图解 《个人信息保护法》 2021年11月1日起正式施行 前言 2021年8月20日,《个人信息保护法》正式发布,将于 2021年11月1日起施行。个人信息保护关乎国计民生,明 确被纳入《民法典》人格权保护范围,但是个人信息泄 漏乱象频发,因此,结合国际通行实践,对个人信息保 护专门立法,规范个人信息处理活动,保障个人信息的 有序流通,对我国发展数字经济、数字社会、数字政府 具有重要意义。 个人信息保护迎来里程碑 《个人信息保护法》 2021年8月20日颁布 政策法规 技术标准 2021年5月1日起施行 常见类型移动互联网应用程序(APP) 必要个人信息范围 2020年1月 信息安全技术 个人信息告知同意指南 (征求意见稿) 2020年6月1日起实施 网络安全审查办法 2020年10月1日实施 GB/T 35273-2020信息安全技术 个 人信息安全规范 2020年2月1日起施行 国家政务信息化项目建设管理办法 2020年9月18日 互联网个人信息安全保护指南 2019年10月1日起施行 儿童个人信息网络保护规定 2019年6月13日 个人信息出境安全评估办法(征) 2019年5月28日 数据安全管理办法(征) 2013年9月1日起施行 电信和互联网用户个人信息保护 规定 2012年12月28日 全国人民代表大会常务委员会关 于加强网络信息保护的决定 2020年8月28日 信息安全技术 网络数据处理安全规范 (征求意见稿) 2019年11月28日 APP违法违规收集使用个人信息行为认 定方法 2019年8月 信息安全技术 移动互联网应用程序 (APP)收集个人信息基本规范(征) 2017年8月 信息安全技术 数据出境安全评估指南 (征求意见稿) 2013年2月1日实施 GB/Z 28828-2012信息安全技术 公共及 商用服务信息系统 个人信息保护指南 《个人信息保护法》总结构 个人信息保护法 第一章 总则 1.目的 2.宗旨 3.适用范围 4.关键定义 5.合法、正当 6.目的、必要 第二章 个人信息处理规则 第一节 一般规定 13. 处理 前提 14. 取得 同意 15. 撤回 同意 16. 不得 拒绝 服务 17. 告知 要求 18. 例外 情形 19. 最短 时间 20. 共同 处理 21. 委托 处理 22. 信息 转移 23. 第三 方共 享 24. 自动 化决 策 25. 不得 公开 26. 公共 采集 27. 重新 同意 第二节 敏感个人信息的处理规则 28. 29. 30. 31. 32. 关 单 必要 未成 行 键 独 性告 年人 政 定 同 知 保护 许 义意 可 第三节国家机关处理个人信息的特 别规定 33. 34. 35. 36. 37. 适范告境公 用围知内共 范限同存事 围度意储务 第六章履行个 人信息保护职 责的部门 60.职责部门 61.保护职责 62.工作说明 7.公开、透明 8.准确、完整 38.前提 条件 第三章 个人信息跨境提供的规则 39.告知 要求 40.关基 要求 41.主管 批准 42.限制 清单 43.对等 反制 63.履职措施 9.责任到人 10.刑事追责 11.环境构建 12.国际合作 第四章 个人在个人信息处理 活动中的权利 44.知情、 决定 45.查阅、 复制 46.更正、 补充 47.主动 删除 48.解释 说明 49.代行 使权 50.处理 机制 第五章 个人信息处理者 的义务 51. 基本义务 52. 责任到人 53. 境外机构 义务 54. 合规审计 55. 影响评估 56. 评估内容 57 补救通知 58. 大型互联 网义务 59. 受托人义 务 第七章 法律责任 66. 行政责任 69. 民事责任 67. 信用档案 70. 依法诉讼 68. 国家机关处罚 71. 刑事责任 第八章 附则 72.特殊情况 73.专业术语 64.约谈审计 65.投诉举报 74.施行时间 总则 处理 跨境 权利 义务 监管 罚则 扩展域外管辖,侧重数据处理发生地 中国 个人信息保护法 欧盟 GDPR 以处理行为“发生地”切入 以控制者/处理者“设立 地”切入 1、强调“属地原则”:在中华人民共和国境内处 理自然人个人 信息的活动,适用本法。(无论处 理者是否在境内设立,或者处理的是否为境内自 然人信息,只要处理行为发生在境内,就受个保 法制约。) 1、以“营业地/设立地”为 标准:在欧盟境内设立的数 据控制者或处理者对个人数 据的处理行为(不论其实际 属地. 原则 数据处理行为在何处) . 2、以“保护主体”为标准: 即使有关个人数据处理活动 2、对应GDPR“保护主体”标准:只要符合“向 境内自然人提供产品或者服务为目的”、“为分 析、评估境内自然人的行为”及其他规定情形时, 也应适用个保法的规定。 境外 的控制者或处理者不在欧盟 设立,但若其:(a)为欧盟境 内的数据主体提供商品或服 务;或 (b)对发生在欧盟境内 的数据主体的活动进行监控, 则该类控制者或处理者也同 境外 样适用GDPR。 总则 处理 跨境 权利 义务 监管 罚则 明确七大关键定义 个人信息 以电子或者其他方式记录的与 已识别或者可识别的自然人有 关的各种信息,不包括匿名化 处理后的信息。 已识别 可识别 敏感个人信息 一旦泄露或者非法使用,容易导 致自然人的人格尊严受到侵害或 者人身、财产安全受到危害的个 人信息,包括生物识别、宗教信 仰、特定身份、医疗健康、金融 账户、行踪轨迹等信息,以及不 满十四周岁未成年人的个人信息。 宗教 生物识别 医疗 行踪 总则 处理 跨境 权利 义务 监管 罚则 明确七大关键定义 个人信息的处理 包括个人信息的收集、存储、使用、加工、传输、提供、公开、删 除等。 个人信息处理者 在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。 自动化决策 通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经 济、健康、信用状况等,并进行决策的活动。 去标识化 个人信息经过处理,使其在不借助额 外信息的情况下无法识别特 定自然人的过程。 匿名化 个人信息经过处理无法识别特定自然人且不能复原的过程。 总则 处理 跨境 权利 义务 监管 罚则 个人信息处理规则 前提条件 1.取得个人同意 2.订立、履行合同或实施人力 资源管理所必需 3.履行法定职责或义务必需 4.突发紧急应对必需 5.公共利益的合理范围 6.自行公开或其他已经合法公 开的 7.其他情形 *注:第2-7项规定情形的,不需取 得个人同意 具体要求 明示同意 充分知情、自愿明确 授权同意 法定单独或书面同意 重新取得同意 变更需重新同意 撤销权 个人有权撤回其同意 告知要求 1 个人信息处理者的名称或者姓名和联系方式; 2 个人信息的处理目的、处理方式、种类、保存期限; 3 个人行使权利的方式和程序; 4 其他法定告知事项。 两种例外情形: 法定保密 或豁免告知第一款 紧急情况 事后告知 *针对第一种情形,最为典型的是根据《中华人民共和国反恐怖主义法》第 五十一条的规定,即公安机关在调查恐怖活动的案件中,可以获得事先告 知豁免。 总则 处理 跨境 权利 义务 监管 罚则 个人信息保存期限以最短必要为原则 没有固定期限:根据必要性的要求,规定在满足处理目 的后,最短时间内尽快予以删除。需要企业制定相应内部 NO 合规制度,就个人信息的存储及删除时间进行明确规定。 兜底条款:对个人信息保存期限另有规定的,从其规定。 常见的法律、法规另有规定的情形包括: 反洗钱法 第十九条第三款:客户身份资料在业务关系结束后、客户 交易信息在交易结束后,应当至少保存五年。 电子商务法 第三十一条:商品和服务信息、交易信息保存时间自交易 完成之日起不少于三年…… 证券法 第147条:证券公司应当妥善保存客户开户资料、委托记 录、交易记录和与内部管理、业务经营有关的各项资 料……上述资料的保存期限不得少于二十年 证券投资基金法 第102条:基金份额登记机构应当妥善保存登记数据…… 其保存期限自基金账户销户之日起不得少于二十年 总则 处理 跨境 权利 义务 监管 罚则 六大场景下个人信息处理规定 共 共同处理者 同 • 共同决定处理目的和处理方式,约定权利和义务 处 • 个人可向其中任一信息处理者行使本法权利 理 • 侵害个人信息权益造成损害的,应当依法承担连带 责任 委托处理 委 委托人 托 处 • 约定委托处理的目的、期限、 理 处理方式、个人信息的种类、 保护措施以及双方的权利和 义务等 • 监督受托人的个人信息处理 活动 受托人 • 按照约定处理个人信息 • 委托合同不生效、无效、被撤 销或终止,受托方应当将个人 信息返还或予以删除 • 未经同意,受托人不得转委托 个 人 因合并、分立、解散、被宣 信 告破产等转移个人信息 息 转移方 接收方 转 移 • 告知接收方的名称或者姓名和 • 继续履行个人信息处理者的义务 联系方式 • 变更处理目的、处理方式的,应 重新取得个人同意 其 他 提供个人信息 个 人 信 提供方 其他个人信息处理者 息 • 告知接收方的名称或者姓名、 处 理 联系方式、处理目的、处理方 • 在上述处理目的、处理方式和个 人信息的种类等范围内处理个人 者 式和个人信息的种类 信息 共 • 取得个人单独同意 享 • 变更处理目的、处理方式应重新 取得个人同意 自 自动化决策 动 • 保证决策的透明度和结果公平、公正,不得对个人在交易 化 决 价格等交易条件上实行不合理的差别待遇 策 • 通过自动化决策方式向个人进行信息推送、商业营销,提 供不针对个人特征的选项,或提供便捷的拒绝方式 • 对个人权益具有重大影响的决定,个人有要求说明权和拒 绝权 公共采集 公 • 在公共场所安装图像采集、个人身份识别设备,应当为维 共 护公共安全所必需 采 • 遵守国家有关规定,并设置显著的提示标识 集 • 收集的个人图像、身份识别信息只能用于维护公共安全的 目的,不得用于其他目的;取得个人单独同意的除外 总则 处理 跨境 权利 义务 监管 罚则 “敏感个人信息”处理规则 前提条件 特定目的和充分必要性 并采取严格保护措施 单独同意 授权同意 在第六条处理个人信息要 求“明确且合理目的”的 基础上,提出更高的要求 个人信息处理需取得个 人单独同意,且同时满 足“明示同意”的要求 依法处理需取得书面 同意,且必须符合 “书面同意”的形式 要件 告知要求 遵 从 个 人 信 息 向个人告知处理敏感 处理不满十四周岁未 依法应当取得相关 处 理 的 告 知 要 个人信息的必要性以 成年人个人信息的, 行政许可或者作出 求 及对个人权益的影响 应当取得未成年人的 其他限制的,从其 父母或其他监护人的 规定 同意;应当制定专门 的个人信息处理规则 总则 处理 跨境 权利 义务 监管 罚则 国家机关处理个人信息规定 处理要求 • 依照法定权限、程序进行 遵循原则 • 履行告知义务 • 法定保密、不需要告知,或妨碍履行法定 职责的除外 境内存储 • 个人信息应当在境内存储 境外提供 • 应当进行安全评估 公共事务 • 法定具有管理公共事务职能组织适用 总则 处理 跨境 权利 义务 监管 罚则 个人信息跨境提供的规定 国家网信部门负责统筹监管 向境外提供个人信息应当具备下列条件之一: • 通过安全评估 • 经专业机构进行保护认证 • 依据标准合同,与境外接收方订立合同 • 法律、行政法规或国家网信部门规定其他条件 告知要求: 向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、 个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等 事项,并取得个人的单独同意。 关键信息基础设施 运营者 处理个人信息达到国家网信部门 规定数量的个人信息处理者 具体要求: • 境内收集产生的个人信息存储在境内 • 向境外提供的应通过国家网信部门组织的安全评估 • 规定可以不进行安全评估的从其规定 总则 处理 跨境 权利 义务 监管 罚则 国际层面合作与竞争 境外提供原则 • 按照缔结或者参加的国际条约、协定的规定,或者 按照平等互惠原则执行 • 非经批准,不得提供储于境内的个人信息 跨境制约 • 列入限制或者禁止个人信息提供清单并公告 • 采取限制或者禁止向境外提供个人信息等措施 对等反制 • 在个人信息保护方面对我国采取歧视性措施的国家 或地区,我国可根据实际情况对等采取措施 总则 处理 跨境 权利 义务 监管 罚则 个人信息主体的权利 知情权 决定权 限制处理权 拒绝处理权 查阅复制权 转移权 更正补充权 删除权 要求解释权 代行使权 “被遗忘权”适用情形 • 处理目的已实现、无法实现或不再必要 • 产品或者服务停止提供,或保存期限已届满 • 个人撤回同意 • 违法或违反约定处理个人信息 • 其他情形 *注:法律、法定保存期限未届满,或删除个人信息 从技 术上难以实现的,应当停止除存储和采取必要的安全保 护措施之外的处理 总则 处理 跨境 权利 义务 监管 罚则 个人信息处理者的义务 义务概述 1. 义务执行依据:个人信息处理目的、处理方式、信息 种类及个人权益的影响、潜在风险等; 2. 义务执行目的:符合法律、行政法规的规定,并防止 未授权访问及个人信息泄露、篡改、丢失。 义务说明 制度规程制定 信息分类管理 安全技术措施采用 内部人员管理 应急预案制定 法定其他措施 安全措施说明: 1、加密:对数据进行密码变换以产生 密文的过程(GB/T 39786-2021) 2、去标识化: 去标识化建立在个体基 础之上,保留个体颗粒度,采用假名、 加密、哈希函数等替代对个人信息的标 识(GB/T 35273—2020) 操作权限确定 定期教育培训 信息处理者义务执行 需指定负责人情形 安全负责人指定 机构设立/代表指定 处理个人信息达到国家网信部门规定数 量的个 人信息处理者 适用情形 境外 个人信息处理者 定期合规审计 事前个人信息保护影响评估 事后事项通知 适用情形 内容要求 • 敏感信息处理 • • 自动化决策 • • • 敏委境感托外信、提息提供处供、理公开 • • 其他有重大影响的 • 合法、正当、必要 个人权益影响及安 全风险 合法性、有效性、 匹配性 报告和记录至少保 存三年 通知内容 信息种类 泄露、篡改、丢失原因 危害分析 补救措施 危害减轻 联系方式 通知个人 情形条件: 1、个人信息遭受泄露、篡改、丢失; 2、相关部门提出要求。 1、豁免条件:采取措施能有效避免危 害的发生,可以不通知个人; 2、限制条件:相关部门认为可能造成 危害的,有权要求通知个人。 总则 处理 跨境 权利 义务 监管 罚则 大型互联网平台义务 义务说明 建立健全制度 独立机构建立 违规停止服务 社会责任义务 1、要求:由外部成员组成 2、目的:监督个人信息处理活动 1、前提:严重违反法律、行政法规 2、范围:平台内的产品或者服务提供 者 责任报告发布 接受社会监督 义务主体特征: 1、提供重要互联网平台服务 2、用户数量巨大 3、业务类型复杂 总则 处理 跨境 权利 义务 监管 罚则 职责部门责任架构 部门说明 国家网信部门 统筹协调、监督管理 国务院有关部门 县级以上地方 政府有关部门 信息保护、监督管理 信息保护、监督管理 责任架构分析说明:履行个人信息保护职责的部门由国家网信部门进行统 筹和协调,具体落实的工作由国务院各部门在各自职责范围内进行纵向的 “条块管理”,县级以上地方人民政府也按照该模式进行管理。 职责范围 宣传教育开展 投诉举报处理 1、任何组织、个人有权进行投诉、举报。 2、相关部门应及时处理,并通知处理结果。 3、相关部门应公布接受投诉、举报联系方 式。 应用程序等测评 违法调查处理 法定其他职责 1、前提:存在较大风险或者发生个人信息 安全事件 2、措施:对法定代表人或者主要负责人进 行约谈;或要求委托专业机构进行合规审计。 总则 处理 跨境 权利 义务 监管 罚则 工作说明及履职措施 部门说明 主导部门:国家网信部门 规则标准制定 认证技术支持 服务体系建设 投诉举报机制 个人信息保护 新技术新应用 履职措施 被调查当事人责任:履行个人信息保护职责的部门依法履行职责,当事人 应当予以协助、配合,不得拒绝、阻挠。 调查相关情况 查阅复制资料 实施现场检查 设备物品检查 对有证据证明是用于违法个 人信息处理活动的设备、物 品,向本部门主要负责人书 面报告并经批准,可以查封 或者扣押。 总则 处理 跨境 权利 义务 监管 罚则 罚则 责任类型 责任行为 处罚追责 违反本法规定处理个人信息,或 者处理个人信息未履行本法规定 • 的个人信息保护义务的 责令改正,给予警告,没收违 法所得 对违法处理个人信息的应用程序 • 责令暂停或者终止提供服务 拒不改正 行政责任 情节严重的 有本法规定的违法行为 • 并处一百万元以下罚款 • 对责任 人员处一万元以上十万 元以下罚款 • 责令改正,没收违法所得 • 并处五千万元以下或者上一年 度营业额百分之五以下罚款 • 责令暂停相关业务或者停业整 顿、通报有关主管部门吊销相 关业务许可或者吊销营业执照 • 对责任人员处十万元以上一 百 万元以下罚款,并可以决定禁 止其在一定期限内担任相关企 业的董事、监事、高级管理人 员和个人信息保护负责人 • 记入信用档案,并予以公示 国家机关不履行本法规定的个人 • 责令改正 信息保护义务 • 对责任人员依法给予处分 履行个人信息保护职责的部门的 工作人员玩忽职守、滥用职权、 • 徇私舞弊,尚不构成犯罪的 • 民事责任 处理个人信息侵害个人信息权益 • 造成损害 • • 违反本法规定处理个人信息,侵 害众多个人的权益的 刑事责任 构成违反治安管理行为 • 依法给予处分 个人信息处理者不能证明自己 没有过错的,应当承担损害赔 偿等侵权责任 损害赔偿责任按照个人因此受 到的损失或者个人信息处理者 因此获得的利益确定; 难以确定的,根据实际情况确 定赔偿数 人民检察院、履行个人信息保 护职责的部门和国家网信部门 确法律规定的消费者组织和由 国家网信部门确定的组织可以 依法向人民法院提起诉讼 依法给予治安管理处罚 构成犯罪的 • 依法追究刑事责任
关注微信
