个人信息保护法教程 课件 第4-7章 个人在个人信息处理中的权利-个人信息保护法律责任

个人信息保护法教程

张新宝

丁晓东

主编新时代法学系列教材第四章个人在个人信息处理中的权利第一节

个人在个人信息处理中的权利概述一、“个人信息权益”与“个人信息权利”辨析针对是“个人信息权益”还是“个人信息权利”，究竟采用何种表述，学界一直存在争议。使用“权益”是考虑到信息化时代个人信息之上承载着广泛的个人权利和利益，其与个人的人身、财产安全密切相关，并非一项单一的权利，而是各种利益的类型化集合；使用“权利”则是因为国际社会及我国各项相关立法均赋予个人对其个人信息处理的知情权、决定权，并以此作为保障个人信息权益的方式、个人信息权益是“本权权益”，主要包括人格尊严、人身财产安全以及通信自由和通信秘密等利益，但不包括财产利益，兼具公法与私法双重性质；个人信息权利则是保护“本权权益”的权利，是权利人保护其“本权权益”的法律手段。第一节

个人在个人信息处理中的权利概述二、个人信息权益和权利的平衡保护“两头强化，三方平衡”理论作为个人信息保护的基础理论，在个人信息权益构造的教义学阐释中发挥着决定作用。总之，个人信息权益和权利保护的价值取向不是单一的，而是多元、兼容并包的；其追求的不是个人、一般个人信息处理者或者国家某一方利益的全部实现，而是三方利益的相互平衡，从而实现“多赢”和“共和”。第一节

个人在个人信息处理中的权利概述三、死者个人信息的保护1.死者个人信息保护的沿革我国对于死者权益一直采取间接保护的路径，主张近亲属对死者生前形象享有怀念、祭奠、追思或寄托美好情感的法律利益。从死者人格利益保护的历史看，其呈现出保护范围不断拓展、种类不断增多的趋势。2021年《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第15条规定：“自然人死亡后，信息处理者违反法律、行政法规的规定或者双方的约定处理人脸信息，死者的近亲属依据民法典第九百九十四条请求信息处理者承担民事责任的，适用本规定。”第一节

个人在个人信息处理中的权利概述三、死者个人信息的保护2.死者个人信息的积极保护《个人信息保护法》第49条从《民法典》对死者个人信息的消极保护迈向了积极保护，鼓励死者生前对个人信息作出安排，并承认在一定条件下死者的近亲属可以针对死者的相关个人信息行使查阅、复制、更正、删除等权利，为死者的近亲属维护自身合法、正当利益提供了新途径。第一节

个人在个人信息处理中的权利概述三、死者个人信息的保护3.死者个人信息的生前安排若死者生前对其死后个人信息的安排与其近亲属权利行使申请相冲突，则应当优先保护死者生前的决定。在实践中，死者在生前可以通过如下方式安排其个人信息：（1）与个人信息处理者达成用户协议；（2）在用户协议的基础上，向个人信息处理者发出特别通知；（3）在遗嘱中指明由特定人士负责行使全部或部分个人信息权益。第一节

个人在个人信息处理中的权利概述三、死者个人信息的保护4.死者个人信息的近亲属权利在死者生前未作出个人信息的安排或安排无效的情形下，近亲属有权出于自身权益的考虑，行使死者的部分个人信息权益。对此，应注意如下几点：第一，近亲属的范围和顺位。第二，对近亲属权利行使的限制。第三，近亲属权利行使的范围。第二节

个人的知情权和决定权一、个人知情权、决定权系个人信息权益中的概括性权利《个人信息保护法》在《民法典》第1037条所列举的个人查阅权、复制权、更正权、删除权的基础上，进一步提升、抽象为个人“知情权、决定权”，并成为《个人信息保护法》第二章“个人信息处理规则”、第三章“个人信息跨境提供的规则”中的告知同意规定的权利基础。作为概括性权利，个人知情权、决定权发挥着如下两大功能：其一，价值指引功能。其二，权利创设功能。第二节

个人的知情权和决定权二、个人知情权、决定权的对象：个人信息处理活动《个人信息保护法》的“知情权、决定权”即个人向信息处理者和接受委托处理个人信息的受托人，主张告知其信息处理的目的、方式及处理信息的种类等事项，并明确、自愿作出决定的权利。“个人信息”并非知情权、决定权的对象，《个人信息保护法》也并未赋予个人针对个人信息的控制权，而是通过规定“个人在个人信息处理活动中的权利”，防范个人信息处理对个人的侵害，维护人的主体地位和人格自由发展，避免个人沦为由他人操纵的客体，损害其人格尊严。第二节

个人的知情权和决定权三、个人知情权的行使个人只有知晓其个人信息处理活动中与其利益密切相关的重要事项，才能理性地作出决策，否则便不能保护自己的权益。个人自治是个人信息权益的重要组成部分。个人对其个人信息处理活动相关事项的知情权，是基于其身份而享有的知悉的权利。知情权一方面表现为个人向个人信息处理者主张的请求权，即有权要求后者提供与其个人信息处理相关事项的信息；另一方面表现为个人信息处理者的法定义务，只要个人未明确放弃其知情权，即便其未主动行使其知情权，个人信息处理者亦应依法或依约主动告知个人与其个人信息处理相关事项的信息。第二节

个人的知情权和决定权四、个人决定权的行使个人对其个人信息处理活动享有决定权，即享有对其个人信息如何收集、存储、使用、加工、传输、提供、公开、删除的自主决定权，以实现个人自治、维护个人尊严，避免个人处于完全被操控的他决地位。不过这一决定权并不等于个人对其个人信息的排他支配。在《个人信息保护法》中，个人决定权主要有如下体现：（1）个人对处理个人信息的同意。（2）个人在特殊情形下的单独同意和书面同意。（3）个人可以随时撤回其同意，个人信息处理者应当提供便捷的撤回同意的方式。（4）个人的删除权。（5）个人对自动化决策的选择和干预权。（6）对公开信息处理的拒绝权。第二节

个人的知情权和决定权五、个人知情权和决定权的相对性个人知情权和决定权并非绝对的、不可克减的权利。《个人信息保护法》第1条明确将“保护个人信息权益”与“个人信息合理利用”作为并列的立法目标。在《个人信息保护法》中，对知情权的限制体现为第18条规定的“个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知”。第二节

个人的知情权和决定权五、个人知情权和决定权的相对性对决定权的限制主要体现在如下方面：（1）第13条中的法定许可事由；（2）第40条中对关键信息基础设施运营者的个人信息以及达到一定数量的个人信息出境的限制；（3）第26条中对公共场所安装图像采集、个人身份识别设备的限制；等等。其他法律、行政法规亦有对个人知情权、决定权的限制。对个人知情权和决定权的克减只能通过法律、行政法规进行，地方性法规、部门规章、规范性文件均无权予以限制。第三节

个人信息权益中的请求权一、个人在个人信息处理中的请求权概述作为“本权权益”的个人信息权益，存在多方利益主体和多层次的利益结构，立法难以直接规定个人信息权益的实体内涵，只得规定这一内涵的外在表现及其保护方法，《个人信息保护法》第四章所列举的权利群即是个人信息权益的反映和保护的请求权。尽管个人在个人信息处理中的请求权在推动本权实现的作用方式上与民法上的绝对权请求权类似，但其本质上仍然不同于民法上的请求权，更不是一种人格权请求权。个人在个人信息处理中的请求权是个人的知情权、决定权、限制或拒绝权等本权衍生出来的程序性权利，其推动实现的实体权益与人格权相比更加丰富。第三节

个人信息权益中的请求权二、个人享有的具体请求权（一）个人信息查阅权、复制权1.个人信息查阅权、复制权的含义个人信息查阅权、复制权，即个人有权向个人信息处理者请求查阅由其处理的个人信息，并取得相应副本的权利。对查阅权、复制权的理解，应注意如下两点：第一，个人信息查阅权、复制权的对象是信息而非数据。第二，个人信息查阅权、复制权的范围限于个人信息处理者处理的个人信息，而非关于个人信息处理的各种信息。第三节

个人信息权益中的请求权二、个人享有的具体请求权（一）个人信息查阅权、复制权2.个人信息查阅权、复制权的行使个人信息查阅权、复制权的行使一般应采取如下方式或满足如下条件：第一，个人行使个人信息查阅权、复制权应通过适当方式证明自身的真实身份。第二，个人信息处理者在处理个人信息时，有法律、行政法规规定应当保密或者不需要告知，或者告知将妨碍国家机关履行法定职责的情形的，查阅权、复制权无法行使。第三，个人信息查阅权、复制权的行使应秉承诚实信用原则，不得恶意行使。第四，个人信息处理者在收到合格的个人信息查阅权、复制权请求后，应当及时提供相关个人信息。第三节

个人信息权益中的请求权二、个人享有的具体请求权（二）个人信息转移权1.个人信息转移权的含义个人信息转移权，即个人在符合国家网信部门规定条件的情形下，有权请求个人信息处理者将个人信息转移至其指定的其他个人信息处理者，个人信息处理者应当提供转移的途径。在比较法上，个人信息转移权与欧盟《一般数据保护条例》中的“个人数据携带权”有着相似性，但在立法目的、规范结构上二者存在重大差异，需要明辨。第三节

个人信息权益中的请求权二、个人享有的具体请求权（二）个人信息转移权2.个人信息转移权的行使个人信息转移权的行使可采取如下方式：（1）个人向个人信息处理者请求转移的是电子化的、人类可读的个人信息副本；（2）可转移的个人信息应限于个人主动提供给个人信息处理者的、被自动化收集的信息，且该信息不得包含有损第三人权益（如涉及第三方个人信息权益、隐私权、商业秘密）的信息；（3）个人信息转移权秉承诚实信用原则，不得恶意行使；（4）个人信息处理者在收到合格的个人信息转移请求后，鉴于其不存在个人数据携带权中的技术兼容难题，应当及时提供转移的途径。第三节

个人信息权益中的请求权二、个人享有的具体请求权（三）个人信息更正权、补充权1.个人信息更正权、补充权的含义个人信息更正权、补充权，即在个人信息不准确或者不完整的情形下，有权请求个人信息处理者更正、补充，以保障个人信息在其处理目的、范围内的完整性和准确性。所谓“准确”，是指所处理的个人信息必须与个人的客观事实相符，要求个人信息处理者所收集的个人信息不得出现错误和偏差。所谓“完整”，是指为特定目的收集的个人信息应保证全面和无遗漏。判断完整与否以能否正确地实现处理目的为标准。“准确”和“完整”应考虑时间维度，个人信息处理者必须随时更新个人信息，保证个人信息的时效性。第三节

个人信息权益中的请求权二、个人享有的具体请求权（三）个人信息更正权、补充权2.个人信息更正权、补充权的行使《征信业管理条例》《个人信用信息基础数据库管理暂行办法》（中国人民银行令〔2005〕第3号）详细规定了个人信用信息更正权、补充权的行使方式。第三节

个人信息权益中的请求权二、个人享有的具体请求权（四）个人信息删除权1.我国个人信息删除权的沿革2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》第8条规定：“公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰的，有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。”2017年《网络安全法》第43条在法律层面上首次确立了个人信息删除权。2021年《民法典》第1037条延续了该规定，同时采用了“信息处理者”取代“网络运营者”，扩展了义务主体的边界，但此时的个人信息删除权依然是非常有限的。第三节

个人信息权益中的请求权二、个人享有的具体请求权（四）个人信息删除权2.个人信息删除权的含义个人信息删除权，即个人就其个人信息，向个人信息处理者请求销毁、去除相关信息，使之不可被检索、访问，或者无法回溯、关联到该主体的权利。个人信息删除权包含了双重结构：（1）个人信息处理者的删除义务；（2）个人信息删除权的行使。第三节

个人信息权益中的请求权二、个人享有的具体请求权（四）个人信息删除权3.个人信息处理者删除义务的履行根据《个人信息保护法》第5条、第13条、第19条的规定，在个人信息处理者保存个人信息不再合法、正当、必要时，其负有相应的个人信息删除义务。在处理个人信息的合法性基础消失后，个人信息处理者应采取如下任一方式履行删除义务：第一，个人信息处理者可通过物理方式销毁、破坏个人信息的电子或非电子载体实现“删除”，使之不可检索、访问和调取。第二，个人信息处理者可采取匿名化措施，使个人信息无法识别特定自然人且不能复原，从而成为《个人信息保护法》第4条规定的非个人信息，实现效果上的删除。第三节

个人信息权益中的请求权二、个人享有的具体请求权（四）个人信息删除权3.个人信息处理者删除义务的履行个人信息处理者的删除义务并不是绝对的，《个人信息保护法》规定了两项例外：（1）法律、行政法规规定的保存期限未届满。（2）删除个人信息在技术上难以实现。个人信息处理者不论采取何种删除措施或限制处理措施，均应告知个人，以满足其知情权，并有助于其删除权的行使。第三节

个人信息权益中的请求权二、个人享有的具体请求权（四）个人信息删除权4.个人信息删除权的行使在个人信息处理者未履行个人信息删除义务时，个人有权请求删除其个人信息。就删除权行使而言，还应注意：第一，除同意无效、不存在或撤回同意外，个人提出删除请求时，应就个人信息合法性基础已经消失提供相应的证据。第二，个人可以向个人信息直接收集者提出删除请求，也可以向个人信息间接收集者提出删除请求。第三节

个人信息权益中的请求权二、个人享有的具体请求权（五）个人信息处理规则说明权1.个人信息处理规则的含义《个人信息保护法》中的“个人信息处理规则”指的是《个人信息保护法》第17条第3款所规定的、由个人信息处理者制定的公开规则。个人信息处理规则通常以隐私政策或者合同条款的形式，由个人信息处理者单方制定。实践中，个人信息处理规则往往表现为“隐私政策”，即个人信息处理者对其收集、使用、保存、共享等个人信息处理行为以及个人对其个人信息享有何种权利的公开声明。第三节

个人信息权益中的请求权二、个人享有的具体请求权（五）个人信息处理规则说明权2.个人信息处理规则说明权的含义个人信息处理规则是企业履行告知义务的重要载体，同时也是政府监管和社会监督企业个人信息实践的主要抓手。不过，个人信息处理规则上述功能的发挥有赖于个人对相关规则的准确理解。但在现实中，个人信息处理规则的用语通常较为宽泛、模糊，加之其内容专业、冗长，普通民众难以卒读，亦不辨其义。为此，《个人信息保护法》借鉴《民法典》第496条关于格式条款说明义务的规定，赋予个人对个人信息处理规则的解释说明权。第三节

个人信息权益中的请求权二、个人享有的具体请求权（五）个人信息处理规则说明权3.个人信息处理规则说明权的行使个人对个人信息处理规则存在疑义时，有权根据《个人信息保护法》第50条中的“申请受理和处理机制”，请求个人信息处理者予以说明。后者在收到请求后，应采用与个人请求同等的方式（口头或电子方式），以常人能够理解的语言，解释个人信息处理规则的概念、内容和法律后果。第三节

个人信息权益中的请求权三、个人享有的请求权行使路径（一）个人程序性权利：个人信息处理者的程序义务在个人信息处理者的程序义务上，《个人信息保护法》则要求通过技术和组织措施建构便捷的个人权利行使机制。相关机制至少应包括如下内容：（1）受理机制。（2）处理机制。（3）回复机制。第三节

个人信息权益中的请求权三、个人享有的请求权行使路径（二）个人程序性权利：个人诉权《个人信息保护法》对个人信息保护采取行政监管（公法）和私人诉讼（私法）并行的混合保护路径。《民法典》与《个人信息保护法》第69条共同构成了对个人信息的私法保护。就《个人信息保护法》中的诉权的行使，应注意如下两点：第一，个人信息保护的请求权基础为《民法典》第995条。第二，《个人信息保护法》中的诉权以“个人信息处理者拒绝个人行使权利的请求”为前提。第五章个人信息处理者的义务第一节

个人信息处理者的义务概述科学合理设定个人信息处理者的义务，对于个人信息保护和流通利用至关重要。《个人信息保护法》第51~59条专门规定了个人信息处理者的义务。其一，第51条明确了个人信息处理者的安全保障义务。其二，第52条规定了指定个人信息保护负责人义务。其三，第54条规定了个人信息保护合规审计义务。其四，第55~56条规定了个人信息保护影响评估义务。其五，第57条规定了个人信息处理者采取补救措施、履行通知义务。其六，第58条规定了大型平台“守门人”特别义务。其七，第59条规定了个人信息处理受托人的义务。第二节

个人信息处理者的一般义务一、个人信息处理者安全保障义务《个人信息保护法》第51条主要从组织措施和技术措施两大方面，要求个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。具体措施如下：（一）制定内部管理制度和操作规程；（二）对个人信息实行分类管理；（三）采取相应的加密、去标识化等安全技术措施；（四）合理确定操作权限并定期进行安全教育和培训；（五）制定并组织实施个人信息安全事件应急预案；（六）实施法律、行政法规规定的其他措施。第二节

个人信息处理者的一般义务二、指定个人信息保护负责人义务处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。第二节

个人信息处理者的一般义务二、指定个人信息保护负责人义务（一）个人信息保护负责人的产生背景与价值个人信息保护负责人的产生，是强化企业自我监管以弥补数字时代政府监管不足的现实需要。我国的个人信息保护负责人制度源于对欧盟数据保护官制度的借鉴。（二）应指定个人信息保护负责人的情形我国《个人信息保护法》没有采纳企业规模标准，其第52条要求“处理个人信息达到国家网信部门规定数量的个人信息处理者”应设立个人信息保护负责人。在以个人信息处理数量为标准的基础上，需要进一步区分个人信息的种类和级别，宜根据强制和自愿相结合的原则，不断完善个人信息保护负责人的设立标准。第二节

个人信息处理者的一般义务二、指定个人信息保护负责人义务（三）个人信息保护负责人的监督职责个人信息保护负责人应独立履行监督职责。在监督内容上，应对个人信息处理者作为和不作为行为的全过程进行监督。应充分保障个人信息保护负责人的知情权，为其提供必要的履职资源，使其能够便利地向最高管理层报告，禁止其兼任与监督职责相冲突的职位。《个人信息保护法》还规定在中华人民共和国境外的个人信息处理者应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。第二节

个人信息处理者的一般义务三、个人信息保护合规审计义务（一）合规审计的历史沿革早在个人信息保护合规审计制度确立之前，我国就存在类似的审计制度。2020年公布的《个人信息保护法（草案）》第53条首次规定了个人信息保护审计制度。（二）合规审计的依据“合规”显然不限于合法，“合规”既包括合乎国家法律规则，还包括合乎行业规定、公司规章、国际规则等规则。定期审计个人信息处理活动是否符合法律、行政法规，属于强制性的最低要求。为了全面地查漏补缺、更好地对个人负责及更有效地提升企业形象和竞争力，个人信息处理者应当主动根据更多的规则开展更为全面的合规审计。第二节

个人信息处理者的一般义务三、个人信息保护合规审计义务（三）合规审计的内容对于合规审计的内容，《个人信息保护法》第54条要求“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”。个人信息保护合规审计的内容为个人信息处理活动，包括一切同个人信息处理有关的作为和不作为行为。《关于推进个人信息保护合规审计的若干建议》将合规审计内容分为有所交叉重叠的四大方面，即个人信息处理者义务合规审计、个人权利实现方式合规审计、个人信息处理活动合规审计和个人信息跨境提供合规审计。第二节

个人信息处理者的一般义务四、个人信息保护影响评估义务所谓个人信息保护影响评估，是指对拟实施的个人信息处理活动所造成的实际和潜在的影响进行的评价和估计活动。个人信息保护影响评估属于受强制的自我规制，是一种具有事前性的合规评估和风险评估程序。我国早在2017年发布的国家标准《信息安全技术个人信息安全规范》中就提出“个人信息安全影响评估”。2020年发布的《个人信息保护法（草案）》使用了“风险评估”的表述，2021年最终通过的《个人信息保护法》改为“个人信息保护影响评估”。我国的个人信息保护影响评估制度源于对欧盟数据保护影响评估制度的借鉴，体现了基于风险路径的个人信息保护模式。第二节

个人信息处理者的一般义务四、个人信息保护影响评估义务（一）个人信息保护影响评估的制度功能一是检验个人信息处理是否合规。二是识别并降低个人信息安全风险。三是减轻或免除个人信息处理责任。第二节

个人信息处理者的一般义务四、个人信息保护影响评估义务（二）个人信息保护影响评估的情形《个人信息保护法》第55条规定：“有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。”第二节

个人信息处理者的一般义务四、个人信息保护影响评估义务（三）个人信息保护影响评估应适用于国家机关作为重要的合规评估和风险评估机制，个人信息保护影响评估同样应适用于国家机关。数字时代的国家机关既是个人信息处理者，也是个人信息保护监管者。作为个人信息处理者的国家机关，应当同作为私主体的个人信息处理者一样，有效履行个人信息保护影响评估义务。我国在政府数据开放领域，已明确要求国家机关开展风险评估、安全评估等评估。由于国家机关受到相对较多的监督，且为了不造成过重的评估负担，可以适当限缩国家机关应当进行个人信息保护影响评估的范围。为了更好地保障国家机关履行法定职责，对个人信息保护影响评估的适用范围可以作一些排除性规定。第二节

个人信息处理者的一般义务四、个人信息保护影响评估义务（四）个人信息保护影响评估的内容我国的个人信息保护影响评估的内容涉及合规评估和风险评估，主要包括三个方面：一是评估个人信息处理是否合法、正当、必要。二是评估对个人权益的影响及安全风险。三是评估所采取的保护措施是否合法、有效，且是否与风险程度相适应。第二节

个人信息处理者的一般义务五、采取补救措施、履行通知义务发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：（1）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（2）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（3）个人信息处理者的联系方式。第三节

大型平台的特别义务一、大型平台的角色变迁第一个阶段是早期平台出现并扮演信息“连接者”的时期。随着通信技术的发展和用户数量的增加，部分大型网络平台开始围绕主体业务进行拓展，形成自有生态体系，平台发展进入第二个阶段。目前，互联网平台尤其是大型平台正在进入第三个阶段，完成从网络空间“组织者”到现代社会“治理者”的转变。平台可以基于自身确立的规则，以私主体的身份管理平台内的各项事务并在平台内贯彻其决策，既是平台内的“立法者”又是“执法者”，具备了类似于公权力但又有所不同的“私权力”。大型平台的“私权力”与公权力一样，既有被滥用的风险，也有可能因不作为而致使个人权益受损。因此，各国开始探索对大型平台进行特别规制。对大型平台义务进行特别规定的制度，在欧美被称作“守门人条款”。第三节

大型平台的特别义务二、《个人信息保护法》中的大型平台义务（一）立法沿革《个人信息保护法》对大型网络平台设置特别义务是国际形势、监管方向、社会环境等多重因素共同作用的结果。2020年10月21日公布的《个人信息保护法（草案）》并未对大型网络平台设置特别义务，对大型网络平台设置特定的个人信息保护义务首见于2021年4月《个人信息保护法（草案二次审议稿）》。最终《个人信息保护法》在进一步完善草案二次审议稿中有关大型平台个人信息保护特别要求的基础上，形成了第58条。第三节

大型平台的特别义务二、《个人信息保护法》中的大型平台义务（二）立法特点中国的立法模式与欧盟的“数字守门人”等制度不同。我国不仅开创性地将大型平台特别义务置于个人信息保护法体系下进行规定，还以类似传统“守门人”理论的方式，明确将第三方义务纳入大型平台特别义务中并与平台直接义务并列，具有中国网络治理的鲜明特色。《个人信息保护法》第58条所实现的是一种以管理型为主的治理模式，其中既有政府主导、网络平台企业参与的协助关系，还有政府、网络平台企业共治的合作关系。这一制度的有效实施将提升我国个人信息保护治理的灵活性和敏捷性，有利于及时回应个人信息保护工作中出现的新问题。第三节

大型平台的特别义务二、《个人信息保护法》中的大型平台义务（三）大型平台的具体义务要求在我国，平台成为《个人信息保护法》第58条的适用对象，要同时符合三个前置条件：一是提供重要互联网平台服务，二是用户数量巨大，三是业务类型复杂。一旦满足条件，依照《个人信息保护法》的规定，大型平台须履行下述四项义务：1.建立更严格的合规制度2.制定并健全个人信息保护平台规则3.对严重违法处理个人信息的行为停止提供服务4.发布社会责任报告和接受社会监督第六章个人信息保护监管机制第一节

个人信息保护监管机制概述一、我国个人信息保护监管机制的建立（一）我国个人信息保护监管机制的立法个人信息保护监管是指有权主体根据法律法规的规定围绕个人信息处理活动开展保护、监督和管理工作。我国立法始终关注个人信息保护，也注重对个人信息保护监管体制的完善。在《个人信息保护法》出台前，《网络安全法》《数据安全法》《民法典》《消费者权益保护法》等均对个人信息保护的监管作出了相应的安排，但上述立法均未将“个人信息权益”置于独立的位置进行保护，从而也未明确规定个人信息保护独立的监管机制。《个人信息保护法》回应了这一问题，专章规定了个人信息保护监管机制，由履行个人信息保护职责的部门作为个人信息保护的有权监管部门，落实个人信息的保护和监管工作。第一节

个人信息保护监管机制概述一、我国个人信息保护监管机制的建立（二）我国个人信息保护监管机制概述根据《个人信息保护法》第六章的规定，我国建立起了以国家网信部门为核心的个人信息保护监管机制，由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作，而国务院有关部门、县级以上地方人民政府有关部门等其他监管部门在各自职责范围内负责个人信息保护和监督管理工作。《个人信息保护法》第六章共6条，从监管部门、个人信息保护职责、投诉权益保障三个方面对个人信息保护与监督管理作出了明确规定。第一节

个人信息保护监管机制概述二、履行个人信息保护职责的中央机关（一）国家网信部门1.国家互联网信息办公室与中央网络安全和信息化委员会办公室2.国家网信部门的统筹协调职能（二）国务院有关部门随着网络与社会生产生活各行业、各领域的融合、相互渗透，个人信息保护问题已非某一行业、领域的单一性问题，而是全行业、全领域所面临的共性问题，且个人信息保护问题呈现出复杂性、多样性和广泛性需求的特点。考虑到国务院特有的体系特点，《个人信息保护法》规定国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。第一节

个人信息保护监管机制概述三、履行个人信息保护职责的地方机关《个人信息保护法》第60条明确，除国家网信部门和国务院有关部门外，履行个人信息保护职责部门包含县级以上地方人民政府有关部门，其个人信息保护职责范围按照国家有关规定确定。根据我国法律法规和部门规章的规定，以下部门都具有针对侵害个人信息行为的行政处罚权：县级以上统计机构、县级以上测绘地理信息主管部门、县级以上卫生健康行政部门、县级以上旅游行政管理部门、县级以上建设（房地产）主管部门等等。第二节

监管部门的个人信息保护职责一、开展宣传教育、指导监督《个人信息保护法》第61条第1项规定，监管部门应当开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作。根据该规定，一方面，监管部门应当加大对个人信息保护的宣传，强化个人信息处理者及信息主体的个人信息保护意识；另一方面，监管部门应采取相应的措施指导个人信息处理者开展个人信息保护工作，并对其个人信息保护工作进行监督。第二节

监管部门的个人信息保护职责一、开展宣传教育、指导监督（一）开展宣传教育个人信息保护宣传教育，意为围绕个人信息保护有关的法律规定、制度等，通过不同的宣传方式和教育方式，达到提高相关主体个人信息保护意识、增强个人信息保护能力的目的。个人信息保护宣传教育工作对于监管部门落实其职责具有很强的必要性。个人信息保护宣传教育面向信息主体、个人信息处理者等所有与个人信息保护有关的主体。个人信息保护宣传教育的手段灵活多样，包括宣传标语、宣讲、宣传海报等。以《个人信息保护法》为核心，个人信息保护宣传教育的内容涵盖较广，在进行宣传教育时应当结合宣传目的，针对不同的对象进行有区别的宣传教育。第二节

监管部门的个人信息保护职责一、开展宣传教育、指导监督（二）指导监督监管部门在进行广泛宣传的过程中，同时应当指导并且监督个人信息处理者开展个人信息保护工作。指导、监督个人信息处理者开展个人信息保护工作，表现为监管部门与个人信息处理者之间的两种互动方式：第一种以劝告、指引、鼓励等非强制性方式引导个人信息处理者合法合规地开展个人信息保护工作；第二种以行政权的强制性方式迫使个人信息处理者履行个人信息保护法定义务。相较于其他行政行为，监管部门指导个人信息处理者开展个人信息保护工作，更具灵活性。第二节

监管部门的个人信息保护职责二、接受、处理投诉、举报（一）投诉与举报投诉与举报是信息主体实现个人信息权益的重要方式。但投诉和举报存在着一定的差别。通常，投诉具有自益性；而举报则没有主体的限定，任何公民、法人、其他组织发现存在违法个人信息处理活动的，均可向监管部门进行举报，行使监督权。由于投诉和举报存在区别，处理投诉和举报的相应程序也有所区别。第二节

监管部门的个人信息保护职责二、接受、处理投诉、举报（二）投诉与举报的方式《个人信息保护法》高度重视发挥投诉、举报工作机制的作用：一方面，通过第62条第5项明确由国家网信部门统筹协调各部门推进完善个人信息保护投诉、举报工作机制；另一方面，通过第65条明确履行个人信息保护职责的部门负有公布接受投诉、举报的联系方式的信息公开义务，同时应当及时处理投诉、举报并告知投诉、举报人处理结果。投诉人或者举报人欲通过投诉或者举报等方式维护自身合法个人信息权益的，应当按照国家有关规定提供相应的材料。第二节

监管部门的个人信息保护职责三、组织个人信息保护情况测评和公布测评结果（一）个人信息保护情况测评概述个人信息保护情况测评是指对应用程序等个人信息保护情况进行测试和评价，其测评对象包括各种网站、智能终端的App、小程序软件开发工具包（SDK）等。从现有实践来看，第一，对于监管部门来说，通过组织对应用程序等个人信息保护情况的测评活动，其可以详细了解应用程序收集使用用户个人信息的情况，并在此基础上开展其他个人信息保护活动。第二，对于应用程序运营者来说，组织测评并公布测评结果会给应用程序运营者带来较大的舆论压力，敦促其依法处理、保护用户个人信息。第三，对于信息主体来说，其能够通过公开的测评结果及时了解到自己所使用的应用程序的个人信息收集利用情况。第二节

监管部门的个人信息保护职责三、组织个人信息保护情况测评和公布测评结果（二）个人信息保护情况测评的重要实践发展自2019年开始，中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家市场监督管理总局四部门开展App违法违规收集使用个人信息专项治理。专项治理主要工作是组织相关专业机构，对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估。第二节

监管部门的个人信息保护职责四、调查、处理违法活动（一）行政调查1.行政调查的含义行政调查是行政主体为了实现一定的行政目的，依其职权向行政相对人收集有关信息的活动。2.行政调查的方式根据《行政处罚法》第55条、第56条的规定，为实现行政调查的目的，有权主体可以通过询问、抽样取证等方式开展行政调查工作。第二节

监管部门的个人信息保护职责四、调查、处理违法活动（一）行政调查3.行政调查的程序要求第一，监管部门应当及时调查处理，并填写案件来源登记表。第二，监管部门在职权范围内开展个人信息保护行政调查活动时，应主动向个人信息处理者或者有关人员出示执法证件。第三，监管部门在执法过程中询问当事人或者其他有关人员，应当制作询问笔录，载明时间、地点、事实、经过等内容。第四，监管部门的执法人员在调查取证过程中，应要求当事人在笔录和其他相关材料上签字、捺指印、盖章或者以其他方式确认。4.5.6.7.第二节

监管部门的个人信息保护职责四、调查、处理违法活动（二）行政处理行政处理是指行政主体为了实现和完成相应法律、行政法规和部门规章所确定的行政管理目标和任务，而依行政相对人申请或依职权处理涉及特定行政相对人某种权利义务事项的具体行政行为。结合《行政处罚法》《个人信息保护法》《网信部门行政执法程序规定》等的相关规定，在行政调查终结后，针对个人信息处理者的个人信息处理活动，可能存在四种情形。第二节

监管部门的个人信息保护职责四、调查、处理违法活动（二）行政处理如存在“涉及重大公共利益的”“直接关系当事人或者第三人重大权益，经过听证程序的”“案件情况疑难复杂、涉及多个法律关系的”等情形，在行政机关负责人作出行政处罚的决定之前，应当由从事行政处罚决定法制审核的人员进行法制审核；未经审核或者审核未通过的，不得作出决定。履行个人信息保护职责的部门根据个人信息处理者的个人信息处理行为作出行政处理决定，按照上述内容规定给予行政处罚的，应当制作行政处罚决定书。第二节

监管部门的个人信息保护职责五、法律、行政法规规定的其他职责除前述四项履行个人信息保护职责部门的明确的职责外，《个人信息保护法》第61条设置了第5项内容，作为履行个人信息保护职责部门为履行个人信息保护和监督管理职责，可以采取的措施种类的兜底条款，即法律、行政法规规定的其他职责。该规定是对监管部门其他法定职责的引致性规定。应当注意的是，目前根据《个人信息保护法》第61条的规定，仅法律、行政法规可以授予监管部门职责，而不包括部门规章、部门规范性文件。第三节

国家网信部门的统筹协调职责一、概述国家网信部门自成立起，凭借其在网络安全和个人信息保护方面的专业性，一直承担着统筹协调相关部门开展网络安全、个人信息保护工作的职能。多部法律法规均通过明文的方式确定了国家网信部门在网络安全、个人信息保护、算法、关键信息基础设施安全等领域的统筹协调职责。对个人信息保护的“统筹协调”，主要体现为国家网信部门凭借专业优势发挥主导作用，对个人信息监管执法事项集中筹划，牵头制定个人信息保护法律实施细则，统一执法依据和执法尺度；有效整合执法资源，形成应对系统性风险的能力。第三节

国家网信部门的统筹协调职责二、国家网信部门统筹协调职责的内容（一）制定个人信息保护规则、标准国家网信部门统筹协调有关部门制定行政规范，既包括制定执行性的个人信息保护具体规则、标准，也包括针对小型个人信息处理者、处理敏感个人信息等制定专门的个人信息保护规则、标准，从而在个人信息保护规则、标准等抽象行政行为层面上实现统筹协调。1.行政规范2.个人信息保护具体规则和标准与国家网信部门的统筹协调职责3.专门的个人信息保护规则、标准第三节

国家网信部门的统筹协调职责二、国家网信部门统筹协调职责的内容（二）电子身份认证技术与网络身份认证公共服务建设1.电子身份认证技术电子身份认证技术是指用于公民身份认证的数字技术，包括基于生物特征的身份认证技术、基于银行卡的身份认证技术、基于居民身份证的身份认证技术等。根据认证凭证的不同，电子身份认证可以分为法定信任基础级、第三方作证级及业务凭证级三级认证生态体系。2.网络身份认证公共服务网络身份是指可以在网络空间中识别参与网络活动各主体身份的标识，主要用于网络空间中身份认证、授权管理和责任认定等活动。第三节

国家网信部门的统筹协调职责二、国家网信部门统筹协调职责的内容（二）电子身份认证技术与网络身份认证公共服务建设3.实践发展目前，国家网信部门基于其统筹协调职能，在实践中正在积极推进网络身份认证工作，有序推进网络身份认证公共服务建设。自2023年1月10日起实施的由国家互联网信息办公室联合工业和信息化部、公安部发布的《互联网信息服务深度合成管理规定》明确规定：“深度合成服务提供者应当基于移动电话号码、身份证件号码、统一社会信用代码或者国家网络身份认证公共服务等方式，依法对深度合成服务使用者进行真实身份信息认证，不得向未进行真实身份信息认证的深度合成服务使用者提供信息发布服务。”第三节

国家网信部门的统筹协调职责二、国家网信部门统筹协调职责的内容（三）个人信息保护社会化服务体系建设1.个人信息保护评估个人信息保护评估是按照相关标准和操作规程所进行的合格评定，是我国《标准化法》确立的重要制度，也是国际通行做法。2021年《个人信息保护法》出台并实施，对个人信息保护评估作出了相应的规定，规定了个人信息境外提供时的个人信息安全评估和事前个人信息保护影响评估等重要评估内容。在我国个人信息保护实践中，评估服务发挥着越来越重要的作用。第三节

国家网信部门的统筹协调职责二、国家网信部门统筹协调职责的内容（三）个人信息保护社会化服务体系建设2.个人信息保护认证个人信息保护认证则是由认证机构证明个人信息处理者的个人信息保护体系或者个人信息处理活动符合《个人信息保护法》等与个人信息保护相关的法律法规的要求的合格评定活动。2022年11月4日，国家市场监督管理总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》（2022年第37号），明确按照《个人信息保护认证实施规则》实施认证。个人信息相关认证服务在我国正逐步推进。第三节

国家网信部门的统筹协调职责二、国家网信部门统筹协调职责的内容（四）投诉、举报工作机制目前，我国尚未建立专门的个人信息保护投诉、举报渠道，《个人信息保护法》明确国家网信部门统筹协调有关部门推进完善个人信息保护投诉、举报工作机制。未来我国应当进一步顺畅投诉、举报工作机制，加大对投诉、举报制度的宣传力度，确保人民群众知道用、敢于用、能够用投诉、举报机制，参与个人信息保护工作。需要注意的是，国家网信部门在保护个人信息的实践中仍在积极推进个人信息保护投诉、举报渠道的完善。第四节

监管部门的履责措施一、个人信息保护监督检查措施（一）行政检查措施1.询问有关当事人2.查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料3.实施现场检查4.检查与个人信息处理活动有关的设备、物品第四节

监管部门的履责措施一、个人信息保护监督检查措施（二）行政强制措施1.查封与扣押的含义及对象“查封”是指监管部门以张贴封条或采取其他必要措施的方式，将有证据证明用于违法个人信息处理活动的设备、物品封存起来，未经查封部门许可，任何单位和个人不得启封、动用。“扣押”是指监管部门将上述设备、物品等运到另外的场所予以扣留。查封、扣押仅限于涉案的场所、设施或者财物，不得查封、扣押与违法行为无关的场所、设施或者财物，不得查封、扣押公民个人及其所扶养家属的生活必需品。第四节

监管部门的履责措施一、个人信息保护监督检查措施（二）行政强制措施2.查封与扣押的程序要求监管部门在进行查封、扣押时必须符合法定条件，遵循法定程序，妥善行使行政强制权；违法实施行政强制措施造成相对人损害的，应及时予以法律救济。第四节

监管部门的履责措施二、个人信息安全风险处置（一）个人信息安全风险个人信息处理活动存在较大风险或发生个人信息安全事件的，我们称之为个人信息安全风险，大致可被分为两类：其一是指个人信息处理活动将对个人的权益产生较大风险；其二是指个人信息处理活动本身存在较大的安全风险、个人信息安全事件可能是个人信息泄露、篡改或者丢失等原因造成的，因此《个人信息保护法》设置第57条规定，当发生或者可能发生个人信息安全事件时，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。当出现个人信息保护风险时，监管部门作为个人信息保护的“守卫军”。第四节

监管部门的履责措施二、个人信息安全风险处置（二）处置措施1.行政约谈发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，监管部门可按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈。行政约谈是指依法享有监督管理职权的行政主体，发现行政相对人出现轻微违法或存在违法风险等特定问题，为了防止违法行为的发生，在事先约定的时间、地点与行政相对人进行约请谈话，以教导、警示、告诫行政相对人的非强制行政行为。在实践中，一方面应当避免约谈强制化；另一方面应当避免约谈过度化。第四节

监管部门的履责措施二、个人信息安全风险处置（二）处置措施2.合规审计监管部门在履行职责中发现个人信息处理活动存在较大风险或发生个人信息安全事件的，也可按照规定的权限和程序要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息保护领域涉及的合规审计包括“个人信息处理者定期进行合规审计”（《个人信息保护法》第54条）和“履行个人信息保护职责的部门要求个人信息处理者委托专业机构进行合规审计”（《个人信息保护法》第64条）两种情形。监管部门要求个人信息处理者委托专业机构进行的合规审计，属于社会审计的一种，由独立的专业机构进行，具有监督、评价和鉴证功能。第七章个人信息保护法律责任第一节

个人信息保护法律责任概述一、个人信息保护法律责任的概念与类型（一）个人信息保护法律责任的概念个人信息保护法律责任是法律责任的一种特殊类型，是指个人信息处理者因违反《个人信息保护法》《民法典》《网络安全法》等法律法规处理个人信息，而侵害信息主体的合法信息权益，最终须承担的法律后果。此等法律后果对于违法个人信息主体而言是一种不利后果或者负担。在我国，《个人信息保护法》《民法典》《行政处罚法》《刑法》等法律法规分别从民事、行政、刑事等角度，要求个人信息处理者应当严格履行个人信息保护义务，否则应就其违法处理个人信息的行为承担不同的法律责任，包括个人信息保护民事法律责任、行政法律责任和刑事法律责任。第一节

个人信息保护法律责任概述一、个人信息保护法律责任的概念与类型（二）个人信息保护法律责任的类型1.个人信息保护行政法律责任个人信息保护行政法律责任是指行政主体和行政相对人因违反《个人信息保护法》等个人信息保护法律规范而依法必须承担的法律责任，主要包括《个人信息保护法》第66条规定的违法个人信息处理者行政处罚责任和第68条规定的国家机关未履行个人信息保护义务或者履行个人信息保护职责的部门的工作人员渎职的行政责任。第一节

个人信息保护法律责任概述一、个人信息保护法律责任的概念与类型（二）个人信息保护法律责任的类型1.个人信息保护行政法律责任围绕《个人信息保护法》第66条建立起的个人信息保护行政责任特点突出，具体而言：第一，区分主体规定不同的个人信息保护行政法律责任。第二，根据违法行为的情节轻重实施分级处罚制度，即区分一般情节与情节严重。第三，规定了对单位和个人的行政处罚双罚制。第四，注重对多种行政处罚方式的综合适用。第一节

个人信息保护法律责任概述一、个人信息保护法律责任的概念与类型（二）个人信息保护法律责任的类型2.个人信息保护民事法律责任个人信息保护民事法律责任是指个人信息处理者在民事活动中，因实施了违法个人信息处理行为，根据《民法典》《个人信息保护法》等所承担的对其不利的民事法律后果或者基于法律特别规定而承担的民事法律责任。一般来说，信息主体提起的对违法个人信息处理者的私益诉讼和人民检察院、法律规定的消费者组织、由国家网信部门确定的组织提起的个人信息保护民事公益诉讼，主要要求违法个人信息处理者承担的是个人信息保护民事法律责任。第一节

个人信息保护法律责任概述一、个人信息保护法律责任的概念与类型（二）个人信息保护法律责任的类型2.个人信息保护民事法律责任关于违法处理个人信息的民事责任，《民法典》和《个人信息保护法》均有规定。一方面，《民法典》第111条和第1034条将个人信息权益规定为一项民事权益。另一方面，《个人信息保护法》使用两个条文（款）对个人信息处理者违法处理个人信息的民事责任作出了有针对性的规定。第一节

个人信息保护法律责任概述一、个人信息保护法律责任的概念与类型（二）个人信息保护法律责任的类型3.个人信息保护刑事法律责任个人信息保护刑事法律责任是指犯罪人因实施刑法规定的个人信息犯罪行为所产生的法律后果。《个人信息保护法》第71条规定：“违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。”该条规定属于引致性条款。作为《刑法》第253条之一，《刑法修正案（九）》规定了“侵犯公民个人信息罪”。除侵犯公民个人信息罪之外，违反《个人信息保护法》相关规定的行为还有可能构成其他犯罪；构成侵犯公民个人信息罪的，也可能同时构成《刑法》中的其他犯罪。第一节

个人信息保护法律责任概述一、个人信息保护法律责任的概念与类型（二）个人信息保护法律责任的类型4.个人信息保护法律责任之间的关系在多数情况下，根据《个人信息保护法》《刑法》《民法典》等的规定，违法个人信息处理者需同时承担民事法律责任、行政法律责任和刑事法律责任。《民法典》第187条规定：“民事主体因同一行为应当承担民事责任、行政责任和刑事责任的，承担行政责任或者刑事责任不影响承担民事责任；民事主体的财产不足以支付的，优先用于承担民事责任。”第一节

个人信息保护法律责任概述二、个人信息保护公益诉讼（一）提起个人信息保护公益诉讼的条件1.违法处理个人信息2.侵害众多个人的信息权益（二）提起个人信息保护公益诉讼的适格主体1.人民检察院2.法律规定的消费者组织3.由国家网信部门确定的组织第二节

行政法律责任一、违法个人信息处理者的行政法律责任（一）一般违法个人信息处理行为的行政法律责任1.行为表现个人信息处理者违反《个人信息保护法》的规定处理个人信息，或者处理个人信息未履行《个人信息保护法》规定的个人信息保护义务的，其应当按照《个人信息保护法》第66条第1款的规定承担相应的行政法律责任。第二节

行政法律责任一、违法个人信息处理者的行政法律责任（一）一般违法个人信息处理行为的行政法律责任2.处罚主体个人信息处理者实施了前述规定的违法行为的，履行个人信息保护职责的部门应当及时调查处理，并按照《个人信息保护法》第66条第1款的规定进行相应的行政处罚。根据《个人信息保护法》第60条的规定，履行个人信息保护职责的部门主要包括国家网信部门、国务院有关部门、县级以上地方人民政府有关部门。第二节

行政法律责任一、违法个人信息处理者的行政法律责任（一）一般违法个人信息处理行为的行政法律责任3.行政处罚措施（1）单位责任单位实施违法处理个人信息行为的，履行个人信息保护职责的部门可以采取“责令改正”“警告”“没收违法所得”“责令暂停或者终止提供服务”的行政处罚措施；拒不改正的，还可以采取“罚款”这一行政处罚措施。（2）个人责任。根据《个人信息保护法》第66条的规定，单位的直接负责的主管人员和其他直接责任人员应当承担行政罚款责任，其罚款数额为“一万元以上十万元以下”。第二节

行政法律责任一、违法个人信息处理者的行政法律责任（二）情节严重的违法个人信息处理行为的行政法律责任1.情节严重的认定目前无论是《个人信息保护法》，还是《网络安全法》《数据安全法》对何谓“情节严重”并无具体规定。可以参考《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条有关“情节严重”和“情节特别严重”的标准，降低其中的行为加重和结果加重的程度，从而制定行政违法行为的“情节严重”和“情节特别严重”的标准。第二节

行政法律责任一、违法个人信息处理者的行政法律责任（二）情节严重的违法个人信息处理行为的行政法律责任2.处罚主体针对情节严重的行为，作出相应行政处罚的行政主体为省级以上履行个人信息保护职责的部门。根据这两个条件进行选择，只有网信部门和市场监管部门有权作为执法主体。要坚持有统有分、有主有次，以网信部门为牵头单位、其他部门共同参与的联合执法机制。在这一机制中，网信部门负责联合调查的组织协调工作，其他部门根据各自管辖领域和执法权限参与其中，进而实现统筹协调、各司其职。第二节

行政法律责任一、违法个人信息处理者的行政法律责任（二）情节严重的违法个人信息处理行为的行政法律责任3.行政处罚措施（1）单位责任针对情节严重的违法个人信息处理行为，相较于对一般违法个人信息处理行为的行政处罚措施，省级以上履行个人信息保护职责的部门除可以实施“责令改正”“没收违法所得”的措施外，还可以采取“责令暂停相关业务或者停业整顿”“通报有关主管部门吊销相关业务许可或者吊销营业执照”的措施。此外，行政罚款数额限度由“一百万元以下”变为“五千万元以下或者上一年度营业额百分之五以下”。第二节

行政法律责任一、违法个人信息处理者的行政法律责任（二）情节严重的违法个人信息处理行为的行政法律责任3.行政处罚措施（2）个人责任单位实施违法个人信息处理行为的，其直接负责的主管人员和其他直接责任人员应当承担“十万元以上一百万元以下”的罚款。另外，省级以上履行个人信息保护职责的部门可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。第二节

行政法律责任一、违法个人信息处理者的行政法律责任（三）首个“天价”罚单——滴滴全球股份有限公司行政处罚案件1.案件事实2021年7月，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《国家安全法》《网络安全法》，网络安全审查办公室按照《网络安全审查办法》对滴滴公司实施网络安全审查。经查实，滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣，应当从严从重予以处罚。经查，国家互联网信息办公室查明滴滴公司共存在16项违法处理个人信息的事实，包括违法收集个人信息、过度收集个人信息、超越权限处理个人信息、违反个人信息处理目的等。第二节

行政法律责任一、违法个人信息处理者的行政法律责任（三）首个“天价”罚单——滴滴全球股份有限公司行政处罚案件2.“天价”罚款本案中，国家互联网信息办公室之所以处以滴滴公司80.26亿元的“天价”罚款、对主要负责人处以100万元的顶格罚款，是因为其行为严重侵害个人信息权益，严重损害国家信息安全。种种调查事实表明，滴滴公司违法处理个人信息的行为符合《个人信息保护法》第66条“情节严重”的要求，应适用第2款较重的处罚责任；考虑到其行为的严重危害性，应在第2款确定的处罚区间内对单位处以较重的处罚（约等于上一年度营业额的5%），对负责的个人处以顶格处罚（100万元）。第二节

行政法律责任二、国家机关或履行个人信息保护职责的部门的工作人员的行政法律责任（一）国家机关不履行个人信息保护义务的行政法律责任1.责令不履行个人信息保护义务的国家机关改正2.对直接负责的主管人员和其他直接责任人员依法给予处分（二）履行个人信息保护职责的部门的工作人员渎职的行政法律责任履行个人信息保护职责的部门的工作人员实施“玩忽职守”“滥用职权”“徇私舞弊”这三种渎职行为中的任何一种行为，但未达到刑事犯罪标准的，应当给予其处分。第三节

民事法律责任一、个人信息保护的民事法律责任概述（一）个人信息保护领域的民事法律责任《个人信息保护法》第69条规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。”此外，《个人信息保护法》还设置了个人信息保护公益诉讼制度，其法律责任包括赔偿相关主体提起公益诉讼支出的必要费用，以及强制履行法律规定的满足受害人相关权利的其他义务，但这并不影响刑事法律责任与行政法律责任的承担。第三节

民事法律责任一、个人信息保护的民事法律责任概述（二）对《个人信息保护法》第69条的法教义学解释1.适用主体：个人信息处理者2.过错推定原则：“不能证明自己没有过错”3.请求权基础：“侵害个人信息权益”第三节

民事法律责任一、个人信息保护的民事法律责任概述（三）《个人信息保护法》第69条与其他条款的关系1.与《个人信息保护法》第20条的关系《个人信息保护法》第20条规定了两个以上的个人信息处理者共同决定处理个人信息侵害个人信息权益的连带责任。2.与《个人信息保护法》第22条的关系《个人信息保护法》第22条规定了个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息时，应当承担的义务。第三节

民事法律责任一、个人信息保护的民事法律责任概述（三）《个人信息保护法》第69条与其他条款的关系3.与《个人信息保护法》第72条的关系《个人信息保护法》第72条第1款明确排除了“自然人因个人或者家庭事务处理个人信息的”对《个人信息保护法》的适用。第三节

民事法律责任二、个人信息侵权的损害赔偿责任（一）构成要件1.侵权行为在司法实践中，个人信息处理者侵害个人信息的行为特征主要包括面向不特定主体、运用技术手段等方面。这主要包括以下典型行为：第一，不当收集个人信息的行为。第二，泄露个人信息的行为。第三，不当使用个人信息的行为。除上述几种情形外，比较具有争议的情形还包括用户画像或其他自动化决策所带来的不利影响是否会构成对人格权益或财产权益的侵害。第三节

民事法律责任二、个人信息侵权的损害赔偿责任（一）构成要件2.主观过错《个人信息保护法》第69条第1款推定个人信息处理者具有过错，其只有举证证明自己没有过错，方能免除责任，否则就要承担责任。第三节

民事法律责任二、个人信息侵权的损害赔偿责任（一）构成要件3.损害按照《个人信息保护法》第69条，只有行为人的侵害行为给个人信息主体造成实际损害后果，被侵权人才能依法行使侵权损害赔偿请求权，要求行为人承担损害赔偿责任。从个人信息权益的内容出发，损害既包括财产利益的损害，也包括精神利益的损害。个人信息权益的损害事实包括两个层面：其一，个人信息权益受到损害的权利损害形态。其二，个人信息权益受到损害的财产损失形态。需要注意的是，个人信息损害不涵盖风险。第三节

民事法律责任二、个人信息侵权的损害赔偿责任（一）构成要件4.因果关系（1）因果关系的一般判断认定是否构成损害赔偿责任时，应当适用相当因果关系规则，即实施了该种侵害个人信息权的侵权行为能够引起这种损害后果。在事实上，行为人实施了违法行为，确实产生了损害后果，因此，行为人实施的该种违法行为与该种损害后果之间具有因果关系。适用停止侵害等责任方式的，不必存在侵害个人信息权造成实际损害的客观事实，只要侵害个人信息权益的事实存在即可。第三节

民事法律责任二、个人信息侵权的损害赔偿责任（一）构成要件4.因果关系（2）因果关系的中断实践中，信息主体的人身权或财产权遭受了侵害，有可能并非由个人信息处理者的处理行为直接造成，而是第三人的介入行为导致的。根据《民法典》第1175条的规定，第三人要就受害人的人身伤亡和财产损害承担侵权赔偿责任。只要损害是由第三人直接造成的，第三人的行为无论是故意的还是过失的，个人信息处理者均应当依据《民法典》第1172条按照原因力大小以及过错程度承担相应的赔偿责任。第三节

民事法律责任二、个人信息侵权的损害赔偿责任（二）数额确定《民法典》第1182条规定，侵害他人人身权益造成财产损失的，不采用“先按照损害后按照侵权人获得利益”之标准确定数额，而是将两个标准予以并列，即“按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿”。《个人信息保护法》第69条第2款的规定与其一致。信息主体受到的损失和个人信息处理者因此获得的利益难以确定的，则根据实际情况确定赔偿数额。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条还规定，被侵权人为制止侵权行为所支付的合理开支，可以被认定为《民法典》第1182条规定的财产损失。第三节

民事法律责任二、个人信息侵权的损害赔偿责任（三）精神损害赔偿《个人信息保护法》第69条第2款规定了侵害个人信息权益精神损害赔偿数额确定的三种方式，即实际损害赔偿、侵权人获利赔偿、法院酌定赔偿。大多数个人信息权益侵害案件中的精神损害赔偿数额是通过法院酌定的方式确定的。《个人信息保护法》第69条第2款规定的损害包括精神损害，但是对于赔偿是否以精神损害严重为要件，没有明确规定。结合《个人信息保护法》的立法目的，考虑到个人信息侵权民事诉讼相对较少，在相关侵权事实发生之后发生财产损失的概率相对较低，倘若继续要求精神损害达到严重程度，显然在绝大多数情况下都难以作出损害赔偿的判决。第三节

民事法律责任三、其他民事责任方式的适用《个人信息保护法》第69条中规定的“损害赔偿等侵权责任”还包括停止侵害、消除影响、赔礼道歉等承担方式。此外，《个人信息保护法》第69条规定的民事责任以侵权责任为限。而在实践中，自然人同样可以主张个人信息处理者违反“信息服务合同约定”，要求个人信息处理者承担违约责任。这就产生了侵权责任与违约责任竞合的情形。与侵权责任不同的是，违约责任并不涉及当事人是否存在主观过错，自然人仅需证明个人信息处理者违反合同约定即可。通说认为，自然人和个人信息处理者之间的“合同”主要包括用户注册协议、隐私政策、个人信息保护政策、网站公开的用户补充协议等内容。第四节

刑事法律责任一、个人信息保护的刑法规范体系（一）个人信息保护刑事立法的历史沿革自1997年至今，刑法对公民个人信息的保护逐渐从间接保护模式转变为直接保护模式，同时刑法对个人信息的保护范围也一直在扩大。2009年2月28日，《刑法修正案（七）》对侵犯公民个人信息的行为设立了独立的罪名。这是刑法首次将侵犯公民个人信息的犯罪独立入刑。自此，个人信息在刑法中得到了正式保护。2015年8月出台的《刑法修正案（九）》扩大了对犯罪主体和侵害行为的打击范围，将此前的“出售、非法提供公民个人信息罪”与“非法获取公民个人信息罪”两个罪名整合为一个罪名，即“侵犯公民个人信息