2021圖解個人信息保護(hù)法

圖解

《個人信息保護(hù)法》2021年8月前

言2021年8月20日，《個人信息保護(hù)法》正式發(fā)布，將于2021年11月1日起施行。個人信息保護(hù)關(guān)乎國計民生，明確被納入《民法典》人格權(quán)保護(hù)范圍，但是個人信息泄漏亂象頻發(fā)，因此，結(jié)合國際通行實踐，對個人信息保護(hù)專門立法，規(guī)范個人信息處理活動，保障個人信息的有序流通，對我國發(fā)展數(shù)字經(jīng)濟(jì)、數(shù)字社會、數(shù)字政府具有重要意義?！毒W(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)安全治理道路《個人信息保護(hù)法》加速個人信息法制化進(jìn)程《數(shù)據(jù)安全法》提升國家數(shù)據(jù)安全保障能力《密碼法》提出數(shù)據(jù)保護(hù)技術(shù)手段2021年11月1日2021年9月1日2020年1月1日2017年6月1日數(shù)據(jù)安全領(lǐng)域里程碑個人信息保護(hù)迎來里程碑2020年1月信息安全技術(shù)個人信息告知同意指南（征求意見稿）2021年5月1日起施行常見類型移動互聯(lián)網(wǎng)應(yīng)用程序（APP）必要個人信息范圍規(guī)定2020年6月1日起實施網(wǎng)絡(luò)安全審查辦法2020年2月1日起施行國家政務(wù)信息化項目建設(shè)管理辦法2019年10月1日起施行兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定2019年6月13日個人信息出境安全評估辦法（征）2019年5月28日數(shù)據(jù)安全管理辦法（征）2013年9月1日起施行電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定2012年12月28日全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定2020年10月1日起實施GB/T

35273-2020信息安全技術(shù)個人信息安全規(guī)范2020年8月28日信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全規(guī)范（征求意見稿）2019年11月28日APP違法違規(guī)收集使用個人信息行為認(rèn)定方法2019年8月8日信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序（APP）收集個人信息基本規(guī)范（征）2019年4月互聯(lián)網(wǎng)個人信息安全保護(hù)指南2017年8月信息安全技術(shù)數(shù)據(jù)出境安全評估指南（征求意見稿）2013年2月1日起實施GB/Z

28828-2012信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南政策法規(guī)技術(shù)標(biāo)準(zhǔn)《個人信息保護(hù)法》2021年8月20日頒布《個人信息保護(hù)法》總結(jié)構(gòu)個人信息保護(hù)法第一章

總則第二章

個人信息處理規(guī)則第一節(jié)

一般規(guī)定13. 14. 15. 16. 17. 18. 19. 20.處理前提 取得同意 撤回同意 不得拒絕服務(wù) 告知要求 例外情形 存儲期限 共同處理21. 22. 23. 24. 25. 26. 27.委托處理 信息轉(zhuǎn)移 第三方共享 自動化決策 不得公開 公共采集 處理公開信息第二節(jié)敏感個人信息的處理規(guī)則 第三節(jié)

國家機(jī)關(guān)處理個人信息的特別規(guī)定28. 29. 30. 31. 32. 33. 34. 35. 36. 對管

37.

共事關(guān)鍵定義

單獨同意 必要性 未成年人

行政許可 適用范圍

范圍限度

告知同意

境內(nèi)存儲

務(wù)

理公

求告知 保護(hù) 組織的要第六章

履行個人信息保1.目的護(hù)職責(zé)的部門2.宗旨60.職責(zé)部門3.適用范圍4.關(guān)鍵定義61.保護(hù)職責(zé)5.基本原則目的、必要公開、透明準(zhǔn)確、完整62.工作說明第三章

個人信息跨境提供的規(guī)則38.前提條件 39.告知要求 40.關(guān)基等要求 41.主管批準(zhǔn) 42.限制清單 43.對等反制63.履職措施9.責(zé)任到人第四章

個人在個人信息處理活動中的權(quán)利44.知情、決定 45.查閱、復(fù)制 46.更正、補(bǔ)充47.主動刪除 48.解釋說明 49.近親屬行權(quán)50.處理機(jī)制第五章

個人信息處理者的義務(wù)51.基本義務(wù) 52.責(zé)任到人 53.境外機(jī)構(gòu)義務(wù)54.合規(guī)審計 55.影響評估 56.評估內(nèi)容57補(bǔ)救通知 58.特殊類型個人 59.受托人義務(wù)信息處理者義務(wù)64.約談審計10.禁止行為11.環(huán)境構(gòu)建65.投訴舉報12.國際合作第七章

法律責(zé)任第八章

附則66.行政責(zé)任69.民事責(zé)任67.信用檔案 68.國家機(jī)關(guān)處罰70.公益訴訟 71.行政、刑事責(zé)任72.特殊情況 73.專業(yè)術(shù)語74.施行時間擴(kuò)展域外管轄，側(cè)重數(shù)據(jù)處理發(fā)生地中國歐盟個人信息保護(hù)法GDPR以處理行為“發(fā)生地”切入以控制者/處理者“設(shè)立地”切入1、以“營業(yè)地/設(shè)立地”為標(biāo)準(zhǔn)：在歐盟境內(nèi)設(shè)立的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理行為（不論其實際數(shù)據(jù)處理行為在何處）2、以“保護(hù)主體”為標(biāo)準(zhǔn)：即使有關(guān)個人數(shù)據(jù)處理活動的控制者或處理者不在歐盟設(shè)立，但若其：(a)為歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)；或

(b)對發(fā)生在歐盟境內(nèi)的數(shù)據(jù)主體的活動進(jìn)行監(jiān)控，則該類控制者或處理者也同樣適用

GDPR。1、強(qiáng)調(diào)“屬地原則”在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法。（無論處理者是否在境內(nèi)設(shè)屬地.

原則立，或者處理的是否為境內(nèi)自然人信息，只要.處理行為發(fā)生在境內(nèi)，就受個保法制約。）2、對應(yīng)GDPR“保護(hù)主體”標(biāo)準(zhǔn)：境外只要符合“向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”、“為分析、評估境內(nèi)自然人的行為”境外或法律、行政法規(guī)規(guī)定的其他情形的，也應(yīng)適用個保法的規(guī)定。1.

總則處理跨境權(quán)利義務(wù)監(jiān)管罰則明確七大關(guān)鍵定義

個人信息 以電子或者其他方式記錄的與已識別或者可識別的自然已識別人有關(guān)的各種信息,不包括匿可識別名化處理后的信息。敏感個人信息一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、宗教生物識別醫(yī)金融賬戶、行蹤軌跡等信息，以及不滿

療十四周歲未成年人的個人信息。行蹤包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。個人信息的處理在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。個人信息處理者通過計算機(jī)程序自動分析、評估個人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動。自動化決策個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。去標(biāo)識化個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。匿名化2.處理3.

跨境4.

權(quán)利5.

義務(wù)7.

罰則1.

總則6.

監(jiān)管個人信息處理規(guī)則告知要求*針對第一種情形，最為典型的是根據(jù)《中華人民共和國反恐怖主義法》第五十一條的規(guī)定，即公安機(jī)關(guān)在調(diào)查恐怖活動的案件中，可以獲得事先告知豁免。個人信息處理者的名稱或者姓名和聯(lián)系方式;個人信息的處理目的、處理方式和處理的個人信息種類、保存期限；個人行使權(quán)利的方式和程序;其他法定告知事項。34法定保密或豁免告知第一款緊急情況事后告知兩種例外情形：前提條件1.取得個人同意具體要求2.為訂立、履行個人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需明示同意充分知情、自愿明確授權(quán)同意法定單獨或書面同意3.履行法定職責(zé)或義務(wù)必需4.突發(fā)緊急應(yīng)對必需重新取得同意變更需重新同意5.為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息6.自行公開或其他已合法公開的撤銷權(quán)個人有權(quán)撤回其同意7.其他情形*注：第2-7項規(guī)定情形的，不需取得個人同意2.處理3.

跨境4.

權(quán)利5.

義務(wù)7.

罰則1.

總則6.

監(jiān)管個人信息保存期限以最短必要為原則沒有固定期限：根據(jù)必要性的要求，規(guī)定在滿足處理目的后，最短時間內(nèi)盡快予以刪除。需要企業(yè)制定相應(yīng)內(nèi)部合規(guī)制度，就個人信息的存儲及刪除時間進(jìn)行明確規(guī)定。兜底條款：對個人信息保存期限另有規(guī)定的，從其規(guī)定。常見的法律、法規(guī)另有規(guī)定的情形包括：NO反洗錢法第十九條第三款：客戶身份資料在業(yè)務(wù)關(guān)系結(jié)束后、客戶交易信息在交易結(jié)束后，應(yīng)當(dāng)至少保存五年電子商務(wù)法第三十一條：商品和服務(wù)信息、交易信息保存時間自交易完成之日起不少于三年……證券法第137條：證券公司應(yīng)當(dāng)妥善保存客戶開戶資料、委托記錄、交易記錄和與內(nèi)部管理、業(yè)務(wù)經(jīng)營有關(guān)的各項資料……上述資料的保存期限不得少于二十年證券投資基金法第102條：基金份額登記機(jī)構(gòu)應(yīng)當(dāng)妥善保存登記數(shù)據(jù)……其保存期限自基金賬戶銷戶之日起不得少于二十年2.處理3.

跨境4.

權(quán)利5.

義務(wù)7.

罰則1.

總則6.

監(jiān)管六大場景下個人信息處理規(guī)定共同處理委托處理其他個人信息處理者共享自動化決策公共采共同處理者共同決定處理目的和處理方式，約定權(quán)利和義務(wù)個人可向其中任一信息處理者行使本法權(quán)利侵害個人信息權(quán)益造成損害的，應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任委托人?委托處理約定委托處理的目的、期限、處?理方式、個人信息的種類、保護(hù)?措施以及雙方的權(quán)利和義務(wù)等監(jiān)督受托人的個人信息處理活動受托人按照約定處理個人信息委托合同不生效、無效、被撤銷或終止，受托人應(yīng)當(dāng)將個人信息返還或予以刪除未經(jīng)同意，受托人不得轉(zhuǎn)委托個人信 轉(zhuǎn)移方息轉(zhuǎn)移因合并、分立、解散、被宣告破產(chǎn)等轉(zhuǎn)移個人信息接收方告知接收方的名稱或者姓名和聯(lián)系方式繼續(xù)履行個人信息處理者的義務(wù)

集?變更處理目的、處理方式的，應(yīng)重新取得個人同意提供個人信息?提供方告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類取得個人單獨同意?其他個人信息處理者在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息變更處理目的、處理方式應(yīng)重新取得個人同意??保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷，提供不針對個人特征的選項，或提供便捷的拒絕方式對個人權(quán)益具有重大影響的決定，個人有要求說明權(quán)和拒絕權(quán)自動化決策??在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識收集的個人圖像、身份識別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個人單獨同意的除外公共采集2.處理3.

跨境4.

權(quán)利5.

義務(wù)7.

罰則1.

總則6.

監(jiān)管“敏感個人信息”處理規(guī)則前提條件特定目的和充分必要性，并采取嚴(yán)格保護(hù)措施在第六條處理個人信息要求“明確且合理目的”的基礎(chǔ)上，提出更高的要求授權(quán)同意法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的，從其規(guī)定單獨同意個人信息處理需取得個人單獨同意，且同時滿足“明示同意”的要求告知要求遵從個人信息處理的告知要求向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成年人的父母或其他監(jiān)護(hù)人的同意；應(yīng)當(dāng)制定專門的個人信息處理規(guī)則依法應(yīng)當(dāng)取得相關(guān)行政許可或者作出其他限制的，從其規(guī)定2.處理3.

跨境4.

權(quán)利5.

義務(wù)7.

罰則1.

總則6.

監(jiān)管國家機(jī)關(guān)處理個人信息規(guī)定處理要求依照法定權(quán)限、程序進(jìn)行不得超出必要范圍和限度境內(nèi)存儲個人信息應(yīng)當(dāng)在境內(nèi)存儲境外提供應(yīng)當(dāng)進(jìn)行安全評估公共事務(wù)法定具有管理公共事務(wù)職能組織適用遵循原則履行告知義務(wù)法定保密、不需要告知，或妨礙履行法定職責(zé)的除外2.處理3.

跨境4.

權(quán)利5.

義務(wù)7.

罰則1.

總則6.

監(jiān)管個人信息跨境提供的規(guī)定具體要求：境內(nèi)收集產(chǎn)生的個人信息存儲在境內(nèi)向境外提供的應(yīng)通過國家網(wǎng)信部門組織的安全評估規(guī)定可以不進(jìn)行安全評估的從其規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者通過安全評估經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行保護(hù)認(rèn)證依據(jù)標(biāo)準(zhǔn)合同，與境外接收方訂立合同法律、行政法規(guī)或國家網(wǎng)信部門規(guī)定其他條件國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌監(jiān)管告知要求

向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨同意。3.

跨境4.

權(quán)利5.

義務(wù)1.

總則監(jiān)管罰則2.處理向境外提供個人信息應(yīng)當(dāng)具備下列條件之一：國際層面合作與競爭境外提供原則按照締結(jié)或者參加的國際條約、協(xié)定的規(guī)定，或者按照平等互惠原則執(zhí)行外國司法、執(zhí)法協(xié)助，非經(jīng)批準(zhǔn)，不得提供存儲于境內(nèi)的個人信息跨境制約列入限制或者禁止個人信息提供清單并公告采取限制或者禁止向境外提供個人信息等措施對等反制在個人信息保護(hù)方面對我國采取歧視性措施的國家或地區(qū)，我國可根據(jù)實際情況對等采取措施3.

跨境4.

權(quán)利5.

義務(wù)7.

罰則6.

監(jiān)管總則處理個人信息主體的權(quán)利處理目的已實現(xiàn)、無法實現(xiàn)或不再必要產(chǎn)品或者服務(wù)停止提供，或保存期限已屆滿個人撤回同意違法或違反約定處理個人信息其他情形*注：法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術(shù)上難以實現(xiàn)的，個人信息處理者應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的處理?！氨贿z忘權(quán)”適用情形知情權(quán)決定權(quán)限制處理權(quán)拒絕處理權(quán)查閱復(fù)制權(quán)轉(zhuǎn)移權(quán)更正補(bǔ)充權(quán)刪除權(quán)解釋說明權(quán)近親屬行權(quán)3.

跨境4.

權(quán)利5.

義務(wù)7.

罰則1.

總則6.

監(jiān)管2.處理個人信息處理者的義務(wù)義務(wù)概述1.

義務(wù)執(zhí)行依據(jù)：個人信息處理目的、處理方式、信息種類及個人權(quán)益的影響、潛在風(fēng)險等；2.

義務(wù)執(zhí)行目的：符合法律、行政法規(guī)的規(guī)定，并防止未授權(quán)訪問及個人信息泄露、篡改、丟失。義務(wù)說明安全措施說明：1、加密：對數(shù)據(jù)進(jìn)行密碼變換以產(chǎn)生密文的過程（GB/T

39786-2021）2、去標(biāo)識化：

去標(biāo)識化建立在個體基礎(chǔ)之上，保留個體顆粒度，采用假名、加密、哈希函數(shù)等替代對個人信息的標(biāo)識（

GB/

T

35273

—2020）操作權(quán)限確定定期教育培訓(xùn)制度規(guī)程制定信息分類管理安全技術(shù)措施采用應(yīng)急預(yù)案制定法定其他措施內(nèi)部人員管理3.

跨境4.

權(quán)利5.

義務(wù)7.

罰則1.

總則6.

監(jiān)管2.處理個人信息處理者的義務(wù)信息處理者義務(wù)執(zhí)行需指定負(fù)責(zé)人情形處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者適用情形境外個人信息處理者適用情形 內(nèi)容要求敏感信息處理自動化決策委托、提供、公開境外提供其他有重大影響的合法、正當(dāng)、必要個人權(quán)益影響及安全風(fēng)險合法性、有效性、匹配性報告和記錄至少保存三年通知內(nèi)容1、豁免條件：采取措施能有效避免危害的發(fā)生，可以不通知個人;2、限制條件：相關(guān)部門認(rèn)為可能造成危害的，有權(quán)要求通知個人。情形條件：1、個人信息遭受泄露、篡改、丟失；2、相關(guān)部門提出要求。信息種類泄露、篡改、丟失原因危害分析補(bǔ)救措施危害減輕聯(lián)系方式通知個人3.

跨境4.

權(quán)利5.

義務(wù)7.

罰則1.

總則6.

監(jiān)管2.處理定期合規(guī)審計事后事項通知機(jī)構(gòu)設(shè)立/代表指定/報送義務(wù)事前個人信息保護(hù)影響評估安全負(fù)責(zé)人指定大型互聯(lián)網(wǎng)平臺義務(wù)義務(wù)說明獨立機(jī)構(gòu)建立1、提供重要互聯(lián)網(wǎng)平臺服務(wù)2、用戶數(shù)量巨大3、業(yè)務(wù)類型復(fù)雜1、要求：由外部成員組成2、目的：監(jiān)督個人信息處理活動違規(guī)停止服務(wù)1、前提：嚴(yán)重違反法律、行政法規(guī)2、范圍：平臺內(nèi)的產(chǎn)品或者服務(wù)提供者責(zé)任報告發(fā)布接受社會監(jiān)督社會責(zé)任義務(wù)建立健全制度義務(wù)主體特征：3.

跨境4.

權(quán)利5.

義務(wù)7.

罰則1.

總則6.

監(jiān)管2.處理制定平臺規(guī)則遵循公開、公平、公正原則明確規(guī)范義務(wù)職責(zé)部門責(zé)任架構(gòu)責(zé)任架構(gòu)分析說明：履行個人信息保護(hù)職責(zé)的部門由國家網(wǎng)信部門進(jìn)行統(tǒng)籌和協(xié)調(diào)，具體落實的工作由國務(wù)院各部門在各自職責(zé)范圍內(nèi)進(jìn)行縱向的“條塊管理”，縣級以上地方人民政府也按照該模式進(jìn)行管理。職責(zé)范圍法定其他職責(zé)宣傳教育開展1、任何組織、個人有權(quán)進(jìn)行投訴、舉報。2、相關(guān)部門應(yīng)及時處理，并通知處理結(jié)果。3、相關(guān)部門應(yīng)公布接受投訴、舉報聯(lián)系方式。1、前提：存在較大風(fēng)險或者發(fā)生個人信息安全事件2、措施：對法定代表人或者主要負(fù)責(zé)人進(jìn)行約談；或要求委托專業(yè)機(jī)構(gòu)進(jìn)行合規(guī)審計。違法調(diào)查處理統(tǒng)籌協(xié)調(diào)、監(jiān)督管理國家網(wǎng)信部門國務(wù)院有關(guān)部門縣級以上地方政府有關(guān)部門信息保護(hù)、監(jiān)督管理信息保護(hù)、監(jiān)督管理部門說明投訴舉報處理應(yīng)用程序等測評3.

跨境4.

權(quán)利5.

義務(wù)7.

罰則1.

總則6.

監(jiān)管2.處理工作說明及履職措施部門說明主導(dǎo)部門：國家網(wǎng)信部門履職措施實施現(xiàn)場檢查查閱復(fù)制資料調(diào)查相關(guān)情況設(shè)備物品檢查被調(diào)查當(dāng)事人責(zé)任：履行個人信息保護(hù)職責(zé)的部門依法履行職責(zé),當(dāng)事人應(yīng)當(dāng)予以協(xié)助、配合,不得拒絕、阻撓。對有證據(jù)證明是用于違法個人信息處理活動的設(shè)備、物品