个人信息保护法（图解版）

图解《个人信息保护法》2021年11月1日起正式施行前言2021年8月20日，《个人信息保护法》正式发布，将于2021年11月1日起施行。个人信息保护关乎国计民生，明确被纳入《民法典》人格权保护范围，但是个人信息泄漏乱象频发，因此，结合国际通行实践，对个人信息保护专门立法，规范个人信息处理活动，保障个人信息的有序流通，对我国发展数字经济、数字社会、数字政府具有重要意义。个人信息保护迎来里程碑2019年6月13日 个人信息出境安全评估办法（征）2019年11月28日APP违法违规收集使用个人信息行为认定方法2020年6月1日起实施网络安全审查办法2020年10月1日实施GB/T 35273-2020信息安全技术 个人信息安全规范2020年2月1日起施行国家政务信息化项目建设管理办法2020年9月18日互联网个人信息安全保护指南2019年5月28日数据安全管理办法（征）2019年8月信息安全技术 移动互联网应用程序（APP）收集个人信息基本规范（征）2019年10月1日起施行儿童个人信息网络保护规定2020年8月28日信息安全技术 网络数据处理安全规范（征求意见稿）2021年5月1日起施行常见类型移动互联网应用程序（APP）必要个人信息范围2020年1月信息安全技术 个人信息告知同意指南（征求意见稿）2013年9月1日起施行电信和互联网用户个人信息保护规定2017年8月信息安全技术 数据出境安全评估指南（征求意见稿）2012年12月28日全国人民代表大会常务委员会关于加强网络信息保护的决定2013年2月1日实施GB/Z 28828-2012信息安全技术 公共及商用服务信息系统 个人信息保护指南政策法规技术标准《个人信息保护法》2021年8月20日颁布《个人信息保护法》总结构1.目的2.宗旨3.适用范围4.关键定义5.合法、正当6.目的、必要7.公开、透明8.准确、完整9.责任到人10.刑事追责11.环境构建12.国际合作第二章 个人信息处理规则个人信息保护法第一节 一般规定第一章 总则第六章履行个人信息保护职责的部门第二节 敏感个人信息的处理规则第三节国家机关处理个人信息的特别规定33.适用范围34.范围限度35.告知同意36.境内存储37.公共事务第三章 个人信息跨境提供的规则38.前提条件39.告知要求40.关基要求41.主管批准42.限制清单43.对等反制第四章 个人在个人信息处理活动中的权利44.知情、决定45.查阅、复制46.更正、补充47.主动删除48.解释说明49.代行使权50.处理机制第五章 个人信息处理者的义务60.职责部门61.保护职责62.工作说明63.履职措施64.约谈审计65.投诉举报第七章 法律责任第八章 附则67.信用档案66.行政责任68.国家机关处罚69.民事责任70.依法诉讼71.刑事责任72.特殊情况73.专业术语74.施行时间13.处理前提14.取得同意15.撤回同意16.不得拒绝服务18.例外情形19.最短时间20.共同处理21.委托处理22.信息转移23.第三方共享24.自动化决策26.公共采集27.重新同意17.告知要求25.不得公开51.基本义务52.责任到人53.境外机构义务54.合规审计55.影响评估56.评估内容57补救通知58.大型互联网义务59.受托人义务28.关键定义29.单独同意32.行政许可31.未成年人保护30.必要性告知扩展域外管辖，侧重数据处理发生地个人信息保护法GDPR以处理行为“发生地”切入1、强调“属地原则”：在中华人民共和国境内处理自然人个人 信息的活动，适用本法。（无论处理者是否在境内设立，或者处理的是否为境内自然人信息，只要处理行为发生在境内，就受个保法制约。）2、对应GDPR“保护主体”标准：只要符合“向境内自然人提供产品或者服务为目的”、“为分析、评估境内自然人的行为”及其他规定情形时，也应适用个保法的规定。以控制者/处理者“设立地”切入1、以“营业地/设立地”为标准：在欧盟境内设立的数据控制者或处理者对个人数据的处理行为（不论其实际数据处理行为在何处）2、以“保护主体”为标准：即使有关个人数据处理活动的控制者或处理者不在欧盟设立，但若其：(a)为欧盟境内的数据主体提供商品或服务；或 (b)对发生在欧盟境内的数据主体的活动进行监控，则该类控制者或处理者也同样适用GDPR。属地原则境外境外总则处理跨境权利义务监管罚则中国欧盟..明确七大关键定义个人信息敏感个人信息以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。宗教生物识别医疗行踪已识别可识别总则处理跨境权利义务监管罚则明确七大关键定义包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息的处理在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。个人信息处理者通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。 自动化决策个人信息经过处理无法识别特定自然人且不能复原的过程。匿名化个人信息经过处理，使其在不借助额 外信息的情况下无法识别特定自然人的过程。去标识化总则处理跨境权利义务监管罚则个人信息处理规则前提条件告知要求个人信息处理者的名称或者姓名和联系方式; 个人信息的处理目的、处理方式、种类、保存期限;个人行使权利的方式和程序; 其他法定告知事项。 *针对第一种情形，最为典型的是根据《中华人民共和国反恐怖主义法》第五十一条的规定，即公安机关在调查恐怖活动的案件中，可以获得事先告知豁免。1234法定保密或豁免告知第一款 紧急情况事后告知两种例外情形：*注：第2-7项规定情形的，不需取得个人同意3.履行法定职责或义务必需4.突发紧急应对必需5.公共利益的合理范围7.其他情形2.订立、履行合同或实施人力资源管理所必需6.自行公开或其他已经合法公开的明示同意充分知情、自愿明确授权同意法定单独或书面同意重新取得同意变更需重新同意撤销权个人有权撤回其同意具体要求1.取得个人同意总则处理跨境权利义务监管罚则个人信息保存期限以最短必要为原则没有固定期限：根据必要性的要求，规定在满足处理目的后，最短时间内尽快予以删除。需要企业制定相应内部合规制度，就个人信息的存储及删除时间进行明确规定。兜底条款：对个人信息保存期限另有规定的，从其规定。常见的法律、法规另有规定的情形包括：NO 反洗钱法第十九条第三款：客户身份资料在业务关系结束后、客户交易信息在交易结束后，应当至少保存五年。第三十一条：商品和服务信息、交易信息保存时间自交易完成之日起不少于三年…… 电子商务法第147条：证券公司应当妥善保存客户开户资料、委托记 录、交易记录和与内部管理、业务经营有关的各项资料……上述资料的保存期限不得少于二十年 证券法