（2026年）中华人民共和国个人信息保护法课件

中华人民共和国个人信息保护法目录02个人信息的定义与范围01个人信息保护法概述03个人信息处理的基本原则04个人信息处理的具体规则05敏感个人信息的特殊保护06禁止行为与法律责任个人信息保护法概述01随着互联网和数字经济的快速发展，个人信息被随意收集、违法获取、过度使用、非法买卖等问题日益突出，亟需专门法律规范数据治理生态。数字经济安全需求立法背景与目的公民权益保障诉求国际合规对接需要针对"大数据杀熟"、强制授权等侵害个人权益现象，立法旨在解决经营者技术优势导致的消费者弱势地位问题，维护网络空间公民基本权利。在全球数据治理体系构建背景下，我国需建立与欧盟GDPR等国际规则相衔接的制度框架，提升跨境数据流动话语权。主体适用范围客体保护范围规范境内所有处理自然人个人信息的组织和个人，包括国家机关、企业、社会团体等数据处理者，境外处理境内个人信息活动同样适用。涵盖以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息，特别将生物识别、行踪轨迹等列为敏感个人信息。适用范围与适用情形行为规制情形针对收集、存储、使用、加工、传输、提供、公开、删除等全生命周期处理行为，重点规制违法共享、过度采集、强制同意等典型侵权场景。除外适用情形为应对突发公共卫生事件或紧急情况下保护生命健康所需的信息处理，在合理限度内可豁免部分合规义务。核心原则简介合法正当必要原则要求个人信息处理必须具有特定、明确、合理的目的，采取对个人权益影响最小的方式，禁止过度收集和使用。责任明确原则明确个人信息处理者主体责任，建立分类分级保护制度，要求采取加密去标识化等安全技术措施保障数据安全。知情同意原则确立以"告知-同意"为核心的处理规则，要求处理敏感信息需取得单独同意，处理未成年人信息需监护人同意。个人信息的定义与范围02个人信息的基本定义动态保护范围个人信息概念需兼顾普遍性与特殊性，既包含静态基础信息（如姓名、身份证号），也涵盖动态行为信息（如行踪轨迹、消费记录），体现技术发展对保护范围的扩展需求。识别与关联路径判定个人信息需满足"特定化自然人"与"法益保护必要"两大核心标准，通过识别路径（如身份证号直接识别）和关联路径（如行为数据组合识别）具体判定。法律界定根据《个人信息保护法》第四条，个人信息是以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息，强调信息与特定自然人的关联性，排除匿名化处理后的信息。匿名化处理需达到无法识别特定个人且不可复原的程度，通过去标识化、数据泛化等技术手段消除信息与个体的关联性，处理后的数据不再受《个人信息保护法》约束。技术标准匿名化过程需遵循国家标准GB/T45574-2025《数据安全技术敏感个人信息处理安全要求》，确保处理后的信息无法通过额外信息重新识别特定自然人。合规要求常用于大数据分析、统计研究等领域，在保障数据价值的同时规避隐私风险，如医疗研究中的脱敏病历数据、商业分析中的聚合用户画像等。应用场景信息处理者需对匿名化结果承担举证责任，若发生重新识别风险（如与其他数据结合可复原身份），仍需承担个人信息保护义务。责任边界匿名化处理信息01020304基础身份信息包括姓名、出生日期、身份证件号码（居民身份证、护照等）、生物识别信息（人脸、指纹、声纹等），具有直接识别特定自然人的特性。常见个人信息类型社会活动信息涵盖教育背景、职业信息、通信记录（通话、邮件）、社交关系（通讯录、好友列表）、网络行为数据（浏览记录、软件使用日志）等反映个体社会活动的信息。财产与轨迹信息含金融账户、消费记录、收入状况等财产信息，以及行踪轨迹、地理位置、交通出行记录等空间活动信息，属于高风险敏感个人信息范畴。个人信息处理的基本原则03处理个人信息必须具有明确的法律依据，包括取得个人同意、履行合同义务、遵守法定义务等情形，确保处理活动符合法律规定。处理个人信息应当遵循社会公德和商业伦理，不得通过欺骗、误导、胁迫等不正当手段获取或使用个人信息。处理个人信息应当与处理目的直接相关，且仅限于实现该目的所必需的最小范围，避免收集与处理目的无关的信息。个人信息处理者应当诚实守信，不得滥用个人信息或违背个人在提供信息时的合理预期。合法、正当、必要原则合法性基础正当性要求必要性标准诚信义务目的限制与最小范围目的明确性个人信息的处理活动应当与事先声明的处理目的具有直接关联性，禁止以无关目的对已收集信息进行二次利用。直接相关性最小化收集使用限制处理个人信息前必须明确、具体地界定处理目的，并在后续处理过程中严格遵循该目的，不得随意变更或扩大使用范围。在收集个人信息时，应当严格限定在实现处理目的所需的最低限度，不得要求提供非必要的冗余信息。个人信息的使用应当控制在最初声明的目的范围内，如需变更目的需重新取得个人同意或符合法定例外情形。公开透明与质量保证规则公开个人信息处理者应当以显著方式公开个人信息处理规则，包括处理目的、方式、范围、保存期限等关键要素。02040301信息准确处理者应当采取合理措施确保个人信息的准确性、完整性，及时更新或更正错误、过时的信息。明示告知在收集个人信息时，应当以清晰易懂的语言向个人告知处理活动的具体情况，确保个人充分知情。安全责任处理者应当建立个人信息安全管理制度，采取技术和管理措施防止信息泄露、篡改、丢失，并对发生的安全事件承担相应责任。个人信息处理的具体规则04处理活动类型收集与存储个人信息处理者需明确收集目的，仅限实现处理目的的最小范围，不得过度收集。存储时应采取技术和管理措施确保数据安全，防止泄露或篡改。使用与加工处理者应在明示的范围内使用个人信息，加工过程需保证信息准确性，避免因错误或遗漏对个人权益造成损害。加工后的信息不得用于未经授权的用途。传输与提供向第三方提供个人信息需获得个人单独同意，并告知接收方身份、处理目的及方式。跨境传输需通过安全评估，确保境外接收方达到同等保护标准。同意与撤回机制4例外情形3未成年人保护2撤回权保障1明示同意原则为履行合同、法定义务或应对突发公共卫生事件等情形，可在未经同意时处理信息，但需严格限定范围并告知个人。个人有权随时撤回同意，处理者需提供便捷的撤回途径。撤回后，处理者应立即停止相关活动，并删除已收集的信息，法律另有规定的除外。处理不满14周岁未成年人信息需取得监护人同意。处理者需设计专门机制验证监护人身份，避免未经授权的数据处理。处理敏感个人信息或向第三方提供时，需取得个人的单独同意。同意应在充分知情的前提下自愿、明确作出，不得通过默认勾选等方式变相强制。安全保护措施第三方监督委托第三方处理数据时，需通过合同明确其义务，并监督其落实安全措施。第三方发生安全事件时，委托方需承担连带责任。管理制度制定内部操作规程和应急预案，明确岗位责任。对员工开展定期培训，确保其熟悉个人信息保护法律法规及操作规程。技术防护处理者应采取加密、去标识化等技术手段保障数据安全，建立访问控制机制，防止未经授权的访问、泄露或损毁。定期进行安全风险评估并更新防护措施。敏感个人信息的特殊保护05敏感信息范围生物识别信息包括指纹、声纹、虹膜、面部特征等具有唯一性的生物特征数据，一旦泄露可能导致身份冒用或金融欺诈等高风险后果。涵盖银行卡号、支付密码、消费记录等财务数据，以及GPS定位、住宿记录等动态信息，此类信息直接关联人身财产安全。涉及身份证号、护照号等法定证件信息，以及病历、基因检测、用药记录等健康数据，泄露可能引发歧视或人身威胁。金融账户与行踪轨迹特定身份与医疗健康处理条件与必要性必须通过弹窗、书面签署等显著方式取得个人对每项敏感信息处理的单独授权，禁止默认勾选或捆绑授权。处理敏感信息需基于特定目的（如医疗诊断、金融风控），且仅收集实现该目的的最小范围数据，不得扩大化使用。处理前需开展个人信息保护影响评估，分析风险等级及防护措施，并全程留存评估报告和处理日志备查。要求采用匿名化处理、数据脱敏等专业技术手段，确保敏感信息在存储和传输过程中的安全性。目的限定与最小必要原则单独明示同意影响评估与记录留存加密与去标识化技术未成年人信息保护年龄分层保护对不满14周岁的未成年人信息实行最高级别保护，禁止非必要收集，教育类APP等场景需监护人双重验证。特殊场景限制严禁将未成年人数据用于用户画像、个性化推荐等商业用途，校园监控等公共设备采集信息需专库加密存储。处理未成年人信息必须取得监护人单独书面同意，并明确告知信息使用范围及潜在风险。监护人同意机制禁止行为与法律责任06未经授权收集法律明确禁止以牟利为目的，将个人信息打包出售或提供给第三方机构，如培训机构、摄影机构等，此类行为构成侵犯公民个人信息罪，将面临刑事处罚。非法交易链条黑灰产打击针对地下数据交易市场，公安机关将联合网信部门开展专项治理，重点打击非法获取、出售公民个人信息的犯罪团伙，切断信息泄露源头。任何组织或个人在未获得信息主体明确同意的情况下，不得擅自收集、存储、使用或处理其个人信息，包括但不限于姓名、身份证号、联系方式等敏感信息。非法收集与买卖平台需公开算法逻辑，说明个性化定价的依据，确保价格调整机制公平合理，避免隐蔽性价格歧视行为。透明算法要求消费者有权拒绝个性化推荐和定价，平台应提供“一键关闭”个性化服务选项，不得因用户拒绝而降低服务质量。用户选择权保障01020304经营者不得利用个人信息分析消费者偏好和支付能力，对同一商品或服务设置差异性价格，损害消费者公平交易权。价格歧视禁止发生争议时，平台需自证不存在“杀熟”行为，若无法提供合理说明，将承担相应民事赔偿及行政处罚责任。举证责任倒置大数据杀熟规定过度收集限制最小必要原