中华人民共和国个人信息保护法 整理人:魏东 2022年12月12日 目录 第一章总则4 第一条「立法目的」4 第二条「个人信息受法律保护」4 第三条「空间适用范围」5 第四条「个人信息与个人信息处理的含义」7 第五条「合法、正当、必要与诚信原则」14 第六条「目的限制原则」15 第七条「公开透明原则」17 第八条「质量原则」22 第九条「责任原则与安全原则」22 第十条「禁止非法的个人信息处理活动」24 第十一条「建立健全个人信息保护制度」26 第十二条「个人信息保护的国际交流与合作」28 第二章个人信息处理规则30 第十三条「个人信息处理的合法性根据」30 第十四条「同意的要件与方式」32 第十五条「同意的撤回」33 第十六条「不得因撤回同意而拒绝提供产品或服务」35 第十七条「告知的内容与方式」36 第十八条「不向个人告知的情形」37 第十九条「个人信息的保存期限」38 第二十条「共同处理个人信息及侵权连带赔偿责任」39 第二十一条「委托处理个人信息」42 第二十二条「因合并、分立等原因转移个人信息」45 第二十三条「向其他个人信息处理者提供个人信息」48 第二十四条「利用个人信息进行自动化决策」51 第二十五条「没有取得个人单独同意就不得公开个人信息」54 第二十六条「公共场所收集个人信息」58 第二十七条「处理已经公开的个人信息」61 第二十八条「敏感个人信息的含义与处理的特别要求」67 第二十九条「处理敏感个人信息应取得单独同意或书面同意」68 第三十条「处理敏感个人信息的特别告知事项」70 第三十一条「处理儿童的个人信息」71 第三十二条「处理敏感个人信息的行政许可或其他限制」73 第三十三条「国家机关处理个人信息的法律适用」74 第三十四条「国家机关为履行法定职责处理个人信息」74 第三十五条「国家机关的告知义务」75 第三十六条「国家机关处理的个人信息应当在境内存储」78 第三十七条「具有管理公共事务职能组织处理个人信息的参照适用」79 第三章个人信息跨境提供的规则81 第三十八条「个人信息跨境转移的条件」81 第三十九条「个人信息跨境提供时的告知同意」88 第四十条「关键信息基础设施运营者等的境内存储信息和安全评估义务」89 第四十一条「国际司法协助与行政执法协助中个人信息的提供」98 第四十二条「黑名单制度」99 第四十三条「对等原则」101 第四章个人在个人信息处理活动中的权利102 第四十四条「知情权与决定权」102 第四十五条「查阅复制权与可携带权」106 第四十六条「更正补充权」110 第四十七条「删除义务和删除权」112 第四十八条「解释说明权」115 第四十九条「死者的个人信息」117 第五十条「个人信息处理者保障权利行使和说明的义务」119 第五章个人信息处理者的义务120 第五十一条「采取措施确保个人信息处理活动合法并保护安全」120 第五十二条「个人信息保护负责人」124 第五十三条「境外个人信息处理者设立专门机构或指定代表」126 第五十四条「定期合规审计义务」128 第五十五条「个人信息保护影响评估与记录义务」130 第五十六条「个人信息保护影响评估的内容」133 第五十七条「个人信息泄露时的补救措施与通知义务」134 第五十八条「特殊的个人信息处理者的义务」136 第五十九条「委托处理中受托人的义务」140 第六章履行个人信息保护职责的部门143 第六十条「履行个人信息保护职责的部门的界定与职责分工」143 第六十一条「履行个人信息保护职责的部门应当履行的职责」144 第六十二条「国家网信部门统筹协调的个人信息保护工作」145 第六十三条「履行个人信息保护职责的部门的执法措施」147 第六十四条「行政约谈与强制合规审计」149 第六十五条「对违法个人信息处理行为的投诉和举报」150 第七章法律责任152 第六十六条「违法处理个人信息的行政处罚」152 第六十七条「记入信用档案并公示」155 第六十八条「国家机关不履行个人信息保护义务的责任」156 第六十九条「侵害个人信息权益的侵权责任」158 第七十条「个人信息保护的民事公益诉讼」166 第七十一条「治安管理处罚与刑事责任」170 第八章附则173 第七十二条「不适用本法及优先适用特别法的情形」173 第七十三条「重要概念定义」173 第七十四条「施行时间」175 第一章总则 第一条「立法目的」原文 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。 解读 本条是关于本法立法目的的规定。 企业开展业务活动时,应严守底线和红线,梳理并评估自身所开展业务属于个人信息产业链条的哪一环节,是否属于个人信息处理活动,如果属于个人信息处理活动,则应严格按照本法及其他相关规定履行义务,主动合规,以保障个人信息权益为首要出发点和落脚点,规范自身的个人信息处理活动,探索合理完善的个人信息利用手段。 引文 《中华人民共和国民法典》第一千零三十五条、第一千零三十六条; 《中华人民共和国宪法》第三十三条、第三十八条、第四十条。 第二条「个人信息受法律保护」原文 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。 解读 本条是关于自然人的个人信息受法律保护的总体要求的规定。 不论是企业、行业组织、公益性组织还是国家机关,都应当严格按照本条的要求,保护自然人的个人信息,不得侵害其个人信息权益,应 按照本法规定履行个人信息保护义务,落实主体责任。按照本法第七章的规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处罚款;对直接负责的主管人员和其他直接责任人员处罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 引文 《中华人民共和国民法典》第一百一十一条。 第三条「空间适用范围」原文 在中华人民共和国境内处理自然人个人信息的活动,适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法: (一)以向境内自然人提供产品或者服务为目的; (二)分析、评估境内自然人的行为; (三)法律、行政法规规定的其他情形。解读 本条是关于本法适用范围的规定。 从个人维权的角度,只要是中国境内的自然人,在使用相关产品和服务的过程中,不论个人信息处理者对其个人信息的处理活动发生在中国境内还是境外,都可以依据个人信息保护法进行维权。如果是中国境外的自然人,则需要明确对其个人信息的处理活动发生在中国境内,才能够将个人信息保护法作为维权依据。 从企业合规的角度,首先要对企业性质进行判断,只有涉及对个人信息进行处理的企业才需要依据个人信息保护法进行合规审核,这里对个人信息进行处理,不仅仅是根据业务需求对个人信息进行处理,还应当包括因企业管理对员工个人信息进行处理等其他广泛的个人信息处理行为。其次需要对企业的数据处理行为进行分析,如果对个人 信息的处理活动是在中国境内进行,则无论是中国企业还是外国企业,无论处理的是中国公民的个人信息还是外国公民的个人信息,该行为都要受到个人信息保护法的管辖;如果企业对个人信息的处理活动发生在境外,则需要进一步分析待处理个人信息的性质,如果处理的是中国境内自然人的个人信息(无论中国公民或外国公民),且满足特定情形,则应当受到个人信息保护法的管辖。特定情形包括:第一,以向境内自然人提供产品或服务为目的,比如境外的电商公司、网络平台、航空公司、物流公司等,如果其也向中国境内自然人提供服务,则对境内自然人信息的处理也受个人信息保护法规范;在判断是否向 境内自然人提供产品或服务,或者有提供产品或服务的目的时,除了根据企业内部具体、真实的销售和服务记录以外,还可以将企业网站是否使用中文、是否可以使用人民币结算、配送范围是否及于中国境内等因素作为标准分析判断。第二,分析、评估境内自然人的行为,比如境外网站根据境内自然人的搜索浏览记录,对境内自然人进行画像,并据此进行个性化推送或者提升用户体验的更新,这种个人信息处理行为也属于个人信息保护法的规制范围。第三,法律、行政法规规定的其他情形,就目前的法律规定来看,除前面两种情形外,暂时没有其他在境外处理境内自然人个人信息的明确情形需要适用个人信息保护法,但是这一条为日后对个人信息保护法域外效力的扩张保留了可能性。 综合来看,只有在境外处理境外自然人的信息才不受个人信息保护法 的规制,只要涉及在中国境内处理或者境内个人信息,都有较高的个人信息保护法合规风险,企业应当加以注意。此外,对在境外进行个人信息处理的企业来说,还有可能同时受到不同国家对个人信息(个人数据)处理的规制,比如设立在欧盟境内的企业处理中国境内自然人的个人信息,需要同时进行GDPR和个人信息保护法的合规审核。 引文 《中华人民共和国民法典》第一百一十一条; 《中华人民共和国个人信息保护法》第四条、第五十三条、第七十二条。 第四条「个人信息与个人信息处理的含义」原文 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然 人有关的各种信息,不包括匿名化处理后的信息。 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。 解读 本条是关于“个人信息”和“个人信息的处理”的定义和范围的规定。 —“已识别”和“可识别” 对于“已识别”和“可识别”,该如何理解?以身份证上的信息为例,身份证反面包含身份证号、姓名、出生年月日、民族、家庭地址等信息。这些信息里面,身份证号码具有唯一性,单独的身份证号码就是特定自然人的个人信息,这就属于“已识别”的自然人的个人信息;对于“可识别”,只有姓名或者只有家庭住址都无法识别到指定的自然人,因为单独来看,姓名有重名的,一个家庭住址一般来说会有一家好几口人,但是这二者都能够在一定程度上将某些人与其他人区分开,对于识别到特定自然人来说都发挥着一定的作用而非毫无关联。因此,单独来看,姓名和家庭住址均属于“与可识别自然人有关的”个人信息,二者一旦结合就指向了特定的自然人,也就转化成了“已识别”自然人的个人信息。 二去标识化、匿名化、假名化 “去标识化”(de-identification)、“匿名化”(anonymization)与“假名化”(pseudonymization)都是数据脱敏处理中的重要手段,用来削弱个人信息(个人数据)的可识别性。 我国主要使用的是去标识化和匿名化两个概念。去标识化是指通过个 人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程;匿名化是指通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。无论是匿名化还是去标识化,其主要作用对象都是个人数据中的标识符,其直接目的都是降低个人数据与数据主体之间的关联程度,使得经匿名化或去标识化处理后的数据不能再直接识别到数据主体,从而实现在保护数据主体基本权益的前提下保有数据有用性,以便于数据合法使用。 欧盟主要使用匿名化和假名化这两个概念。根据GDPR,匿名化是基 于“合理可能”(reasonablylikely)标准而言的——综合考虑技术、成本、时间等因素,如果数据控制者或其他人采用了所有合理可能的方法,仍无法直接或间接识别数据主体,则数据是匿名化的。假名化是指通过对个人信息的技术处理,使其在不结合额外信息