《中華人民共和國個人信息保護法》是中國首部專門針對個人信息保護的系統性、綜合性法律。目的是為了保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用。該法根據《中華人民共和國憲法》制定。
2019年10月,《中華人民共和國個人信息保護法》列入十三屆全國人大常委會立法規劃。2021年8月20日,第十三屆全國人民代表大會常務委員會第三十次會議通過《中華人民共和國個人信息保護法》,自2021年11月1日起施行。
《中華人民共和國個人信息保護法》將廣大人民群眾的個人信息權益實現好、維護好、發展好,具有重要意義。
定義及目的
《中華人民共和國個人信息保護法》是中國首部專門針對個人信息保護的系統性、綜合性法律。目的是為了保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用。
立法依據
《中華人民共和國個人信息保護法》根據《中華人民共和國憲法》制定。
立法背景
隨著信息技術的不斷發展,網絡已成為生活和工作的新領域,推動了經濟發展和交流合作。截至2020年3月,中國網民數量達到9億,擁有400萬個網站和300萬個應用程序,個人信息采集和使用變得普遍。盡管個人信息保護力度加強,但仍有企業、機構和個人為商業目的非法收集、過度使用甚至販賣個人信息,侵犯了公眾的生活安寧及財產安全。在信息化時代,個人信息保護是公眾最關注的現實問題之一。
立法必要性
客觀要求
自中國共產黨第十八次全國代表大會以來,全國人大及其常委會在制定關于加強網絡信息保護的決定、中華人民共和國網絡安全法、中華人民共和國電子商務法、修改中華人民共和國消費者權益保護法等立法工作中,確立了個人信息保護的主要規則;在修改刑法中,完善了懲治侵害個人信息犯罪的法律制度;在編纂中華人民共和國民法典中,將個人信息受法律保護作為一項重要民事權利作出規定。中國個人信息保護法律制度逐步建立,但仍難以適應信息化快速發展的現實情況和人民日益增長的美好生活需要。因此,應當在現行法律基礎上制定出臺專門法律,增強法律規范的系統性、針對性和可操作性,在個人信息保護方面形成更加完備的制度、提供更加有力的法律保障。
現實需要
網絡空間是億萬民眾共同的家園,必須在法治軌道上運行。違法收集、使用個人信息等行為不僅損害人民群眾的切身利益,而且危害交易安全,擾亂市場競爭,破壞網絡空間秩序。因此,應當制定出臺專門法律,以嚴密的制度、嚴格的標準、嚴厲的責任,規范個人信息處理活動,落實企業、機構等個人信息處理者的法律義務和責任,維護網絡空間良好生態。
重要舉措
數字經濟快速發展,數據競爭成為國際焦點,其中個人信息是大數據的關鍵。十九大報告強調建設網絡強國和數字中國。為此,需平衡個人信息保護與利用,通過立法確立明確的權責、有效的保護和規范的利用制度,以促進信息數據的合法有效使用,推動數字經濟健康發展。
立法過程
2019年10月20日,在第六屆世界互聯網大會上,網絡空間數據法律保護論壇聚焦“安全與發展:數據治理的法治化”主題。司法部副部長趙大程透露,個人信息保護法已納入立法議程,相關工作正加速推進,旨在完善數據法律保護體系。2019年12月20日,全國人大常委會法工委發言人岳仲明介紹全國人大常委會2020年立法工作安排,其中包含《中華人民共和國個人信息保護法》。
2020年10月13日,在第十三屆全國人民代表大會常務委員會第二十二次會議上全國人大常委會法制工作委員會副主任劉俊臣作關于《中華人民共和國個人信息保護法(草案)》的說明。2021年4月26日,全國人大常委會二次審議的個人信息保護法草案擬規定,提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,應成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監督,并要求其定期發布個人信息保護社會責任報告等。同年8月20日,第十三屆全國人民代表大會常務委員會第三十次會議通過《中華人民共和國個人信息保護法》,自2021年11月1日起施行。
立法意義
《中華人民共和國個人信息保護法》將廣大人民群眾的個人信息權益實現好、維護好、發展好,具有重要意義。
法律解讀
《中華人民共和國個人信息保護法》堅持問題導向,充分吸收國際成功立法經驗,立足中國國情,對個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理活動全流程作出制度設計;針對關鍵基礎設施運營者、處理個人信息達到國家網信部門規定數量的個人信息處理者,提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,以及國家機關等特殊主體規定了專門的管理要求。
《中華人民共和國個人信息保護法》規定和發展了個人信息權益內容,在進一步確認個人信息知情權、決定權、查閱權、復制權、更正權、補充權的同時,還豐富了刪除權的場景和創設了個人信息的可攜帶權。如果個人撤回同意,或者個人處理目的已實現、無法實現或者為實現處理目的不再必要,停止提供產品或者服務,或者保存期限已屆滿,以及違反法律、行政法規或者違反約定處理個人信息,個人信息處理者應當主動刪除個人信息。個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。
《中華人民共和國個人信息保護法》對個人信息的處理提出了更明確的要求,并增加了包括個人同意在內的合法處理個人信息的情形。個人同意處理其信息時,必須基于充分了解信息的情況下自愿且明確地表示同意。對于自動化決策和公共場所的信息處理,提出了更嚴格的管理規定。在利用個人信息進行自動化決策時,應確保決策過程的透明度以及結果的公平性,禁止在交易價格等方面對個人進行不公正的差別對待。在公共場所安裝監控或身份識別設備時,必須是為了公共安全,遵循國家相關法規,并設置明顯的提示標志。
《中華人民共和國個人信息保護法》提升了對敏感個人信息的保護力度,涵蓋了生物識別信息、宗教信仰、特殊身份信息、健康醫療數據、金融賬戶信息、行蹤軌跡等敏感數據,以及14歲以下未成年人的個人信息。這些信息若被泄露或非法使用,可能會嚴重侵犯個人的尊嚴或威脅其人身和財產安全。只有在目的明確、必要性充分,并且采取了嚴格的保護措施的情況下,信息處理者才被允許處理這些敏感信息。同時,處理敏感信息時必須獲得個人的明確同意。
《中華人民共和國個人信息保護法》個人信息向中國境外提供的條件作了嚴格規定,并從不得降低個人信息保護標準的角度,要求個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到該法規定的個人信息保護標準。此外,也結合當前國際形勢,就雙邊多邊便利性安排作了銜接性規定,對境外侵害性活動、歧視性措施宣示和授權了反制措施。
法律全文
第一章 總則
第一條 為了保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用,根據憲法,制定本法。
第二條 自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益。
第三條 在中華人民共和國境內處理自然人個人信息的活動,適用本法。
在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法:
(一)以向境內自然人提供產品或者服務為目的;
(二)分析、評估境內自然人的行為;
(三)法律、行政法規規定的其他情形。
第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。
個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
第五條 處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。
第六條 處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。
收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。
第七條 處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和范圍。
第八條 處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響。
第九條 個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。
第十條 任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
第十一條 國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關社會組織、公眾共同參與個人信息保護的良好環境。
第十二條 國家積極參與個人信息保護國際規則的制定,促進個人信息保護方面的國際交流與合作,推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等互認。
第二章 個人信息處理規則
第一節 一般規定
第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:
(一)取得個人的同意;
(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
(五)為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息;
(六)依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;
(七)法律、行政法規規定的其他情形。
依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
第十四條 基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
第十五條 基于個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。
個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力。
第十六條 個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。
第十七條 個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:
(一)個人信息處理者的名稱或者姓名和聯系方式;
(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)個人行使本法規定權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,并且便于查閱和保存。
第十八條 個人信息處理者處理個人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條第一款規定的事項。
緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除后及時告知。
第十九條 除法律、行政法規另有規定外,個人信息的保存期限應當為實現處理目的所必要的最短時間。
第二十條 兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。
個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的,應當依法承擔連帶責任。
第二十一條 個人信息處理者委托處理個人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托人的個人信息處理活動進行監督。
受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托合同不生效、無效、被撤銷或者終止的,受托人應當將個人信息返還個人信息處理者或者予以刪除,不得保留。
未經個人信息處理者同意,受托人不得轉委托他人處理個人信息。
第二十二條 個人信息處理者因合并、分立、解散、被宣告破產等原因需要轉移個人信息的,應當向個人告知接收方的名稱或者姓名和聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
第二十三條 個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
第二十四條 個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
第二十五條 個人信息處理者不得公開其處理的個人信息,取得個人單獨同意的除外。
第二十六條 在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。
第二十七條 個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;個人明確拒絕的除外。個人信息處理者處理已公開的個人信息,對個人權益有重大影響的,應當依照本法規定取得個人同意。
第二節 敏感個人信息的處理規則
第二十八條 敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。
第二十九條 處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。
第三十條 個人信息處理者處理敏感個人信息的,除本法第十七條第一款規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響;依照本法規定可以不向個人告知的除外。
第三十一條 個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意。
個人信息處理者處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。
第三十二條 法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作出其他限制的,從其規定。
第三節 國家機關處理個人信息的特別規定
第三十三條 國家機關處理個人信息的活動,適用本法;本節有特別規定的,適用本節規定。
第三十四條 國家機關為履行法定職責處理個人信息,應當依照法律、行政法規規定的權限、程序進行,不得超出履行法定職責所必需的范圍和限度。
第三十五條 國家機關為履行法定職責處理個人信息,應當依照本法規定履行告知義務;有本法第十八條第一款規定的情形,或者告知將妨礙國家機關履行法定職責的除外。
第三十六條 國家機關處理的個人信息應當在中華人民共和國境內存儲;確需向境外提供的,應當進行安全評估。安全評估可以要求有關部門提供支持與協助。
第三十七條 法律、法規授權的具有管理公共事務職能的組織為履行法定職責處理個人信息,適用本法關于國家機關處理個人信息的規定。
第三章 個人信息跨境提供的規則
第三十八條 個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:
(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。
個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。
第三十九條 個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,并取得個人的單獨同意。
第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
第四十一條 中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供存儲于境內個人信息的請求。非經中華人民共和國主管機關批準,個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息。
第四十二條 境外的組織、個人從事侵害中華人民共和國國籍法的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,并采取限制或者禁止向其提供個人信息等措施。
第四十三條 任何國家或者地區在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。
第四章 個人在個人信息處理活動中的權利
第四十四條 個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。
第四十五條 個人有權向個人信息處理者查閱、復制其個人信息;有本法第十八條第一款、第三十五條規定情形的除外。
個人請求查閱、復制其個人信息的,個人信息處理者應當及時提供。
個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。
第四十六條 個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充。
個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,并及時更正、補充。
第四十七條 有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除:
(一)處理目的已實現、無法實現或者為實現處理目的不再必要;
(二)個人信息處理者停止提供產品或者服務,或者保存期限已屆滿;
(三)個人撤回同意;
(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;
(五)法律、行政法規規定的其他情形。
法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。
第四十八條 個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。
第四十九條 自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使本章規定的查閱、復制、更正、刪除等權利;死者生前另有安排的除外。
第五十條 個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。
個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。
第五章 個人信息處理者的義務
第五十一條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失:
(一)制定內部管理制度和操作規程;
(二)對個人信息實行分類管理;
(三)采取相應的加密、去標識化等安全技術措施;
(四)合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;
(五)制定并組織實施個人信息安全事件應急預案;
(六)法律、行政法規規定的其他措施。
第五十二條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。
個人信息處理者應當公開個人信息保護負責人的聯系方式,并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
第五十三條 本法第三條第二款規定的中華人民共和國境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。
第五十四條 個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
第五十五條 有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄:
(一)處理敏感個人信息;
(二)利用個人信息進行自動化決策;
(三)委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;
(四)向境外提供個人信息;
(五)其他對個人權益有重大影響的個人信息處理活動。
第五十六條 個人信息保護影響評估應當包括下列內容:
(一)個人信息的處理目的、處理方式等是否合法、正當、必要;
(二)對個人權益的影響及安全風險;
(三)所采取的保護措施是否合法、有效并與風險程度相適應。
個人信息保護影響評估報告和處理情況記錄應當至少保存三年。
第五十七條 發生或者可能發生個人信息泄露、篡改、丟失的,個人信息處理者應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人。通知應當包括下列事項:
(一)發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害;
(二)個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施;
(三)個人信息處理者的聯系方式。
個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的,個人信息處理者可以不通知個人;履行個人信息保護職責的部門認為可能造成危害的,有權要求個人信息處理者通知個人。
第五十八條 提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,應當履行下列義務:
(一)按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;
(二)遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務;
(三)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務;
(四)定期發布個人信息保護社會責任報告,接受社會監督。
第五十九條 接受委托處理個人信息的受托人,應當依照本法和有關法律、行政法規的規定,采取必要措施保障所處理的個人信息的安全,并協助個人信息處理者履行本法規定的義務。
第六章 履行個人信息保護職責的部門
第六十條 國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作。
縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。
前兩款規定的部門統稱為履行個人信息保護職責的部門。
第六十一條 履行個人信息保護職責的部門履行下列個人信息保護職責:
(一)開展個人信息保護宣傳教育,指導、監督個人信息處理者開展個人信息保護工作;
(二)接受、處理與個人信息保護有關的投訴、舉報;
(三)組織對應用程序等個人信息保護情況進行測評,并公布測評結果;
(四)調查、處理違法個人信息處理活動;
(五)法律、行政法規規定的其他職責。
第六十二條 國家網信部門統籌協調有關部門依據本法推進下列個人信息保護工作:
(一)制定個人信息保護具體規則、標準;
(二)針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用,制定專門的個人信息保護規則、標準;
(三)支持研究開發和推廣應用安全、方便的電子身份認證技術,推進網絡身份認證公共服務建設;
(四)推進個人信息保護社會化服務體系建設,支持有關機構開展個人信息保護評估、認證服務;
(五)完善個人信息保護投訴、舉報工作機制。
第六十三條 履行個人信息保護職責的部門履行個人信息保護職責,可以采取下列措施:
(一)詢問有關當事人,調查與個人信息處理活動有關的情況;
(二)查閱、復制當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料;
(三)實施現場檢查,對涉嫌違法的個人信息處理活動進行調查;
(四)檢查與個人信息處理活動有關的設備、物品;對有證據證明是用于違法個人信息處理活動的設備、物品,向本部門主要負責人書面報告并經批準,可以查封或者最高人民法院關于人民法院民事執行中查封?扣押?凍結財產的規定。
履行個人信息保護職責的部門依法履行職責,當事人應當予以協助、配合,不得拒絕、阻撓。
第六十四條 履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施,進行整改,消除隱患。
履行個人信息保護職責的部門在履行職責中,發現違法處理個人信息涉嫌犯罪的,應當及時移送公安機關依法處理。
第六十五條 任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理,并將處理結果告知投訴、舉報人。
履行個人信息保護職責的部門應當公布接受投訴、舉報的聯系方式。
第七章 法律責任
第六十六條 違反本法規定處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
有前款規定的違法行為,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
第六十七條 有本法規定的違法行為的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。
第六十八條 國家機關不履行本法規定的個人信息保護義務的,由其上級機關或者履行個人信息保護職責的部門責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。
履行個人信息保護職責的部門的工作人員玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予處分。
第六十九條 處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等中華人民共和國侵權責任法。
前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額。
第七十條 個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。
第七十一條 違反本法規定,構成違反治安管理行為的,依法給予中華人民共和國治安管理處罰法;構成犯罪的,依法追究刑事責任。
第八章 附則
第七十二條 自然人因個人或者家庭事務處理個人信息的,不適用本法。
法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的,適用其規定。
第七十三條 本法下列用語的含義:
(一)個人信息處理者,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。
(二)自動化決策,是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動。
(三)去標識化,是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。
(四)匿名化,是指個人信息經過處理無法識別特定自然人且不能復原的過程。
第七十四條 本法自2021年11月1日起施行。
以上內容參考資料:
實施情況
《中華人民共和國個人信息保護法》生效以來,個人信息保護執法實現“橫向到邊、縱向到底”全覆蓋。中央層面,除網信部門外,工信、市監、金融、教育、郵政、人社等多行業主管部門均已參與到個人信息保護的執法和監督活動當中。執法對象向行業重點領域和方向發展。在地方層面,地方網信辦、通信管理局、市場監督管理部門、公安部門等地方政府組成部門開展了大量的個人信息保護和監督工作,此外,地方的其他行業主管部門也負責本行業的個人信息保護和監督工作。例如,石獅市住建局對某物業公司強制要求外來人員掃碼登錄其公司的App進行登記的違法行為責令其立即整改。
從行業角度觀察,在《中華人民共和國個人信息保護法》施行以來,相關的執法活動覆蓋了各個行業。在橫向上,執法對象涵蓋了交通出行、餐飲服務、金融、教育、停車掃碼、少兒學習培訓、網絡理財小貸、房產中介、租借充電器、商超購物、汽車4S店等多個行業。同時也包括了政府委托開發的政務服務類App,實現了“橫向到邊”。在縱向上,相關部門即針對滴滴出行等互聯網大型企業以及每日優鮮、世紀佳緣等用戶量較大的App開展執法活動,也針對本地餐飲企業、汽車銷售門店、物業服務企業以及體量較小的App、小程序進行執法和監督,從而實現執法活動的“縱向到底”。此外執法手段呈現出“剛柔并濟”的特點。一方面,監管機關頻頻動用罰款等剛性手段對違規企業和個人進行處罰。其中最具標志性的當屬國家網信辦對滴滴出行科技有限公司開出的80.26億天價罰單,這意味著《中華人民共和國個人信息保護法》第六十六條第二款所規定的巨額罰款條款在施行首年便被激活,且這一罰款金額在全球范圍內亦位居個人信息保護領域罰款金額之最。
相關評價
《中華人民共和國個人信息保護法》是中國第一部個人信息保護的專門性法律,開啟了依法全面保護個人信息的新時代。《中華人民共和國個人信息保護法》是社會關注度極高的一部法律,該部法律總體上堅持了“以人民為中心”的法治理念,突出了國家尊重和保障人權的憲法原則,規范了個人信息處理的規則,強化了對個人敏感信息的保護,充分保障了個人信息權益的行使,強化個人信息處理者的義務等,抓住了當前個人信息保護的主要矛盾和平衡點,是中國個人信息保護領域的一部重要基礎性法律,贏得群眾叫好。(人民郵電報 評)
相關事件
2022年2月11日,湖南省望城區人民檢察院接到群眾舉報稱,自己和孩子的指紋和人臉等個人生物識別信息被醫療衛生機構過度收集,存在泄露風險。望城區檢察院經調查確認屬實,并向有關部門發出檢察建議,推動當地進行電子簽核系統升級,完善內部信息安全管理制度加強系統物理隔離、對數據傳輸和存儲進行加密保護、新增限制授權訪問等安全防護措施。
2023年1月,云南怒江警方在偵辦網絡賭博案時,發現眾多不知情的支付寶(中國)網絡技術有限公司賬號被用于洗錢,且這些賬號均源自同一地區集中注冊。調查發現,兩家公司假借“免費推廣電子醫保卡”之名,從醫保部門騙取授權,隨后將業務層層轉包給“地推”團隊。這些團隊欺騙鄉鎮居民注冊電子醫保卡的同時,還竊取他們的手機號、驗證碼和身份證信息,用于在各平臺批量注冊賬號,并將這些賬號非法出售給從事下游犯罪的團伙。經過偵查,怒江傈僳族自治州警方展開統一行動,成功打掉9個“醫保地推”團伙,抓獲141名嫌疑人,其中包括3名內部人員。
參考資料 >
中華人民共和國主席令(第九十一號).中國政府網.2024-12-05
筑牢維護公民個人信息安全銅墻鐵壁 政法機關打擊整治侵犯公民個人信息違法犯罪成效顯著.光明法治.2024-12-05
(受權發布)中華人民共和國個人信息保護法.新華網.2024-12-05
司法部副部長:個人信息保護法立法工作正加快推進.鳳凰財經.2024-12-05
中華人民共和國個人信息保護法 自2021年11月1日起施行 .福建人大.2024-12-05
中華人民共和國個人信息保護法.國家保密局.2024-12-05
關于《中華人民共和國個人信息保護法(草案)》的說明.浙江省機關事務管理局.2024-12-05
中國發布丨法工委:明年計劃制定個人信息保護法、數據安全法等法律案.中國網.2024-12-05
權威快報丨不讓你的數據在超級平臺前“裸奔”!我國立法強化超大互聯網平臺個人信息保護義務 .新華社.2024-12-05
專家解讀|《中華人民共和國個人信息保護法》個人信息保護法治的中國方案.鄭州旅游職業學院.2024-12-05
十五個關鍵詞解析《個人信息保護法》生效兩年來主要變化.微信公眾號平臺.2024-12-05
《個人信息保護法》實施三周年:十大亮點贏群眾叫好.百家號.2024-12-05