第五十九條 接受委托處理個人信息的受托人�,應當依照本法和有關法律�、行政法規(guī)的規(guī)定,采取必要措施保障所處理的個人信息的安全�,并協(xié)助個人信息處理者履行本法規(guī)定的義務�。
第六章 履行個人信息保護職責的部門
第六十條 國家網信部門負責統(tǒng)籌協(xié)調個人信息保護工作和相關監(jiān)督管理工作�。國務院有關部門依照本法和有關法律�、行政法規(guī)的規(guī)定,在各自職責范圍內負責個人信息保護和監(jiān)督管理工作�。
縣級以上地方人民政府有關部門的個人信息保護和監(jiān)督管理職責�,按照國家有關規(guī)定確定�。
前兩款規(guī)定的部門統(tǒng)稱為履行個人信息保護職責的部門。
第六十一條 履行個人信息保護職責的部門履行下列個人信息保護職責:
(一)開展個人信息保護宣傳教育�,指導�、監(jiān)督個人信息處理者開展個人信息保護工作�;
(二)接受、處理與個人信息保護有關的投訴�、舉報�;
(三)組織對應用程序等個人信息保護情況進行測評�,并公布測評結果;
(四)調查�、處理違法個人信息處理活動�;
(五)法律�、行政法規(guī)規(guī)定的其他職責。
第六十二條 國家網信部門統(tǒng)籌協(xié)調有關部門依據本法推進下列個人信息保護工作:
(一)制定個人信息保護具體規(guī)則�、標準�;
(二)針對小型個人信息處理者�、處理敏感個人信息以及人臉識別、人工智能等新技術�、新應用�,制定專門的個人信息保護規(guī)則�、標準�;
(三)支持研究開發(fā)和推廣應用安全、方便的電子身份認證技術�,推進網絡身份認證公共服務建設�;
(四)推進個人信息保護社會化服務體系建設�,支持有關機構開展個人信息保護評估、認證服務�;
(五)完善個人信息保護投訴�、舉報工作機制�。
第六十三條 履行個人信息保護職責的部門履行個人信息保護職責�,可以采取下列措施:
(一)詢問有關當事人�,調查與個人信息處理活動有關的情況;
(二)查閱�、復制當事人與個人信息處理活動有關的合同�、記錄�、賬簿以及其他有關資料;
(三)實施現(xiàn)場檢查�,對涉嫌違法的個人信息處理活動進行調查�;
(四)檢查與個人信息處理活動有關的設備�、物品;對有證據證明是用于違法個人信息處理活動的設備�、物品�,向本部門主要負責人書面報告并經批準�,可以查封或者扣押。
履行個人信息保護職責的部門依法履行職責�,當事人應當予以協(xié)助�、配合�,不得拒絕、阻撓�。
第六十四條 履行個人信息保護職責的部門在履行職責中�,發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的�,可以按照規(guī)定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計�。個人信息處理者應當按照要求采取措施�,進行整改�,消除隱患。
履行個人信息保護職責的部門在履行職責中�,發(fā)現(xiàn)違法處理個人信息涉嫌犯罪的�,應當及時移送公安機關依法處理�。
第六十五條 任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴�、舉報�。收到投訴�、舉報的部門應當依法及時處理,并將處理結果告知投訴�、舉報人�。
履行個人信息保護職責的部門應當公布接受投訴�、舉報的聯(lián)系方式。
第七章 法律責任
第六十六條 違反本法規(guī)定處理個人信息�,或者處理個人信息未履行本法規(guī)定的個人信息保護義務的�,由履行個人信息保護職責的部門責令改正�,給予警告�,沒收違法所得,對違法處理個人信息的應用程序�,責令暫�;蛘呓K止提供服務�;拒不改正的,并處一百萬元以下罰款�;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款�。
有前款規(guī)定的違法行為�,情節(jié)嚴重的,由省級以上履行個人信息保護職責的部門責令改正�,沒收違法所得�,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款�,并可以責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照�;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款�,并可以決定禁止其在一定期限內擔任相關企業(yè)的董事�、監(jiān)事、高級管理人員和個人信息保護負責人�。
第六十七條 有本法規(guī)定的違法行為的�,依照有關法律�、行政法規(guī)的規(guī)定記入信用檔案,并予以公示�。
第六十八條 國家機關不履行本法規(guī)定的個人信息保護義務的�,由其上級機關或者履行個人信息保護職責的部門責令改正�;對直接負責的主管人員和其他直接責任人員依法給予處分。
履行個人信息保護職責的部門的工作人員玩忽職守�、濫用職權�、徇私舞弊�,尚不構成犯罪的,依法給予處分。
第六十九條 處理個人信息侵害個人信息權益造成損害�,個人信息處理者不能證明自己沒有過錯的�,應當承擔損害賠償?shù)惹謾嘭熑巍?/span>
前款規(guī)定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定�;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數(shù)額。
第七十條 個人信息處理者違反本法規(guī)定處理個人信息,侵害眾多個人的權益的�,人民檢察院�、法律規(guī)定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟�。
第七十一條 違反本法規(guī)定,構成違反治安管理行為的,依法給予治安管理處罰�;構成犯罪的�,依法追究刑事責任�。
第八章 附則
第七十二條 自然人因個人或者家庭事務處理個人信息的,不適用本法。
法律對各級人民政府及其有關部門組織實施的統(tǒng)計、檔案管理活動中的個人信息處理有規(guī)定的�,適用其規(guī)定�。
第七十三條 本法下列用語的含義:
(一)個人信息處理者�,是指在個人信息處理活動中自主決定處理目的、處理方式的組織�、個人�。
(二)自動化決策�,是指通過計算機程序自動分析、評估個人的行為習慣�、興趣愛好或者經濟�、健康�、信用狀況等�,并進行決策的活動。
(三)去標識化,是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程�。
(四)匿名化�,是指個人信息經過處理無法識別特定自然人且不能復原的過程�。
第七十四條 本法自2021年11月1日起施行。
400-004-1069