外提供個(ge)人(ren)(ren)信息(xi)(xi)的(de)，應(ying)當向(xiang)(xiang)個(ge)人(ren)(ren)告(gao)知境(jing)外接收方的(de)名稱(cheng)或者姓名、聯系方式、處理目的(de)、處理方式、個(ge)人(ren)(ren)信息(xi)(xi)的(de)種類以及個(ge)人(ren)(ren)向(xiang)(xiang)境(jing)外接收方行使本法規定權利的(de)方式和程序(xu)等事項，并取得個(ge)人(ren)(ren)的(de)單獨同意。

第四十條 關鍵信(xin)息(xi)(xi)基礎設施運營(ying)者(zhe)和(he)處理(li)個(ge)(ge)人(ren)信(xin)息(xi)(xi)達到國家(jia)網信(xin)部門規(gui)定數量的個(ge)(ge)人(ren)信(xin)息(xi)(xi)處理(li)者(zhe)，應當(dang)將(jiang)在中華(hua)人(ren)民共和(he)國境(jing)內收集(ji)和(he)產生的個(ge)(ge)人(ren)信(xin)息(xi)(xi)存儲在境(jing)內。確(que)需向境(jing)外提供(gong)的，應當(dang)通過國家(jia)網信(xin)部門組(zu)織(zhi)的安全評(ping)估(gu)；法律、行政法規(gui)和(he)國家(jia)網信(xin)部門規(gui)定可以(yi)不進(jin)行安全評(ping)估(gu)的，從其(qi)規(gui)定。

第(di)四十一條 中(zhong)華(hua)人民共(gong)和(he)國(guo)主管(guan)機(ji)關(guan)根(gen)據(ju)有關(guan)法(fa)律和(he)中(zhong)華(hua)人民共(gong)和(he)國(guo)締結或(huo)者參加的(de)國(guo)際(ji)條約、協(xie)定(ding)，或(huo)者按照平等互惠原則，處(chu)理外國(guo)司法(fa)或(huo)者執法(fa)機(ji)構關(guan)于提(ti)(ti)供存(cun)儲于境內個(ge)(ge)人信(xin)息的(de)請求。非經中(zhong)華(hua)人民共(gong)和(he)國(guo)主管(guan)機(ji)關(guan)批準，個(ge)(ge)人信(xin)息處(chu)理者不得向外國(guo)司法(fa)或(huo)者執法(fa)機(ji)構提(ti)(ti)供存(cun)儲于中(zhong)華(hua)人民共(gong)和(he)國(guo)境內的(de)個(ge)(ge)人信(xin)息。

第(di)四十二條 境(jing)外的(de)組織(zhi)、個(ge)(ge)人(ren)從事侵(qin)害中(zhong)華人(ren)民共(gong)和(he)國(guo)公(gong)民的(de)個(ge)(ge)人(ren)信(xin)(xin)息權(quan)益，或者危(wei)害中(zhong)華人(ren)民共(gong)和(he)國(guo)國(guo)家(jia)安(an)全、公(gong)共(gong)利(li)益的(de)個(ge)(ge)人(ren)信(xin)(xin)息處理(li)活(huo)動的(de)，國(guo)家(jia)網信(xin)(xin)部門可以(yi)將其列入限制或者禁止個(ge)(ge)人(ren)信(xin)(xin)息提(ti)(ti)供清單，予(yu)以(yi)公(gong)告，并采取限制或者禁止向其提(ti)(ti)供個(ge)(ge)人(ren)信(xin)(xin)息等措施。

第四十三條 任何(he)國(guo)家(jia)或者(zhe)地區在個人(ren)信(xin)息(xi)保護方面對(dui)中(zhong)華人(ren)民共和國(guo)采取歧視性(xing)的(de)禁止、限制或者(zhe)其他類似(si)措施的(de)，中(zhong)華人(ren)民共和國(guo)可以根據實際(ji)情況對(dui)該國(guo)家(jia)或者(zhe)地區對(dui)等采取措施。

第四章 個(ge)人在個(ge)人信息處理活(huo)動中(zhong)的權利

第四十四條 個(ge)人(ren)對(dui)其個(ge)人(ren)信息的處(chu)理(li)享有(you)知(zhi)情(qing)權、決(jue)定權，有(you)權限制或者(zhe)拒(ju)絕他人(ren)對(dui)其個(ge)人(ren)信息進行處(chu)理(li)；法律、行政法規另有(you)規定的除外。

第四(si)十(shi)五(wu)條 個(ge)人有權向個(ge)人信息處理者(zhe)查閱、復制其(qi)個(ge)人信息；有本法第十(shi)八條第一款、第三十(shi)五(wu)條規定情形的除外。

個(ge)人(ren)請求查閱、復(fu)制其個(ge)人(ren)信息(xi)的(de)，個(ge)人(ren)信息(xi)處理者應當(dang)及時提供。

個(ge)人(ren)請求將個(ge)人(ren)信(xin)(xin)息轉移(yi)至其指定的個(ge)人(ren)信(xin)(xin)息處(chu)理者(zhe)，符合國家網信(xin)(xin)部門規定條(tiao)件的，個(ge)人(ren)信(xin)(xin)息處(chu)理者(zhe)應(ying)當提供轉移(yi)的途徑(jing)。

第四十六條 個(ge)人發現其個(ge)人信息不準確或者不完整的，有權請求個(ge)人信息處理者更(geng)正、補(bu)充。

個(ge)(ge)人請求更(geng)正、補(bu)充其個(ge)(ge)人信(xin)息(xi)(xi)的，個(ge)(ge)人信(xin)息(xi)(xi)處理者應(ying)當對其個(ge)(ge)人信(xin)息(xi)(xi)予以核(he)實，并(bing)及(ji)時更(geng)正、補(bu)充。

第四十七條 有下列情形之一的(de)，個(ge)人(ren)信息處理者(zhe)(zhe)應當(dang)主動刪除個(ge)人(ren)信息；個(ge)人(ren)信息處理者(zhe)(zhe)未刪除的(de)，個(ge)人(ren)有權請求刪除：

（一）處理(li)目的(de)已實現、無(wu)法實現或者(zhe)為實現處理(li)目的(de)不再必要(yao)；

（二）個人信息(xi)處理者停止提供產(chan)品(pin)或(huo)者服務，或(huo)者保存期限已屆滿；

（三）個人撤回同意(yi)；

（四(si)）個(ge)人信(xin)(xin)息(xi)處理者(zhe)違(wei)反法律、行政法規或(huo)者(zhe)違(wei)反約定處理個(ge)人信(xin)(xin)息(xi)；

（五）法律、行政(zheng)法規(gui)規(gui)定的其他情形。

法律、行政(zheng)法規規定的(de)保存期限未屆滿，或(huo)者刪除個(ge)人(ren)信息從技術上(shang)難以實現的(de)，個(ge)人(ren)信息處理(li)(li)者應當(dang)停止除存儲和采取必要(yao)的(de)安(an)全保護措施(shi)之外的(de)處理(li)(li)。

第四十(shi)八條 個人(ren)有權要求個人(ren)信(xin)息處理者對其個人(ren)信(xin)息處理規(gui)則進行解釋(shi)說(shuo)明。

第四(si)十九條 自(zi)然人(ren)(ren)死亡的(de)，其近親屬(shu)為(wei)了(le)自(zi)身的(de)合法、正(zheng)(zheng)當利(li)(li)益，可以對死者的(de)相(xiang)關個人(ren)(ren)信息(xi)行使(shi)本(ben)章規定的(de)查閱、復制(zhi)、更(geng)正(zheng)(zheng)、刪(shan)除等權利(li)(li)；死者生前另有安排的(de)除外(wai)。

第五十條 個(ge)人(ren)(ren)信息(xi)處理(li)者應當建立便(bian)捷的(de)個(ge)人(ren)(ren)行使權(quan)利的(de)申(shen)請受理(li)和處理(li)機(ji)制。拒絕個(ge)人(ren)(ren)行使權(quan)利的(de)請求(qiu)的(de)，應當說明理(li)由(you)。

個(ge)人(ren)(ren)信息處理者拒絕個(ge)人(ren)(ren)行使權利(li)的請求的，個(ge)人(ren)(ren)可(ke)以依法(fa)向人(ren)(ren)民(min)法(fa)院提(ti)起(qi)訴訟。

第(di)五章 個(ge)人(ren)信息處理者的義務

第五十一條 個(ge)人信(xin)息(xi)(xi)(xi)處理(li)者應當根據個(ge)人信(xin)息(xi)(xi)(xi)的(de)(de)(de)處理(li)目(mu)的(de)(de)(de)、處理(li)方(fang)式(shi)、個(ge)人信(xin)息(xi)(xi)(xi)的(de)(de)(de)種(zhong)類以及對個(ge)人權(quan)益的(de)(de)(de)影響、可(ke)能存在(zai)的(de)(de)(de)安(an)全風險等(deng)，采(cai)取(qu)下列措施確保個(ge)人信(xin)息(xi)(xi)(xi)處理(li)活(huo)動符合法律、行(xing)政法規的(de)(de)(de)規定(ding)，并防止未經(jing)授權(quan)的(de)(de)(de)訪(fang)問以及個(ge)人信(xin)息(xi)(xi)(xi)泄露、篡(cuan)改、丟失(shi)：

（一(yi)）制定內部管理(li)制度和(he)操作規程；

（二）對個人信息實行分類管理；

（三）采取相應的加密、去標識化(hua)等安全技術(shu)措施(shi)；

（四）合理確(que)定(ding)個人信息(xi)處理的操作權限，并(bing)定(ding)期對從業人員進(jin)行安全教育和培(pei)訓；

（五）制定并組織實施個人信息安全事(shi)件應急預案；

（六）法律(lv)、行政(zheng)法規規定的其他措施。

第(di)五十二條 處理(li)個(ge)人(ren)(ren)信(xin)(xin)息(xi)達到國家網信(xin)(xin)部門規定(ding)數量的個(ge)人(ren)(ren)信(xin)(xin)息(xi)處理(li)者應當(dang)指定(ding)個(ge)人(ren)(ren)信(xin)(xin)息(xi)保護(hu)負(fu)責(ze)人(ren)(ren)，負(fu)責(ze)對(dui)個(ge)人(ren)(ren)信(xin)(xin)息(xi)處理(li)活動以及采(cai)取的保護(hu)措(cuo)施等進行(xing)監督。

個(ge)人信息(xi)處理者應當公開個(ge)人信息(xi)保(bao)護(hu)負責人的聯系(xi)方式，并將個(ge)人信息(xi)保(bao)護(hu)負責人的姓名、聯系(xi)方式等報送履行個(ge)人信息(xi)保(bao)護(hu)職(zhi)責的部(bu)門。

第(di)五十三(san)條 本法第(di)三(san)條第(di)二款規定(ding)的(de)中(zhong)華(hua)人民共和(he)(he)國(guo)境(jing)外的(de)個人信(xin)息處理者，應(ying)當在中(zhong)華(hua)人民共和(he)(he)國(guo)境(jing)內設立專門(men)機構或(huo)者指(zhi)定(ding)代(dai)表，負責(ze)處理個人信(xin)息保護(hu)相關(guan)事務，并將有關(guan)機構的(de)名(ming)稱(cheng)或(huo)者代(dai)表的(de)姓名(ming)、聯系方式等(deng)報送履行(xing)個人信(xin)息保護(hu)職(zhi)責(ze)的(de)部門(men)。

第五十四條 個人(ren)信息處(chu)理者應當定(ding)期對其處(chu)理個人(ren)信息遵守法(fa)律、行政法(fa)規(gui)(gui)的(de)情況進行合規(gui)(gui)審計。

第五十五條 有下列情形之一的，個(ge)人(ren)信(xin)息處(chu)理者應(ying)當事前進行(xing)個(ge)人(ren)信(xin)息保(bao)護影響評估，并(bing)對處(chu)理情況進行(xing)記錄：

（一(yi)）處理敏感個人信息；

（二）利(li)用(yong)個人信息進行自動(dong)化決策；

（三）委托處理個(ge)人(ren)(ren)信息(xi)(xi)、向(xiang)其他個(ge)人(ren)(ren)信息(xi)(xi)處理者(zhe)提供(gong)個(ge)人(ren)(ren)信息(xi)(xi)、公(gong)開個(ge)人(ren)(ren)信息(xi)(xi)；

（四）向境外提供個(ge)人信息；

（五）其他對個(ge)人權益有重大影響(xiang)的個(ge)人信息(xi)處理(li)活動。

第五(wu)十(shi)六條 個人信(xin)息保護影(ying)響評估應當包括下列內容：

（一）個人信息的(de)處理目的(de)、處理方式等(deng)是否合(he)法、正當、必要；

（二）對個人權益的影響及安全風險；

（三）所采(cai)取的保護措施是(shi)否合法、有效(xiao)并與風險程度相適(shi)應。

個(ge)人信(xin)息保護(hu)影響評估報告和處理情(qing)況記錄應當至少(shao)保存三年。

第五(wu)十七條 發生(sheng)或者(zhe)(zhe)可能發生(sheng)個人(ren)(ren)信息(xi)泄(xie)露、篡(cuan)改、丟失(shi)的(de)，個人(ren)(ren)信息(xi)處理者(zhe)(zhe)應當立即采取補救(jiu)措(cuo)施，并通知履行個人(ren)(ren)信息(xi)保護職責的(de)部(bu)門和個人(ren)(ren)。通知應當包括下列事項：

（一）發生或者可能發生個人(ren)信(xin)息泄(xie)露(lu)、篡改、丟失的信(xin)息種類、原因和(he)可能造成的危害；

（二(er)）個(ge)人(ren)信息處理者采取的(de)補救措施和(he)個(ge)人(ren)可以采取的(de)減輕危(wei)害的(de)措施；

（三）個(ge)人信息處(chu)理者的聯系方式。

個(ge)人(ren)信(xin)(xin)息(xi)處(chu)理者(zhe)采取措施能(neng)夠有效避(bi)免(mian)信(xin)(xin)息(xi)泄露、篡改、丟失造(zao)成危(wei)害(hai)(hai)的，個(ge)人(ren)信(xin)(xin)息(xi)處(chu)理者(zhe)可(ke)(ke)以不通知(zhi)個(ge)人(ren)；履行個(ge)人(ren)信(xin)(xin)息(xi)保護職責的部門(men)認為(wei)可(ke)(ke)能(neng)造(zao)成危(wei)害(hai)(hai)的，有權要求個(ge)人(ren)信(xin)(xin)息(xi)處(chu)理者(zhe)通知(zhi)個(ge)人(ren)。

第五十八(ba)條 提(ti)供(gong)重要互聯(lian)網平臺服務、用戶數(shu)量巨大(da)、業務類型(xing)復雜的個人信息處理(li)者(zhe)，應當履行下(xia)列義務：

（一）按照國(guo)家規定建立健全個(ge)人信(xin)息保護合規制度(du)體系，成(cheng)(cheng)立主要由外部成(cheng)(cheng)員組成(cheng)(cheng)的(de)獨立機構對個(ge)人信(xin)息保護情況進(jin)行(xing)監督(du)；

（二(er)）遵循公(gong)開、公(gong)平(ping)、公(gong)正(zheng)的原則，制定平(ping)臺(tai)規則，明確(que)平(ping)臺(tai)內產品或者服務提供者處理個人信(xin)息的規范和保護個人信(xin)息的義務；

（三）對(dui)嚴重違(wei)反法律、行(xing)政法規處(chu)理個人(ren)信息的(de)平臺內的(de)產(chan)品或者服(fu)務提供者，停止提供服(fu)務；

（四）定期發(fa)布個(ge)人信息保護社(she)會責任報告(gao)，接受社(she)會監(jian)督(du)。

第五十九條 接(jie)受(shou)委托處理(li)個人信息(xi)(xi)的受(shou)托人，應(ying)當依照本(ben)法和有(you)關法律、行(xing)(xing)政(zheng)法規(gui)的規(gui)定，采取必要(yao)措施保障所處理(li)的個人信息(xi)(xi)的安全，并(bing)協助個人信息(xi)(xi)處理(li)者履(lv)行(xing)(xing)本(ben)法規(gui)定的義務。

第六章 履行個(ge)人信息(xi)保護(hu)職責的部門

第(di)六十條 國家網信(xin)部門負責(ze)(ze)統籌(chou)協調(diao)個人(ren)信(xin)息保護工(gong)(gong)作和相關(guan)(guan)監督管(guan)理(li)工(gong)(gong)作。國務院有關(guan)(guan)部門依照(zhao)本法(fa)(fa)(fa)和有關(guan)(guan)法(fa)(fa)(fa)律、行(xing)政(zheng)法(fa)(fa)(fa)規的(de)規定，在(zai)各自(zi)職責(ze)(ze)范圍內負責(ze)(ze)個人(ren)信(xin)息保護和監督管(guan)理(li)工(gong)(gong)作。

縣級以(yi)上地方人民政府有關部門的個(ge)人信息保護和監(jian)督管(guan)理職責(ze)，按照國家有關規定確(que)定。

前(qian)兩款規定的(de)部(bu)門(men)(men)統稱為履行個(ge)人信息保護職責的(de)部(bu)門(men)(men)。

第六十一條(tiao) 履行(xing)個人信息(xi)保護職(zhi)責的部門履行(xing)下(xia)列個人信息(xi)保護職(zhi)責：

（一）開展(zhan)個(ge)人(ren)(ren)信息(xi)保(bao)護宣(xuan)傳教育(yu)，指(zhi)導、監督個(ge)人(ren)(ren)信息(xi)處理者(zhe)開展(zhan)個(ge)人(ren)(ren)信息(xi)保(bao)護工作；

（二）接受、處(chu)理與(yu)個人信息保(bao)護有關的投訴、舉(ju)報；

（三）組織(zhi)對(dui)應用(yong)程序等個人(ren)信息(xi)保(bao)護情(qing)況進行測(ce)評，并公布測(ce)評結果；

（四）調查、處(chu)理(li)違法(fa)個人(ren)信息(xi)處(chu)理(li)活動(dong)；

（五(wu)）法律(lv)、行政(zheng)法規(gui)規(gui)定的其他職責(ze)。

第六十二(er)條 國家網(wang)信部門(men)(men)統籌(chou)協調有關部門(men)(men)依(yi)據本法推(tui)進下(xia)列個人信息保護工(gong)作(zuo)：

（一）制定個人信息(xi)保護(hu)具體規則(ze)、標準(zhun)；

（二(er)）針對小型(xing)個(ge)(ge)人(ren)信(xin)(xin)息處理者、處理敏感(gan)個(ge)(ge)人(ren)信(xin)(xin)息以及(ji)人(ren)臉識(shi)別、人(ren)工智能等新技術、新應用(yong)，制定專門(men)的個(ge)(ge)人(ren)信(xin)(xin)息保(bao)護規則、標(biao)準；

（三）支持研(yan)究開發(fa)和(he)推廣應用(yong)安(an)全、方便(bian)的電子身份(fen)認(ren)(ren)證技(ji)術，推進網(wang)絡(luo)身份(fen)認(ren)(ren)證公共服(fu)務(wu)建設(she)；

（四）推進個(ge)人(ren)(ren)信(xin)息保護社會化服(fu)(fu)務體系建(jian)設，支持有關機構(gou)開展個(ge)人(ren)(ren)信(xin)息保護評估、認證服(fu)(fu)務；

（五）完善個人信(xin)息(xi)保護投訴、舉報工作(zuo)機制。

第六(liu)十三(san)條 履行(xing)個(ge)人(ren)信(xin)息保護(hu)職責(ze)的部門履行(xing)個(ge)人(ren)信(xin)息保護(hu)職責(ze)，可以(yi)采取下列措(cuo)施(shi)：

（一）詢問有關(guan)當事人(ren)，調查與(yu)個(ge)人(ren)信息處理活動有關(guan)的情況;

（二）查閱、復制當(dang)事人(ren)與(yu)個人(ren)信息(xi)處理活動(dong)有(you)關的合同、記錄、賬簿以及其(qi)他有(you)關資料;

（三）實施現場檢查，對涉嫌(xian)違法的個人(ren)信息處理活動進行(xing)調查;

（四）檢查(cha)與個(ge)人(ren)(ren)信息(xi)處理(li)活動有關的設備(bei)、物品(pin)(pin);對有證據證明是(shi)用于(yu)違法個(ge)人(ren)(ren)信息(xi)處理(li)活動的設備(bei)、物品(pin)(pin)，向本部門主要負(fu)責人(ren)(ren)書面報告并經批準，可以(yi)查(cha)封(feng)或者扣押(ya)。

履行(xing)個人信息(xi)保護(hu)職責(ze)(ze)的(de)部門依法(fa)履行(xing)職責(ze)(ze)，當事人應當予以協助、配合，不得(de)拒絕、阻(zu)撓。

第(di)六十四條 履行(xing)(xing)個(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)(xi)保護職責(ze)(ze)的(de)(de)部門在履行(xing)(xing)職責(ze)(ze)中，發現個(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)(xi)處(chu)(chu)理活(huo)動(dong)(dong)存在較大(da)風(feng)險(xian)或(huo)者(zhe)發生個(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)(xi)安全事(shi)件的(de)(de)，可以按照規定的(de)(de)權限和(he)程序對(dui)該個(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)(xi)處(chu)(chu)理者(zhe)的(de)(de)法定代表人(ren)或(huo)者(zhe)主要(yao)負責(ze)(ze)人(ren)進行(xing)(xing)約談，或(huo)者(zhe)要(yao)求個(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)(xi)處(chu)(chu)理者(zhe)委托專業(ye)機構對(dui)其個(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)(xi)處(chu)(chu)理活(huo)動(dong)(dong)進行(xing)(xing)合規審計。個(ge)(ge)人(ren)信(xin)(xin)息(xi)(xi)(xi)處(chu)(chu)理者(zhe)應當(dang)按照要(yao)求采取措(cuo)施(shi)，進行(xing)(xing)整(zheng)改，消除隱患。

履(lv)行個人(ren)信(xin)息保護(hu)職(zhi)責的部門在履(lv)行職(zhi)責中，發現違法(fa)處理個人(ren)信(xin)息涉嫌(xian)犯罪(zui)的，應當及(ji)時移送公安機關(guan)依法(fa)處理。

第六十五條 任何組織、個人有權對違(wei)法個人信(xin)息處理(li)活動向履行個人信(xin)息保護職責的部門(men)進(jin)行投(tou)(tou)(tou)訴(su)、舉報。收到投(tou)(tou)(tou)訴(su)、舉報的部門(men)應當依法及時處理(li)，并將(jiang)處理(li)結果告知(zhi)投(tou)(tou)(tou)訴(su)、舉報人。

履行個人信息保護職責的(de)部門應當(dang)公布(bu)接(jie)受投訴、舉(ju)報的(de)聯系方式。

第七章 法律責任

第(di)六(liu)十(shi)六(liu)條 違(wei)反(fan)本法(fa)規定(ding)處(chu)理個(ge)人(ren)(ren)信息(xi)，或(huo)者處(chu)理個(ge)人(ren)(ren)信息(xi)未履行本法(fa)規定(ding)的個(ge)人(ren)(ren)信息(xi)保(bao)護義務(wu)(wu)的，由履行個(ge)人(ren)(ren)信息(xi)保(bao)護職責的部門責令改正(zheng)，給予警告，沒(mei)收違(wei)法(fa)所得，對違(wei)法(fa)處(chu)理個(ge)人(ren)(ren)信息(xi)的應(ying)用(yong)程序，責令暫停(ting)或(huo)者終止(zhi)提供服(fu)務(wu)(wu)；拒不改正(zheng)的，并處(chu)一百萬(wan)元以下罰(fa)款；對直接負責的主管人(ren)(ren)員(yuan)和其他直接責任人(ren)(ren)員(yuan)處(chu)一萬(wan)元以上十(shi)萬(wan)元以下罰(fa)款。

有前款(kuan)規定的(de)(de)違法(fa)行為，情(qing)節嚴重的(de)(de)，由省級(ji)以上履行個人(ren)(ren)信(xin)息保(bao)護(hu)職責(ze)(ze)(ze)的(de)(de)部(bu)門責(ze)(ze)(ze)令改正，沒(mei)收違法(fa)所得，并(bing)處五千萬元以下(xia)(xia)或(huo)者(zhe)上一年度營業(ye)(ye)(ye)額百(bai)分之五以下(xia)(xia)罰款(kuan)，并(bing)可(ke)以責(ze)(ze)(ze)令暫停(ting)相(xiang)關(guan)業(ye)(ye)(ye)務或(huo)者(zhe)停(ting)業(ye)(ye)(ye)整頓、通(tong)報有關(guan)主管(guan)部(bu)門吊(diao)銷相(xiang)關(guan)業(ye)(ye)(ye)務許可(ke)或(huo)者(zhe)吊(diao)銷營業(ye)(ye)(ye)執照；對直接(jie)負責(ze)(ze)(ze)的(de)(de)主管(guan)人(ren)(ren)員(yuan)和(he)其(qi)他直接(jie)責(ze)(ze)(ze)任人(ren)(ren)員(yuan)處十萬元以上一百(bai)萬元以下(xia)(xia)罰款(kuan)，并(bing)可(ke)以決定禁止其(qi)在(zai)一定期限內擔任相(xiang)關(guan)企業(ye)(ye)(ye)的(de)(de)董事(shi)、監事(shi)、高級(ji)管(guan)理人(ren)(ren)員(yuan)和(he)個人(ren)(ren)信(xin)息保(bao)護(hu)負責(ze)(ze)(ze)人(ren)(ren)。

第六十(shi)七條 有本法(fa)規定(ding)的(de)違法(fa)行(xing)為的(de)，依照有關(guan)法(fa)律、行(xing)政法(fa)規的(de)規定(ding)記入信用檔(dang)案(an)，并予(yu)以公示。

第(di)六十八條(tiao) 國家機關不(bu)履行本(ben)法規定的(de)(de)個(ge)人(ren)信(xin)息保護義務(wu)的(de)(de)，由(you)其(qi)上級機關或者履行個(ge)人(ren)信(xin)息保護職責的(de)(de)部門責令(ling)改(gai)正；對直接負責的(de)(de)主管人(ren)員(yuan)和(he)其(qi)他(ta)直接責任(ren)人(ren)員(yuan)依法給予處(chu)分。

履行個(ge)人信息保護職責(ze)的部(bu)門的工作人員(yuan)玩忽職守、濫用職權、徇私舞弊，尚不構成犯罪的，依法給予(yu)處分。

第六(liu)十(shi)九條(tiao) 處理個人信息侵(qin)(qin)害個人信息權益造成損害，個人信息處理者不能證明自己(ji)沒有過錯的，應當承擔損害賠償等侵(qin)(qin)權責任。

前款(kuan)規(gui)定(ding)的(de)損(sun)害(hai)賠償責任按照個人(ren)因此(ci)受到(dao)的(de)損(sun)失(shi)或(huo)者個人(ren)信(xin)息處(chu)理者因此(ci)獲得(de)的(de)利益確定(ding);個人(ren)因此(ci)受到(dao)的(de)損(sun)失(shi)和(he)個人(ren)信(xin)息處(chu)理者因此(ci)獲得(de)的(de)利益難(nan)以確定(ding)的(de)，根據(ju)實際情況確定(ding)賠償數(shu)額(e)。

第七十(shi)條(tiao) 個人(ren)(ren)信(xin)息處理者違反本法(fa)(fa)規定(ding)處理個人(ren)(ren)信(xin)息，侵害(hai)眾(zhong)多個人(ren)(ren)的權益的，人(ren)(ren)民(min)(min)檢察(cha)院、法(fa)(fa)律規定(ding)的消費者組織和由(you)國家網(wang)信(xin)部門確定(ding)的組織可以依(yi)法(fa)(fa)向人(ren)(ren)民(min)(min)法(fa)(fa)院提起(qi)訴訟。

第七十一(yi)條 違(wei)反(fan)本法(fa)規定(ding)，構(gou)成(cheng)違(wei)反(fan)治安管理行為的，依法(fa)給(gei)予治安管理處罰(fa)；構(gou)成(cheng)犯罪的，依法(fa)追究刑事責任。

第八章 附 則

第七十二條 自然人因(yin)個人或者家庭事務處理個人信息(xi)的，不(bu)適用本(ben)法。

法(fa)律對各級人民政府(fu)及其(qi)有(you)關部(bu)門(men)組織(zhi)實施的統計、檔案(an)管理(li)活動中的個人信息(xi)處(chu)理(li)有(you)規(gui)定的，適(shi)用其(qi)規(gui)定。

第七十三條 本法下(xia)列用(yong)語的(de)含義：

（一(yi)）個(ge)人(ren)信息(xi)處(chu)理者，是指在(zai)個(ge)人(ren)信息(xi)處(chu)理活動中自主(zhu)決定(ding)處(chu)理目(mu)的、處(chu)理方式(shi)的組織、個(ge)人(ren)。

（二）自(zi)動化決策，是指(zhi)通(tong)過(guo)計算機程序自(zi)動分析、評估個(ge)人的(de)行為習慣、興(xing)趣愛好或者(zhe)經濟、健康、信用(yong)狀況等，并(bing)進行決策的(de)活動。

（三）去標識化，是指(zhi)個人信(xin)息經過(guo)處理，使其在(zai)不借助額(e)外信(xin)息的情況下無法識別特定自然人的過(guo)程(cheng)。

（四）匿名化，是指(zhi)個人信息經過處理無法(fa)識別特定自然人且不能復原的過程。

第七十(shi)四條 本法自2021年11月1日起施行(xing)。