2021图解个人信息保护法

图解

《个人信息保护法》2021年8月前

言2021年8月20日，《个人信息保护法》正式发布，将于2021年11月1日起施行。个人信息保护关乎国计民生，明确被纳入《民法典》人格权保护范围，但是个人信息泄漏乱象频发，因此，结合国际通行实践，对个人信息保护专门立法，规范个人信息处理活动，保障个人信息的有序流通，对我国发展数字经济、数字社会、数字政府具有重要意义。《网络安全法》规定网络安全治理道路《个人信息保护法》加速个人信息法制化进程《数据安全法》提升国家数据安全保障能力《密码法》提出数据保护技术手段2021年11月1日2021年9月1日2020年1月1日2017年6月1日数据安全领域里程碑个人信息保护迎来里程碑2020年1月信息安全技术个人信息告知同意指南（征求意见稿）2021年5月1日起施行常见类型移动互联网应用程序（APP）必要个人信息范围规定2020年6月1日起实施网络安全审查办法2020年2月1日起施行国家政务信息化项目建设管理办法2019年10月1日起施行儿童个人信息网络保护规定2019年6月13日个人信息出境安全评估办法（征）2019年5月28日数据安全管理办法（征）2013年9月1日起施行电信和互联网用户个人信息保护规定2012年12月28日全国人民代表大会常务委员会关于加强网络信息保护的决定2020年10月1日起实施GB/T

35273-2020信息安全技术个人信息安全规范2020年8月28日信息安全技术网络数据处理安全规范（征求意见稿）2019年11月28日APP违法违规收集使用个人信息行为认定方法2019年8月8日信息安全技术移动互联网应用程序（APP）收集个人信息基本规范（征）2019年4月互联网个人信息安全保护指南2017年8月信息安全技术数据出境安全评估指南（征求意见稿）2013年2月1日起实施GB/Z

28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南政策法规技术标准《个人信息保护法》2021年8月20日颁布《个人信息保护法》总结构个人信息保护法第一章

总则第二章

个人信息处理规则第一节

一般规定13. 14. 15. 16. 17. 18. 19. 20.处理前提 取得同意 撤回同意 不得拒绝服务 告知要求 例外情形 存储期限 共同处理21. 22. 23. 24. 25. 26. 27.委托处理 信息转移 第三方共享 自动化决策 不得公开 公共采集 处理公开信息第二节敏感个人信息的处理规则 第三节

国家机关处理个人信息的特别规定28. 29. 30. 31. 32. 33. 34. 35. 36. 对管

37.

共事关键定义

单独同意 必要性 未成年人

行政许可 适用范围

范围限度

告知同意

境内存储

务

理公

求告知 保护 组织的要第六章

履行个人信息保1.目的护职责的部门2.宗旨60.职责部门3.适用范围4.关键定义61.保护职责5.基本原则目的、必要公开、透明准确、完整62.工作说明第三章

个人信息跨境提供的规则38.前提条件 39.告知要求 40.关基等要求 41.主管批准 42.限制清单 43.对等反制63.履职措施9.责任到人第四章

个人在个人信息处理活动中的权利44.知情、决定 45.查阅、复制 46.更正、补充47.主动删除 48.解释说明 49.近亲属行权50.处理机制第五章

个人信息处理者的义务51.基本义务 52.责任到人 53.境外机构义务54.合规审计 55.影响评估 56.评估内容57补救通知 58.特殊类型个人 59.受托人义务信息处理者义务64.约谈审计10.禁止行为11.环境构建65.投诉举报12.国际合作第七章

法律责任第八章

附则66.行政责任69.民事责任67.信用档案 68.国家机关处罚70.公益诉讼 71.行政、刑事责任72.特殊情况 73.专业术语74.施行时间扩展域外管辖，侧重数据处理发生地中国欧盟个人信息保护法GDPR以处理行为“发生地”切入以控制者/处理者“设立地”切入1、以“营业地/设立地”为标准：在欧盟境内设立的数据控制者或处理者对个人数据的处理行为（不论其实际数据处理行为在何处）2、以“保护主体”为标准：即使有关个人数据处理活动的控制者或处理者不在欧盟设立，但若其：(a)为欧盟境内的数据主体提供商品或服务；或

(b)对发生在欧盟境内的数据主体的活动进行监控，则该类控制者或处理者也同样适用

GDPR。1、强调“属地原则”在中华人民共和国境内处理自然人个人信息的活动，适用本法。（无论处理者是否在境内设属地.

原则立，或者处理的是否为境内自然人信息，只要.处理行为发生在境内，就受个保法制约。）2、对应GDPR“保护主体”标准：境外只要符合“向境内自然人提供产品或者服务为目的”、“为分析、评估境内自然人的行为”境外或法律、行政法规规定的其他情形的，也应适用个保法的规定。1.

总则处理跨境权利义务监管罚则明确七大关键定义

个人信息 以电子或者其他方式记录的与已识别或者可识别的自然已识别人有关的各种信息,不包括匿可识别名化处理后的信息。敏感个人信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、宗教生物识别医金融账户、行踪轨迹等信息，以及不满

疗十四周岁未成年人的个人信息。行踪包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息的处理在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。个人信息处理者通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。自动化决策个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。去标识化个人信息经过处理无法识别特定自然人且不能复原的过程。匿名化2.处理3.

跨境4.

权利5.

义务7.

罚则1.

总则6.

监管个人信息处理规则告知要求*针对第一种情形，最为典型的是根据《中华人民共和国反恐怖主义法》第五十一条的规定，即公安机关在调查恐怖活动的案件中，可以获得事先告知豁免。个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式和处理的个人信息种类、保存期限；个人行使权利的方式和程序;其他法定告知事项。34法定保密或豁免告知第一款紧急情况事后告知两种例外情形：前提条件1.取得个人同意具体要求2.为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需明示同意充分知情、自愿明确授权同意法定单独或书面同意3.履行法定职责或义务必需4.突发紧急应对必需重新取得同意变更需重新同意5.为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息6.自行公开或其他已合法公开的撤销权个人有权撤回其同意7.其他情形*注：第2-7项规定情形的，不需取得个人同意2.处理3.

跨境4.

权利5.

义务7.

罚则1.

总则6.

监管个人信息保存期限以最短必要为原则没有固定期限：根据必要性的要求，规定在满足处理目的后，最短时间内尽快予以删除。需要企业制定相应内部合规制度，就个人信息的存储及删除时间进行明确规定。兜底条款：对个人信息保存期限另有规定的，从其规定。常见的法律、法规另有规定的情形包括：NO反洗钱法第十九条第三款：客户身份资料在业务关系结束后、客户交易信息在交易结束后，应当至少保存五年电子商务法第三十一条：商品和服务信息、交易信息保存时间自交易完成之日起不少于三年……证券法第137条：证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项资料……上述资料的保存期限不得少于二十年证券投资基金法第102条：基金份额登记机构应当妥善保存登记数据……其保存期限自基金账户销户之日起不得少于二十年2.处理3.

跨境4.

权利5.

义务7.

罚则1.

总则6.

监管六大场景下个人信息处理规定共同处理委托处理其他个人信息处理者共享自动化决策公共采共同处理者共同决定处理目的和处理方式，约定权利和义务个人可向其中任一信息处理者行使本法权利侵害个人信息权益造成损害的，应当依法承担连带责任委托人•委托处理约定委托处理的目的、期限、处•理方式、个人信息的种类、保护•措施以及双方的权利和义务等监督受托人的个人信息处理活动受托人按照约定处理个人信息委托合同不生效、无效、被撤销或终止，受托人应当将个人信息返还或予以删除未经同意，受托人不得转委托个人信 转移方息转移因合并、分立、解散、被宣告破产等转移个人信息接收方告知接收方的名称或者姓名和联系方式继续履行个人信息处理者的义务

集•变更处理目的、处理方式的，应重新取得个人同意提供个人信息•提供方告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类取得个人单独同意•其他个人信息处理者在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息变更处理目的、处理方式应重新取得个人同意••保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇通过自动化决策方式向个人进行信息推送、商业营销，提供不针对个人特征的选项，或提供便捷的拒绝方式对个人权益具有重大影响的决定，个人有要求说明权和拒绝权自动化决策••在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需遵守国家有关规定，并设置显著的提示标识收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外公共采集2.处理3.

跨境4.

权利5.

义务7.

罚则1.

总则6.

监管“敏感个人信息”处理规则前提条件特定目的和充分必要性，并采取严格保护措施在第六条处理个人信息要求“明确且合理目的”的基础上，提出更高的要求授权同意法律、行政法规规定应当取得书面同意的，从其规定单独同意个人信息处理需取得个人单独同意，且同时满足“明示同意”的要求告知要求遵从个人信息处理的告知要求向个人告知处理敏感个人信息的必要性以及对个人权益的影响处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或其他监护人的同意；应当制定专门的个人信息处理规则依法应当取得相关行政许可或者作出其他限制的，从其规定2.处理3.

跨境4.

权利5.

义务7.

罚则1.

总则6.

监管国家机关处理个人信息规定处理要求依照法定权限、程序进行不得超出必要范围和限度境内存储个人信息应当在境内存储境外提供应当进行安全评估公共事务法定具有管理公共事务职能组织适用遵循原则履行告知义务法定保密、不需要告知，或妨碍履行法定职责的除外2.处理3.

跨境4.

权利5.

义务7.

罚则1.

总则6.

监管个人信息跨境提供的规定具体要求：境内收集产生的个人信息存储在境内向境外提供的应通过国家网信部门组织的安全评估规定可以不进行安全评估的从其规定关键信息基础设施运营者处理个人信息达到国家网信部门规定数量的个人信息处理者通过安全评估经专业机构进行保护认证依据标准合同，与境外接收方订立合同法律、行政法规或国家网信部门规定其他条件国家网信部门负责统筹监管告知要求

向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。3.

跨境4.

权利5.

义务1.

总则监管罚则2.处理向境外提供个人信息应当具备下列条件之一：国际层面合作与竞争境外提供原则按照缔结或者参加的国际条约、协定的规定，或者按照平等互惠原则执行外国司法、执法协助，非经批准，不得提供存储于境内的个人信息跨境制约列入限制或者禁止个人信息提供清单并公告采取限制或者禁止向境外提供个人信息等措施对等反制在个人信息保护方面对我国采取歧视性措施的国家或地区，我国可根据实际情况对等采取措施3.

跨境4.

权利5.

义务7.

罚则6.

监管总则处理个人信息主体的权利处理目的已实现、无法实现或不再必要产品或者服务停止提供，或保存期限已届满个人撤回同意违法或违反约定处理个人信息其他情形*注：法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。“被遗忘权”适用情形知情权决定权限制处理权拒绝处理权查阅复制权转移权更正补充权删除权解释说明权近亲属行权3.

跨境4.

权利5.

义务7.

罚则1.

总则6.

监管2.处理个人信息处理者的义务义务概述1.

义务执行依据：个人信息处理目的、处理方式、信息种类及个人权益的影响、潜在风险等；2.

义务执行目的：符合法律、行政法规的规定，并防止未授权访问及个人信息泄露、篡改、丢失。义务说明安全措施说明：1、加密：对数据进行密码变换以产生密文的过程（GB/T

39786-2021）2、去标识化：

去标识化建立在个体基础之上，保留个体颗粒度，采用假名、加密、哈希函数等替代对个人信息的标识（

GB/

T

35273

—2020）操作权限确定定期教育培训制度规程制定信息分类管理安全技术措施采用应急预案制定法定其他措施内部人员管理3.

跨境4.

权利5.

义务7.

罚则1.

总则6.

监管2.处理个人信息处理者的义务信息处理者义务执行需指定负责人情形处理个人信息达到国家网信部门规定数量的个人信息处理者适用情形境外个人信息处理者适用情形 内容要求敏感信息处理自动化决策委托、提供、公开境外提供其他有重大影响的合法、正当、必要个人权益影响及安全风险合法性、有效性、匹配性报告和记录至少保存三年通知内容1、豁免条件：采取措施能有效避免危害的发生，可以不通知个人;2、限制条件：相关部门认为可能造成危害的，有权要求通知个人。情形条件：1、个人信息遭受泄露、篡改、丢失；2、相关部门提出要求。信息种类泄露、篡改、丢失原因危害分析补救措施危害减轻联系方式通知个人3.

跨境4.

权利5.

义务7.

罚则1.

总则6.

监管2.处理定期合规审计事后事项通知机构设立/代表指定/报送义务事前个人信息保护影响评估安全负责人指定大型互联网平台义务义务说明独立机构建立1、提供重要互联网平台服务2、用户数量巨大3、业务类型复杂1、要求：由外部成员组成2、目的：监督个人信息处理活动违规停止服务1、前提：严重违反法律、行政法规2、范围：平台内的产品或者服务提供者责任报告发布接受社会监督社会责任义务建立健全制度义务主体特征：3.

跨境4.

权利5.

义务7.

罚则1.

总则6.

监管2.处理制定平台规则遵循公开、公平、公正原则明确规范义务职责部门责任架构责任架构分析说明：履行个人信息保护职责的部门由国家网信部门进行统筹和协调，具体落实的工作由国务院各部门在各自职责范围内进行纵向的“条块管理”，县级以上地方人民政府也按照该模式进行管理。职责范围法定其他职责宣传教育开展1、任何组织、个人有权进行投诉、举报。2、相关部门应及时处理，并通知处理结果。3、相关部门应公布接受投诉、举报联系方式。1、前提：存在较大风险或者发生个人信息安全事件2、措施：对法定代表人或者主要负责人进行约谈；或要求委托专业机构进行合规审计。违法调查处理统筹协调、监督管理国家网信部门国务院有关部门县级以上地方政府有关部门信息保护、监督管理信息保护、监督管理部门说明投诉举报处理应用程序等测评3.

跨境4.

权利5.

义务7.

罚则1.

总则6.

监管2.处理工作说明及履职措施部门说明主导部门：国家网信部门履职措施实施现场检查查阅复制资料调查相关情况设备物品检查被调查当事人责任：履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。对有证据证明是用于违法个人信息处理活动的设备、物品