第四十九條 自然人死亡的�,其近親屬為了自身的合法�����、正當(dāng)利益��,可以對(duì)死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱���、復(fù)制��、更正����、刪除等權(quán)利;死者生前另有安排的除外。
第五十條 個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制��。拒絕個(gè)人行使權(quán)利的請(qǐng)求的�,應(yīng)當(dāng)說明理由。
個(gè)人信息處理者拒絕個(gè)人行使權(quán)利的請(qǐng)求的��,個(gè)人可以依法向人民法院提起訴訟����。
第五章 個(gè)人信息處理者的義務(wù)
第五十一條 個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式�����、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響�����、可能存在的安全風(fēng)險(xiǎn)等�����,采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定��,并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露�����、篡改���、丟失:
(一)制定內(nèi)部管理制度和操作規(guī)程;
(二)對(duì)個(gè)人信息實(shí)行分類管理;
(三)采取相應(yīng)的加密����、去標(biāo)識(shí)化等安全技術(shù)措施;
(四)合理確定個(gè)人信息處理的操作權(quán)限�,并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn);
(五)制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案;
(六)法律、行政法規(guī)規(guī)定的其他措施���。
第五十二條 處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人����,負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督�。
個(gè)人信息處理者應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式����,并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名�����、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門����。
第五十三條 本法第三條第二款規(guī)定的中華人民共和國(guó)境外的個(gè)人信息處理者��,應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表����,負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù),并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名��、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門����。
第五十四條 個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)����。
第五十五條 有下列情形之一的,個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估�����,并對(duì)處理情況進(jìn)行記錄:
(一)處理敏感個(gè)人信息;
(二)利用個(gè)人信息進(jìn)行自動(dòng)化決策;
(三)委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息��、公開個(gè)人信息;
(四)向境外提供個(gè)人信息;
(五)其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)�。
第五十六條 個(gè)人信息保護(hù)影響評(píng)估應(yīng)當(dāng)包括下列內(nèi)容:
(一)個(gè)人信息的處理目的、處理方式等是否合法�、正當(dāng)、必要;
(二)對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn);
(三)所采取的保護(hù)措施是否合法�����、有效并與風(fēng)險(xiǎn)程度相適應(yīng)�����。
個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年�����。
第五十七條 發(fā)生或者可能發(fā)生個(gè)人信息泄露�、篡改、丟失的�����,個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施���,并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人�。通知應(yīng)當(dāng)包括下列事項(xiàng):
(一)發(fā)生或者可能發(fā)生個(gè)人信息泄露�����、篡改���、丟失的信息種類����、原因和可能造成的危害;
(二)個(gè)人信息處理者采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施;
(三)個(gè)人信息處理者的聯(lián)系方式����。
個(gè)人信息處理者采取措施能夠有效避免信息泄露、篡改�、丟失造成危害的,個(gè)人信息處理者可以不通知個(gè)人;履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為可能造成危害的����,有權(quán)要求個(gè)人信息處理者通知個(gè)人。
第五十八條 提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)���、用戶數(shù)量巨大�、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者,應(yīng)當(dāng)履行下列義務(wù):
(一)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系����,成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督;
(二)遵循公開、公平����、公正的原則,制定平臺(tái)規(guī)則��,明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù);
(三)對(duì)嚴(yán)重違反法律�����、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者����,停止提供服務(wù);
(四)定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告,接受社會(huì)監(jiān)督��。
第五十九條 接受委托處理個(gè)人信息的受托人��,應(yīng)當(dāng)依照本法和有關(guān)法律�����、行政法規(guī)的規(guī)定,采取必要措施保障所處理的個(gè)人信息的安全����,并協(xié)助個(gè)人信息處理者履行本法規(guī)定的義務(wù)���。
第六章 履行個(gè)人信息保護(hù)職責(zé)的部門
第六十條 國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作�����。國(guó)務(wù)院有關(guān)部門依照本法和有關(guān)法律����、行政法規(guī)的規(guī)定��,在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作����。
縣級(jí)以上地方人民政府有關(guān)部門的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé),按照國(guó)家有關(guān)規(guī)定確定��。
前兩款規(guī)定的部門統(tǒng)稱為履行個(gè)人信息保護(hù)職責(zé)的部門����。
第六十一條 履行個(gè)人信息保護(hù)職責(zé)的部門履行下列個(gè)人信息保護(hù)職責(zé):
(一)開展個(gè)人信息保護(hù)宣傳教育���,指導(dǎo)、監(jiān)督個(gè)人信息處理者開展個(gè)人信息保護(hù)工作;
(二)接受�、處理與個(gè)人信息保護(hù)有關(guān)的投訴、舉報(bào);
(三)組織對(duì)應(yīng)用程序等個(gè)人信息保護(hù)情況進(jìn)行測(cè)評(píng)����,并公布測(cè)評(píng)結(jié)果;
(四)調(diào)查、處理違法個(gè)人信息處理活動(dòng);
(五)法律���、行政法規(guī)規(guī)定的其他職責(zé)��。
第六十二條 國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)本法推進(jìn)下列個(gè)人信息保護(hù)工作:
(一)制定個(gè)人信息保護(hù)具體規(guī)則����、標(biāo)準(zhǔn);
(二)針對(duì)小型個(gè)人信息處理者�����、處理敏感個(gè)人信息以及人臉識(shí)別����、人工智能等新技術(shù)��、新應(yīng)用�,制定專門的個(gè)人信息保護(hù)規(guī)則�����、標(biāo)準(zhǔn);
(三)支持研究開發(fā)和推廣應(yīng)用安全��、方便的電子身份認(rèn)證技術(shù)�����,推進(jìn)網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)建設(shè);
(四)推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè)��,支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評(píng)估�、認(rèn)證服務(wù);
(五)完善個(gè)人信息保護(hù)投訴����、舉報(bào)工作機(jī)制。
第六十三條 履行個(gè)人信息保護(hù)職責(zé)的部門履行個(gè)人信息保護(hù)職責(zé)�����,可以采取下列措施:
(一)詢問有關(guān)當(dāng)事人�����,調(diào)查與個(gè)人信息處理活動(dòng)有關(guān)的情況;
(二)查閱、復(fù)制當(dāng)事人與個(gè)人信息處理活動(dòng)有關(guān)的合同���、記錄��、賬簿以及其他有關(guān)資料;
(三)實(shí)施現(xiàn)場(chǎng)檢查�����,對(duì)涉嫌違法的個(gè)人信息處理活動(dòng)進(jìn)行調(diào)查;
(四)檢查與個(gè)人信息處理活動(dòng)有關(guān)的設(shè)備���、物品;對(duì)有證據(jù)證明是用于違法個(gè)人信息處理活動(dòng)的設(shè)備、物品����,向本部門主要負(fù)責(zé)人書面報(bào)告并經(jīng)批準(zhǔn),可以查封或者扣押�����。
履行個(gè)人信息保護(hù)職責(zé)的部門依法履行職責(zé)�����,當(dāng)事人應(yīng)當(dāng)予以協(xié)助、配合��,不得拒絕����、阻撓。
第六十四條 履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中���,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的�,可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談�,或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)�����。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施�,進(jìn)行整改,消除隱患�����。
履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中�,發(fā)現(xiàn)違法處理個(gè)人信息涉嫌犯罪的,應(yīng)當(dāng)及時(shí)移送公安機(jī)關(guān)依法處理��。
第六十五條 任何組織、個(gè)人有權(quán)對(duì)違法個(gè)人信息處理活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴��、舉報(bào)�����。收到投訴���、舉報(bào)的部門應(yīng)當(dāng)依法及時(shí)處理��,并將處理結(jié)果告知投訴�����、舉報(bào)人�����。
履行個(gè)人信息保護(hù)職責(zé)的部門應(yīng)當(dāng)公布接受投訴���、舉報(bào)的聯(lián)系方式。
第七章 法律責(zé)任
第六十六條 違反本法規(guī)定處理個(gè)人信息�����,或者處理個(gè)人信息未履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的,由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正����,給予警告,沒收違法所得����,對(duì)違法處理個(gè)人信息的應(yīng)用程序,責(zé)令暫?�;蛘呓K止提供服務(wù);拒不改正的����,并處一百萬元以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。
有前款規(guī)定的違法行為�����,情節(jié)嚴(yán)重的���,由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正,沒收違法所得�,并處五千萬元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓�、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款�,并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事���、監(jiān)事����、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人�����。
第六十七條 有本法規(guī)定的違法行為的����,依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案���,并予以公示��。
第六十八條 國(guó)家機(jī)關(guān)不履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的��,由其上級(jí)機(jī)關(guān)或者履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分��。
履行個(gè)人信息保護(hù)職責(zé)的部門的工作人員玩忽職守�、濫用職權(quán)、徇私舞弊����,尚不構(gòu)成犯罪的,依法給予處分��。
第六十九條 處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害�����,個(gè)人信息處理者不能證明自己沒有過錯(cuò)的��,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任�����。
前款規(guī)定的損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定;個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的��,根據(jù)實(shí)際情況確定賠償數(shù)額���。
第七十條 個(gè)人信息處理者違反本法規(guī)定處理個(gè)人信息,侵害眾多個(gè)人的權(quán)益的�,人民檢察院、法律規(guī)定的消費(fèi)者組織和由國(guó)家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟���。
第七十一條 違反本法規(guī)定�����,構(gòu)成違反治安管理行為的��,依法給予治安管理處罰;構(gòu)成犯罪的�,依法追究刑事責(zé)任。
第八章 附則
第七十二條 自然人因個(gè)人或者家庭事務(wù)處理個(gè)人信息的����,不適用本法。
法律對(duì)各級(jí)人民政府及其有關(guān)部門組織實(shí)施的統(tǒng)計(jì)�����、檔案管理活動(dòng)中的個(gè)人信息處理有規(guī)定的���,適用其規(guī)定��。
第七十三條 本法下列用語(yǔ)的含義:
(一)個(gè)人信息處理者�����,是指在個(gè)人信息處理活動(dòng)中自主決定處理目的�����、處理方式的組織���、個(gè)人�����。
(二)自動(dòng)化決策���,是指通過計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣�、興趣愛好或者經(jīng)濟(jì)、健康����、信用狀況等,并進(jìn)行決策的活動(dòng)��。
(三)去標(biāo)識(shí)化�����,是指?jìng)€(gè)人信息經(jīng)過處理��,使其在不借助額外信息的情況下無法識(shí)別特定自然人的過程���。
(四)匿名化�,是指?jìng)€(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原的過程��。
第七十四條 本法自2021年11月1日起施行���。
