张新宝、葛鑫 :《个人信息保护法(专家建议稿)》 重磅首发
发布日期:2019/10/17      正文字号:
文章标签: 个人信息  网络治理
[ 内容 ]

《个人信息保护法(专家建议稿)》


编者按:

本建议稿为中国人民大学法学院张新宝教授担任首席专家的国家社会科学基金重大项目“互联网安全主要立法问题”(14ZDC021)成果之一,目的在于为立法提供参考,作者为张新宝、葛鑫。建议稿不足之处,欢迎研提宝贵意见和建议发送至gexinde@126.com。进一步修改完善后,建议稿及立法理由书将在近期由中国人民大学出版社出版,敬请关注。


导语:

《个人信息保护法(专家建议稿)》以“两头强化、三方平衡”理论为基础理念,通过强化个人敏感信息保护和强化个人一般信息利用,实现信息主体、信息业者、国家机关三方主体之间的利益平衡。在立法模式上,《专家建议稿》采用统一规定立法模式,分为九章,共计一百余条。第一章至第三章大致为总则部分,包括个人信息保护的基本规定、基本原则和基本制度,明确了政府、企业、行业、社会等多方主体共同构建和维护个人信息保护秩序的框架,在基本原则方面基本上采纳了国际上通行的知情同意、目的限定等个人信息保护原则,在基本制度方面提出了构建个人信息保护标准体系、认证与标志体系、风险评估、去识别性处理等基本制度。第四章、第五章分别规定了信息业者和政务部门的个人信息处理规则。在这两个章节中,除了对总则部分予以细化之外,在信息业者部分专业规范信息业者的商业营销行为,借鉴域外如新加坡等国家立法经验,确立禁止商业营销号码登记制度;在政务部门个人信息处理规则部分,也专节规定了政府信息公开、共享、开放中的个人信息保护制度。第六章到第八章规定了监督管理、争议解决、法律责任等事项。在法律监督部分,明确了政府监管、行业自律、新闻监督、社会监督、公民参与等多元监督,并且在政府监管体制方面,试图构建以网信部门为主导的统筹协调机制;在争议解决部分,明确信息主体可以通过协商、投诉、调解、诉讼与仲裁等渠道维护其自身权益;第八章为法律责任部分,除了规定了各项具体的行政责任之外,也对民事责任、刑事责任进行了引致性规定。第九章为附则部分,主要是对专家建议稿中的术语进行了统一定义。


目录


第一章 基本规定 

第一条. 立法目的 

第二条. 适用范围/管辖权 

第三条. 个人信息保护监管制度 

第四条. 监管体制 

第五条. 专家咨询委员会 

第六条. 社会责任 

第七条. 行业组织 

第八条. 个人信息保护组织 

第九条. 个人信息保护社会化服务体系 

第十条. 个人信息保护技术发展 

第十一条. 个人信息保护国际合作 



第二章 个人信息保护基本原则 

第十二条. 合法性原则 

第十三条. 个人参与原则 

第十四条. 公开透明原则 

第十五条. 知情原则 

第十六条. 同意原则 

第十七条. 目的明确原则 

第十八条. 目的限定原则 

第十九条. 信息质量原则 

第二十条. 信息安全原则 

第二十一条. 个人敏感信息特别保护原则 

第二十二条. 未成年人个人信息特别保护原则 



第三章 个人信息保护基本制度 

第二十三条. 个人信息保护标准 

第二十四条. 个人信息保护认证、标志体系 

第二十五条. 个人信息保护内部工作机制 

第二十六条. 个人信息安全管理制度 

第二十七条. 个人信息保护风险评估 

第二十八条. 个人信息安全事件通知制度 

第二十九条. 个人信息去识别化、匿名化制度 



第四章 信息业者的个人信息处理 


第一节 信息业者一般行为规定 

第三十条. 个人信息收集、处理合法性依据 

第三十一条. 信息业者的告知义务 

第三十二条. 免于告知的情形 

第三十三条. 有效同意 

第三十四条. 目的限定及合理的目的范围外利用 

第三十五条. 个人信息对外提供的审查 

第三十六条. 个人信息对外提供的同意 

第三十七条. 个人信息的公开 

第三十八条. 匿名化信息的提供与公开 

第三十九条. 个人信息自动化分析与决策 

第四十条. 录音、录像等监听、监控的采用 

第四十一条. 录音、录像等监听、监控的管理 

第四十二条. 信息主体查询权 

第四十三条. 信息主体更正权 

第四十四条. 信息主体删除权 

第四十五条. 委托他人进行个人信息处理 

第四十六条. 使用第三方存储或计算服务

 

第二节 信息业者商业营销行为规定 

第四十七条. 禁止商业营销号码登记 

第四十八条. 禁止商业营销号码登记申请、查询与变更 

第四十九条. 信息业者禁止商业营销号码登记查询 

第五十条. 商业营销目的语音呼叫、信息发送 

第五十一条. 商业营销目的语音呼叫、短信息 

第五十二条. 商业营销目的电子邮件 

第五十三条. 定向商业营销信息 


第三节 向境外提供个人信息规定 

第五十四条. 个人信息出境安全评估的一般要求 

第五十五条. 免于评估的一般规定 

第五十六条. 向同等个人信息保护水平的国家或地区提供个人信息 

第五十七条. 信息业者向境外子公司、分公司提供个人信息 

第五十八条. 外商投资信息业者向境外母公司、总公司提供个人信息 

第五十九条. 我国信息业者在境外设立数据中心的要求 

第六十条. 境外个人信息接收方再次提供的限制 

第六十一条. 境外执法机关、司法机关调取的限制 



第五章 政务部门的个人信息处理 


第一节 政务部门一般行为规定 

第六十二条. 个人信息处理的合法性依据 

第六十三条. 对信息主体的告知义务 

第六十四条. 免于告知的情形 

第六十五条. 有效同意 

第六十六条. 目的限定及合理目的范围外使用 

第六十七条. 信息主体查询权 

第六十八条. 信息主体更正权 

第六十九条. 信息主体停止处理权 

第七十条. 向信息业者查询或要求信息业者提供数据 


第二节 政务信息公开、共享、开放行为规定 

第七十一条. 政务信息公开个人信息保护规定 

第七十二条. 个人信息政务信息资源共享类型 

第七十三条. 个人信息政务信息资源共享目录 

第七十四条. 个人信息政务信息资源共享机制 

第七十五条. 个人信息政务信息资源共享使用限制 

第七十六条. 个人信息政务信息资源共享异议更正机制 

第七十七条. 个人信息政务信息资源开放目录 

第七十八条. 个人信息政务信息资源开放机制 

第七十九条. 个人信息政务信息资源开放利用限制 

第八十条. 个人信息政务信息资源开放利用反馈机制 

第八十一条. 个人信息政务信息资源开放监督机制 

第八十二条. 个人信息政务信息资源开放信息主体权益保护



第六章 监督管理 

第八十三条. 网信部门职责 

第八十四条. 行业组织 

第八十五条. 新闻监督

第八十六条. 社会监督 

第八十七条. 公民参与 



第七章 救济 

第八十八条. 救济途径 

第八十九条. 与信息业者协商优先

第九十条. 个人信息保护组织或者其他依法成立的其他调解组织调解

第九十一条. 行业组织 

第九十二条. 主管部门投诉受理机制 

第九十三条. 共同诉讼 

第九十四条. 公益诉讼 

第九十五条. 行政救济 



第八章 法律责任 

第九十六条. 信息业者未落实个人信息安全保护义务的行政责任

第九十七条. 信息业者侵害信息主体合法权益的行政责任 

第九十八条. 违法商业营销行为的行政责任 

第九十九条. 其他法律责任 

第一百条. 社会信用记录 

第一百〇一条. 政务部门法律责任 

第一百〇二条. 境外信息业者的法律责任 



第九章 附则 

第一百〇三条. 术语定义 

第一百〇四条. 其他国家机关参照适用 

第一百〇五条. 国际条约的适用 

第一百〇六条. 法律生效日期 

 

第一章 基本规定


第一条. 立法目的

为规范信息业者和政务部门的个人信息处理活动,保护信息主体的合法权益,促进大数据的合法利用,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国网络安全法》等法律的规定,制定本法。

本法所称个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。


第二条. 适用范围/管辖权

在中华人民共和国境内处理个人信息,以及对个人信息处理行为的监督管理,适用本法。

在中华人民共和国境外处理中华人民共和国公民的个人信息,应遵守本法。

中华人民共和国缔结或者参加的国际条约中规定的个人信息保护事项,中华人民共和国在所承担条约义务的范围内行使管辖权的,适用本法。


第三条. 个人信息保护监管制度

国家对个人信息实行预防为主、风险管理、全程控制、社会共治的保护机制,建立科学、严格的监督管理制度。


第四条. 监管体制

国家网信部门负责统筹、协调、指导个人信息保护工作和相关监督管理工作。国务院各主管部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。


第五条. 专家咨询委员会

国家网信部门设立个人信息保护专家咨询委员会,就我国个人信息保护相关重大问题开展咨询,促进个人信息保护与大数据利用工作的科学性。


第六条. 社会责任

信息业者开展经营和服务活动,必须遵守法律、行政法规,尊重信息主体人格和社会公德,遵守商业道德,诚实信用,履行个人信息安全保护义务,接受政府和社会的监督,承担社会责任。

第七条. 行业组织

相关行业组织依据法律、行政法规,按照章程的规定,加强行业自律,建立健全行业规范和奖惩机制,制定个人信息保护行为规范,指导会员加强个人信息保护,支持、协助会员提高个人信息保护水平,促进行业健康发展。


第八条. 个人信息保护组织

国家支持依法成立的个人信息保护组织,对个人信息保护和相关数据利用活动进行社会监督,保护信息主体合法权益,履行公益性职责。


第九条. 个人信息保护社会化服务体系

国家推进个人信息保护社会化服务体系建设,鼓励有关企业、机构依法开展个人信息保护认证、风险评估等服务,履行社会服务职责。


第十条. 个人信息保护技术发展

国家鼓励研究开发个人信息保护和大数据利用的技术,促进数据利用,推动技术创新和经济社会发展。

国家支持创新个人信息安全管理方式,运用新技术,提升个人信息保护水平。


第十一条. 个人信息保护国际合作

国家积极开展个人信息保护治理、个人信息保护技术研发和标准制定、打击个人信息违法犯罪等方面的国际交流与合作,建立多边、民主、透明的个人信息保护治理体系。



第二章 个人信息保护基本原则


第十二条. 合法性原则

信息业者、政务部门进行个人信息处理活动,应当尊重并保护信息主体人格权益,遵守本法及其他法律、行政法规有关个人信息处理的规定,不得非法处理他人个人信息。


第十三条. 个人参与原则

自然人是其个人信息的主体。信息主体可以依法参与其个人信息处理活动,对个人信息的处理活动享有知情权、同意权、查询权、更正权、拒绝权、删除权。


第十四条. 公开透明原

信息业者、政务部门开展个人信息处理活动,应当通过信息主体便利了解和获取的方式,公开其个人信息处理规则、重大事项。


第十五条. 知情原则 

信息业者、政务部门应当清晰、易懂的用语,全面、准确、及时地告知信息主体其个人信息处理的目的、方式、范围等相关事项,信息主体有权依法要求信息业者、政务部门提供其个人信息处理相关事项信息,但法律另有规定的除外。


第十六条. 同意原则 

信息业者、政务部门处理个人信息,应当事先征得信息主体的同意,但法律、行政法规另有规定的除外。

信息主体的同意应当以明确的意思表示或者行为作出,除法律、行政法规另有规定或与信息主体另有约定外,信息主体未予拒绝的沉默不被视为同意。


第十七条. 目的明确原则

信息业者、政务部门收集个人信息应当具有特定、具体和正当的个人信息处理目的。

信息业者、政务部门变更个人信息处理目的的,变更后的个人信息处理目的应当与变更前的个人信息处理目的具有合理的关联。


第十八条. 目的限定原则 

信息业者、政务部门收集个人信息,应当在特定目的范围内,收集为实现该目的所需的必要信息。未经信息主体同意,不得超出个人信息收集时确立的特定目的范围或者与之具有合理关联的范围内处理个人信息,但法律、行政法规另有规定的除外。


第十九条. 信息质量原则 

信息业者、政务部门应当采取措施,确保所处理的个人信息的准确性、完整性和时效性。 


第二十条. 信息安全原则 

信息业者、政务部门收集、处理个人信息,应采取与个人信息安全风险、威胁相适应的安全保障措施,确保个人信息安全,避免其所处理的个人信息发生泄露、毁损、篡改等安全事件。


第二十一条. 个人敏感信息特别保护原则

个人敏感信息受法律特别保护。信息业者、政务部门依法处理个人敏感信息时,应当为信息主体提供特别保护。

法律、行政法规规定禁止收集的个人敏感信息,任何组织和个人不得收集。

个人敏感信息中属于个人隐私内容的,其保护还应适用隐私权保护的有关法律规定。


第二十二条. 未成年人个人信息特别保护原则

未成年人个人信息受法律特别保护。信息业者、政务部门收集、处理未成年人个人信息,应坚持未成年人利益优先原则和监护人同意原则,尊重和保护未成年人的人格权益。



第三章 个人信息保护基本制度


第二十三条. 个人信息保护标准

国家建立和完善统一的个人信息保护标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关个人信息处理及其监督管理的国家标准、行业标准,推进个人信息保护标准的国际交流与合作。

国家支持企业、研究机构、高等学校、相关行业组织、个人信息保护组织等参与个人信息保护国家标准、行业标准的制定。


第二十四条. 个人信息保护认证、标志体系

国家建立和完善统一的个人信息保护认证、标志体系,制定个人信息保护标准认证标志和认证实施规则,发布认证标志使用管理办法,推进个人信息保护认证、标志的国际交流与合作。

经具备资格的机构认证合格后,信息业者经方可使用个人信息保护认证标志。国家网信部门会同国务院有关部门制定、公布个人信息保护认证信息业者目录,并推动个人信息保护认证结果互认,避免重复认证。


第二十五条. 个人信息保护内部工作机制

信息业者、政务部门应当建立健全个人信息保护工作机制,建立个人信息保护工作专职部门或者指定牵头部门,明确部门及人员职责,确保其能够独立开展工作。

信息业者、政务部门个人信息保护工作部门或负责人员,应当勤勉地履行职责,监督信息业者、政务部门遵守个人信息保护相关法律、行政法规的状况,及时处理信息主体有关个人信息保护的咨询、投诉,配合网信部门和其他主管部门的检查监督。


第二十六条. 个人信息安全管理制度

信息业者、政务部门处理个人信息,应当确保个人信息安全,依照法律、行政法规规定和国家标准的强制性要求,建立健全内部个人信息安全管理制度,包括但不限于个人信息处理文档化管理制度、个人信息分级授权管理机制、个人信息安全风险等级评估制度、个人信息安全事件应急机制等制度。


第二十七条. 个人信息保护风险评估

信息业者、政务部门将要进行的个人信息处理项目中包含大规模居民统一身份识别代码信息等敏感个人信息、未成年人个人信息、个人信息自动化决策时,在进行个人信息处理前,应当进行个人信息保护风险评估,对个人信息处理项目实施后可能的个人信息被泄露、毁损、篡改、滥用等风险进行调查、预测、评估,并提出相应风险防范措施。

前款规定的个人信息处理项目实施后,信息业者、政务部门应当依据个人信息风险评估结果进行跟踪评估,及时识别和应对个人信息保护风险。


第二十八条. 个人信息安全事件通知制度

信息业者、政务部门应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。


第二十九条. 个人信息去识别化、匿名化制度

信息业者、政务部门进行个人信息处理,在不影响个人信息处理目的必要限度内,应当优先对个人信息进行去识别化、匿名化处理,降低个人信息处理风险。



第四章 信息业者的个人信息处理


第一节 信息业者一般行为规定


第三十条. 个人信息收集、处理合法性依据 

信息业者处理个人信息应当具有特定目的,并符合下列情形之一:

(一) 经信息主体同意;

(二) 为订立或履行与信息主体之间的合同所必要;

(三) 为保护信息主体或他人重大人身、财产利益确有必要,但依其情形难以获得信息主体同意;

(四) 所涉及的个人信息是信息主体自行公开或其他已经合法公开的个人信息,且个人信息处理未超出前述公开目的的合理范围;

(五) 为履行法律、行政法规规定的义务所必要;

(六) 为执行政务部门依法作出的命令所必要。


第三十一条. 信息业者的告知义务

信息业者收集个人信息,应当通过用户协议、隐私政策、即时通知等方式,以清晰、易懂的用语告知信息主体下列事项:

(一) 信息业者的名称、联系方式、个人信息保护规则等基本信息;

(二) 个人信息处理的基本事项,包括个人信息的性质、处理目的、方式、范围和存储期限等;

(三) 个人信息处理的特殊事项,包括可能进行的个人信息自动化决策、个人信息对外提供、个人信息出境、去识别化利用等;

(四) 信息主体同意或拒绝个人信息的处理,可能对其造成的影响;

(五) 信息主体享有的同意、查询、更正、删除等各项权利及行使途径;

(六) 收集个人敏感信息时,还应当特别提示信息主体其所收集的为个人敏感信息;

(七) 收集未成年人个人信息时,还应当尽可能告知其监护人;

(八) 间接收集个人信息时,还应当向信息主体告知个人信息的来源。

信息业者从信息主体处直接收集其个人信息时,应当在收集个人信息前告知信息主体前款各项事项;信息业者间接收集信息主体个人信息时,应当在收集个人信息后不超过一个月的合理期限内告知信息主体前款各项事项;间接收集的个人信息用于联络信息主体时,应当在初次联络信息主体时告知其前款各项事项。


第三十二条. 免于告知的情形

符合下列情形之一时,信息业者在必要限度内,可免为第三十一条规定的告知义务:

(一) 信息主体已知第三十一条第一款规定的各项事项;

(二) 间接收集个人信息时,向信息主体告知第三十一条第一款规定的各项事项,代价极高;

(三) 间接收集个人信息时,所收集的为信息主体自行公开或其他合法公开的信息主体个人信息;

(四) 向信息主体告知第三十一条第一款规定的各项事项,有可能损害社会公共利益;

(五) 向信息主体告知第三十一条第一款规定的各项事项,有可能严重影响政务部门行使职权;

(六) 法律、行政法规规定的其他情形。


第三十三条. 有效同意

信息业者据本法第三十条第一项规定收集信息主体个人信息时,应当以清晰、易懂的用语,通过信息主体易于选择和操作的方式,征求信息主体对处理其个人信息的同意。

信息业者在征求信息主体同意时,事实上排除信息主体拒绝同意的权利的,该同意无效。具有下列情形之一时,该同意无效:

(一) 未根据个人信息处理的具体情形,为信息主体提供同意事项清单,而以概括式条款征求信息主体的同意;

(二) 以信息主体对处理其个人信息的同意作为订立或履行合同的条件,超出为订立或履行与信息主体之间的合同所需的必要范围处理信息主体个人信息;

(三) 与其他事项一并以书面形式或电子形式向信息主体征求对处理其个人信息的同意,未采取合理的方式显著标识有关个人信息处理事项条款,或未为信息主体提供单独的同意选项。

信息主体虽未作出有效同意,但向信息业者提供其个人信息,且依具体情形,信息主体提供其个人信息的行为存在合理性,视为信息主体同意对其个人信息的收集。


第三十四条. 目的限定及合理的目的范围外利用

信息业者应当在个人信息收集时所确定的特定目的范围内或者与之具有合理关联的范围内利用个人信息,超出该范围利用个人信息,应当告知并征求信息主体的同意,但法律、行政法规另有规定的除外。

信息业者变更个人信息的处理目的,变更后的处理目的较之于变更前的处理目的,能够被合理地认为未显著增加对信息主体合法权益的影响,并为信息主体提供易于操作的拒绝机制的,信息主体未行使拒绝权前,视为信息主体同意变更后的个人信息处理目的,但所处理的个人信息为个人敏感信息除外。


第三十五条. 个人信息对外提供的审查

信息业者对外提供个人信息的,应当对接收方信息业者的个人信息保护水平、个人信息处理目的进行审查,不得将个人信息提供至不具有本法要求的个人保护水平或不具有正当处理目的的信息业者。

接收方信息业者应当配合提供方信息业者的审查,向提供方信息业者提供有关其个人信息保护水平、个人信息处理目的的相关材料。


第三十六条. 个人信息对外提供的同意

信息业者向他人提供信息主体个人信息的,应当及时告知信息主体个人信息对外提供具体事项,包括个人信息的类型、方式、接收方基本信息及其个人信息处理目的等个人信息对外提供事项,征求信息主体的同意。

信息业者向接受其委托、为其提供个人信息处理服务的其他信息业者提供信息主体个人信息的,不属于前款规定的对外提供个人信息。


第三十七条. 个人信息的公开

除下列情形外,信息业者不得公开信息主体的个人信息:

(一) 经信息主体书面同意且在约定范围内公开;

(二) 为促进社会公共利益且在必要范围内;

(三) 基于公共利益为学术研究或者统计的目的,以不足以识别特定信息主体的方式公开,但涉及个人敏感信息除外;

(四) 依照法律、行政法规的规定公开。


第三十八条. 匿名化信息的提供与公开

信息业者对外提供匿名化信息,应当审查接收方信息业者的个人信息安全保护措施、能力和水平,向接收方信息业者说明该信息为匿名化信息,并与接收方信息业者书面约定,要求其不得尝试复原匿名化信息的可识别性。

信息业者利用网络公开匿名化信息的,应当在公开匿名化信息前进行个人信息保护影响性评估,重点评估匿名化信息公开的必要性、涉及的匿名化信息的情况、复原匿名化信息识别性的可能性,以及匿名化信息公开可能对国家安全、社会公共利益、信息主体合法权益带来的风险。


第三十九条. 个人信息自动化分析与决策

个人信息自动化分析是指信息业者对信息主体的个人信息进行自动化处理,获得对信息主体工作表现、经济状况、健康状况、个人偏好等的分析。除经信息主体同意或法律、行政法规另有规定的情形,信息业者不得收集信息主体的个人敏感信息用于进行个人信息自动化分析。

信息业者获得信息主体的个人信息自动化分析,用于决定是否向信息主体授信、承保、提供就业机会等影响信息主体合法权益或对信息主体有重大影响的事项时,应当向信息主体说明个人信息自动化处理的目的、范围、内容,并经其同意。未经其同意,信息主体有权要求人工介入或拒绝该决定的约束,但法律、行政法规另有规定的除外。


第四十条. 录音、录像等监听、监控的采用

信息业者为维护营业场所安全、提升服务质量等正当目的,在其营业场所、办公场所运用录音、录像等现代技术手段实施监听、监控前,应当将采取的技术手段、设备类型、点位分布等基础信息向所在地县级以上人民政府公安机关备案。

禁止在旅馆客房、集体宿舍以及公共浴室、更衣室、卫生间等可能泄露他人隐私的场所、部位,安装视听信息采集设备。


第四十一条. 录音、录像等监听、监控的管理

信息业者应当在信息主体进入监听、监控采集范围时,明确提示信息主体。

对于获取的语音、图像信息,信息业者应当采取授权管理、控制访问等措施,控制对获取的语音、图像信息的查阅、复制和传输和非法泄露,但行使侦查、检察、审判职权的机关因司法工作需要,公安机关、国家安全机关因行政执法工作需要,或者县级以上人民政府行政主管部门因调查、处置突发事件需要,查阅、复制或者调取获取的语音、图像信息时,信息业者依法予以配合的除外。


第四十二条. 信息主体查询权

信息主体有权查询信息业者处理的其个人信息及其相关事项,信息业者应当为信息主体查询其个人信息提供便利。


第四十三条. 信息主体更正权

信息主体发现信息业者处理的其个人信息存在错误、遗漏时,可以书面通知信息业者予以更正。信息业者经初步确认后,应当对相关个人信息作出存在异议的标注。

经核查,确认相关信息确有错误、遗漏的,信息业者应当予以更正;确认不存在错误、遗漏的,应当取消异议标注;经核查仍不能确认的,对核查情况和意义内容应当予以记载。


第四十四条. 信息主体删除权

经信息主体同意进行个人信息处理,信息主体撤回其同意或者认为信息业者不再具有本法第三十条规定的个人信息处理的其他合法性依据的,可以通知信息业者删除已处理的个人信息,但法律、行政法规规定不得删除或需要保留的除外。

下列情形中,信息主体认为网络空间中的个人信息,是不准确、不再相关或侵害其合法权益的,且与公共利益无关的,信息主体有权要求信息业者采取删除、屏蔽、断开链接等必要措施:

(一) 提供网络平台服务的信息业者接到信息主体通知后,确认平台内相关个人信息与公共利益无关的,应当及时采取删除、屏蔽、断开信息内容等必要措施,并协助信息主体通知其已知或应知的其他链接、复制该个人信息的信息业者采取必要措施;

(二) 提供网络搜索引擎服务的信息业者接到信息主体通知后,确认搜索引擎结果中相关个人信息链接内容与公共利益无关的,应当及时采取删除、屏蔽、断开链接等必要措施;

(三) 未成年人或其监护人要求信息业者删除、屏蔽网络空间中该未成年人个人信息的,信息业者应当及时采取删除、屏蔽、断开链接等必要措施。

信息主体行使前款规定的删除权,应当以书面形式通知信息业者,告知信息业者姓名和联系方式、要求删除个人信息相关的网络地址或足以定位该个人信息的其他信息、要求删除相关信息的理由等事项。信息业者收到信息主体的通知后,应当及时删除相关信息。信息业者认为信息主体删除请求不符合前款规定的,可以拒绝删除,但应当及时通知信息主体,并向信息主体说明理由。


, , ,
第四十五条. 委托他人进行个人信息处理

信息业者委托其他信息业者进行个人信息处理,应当对受托方个人信息安全保护措施、能力和水平进行评估,不得委托不具备本法规定的个人信息安全保护水平的信息业者。信息业者应当通过合同等方式,与受托方信息业者明确授权范围,包括受托处理个人信息的类型、范围、处理目的等,并对受托方信息业者的个人信息安全管理进行监督。

信息业者接收其他信息业者委托进行个人信息处理,应当遵守本法和其他法律、行政法规的有关个人信息保护的规定,确保个人信息安全,并按照与委托方信息业者的约定妥善进行个人信息处理,接受委托方信息业者的监督,并向委托方信息业者报告个人信息处理情况,不得超出委托方信息业者的授权范围处理个人信息。


第四十六条. 使用第三方存储或计算服务

信息业者使用第三方存储或计算服务的,应当遵守本法和其他相关法律、行政法规、国家标准,通过与第三方签订合同等方式,明确第三方个人信息安全管理标准,确保个人信息的安全,并在使用第三方存储或计算服务过程中持续监督。

第三方应当按照法律、行政法规、国家标准、与信息业者的约定,确保信息业者提供的个人信息以及信息业者业务系统运行过程中收集、产生、存储的个人个人信息, 的安全,确保信息业者对前述个人信息的访问、利用、支配,接受信息业者的持续监督,未经信息业者授权,不得访问、修改、披露、利用、传输前述个人信息。服务终止时,应按照法律、行政法规、国家标准、信息业者的要求,进行移交或删除。


第二节 信息业者商业营销行为规定


第四十七条. 禁止商业营销号码登记

国家建立禁止商业营销的固定电话、移动电话号码登记制度(以下简称“禁止商业营销号码登记”)。

国务院电信主管部门推进、监督禁止商业营销号码登记工作,组织禁止商业营销号码登记系统的建设。


第四十八条. 禁止商业营销号码登记申请、查询与变更

信息主体提供其办理固定电话、移动电话入网手续时的真实身份信息,可以通过禁止商业营销号码登记系统为其固定电话、移动电话号码申请登记、变更禁止商业营销登记事项范围或注销登记。

国务院电信主管部门通过禁止商业营销号码登记系统为信息主体办理禁止商业营销号码登记、变更或注销登记,除收取必要成本费用外,不得收取其他费用。


第四十九条. 信息业者禁止商业营销号码登记查询

信息业者基于商业营销目的,拨打固定电话、移动电话号码或向其发送短信息,应当事先通过禁止商业营销号码登记系统查询该号码的禁止商业营销登记情况和禁止事项范围,每次查询的有效期为30个自然日。

国务院电信主管部门通过禁止商业营销号码登记系统为信息业者提供查询服务,可以收取必要的合理费用。


第五十条. 商业营销目的语音呼叫、信息发送

信息业者将要进行的语音呼叫、信息发送属于固定电话、移动电话号码已经进行禁止商业营销登记禁止事项范围时,不得基于商业营销目的,通过语音呼叫、信息发送方式联络该信息主体,但经信息主体同意或应信息主体请求进行的除外。


第五十一条. 商业营销目的语音呼叫、短信息

信息业者通过语音呼叫、发送短信息等方式开展商业营销,应当向信息主体表明其真实、准确的身份,不得隐匿、伪造,并将发送端电话号码或者代码一并发送,不得缺少或者含有虚假、冒用的发送端电话号码或者代码。

信息业者利用自动语音群呼、短信群发服务开展商业营销的,应当向电信服务提供者申请使用商业营销固定特服号码。电信服务提供者应当审查、登记信息业者的真实身份信息。

信息业者在语音呼叫、短信息中应当为信息主体提供易于操作的拒绝机制,确保一键退订。信息主体拒绝接收的,不得再次向其发送内容相同或者相似的语音呼叫、短信息。


第五十二条. 商业营销目的电子邮件

未经信息主体同意或者请求,信息业者不得基于商业营销目的,向信息主体的个人电子邮箱发送电子邮件。

信息业者基于商业营销目的向信息主体发送电子邮件,应当向信息主体提供真实、准确的电子邮件信封信息,不得隐匿或伪造电子邮件信封信息,并在电子邮件标题信息前显著标明。

信息业者基于商业目的向信息主体发送电子邮件,应当以清晰、易懂的用语,向信息主体提供易于操作的拒绝机制,确保一键退订。信息主体拒绝接收的,不得再次向其发送内容相同或者相似的电子邮件。


第五十三条. 定向商业营销信息

信息业者基于信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向其发送商业营销信息内容的,应当显著标明退订标志,确保一键退订。信息主体退订的,信息业者不得再次发送,并应向信息主体提供删除或匿名化商业营销活动所使用的个人信息的方式。


第三节 向境外提供个人信息规定


第五十四条. 个人信息出境安全评估的一般要求

因业务需要,信息业者在中华人民共和国境内运营中收集和产生的个人信息确需向境外提供的,应当进行个人信息出境安全评估,认为个人信息出境不会对个人信息主体权益保护造成重大风险时,方可出境。

信息业者进行个人信息出境安全评估,应重点评估以下内容:

(一) 个人信息出境的合法性、正当性和必要性;

(二) 出境个人信息基本情况,包括数量、范围、类型、敏感程度等

(三) 境外数据接收方基本情况,包括自身安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等。


第五十五条. 免于评估的一般规定

有以下情形之一的,信息业者在向境外提供个人信息时,可免为第五十四条规定的个人信息出境安全评估:

(一) 为维护个人信息主体或他人的生命、财产等重大合法权益所必要;

(二) 为履行法律法规、行政法规规定的义务所必要;

(三) 由信息主体主动发起的个人信息出境。


第五十六条. 向同等个人信息保护水平的国家或地区提供个人信息

国家网信部门主动或应信息业者申请评估特定国家或地区的个人信息保护水平的,应根据境外国家或地区的立法与执法状况、参与国际条约状况等,明确特定国家或地区是否满足我国个人息保护水平,向社会公布具备同等个人信息保护水平的国家或地区名单。

信息业者向经国家网信部门认定具备同等个人信息保护水平的国家或地区的信息业者提供个人信息,可免为第五十四条规定的个人信息出境安全评估事项,但应当对个人信息出境的基本情况,如出境个人信息的类型、数量、目的、境外数据接收方基本信息等予以记录。


第五十七条. 信息业者向境外子公司、分公司提供个人信息

信息业者因业务需要向境外子公司、分公司提供在中国境内运营中收集和产生的个人信息的,承诺其境外子公司、分公司适用与境内相同的个人信息保护规章制度,确保同等个人信息保护水平,并对境外子公司、分公司的个人信息处理行为承担相应法律责任的,可免为第五十四条规定的个人信息出境安全评估事项,但应当向国家网络部门、国务院电信主管部门和其他有关部门备案。


第五十八条. 外商投资信息业者向境外母公司、总公司提供个人信息

外商投资设立的信息业者因业务需要向境外母公司、总公司等提供在中国境内运营中收集和产生的个人信息的,承诺其境外母公司、总公司对前述个人信息与境内公司适用相同的个人信息保护规章制度,确保同等个人信息保护水平,并对境外母公司、总公司对前述个人信息的处理行为承担相应法律责任的,可免为第五十四条规定的个人信息出境安全评估事项,但应当向国家网络部门、国务院电信主管部门和其他有关部门备案。


第五十九条. 我国信息业者在境外设立数据中心的要求

信息业者面向中国境内提供服务,因业务需要在境外设立数据中心的,应当遵守以下规定:

(一) 在经国家网信部门认定具备同等个人信息保护水平的国家或地区设置数据中心的,应当向国家网信部门备案。

(二) 在未经国家网信部门认定具备同等个人信息保护水平的国家或地区设置数据中心的,应当经国家网信部门批准。


第六十条. 境外个人信息接收方再次提供的限制

信息业者因业务需要向境外提供在中华人民共和国境内运营中收集和产生的个人信息的,应当与境外个人信息接收方约定非经其同意,不得再次向第三方传输所接收的个人信息。


第六十一条. 境外执法机关、司法机关调取的限制

信息业者在境外设立的子公司、分公司、数据中心收到所在国家或地区执法机关、司法机关调取其在中华人民共和国境内运营中收集和产生的个人信息命令等情形的,应当及时通知国家网信部门或有关主管部门,经批准后,方可提供。

信息业者因业务需要向境外提供在中华人民共和国境内运营中收集和产生的个人信息的,应当与境外个人信息接收方约定在其收到所在国家或地区执法机关、司法机关调取前述个人信息命令等情形时,应当及时通知信息业者。信息业者收到通知后,应当及时向国家网信部门或有关主管部门备案。



第五章 政务部门的个人信息处理


第一节 政务部门一般行为规定


第六十二条. 个人信息处理的合法性依据

政务部门在法定职权范围内,基于特定目的进行个人信息处理活动,应当符合下列情形之一时:

(一) 为履行法定职责所必要;

(二) 经信息主体同意;

(三) 为保护信息主体或第三人的重大人身、财产利益所必要,但依其情形,难以获得信息主体的同意;

(四) 为基于公共利益而进行的统计、研究所必要;

(五) 法律、行政法规规定的其他情形。


第六十三条. 对信息主体的告知义务

政务部门收集个人信息,应当通过通知、公告等方式,以清晰、易懂的用语告知信息主体下列事项:

(一) 政务部门的名称、联系方式、个人信息保护规则等基本信息;

(二) 个人信息处理的基本事项,包括个人信息的性质、法律依据、处理目的、方式、范围和存储期限等;

(三) 个人信息处理的特殊事项,包括可能进行的个人信息公开、共享、开放事项;

(四) 信息主体是否负有提供个人信息的法定义务,同意或拒绝个人信息的处理可能对其造成的影响;

(五) 信息主体享有的同意、查询、更正、删除等各项权利及行使途径;

(六) 收集未成年人个人信息时,还应当尽可能告知其监护人;

(七) 间接收集个人信息时,还应当向信息主体告知获取个人信息的来源。

通过信息主体直接收集其个人信息时,应当在收集个人信息时告知信息主体前款事项;间接收集信息主体个人信息时,应当在收集个人信息后不超过一个月的合理期限内告知信息主体前款事项;间接收集的个人信息用于联络信息主体时,应当在初次联络信息主体时告知其前款事项。


第六十四条. 免于告知的情形

符合下列情形之一时,政务部门在必要限度内,可免为第六十三条第一款规定的告知义务:

(一) 信息主体已知第六十三条第一款的规定的各项事项;

(二) 间接收集个人信息时,向信息主体告知第六十三条第一款规定的各项事项,代价极高;

(三) 向信息主体告知第六十三条第一款规定的各项事项,有可能对行使法定职权造成严重不利影响; 

(四) 向信息主体告知第六十三条第一款规定的各项事项,有可能损害第三人利益、社会公共利益;

(五) 法律行政法规规定的其他情形。


第六十五条. 有效同意

政务部门依本法第六十二条第二项收集信息主体个人信息时,应当以清晰、易懂的用语,通过信息主体易于选择和操作的方式,征求信息主体对处理其个人信息的同意。政务部门在征求信息主体同意时,在事实上排除信息主体行使同意权时,视为信息主体未同意。

信息主体虽未作出有效同意,但向政务部门提供其个人信息,且依具体情形,信息主体提供其个人信息的行为存在合理性,视为信息主体同意对其个人信息的收集。


第六十六条. 目的限定及合理目的范围外使用

政务部门应当在个人信息收集时确定的特定目的范围内或者与之具有合理关联的范围内使用个人信息。


第六十七条. 信息主体查询权

信息主体有权查询政务部门处理的本人个人信息及其相关事项,政务部门应当为信息主体查询其个人信息提供便利,但法律法规另有规定的除外。


第六十八条. 信息主体更正权

信息主体认为政务部门所处理的个人信息存在错误、遗漏的,有权向相应的政务部门提出异议。政务部门经初步确认后,应当对相关个人信息作出存在异议的标注。

经核查,确认相关信息确有错误、遗漏的,政务部门应当予以更正;确认不存在错误、遗漏的,应当取消异议标注;经核查仍不能确认的,对核查情况和异议内容应当予以记载。


第六十九条. 信息主体停止处理权

存在下列情形之一的,信息主体有权向相应政务部门提出停止使用、删除或停止向他人提供相关个人信息的请求:

(一) 政务部门违反法律法规收集个人信息的;

(二) 政务部门在处理目的外使用个人信息且不属于法定例外情形的;

(三) 政务部门违法向第三人提供的。

政务部门在收到请求后,经核查存在前款规定的情形之一的,应当在20个工作日内停止使用、删除或者停止他人提供。认为不存在前款规定的情形的,应当在20个工作日内通知信息主体,并说明理由。下列情形下,信息主体可以向政务部门提出停止使用、删除相关信息或停止向他人提供的请求:


第七十条. 向信息业者查询或要求信息业者提供数据

政务部门在履行法定职责过程中,需要查询或要求信息业者提供个人信息类数据时,应当具有法律法规依据,经严格的批准程序,书面通知信息业者,并按照第六十三条、第六十四条的规定向相关信息主体履行告知义务,技术侦查措施适用、情报信息搜集等法律法规另有规定的除外。

政务部门依法查询或要求信息业者提供的个人信息时,应以履行法定职责的实际需要为限度查询或保存相关个人信息,不得用于与履行职责无关的用途。


第二节 政务信息公开、共享、开放行为规定


第七十一条. 政务信息公开个人信息保护规定

政务部门应当依照本法和其他有关法律、法规和国家有关规定对拟公开的政府信息进行审查。涉及个人信息的,遵循以下规则:

(一) 不公开对公共利益无重大影响的,不得公开,但能够对个人信息和其他信息进行分区分处理的,公开对个人信息进行区分处理后的其他信息;

(二) 不公开可能对公共利益造成重大影响的,应当予以公开,但应当对个人信息进行匿名化处理后公开;

(三) 不公开可能对公共利益造成重大影响的,但进行匿名化处理无法实现信息公开的目的,应当书面征求信息主体的意见。信息主体自收到征求意见书之日起15个工作日内未提出意见的,由政务部门依法决定是否公开。信息主体不同意公开且有合法理由的,政务部门不予公开。政务部门认为不公开可能对公共利益造成重大影响的,可以决定公开,并将决定公开的政府信息内容和理由书面告知信息主体。

政务部门不能确定政府信息涉及的个人信息是否可以公开的,应当报同级网信部门确定。


第七十二条. 个人信息政务信息资源共享类型

政务信息中包含个人信息的,按共享类型分为无条件共享、有条件共享、不予共享等三种类型。

人口信息、电子证照信息等基础信息资源的基础信息项等可提供给所有政务部门共享使用的个人信息属于无条件共享类。凡列入无条件共享类的个人信息,应当有法律、行政法规或党中央、国务院政策依据。

可提供给相关政务部门共享使用或仅能够部分提供给所有政务部门共享使用的个人信息属于有条件共享类。

不宜提供给其他政务部门共享使用的个人信息属于不予共享类。


第七十三条. 个人信息政务信息资源共享目录

制作或采集个人信息类政务信息资源的部门(以下简称“提供部门”)应当按照个人信息保护相关法律法规要求,建立个人信息类政务信息资源共享目录,列明个人信息类政务信息资源的共享类别。

提供部门应当在同级网信部门的指导下建立个人信息类政务信息资源共享目录动态调整机制,对尚未列入无条件共享、有条件共享的个人信息类政务信息资源进行个人信息共享风险评估,确定对信息主体权益不会造成不利影响的,及时更新共享个人信息类政务信息资源目录。


第七十四条. 个人信息政务信息资源共享机制

因履行职责需要使用共享个人信息的部门(以下简称“使用部门”)应提出明确的共享需求和信息使用用途。

属于无条件共享的个人信息,使用部门可以通过政务数据共享交换平台以数据下载或者接口调用等方式直接获取。

属于有条件共享的个人信息,使用部门应通过政务数据共享交换平台向提供部门提出申请,提供部门应在10个工作日内予以答复。予以共享的,应当明确个人信息使用的条件和具体要求。对不予共享的,提供部门应说明理由。

属于不予共享类的个人信息,以及有条件共享类提供部门不予共享的个人信息,使用部门因履行职责确需使用的,由使用部门与提供部门协商解决,协商未果的由有权决定的同级网信部门协调解决,涉及中央有关部门的由促进大数据发展部际联席会议协调解决。


第七十五条. 个人信息政务信息资源共享使用限制

使用部门对获取的共享个人信息,应遵守提供部门提出的个人信息使用条件和具体要求,并仅可按照明确的使用用途用于本部门履行职责需要,不得直接或以改变数据形式等方式提供给第三方,也不得用于或变相用于其他目的。


第七十六条. 个人信息政务信息资源共享异议更正机制

使用部门对获取的共享个人信息发现有错误、遗漏的,应及时反馈提供部门。提供部门经初步确认后,应当对相关个人信息作出存在异议的标注。

经核查,确认相关信息确有错误、遗漏的,提供部门应当予以更正;确认不存在错误、遗漏的,应当取消异议标注;经核查仍不能确认的,对核查情况和异议内容应当予以记载。


第七十七条. 个人信息政务信息资源开放目录

制作或采集个人信息类政务信息资源的部门(以下简称“开放部门”)拟增加有条件开放类或者无条件开放类政务信息资源的,应当进行个人信息保护影响评估,并采取听证会、讨论会等形式,听取有关基层和群体代表、部门、人民团体、专家、人大代表和社会有关方面的意见。

开放部门应当将数据开放的必要性、对个人信息保护可能产生的影响以及听证、论证情况向同级网信部门报告。经同级网信部门批准后,纳入有条件开放或无条件开放目录,并通过开放平台向社会公布。


第七十八条. 个人信息政务信息资源开放机制

属于无条件开放类的个人信息类政务信息资源,自然人、法人和非法人组织可以通过政务数据统一开放平台以数据下载或者接口调用的方式直接获取。

属于有条件开放类的个人信息类政务信息资源,开放部门应当通过政务数据统一开放平台公布数据使用技术能力和安全保障措施等要求,向符合条件的自然人、法人和非法人组织(以下简称“数据利用主体”)开放,并签订数据利用协议,明确数据利用的条件和具体要求,并通过政务数据统一开放平台向社会公示数据使用主体相关信息。


第七十九条. 个人信息政务信息资源开放利用限制

数据利用主体在利用个人信息类开放政务信息资源过程中,应当采取必要的安全保障措施,不得以识别自然人为目的利用个人信息类开放政务信息资源,并接受数据开放部门及有关部门的监督检查。

属于有条件开放类的个人信息类政务信息资源,数据利用主体还应当遵守数据利用协议中的条件和具体要求。


第八十条. 个人信息政务信息资源开放利用反馈机制

数据利用主体在利用个人信息类开放政务信息资源过程中,应当定期向数据开放部门反馈数据利用情况,在发生或可能发生开放政务信息资源恢复个人信息识别性时,应当及时向数据开放部门反馈。


第八十一条. 个人信息政务信息资源开放监督机制

开放部门应当建立有效的监督制度,对有条件开放类个人信息资源的利用情况进行持续监督。


第八十二条. 个人信息政务信息资源开放信息主体权益保护

自然人、法人和非法人组织认为开放个人信息类政务信息资源侵犯信息主体合法权益的,可以通过政务数据统一开放平台告知开放部门,并提交相关证据材料。

开放部门收到相关证据材料后,认为必要的,应当立即中止开放,同时进行核实。根据核实结果,分别采取撤回数据、恢复开放或者处理后再开放等措施,并及时反馈。



第六章 监督管理


第八十三条. 网信部门职责

国家网信部门负责组织、指导、协调和监督个人信息保护工作,履行下列职责:

(一) 指导和监督地方网信部门、个人信息保护认证机构、个人信息保护组织的工作;

(二) 单独或联合属地网信部门对信息业者个人信息保护工作进行监督检查;

(三) 协调国务院各主管部门开展个人信息保护执法工作,定期或临时召开促进个人信息保护部际联席会议;

(四) 组织调查、评估个人信息保护状况,发布评估报告;

(五) 发布并更新充分个人信息保护国家和地区名单、认可并更新境外个人信息保护标识名单;

(六) 代表国家与其他国家、国际组织开展个人信息保护国际合作;

(七) 法律、行政法规规定的其他职权。

地方网信息部门依本法和国家网信部门授权,负责组织、指导、协调和监督本地区个人信息保护工作,履行与国家网信部门相应的职责。


第八十四条. 行业组织

有关行业组织应当对信息主体信息业者依法自愿成立行业协会,加强行业自律管理,负责本行业个人信息保护标识认证的批准事项,并受理信息主体投诉,组织对会员的监督检查,协助相关监管部门进行合规审查等,促进行业健康发展。


第八十五条. 新闻监督

新闻媒体应当开展个人信息保护法律、法规以及个人信息保护标准和知识的公益宣传,并对个人信息保护违法行为进行舆论监督。有关个人信息保护的宣传报道应当真实、公正。

信息业者、政务部门进行个人信息处理相关重大事项,应当主动接受新闻媒体舆论监督,通过新闻发布会、记者招待会、新闻通稿、公报、互联网站等形式向新闻媒体及时发布相关信息。


第八十六条. 社会监督

个人信息保护组织、消费者权益保护组织等公益组织依法对违反本法规定,侵害信息主体合法权益的行为,依法进行社会监督。

个人信息保护组织、消费者权益保护组织等公益组织可以向信息主体提供信息保护教导和咨询,并可就信息主体合法权益保护等问题向有关部门反映、建议,参与有关信息主体权益保护的法律、行政法规、规范性文件、标准制定的听证程序等。


第八十七条. 公民参与

任何组织或者个人有权举报个人信息保护违法行为,依法,监督和督促信息业者、政务部门遵守本法及其他个人信息保护相关的法律、行政法规,对个人信息保护工作提出意见和建议


第七章 救济


第八十八条. 救济途径

信息主体认为信息业者个人信息处理活动损害其合法权益的,可以通过以下途径解决:

(一) 与信息业者协商;

(二) 请求个人信息保护组织或者依法成立的其他调解组织调解;

(三) 向信息业者所在行业协会投诉;

(四) 向有关主管部门投诉;

(五) 根据与信息业者达成的仲裁协议提请仲裁机构仲裁;

(六) 向人民法院提起诉讼。


第八十九条. 与信息业者协商优先

信息主体在信息业者进行个人信息处理时,其合法权益受到损害的,有权通知信息业者停止侵害或向信息业者要求赔偿,协商解决。

信息业者接到信息主体的通知后拒不处理、限期未予处理,或者信息主体认为信息业者的处理结果不合理的,信息主体可以选择本法第八十八条规定的其他争议解决方式。


第九十条. 个人信息保护组织或者其他依法成立的其他调解组织调解

个人信息保护组织或者依法成立的其他调解组织可以依法受理信息主体对信息业者的投诉,通知被投诉信息业者,对被投诉事项进行调查,以信息主体和信息业者双方自愿、合法、合理、公正为基础,以事实和证据为依据进行调解。

对内容复杂、争议较大的投诉,前述调解组织可以会同信息业者所在行业协会、有关主管部门共同处理;对涉及面广,危及广大信息主体权益的,或者损害信息主体权益情节严重的重要投诉,应向有关主管部门及时反映,要求制止和及时查处信息业者,并可以通过大众传播媒介予以揭露、批评。


第九十一条. 行业组织

相关行业组织应当按照章程,监督本协会会员执行本行业行为规范,并受理信息主体对会员信息业者的投诉,促进行业健康发展。


第九十二条. 主管部门投诉受理机制

各级主管部门收到信息主体的投诉,属于本部门相关职责范围的,应当受理并及时调查、核实、处理和反馈;不属于本部门职责范围的,应当及时通知信息主体并移交有关部门进行调查、核实处理和反馈;涉及多个主管部门的,应当及时报告同级网信部门,由同级网信部门协调相关主管部门进行调查、核实、处理和反馈。

前款规定的各级主管部门应当自收到投诉之日起7个工作日内予以处理并告知信息主体。


第九十三条. 共同诉讼

因信息业者的个人信息处理行为受到损害的信息主体人数众多的,可以依法由信息主体推选代表人进行共同诉讼。


第九十四条. 公益诉讼

各省、自治区、直辖市设立的个人信息保护组织、消费者权益保护协会等社会组织对侵害众多信息主体合法权益的行为,可以向人民法院提起诉讼。

人民检察院在履行职责过程中发现侵害众多信息主体合法权益的行为,在没有适格主体或者适格主体不提起诉讼的情况下,可以向人民法院提起诉讼。


第九十五条. 行政救济

信息主体认为政务部门个人信息处理活动违反本法及其他法律、行政法规的规定、侵害其合法权益的,可以向相应的主管部门投诉、举报,也可以依法申请行政复议或者提起行政诉讼。



第八章 法律责任


第九十六条. 信息业者未落实个人信息安全保护义务的行政责任

信息业者违反本法规定,落实个人信息安全保护义务不到位,存在较大个人信息安全风险的,由网信部门或有关主管部门责令改正,给予警告;拒不改正或发生个人信息安全事件的,处上一年度在中国境内营业额百分之一以上百分之五以下的罚款,对直接负责的主管人员处五千元以上五万元以下罚款。


第九十七条. 信息业者侵害信息主体合法权益的行政责任

信息业者违反本法规定,侵害信息主体个人信息依法得到保护的权利的,由网信部门或有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处上一年度在中国境内营业百分之一以上百分之五以下的罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。


第九十八条. 违法商业营销行为的行政责任

信息业者违反本法规定,未落实商业营销行为规范向信息主体发送商业性营销信息的,由电信主管部门按照国家有关法律、行政法规予以处罚。


第九十九条. 其他法律责任

信息业者违反本法规定,给信息主体或他人造成损害的,依法承担民事责任。

信息业者违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。


第一百条. 社会信用记录

信息业者有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。


第一百〇一条. 政务部门法律责任

政务部门违反本法规定,未落实个人信息安全保护义务的,由上一级政务部门责令改正;情节严重的,对负有责任的领导人员和直接责任人员依法给予处分。、

政务部门违反本法规定,侵害信息主体个人信息依法得到保护的权利的,由上一级政务部门责令改正;情节严重的,对负有责任的领导人员和直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。


第一百〇二条. 境外信息业者的法律责任

境外信息业者违法本法规定,侵害中华人民共和国公民个人信息依法得到保护的权利,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该境外信息业者采取冻结财产或者其他必要的制裁措施。



第九章 附则


第一百〇三条. 术语定义

本法下列用语的含义:

(一) 信息主体,指姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等个人身份代码和记述等被识别出的特定生存自然人。

(二) 个人敏感信息,指因其性质、内容与信息主体的核心隐私相关,或一旦泄露、滥用可能危害信息主体人身和财产安全或引发对信息主体的歧视等不利后果的个人信息。

(三) 信息业者,指除政务部门之外,开展个人信息收集、利用、加工、传输活动的一项或多项的法人、非法人组织;自然人以营利为目的从事个人信息收集、使用、加工等个人信息处理活动的一项或多项,在本法适用范围内视为信息业者。

(四) 政务部门,指政府部门及法律法规授权具有行政职能的事业单位和社会组织。

(五) 个人信息收集:指通过电子或人工等任何方式取得信息主体个人信息并加以记录的行为。

(六) 个人信息使用:指将个人信息用于加工以外的特定目的。

(七) 个人信息加工:指针对个人信息进行的编辑、编码、加密、去识别性、存储、比对、挖掘等操作。

(八) 个人信息提供:指将收集或加工的个人信息向他人传输数据副本或提供数据访问、检索等。

(九) 个人信息共享:指向他人提供个人信息,且双方分别对个人信息拥有独立控制权的过程。

(十) 个人信息转让:指向他人转移个人信息控制权的过程。

(十一) 个人信息出境:指为中华人民共和国境外的公民、法人或其他组织提供接入途径等,使其能够处理存储在中华人民共和国境内的服务器中的个人信息的操作;或为中华人民共和国境外的公民、法人或其他组织提供存储在中华人民共和国境内的服务器中的个人信息的拷贝等,使其获取前述个人信息的操作。

(十二) 去识别化处理:指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。 

(十三) 匿名化处理:指通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且依据现有技术水平和理性的成本考量,处理后的信息不再能合理地识别信息主体。经过匿名化处理后的信息,不属于个人信息。

(十四) 个人信息处理:指针对个人信息进行的任何操作,包括收集、使用、加工、共享、转让、跨境传输、去识别化、匿名化等。


第一百〇四条. 其他国家机关参照适用

权力机关、审判机关、检察机关、军事机关等其他国家机关涉及公民个人信息处理事项的,除法律、行政法规另有规定外,应遵守本法相关规定。


第一百〇五条. 国际条约的适用

中华人民共和国缔结或者参加的与个人信息保护有关的国际条约与本法有不同规定的,适用国际条约的规定;但是,中华人民共和国声明保留的条款除外。


第一百〇六条. 法律生效日期

本法自 年 月 日起施行。

 

发表评论

编辑:钟瑛琦

向编辑提问:

分享

扫二维码
用手机看民商
用微信扫描
还可以分享至
好友和朋友圈

中国民法学研究会
教育部人文社会科学重点研究基地
中国人民大学民商事法律科学研究中心

本网站由王利明教授创办并提供全部运作资金 Copyright◎2000-2015 All Rights Reserved 京ICP备05066828号-27 
E-mail: ccclarticles@126.com