第五十九條 接受委托處理個(gè)人信息的受托人,應(yīng)當(dāng)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,采取必要措施保障所處理的個(gè)人信息的安全,并協(xié)助個(gè)人信息處理者履行本法規(guī)定的義務(wù)。
第六章 履行個(gè)人信息保護(hù)職責(zé)的部門
第六十條 國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國(guó)務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。
縣級(jí)以上地方人民政府有關(guān)部門的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé),按照國(guó)家有關(guān)規(guī)定確定。
前兩款規(guī)定的部門統(tǒng)稱為履行個(gè)人信息保護(hù)職責(zé)的部門。
第六十一條 履行個(gè)人信息保護(hù)職責(zé)的部門履行下列個(gè)人信息保護(hù)職責(zé):
(一)開展個(gè)人信息保護(hù)宣傳教育,指導(dǎo)、監(jiān)督個(gè)人信息處理者開展個(gè)人信息保護(hù)工作;
(二)接受、處理與個(gè)人信息保護(hù)有關(guān)的投訴、舉報(bào);
(三)組織對(duì)應(yīng)用程序等個(gè)人信息保護(hù)情況進(jìn)行測(cè)評(píng),并公布測(cè)評(píng)結(jié)果;
(四)調(diào)查、處理違法個(gè)人信息處理活動(dòng);
(五)法律、行政法規(guī)規(guī)定的其他職責(zé)。
第六十二條 國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)本法推進(jìn)下列個(gè)人信息保護(hù)工作:
(一)制定個(gè)人信息保護(hù)具體規(guī)則、標(biāo)準(zhǔn);
(二)針對(duì)小型個(gè)人信息處理者、處理敏感個(gè)人信息以及人臉識(shí)別、人工智能等新技術(shù)、新應(yīng)用,制定專門的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn);
(三)支持研究開發(fā)和推廣應(yīng)用安全、方便的電子身份認(rèn)證技術(shù),推進(jìn)網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)建設(shè);
(四)推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè),支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評(píng)估、認(rèn)證服務(wù);
(五)完善個(gè)人信息保護(hù)投訴、舉報(bào)工作機(jī)制。
第六十三條 履行個(gè)人信息保護(hù)職責(zé)的部門履行個(gè)人信息保護(hù)職責(zé),可以采取下列措施:
(一)詢問有關(guān)當(dāng)事人,調(diào)查與個(gè)人信息處理活動(dòng)有關(guān)的情況;
(二)查閱、復(fù)制當(dāng)事人與個(gè)人信息處理活動(dòng)有關(guān)的合同、記錄、賬簿以及其他有關(guān)資料;
(三)實(shí)施現(xiàn)場(chǎng)檢查,對(duì)涉嫌違法的個(gè)人信息處理活動(dòng)進(jìn)行調(diào)查;
(四)檢查與個(gè)人信息處理活動(dòng)有關(guān)的設(shè)備、物品;對(duì)有證據(jù)證明是用于違法個(gè)人信息處理活動(dòng)的設(shè)備、物品,向本部門主要負(fù)責(zé)人書面報(bào)告并經(jīng)批準(zhǔn),可以查封或者扣押。
履行個(gè)人信息保護(hù)職責(zé)的部門依法履行職責(zé),當(dāng)事人應(yīng)當(dāng)予以協(xié)助、配合,不得拒絕、阻撓。
第六十四條 履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的,可以按照規(guī)定的權(quán)限和程序?qū)υ搨(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談,或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施,進(jìn)行整改,消除隱患。
履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中,發(fā)現(xiàn)違法處理個(gè)人信息涉嫌犯罪的,應(yīng)當(dāng)及時(shí)移送公安機(jī)關(guān)依法處理。
第六十五條 任何組織、個(gè)人有權(quán)對(duì)違法個(gè)人信息處理活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴、舉報(bào)。收到投訴、舉報(bào)的部門應(yīng)當(dāng)依法及時(shí)處理,并將處理結(jié)果告知投訴、舉報(bào)人。
履行個(gè)人信息保護(hù)職責(zé)的部門應(yīng)當(dāng)公布接受投訴、舉報(bào)的聯(lián)系方式。
第七章 法律責(zé)任
第六十六條 違反本法規(guī)定處理個(gè)人信息,或者處理個(gè)人信息未履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的,由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正,給予警告,沒收違法所得,對(duì)違法處理個(gè)人信息的應(yīng)用程序,責(zé)令暫停或者終止提供服務(wù);拒不改正的,并處一百萬元以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。
有前款規(guī)定的違法行為,情節(jié)嚴(yán)重的,由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正,沒收違法所得,并處五千萬元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。
第六十七條 有本法規(guī)定的違法行為的,依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案,并予以公示。
第六十八條 國(guó)家機(jī)關(guān)不履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的,由其上級(jí)機(jī)關(guān)或者履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。
履行個(gè)人信息保護(hù)職責(zé)的部門的工作人員玩忽職守、濫用職權(quán)、徇私舞弊,尚不構(gòu)成犯罪的,依法給予處分。
第六十九條 處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害,個(gè)人信息處理者不能證明自己沒有過錯(cuò)的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。
前款規(guī)定的損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定;個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的,根據(jù)實(shí)際情況確定賠償數(shù)額。
第七十條 個(gè)人信息處理者違反本法規(guī)定處理個(gè)人信息,侵害眾多個(gè)人的權(quán)益的,人民檢察院、法律規(guī)定的消費(fèi)者組織和由國(guó)家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。
第七十一條 違反本法規(guī)定,構(gòu)成違反治安管理行為的,依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第八章 附則
第七十二條 自然人因個(gè)人或者家庭事務(wù)處理個(gè)人信息的,不適用本法。
法律對(duì)各級(jí)人民政府及其有關(guān)部門組織實(shí)施的統(tǒng)計(jì)、檔案管理活動(dòng)中的個(gè)人信息處理有規(guī)定的,適用其規(guī)定。
第七十三條 本法下列用語的含義:
(一)個(gè)人信息處理者,是指在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。
(二)自動(dòng)化決策,是指通過計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等,并進(jìn)行決策的活動(dòng)。
(三)去標(biāo)識(shí)化,是指?jìng)(gè)人信息經(jīng)過處理,使其在不借助額外信息的情況下無法識(shí)別特定自然人的過程。
(四)匿名化,是指?jìng)(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原的過程。
第七十四條 本法自2021年11月1日起施行。