中華人民共和(hé)國個人信息保護法

第一章　總則

第二章　個人信息處理(lǐ)規則

第一節　一般規定

第二節　敏感個人信息的處理(lǐ)規則

第三節　國家機關處理(lǐ)個人信息的特别規定

第三章　個人信息跨境提供的規則

第四章　個人在個人信息處理(lǐ)活動中的權利

第五章　個人信息處理(lǐ)者的義務

第六章　履行個人信息保護職責的部門(mén)

第七章　法律責任

第八章　附則

第一條　爲了(le)保護個人信息權益，規範個人信息處理(lǐ)活動，促進個人信息合理(lǐ)利用(yòng)，根據憲法，制定本法。

第二條　自(zì)然人的個人信息受法律保護，任何組織、個人不得侵害自(zì)然人的個人信息權益。

第三條　在中華人民共和(hé)國境内處理(lǐ)自(zì)然人個人信息的活動，适用(yòng)本法。

在中華人民共和(hé)國境外(wài)處理(lǐ)中華人民共和(hé)國境内自(zì)然人個人信息的活動，有下(xià)列情形之一的，也(yě)适用(yòng)本法：

（一）以向境内自(zì)然人提供産品或者服務爲目的；

（二）分析、評估境内自(zì)然人的行爲；

（三）法律、行政法規規定的其他(tā)情形。

第四條　個人信息是以電子或者其他(tā)方式記錄的與已識别或者可識别的自(zì)然人有關的各種信息，不包括匿名化處理(lǐ)後的信息。

個人信息的處理(lǐ)包括個人信息的收集、存儲、使用(yòng)、加工(gōng)、傳輸、提供、公開(kāi)、删除等。

第五條　處理(lǐ)個人信息應當遵循合法、正當、必要和(hé)誠信原則，不得通過誤導、欺詐、脅迫等方式處理(lǐ)個人信息。

第六條　處理(lǐ)個人信息應當具有明(míng)确、合理(lǐ)的目的，并應當與處理(lǐ)目的直接相關，采取對(duì)個人權益影響最小(xiǎo)的方式。

收集個人信息，應當限于實現(xiàn)處理(lǐ)目的的最小(xiǎo)範圍，不得過度收集個人信息。

第七條　處理(lǐ)個人信息應當遵循公開(kāi)、透明(míng)原則，公開(kāi)個人信息處理(lǐ)規則，明(míng)示處理(lǐ)的目的、方式和(hé)範圍。

第八條　處理(lǐ)個人信息應當保證個人信息的質量，避免因個人信息不準确、不完整對(duì)個人權益造成不利影響。

第九條　個人信息處理(lǐ)者應當對(duì)其個人信息處理(lǐ)活動負責，并采取必要措施保障所處理(lǐ)的個人信息的安全。

第十條　任何組織、個人不得非法收集、使用(yòng)、加工(gōng)、傳輸他(tā)人個人信息，不得非法買賣、提供或者公開(kāi)他(tā)人個人信息；不得從(cóng)事(shì)危害國家安全、公共利益的個人信息處理(lǐ)活動。

第十一條　國家建立健全個人信息保護制度，預防和(hé)懲治侵害個人信息權益的行爲，加強個人信息保護宣傳教育，推動形成政府、企業、相關社會(huì)組織、公衆共同參與個人信息保護的良好(hǎo)環境。

第十二條　國家積極參與個人信息保護國際規則的制定，促進個人信息保護方面的國際交流與合作(zuò)，推動與其他(tā)國家、地區(qū)、國際組織之間的個人信息保護規則、标準等互認。

第一節　一般規定

第十三條　符合下(xià)列情形之一的，個人信息處理(lǐ)者方可處理(lǐ)個人信息：

（一）取得個人的同意；

（二）爲訂立、履行個人作(zuò)爲一方當事(shì)人的合同所必需，或者按照依法制定的勞動規章制度和(hé)依法簽訂的集體合同實施人力資源管理(lǐ)所必需；

（三）爲履行法定職責或者法定義務所必需；

（四）爲應對(duì)突發公共衛生事(shì)件，或者緊急情況下(xià)爲保護自(zì)然人的生命健康和(hé)财産安全所必需；

（五）爲公共利益實施新聞報(bào)道(dào)、輿論監督等行爲，在合理(lǐ)的範圍内處理(lǐ)個人信息；

（六）依照本法規定在合理(lǐ)的範圍内處理(lǐ)個人自(zì)行公開(kāi)或者其他(tā)已經合法公開(kāi)的個人信息；

（七）法律、行政法規規定的其他(tā)情形。

依照本法其他(tā)有關規定，處理(lǐ)個人信息應當取得個人同意，但(dàn)是有前款第二項至第七項規定情形的，不需取得個人同意。

第十四條　基于個人同意處理(lǐ)個人信息的，該同意應當由個人在充分知(zhī)情的前提下(xià)自(zì)願、明(míng)确作(zuò)出。法律、行政法規規定處理(lǐ)個人信息應當取得個人單獨同意或者書面同意的，從(cóng)其規定。

個人信息的處理(lǐ)目的、處理(lǐ)方式和(hé)處理(lǐ)的個人信息種類發生變更的，應當重新取得個人同意。

第十五條　基于個人同意處理(lǐ)個人信息的，個人有權撤回其同意。個人信息處理(lǐ)者應當提供便捷的撤回同意的方式。

個人撤回同意，不影響撤回前基于個人同意已進行的個人信息處理(lǐ)活動的效力。

第十六條　個人信息處理(lǐ)者不得以個人不同意處理(lǐ)其個人信息或者撤回同意爲由，拒絕提供産品或者服務；處理(lǐ)個人信息屬于提供産品或者服務所必需的除外(wài)。

第十七條　個人信息處理(lǐ)者在處理(lǐ)個人信息前，應當以顯著方式、清晰易懂的語言真實、準确、完整地向個人告知(zhī)下(xià)列事(shì)項：

（一）個人信息處理(lǐ)者的名稱或者姓名和(hé)聯系方式；

（二）個人信息的處理(lǐ)目的、處理(lǐ)方式，處理(lǐ)的個人信息種類、保存期限；

（三）個人行使本法規定權利的方式和(hé)程序；

（四）法律、行政法規規定應當告知(zhī)的其他(tā)事(shì)項。

前款規定事(shì)項發生變更的，應當将變更部分告知(zhī)個人。

個人信息處理(lǐ)者通過制定個人信息處理(lǐ)規則的方式告知(zhī)第一款規定事(shì)項的，處理(lǐ)規則應當公開(kāi)，并且便于查閱和(hé)保存。

第十八條　個人信息處理(lǐ)者處理(lǐ)個人信息，有法律、行政法規規定應當保密或者不需要告知(zhī)的情形的，可以不向個人告知(zhī)前條第一款規定的事(shì)項。

緊急情況下(xià)爲保護自(zì)然人的生命健康和(hé)财産安全無法及時(shí)向個人告知(zhī)的，個人信息處理(lǐ)者應當在緊急情況消除後及時(shí)告知(zhī)。

第十九條　除法律、行政法規另有規定外(wài)，個人信息的保存期限應當爲實現(xiàn)處理(lǐ)目的所必要的最短時(shí)間。

第二十條　兩個以上(shàng)的個人信息處理(lǐ)者共同決定個人信息的處理(lǐ)目的和(hé)處理(lǐ)方式的，應當約定各自(zì)的權利和(hé)義務。但(dàn)是，該約定不影響個人向其中任何一個個人信息處理(lǐ)者要求行使本法規定的權利。

個人信息處理(lǐ)者共同處理(lǐ)個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任。

第二十一條　個人信息處理(lǐ)者委托處理(lǐ)個人信息的，應當與受托人約定委托處理(lǐ)的目的、期限、處理(lǐ)方式、個人信息的種類、保護措施以及雙方的權利和(hé)義務等，并對(duì)受托人的個人信息處理(lǐ)活動進行監督。

受托人應當按照約定處理(lǐ)個人信息，不得超出約定的處理(lǐ)目的、處理(lǐ)方式等處理(lǐ)個人信息；委托合同不生效、無效、被撤銷或者終止的，受托人應當将個人信息返還個人信息處理(lǐ)者或者予以删除，不得保留。

未經個人信息處理(lǐ)者同意，受托人不得轉委托他(tā)人處理(lǐ)個人信息。

第二十二條　個人信息處理(lǐ)者因合并、分立、解散、被宣告破産等原因需要轉移個人信息的，應當向個人告知(zhī)接收方的名稱或者姓名和(hé)聯系方式。接收方應當繼續履行個人信息處理(lǐ)者的義務。接收方變更原先的處理(lǐ)目的、處理(lǐ)方式的，應當依照本法規定重新取得個人同意。

第二十三條　個人信息處理(lǐ)者向其他(tā)個人信息處理(lǐ)者提供其處理(lǐ)的個人信息的，應當向個人告知(zhī)接收方的名稱或者姓名、聯系方式、處理(lǐ)目的、處理(lǐ)方式和(hé)個人信息的種類，并取得個人的單獨同意。接收方應當在上(shàng)述處理(lǐ)目的、處理(lǐ)方式和(hé)個人信息的種類等範圍内處理(lǐ)個人信息。接收方變更原先的處理(lǐ)目的、處理(lǐ)方式的，應當依照本法規定重新取得個人同意。

第二十四條　個人信息處理(lǐ)者利用(yòng)個人信息進行自(zì)動化決策，應當保證決策的透明(míng)度和(hé)結果公平、公正，不得對(duì)個人在交易價格等交易條件上(shàng)實行不合理(lǐ)的差别待遇。

通過自(zì)動化決策方式向個人進行信息推送、商業營銷，應當同時(shí)提供不針對(duì)其個人特征的選項，或者向個人提供便捷的拒絕方式。

通過自(zì)動化決策方式作(zuò)出對(duì)個人權益有重大(dà)影響的決定，個人有權要求個人信息處理(lǐ)者予以說明(míng)，并有權拒絕個人信息處理(lǐ)者僅通過自(zì)動化決策的方式作(zuò)出決定。

第二十五條　個人信息處理(lǐ)者不得公開(kāi)其處理(lǐ)的個人信息，取得個人單獨同意的除外(wài)。

第二十六條　在公共場所安裝圖像采集、個人身份識别設備，應當爲維護公共安全所必需，遵守國家有關規定，并設置顯著的提示标識。所收集的個人圖像、身份識别信息隻能(néng)用(yòng)于維護公共安全的目的，不得用(yòng)于其他(tā)目的；取得個人單獨同意的除外(wài)。

第二十七條　個人信息處理(lǐ)者可以在合理(lǐ)的範圍内處理(lǐ)個人自(zì)行公開(kāi)或者其他(tā)已經合法公開(kāi)的個人信息；個人明(míng)确拒絕的除外(wài)。個人信息處理(lǐ)者處理(lǐ)已公開(kāi)的個人信息，對(duì)個人權益有重大(dà)影響的，應當依照本法規定取得個人同意。

第二節　敏感個人信息的處理(lǐ)規則

第二十八條　敏感個人信息是一旦洩露或者非法使用(yòng)，容易導緻自(zì)然人的人格尊嚴受到(dào)侵害或者人身、财産安全受到(dào)危害的個人信息，包括生物識别、宗教信仰、特定身份、醫(yī)療健康、金(jīn)融賬戶、行蹤軌迹等信息，以及不滿十四周歲未成年人的個人信息。

隻有在具有特定的目的和(hé)充分的必要性，并采取嚴格保護措施的情形下(xià)，個人信息處理(lǐ)者方可處理(lǐ)敏感個人信息。

第二十九條　處理(lǐ)敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理(lǐ)敏感個人信息應當取得書面同意的，從(cóng)其規定。

第三十條　個人信息處理(lǐ)者處理(lǐ)敏感個人信息的，除本法第十七條第一款規定的事(shì)項外(wài)，還應當向個人告知(zhī)處理(lǐ)敏感個人信息的必要性以及對(duì)個人權益的影響；依照本法規定可以不向個人告知(zhī)的除外(wài)。

第三十一條　個人信息處理(lǐ)者處理(lǐ)不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他(tā)監護人的同意。

個人信息處理(lǐ)者處理(lǐ)不滿十四周歲未成年人個人信息的，應當制定專門(mén)的個人信息處理(lǐ)規則。

第三十二條　法律、行政法規對(duì)處理(lǐ)敏感個人信息規定應當取得相關行政許可或者作(zuò)出其他(tā)限制的，從(cóng)其規定。

第三節　國家機關處理(lǐ)個人信息的特别規定

第三十三條　國家機關處理(lǐ)個人信息的活動，适用(yòng)本法；本節有特别規定的，适用(yòng)本節規定。

第三十四條　國家機關爲履行法定職責處理(lǐ)個人信息，應當依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的範圍和(hé)限度。

第三十五條　國家機關爲履行法定職責處理(lǐ)個人信息，應當依照本法規定履行告知(zhī)義務；有本法第十八條第一款規定的情形，或者告知(zhī)将妨礙國家機關履行法定職責的除外(wài)。

第三十六條　國家機關處理(lǐ)的個人信息應當在中華人民共和(hé)國境内存儲；确需向境外(wài)提供的，應當進行安全評估。安全評估可以要求有關部門(mén)提供支持與協助。

第三十七條　法律、法規授權的具有管理(lǐ)公共事(shì)務職能(néng)的組織爲履行法定職責處理(lǐ)個人信息，适用(yòng)本法關于國家機關處理(lǐ)個人信息的規定。

第三十八條　個人信息處理(lǐ)者因業務等需要，确需向中華人民共和(hé)國境外(wài)提供個人信息的，應當具備下(xià)列條件之一：

（一）依照本法第四十條的規定通過國家網信部門(mén)組織的安全評估；

（二）按照國家網信部門(mén)的規定經專業機構進行個人信息保護認證；

（三）按照國家網信部門(mén)制定的标準合同與境外(wài)接收方訂立合同，約定雙方的權利和(hé)義務；

（四）法律、行政法規或者國家網信部門(mén)規定的其他(tā)條件。

中華人民共和(hé)國締結或者參加的國際條約、協定對(duì)向中華人民共和(hé)國境外(wài)提供個人信息的條件等有規定的，可以按照其規定執行。

個人信息處理(lǐ)者應當采取必要措施，保障境外(wài)接收方處理(lǐ)個人信息的活動達到(dào)本法規定的個人信息保護标準。

第三十九條　個人信息處理(lǐ)者向中華人民共和(hé)國境外(wài)提供個人信息的，應當向個人告知(zhī)境外(wài)接收方的名稱或者姓名、聯系方式、處理(lǐ)目的、處理(lǐ)方式、個人信息的種類以及個人向境外(wài)接收方行使本法規定權利的方式和(hé)程序等事(shì)項，并取得個人的單獨同意。

第四十條　關鍵信息基礎設施運營者和(hé)處理(lǐ)個人信息達到(dào)國家網信部門(mén)規定數量的個人信息處理(lǐ)者，應當将在中華人民共和(hé)國境内收集和(hé)産生的個人信息存儲在境内。确需向境外(wài)提供的，應當通過國家網信部門(mén)組織的安全評估；法律、行政法規和(hé)國家網信部門(mén)規定可以不進行安全評估的，從(cóng)其規定。

第四十一條　中華人民共和(hé)國主管機關根據有關法律和(hé)中華人民共和(hé)國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理(lǐ)外(wài)國司法或者執法機構關于提供存儲于境内個人信息的請(qǐng)求。非經中華人民共和(hé)國主管機關批準，個人信息處理(lǐ)者不得向外(wài)國司法或者執法機構提供存儲于中華人民共和(hé)國境内的個人信息。

第四十二條　境外(wài)的組織、個人從(cóng)事(shì)侵害中華人民共和(hé)國公民的個人信息權益，或者危害中華人民共和(hé)國國家安全、公共利益的個人信息處理(lǐ)活動的，國家網信部門(mén)可以将其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。

第四十三條　任何國家或者地區(qū)在個人信息保護方面對(duì)中華人民共和(hé)國采取歧視(shì)性的禁止、限制或者其他(tā)類似措施的，中華人民共和(hé)國可以根據實際情況對(duì)該國家或者地區(qū)對(duì)等采取措施。

第四十四條　個人對(duì)其個人信息的處理(lǐ)享有知(zhī)情權、決定權，有權限制或者拒絕他(tā)人對(duì)其個人信息進行處理(lǐ)；法律、行政法規另有規定的除外(wài)。

第四十五條　個人有權向個人信息處理(lǐ)者查閱、複制其個人信息；有本法第十八條第一款、第三十五條規定情形的除外(wài)。

個人請(qǐng)求查閱、複制其個人信息的，個人信息處理(lǐ)者應當及時(shí)提供。

個人請(qǐng)求将個人信息轉移至其指定的個人信息處理(lǐ)者，符合國家網信部門(mén)規定條件的，個人信息處理(lǐ)者應當提供轉移的途徑。

第四十六條　個人發現(xiàn)其個人信息不準确或者不完整的，有權請(qǐng)求個人信息處理(lǐ)者更正、補充。

個人請(qǐng)求更正、補充其個人信息的，個人信息處理(lǐ)者應當對(duì)其個人信息予以核實，并及時(shí)更正、補充。

第四十七條　有下(xià)列情形之一的，個人信息處理(lǐ)者應當主動删除個人信息；個人信息處理(lǐ)者未删除的，個人有權請(qǐng)求删除：

（一）處理(lǐ)目的已實現(xiàn)、無法實現(xiàn)或者爲實現(xiàn)處理(lǐ)目的不再必要；

（二）個人信息處理(lǐ)者停止提供産品或者服務，或者保存期限已屆滿；

（三）個人撤回同意；

（四）個人信息處理(lǐ)者違反法律、行政法規或者違反約定處理(lǐ)個人信息；

（五）法律、行政法規規定的其他(tā)情形。

法律、行政法規規定的保存期限未屆滿，或者删除個人信息從(cóng)技術上(shàng)難以實現(xiàn)的，個人信息處理(lǐ)者應當停止除存儲和(hé)采取必要的安全保護措施之外(wài)的處理(lǐ)。

第四十八條　個人有權要求個人信息處理(lǐ)者對(duì)其個人信息處理(lǐ)規則進行解釋說明(míng)。

第四十九條　自(zì)然人死亡的，其近親屬爲了(le)自(zì)身的合法、正當利益，可以對(duì)死者的相關個人信息行使本章規定的查閱、複制、更正、删除等權利；死者生前另有安排的除外(wài)。

第五十條　個人信息處理(lǐ)者應當建立便捷的個人行使權利的申請(qǐng)受理(lǐ)和(hé)處理(lǐ)機制。拒絕個人行使權利的請(qǐng)求的，應當說明(míng)理(lǐ)由。

個人信息處理(lǐ)者拒絕個人行使權利的請(qǐng)求的，個人可以依法向人民法院提起訴訟。

第五十一條　個人信息處理(lǐ)者應當根據個人信息的處理(lǐ)目的、處理(lǐ)方式、個人信息的種類以及對(duì)個人權益的影響、可能(néng)存在的安全風(fēng)險等，采取下(xià)列措施确保個人信息處理(lǐ)活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息洩露、篡改、丢失：

（一）制定内部管理(lǐ)制度和(hé)操作(zuò)規程；

（二）對(duì)個人信息實行分類管理(lǐ)；

（三）采取相應的加密、去标識化等安全技術措施；

（四）合理(lǐ)确定個人信息處理(lǐ)的操作(zuò)權限，并定期對(duì)從(cóng)業人員進行安全教育和(hé)培訓；

（五）制定并組織實施個人信息安全事(shì)件應急預案；

（六）法律、行政法規規定的其他(tā)措施。

第五十二條　處理(lǐ)個人信息達到(dào)國家網信部門(mén)規定數量的個人信息處理(lǐ)者應當指定個人信息保護負責人，負責對(duì)個人信息處理(lǐ)活動以及采取的保護措施等進行監督。

個人信息處理(lǐ)者應當公開(kāi)個人信息保護負責人的聯系方式，并将個人信息保護負責人的姓名、聯系方式等報(bào)送履行個人信息保護職責的部門(mén)。

第五十三條　本法第三條第二款規定的中華人民共和(hé)國境外(wài)的個人信息處理(lǐ)者，應當在中華人民共和(hé)國境内設立專門(mén)機構或者指定代表，負責處理(lǐ)個人信息保護相關事(shì)務，并将有關機構的名稱或者代表的姓名、聯系方式等報(bào)送履行個人信息保護職責的部門(mén)。

第五十四條　個人信息處理(lǐ)者應當定期對(duì)其處理(lǐ)個人信息遵守法律、行政法規的情況進行合規審計(jì)。

第五十五條　有下(xià)列情形之一的，個人信息處理(lǐ)者應當事(shì)前進行個人信息保護影響評估，并對(duì)處理(lǐ)情況進行記錄：

（一）處理(lǐ)敏感個人信息；

（二）利用(yòng)個人信息進行自(zì)動化決策；

（三）委托處理(lǐ)個人信息、向其他(tā)個人信息處理(lǐ)者提供個人信息、公開(kāi)個人信息；

（四）向境外(wài)提供個人信息；

（五）其他(tā)對(duì)個人權益有重大(dà)影響的個人信息處理(lǐ)活動。

第五十六條　個人信息保護影響評估應當包括下(xià)列内容：

（一）個人信息的處理(lǐ)目的、處理(lǐ)方式等是否合法、正當、必要；

（二）對(duì)個人權益的影響及安全風(fēng)險；

（三）所采取的保護措施是否合法、有效并與風(fēng)險程度相适應。

個人信息保護影響評估報(bào)告和(hé)處理(lǐ)情況記錄應當至少保存三年。

第五十七條　發生或者可能(néng)發生個人信息洩露、篡改、丢失的，個人信息處理(lǐ)者應當立即采取補救措施，并通知(zhī)履行個人信息保護職責的部門(mén)和(hé)個人。通知(zhī)應當包括下(xià)列事(shì)項：

（一）發生或者可能(néng)發生個人信息洩露、篡改、丢失的信息種類、原因和(hé)可能(néng)造成的危害；

（二）個人信息處理(lǐ)者采取的補救措施和(hé)個人可以采取的減輕危害的措施；

（三）個人信息處理(lǐ)者的聯系方式。

個人信息處理(lǐ)者采取措施能(néng)夠有效避免信息洩露、篡改、丢失造成危害的，個人信息處理(lǐ)者可以不通知(zhī)個人；履行個人信息保護職責的部門(mén)認爲可能(néng)造成危害的，有權要求個人信息處理(lǐ)者通知(zhī)個人。

第五十八條　提供重要互聯網平台服務、用(yòng)戶數量巨大(dà)、業務類型複雜(zá)的個人信息處理(lǐ)者，應當履行下(xià)列義務：

（一）按照國家規定建立健全個人信息保護合規制度體系，成立主要由外(wài)部成員組成的獨立機構對(duì)個人信息保護情況進行監督；

（二）遵循公開(kāi)、公平、公正的原則，制定平台規則，明(míng)确平台内産品或者服務提供者處理(lǐ)個人信息的規範和(hé)保護個人信息的義務；

（三）對(duì)嚴重違反法律、行政法規處理(lǐ)個人信息的平台内的産品或者服務提供者，停止提供服務；

（四）定期發布個人信息保護社會(huì)責任報(bào)告，接受社會(huì)監督。

第五十九條　接受委托處理(lǐ)個人信息的受托人，應當依照本法和(hé)有關法律、行政法規的規定，采取必要措施保障所處理(lǐ)的個人信息的安全，并協助個人信息處理(lǐ)者履行本法規定的義務。

第六十條　國家網信部門(mén)負責統籌協調個人信息保護工(gōng)作(zuò)和(hé)相關監督管理(lǐ)工(gōng)作(zuò)。國務院有關部門(mén)依照本法和(hé)有關法律、行政法規的規定，在各自(zì)職責範圍内負責個人信息保護和(hé)監督管理(lǐ)工(gōng)作(zuò)。

縣級以上(shàng)地方人民政府有關部門(mén)的個人信息保護和(hé)監督管理(lǐ)職責，按照國家有關規定确定。

前兩款規定的部門(mén)統稱爲履行個人信息保護職責的部門(mén)。

第六十一條　履行個人信息保護職責的部門(mén)履行下(xià)列個人信息保護職責：

（一）開(kāi)展個人信息保護宣傳教育，指導、監督個人信息處理(lǐ)者開(kāi)展個人信息保護工(gōng)作(zuò)；

（二）接受、處理(lǐ)與個人信息保護有關的投訴、舉報(bào)；

（三）組織對(duì)應用(yòng)程序等個人信息保護情況進行測評，并公布測評結果；

（四）調查、處理(lǐ)違法個人信息處理(lǐ)活動；

（五）法律、行政法規規定的其他(tā)職責。

第六十二條　國家網信部門(mén)統籌協調有關部門(mén)依據本法推進下(xià)列個人信息保護工(gōng)作(zuò)：

（一）制定個人信息保護具體規則、标準；

（二）針對(duì)小(xiǎo)型個人信息處理(lǐ)者、處理(lǐ)敏感個人信息以及人臉識别、人工(gōng)智能(néng)等新技術、新應用(yòng)，制定專門(mén)的個人信息保護規則、标準；

（三）支持研究開(kāi)發和(hé)推廣應用(yòng)安全、方便的電子身份認證技術，推進網絡身份認證公共服務建設；

（四）推進個人信息保護社會(huì)化服務體系建設，支持有關機構開(kāi)展個人信息保護評估、認證服務；

（五）完善個人信息保護投訴、舉報(bào)工(gōng)作(zuò)機制。

第六十三條　履行個人信息保護職責的部門(mén)履行個人信息保護職責，可以采取下(xià)列措施：

（一）詢問有關當事(shì)人，調查與個人信息處理(lǐ)活動有關的情況；

（二）查閱、複制當事(shì)人與個人信息處理(lǐ)活動有關的合同、記錄、賬簿以及其他(tā)有關資料；

（三）實施現(xiàn)場檢查，對(duì)涉嫌違法的個人信息處理(lǐ)活動進行調查；

（四）檢查與個人信息處理(lǐ)活動有關的設備、物品；對(duì)有證據證明(míng)是用(yòng)于違法個人信息處理(lǐ)活動的設備、物品，向本部門(mén)主要負責人書面報(bào)告并經批準，可以查封或者扣押。

履行個人信息保護職責的部門(mén)依法履行職責，當事(shì)人應當予以協助、配合，不得拒絕、阻撓。

第六十四條　履行個人信息保護職責的部門(mén)在履行職責中，發現(xiàn)個人信息處理(lǐ)活動存在較大(dà)風(fēng)險或者發生個人信息安全事(shì)件的，可以按照規定的權限和(hé)程序對(duì)該個人信息處理(lǐ)者的法定代表人或者主要負責人進行約談，或者要求個人信息處理(lǐ)者委托專業機構對(duì)其個人信息處理(lǐ)活動進行合規審計(jì)。個人信息處理(lǐ)者應當按照要求采取措施，進行整改，消除隐患。

履行個人信息保護職責的部門(mén)在履行職責中，發現(xiàn)違法處理(lǐ)個人信息涉嫌犯罪的，應當及時(shí)移送公安機關依法處理(lǐ)。

第六十五條　任何組織、個人有權對(duì)違法個人信息處理(lǐ)活動向履行個人信息保護職責的部門(mén)進行投訴、舉報(bào)。收到(dào)投訴、舉報(bào)的部門(mén)應當依法及時(shí)處理(lǐ)，并将處理(lǐ)結果告知(zhī)投訴、舉報(bào)人。

履行個人信息保護職責的部門(mén)應當公布接受投訴、舉報(bào)的聯系方式。

第六十六條　違反本法規定處理(lǐ)個人信息，或者處理(lǐ)個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門(mén)責令改正，給予警告，沒收違法所得，對(duì)違法處理(lǐ)個人信息的應用(yòng)程序，責令暫停或者終止提供服務；拒不改正的，并處一百萬元以下(xià)罰款；對(duì)直接負責的主管人員和(hé)其他(tā)直接責任人員處一萬元以上(shàng)十萬元以下(xià)罰款。

有前款規定的違法行爲，情節嚴重的，由省級以上(shàng)履行個人信息保護職責的部門(mén)責令改正，沒收違法所得，并處五千萬元以下(xià)或者上(shàng)一年度營業額百分之五以下(xià)罰款，并可以責令暫停相關業務或者停業整頓、通報(bào)有關主管部門(mén)吊銷相關業務許可或者吊銷營業執照；對(duì)直接負責的主管人員和(hé)其他(tā)直接責任人員處十萬元以上(shàng)一百萬元以下(xià)罰款，并可以決定禁止其在一定期限内擔任相關企業的董事(shì)、監事(shì)、高(gāo)級管理(lǐ)人員和(hé)個人信息保護負責人。

第六十七條　有本法規定的違法行爲的，依照有關法律、行政法規的規定記入信用(yòng)檔案，并予以公示。

第六十八條　國家機關不履行本法規定的個人信息保護義務的，由其上(shàng)級機關或者履行個人信息保護職責的部門(mén)責令改正；對(duì)直接負責的主管人員和(hé)其他(tā)直接責任人員依法給予處分。

履行個人信息保護職責的部門(mén)的工(gōng)作(zuò)人員玩(wán)忽職守、濫用(yòng)職權、徇私舞弊，尚不構成犯罪的，依法給予處分。

第六十九條　處理(lǐ)個人信息侵害個人信息權益造成損害，個人信息處理(lǐ)者不能(néng)證明(míng)自(zì)己沒有過錯的，應當承擔損害賠償等侵權責任。

前款規定的損害賠償責任按照個人因此受到(dào)的損失或者個人信息處理(lǐ)者因此獲得的利益确定；個人因此受到(dào)的損失和(hé)個人信息處理(lǐ)者因此獲得的利益難以确定的，根據實際情況确定賠償數額。

第七十條　個人信息處理(lǐ)者違反本法規定處理(lǐ)個人信息，侵害衆多個人的權益的，人民檢察院、法律規定的消費者組織和(hé)由國家網信部門(mén)确定的組織可以依法向人民法院提起訴訟。

第七十一條　違反本法規定，構成違反治安管理(lǐ)行爲的，依法給予治安管理(lǐ)處罰；構成犯罪的，依法追究刑事(shì)責任。

第七十二條　自(zì)然人因個人或者家庭事(shì)務處理(lǐ)個人信息的，不适用(yòng)本法。

法律對(duì)各級人民政府及其有關部門(mén)組織實施的統計(jì)、檔案管理(lǐ)活動中的個人信息處理(lǐ)有規定的，适用(yòng)其規定。