中华人民(mín)共和國(guó)个人信息保护法

发文(wén)机关 ： 全國(guó)人民(mín)代表大会常務(wù)委员会

发布日期 ： 2021.08.20

生效日期 ： 2021.11.01

文(wén)号 ： 主席令第九十一号

主席令第九十一号

《中华人民(mín)共和國(guó)个人信息保护法》已由中华人民(mín)共和國(guó)第十三届全國(guó)人民(mín)代表大会常務(wù)委员会第三十次会议于2021年8月20日通过，现予公布，自2021年11月1日起施行。

中华人民(mín)共和國(guó)主席 习近平

2021年8月20日

（2021年8月20日第十三届全國(guó)人民(mín)代表大会常務(wù)委员会第三十次会议通过）

第一章 总 则

第一条   為(wèi)了保护个人信息权益，规范个人信息处理(lǐ)活动，促进个人信息合理(lǐ)利用(yòng)，根据宪法，制定本法。

第二条   自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。

第三条   在中华人民(mín)共和國(guó)境内处理(lǐ)自然人个人信息的活动，适用(yòng)本法。

在中华人民(mín)共和國(guó)境外处理(lǐ)中华人民(mín)共和國(guó)境内自然人个人信息的活动，有(yǒu)下列情形之一的，也适用(yòng)本法：

（一）以向境内自然人提供产品或者服務(wù)為(wèi)目的；

（二）分(fēn)析、评估境内自然人的行為(wèi)；

（三）法律、行政法规规定的其他(tā)情形。

第四条   个人信息是以電(diàn)子或者其他(tā)方式记录的与已识别或者可(kě)识别的自然人有(yǒu)关的各种信息，不包括匿名化处理(lǐ)后的信息。

个人信息的处理(lǐ)包括个人信息的收集、存储、使用(yòng)、加工、传输、提供、公开、删除等。

第五条   处理(lǐ)个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理(lǐ)个人信息。

第六条   处理(lǐ)个人信息应当具有(yǒu)明确、合理(lǐ)的目的，并应当与处理(lǐ)目的直接相关，采取对个人权益影响最小(xiǎo)的方式。

收集个人信息，应当限于实现处理(lǐ)目的的最小(xiǎo)范围，不得过度收集个人信息。

第七条   处理(lǐ)个人信息应当遵循公开、透明原则，公开个人信息处理(lǐ)规则，明示处理(lǐ)的目的、方式和范围。

第八条   处理(lǐ)个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

第九条   个人信息处理(lǐ)者应当对其个人信息处理(lǐ)活动负责，并采取必要措施保障所处理(lǐ)的个人信息的安全。

第十条   任何组织、个人不得非法收集、使用(yòng)、加工、传输他(tā)人个人信息，不得非法买卖、提供或者公开他(tā)人个人信息；不得从事危害國(guó)家安全、公共利益的个人信息处理(lǐ)活动。

第十一条   國(guó)家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行為(wèi)，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

第十二条   國(guó)家积极参与个人信息保护國(guó)际规则的制定，促进个人信息保护方面的國(guó)际交流与合作，推动与其他(tā)國(guó)家、地區(qū)、國(guó)际组织之间的个人信息保护规则、标准等互认。

第二章 个人信息处理(lǐ)规则

第一节 一般规定

第十三条   符合下列情形之一的，个人信息处理(lǐ)者方可(kě)处理(lǐ)个人信息：

（一）取得个人的同意；

（二）為(wèi)订立、履行个人作為(wèi)一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集體(tǐ)合同实施人力资源管理(lǐ)所必需；

（三）為(wèi)履行法定职责或者法定义務(wù)所必需；

（四）為(wèi)应对突发公共卫生事件，或者紧急情况下為(wèi)保护自然人的生命健康和财产安全所必需；

（五）為(wèi)公共利益实施新(xīn)闻报道、舆论监督等行為(wèi)，在合理(lǐ)的范围内处理(lǐ)个人信息；

（六）依照本法规定在合理(lǐ)的范围内处理(lǐ)个人自行公开或者其他(tā)已经合法公开的个人信息；

（七）法律、行政法规规定的其他(tā)情形。

依照本法其他(tā)有(yǒu)关规定，处理(lǐ)个人信息应当取得个人同意，但是有(yǒu)前款第二项至第七项规定情形的，不需取得个人同意。

第十四条   基于个人同意处理(lǐ)个人信息的，该同意应当由个人在充分(fēn)知情的前提下自愿、明确作出。法律、行政法规规定处理(lǐ)个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理(lǐ)目的、处理(lǐ)方式和处理(lǐ)的个人信息种类发生变更的，应当重新(xīn)取得个人同意。

第十五条   基于个人同意处理(lǐ)个人信息的，个人有(yǒu)权撤回其同意。个人信息处理(lǐ)者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理(lǐ)活动的效力。

第十六条   个人信息处理(lǐ)者不得以个人不同意处理(lǐ)其个人信息或者撤回同意為(wèi)由，拒绝提供产品或者服務(wù)；处理(lǐ)个人信息属于提供产品或者服務(wù)所必需的除外。

第十七条   个人信息处理(lǐ)者在处理(lǐ)个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理(lǐ)者的名称或者姓名和联系方式；

（二）个人信息的处理(lǐ)目的、处理(lǐ)方式，处理(lǐ)的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他(tā)事项。

前款规定事项发生变更的，应当将变更部分(fēn)告知个人。

个人信息处理(lǐ)者通过制定个人信息处理(lǐ)规则的方式告知第一款规定事项的，处理(lǐ)规则应当公开，并且便于查阅和保存。

第十八条   个人信息处理(lǐ)者处理(lǐ)个人信息，有(yǒu)法律、行政法规规定应当保密或者不需要告知的情形的，可(kě)以不向个人告知前条第一款规定的事项。

紧急情况下為(wèi)保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理(lǐ)者应当在紧急情况消除后及时告知。

第十九条   除法律、行政法规另有(yǒu)规定外，个人信息的保存期限应当為(wèi)实现处理(lǐ)目的所必要的最短时间。

第二十条   两个以上的个人信息处理(lǐ)者共同决定个人信息的处理(lǐ)目的和处理(lǐ)方式的，应当约定各自的权利和义務(wù)。但是，该约定不影响个人向其中任何一个个人信息处理(lǐ)者要求行使本法规定的权利。

个人信息处理(lǐ)者共同处理(lǐ)个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

第二十一条   个人信息处理(lǐ)者委托处理(lǐ)个人信息的，应当与受托人约定委托处理(lǐ)的目的、期限、处理(lǐ)方式、个人信息的种类、保护措施以及双方的权利和义務(wù)等，并对受托人的个人信息处理(lǐ)活动进行监督。

受托人应当按照约定处理(lǐ)个人信息，不得超出约定的处理(lǐ)目的、处理(lǐ)方式等处理(lǐ)个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理(lǐ)者或者予以删除，不得保留。

未经个人信息处理(lǐ)者同意，受托人不得转委托他(tā)人处理(lǐ)个人信息。

第二十二条   个人信息处理(lǐ)者因合并、分(fēn)立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理(lǐ)者的义務(wù)。接收方变更原先的处理(lǐ)目的、处理(lǐ)方式的，应当依照本法规定重新(xīn)取得个人同意。

第二十三条   个人信息处理(lǐ)者向其他(tā)个人信息处理(lǐ)者提供其处理(lǐ)的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理(lǐ)目的、处理(lǐ)方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理(lǐ)目的、处理(lǐ)方式和个人信息的种类等范围内处理(lǐ)个人信息。接收方变更原先的处理(lǐ)目的、处理(lǐ)方式的，应当依照本法规定重新(xīn)取得个人同意。

第二十四条   个人信息处理(lǐ)者利用(yòng)个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理(lǐ)的差别待遇。

通过自动化决策方式向个人进行信息推送、商(shāng)业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有(yǒu)重大影响的决定，个人有(yǒu)权要求个人信息处理(lǐ)者予以说明，并有(yǒu)权拒绝个人信息处理(lǐ)者仅通过自动化决策的方式作出决定。

第二十五条   个人信息处理(lǐ)者不得公开其处理(lǐ)的个人信息，取得个人单独同意的除外。

第二十六条   在公共场所安装图像采集、个人身份识别设备，应当為(wèi)维护公共安全所必需，遵守國(guó)家有(yǒu)关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能(néng)用(yòng)于维护公共安全的目的，不得用(yòng)于其他(tā)目的；取得个人单独同意的除外。

第二十七条   个人信息处理(lǐ)者可(kě)以在合理(lǐ)的范围内处理(lǐ)个人自行公开或者其他(tā)已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理(lǐ)者处理(lǐ)已公开的个人信息，对个人权益有(yǒu)重大影响的，应当依照本法规定取得个人同意。

第二节 敏感个人信息的处理(lǐ)规则

第二十八条   敏感个人信息是一旦泄露或者非法使用(yòng)，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物(wù)识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有(yǒu)在具有(yǒu)特定的目的和充分(fēn)的必要性，并采取严格保护措施的情形下，个人信息处理(lǐ)者方可(kě)处理(lǐ)敏感个人信息。

第二十九条   处理(lǐ)敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理(lǐ)敏感个人信息应当取得书面同意的，从其规定。

第三十条   个人信息处理(lǐ)者处理(lǐ)敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理(lǐ)敏感个人信息的必要性以及对个人权益的影响；依照本法规定可(kě)以不向个人告知的除外。

第三十一条   个人信息处理(lǐ)者处理(lǐ)不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他(tā)监护人的同意。

个人信息处理(lǐ)者处理(lǐ)不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理(lǐ)规则。

第三十二条   法律、行政法规对处理(lǐ)敏感个人信息规定应当取得相关行政许可(kě)或者作出其他(tā)限制的，从其规定。

第三节 國(guó)家机关处理(lǐ)个人信息的特别规定

第三十三条   國(guó)家机关处理(lǐ)个人信息的活动，适用(yòng)本法；本节有(yǒu)特别规定的，适用(yòng)本节规定。

第三十四条   國(guó)家机关為(wèi)履行法定职责处理(lǐ)个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。

第三十五条   國(guó)家机关為(wèi)履行法定职责处理(lǐ)个人信息，应当依照本法规定履行告知义務(wù)；有(yǒu)本法第十八条第一款规定的情形，或者告知将妨碍國(guó)家机关履行法定职责的除外。

第三十六条   國(guó)家机关处理(lǐ)的个人信息应当在中华人民(mín)共和國(guó)境内存储；确需向境外提供的，应当进行安全评估。安全评估可(kě)以要求有(yǒu)关部门提供支持与协助。

第三十七条   法律、法规授权的具有(yǒu)管理(lǐ)公共事務(wù)职能(néng)的组织為(wèi)履行法定职责处理(lǐ)个人信息，适用(yòng)本法关于國(guó)家机关处理(lǐ)个人信息的规定。

第三章 个人信息跨境提供的规则

第三十八条   个人信息处理(lǐ)者因业務(wù)等需要，确需向中华人民(mín)共和國(guó)境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过國(guó)家网信部门组织的安全评估；

（二）按照國(guó)家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照國(guó)家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义務(wù)；

（四）法律、行政法规或者國(guó)家网信部门规定的其他(tā)条件。

中华人民(mín)共和國(guó)缔结或者参加的國(guó)际条约、协定对向中华人民(mín)共和國(guó)境外提供个人信息的条件等有(yǒu)规定的，可(kě)以按照其规定执行。

个人信息处理(lǐ)者应当采取必要措施，保障境外接收方处理(lǐ)个人信息的活动达到本法规定的个人信息保护标准。

第三十九条   个人信息处理(lǐ)者向中华人民(mín)共和國(guó)境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理(lǐ)目的、处理(lǐ)方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

第四十条   关键信息基础设施运营者和处理(lǐ)个人信息达到國(guó)家网信部门规定数量的个人信息处理(lǐ)者，应当将在中华人民(mín)共和國(guó)境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过國(guó)家网信部门组织的安全评估；法律、行政法规和國(guó)家网信部门规定可(kě)以不进行安全评估的，从其规定。

第四十一条   中华人民(mín)共和國(guó)主管机关根据有(yǒu)关法律和中华人民(mín)共和國(guó)缔结或者参加的國(guó)际条约、协定，或者按照平等互惠原则，处理(lǐ)外國(guó)司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民(mín)共和國(guó)主管机关批准，个人信息处理(lǐ)者不得向外國(guó)司法或者执法机构提供存储于中华人民(mín)共和國(guó)境内的个人信息。

第四十二条   境外的组织、个人从事侵害中华人民(mín)共和國(guó)公民(mín)的个人信息权益，或者危害中华人民(mín)共和國(guó)國(guó)家安全、公共利益的个人信息处理(lǐ)活动的，國(guó)家网信部门可(kě)以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。

第四十三条   任何國(guó)家或者地區(qū)在个人信息保护方面对中华人民(mín)共和國(guó)采取歧视性的禁止、限制或者其他(tā)类似措施的，中华人民(mín)共和國(guó)可(kě)以根据实际情况对该國(guó)家或者地區(qū)对等采取措施。

第四章 个人在个人信息处理(lǐ)活动中的权利

第四十四条   个人对其个人信息的处理(lǐ)享有(yǒu)知情权、决定权，有(yǒu)权限制或者拒绝他(tā)人对其个人信息进行处理(lǐ)；法律、行政法规另有(yǒu)规定的除外。

第四十五条   个人有(yǒu)权向个人信息处理(lǐ)者查阅、复制其个人信息；有(yǒu)本法第十八条第一款、第三十五条规定情形的除外。

个人请求查阅、复制其个人信息的，个人信息处理(lǐ)者应当及时提供。

个人请求将个人信息转移至其指定的个人信息处理(lǐ)者，符合國(guó)家网信部门规定条件的，个人信息处理(lǐ)者应当提供转移的途径。

第四十六条   个人发现其个人信息不准确或者不完整的，有(yǒu)权请求个人信息处理(lǐ)者更正、补充。

个人请求更正、补充其个人信息的，个人信息处理(lǐ)者应当对其个人信息予以核实，并及时更正、补充。

第四十七条   有(yǒu)下列情形之一的，个人信息处理(lǐ)者应当主动删除个人信息；个人信息处理(lǐ)者未删除的，个人有(yǒu)权请求删除：

（一）处理(lǐ)目的已实现、无法实现或者為(wèi)实现处理(lǐ)目的不再必要；

（二）个人信息处理(lǐ)者停止提供产品或者服務(wù)，或者保存期限已届满；

（三）个人撤回同意；

（四）个人信息处理(lǐ)者违反法律、行政法规或者违反约定处理(lǐ)个人信息；

（五）法律、行政法规规定的其他(tā)情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理(lǐ)者应当停止除存储和采取必要的安全保护措施之外的处理(lǐ)。

第四十八条   个人有(yǒu)权要求个人信息处理(lǐ)者对其个人信息处理(lǐ)规则进行解释说明。

第四十九条   自然人死亡的，其近亲属為(wèi)了自身的合法、正当利益，可(kě)以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有(yǒu)安排的除外。

第五十条   个人信息处理(lǐ)者应当建立便捷的个人行使权利的申请受理(lǐ)和处理(lǐ)机制。拒绝个人行使权利的请求的，应当说明理(lǐ)由。

个人信息处理(lǐ)者拒绝个人行使权利的请求的，个人可(kě)以依法向人民(mín)法院提起诉讼。

第五章 个人信息处理(lǐ)者的义務(wù)

第五十一条   个人信息处理(lǐ)者应当根据个人信息的处理(lǐ)目的、处理(lǐ)方式、个人信息的种类以及对个人权益的影响、可(kě)能(néng)存在的安全风险等，采取下列措施确保个人信息处理(lǐ)活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理(lǐ)制度和操作规程；

（二）对个人信息实行分(fēn)类管理(lǐ)；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理(lǐ)确定个人信息处理(lǐ)的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他(tā)措施。

第五十二条   处理(lǐ)个人信息达到國(guó)家网信部门规定数量的个人信息处理(lǐ)者应当指定个人信息保护负责人，负责对个人信息处理(lǐ)活动以及采取的保护措施等进行监督。

个人信息处理(lǐ)者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十三条   本法第三条第二款规定的中华人民(mín)共和國(guó)境外的个人信息处理(lǐ)者，应当在中华人民(mín)共和國(guó)境内设立专门机构或者指定代表，负责处理(lǐ)个人信息保护相关事務(wù)，并将有(yǒu)关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十四条   个人信息处理(lǐ)者应当定期对其处理(lǐ)个人信息遵守法律、行政法规的情况进行合规审计。

第五十五条   有(yǒu)下列情形之一的，个人信息处理(lǐ)者应当事前进行个人信息保护影响评估，并对处理(lǐ)情况进行记录：

（一）处理(lǐ)敏感个人信息；

（二）利用(yòng)个人信息进行自动化决策；

（三）委托处理(lǐ)个人信息、向其他(tā)个人信息处理(lǐ)者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他(tā)对个人权益有(yǒu)重大影响的个人信息处理(lǐ)活动。

第五十六条   个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理(lǐ)目的、处理(lǐ)方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有(yǒu)效并与风险程度相适应。

个人信息保护影响评估报告和处理(lǐ)情况记录应当至少保存三年。

第五十七条   发生或者可(kě)能(néng)发生个人信息泄露、篡改、丢失的，个人信息处理(lǐ)者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：

（一）发生或者可(kě)能(néng)发生个人信息泄露、篡改、丢失的信息种类、原因和可(kě)能(néng)造成的危害；

（二）个人信息处理(lǐ)者采取的补救措施和个人可(kě)以采取的减轻危害的措施；

（三）个人信息处理(lǐ)者的联系方式。

个人信息处理(lǐ)者采取措施能(néng)够有(yǒu)效避免信息泄露、篡改、丢失造成危害的，个人信息处理(lǐ)者可(kě)以不通知个人；履行个人信息保护职责的部门认為(wèi)可(kě)能(néng)造成危害的，有(yǒu)权要求个人信息处理(lǐ)者通知个人。

第五十八条   提供重要互联网平台服務(wù)、用(yòng)户数量巨大、业務(wù)类型复杂的个人信息处理(lǐ)者，应当履行下列义務(wù)：

（一）按照國(guó)家规定建立健全个人信息保护合规制度體(tǐ)系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服務(wù)提供者处理(lǐ)个人信息的规范和保护个人信息的义務(wù)；

（三）对严重违反法律、行政法规处理(lǐ)个人信息的平台内的产品或者服務(wù)提供者，停止提供服務(wù)；

（四）定期发布个人信息保护社会责任报告，接受社会监督。

第五十九条   接受委托处理(lǐ)个人信息的受托人，应当依照本法和有(yǒu)关法律、行政法规的规定，采取必要措施保障所处理(lǐ)的个人信息的安全，并协助个人信息处理(lǐ)者履行本法规定的义務(wù)。

第六章 履行个人信息保护职责的部门

第六十条   國(guó)家网信部门负责统筹协调个人信息保护工作和相关监督管理(lǐ)工作。國(guó)務(wù)院有(yǒu)关部门依照本法和有(yǒu)关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理(lǐ)工作。

县级以上地方人民(mín)政府有(yǒu)关部门的个人信息保护和监督管理(lǐ)职责，按照國(guó)家有(yǒu)关规定确定。

前两款规定的部门统称為(wèi)履行个人信息保护职责的部门。

第六十一条   履行个人信息保护职责的部门履行下列个人信息保护职责：

（一）开展个人信息保护宣传教育，指导、监督个人信息处理(lǐ)者开展个人信息保护工作；

（二）接受、处理(lǐ)与个人信息保护有(yǒu)关的投诉、举报；

（三）组织对应用(yòng)程序等个人信息保护情况进行测评，并公布测评结果；

（四）调查、处理(lǐ)违法个人信息处理(lǐ)活动；

（五）法律、行政法规规定的其他(tā)职责。

第六十二条   國(guó)家网信部门统筹协调有(yǒu)关部门依据本法推进下列个人信息保护工作：

（一）制定个人信息保护具體(tǐ)规则、标准；

（二）针对小(xiǎo)型个人信息处理(lǐ)者、处理(lǐ)敏感个人信息以及人脸识别、人工智能(néng)等新(xīn)技术、新(xīn)应用(yòng)，制定专门的个人信息保护规则、标准；

（三）支持研究开发和推广应用(yòng)安全、方便的電(diàn)子身份认证技术，推进网络身份认证公共服務(wù)建设；

（四）推进个人信息保护社会化服務(wù)體(tǐ)系建设，支持有(yǒu)关机构开展个人信息保护评估、认证服務(wù)；

（五）完善个人信息保护投诉、举报工作机制。

第六十三条   履行个人信息保护职责的部门履行个人信息保护职责，可(kě)以采取下列措施：

（一）询问有(yǒu)关当事人，调查与个人信息处理(lǐ)活动有(yǒu)关的情况;

（二）查阅、复制当事人与个人信息处理(lǐ)活动有(yǒu)关的合同、记录、账簿以及其他(tā)有(yǒu)关资料;

（三）实施现场检查，对涉嫌违法的个人信息处理(lǐ)活动进行调查;

（四）检查与个人信息处理(lǐ)活动有(yǒu)关的设备、物(wù)品;对有(yǒu)证据证明是用(yòng)于违法个人信息处理(lǐ)活动的设备、物(wù)品，向本部门主要负责人书面报告并经批准，可(kě)以查封或者扣押。

履行个人信息保护职责的部门依法履行职责，当事人应当予以协助、配合，不得拒绝、阻挠。

第六十四条   履行个人信息保护职责的部门在履行职责中，发现个人信息处理(lǐ)活动存在较大风险或者发生个人信息安全事件的，可(kě)以按照规定的权限和程序对该个人信息处理(lǐ)者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理(lǐ)者委托专业机构对其个人信息处理(lǐ)活动进行合规审计。个人信息处理(lǐ)者应当按照要求采取措施，进行整改，消除隐患。

履行个人信息保护职责的部门在履行职责中，发现违法处理(lǐ)个人信息涉嫌犯罪的，应当及时移送公安机关依法处理(lǐ)。

第六十五条   任何组织、个人有(yǒu)权对违法个人信息处理(lǐ)活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理(lǐ)，并将处理(lǐ)结果告知投诉、举报人。

履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。

第七章 法律责任

第六十六条   违反本法规定处理(lǐ)个人信息，或者处理(lǐ)个人信息未履行本法规定的个人信息保护义務(wù)的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理(lǐ)个人信息的应用(yòng)程序，责令暂停或者终止提供服務(wù)；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他(tā)直接责任人员处一万元以上十万元以下罚款。

有(yǒu)前款规定的违法行為(wèi)，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分(fēn)之五以下罚款，并可(kě)以责令暂停相关业務(wù)或者停业整顿、通报有(yǒu)关主管部门吊销相关业務(wù)许可(kě)或者吊销营业执照；对直接负责的主管人员和其他(tā)直接责任人员处十万元以上一百万元以下罚款，并可(kě)以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理(lǐ)人员和个人信息保护负责人。

第六十七条   有(yǒu)本法规定的违法行為(wèi)的，依照有(yǒu)关法律、行政法规的规定记入信用(yòng)档案，并予以公示。

第六十八条   國(guó)家机关不履行本法规定的个人信息保护义務(wù)的，由其上级机关或者履行个人信息保护职责的部门责令改正；对直接负责的主管人员和其他(tā)直接责任人员依法给予处分(fēn)。

履行个人信息保护职责的部门的工作人员玩忽职守、滥用(yòng)职权、徇私舞弊，尚不构成犯罪的，依法给予处分(fēn)。

第六十九条   处理(lǐ)个人信息侵害个人信息权益造成损害，个人信息处理(lǐ)者不能(néng)证明自己没有(yǒu)过错的，应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理(lǐ)者因此获得的利益确定;个人因此受到的损失和个人信息处理(lǐ)者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

第七十条   个人信息处理(lǐ)者违反本法规定处理(lǐ)个人信息，侵害众多(duō)个人的权益的，人民(mín)检察院、法律规定的消费者组织和由國(guó)家网信部门确定的组织可(kě)以依法向人民(mín)法院提起诉讼。

第七十一条   违反本法规定，构成违反治安管理(lǐ)行為(wèi)的，依法给予治安管理(lǐ)处罚；构成犯罪的，依法追究刑事责任。

第八章 附 则

第七十二条   自然人因个人或者家庭事務(wù)处理(lǐ)个人信息的，不适用(yòng)本法。

法律对各级人民(mín)政府及其有(yǒu)关部门组织实施的统计、档案管理(lǐ)活动中的个人信息处理(lǐ)有(yǒu)规定的，适用(yòng)其规定。

第七十三条   本法下列用(yòng)语的含义：

（一）个人信息处理(lǐ)者，是指在个人信息处理(lǐ)活动中自主决定处理(lǐ)目的、处理(lǐ)方式的组织、个人。

（二）自动化决策，是指通过计算机程序自动分(fēn)析、评估个人的行為(wèi)习惯、兴趣爱好或者经济、健康、信用(yòng)状况等，并进行决策的活动。

（三）去标识化，是指个人信息经过处理(lǐ)，使其在不借助额外信息的情况下无法识别特定自然人的过程。

（四）匿名化，是指个人信息经过处理(lǐ)无法识别特定自然人且不能(néng)复原的过程。

第七十四条   本法自2021年11月1日起施行。