个人信息保护法（图解版）

1、2021年11月1日起正式施行2021年8月20日，个人信息保护法正式发布，将于2021年11月1日起施行。个人信息保护关乎国计民生，明确被纳入民法典人格权保护范围，但是个人信息泄漏乱象频发，因此，结合国际通行实践，对个人信息保护专门立法，规范个人信息处理活动，保障个人信息的有序流通，对我国发展数字经济、数字社会、数字政府具有重要意义。2021年8月20日颁布2021年5月1日起施行常见类型移动互联网应用程序（APP）必要个人信息范围2020年1月信息安全技术个人信息告知同意指南（征求意见稿）2020年6月1日起实施2020年10月1日实施GB/T35273-20202020年2月1日起施行2

2、020年9月18日互联网个人信息安全保护指南2019年10月1日起施行儿童个人信息网络保护规定2020年8月28日2019年6月13日2019年11月28日APP违法违规收集使用个人信息行为认定方法2019年5月28日2019年8月APP2013年9月1日起施行2017年8月2012年12月28日2013年2月1日实施GB/Z 28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南目的宗旨适用范围关键定义合法、正当目的、必要公开、透明准确、完整责任到人刑事追责环境构建国际合作第一节 一般规定13.处理前提21.委托处理14.取得同意22.信息转移15.撤回同意23.第三方共享1

3、6.不得拒绝服务24.自动化决策17.告知要求25.不得公开18.例外情形26.公共采集19.最短时间27.重新同意20.共同处理职责部门第二节 敏感个人信息的处理规则第三节国家机关处理个人信息的特别规定保护职责28.关键定义29.单独同意30.必要性告知31.未成年人保护32.行政许可33.适用范围34.范围限度35.告知同意36.境内存储37.公共事务工作说明前提条件告知要求关基要求主管批准限制清单对等反制履职措施知情、决定47.主动删除50.处理机制查阅、复制48.解释说明更正、补充代行使权51.基本义务54.合规审计57补救通知52.责任到人55.影响评估58.大型互联网义务53.境外

4、机构义务56.评估内容59.受托人义务约谈审计投诉举报行政责任69.民事责任信用档案70.依法诉讼国家机关处罚71.刑事责任72.特殊情况73.专业术语74.施行时间总则处理跨境权利义务监管罚则GDPR/在中华人民共和国境内处理自然人个人 信息的活动，适用本法。（无论处1理者是否在境内设立，或者处理的是否为境内自/在欧盟境内设立的数然人信息，只要处理行为发生在境内，就受个保法制约。）据控制者或处理者对个人数据的处理行为（不论其实际数据处理行为在何处）.GDPR：只要符合“向2即使有关个人数据处理活动的控制者或处理者不在欧盟设立，但若其：(a)为欧盟境境内自然人提供产品或者服务为目的”、“为分析

5、、评估境内自然人的行为”及其他规定情形时，也应适用个保法的规定。境外境外内的数据主体提供商品或服务；或 (b)对发生在欧盟境内的数据主体的活动进行监控，则该类控制者或处理者也同样适用GDPR。总则处理跨境权利义务监管罚则有与或识别已或电子以者其他方式记录的者可识别的自然人关的各种信息,不包括匿名化的理后处。信息别识已可识别一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。宗教行踪生物识别医疗总则处理跨境权利义务监管罚则。信个人理方使储、包括息的收集

6、、存除等用、加工、提供、公开息人信定主决在个处理活动中自处理目的、处式的组织、个人。况的情别特通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。的然人经信息个人外助额。过处理，使其在不借定自过程信息下无法识、删输、传的复原定别特经信息。个人过处理无法识自然人且不能过程总则处理跨境权利义务监管罚则取得个人同意订立、履行合同或实施人力资源管理所必需履行法定职责或义务必需突发紧急应对必需公共利益的合理范围自行公开或其他已经合法公开的其他情形*注：第2-7项规定情形的，不需取得个人同意充分知情、自愿明确法定单独或书面同意变更需重新同意个人有权撤回其同意个

7、人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式、种类、保存期限;个人行使权利的方式和程序;其他法定告知事项。两种例外情形：法定保密或豁免告知第一款紧急情况事后告知*针对第一种情形，最为典型的是根据中华人民共和国反恐怖主义法第五十一条的规定，即公安机关在调查恐怖活动的案件中，可以获得事先告知豁免。总则处理跨境权利义务监管罚则根据必要性的要求，规定在满足处理目的后，最短时间内尽快予以删除。需要企业制定相应内部NO合规制度，就个人信息的存储及删除时间进行明确规定。对个人信息保存期限另有规定的，从其规定。常见的法律、法规另有规定的情形包括：第十九条第三款：客户身份资料在业务关系结束

8、后、客户交易信息在交易结束后，应当至少保存五年。第三十一条：商品和服务信息、交易信息保存时间自交易完成之日起不少于三年第147条：证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项资料上述资料的保存期限不得少于二十年第102条：基金份额登记机构应当妥善保存登记数据其保存期限自基金账户销户之日起不得少于二十年总则处理跨境权利义务监管罚则共同共同决定处理目的和处理方式，约定权利和义务处个人可向其中任一信息处理者行使本法权利理侵害个人信息权益造成损害的，应当依法承担连带责任委托处理委约定委托处理的目的、期限、处理处理方式、个人信息的种类、保护措施以及双方的权利和义务

9、等监督受托人的个人信息处理活动按照约定处理个人信息委托合同不生效、无效、被撤销或终止，受托方应当将个人信息返还或予以删除未经同意，受托人不得转委托个人因合并、分立、解散、被宣信告破产等转移个人信息息转移告知接收方的名称或者姓名和联系方式继续履行个人信息处理者的义务变更处理目的、处理方式的，应重新取得个人同意其他提供个人信息个人信息告知接收方的名称或者姓名、处理联系方式、处理目的、处理方者式和个人信息的种类共取得个人单独同意享在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息变更处理目的、处理方式应重新取得个人同意自动保证决策的透明度和结果公平、公正，不得对个人在交易化决价格等交易条件

10、上实行不合理的差别待遇策通过自动化决策方式向个人进行信息推送、商业营销，提供不针对个人特征的选项，或提供便捷的拒绝方式对个人权益具有重大影响的决定，个人有要求说明权和拒绝权公在公共场所安装图像采集、个人身份识别设备，应当为维共护公共安全所必需采遵守国家有关规定，并设置显著的提示标识集收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外总则处理跨境权利义务监管罚则前提条件在第六条处理个人信息要求“明确且合理目的”的基础上，提出更高的要求个人信息处理需取得个人单独同意，且同时满足“明示同意”的要求依法处理需取得书面同意， 且必须符合 “书面同意”的形式要

11、件告知要求遵从个人信息处理的告知要求向个人告知处理敏感个人信息的必要性以及对个人权益的影响处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或其他监护人的同意；应当制定专门的个人信息处理规则依法应当取得相关行政许可或者作出其他限制的，从其规定总则处理跨境权利义务监管罚则依照法定权限、程序进行履行告知义务法定保密、不需要告知，或妨碍履行法定职责的除外个人信息应当在境内存储应当进行安全评估法定具有管理公共事务职能组织适用总则处理跨境权利义务监管罚则通过安全评估经专业机构进行保护认证依据标准合同，与境外接收方订立合同法律、行政法规或国家网信部门规定其他条件向个人告知境外接收方的名称或者姓名、

12、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等 事项，并取得个人的单独同意。境内收集产生的个人信息存储在境内向境外提供的应通过国家网信部门组织的安全评估规定可以不进行安全评估的从其规定总则处理跨境权利义务监管罚则按照缔结或者参加的国际条约、协定的规定，或者按照平等互惠原则执行非经批准，不得提供储于境内的个人信息列入限制或者禁止个人信息提供清单并公告采取限制或者禁止向境外提供个人信息等措施在个人信息保护方面对我国采取歧视性措施的国家或地区，我国可根据实际情况对等采取措施总则处理跨境权利义务监管罚则限制处理权拒绝处理权处理目的已实现、无法实现或不再必

13、要产品或者服务停止提供，或保存期限已届满个人撤回同意违法或违反约定处理个人信息其他情形*注：法律、法定保存期限未届满,或删除个人信息从技术上难以实现的，应当停止除存储和采取必要的安全保护措施之外的处理总则处理跨境权利义务监管罚则义务执行依据：个人信息处理目的、处理方式、信息种类及个人权益的影响、潜在风险等；义务执行目的：符合法律、行政法规的规定，并防止未授权访问及个人信息泄露、篡改、丢失。制度规程制定信息分类管理安全技术措施采用内部人员管理安全措施说明：1、加密：对数据进行密码变换以产生密文的过程（GB/T 39786-2021）2、去标识化： 去标识化建立在个体基础之上，保留个体颗粒度，采用

14、假名、加密、哈希函数等替代对个人信息的标识（GB/T 352732020）应急预案制定操作权限确定法定其他措施定期教育培训定数门规安全负责人指定处理个人信息达到国家网信部量的个人信息处定理者机构设立/代表指境外个人信息处理者评估影响保护信息个人事前审计规期合定敏感信息处理自动化决策 委托、提供、境外提供其他有重大影合法、正当、必要个人权益性、有效及安影响响的公开全风险 合法性、匹配性通知项后事事录至告和记报少保存三年式轻施析原因失、丢篡改泄露、类信：条件情形息种；1、个人信息遭受泄露、篡改、丢失联危补危2、相关部门提出要求。害分危1、救措豁免条件：采取措施能有效避免害减害的发生，可以不通知个人

15、;成2、危害限制条件：相关部门认为可能造系方的，有权要求通知个人。总则处理跨境权利义务监管罚则建立健全制度独立机构建立违规停止服务社会责任义务1、要求：由外部成员组成2、目的：监督个人信息处理活动1、前提：严重违反法律、行政法规2、范围：平台内的产品或者服务提供者责任报告发布接受社会监督义务主体特征：1、提供重要互联网平台服务2、用户数量巨大3、业务类型复杂总则处理跨境权利义务监管罚则统筹协调、监督管理信息保护、监督管理信息保护、监督管理履行个人信息保护职责的部门由国家网信部门进行统筹和协调，具体落实的工作由国务院各部门在各自职责范围内进行纵向的 “条块管理”，县级以上地方人民政府也按照该模式进行管理。宣传教育开展投诉举报处理1、任何组织、个人有权进行投诉、举报。2、相关部门应及时处理，并通知处理结果。3、相关部门应公布接受投诉、举报联系方式。应用程序等测评违法调查处理法定其他职责1、前提：存在较