非法獲取公民個人信息罪,出臺于2009年2月28日《中華人民共和國刑法修正案(七)》,已于2015年8月29日取消并改設侵犯公民個人信息罪。
在刑法語境里,非法獲取公民個人信息意指侵犯了公民的隱私權,即自然人享有的私人生活安寧與私人信息不被他人非法知悉、搜集、利用和公開的一項人格權。
2009年2月28日,《中華人民共和國刑法修正案(七)》增設非法獲取公民個人信息罪。2015年8月29日“出售,非法提供公民個人信息罪”和“非法獲取公民個人信息罪”二罪取消,改設“侵犯公民個人信息罪”。
歷史背景
信息時代背景下,由于網絡空間中信息傳遞的極度快捷化,包括刑事立法在內的整個法律體系對于公民個人信息安全的保護力度和范圍陡然上升,快速實現了對于數據安全與個人信息安全的刑法保護。
歷史沿革
2009年2月28日,《中華人民共和國刑法修正案(七)》增設非法獲取公民個人信息罪。
2015年8月29日頒布的《中華人民共和國刑法修正案(九)》回應互聯網時代公民個人信息被嚴重侵害的社會現實,擴張《刑法》第253條的犯罪主體和犯罪客體,并將“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”二罪取消,改設“侵犯公民個人信息罪”。違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。
2021年8月20日,第十三屆全國人民代表大會常務委員會第三十次會議通過《中華人民共和國個人信息保護法》,并于2021年11月1日起施行,其中第十條規定:任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
單位犯罪責任
第七條 單位犯刑法第二百五十三條之一規定之罪的,依照本解釋規定的相應自然人犯罪的定罪量刑標準,對直接負責的主管人員和其他直接責任人員定罪處罰,并對單位判處罰金。
實施情況
2009年2月至《刑法修正案(九)》頒行前的2015年10月,全國法院新收出售、非法提供公民個人信息、非法獲取公民個人信息刑事案件988起,審結969起,生效判決人數1415人。其中,新收出售、非法提供公民個人信息刑事案件101件,審結98件,生效判決人數142人;新收非法獲取公民個人信息刑事案件887件,審結871件,生效判決人數1273人。
2011年8月5日,北京市第二中級人民法院宣判一起侵犯公民個人信息案。23名被告人犯非法獲取公民個人信息、出售公民個人信息罪、非法提供公民個人信息罪、幫助毀滅證據罪等罪,分別被判處有期徒刑二年零六個月至六個月不等的刑罰,其中9人獲宣告緩刑。
社會意義
《刑法修正案(七)》增設的“非法獲取公民個人信息罪”和“出售、非法提供公民個人信息罪”為準確懲處該類犯罪行為提供了法律依據,對于遏制該類犯罪行為起到了良好的作用,同對于遏制非法泄露、非法獲取公民個人信息犯罪行為,切斷公民個人信息犯罪產業鏈具有重要意義。
相關法規
第一章 總則
第一條為了保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用, 根據憲法 ,制定本法。
第二條自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益。
第三條在中華人民共和國境內處理自然人個人信息的活動,適用本法。
在中華人民共和國 境外處理 中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法:
(一)以向境內自然人提供產品或者服務為目的;
(二)分析、評估境內自然人的行為;
(三)法律、行政法規規定的其他情形。
第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等,不包括匿名化處理后的信息 。此定義來源于刑法第二百五十三條之一。
個人信息的 處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除 等。
第五條處理個人信息應當遵循 合法、正當、必要和誠信 原則,不得通過 誤導、欺詐、脅迫 等方式處理個人信息。
第六條處理個人信息應當具有 明確、合理的目的 ,并應當與處理目的 直接相關 ,采取對個人權益影響 最小的方式 。
收集 個人信息,應當限于實現處理目的的 最小范圍 ,不得過度收集個人信息。
第七條處理個人信息應當遵循 公開、透明 原則, 公開 個人信息處理規則, 明示 處理的 目的、方式和范圍 。
第八條處理個人信息應當保證個人信息的 質量 ,避免因個人信息不準確、不完整對個人權益造成不利影響。
第九條個人信息處理者應當對其個人信息處理活動負責,并采取 必要措施 保障所處理的個人信息的安全。
第十條任何組織、個人不得 非法收集、使用、加工、傳輸 他人個人信息,不得 非法買賣、提供或者公開 他人個人信息;不得從事 危害國家安全、公共利益 的個人信息處理活動。
第十一條國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關社會組織、公眾共同參與個人信息保護的良好環境。
第十二條國家積極參與 個人信息保護國際規則 的制定,促進個人信息保護方面的國際交流與合作,推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等互認。
第二章個人信息處理規則
第一節一般規定
第十三條符合下列情形之一的,個人信息處理者方可處理個人信息:
(一) 取得個人的同意 ;
(二)為 訂立、履行 個人作為一方當事人的 合同 所必需,或者按照 依法制定的勞動規章制度 和 依法簽訂的集體合同實施人力資源管理 所必需;
(三)為 履行法定職責或者法定義務 所必需;
(四)為應對 突發公共衛生事件 ,或者 緊急情況下 為保護自然人的生命健康和財產安全所必需;
(五)為 公共利益 實施 新聞報道、輿論監督 等行為,在 合理的范圍內 處理個人信息;
(六)依照本法規定在 合理的范圍 內處理 個人自行公開 或者 其他已經合法公開 的個人信息;
(七)法律、行政法規規定的其他情形。
依照本法其他有關規定,處理個人信息應當取得個人同意,但是 有前款第二項至第七項規定情形的,不需取得個人同意 。
第十四條 基于個人同意 處理個人信息的,該同意應當由個人在 充分知情 的前提下 自愿、明確作出 。法律、行政法規規定處理個人信息應當取得 個人單獨同意或者書面同意的 ,從其規定。
個人信息的 處理目的、處理方式 和處理的個人信息 種類發生變更的 ,應當 重新 取得個人同意。
第十五條 基于個人同意 處理個人信息的,個人有權 撤回 其同意。個人信息處理者應當提供 便捷 的撤回同意的方式。
個人撤回同意, 不影響撤回前 基于個人同意已進行的個人信息處理活動的效力。
第十六條個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由, 拒絕提供產品或者服務 ;處理個人信息屬于提供產品或者服務所 必需 的除外。
第十七條個人信息處理者在處理個人信息前,應當以 顯著 方式、 清晰易懂 的語言 真實、準確、完整 地向個人告知下列事項:
(一)個人信息處理者的 名稱或者姓名和聯系方式 ;
(二)個人信息的 處理目的、處理方式 ,處理的個人信息 種類、保存期限 ;
(三)個人行使本法規定權利的 方式和程序 ;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將 變更部分告知 個人。
個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當 公開 ,并且便于 查閱和保存 。
第十八條個人信息處理者處理個人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條第一款規定的事項。
緊急情況下 為保護自然人的生命健康和財產安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除后 及時告知 。
第十九條除法律、行政法規另有規定外,個人信息的保存期限應當為實現處理目的 所必要的最短時間 。
第二十條 兩個以上的個人信息處理者 共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定 不影響 個人向其中任何一個個人信息處理者要求行使本法規定的權利。
個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的,應當依法承擔 連帶責任 。
第二十一條個人信息處理者委托處理個人信息的,應當與受托人約定委托處理的 目的、期限、處理方式 、個人信息的 種類、保護措施 以及雙方的 權利和義務 等,并對受托人的個人信息處理活動進行 監督 。
受托人應當按照約定處理個人信息,不得 超出約定 的處理目的、處理方式等處理個人信息;委托合同 不生效、無效、被撤銷或者終止的 ,受托人應當將個人信息返還個人信息處理者或者予以刪除,不得保留。
未經個人信息處理者同意,受托人 不得轉委托 他人處理個人信息。
第二十二條個人信息處理者因 合并、分立、解散、被宣告破產 等原因需要轉移個人信息的,應當向個人告知接收方的 名稱或者姓名和聯系方式 。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的,應當依照本法規定 重新取得 個人同意。
第二十三條個人信息處理者向 其他個人信息處理者 提供其處理的個人信息的,應當向個人告知接收方的 名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類 ,并取得個人的 單獨同意 。接收方應當在上述 處理目的、處理方式和個人信息的種類等范圍 內處理個人信息。接收方變更原先的 處理目的、處理方式的 ,應當依照本法規定 重新 取得個人同意。
第二十四條個人信息處理者利用個人信息進行 自動化決策 ,應當保證決策的 透明度和結果公平、公正 , 不得對個人在 交易價格等交易條件 上實行不合理的差別待遇 。
通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供 不針對其個人特征的選項 ,或者向個人提供 便捷的拒絕 方式。
通過自動化決策方式作出對個人權益 有重大影響的決定 ,個人有權要求個人信息處理者 予以說明 ,并 有權拒絕 個人信息處理者僅通過自動化決策的方式作出決定。
第二十五條個人信息處理者不得 公開 其處理的個人信息,取得個人 單獨同意 的除外。
第二十六條在公共場所安裝 圖像采集、個人身份識別設備 ,應當為維護公共安全所必需,遵守國家有關規定,并設置 顯著的提示標識 。所收集的個人圖像、身份識別信息只能用于 維護公共安全的目的 ,不得用于其他目的;取得 個人單獨同意 的除外。
第二十七條個人信息處理者可以在 合理的范圍內 處理 個人自行公開或者其他已經合法公開 的個人信息; 個人明確拒絕 的除外。個人信息處理者處理 已公開 的個人信息,對個人權益 有重大影響的 ,應當依照本法規定取得個人同意。
第二節 敏感個人信息的處理規則
第二十八條 敏感個人信息 是一旦泄露或者非法使用,容易導致 自然人的人格尊嚴 受到侵害或者人身、財產安全受到危害的個人信息,包括 生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡 等信息,以及 不滿十四周歲未成年人的個人信息 。
只有在具有 特定的目的 和 充分的必要性 ,并采取 嚴格保護措施 的情形下,個人信息處理者方可處理敏感個人信息。
第二十九條處理敏感個人信息應當取得個人的 單獨同意 ;法律、行政法規規定處理敏感個人信息應當取得 書面同意的 ,從其規定。
第三十條個人信息處理者處理敏感個人信息的,除本法第十七條第一款規定的事項外,還應當向個人 告知 處理敏感個人信息的 必要性以及對個人權益的影響 ;依照本法規定可以不向個人告知的除外。
第三十一條個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的 父母或者其他監護人的同意 。
個人信息處理者處理不滿十四周歲未成年人個人信息的,應當制定 專門的個人信息處理規則 。
第三十二條法律、行政法規對處理敏感個人信息規定應當取得相關行政 許可 或者作出其他限制的,從其規定。
第三節國家機關處理個人信息的特別規定
第三十三條國家機關處理個人信息的活動,適用本法;本節有特別規定的,適用本節規定。
第三十四條國家機關為 履行法定職責 處理個人信息,應當依照法律、行政法規規定的 權限、程序 進行,不得超出履行法定職責所 必需的范圍和限度 。
第三十五條國家機關為履行法定職責處理個人信息,應當依照本法規定履行 告知義務 ;有本法第十八條第一款規定的情形,或者告知將妨礙國家機關履行法定職責的除外。
第三十六條國家機關處理的個人信息應當在中華人民共和國 境內存儲 ;確需向境外提供的,應當進行 安全評估 。安全評估可以要求有關部門提供支持與協助。
第三十七條法律、法規授權的 具有管理公共事務職能的組織 為履行法定職責處理個人信息,適用本法關于國家機關處理個人信息的規定。
第三章個人信息跨境提供的規則
第三十八條個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:
(一)依照本法第四十條的規定通過國家網信部門組織的 安全評估 ;
(二)按照國家網信部門的規定經專業機構進行個人信息保護 認證 ;
(三)按照國家網信部門制定的 標準合同 與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
中華人民共和國 締結或者參加的國際條約、協定 對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。
個人信息處理者應當采取 必要措施 ,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。
第三十九條個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的 名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類 以及個人向境外接收方行使本法規定權利的 方式和程序 等事項,并取得個人的 單獨同意 。
第四十條 關鍵信息基礎設施運營者 和處理個人信息達到 國家網信部門規定數量 的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息 存儲在境內 。確需向境外提供的,應當通過國家網信部門組織的 安全評估 ; 法律、行政法規和國家網信部門規定 可以不進行安全評估的,從其規定。
第四十一條中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照 平等互惠 原則,處理外國司法或者執法機構關于提供存儲于境內個人信息的請求。非經中華人民共和國主管機關 批準 ,個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息。
第四十二條境外的組織、個人從事侵害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其 列入限制或者禁止個人信息提供清單 ,予以公告,并采取限制或者禁止向其提供個人信息等措施。
第四十三條任何國家或者地區在個人信息保護方面對中華人民共和國采取 歧視性的禁止、限制或者其他類似措施 的,中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。
第四章個人在個人信息處理活動中的權利
第四十四條個人對其個人信息的處理享有 知情權、決定權 ,有權 限制或者拒絕 他人對其個人信息進行處理;法律、行政法規另有規定的除外。
第四十五條個人有權向個人信息處理者 查閱、復制 其個人信息;有本法第十八條第一款、第三十五條規定情形的除外。
個人請求查閱、復制其個人信息的,個人信息處理者應當 及時提供 。
個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供 轉移的途徑 。
第四十六條個人發現其個人信息 不準確或者不完整的 ,有權請求個人信息處理者 更正、補充 。
個人請求 更正、補充 其個人信息的,個人信息處理者應當對其個人信息予以 核實 ,并及時更正、補充。
第四十七條有下列情形之一的,個人信息處理者應當 主動刪除 個人信息;個人信息處理者未刪除的,個人有權請求刪除:
(一)處理目的 已實現、無法實現 或者為實現處理目的 不再必要 ;
(二)個人信息處理者 停止提供 產品或者服務,或者 保存期限已屆滿 ;
(三)個人 撤回同意 ;
(四)個人信息處理者 違反法律、行政法規 或者 違反約定 處理個人信息;
(五)法律、行政法規規定的其他情形。
法律、行政法規規定的保存期限未屆滿,或者 刪除個人信息從技術上難以實現的 ,個人信息處理者應當 停止除存儲和采取必要的安全保護措施 之外的處理。
第四十八條個人有權要求個人信息處理者對其個人信息處理規則進行 解釋說明 。
第四十九條自然人死亡的,其近親屬為了自身的 合法、正當 利益,可以對死者的相關個人信息行使本章規定的 查閱、復制、更正、刪除 等權利; 死者生前另有安排的除外 。
第五十條個人信息處理者應當建立 便捷 的個人行使權利的 申請受理和處理機制 。拒絕個人行使權利的請求的,應當 說明理由 。
個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院 提起訴訟 。
第五章個人信息處理者的義務
第五十一條個人信息處理者應當根據個人信息的 處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險 等,采取下列措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的 訪問以及個人信息泄露、篡改、丟失 :
(一)制定 內部管理制度和操作規程 ;
(二)對個人信息實行 分類管理 ;
(三)采取相應的 加密、去標識化 等安全技術措施;
(四)合理確定個人信息處理的 操作權限 ,并定期對從業人員進行 安全教育和培訓 ;
(五)制定并組織實施個人信息安全事件 應急預案 ;
(六)法律、行政法規規定的其他措施。
第五十二條處理個人信息達到 國家網信部門規定數量 的個人信息處理者應當 指定個人信息保護負責人 ,負責對個人信息處理活動以及采取的保護措施等進行 監督 。
個人信息處理者應當公開個人信息保護負責人的 聯系方式 ,并將個人信息保護負責人的 姓名、聯系方式等報送 履行個人信息保護職責的部門。
第五十三條本法第三條第二款規定的中華人民共和國 境外 的個人信息處理者,應當在中華人民共和國境內設立 專門機構或者指定代表 ,負責處理個人信息保護相關事務,并將有關機構的 名稱或者代表的姓名、聯系方式 等報送履行個人信息保護職責的部門。
第五十四條個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行 合規審計 。
第五十五條有下列情形之一的,個人信息處理者應當事前進行個人信息保護 影響評估 ,并對處理情況進行 記錄 :
(一)處理 敏感個人信息 ;
(二)利用個人信息進行 自動化決策 ;
(三) 委托處理 個人信息、 向其他個人信息處理者提供 個人信息、 公開 個人信息;
(四)向 境外提供 個人信息;
(五)其他對 個人權益有重大影響 的個人信息處理活動。
第五十六條個人信息保護影響評估應當包括下列內容:
(一)個人信息的 處理目的、處理方式 等是否 合法、正當、必要 ;
(二)對個人權益的 影響及安全風險 ;
(三)所采取的保護措施是否 合法、有效并與風險程度相適應 。
個人信息保護影響評估報告和處理情況記錄應當至少 保存三年 。
第五十七條發生或者可能發生個人信息 泄露、篡改、丟失 的,個人信息處理者應當立即采取補救措施,并 通知 履行個人信息保護職責的部門和個人。通知應當包括下列事項:
(一)發生或者可能發生個人信息泄露、篡改、丟失的 信息種類、原因和可能造成的危害 ;
(二)個人信息處理者采取的 補救措施 和個人可以采取的 減輕危害的措施 ;
(三)個人信息處理者的 聯系方式 。
個人信息處理者采取措施能夠有效避免 信息泄露、篡改、丟失造成危害的 ,個人信息處理者可以 不通知 個人;履行個人信息保護職責的部門認為可能造成危害的,有權要求個人信息處理者通知個人。
第五十八條 提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜 的個人信息處理者,應當履行下列義務:
(一)按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;
(二)遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務;
(三)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務;
(四)定期發布個人信息保護社會責任報告,接受社會監督。
第五十九條 接受委托處理個人信息的受托人 ,應當依照本法和有關法律、行政法規的規定,采取必要措施保障所處理的個人信息的安全,并協助個人信息處理者履行本法規定的義務。
第六章履行個人信息保護職責的部門
第六十條國家網信部門負責 統籌協調 個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作。
縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。
前兩款規定的部門統稱為履行個人信息保護職責的部門。
第六十一條履行個人信息保護職責的部門履行下列個人信息保護職責:
(一)開展個人信息保護 宣傳教育 , 指導、監督 個人信息處理者開展個人信息保護工作;
(二)接受、處理與個人信息保護有關的 投訴、舉報 ;
(三)組織對應用程序等個人信息保護情況進行 測評 ,并公布測評結果;
(四) 調查、處理 違法個人信息處理活動;
(五)法律、行政法規規定的其他職責。
第六十二條國家網信部門統籌協調有關部門依據本法推進下列個人信息保護工作:
(一)制定個人信息保護 具體規則、標準 ;
(二)針對 小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用 ,制定 專門的個人信息保護規則、標準 ;
(三)支持研究開發和推廣應用安全、方便的 電子身份認證技術 ,推進 網絡身份認證公共服務建設 ;
(四)推進個人信息保護社會化服務體系建設,支持有關機構開展 個人信息保護評估、認證服務 ;
(五)完善個人信息保護 投訴、舉報 工作機制。
第六十三條履行個人信息保護職責的部門履行個人信息保護職責,可以采取下列措施:
(一) 詢問 有關當事人, 調查 與個人信息處理活動有關的情況;
(二) 查閱、復制 當事人與個人信息處理活動有關的 合同、記錄、賬簿以及其他有關資料 ;
(三)實施 現場檢查 ,對涉嫌違法的個人信息處理活動進行 調查 ;
(四) 檢查 與個人信息處理活動有關的 設備、物品 ;對有證據證明是用于違法個人信息處理活動的設備、物品,向本部門主要負責人 書面報告并經批準 ,可以查封或者扣押。
履行個人信息保護職責的部門依法履行職責,當事人應當予以 協助、配合 ,不得拒絕、阻撓。
第六十四條履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在 較大風險或者發生個人信息安全事件 的,可以按照規定的權限和程序對該個人信息處理者的 法定代表人或者主要負責人進行約談 ,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行 合規審計 。個人信息處理者應當按照要求采取措施,進行整改,消除隱患。
履行個人信息保護職責的部門在履行職責中,發現違法處理個人信息涉嫌犯罪的,應當及時移送公安機關依法處理。
第六十五條任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理,并將處理結果告知投訴、舉報人。
履行個人信息保護職責的部門應當公布接受投訴、舉報的聯系方式。
第七章法律責任
第六十六條違反本法規定處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務的,由履行個人信息保護職責的部門 責令改正,給予警告,沒收違法所得 ,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
有前款規定的違法行為,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處 五千萬元以下或者上一年度營業額百分之五以下罰款 ,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定 禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人 。
第六十七條有本法規定的違法行為的,依照有關法律、行政法規的規定 記入信用檔案 ,并予以公示。
第六十八條國家機關不履行本法規定的個人信息保護義務的,由其上級機關或者履行個人信息保護職責的部門責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。
履行個人信息保護職責的部門的工作人員玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予處分。
第六十九條處理個人信息侵害個人信息權益造成損害,個人信息處理者 不能證明自己沒有過錯的 ,應當承擔損害賠償等侵權責任。
前款規定的損害賠償責任按照 個人因此受到的損失或者個人信息處理者因此獲得的利益 確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的, 根據實際情況確定賠償數額 。
第七十條個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的, 人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織 可以依法向人民法院提起訴訟。
第七十一條違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第八章附則
第七十二條自然人因 個人或者家庭事務 處理個人信息的,不適用本法。
法律對各級人民政府及其有關部門組織實施的 統計、檔案管理 活動中的個人信息處理有規定的,適用其規定。
第七十三條本法下列用語的含義:
(一) 個人信息處理者 ,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。
(二) 自動化決策,是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、 信用狀況 等,并進行決策的活動 。
(三)去標識化 ,是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。
(四) 匿名化 ,是指個人信息經過處理無法識別特定自然人且不能復原的過程。
第七十四條本法自2021年11月1日起施行。
以上內容來源于:
參考資料 >
侵犯公民個人信息罪的理解與適用.中華人民共和國最高人民檢察院.2023-12-29
中華人民共和國個人信息保護法.中國人大網.2023-12-29
北京最大侵犯公民個人信息案宣判.人民法院報.2023-12-29
刑法視野中個人信息概念的相對理解.青海普法網.2025-04-14
關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋.江蘇檢察網.2025-05-27