個(gè)人信息保護(hù)法（草案二次審議稿）征求意見

個(gè)人信息保護(hù)法（草案二次審議稿）征求意見文章屬性?【公布機(jī)關(guān)】全國(guó)人大常委會(huì)?【公布日期】2021.04.29?【分類】征求意見稿正文個(gè)人信息保護(hù)法（草案二次審議稿）征求意見第十三屆全國(guó)人大常委會(huì)第二十八次會(huì)議對(duì)《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案二次審議稿）》進(jìn)行了審議。現(xiàn)將《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案二次審議稿）》在中國(guó)人大網(wǎng)公布，社會(huì)公眾可以直接登錄中國(guó)人大網(wǎng)（）提出意見，也可以將意見寄送全國(guó)人大常委會(huì)法制工作委員會(huì)（北京市西城區(qū)前門西大街1號(hào)，郵編：100805。信封上請(qǐng)注明個(gè)人信息保護(hù)法草案二次審議稿征求意見）。征求意見截止日期：2021年5月28日。中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）（二次審議稿）第一章總則第二章個(gè)人信息處理規(guī)則第一節(jié)一般規(guī)定第二節(jié)敏感個(gè)人信息的處理規(guī)則第三節(jié)國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定第三章個(gè)人信息跨境提供的規(guī)則第四章個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利第五章個(gè)人信息處理者的義務(wù)第六章履行個(gè)人信息保護(hù)職責(zé)的部門第七章法律責(zé)任第八章附則第一章總則第一條為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，制定本法。第二條自然人的個(gè)人信息受法律保護(hù)，任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益。第三條組織、個(gè)人在中華人民共和國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng)，適用本法。在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)，有下列情形之一的，也適用本法：（一） 以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（二） 分析、評(píng)估境內(nèi)自然人的行為；（三） 法律、行政法規(guī)規(guī)定的其他情形。第四條個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。第五條處理個(gè)人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?，遵循誠(chéng)信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。第六條處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的所必要的最小范圍、采取對(duì)個(gè)人權(quán)益影響最小的方式，不得進(jìn)行與處理目的無關(guān)的個(gè)人信息處理。第七條處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明的原則，公開個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍。第八條處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響。第九條個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全。第十條任何組織、個(gè)人不得違反法律、行政法規(guī)的規(guī)定處理個(gè)人信息，不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)。第十一條國(guó)家建立健全個(gè)人信息保護(hù)制度，預(yù)防和懲治侵害個(gè)人信息權(quán)益的行為，加強(qiáng)個(gè)人信息保護(hù)宣傳教育,推動(dòng)形成政府、企業(yè)、相關(guān)行業(yè)組織、社會(huì)公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境。第十二條國(guó)家積極參與個(gè)人信息保護(hù)國(guó)際規(guī)則的制定,促進(jìn)個(gè)人信息保護(hù)方面的國(guó)際交流與合作，推動(dòng)與其他國(guó)家、地區(qū)、國(guó)際組織之間的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)等的互認(rèn)。第二章個(gè)人信息處理規(guī)則第一節(jié)一般規(guī)定第十三條符合下列情形之一的，個(gè)人信息處理者方可處理個(gè)人信息：（一） 取得個(gè)人的同意；（二） 為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需；（三）為履行法定職責(zé)或者法定義務(wù)所必需;（四） 為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；（五） 依照本法規(guī)定在合理的范圍內(nèi)處理已公開的個(gè)人信息；（六） 為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個(gè)人信息；（七） 法律、行政法規(guī)規(guī)定的其他情形。依照本法其他有關(guān)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的,不需取得個(gè)人同意。第十四條處理個(gè)人信息的同意，應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的，從其規(guī)定。個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意。第十五條個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。第十六條基于個(gè)人同意而進(jìn)行的個(gè)人信息處理活動(dòng)，個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。個(gè)人撤回同意，不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力。第十七條個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回其對(duì)個(gè)人信息處理的同意為由，拒絕提供產(chǎn)品或者服務(wù);處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。第十八條個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言向個(gè)人告知下列事項(xiàng)：（一） 個(gè)人信息處理者的身份和聯(lián)系方式；（二） 個(gè)人信息的處理目的、處理方式,處理的個(gè)人信息種類、保存期限；（三） 個(gè)人行使本法規(guī)定權(quán)利的方式和程序；（四） 法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。前款規(guī)定事項(xiàng)發(fā)生變更的,應(yīng)當(dāng)將變更部分告知個(gè)人。個(gè)人信息處理者通過制定個(gè)人信息處理規(guī)則的方式告知第一款規(guī)定事項(xiàng)的，處理規(guī)則應(yīng)當(dāng)公開，并且便于查閱和保存。第十九條個(gè)人信息處理者處理個(gè)人信息,有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，可以不向個(gè)人告知前條規(guī)定的事項(xiàng)。緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無法及時(shí)向個(gè)人告知的，個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。第二十條個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。法律、行政法規(guī)對(duì)個(gè)人信息的保存期限另有規(guī)定的，從其規(guī)定。第二十一條兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的,應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。但是，該約定不影響個(gè)人向其中任何一個(gè)個(gè)人信息處理者要求行使本法規(guī)定的權(quán)利。個(gè)人信息處理者共同處理個(gè)人信息，侵害個(gè)人信息權(quán)益的,應(yīng)當(dāng)承擔(dān)連帶責(zé)任。第二十二條個(gè)人信息處理者委托處理個(gè)人信息的，應(yīng)當(dāng)與受托方約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等,并對(duì)受托方的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。受托方應(yīng)當(dāng)按照約定處理個(gè)人信息，不得超出約定的處理目的、處理方式等處理個(gè)人信息;委托合同不生效、無效、被撤銷或者終止的，受托方應(yīng)當(dāng)將個(gè)人信息返還個(gè)人信息處理者或者予以刪除，不得保留。未經(jīng)個(gè)人信息處理者同意，受托方不得轉(zhuǎn)委托他人處理個(gè)人信息。第二十三條個(gè)人信息處理者因合并、分立等原因需要轉(zhuǎn)移個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的身份、聯(lián)系方式。接收方應(yīng)當(dāng)繼續(xù)履行個(gè)人信息處理者的義務(wù)。接收方變更原先的處理目的、處理方式,應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意。第二十四條個(gè)人信息處理者向他人提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的身份、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類,并取得個(gè)人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意。第二十五條利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平合理。通過自動(dòng)化決策方式進(jìn)行商業(yè)營(yíng)銷、信息推送，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供拒絕的方式。通過自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說明，并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定。第二十六條個(gè)人信息處理者不得公開其處理的個(gè)人信息，取得個(gè)人單獨(dú)同意的除外。第二十七條在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、個(gè)人身份特征信息只能用于維護(hù)公共安全的目的，不得公開或者向他人提供，取得個(gè)人單獨(dú)同意的除外。第二十八條個(gè)人信息處理者處理已公開的個(gè)人信息，應(yīng)當(dāng)符合該個(gè)人信息被公開時(shí)的用途。超出與該用途相關(guān)的合理范圍的，應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意。個(gè)人信息被公開時(shí)的用途不明確的，個(gè)人信息處理者應(yīng)當(dāng)合理、謹(jǐn)慎地處理已公開的個(gè)人信息。利用已公開的個(gè)人信息從事對(duì)個(gè)人有重大影響的活動(dòng)，應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意。第二節(jié)敏感個(gè)人信息的處理規(guī)則第二十九條個(gè)人信息處理者具有特定的目的和充分的必要性,方可處理敏感個(gè)人信息。敏感個(gè)人信息是一旦泄露或者非法使用，可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息，包括種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等信息。第三十條基于個(gè)人同意處理敏感個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。第三十一條個(gè)人信息處理者處理敏感個(gè)人信息的，除本法第十八條第一款規(guī)定的事項(xiàng)外，還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人的影響。第三十二條法律、行政法規(guī)對(duì)處理敏感個(gè)人信息規(guī)定應(yīng)當(dāng)取得相關(guān)行政許可或者作出其他限制的，從其規(guī)定。第三節(jié)國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定第三十三條國(guó)家機(jī)關(guān)處理個(gè)人信息的活動(dòng)，適用本法;本節(jié)有特別規(guī)定的，適用本節(jié)規(guī)定。第三十四條國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息,應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍和限度。第三十五條國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照本法規(guī)定向個(gè)人告知并取得其同意;法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密，或者告知、取得同意將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)的除外。第三十六條國(guó)家機(jī)關(guān)處理的個(gè)人信息應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)存儲(chǔ);確需向境外提供的，應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估可以要求有關(guān)部門提供支持與協(xié)助。第三十七條法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織為履行法定職責(zé)處理個(gè)人信息，適用本法關(guān)于國(guó)家機(jī)關(guān)處理個(gè)人信息的規(guī)定。第三章個(gè)人信息跨境提供的規(guī)則第三十八條個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)至少具備下列一項(xiàng)條件：（一） 依照本法第四十條的規(guī)定通過國(guó)家網(wǎng)信部門組織的安全評(píng)估；（二） 按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；（三） 按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù),并監(jiān)督其個(gè)人信息處理活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)；（四） 法律、行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件。第三十九條個(gè)人信息處理者向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外接收方的身份、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。第四十條關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門組織的安全評(píng)估;法律、行政法規(guī)和國(guó)家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的，從其規(guī)定。第四十一條中華人民共和國(guó)境外的司法或者執(zhí)法機(jī)構(gòu)要求提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的個(gè)人信息的,非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)，不得提供；中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定有規(guī)定的，可以按照其規(guī)定執(zhí)行。第四十二條境外的組織、個(gè)人從事?lián)p害中華人民共和國(guó)公民的個(gè)人信息權(quán)益,或者危害中華人民共和國(guó)國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)的，國(guó)家網(wǎng)信部門可以將其列入限制或者禁止個(gè)人信息提供清單，予以公告,并采取限制或者禁止向其提供個(gè)人信息等措施。第四十三條任何國(guó)家和地區(qū)在個(gè)人信息保護(hù)方面對(duì)中華人民共和國(guó)采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國(guó)可以根據(jù)實(shí)際情況對(duì)該國(guó)家或者該地區(qū)對(duì)等采取措施。第四章個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利第四十四條個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理;法律、行政法規(guī)另有規(guī)定的除外。第四十五條個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息;有本法第十九條第一款規(guī)定情形的除外。個(gè)人請(qǐng)求查閱、復(fù)制其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供。第四十六條個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的，有權(quán)請(qǐng)求個(gè)人信息處理者更正、補(bǔ)充。個(gè)人請(qǐng)求更正、補(bǔ)充其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息予以核實(shí)，并及時(shí)更正、補(bǔ)充。第四十七條有下列情形之一的,個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息;個(gè)人信息處理者未刪除的,個(gè)人有權(quán)請(qǐng)求刪除：（一） 處理目的已實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；（二） 個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；（三） 個(gè)人撤回同意；（四） 個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息；（五） 法律、行政法規(guī)規(guī)定的其他情形。法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，個(gè)人信息處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。第四十八條個(gè)人有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說明。第四十九條自然人死亡的，本章規(guī)定的個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，由其近親屬行使。第五十條個(gè)人信息處理者應(yīng)當(dāng)建立個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。拒絕個(gè)人行使權(quán)利的請(qǐng)求的，應(yīng)當(dāng)說明理由。第五章個(gè)人信息處理者的義務(wù)第五十一條個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人的影響、可能存在的安全風(fēng)險(xiǎn)等，采取必要措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露或者被竊取、篡改、刪除：（一） 制定內(nèi)部管理制度和操作規(guī)程；（二） 對(duì)個(gè)人信息實(shí)行分類管理；（三） 采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；（四） 合理確定個(gè)人信息處理的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)；（五） 制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案；（六）法律、行政法規(guī)規(guī)定的其他措施。第五十二條處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。個(gè)人信息處理者應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。第五十三條本法第三條第二款規(guī)定的中華人民共和國(guó)境外的個(gè)人信息處理者,應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)，并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。第五十四條個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其個(gè)人信息處理活動(dòng)遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。第五十五條個(gè)人信息處理者應(yīng)當(dāng)對(duì)下列個(gè)人信息處理活動(dòng)在事前進(jìn)行風(fēng)險(xiǎn)評(píng)估，并對(duì)處理情況進(jìn)行記錄：（一） 處理敏感個(gè)人信息；（二） 利用個(gè)人信息進(jìn)行自動(dòng)化決策；（三） 委托處理個(gè)人信息、向他人提供個(gè)人信息、公開個(gè)人信息；（四） 向境外提供個(gè)人信息；（五） 其他對(duì)個(gè)人有重大影響的個(gè)人信息處理活動(dòng)。風(fēng)險(xiǎn)評(píng)估的內(nèi)容應(yīng)當(dāng)包括：（一） 個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；（二） 對(duì)個(gè)人的影響及風(fēng)險(xiǎn)程度；（三） 所采取的安全保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。風(fēng)險(xiǎn)評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。第五十六條個(gè)人信息處理者發(fā)現(xiàn)個(gè)人信息泄露的，應(yīng)當(dāng)立即采取補(bǔ)救措施,并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。通知應(yīng)當(dāng)包括下列事項(xiàng)：（一） 個(gè)人信息泄露的原因；（二） 泄露的個(gè)人信息種類和可能造成的危害；（三） 已采取的補(bǔ)救措施；（四） 個(gè)人可以采取的減輕危害的措施；（五） 個(gè)人信息處理者的聯(lián)系方式。個(gè)人信息處理者采取措施能夠有效避免信息泄露造成損害的，個(gè)人信息處理者可以不通知個(gè)人;但是，履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為個(gè)人信息泄露可能對(duì)個(gè)人造成損害的，有權(quán)要求個(gè)人信息處理者通知個(gè)人。第五十七條提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者,應(yīng)當(dāng)履行下列義務(wù)：（一） 成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)，對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督；（二） 對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者,停止提供服務(wù)；（三） 定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。第五十八條接受委托處理個(gè)人信息的受托方，應(yīng)當(dāng)履行本章規(guī)定的相關(guān)義務(wù),采取必要措施保障所處理的個(gè)人信息的安全。第六章履行個(gè)人信息保護(hù)職責(zé)的部門第五十九條國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國(guó)務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作?？h級(jí)以上地方人民政府有關(guān)部門的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)，按照國(guó)家有關(guān)規(guī)定確定。前兩款規(guī)定的部門統(tǒng)稱為履行個(gè)人信息保護(hù)職責(zé)的部門。第六十條履行個(gè)人信息保護(hù)職責(zé)的部門履行下列個(gè)人信息保護(hù)職責(zé)：（一） 開展個(gè)人信息保護(hù)宣傳教育，指導(dǎo)、監(jiān)督個(gè)人信息處理者開展個(gè)人信息保護(hù)工作；（二） 接受、處理與個(gè)人信息保護(hù)有關(guān)的投訴、舉報(bào)；（三） 調(diào)查、處理違法個(gè)人信息處理活動(dòng)；（四） 法律、行政法規(guī)規(guī)定的其他職責(zé)。第六十一條國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)本法推進(jìn)下列個(gè)人信息保護(hù)工作：（一） 制定個(gè)人信息保護(hù)具體規(guī)則、標(biāo)準(zhǔn)；（二） 針對(duì)敏感個(gè)人信息以及人臉識(shí)別、人工智能等新技術(shù)、新應(yīng)用，制定專門的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)；（三） 支持研究開發(fā)安全、方便的電子身份認(rèn)證技術(shù)；（四）推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè)，支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評(píng)估、認(rèn)證服務(wù)。第六十二條履行個(gè)人信息保護(hù)職責(zé)的部門履行個(gè)人信息保護(hù)職責(zé)，可以采取下列措施：（一） 詢問有關(guān)當(dāng)事人，調(diào)查與個(gè)人信息處理活動(dòng)有關(guān)的情況；（二） 查閱、復(fù)制當(dāng)事人與個(gè)人信息處理活動(dòng)有關(guān)的合同、記錄、賬簿以及其他有關(guān)資料；（三） 實(shí)施現(xiàn)場(chǎng)檢查，對(duì)涉嫌違法個(gè)人信息處理活動(dòng)進(jìn)行調(diào)查；（四） 檢查與個(gè)人信息處理活動(dòng)有關(guān)的設(shè)備、物品;對(duì)有證據(jù)證明是違法個(gè)人信息處理活動(dòng)的設(shè)備、物品，向本部門主要負(fù)責(zé)人書面報(bào)告并經(jīng)批準(zhǔn)，可以查封或者扣押。履行個(gè)人信息保護(hù)職責(zé)的部門依法履行職責(zé),當(dāng)事人應(yīng)當(dāng)予以協(xié)助、配合，不得拒絕、阻撓。第六十三條履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施，進(jìn)行整改，消除隱患。第六十四條任何組織、個(gè)人有權(quán)對(duì)違法個(gè)人信息處理活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴、舉報(bào)。收到投訴、舉報(bào)的部門應(yīng)當(dāng)依法及時(shí)處理，并將處理結(jié)果告知投訴、舉報(bào)人。履行個(gè)人信息保護(hù)職責(zé)的部門應(yīng)當(dāng)公布接受投訴、舉報(bào)的聯(lián)系方式。第七章法律責(zé)任第六十五條違反本法規(guī)定處理個(gè)人信息，或者處理個(gè)人信息未按照規(guī)定采取必要的安全保護(hù)措施的，由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，給予警告，沒收違法所得;拒不改正的，并處一百萬元以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上