個人信息保護辦法第一章總則第一條立法目的為規(guī)范個人信息處理活動，保障公民個人信息權(quán)益，維護網(wǎng)絡(luò)空間良好秩序，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)，制定本辦法。第二條適用范圍本辦法適用于在中華人民共和國境內(nèi)處理自然人個人信息的活動。境外組織、個人在中華人民共和國境內(nèi)處理個人信息，或者處理中華人民共和國境內(nèi)自然人個人信息的活動，參照本辦法執(zhí)行。第三條定義本辦法所稱個人信息，是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。個人信息處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。第四條基本原則處理個人信息應(yīng)當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。同時，應(yīng)當遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。第二章個人信息處理規(guī)則第五條處理個人信息的合法性基礎(chǔ)處理個人信息應(yīng)當具有明確、合理的目的，并應(yīng)當與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。處理個人信息的合法性基礎(chǔ)包括：取得個人的同意；為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；為履行法定職責或者法定義務(wù)所必需；為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息；依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；法律、行政法規(guī)規(guī)定的其他情形。第六條個人信息收集規(guī)則收集個人信息，應(yīng)當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。收集個人信息時，應(yīng)當向個人告知下列事項：個人信息處理者的名稱或者姓名和聯(lián)系方式；個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；個人行使本法規(guī)定權(quán)利的方式和程序；法律、行政法規(guī)規(guī)定應(yīng)當告知的其他事項。第七條個人信息存儲規(guī)則個人信息的保存期限應(yīng)當為實現(xiàn)處理目的所必要的最短時間。除法律、行政法規(guī)另有規(guī)定外，個人信息的保存期限不得超過處理目的實現(xiàn)后的三年。個人信息存儲應(yīng)當采取加密、去標識化等安全技術(shù)措施，防止個人信息泄露、篡改、丟失。第八條個人信息使用規(guī)則使用個人信息應(yīng)當與處理目的一致，不得超出與處理目的相關(guān)的合理范圍。未經(jīng)個人同意，不得將個人信息用于處理目的以外的其他用途。第九條個人信息傳輸規(guī)則向他人提供個人信息，應(yīng)當向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應(yīng)當在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當依照本法規(guī)定重新取得個人同意。第十條個人信息公開規(guī)則公開個人信息應(yīng)當取得個人的單獨同意。法律、行政法規(guī)另有規(guī)定或者個人自行公開的除外。第十一條個人信息刪除規(guī)則有下列情形之一的，個人信息處理者應(yīng)當主動刪除個人信息；個人信息處理者未刪除的，個人有權(quán)請求刪除：處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；個人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；個人撤回同意；個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息；法律、行政法規(guī)規(guī)定的其他情形。第三章個人信息主體權(quán)利第十二條知情權(quán)個人有權(quán)向個人信息處理者查閱、復制其個人信息；有本法第十八條第一款、第三十五條規(guī)定情形的除外。個人請求查閱、復制其個人信息的，個人信息處理者應(yīng)當及時提供。第十三條更正權(quán)個人發(fā)現(xiàn)其個人信息不準確或者不完整的，有權(quán)請求個人信息處理者更正、補充。個人請求更正、補充其個人信息的，個人信息處理者應(yīng)當對其個人信息予以核實，并及時更正、補充。第十四條刪除權(quán)個人有權(quán)請求個人信息處理者刪除其個人信息。個人信息處理者應(yīng)當在收到請求后的十五個工作日內(nèi)予以答復。第十五條撤回同意權(quán)個人有權(quán)撤回其對個人信息處理的同意。個人撤回同意的，不影響撤回前基于個人同意已進行的個人信息處理活動的效力。第十六條個人信息攜帶權(quán)個人有權(quán)將其個人信息轉(zhuǎn)移至其指定的個人信息處理者，前提是符合國家網(wǎng)信部門規(guī)定的條件。第十七條個人信息主體權(quán)利行使方式個人行使權(quán)利的，個人信息處理者應(yīng)當提供便捷的方式。個人信息處理者應(yīng)當在收到請求后的十五個工作日內(nèi)予以答復。拒絕個人行使權(quán)利的請求的，應(yīng)當說明理由。第四章個人信息處理者義務(wù)第十八條個人信息處理者的一般義務(wù)個人信息處理者應(yīng)當按照法律、行政法規(guī)的規(guī)定和與個人的約定處理個人信息，不得擅自更改處理目的和處理方式。個人信息處理者應(yīng)當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。第十九條個人信息安全保障義務(wù)個人信息處理者應(yīng)當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失：制定內(nèi)部管理制度和操作規(guī)程；對個人信息實行分類管理；采取相應(yīng)的加密、去標識化等安全技術(shù)措施；合理確定個人信息處理的操作權(quán)限，并定期對從業(yè)人員進行安全教育和培訓；制定并組織實施個人信息安全事件應(yīng)急預案；法律、行政法規(guī)規(guī)定的其他措施。第二十條個人信息安全事件報告義務(wù)發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，個人信息處理者應(yīng)當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。通知應(yīng)當包括下列事項：發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；個人信息處理者的聯(lián)系方式。第二十一條個人信息處理者的合規(guī)審計義務(wù)個人信息處理者應(yīng)當定期對其個人信息處理活動進行合規(guī)審計。第二十二條個人信息處理者的委托處理義務(wù)委托處理個人信息的，應(yīng)當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權(quán)利和義務(wù)等，并對受托人的個人信息處理活動進行監(jiān)督。受托人應(yīng)當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者終止的，受托人應(yīng)當將個人信息返還個人信息處理者或者予以刪除，不得保留。未經(jīng)個人信息處理者同意，受托人不得轉(zhuǎn)委托他人處理個人信息。第二十三條個人信息處理者的共享、轉(zhuǎn)讓義務(wù)個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應(yīng)當向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應(yīng)當在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當依照本法規(guī)定重新取得個人同意。第二十四條個人信息處理者的公開義務(wù)個人信息處理者公開其處理的個人信息的，應(yīng)當取得個人的單獨同意。第二十五條個人信息處理者的跨境提供義務(wù)個人信息處理者向境外提供個人信息的，應(yīng)當符合國家網(wǎng)信部門規(guī)定的條件，并取得個人的單獨同意。第五章監(jiān)督管理第二十六條監(jiān)管部門職責國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作。第二十七條監(jiān)管措施履行個人信息保護職責的部門在履行職責中，發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€人信息處理者的法定代表人或者主要負責人進行約談。個人信息處理者應(yīng)當按照要求采取措施，進行整改，消除隱患。第二十八條投訴舉報機制任何組織、個人有權(quán)對個人信息處理活動中的違法行為向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應(yīng)當依法及時處理，并將處理結(jié)果告知投訴、舉報人。第六章法律責任第二十九條行政責任違反本辦法規(guī)定，有下列情形之一的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應(yīng)用程序，責令暫?；蛘呓K止提供服務(wù)；拒不改正的，并處一百萬元以下罰款：未取得個人同意處理個人信息的；未按照規(guī)定告知個人信息處理事項的；未按照規(guī)定處理個人信息的；未按照規(guī)定采取個人信息安全保障措施的；未按照規(guī)定履行個人信息安全事件報告義務(wù)的；拒絕、阻礙履行個人信息保護職責的部門監(jiān)督檢查的；法律、行政法規(guī)規(guī)定的其他情形。第三十條民事責任個人信息處