個(gè)人信息保護(hù)法（圖解版）

1、2021年11月1日起正式施行2021年8月20日，個(gè)人信息保護(hù)法正式發(fā)布，將于2021年11月1日起施行。個(gè)人信息保護(hù)關(guān)乎國(guó)計(jì)民生，明確被納入民法典人格權(quán)保護(hù)范圍，但是個(gè)人信息泄漏亂象頻發(fā)，因此，結(jié)合國(guó)際通行實(shí)踐，對(duì)個(gè)人信息保護(hù)專門立法，規(guī)范個(gè)人信息處理活動(dòng)，保障個(gè)人信息的有序流通，對(duì)我國(guó)發(fā)展數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)、數(shù)字政府具有重要意義。2021年8月20日頒布2021年5月1日起施行常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）必要個(gè)人信息范圍2020年1月信息安全技術(shù)個(gè)人信息告知同意指南（征求意見(jiàn)稿）2020年6月1日起實(shí)施2020年10月1日實(shí)施GB/T35273-20202020年2月1日起施行2

2、020年9月18日互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南2019年10月1日起施行兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定2020年8月28日2019年6月13日2019年11月28日APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法2019年5月28日2019年8月APP2013年9月1日起施行2017年8月2012年12月28日2013年2月1日實(shí)施GB/Z 28828-2012信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南目的宗旨適用范圍關(guān)鍵定義合法、正當(dāng)目的、必要公開、透明準(zhǔn)確、完整責(zé)任到人刑事追責(zé)環(huán)境構(gòu)建國(guó)際合作第一節(jié) 一般規(guī)定13.處理前提21.委托處理14.取得同意22.信息轉(zhuǎn)移15.撤回同意23.第三方共享1

3、6.不得拒絕服務(wù)24.自動(dòng)化決策17.告知要求25.不得公開18.例外情形26.公共采集19.最短時(shí)間27.重新同意20.共同處理職責(zé)部門第二節(jié) 敏感個(gè)人信息的處理規(guī)則第三節(jié)國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定保護(hù)職責(zé)28.關(guān)鍵定義29.單獨(dú)同意30.必要性告知31.未成年人保護(hù)32.行政許可33.適用范圍34.范圍限度35.告知同意36.境內(nèi)存儲(chǔ)37.公共事務(wù)工作說(shuō)明前提條件告知要求關(guān)基要求主管批準(zhǔn)限制清單對(duì)等反制履職措施知情、決定47.主動(dòng)刪除50.處理機(jī)制查閱、復(fù)制48.解釋說(shuō)明更正、補(bǔ)充代行使權(quán)51.基本義務(wù)54.合規(guī)審計(jì)57補(bǔ)救通知52.責(zé)任到人55.影響評(píng)估58.大型互聯(lián)網(wǎng)義務(wù)53.境外

4、機(jī)構(gòu)義務(wù)56.評(píng)估內(nèi)容59.受托人義務(wù)約談審計(jì)投訴舉報(bào)行政責(zé)任69.民事責(zé)任信用檔案70.依法訴訟國(guó)家機(jī)關(guān)處罰71.刑事責(zé)任72.特殊情況73.專業(yè)術(shù)語(yǔ)74.施行時(shí)間總則處理跨境權(quán)利義務(wù)監(jiān)管罰則GDPR/在中華人民共和國(guó)境內(nèi)處理自然人個(gè)人 信息的活動(dòng)，適用本法。（無(wú)論處1理者是否在境內(nèi)設(shè)立，或者處理的是否為境內(nèi)自/在歐盟境內(nèi)設(shè)立的數(shù)然人信息，只要處理行為發(fā)生在境內(nèi)，就受個(gè)保法制約。）據(jù)控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理行為（不論其實(shí)際數(shù)據(jù)處理行為在何處）.GDPR：只要符合“向2即使有關(guān)個(gè)人數(shù)據(jù)處理活動(dòng)的控制者或處理者不在歐盟設(shè)立，但若其：(a)為歐盟境境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”、“為分析

5、、評(píng)估境內(nèi)自然人的行為”及其他規(guī)定情形時(shí)，也應(yīng)適用個(gè)保法的規(guī)定。境外境外內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)；或 (b)對(duì)發(fā)生在歐盟境內(nèi)的數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控，則該類控制者或處理者也同樣適用GDPR?？倓t處理跨境權(quán)利義務(wù)監(jiān)管罰則有與或識(shí)別已或電子以者其他方式記錄的者可識(shí)別的自然人關(guān)的各種信息,不包括匿名化的理后處。信息別識(shí)已可識(shí)別一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。宗教行蹤生物識(shí)別醫(yī)療總則處理跨境權(quán)利義務(wù)監(jiān)管罰則。信個(gè)人理方使儲(chǔ)、包括息的收集

6、、存除等用、加工、提供、公開息人信定主決在個(gè)處理活動(dòng)中自處理目的、處式的組織、個(gè)人。況的情別特通過(guò)計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛(ài)好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動(dòng)。的然人經(jīng)信息個(gè)人外助額。過(guò)處理，使其在不借定自過(guò)程信息下無(wú)法識(shí)、刪輸、傳的復(fù)原定別特經(jīng)信息。個(gè)人過(guò)處理無(wú)法識(shí)自然人且不能過(guò)程總則處理跨境權(quán)利義務(wù)監(jiān)管罰則取得個(gè)人同意訂立、履行合同或?qū)嵤┤肆Y源管理所必需履行法定職責(zé)或義務(wù)必需突發(fā)緊急應(yīng)對(duì)必需公共利益的合理范圍自行公開或其他已經(jīng)合法公開的其他情形*注：第2-7項(xiàng)規(guī)定情形的，不需取得個(gè)人同意充分知情、自愿明確法定單獨(dú)或書面同意變更需重新同意個(gè)人有權(quán)撤回其同意個(gè)

7、人信息處理者的名稱或者姓名和聯(lián)系方式;個(gè)人信息的處理目的、處理方式、種類、保存期限;個(gè)人行使權(quán)利的方式和程序;其他法定告知事項(xiàng)。兩種例外情形：法定保密或豁免告知第一款緊急情況事后告知*針對(duì)第一種情形，最為典型的是根據(jù)中華人民共和國(guó)反恐怖主義法第五十一條的規(guī)定，即公安機(jī)關(guān)在調(diào)查恐怖活動(dòng)的案件中，可以獲得事先告知豁免?？倓t處理跨境權(quán)利義務(wù)監(jiān)管罰則根據(jù)必要性的要求，規(guī)定在滿足處理目的后，最短時(shí)間內(nèi)盡快予以刪除。需要企業(yè)制定相應(yīng)內(nèi)部NO合規(guī)制度，就個(gè)人信息的存儲(chǔ)及刪除時(shí)間進(jìn)行明確規(guī)定。對(duì)個(gè)人信息保存期限另有規(guī)定的，從其規(guī)定。常見(jiàn)的法律、法規(guī)另有規(guī)定的情形包括：第十九條第三款：客戶身份資料在業(yè)務(wù)關(guān)系結(jié)束

8、后、客戶交易信息在交易結(jié)束后，應(yīng)當(dāng)至少保存五年。第三十一條：商品和服務(wù)信息、交易信息保存時(shí)間自交易完成之日起不少于三年第147條：證券公司應(yīng)當(dāng)妥善保存客戶開戶資料、委托記錄、交易記錄和與內(nèi)部管理、業(yè)務(wù)經(jīng)營(yíng)有關(guān)的各項(xiàng)資料上述資料的保存期限不得少于二十年第102條：基金份額登記機(jī)構(gòu)應(yīng)當(dāng)妥善保存登記數(shù)據(jù)其保存期限自基金賬戶銷戶之日起不得少于二十年總則處理跨境權(quán)利義務(wù)監(jiān)管罰則共同共同決定處理目的和處理方式，約定權(quán)利和義務(wù)處個(gè)人可向其中任一信息處理者行使本法權(quán)利理侵害個(gè)人信息權(quán)益造成損害的，應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任委托處理委約定委托處理的目的、期限、處理處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)

9、等監(jiān)督受托人的個(gè)人信息處理活動(dòng)按照約定處理個(gè)人信息委托合同不生效、無(wú)效、被撤銷或終止，受托方應(yīng)當(dāng)將個(gè)人信息返還或予以刪除未經(jīng)同意，受托人不得轉(zhuǎn)委托個(gè)人因合并、分立、解散、被宣信告破產(chǎn)等轉(zhuǎn)移個(gè)人信息息轉(zhuǎn)移告知接收方的名稱或者姓名和聯(lián)系方式繼續(xù)履行個(gè)人信息處理者的義務(wù)變更處理目的、處理方式的，應(yīng)重新取得個(gè)人同意其他提供個(gè)人信息個(gè)人信息告知接收方的名稱或者姓名、處理聯(lián)系方式、處理目的、處理方者式和個(gè)人信息的種類共取得個(gè)人單獨(dú)同意享在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息變更處理目的、處理方式應(yīng)重新取得個(gè)人同意自動(dòng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易化決價(jià)格等交易條件

10、上實(shí)行不合理的差別待遇策通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，提供不針對(duì)個(gè)人特征的選項(xiàng)，或提供便捷的拒絕方式對(duì)個(gè)人權(quán)益具有重大影響的決定，個(gè)人有要求說(shuō)明權(quán)和拒絕權(quán)公在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維共護(hù)公共安全所必需采遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)集收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個(gè)人單獨(dú)同意的除外總則處理跨境權(quán)利義務(wù)監(jiān)管罰則前提條件在第六條處理個(gè)人信息要求“明確且合理目的”的基礎(chǔ)上，提出更高的要求個(gè)人信息處理需取得個(gè)人單獨(dú)同意，且同時(shí)滿足“明示同意”的要求依法處理需取得書面同意， 且必須符合 “書面同意”的形式要

11、件告知要求遵從個(gè)人信息處理的告知要求向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或其他監(jiān)護(hù)人的同意；應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則依法應(yīng)當(dāng)取得相關(guān)行政許可或者作出其他限制的，從其規(guī)定總則處理跨境權(quán)利義務(wù)監(jiān)管罰則依照法定權(quán)限、程序進(jìn)行履行告知義務(wù)法定保密、不需要告知，或妨礙履行法定職責(zé)的除外個(gè)人信息應(yīng)當(dāng)在境內(nèi)存儲(chǔ)應(yīng)當(dāng)進(jìn)行安全評(píng)估法定具有管理公共事務(wù)職能組織適用總則處理跨境權(quán)利義務(wù)監(jiān)管罰則通過(guò)安全評(píng)估經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行保護(hù)認(rèn)證依據(jù)標(biāo)準(zhǔn)合同，與境外接收方訂立合同法律、行政法規(guī)或國(guó)家網(wǎng)信部門規(guī)定其他條件向個(gè)人告知境外接收方的名稱或者姓名、

12、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等 事項(xiàng)，并取得個(gè)人的單獨(dú)同意。境內(nèi)收集產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)向境外提供的應(yīng)通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估規(guī)定可以不進(jìn)行安全評(píng)估的從其規(guī)定總則處理跨境權(quán)利義務(wù)監(jiān)管罰則按照締結(jié)或者參加的國(guó)際條約、協(xié)定的規(guī)定，或者按照平等互惠原則執(zhí)行非經(jīng)批準(zhǔn)，不得提供儲(chǔ)于境內(nèi)的個(gè)人信息列入限制或者禁止個(gè)人信息提供清單并公告采取限制或者禁止向境外提供個(gè)人信息等措施在個(gè)人信息保護(hù)方面對(duì)我國(guó)采取歧視性措施的國(guó)家或地區(qū)，我國(guó)可根據(jù)實(shí)際情況對(duì)等采取措施總則處理跨境權(quán)利義務(wù)監(jiān)管罰則限制處理權(quán)拒絕處理權(quán)處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或不再必

13、要產(chǎn)品或者服務(wù)停止提供，或保存期限已屆滿個(gè)人撤回同意違法或違反約定處理個(gè)人信息其他情形*注：法律、法定保存期限未屆滿,或刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理總則處理跨境權(quán)利義務(wù)監(jiān)管罰則義務(wù)執(zhí)行依據(jù)：個(gè)人信息處理目的、處理方式、信息種類及個(gè)人權(quán)益的影響、潛在風(fēng)險(xiǎn)等；義務(wù)執(zhí)行目的：符合法律、行政法規(guī)的規(guī)定，并防止未授權(quán)訪問(wèn)及個(gè)人信息泄露、篡改、丟失。制度規(guī)程制定信息分類管理安全技術(shù)措施采用內(nèi)部人員管理安全措施說(shuō)明：1、加密：對(duì)數(shù)據(jù)進(jìn)行密碼變換以產(chǎn)生密文的過(guò)程（GB/T 39786-2021）2、去標(biāo)識(shí)化： 去標(biāo)識(shí)化建立在個(gè)體基礎(chǔ)之上，保留個(gè)體顆粒度，采用

14、假名、加密、哈希函數(shù)等替代對(duì)個(gè)人信息的標(biāo)識(shí)（GB/T 352732020）應(yīng)急預(yù)案制定操作權(quán)限確定法定其他措施定期教育培訓(xùn)定數(shù)門規(guī)安全負(fù)責(zé)人指定處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部量的個(gè)人信息處定理者機(jī)構(gòu)設(shè)立/代表指境外個(gè)人信息處理者評(píng)估影響保護(hù)信息個(gè)人事前審計(jì)規(guī)期合定敏感信息處理自動(dòng)化決策 委托、提供、境外提供其他有重大影合法、正當(dāng)、必要個(gè)人權(quán)益性、有效及安影響響的公開全風(fēng)險(xiǎn) 合法性、匹配性通知項(xiàng)后事事錄至告和記報(bào)少保存三年式輕施析原因失、丟篡改泄露、類信：條件情形息種；1、個(gè)人信息遭受泄露、篡改、丟失聯(lián)危補(bǔ)危2、相關(guān)部門提出要求。害分危1、救措豁免條件：采取措施能有效避免害減害的發(fā)生，可以不通知個(gè)人

15、;成2、危害限制條件：相關(guān)部門認(rèn)為可能造系方的，有權(quán)要求通知個(gè)人。總則處理跨境權(quán)利義務(wù)監(jiān)管罰則建立健全制度獨(dú)立機(jī)構(gòu)建立違規(guī)停止服務(wù)社會(huì)責(zé)任義務(wù)1、要求：由外部成員組成2、目的：監(jiān)督個(gè)人信息處理活動(dòng)1、前提：嚴(yán)重違反法律、行政法規(guī)2、范圍：平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者責(zé)任報(bào)告發(fā)布接受社會(huì)監(jiān)督義務(wù)主體特征：1、提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)2、用戶數(shù)量巨大3、業(yè)務(wù)類型復(fù)雜總則處理跨境權(quán)利義務(wù)監(jiān)管罰則統(tǒng)籌協(xié)調(diào)、監(jiān)督管理信息保護(hù)、監(jiān)督管理信息保護(hù)、監(jiān)督管理履行個(gè)人信息保護(hù)職責(zé)的部門由國(guó)家網(wǎng)信部門進(jìn)行統(tǒng)籌和協(xié)調(diào)，具體落實(shí)的工作由國(guó)務(wù)院各部門在各自職責(zé)范圍內(nèi)進(jìn)行縱向的 “條塊管理”，縣級(jí)以上地方人民政府也按照該模式進(jìn)行管理。宣傳教育開展投訴舉報(bào)處理1、任何組織、個(gè)人有權(quán)進(jìn)行投訴、舉報(bào)。2、相關(guān)部門應(yīng)及時(shí)處理，并通知處理結(jié)果。3、相關(guān)部門應(yīng)公布接受投訴、舉報(bào)聯(lián)系方式。應(yīng)用程序等測(cè)評(píng)違法調(diào)查處理法定其他職責(zé)1、前提：存在較