第十三屆全國人大常委會第二十八次會議對《中華人民共和國數據安全法（草案二次審議稿）》《中華人民共和國個人信息保護法（草案二次審議稿）》進行了審議?！吨腥A人民共和國數據安全法（草案二次審議稿）》《中華人民共和國個人信息保護法（草案二次審議稿）》已在中國人大網公布，社會公眾可以直接登錄中國人大網（www.npc.gov.cn）提出意見，也可以將意見寄送全國人大常委會法制工作委員會（北京市西城區前門西大街1號，郵編：100805。信封上請注明數據安全法草案二次審議稿征求意見）。征求意見截止日期：2021年5月28日。

現將《中華人民共和國數據安全法（草案二次審議稿）》《中華人民共和國個人信息保護法（草案二次審議稿）》分別與第一次審議進行全文對照。

 

數據安全法（一次審議稿）	數據安全法（二次審議稿）
第一章 總則 第二章 數據安全與發展 第三章 數據安全制度 第四章 數據安全保護義務 第五章 政務數據安全與開放 第六章 法律責任 第七章 附則	第一章 總則 第二章 數據安全與發展 第三章 數據安全制度 第四章 數據安全保護義務 第五章 政務數據安全與開放 第六章 法律責任 第七章 附則
第一章 總則	第一章總則
第一條 為了保障數據安全，促進數據開發利用，保護公民、組織的合法權益，維護國家主權、安全和發展利益，制定本法。	第一條 為了規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益，制定本法。
第二條 在中華人民共和國境內開展數據活動，適用本法。 中華人民共和國境外的組織、個人開展數據活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。	第二條 在中華人民共和國境內開展數據處理活動及其安全監管，適用本法。 在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。
第三條 本法所稱數據，是指任何以電子或者非電子形式對信息的記錄。 數據活動，是指數據的收集、存儲、加工、使用、提供、交易、公開等行為。 數據安全，是指通過采取必要措施，保障數據得到有效保護和合法利用，并持續處于安全狀態的能力。	第三條 本法所稱數據，是指任何以電子或者非電子形式對信息的記錄。 數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。 數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及保障持續安全狀態的能力。
第四條 維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力。	第四條 維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力。
第五條 國家保護公民、組織與數據有關的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發展，增進人民福祉。	第五條 國家保護個人、組織與數據有關的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發展。
第六條 中央國家安全領導機構負責數據安全工作的決策和統籌協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策。	第六條 中央國家安全領導機構負責數據安全工作的決策和統籌協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策。
第七條 各地區、各部門對本地區、本部門工作中產生、匯總、加工的數據及數據安全負主體責任。 工業、電信、自然資源、衛生健康、教育、國防科技工業、金融業等行業主管部門承擔本行業、本領域數據安全監管職責。 公安機關、國家安全機關等依照本法和有關法律、行政法規的規定，在各自職責范圍內承擔數據安全監管職責。 國家網信部門依照本法和有關法律、行政法規的規定，負責統籌協調網絡數據安全和相關監管工作。	第七條 各地區、各部門對本地區、本部門工作中產生、匯總、加工的數據及數據安全負主體責任。 工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。 公安機關、國家安全機關等依照本法和有關法律、行政法規的規定，在各自職責范圍內承擔數據安全監管職責。 國家網信部門依照本法和有關法律、行政法規的規定，負責統籌協調網絡數據安全和相關監管工作。
第八條 開展數據活動，必須遵守法律、行政法規，尊重社會公德和倫理，遵守商業道德，誠實守信，履行數據安全保護義務，承擔社會責任，不得危害國家安全、公共利益，不得損害公民、組織的合法權益。	第八條 開展數據處理活動，應當遵守法律、法規，尊重社會公德和倫理，遵守商業道德，誠實守信，履行數據安全保護義務，承擔社會責任，不得危害國家安全、公共利益，不得損害個人、組織的合法權益。
第九條 國家建立健全數據安全協同治理體系，推動有關部門、行業組織、企業、個人等共同參與數據安全保護工作，形成全社會共同維護數據安全和促進發展的良好環境。	第九條 國家建立健全數據安全協作機制，推動有關部門、行業組織、企業、個人等共同參與數據安全保護工作，形成全社會共同維護數據安全和促進發展的良好環境。
	第十條 相關行業組織按照章程，制定數據安全行為規范，加強行業自律，指導會員加強數據安全保護，提高數據安全保護水平，促進行業健康發展。
第十條 國家積極開展數據領域國際交流與合作，參與數據安全相關國際規則和標準的制定，促進數據跨境安全、自由流動。	第十一條 國家積極開展數據領域國際交流與合作，參與數據安全相關國際規則和標準的制定，促進數據跨境安全、自由流動。
第十一條 任何組織、個人都有權對違反本法規定的行為向有關主管部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。	第十二條 任何個人、組織都有權對違反本法規定的行為向有關主管部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。
第二章 數據安全與發展	第二章 數據安全與發展
第十二條 國家堅持維護數據安全和促進數據開發利用并重，以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展。	第十三條 國家統籌發展和安全，堅持保障數據安全與促進數據開發利用并重，以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展。
第十三條 國家實施大數據戰略，推進數據基礎設施建設，鼓勵和支持數據在各行業、各領域的創新應用，促進數字經濟發展。省級以上人民政府應當制定數字經濟發展規劃，并納入本級國民經濟和社會發展規劃。	第十四條 國家實施大數據戰略，推進數據基礎設施建設，鼓勵和支持數據在各行業、各領域的創新應用。 縣級以上人民政府應當將數字經濟發展納入本級國民經濟和社會發展規劃，并根據需要制定數字經濟發展規劃。
第十四條 國家加強數據開發利用技術基礎研究，支持數據開發利用和數據安全等領域的技術推廣和商業創新，培育、發展數據開發利用和數據安全產品和產業體系。	第十五條 國家支持數據開發利用和數據安全技術研究，鼓勵數據開發利用和數據安全等領域的技術推廣和商業創新，培育、發展數據開發利用和數據安全產品和產業體系。
第十五條 國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責，組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。國家支持企業、研究機構、高等學校、相關行業組織等參與標準制定。	第十六條 國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責，組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。國家支持企業、社會團體和教育、科研機構等參與標準制定。
第十六條 國家促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專業機構依法開展服務活動。	第十七條 國家促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專業機構依法開展服務活動。
第十七條 國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場。	第十八條 國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場。
第十八條 國家支持高等學校、中等職業學校和企業等開展數據開發利用技術和數據安全相關教育和培訓，采取多種方式培養數據開發利用技術和數據安全專業人才，促進人才交流。	第十九條 國家支持高等學校、中等職業學校、科研機構和企業等開展數據開發利用技術和數據安全相關教育和培訓，采取多種方式培養數據開發利用技術和數據安全專業人才，促進人才交流。
第三章 數據安全制度	第三章 數據安全制度
第十九條 國家根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者公民、組織合法權益造成的危害程度，對數據實行分級分類保護。 各地區、各部門應當按照國家有關規定，確定本地區、本部門、本行業重要數據保護目錄，對列入目錄的數據進行重點保護。	第二十條 國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者公民、組織合法權益造成的危害程度，對數據實行分類分級保護，并確定重要數據目錄，加強對重要數據的保護。 各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。
第二十條 國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制，加強數據安全風險信息的獲取、分析、研判、預警工作。	第二十一條 國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制，加強數據安全風險信息的獲取、分析、研判、預警工作。
第二十一條 國家建立數據安全應急處置機制。 發生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，消除安全隱患，防止危害擴大，并及時向社會發布與公眾有關的警示信息。	第二十二條 國家建立數據安全應急處置機制。發生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時向社會發布與公眾有關的警示信息。
第二十二條 國家建立數據安全審查制度，對影響或者可能影響國家安全的數據活動進行國家安全審查。 依法作出的安全審查決定為最終決定。	第二十三條 國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。依法作出的安全審查決定為最終決定。
第二十三條 國家對與履行國際義務和維護國家安全相關的屬于管制物項的數據依法實施出口管制。	第二十四條 國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。
第二十四條 任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區采取相應的措施。	第二十五條 任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。
第四章 數據安全保護義務	第四章 數據安全保護義務
第二十五條 開展數據活動應當依照法律、行政法規的規定和國家標準的強制性要求，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。 重要數據的處理者應當設立數據安全負責人和管理機構，落實數據安全保護責任。	第二十六條 開展數據處理活動應當依照法律、法規的規定，在網絡安全等級保護制度的基礎上，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。 重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。
第二十六條 開展數據活動以及研究開發數據新技術，應當有利于促進經濟社會發展，增進人民福祉，符合社會公德和倫理。	第二十七條 開展數據處理活動以及研究開發數據新技術，應當有利于促進經濟社會發展，增進人民福祉，符合社會公德和倫理。
第二十七條 開展數據活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施;發生數據安全事件時，應當按照規定及時告知用戶并向有關主管部門報告。	第二十八條 開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施;發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。
第二十八條 重要數據的處理者應當按照規定對其數據活動定期開展風險評估，并向有關主管部門報送風險評估報告。 風險評估報告應當包括本組織掌握的重要數據的種類、數量，收集、存儲、加工、使用數據的情況，面臨的數據安全風險及其應對措施等。	第二十九條 重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。
	第三十條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。
第二十九條 任何組織、個人收集數據，必須采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。 法律、行政法規對收集、使用數據的目的、范圍有規定的，應當在法律、行政法規規定的目的和范圍內收集、使用數據，不得超過必要的限度。	第三十一條 任何組織、個人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。 法律、行政法規對收集、使用數據的目的、范圍有規定的，應當在法律、行政法規規定的目的和范圍內收集、使用數據。
第三十條 從事數據交易中介服務的機構在提供交易中介服務時，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。	第三十二條 從事數據交易中介服務的機構在提供交易中介服務時，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。
第三十一條 專門提供在線數據處理等服務的經營者，應當依法取得經營業務許可或者備案。具體辦法由國務院電信主管部門會同有關部門制定。	第三十三條 法律、行政法規規定提供數據處理相關服務應當取得行政許可的，服務提供者應當依法取得許可。
第三十二條 公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批準手續，依法進行，有關組織、個人應當予以配合。	第三十四條 公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批準手續，依法進行，有關組織、個人應當予以配合。
第三十三條 境外執法機構要求調取存儲于中華人民共和國境內的數據的，有關組織、個人應當向有關主管機關報告，獲得批準后方可提供。中華人民共和國締結或者參加的國際條約、協定對外國執法機構調取境內數據有規定的，依照其規定。	第三十五條 中華人民共和國境外的司法或者執法機構要求調取存儲于中華人民共和國境內的數據的，非經中華人民共和國主管機關批準，不得提供;中華人民共和國締結或者參加的國際條約、協定有規定的，可以按照其規定執行。
第五章 政務數據安全與開放	第五章 政務數據安全與開放
第三十四條 國家大力推進電子政務建設，提高政務數據的科學性、準確性、時效性，提升運用數據服務經濟社會發展的能力。	第三十六條 國家大力推進電子政務建設，提高政務數據的科學性、準確性、時效性，提升運用數據服務經濟社會發展的能力。
第三十五條 國家機關為履行法定職責的需要收集、使用數據，應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行。	第三十七條 國家機關為履行法定職責的需要收集、使用數據，應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行。
第三十六條 國家機關應當依照法律、行政法規的規定，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全。	第三十八條 國家機關應當依照法律、行政法規的規定，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全。
第三十七條 國家機關委托他人存儲、加工政務數據，或者向他人提供政務數據，應當經過嚴格的批準程序，并應當監督接收方履行相應的數據安全保護義務。	第三十九條 國家機關委托他人建設、維護電子政務系統，存儲、加工政務數據，或者向他人提供政務數據，應當經過嚴格的批準程序，并應當監督受托方、數據接收方履行相應的數據安全保護義務。
第三十八條 國家機關應當遵循公正、公平、便民的原則，按照規定及時、準確地公開政務數據。依法不予公開的除外。	第四十條 國家機關應當遵循公正、公平、便民的原則，按照規定及時、準確地公開政務數據。依法不予公開的除外。
第三十九條 國家制定政務數據開放目錄，構建統一規范、互聯互通、安全可控的政務數據開放平臺，推動政務數據開放利用。	第四十一條 國家制定政務數據開放目錄，構建統一規范、互聯互通、安全可控的政務數據開放平臺，推動政務數據開放利用。
第四十條 具有公共事務管理職能的組織為履行公共事務管理職能開展數據活動，適用本章規定。	第四十二條 法律、法規授權的具有管理公共事務職能的組織為履行法定職責開展數據處理活動，適用本章規定。
第六章 法律責任	第六章 法律責任
第四十一條 有關主管部門在履行數據安全監管職責中，發現數據活動存在較大安全風險的，可以按照規定的權限和程序對有關組織和個人進行約談。有關組織和個人應當按照要求采取措施，進行整改，消除隱患。	第四十三條 有關主管部門在履行數據安全監管職責中，發現數據處理活動存在較大安全風險的，可以按照規定的權限和程序對有關組織和個人進行約談。有關組織和個人應當按照要求采取措施，進行整改，消除隱患。
第四十二條 開展數據活動的組織、個人不履行本法第二十五條、第二十七條、第二十八條、第二十九條規定的數據安全保護義務或者未采取必要的安全措施的，由有關主管部門責令改正，給予警告，可以并處一萬元以上十萬元以下罰款，對直接負責的主管人員可以處五千元以上五萬元以下罰款;拒不改正或者造成大量數據泄漏等嚴重后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。	第四十四條 開展數據處理活動的組織、個人不履行本法第二十六條、第二十八條、第二十九條、第三十條規定的數據安全保護義務的，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重后果的，處五十萬元以上五百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。
第四十三條 數據交易中介機構未履行本法第三十條規定的義務，導致非法來源數據交易的，由有關主管部門責令改正，沒收違法所得，處違法所得一倍以上十倍以下罰款，沒有違法所得的，處十萬元以上一百萬元以下罰款，并可以由有關主管部門吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。	第四十五條 從事數據交易中介服務的機構未履行本法第三十二條規定的義務，導致非法來源數據交易的，由有關主管部門責令改正，沒收違法所得，處違法所得一倍以上十倍以下罰款，沒有違法所得或者違法所得不足十萬元的，處十萬元以上一百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第四十四條 未取得許可或者備案，擅自從事本法第三十一條規定業務的，由有關主管部門責令改正或者予以取締，沒收違法所得，處違法所得一倍以上十倍以下罰款;沒有違法所得的，處十萬元以上一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。	第四十六條 違反本法第三十四條規定，拒不配合數據調取的，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款。違反本法第三十五條規定，未經主管機關批準向境外的司法或者執法機構提供數據的，由有關主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處二萬元以上二十萬元以下罰款。
第四十五條 國家機關不履行本法規定的數據安全保護義務的，對直接負責的主管人員和其他直接責任人員依法給予處分。	第四十七條 國家機關不履行本法規定的數據安全保護義務的，對直接負責的主管人員和其他直接責任人員依法給予處分。
第四十六條 履行數據安全監管責任的國家工作人員玩忽職守、濫用職權、徇私舞弊，尚不構成犯罪的，依法給予處分。	第四十八條 履行數據安全監管職責的國家工作人員玩忽職守、濫用職權、徇私舞弊，尚不構成犯罪的，依法給予處分。
第四十七條 通過數據活動危害國家安全、公共利益，或者損害公民、組織合法權益的，依照有關法律、行政法規的規定處罰。	第四十九條 開展數據處理活動危害國家安全、公共利益，排除、限制競爭，或者損害個人、組織合法權益的，依照有關法律、行政法規的規定處罰。
第四十八條 違反本法規定，給他人造成損害的，依法承擔民事責任。違反本法規定，構成違反治安管理處罰行為的，依法給予治安管理處罰;構成犯罪的，依法追究刑事責任。	第五十條 違反本法規定，給他人造成損害的，依法承擔民事責任。違反本法規定，構成違反治安管理處罰行為的，依法給予治安管理處罰;構成犯罪的，依法追究刑事責任。
第七章 附則	第七章 附則
第四十九條 涉及國家秘密的數據活動，適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。開展涉及個人信息的數據活動，應當遵守有關法律、行政法規的規定。	第五十一條 開展涉及國家秘密的數據處理活動，適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。開展涉及個人信息的數據處理活動，應當遵守個人信息保護法律、行政法規的規定。
	第五十二條 軍事數據安全保護的辦法，由中央軍事委員會依據本法另行制定。
	第五十三條 本法自 年 月 日起施行。

 

---

個人信息保護法（草案一次審議稿）	個人信息保護法（草案二次審議稿）
第一章 總 則 第二章 個人信息處理規則           第一節 一般規定           第二節 敏感個人信息的處理規則           第三節 國家機關處理個人信息的特別規定 第三章 個人信息跨境提供的規則 第四章 個人在個人信息處理活動中的權利  第五章 個人信息處理者的義務 第六章 履行個人信息保護職責的部門  第七章 法律責任 第八章 附 則	第一章 總 則 第二章 個人信息處理規則           第一節 一般規定           第二節 敏感個人信息的處理規則           第三節 國家機關處理個人信息的特別規定 第三章 個人信息跨境提供的規則 第四章 個人在個人信息處理活動中的權利 第五章 個人信息處理者的義務 第六章 履行個人信息保護職責的部門 第七章 法律責任 第八章 附 則
第一章 總則	第一章 總則
第一條 為了保護個人信息權益，規范個人信息處理活動，保障個人信息依法有序自由流動，促進個人信息合理利用，制定本法。	第一條 為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，制定本法。
第二條 自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。	第二條 自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。
第三條 組織、個人在中華人民共和國境內處理自然人個人信息的活動，適用本法。 在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法： (一)以向境內自然人提供產品或者服務為目的； (二)為分析、評估境內自然人的行為； (三)法律、行政法規規定的其他情形。	第三條 組織、個人在中華人民共和國境內處理自然人個人信息的活動,適用本法。 在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法: (一)以向境內自然人提供產品或者服務為目的； (二)分析、評估境內自然人的行為； (三)法律、行政法規規定的其他情形。
第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。  個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。	第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。 個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。
第五條 處理個人信息應當采用合法、正當的方式，遵循誠信原則，不得通過欺詐、誤導等方式處理個人信息。	第五條 處理個人信息應當采用合法、正當的方式，遵循誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。
第六條 處理個人信息應當具有明確、合理的目的，并應當限于實現處理目的的最小范圍，不得進行與處理目的無關的個人信息處理。	第六條 處理個人信息應當具有明確、合理的目的，并應當限于實現處理目的所必要的最小范圍、采取對個人權益影響最小的方式，不得進行與處理目的無關的個人信息處理。
第七條 處理個人信息應當遵循公開、透明的原則,明示個人信息處理規則。	第七條 處理個人信息應當遵循公開、透明的原則，公開個人信息處理規則，明示處理的目的、方式和范圍。
第八條 為實現處理目的，所處理的個人信息應當準確，并及時更新。	第八條 處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。
第九條 個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。	第九條 個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。
第十條 任何組織、個人不得違反法律、行政法規的規定處理個人信息，不得從事危害國家安全、公共利益的個人信息處理活動。	第十條 任何組織、個人不得違反法律、行政法規的規定處理個人信息，不得從事危害國家安全、公共利益的個人信息處理活動。
第十一條 國家建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業、相關行業組織、社會公眾共同參與個人信息保護的良好環境。	第十一條 國家建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業、相關行業組織、社會公眾共同參與個人信息保護的良好環境。
第十二條 國家積極參與個人信息保護國際規則的制定，促進個人信息保護方面的國際交流與合作，推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等的互認。	第十二條 國家積極參與個人信息保護國際規則的制定，促進個人信息保護方面的國際交流與合作，推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等的互認。
第二章 個人信息處理規則 第一節 一般規定	第二章 個人信息處理規則 第一節 一般規定
第十三條 符合下列情形之一的，個人信息處理者方可處理個人信息： (一)取得個人的同意; (二)為訂立或者履行個人作為一方當事人的合同所必需； (三)為履行法定職責或者法定義務所必需； (四)為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需； (五)為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息； (六)法律、行政法規規定的其他情形。	第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息: (一)取得個人的同意； (二)為訂立或者履行個人作為一方當事人的合同所必需； (三)為履行法定職責或者法定義務所必需； (四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需； (五)依照本法規定在合理的范圍內處理已公開的個人信息； (六)為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息； (七)法律、行政法規規定的其他情形。 本法其他有關條款規定處理個人信息應當取得個人同意,但有前款第二項至第七項規定情形的,不需取得個人同意。
第十四條 處理個人信息的同意，應當由個人在充分知情的前提下，自愿、明確作出意思表示。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定。 個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。	第十四條 處理個人信息的同意,應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。 個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
第十五條 個人信息處理者知道或者應當知道其處理的個人信息為不滿十四周歲未成年人個人信息的，應當取得其監護人的同意。	第十五條 個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意。
第十六條 基于個人同意而進行的個人信息處理活動，個人有權撤回其同意。	第十六條 基于個人同意而進行的個人信息處理活動，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。 個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力。
第十七條 個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外。	第十七條 個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外。
第十八條 個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言向個人告知下列事項： (一)個人信息處理者的身份和聯系方式; (二)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限; (三)個人行使本法規定權利的方式和程序;  (四)法律、行政法規規定應當告知的其他事項。  前款規定事項發生變更的，應當將變更部分告知個人。  個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,并且便于查閱和保存。	第十八條 個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言向個人告知下列事項： (一)個人信息處理者的身份和聯系方式； (二)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限； (三)個人行使本法規定權利的方式和程序； (四)法律、行政法規規定應當告知的其他事項。 前款規定事項發生變更的,應當將變更部分告知個人。 個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,并且便于查閱和保存。
第十九條 個人信息處理者處理個人信息，有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個人告知前條規定的事項。  緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的，個人信息處理者應當在緊急情況消除后予以告知。	第十九條 個人信息處理者處理個人信息，有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條規定的事項。 緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的，個人信息處理者應當在緊急情況消除后及時告知。
第二十條 個人信息的保存期限應當為實現處理目的所必要的最短時間。法律、行政法規對個人信息的保存期限另有規定的，從其規定。	第二十條 個人信息的保存期限應當為實現處理目的所必要的最短時間。法律、行政法規對個人信息的保存期限另有規定的，從其規定。
第二十一條 兩個或者兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。 個人信息處理者共同處理個人信息，侵害個人信息權益的，依法承擔連帶責任。	第二十一條 兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。 個人信息處理者共同處理個人信息，侵害個人信息權益的，應當承擔連帶責任。
第二十二條 個人信息處理者委托處理個人信息的，應當與受托方約定委托處理的目的、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，并對受托方的個人信息處理活動進行監督。 受托方應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息，并應當在合同履行完畢或者委托關系解除后，將個人信息返還個人信息處理者或者予以刪除。 未經個人信息處理者同意，受托方不得轉委托他人處理個人信息。	第二十二條 個人信息處理者委托處理個人信息的，應當與受托方約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，并對受托方的個人信息處理活動進行監督。 受托方應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者終止的，受托方應當將個人信息返還個人信息處理者或者予以刪除，不得保留。 未經個人信息處理者同意，受托方不得轉委托他人處理個人信息。
第二十三條 個人信息處理者因合并、分立等原因需要轉移個人信息的，應當向個人告知接收方的身份、聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新向個人告知并取得其同意。	第二十三條 個人信息處理者因合并、分立等原因需要轉移個人信息的,應當向個人告知接收方的身份、聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式，應當依照本法規定重新取得個人同意。
第二十四條 個人信息處理者向第三方提供其處理的個人信息的，應當向個人告知第三方的身份、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收個人信息的第三方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。第三方變更原先的處理目的、處理方式的，應當依照本法規定重新向個人告知并取得其同意。 個人信息處理者向第三方提供匿名化信息的，第三方不得利用技術等手段重新識別個人身份。	第二十四條 個人信息處理者向他人提供其處理的個人信息的，應當向個人告知接收方的身份、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。
第二十五條 利用個人信息進行自動化決策，應當保證決策的透明度和處理結果的公平合理。個人認為自動化決策對其權益造成重大影響的，有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。 通過自動化決策方式進行商業營銷、信息推送,應當同時提供不針對其個人特征的選項。	第二十五條 利用個人信息進行自動化決策，應當保證決策的透明度和結果公平合理。通過自動化決策方式進行商業營銷、信息推送，應當同時提供不針對其個人特征的選項，或者向個人提供拒絕的方式。 通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
第二十六條 個人信息處理者不得公開其處理的個人信息；取得個人單獨同意或者法律、行政法規另有規定的除外。	第二十六條 個人信息處理者不得公開其處理的個人信息，取得個人單獨同意的除外。
第二十七條 在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的，不得公開或者向他人提供；取得個人單獨同意或者法律、行政法規另有規定的除外。	第二十七條 在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的，不得公開或者向他人提供，取得個人單獨同意的除外。
第二十八條 個人信息處理者處理已公開的個人信息,應當符合該個人信息被公開時的用途；超出與該用途相關的合理范圍的，應當依照本法規定向個人告知并取得其同意。 個人信息被公開時的用途不明確的，個人信息處理者應當合理、謹慎地處理已公開的個人信息；利用已公開的個人信息從事對個人有重大影響的活動，應當依照本法規定向個人告知并取得其同意。	第二十八條 個人信息處理者處理已公開的個人信息，應當符合該個人信息被公開時的用途。超出與該用途相關的合理范圍的，應當依照本法規定取得個人同意。 個人信息被公開時的用途不明確的,個人信息處理者應當合理、謹慎地處理已公開的個人信息。利用已公開的個人信息從事對個人有重大影響的活動,應當依照本法規定取得個人同意。
第二節 敏感個人信息的處理規則	第二節 敏感個人信息的處理規則
第二十九條 個人信息處理者具有特定的目的和充分的必要性，方可處理敏感個人信息。 敏感個人信息是一旦泄露或者非法使用，可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息，包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。	第二十九條 個人信息處理者具有特定的目的和充分的必要性，方可處理敏感個人信息。 敏感個人信息是一旦泄露或者非法使用，可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息，包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。
第三十條 基于個人同意處理敏感個人信息的，個人信息處理者應當取得個人的單獨同意。法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。	第三十條 基于個人同意處理敏感個人信息的，個人信息處理者應當取得個人的單獨同意。法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。
第三十一條 個人信息處理者處理敏感個人信息的，除本法第十八條規定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人的影響。	第三十一條 個人信息處理者處理敏感個人信息的，除本法第十八條第一款規定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人的影響。
第三十二條 法律、行政法規規定處理敏感個人信息應當取得相關行政許可或者作出更嚴格限制的，從其規定。	第三十二條 法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作出其他限制的，從其規定。
第三節 國家機關處理個人信息的特別規定	第三節 國家機關處理個人信息的特別規定
第三十三條 國家機關處理個人信息的活動適用本法；本節有特別規定的，適用本節規定。	第三十三條 國家機關處理個人信息的活動，適用本法；本節有特別規定的,適用本節規定。
第三十四條 國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的范圍和限度。	第三十四條 國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的范圍和限度。
第三十五條 國家機關為履行法定職責處理個人信息，應當依照本法規定向個人告知并取得其同意；法律、行政法規規定應當保密，或者告知、取得同意將妨礙國家機關履行法定職責的除外。	第三十五條 國家機關為履行法定職責處理個人信息，應當依照本法規定向個人告知并取得其同意；法律、行政法規規定應當保密，或者告知、取得同意將妨礙國家機關履行法定職責的除外。
第三十六條 國家機關不得公開或者向他人提供其處理的個人信息,法律、行政法規另有規定或者取得個人同意的除外。
第三十七條 國家機關處理的個人信息應當在中華人民共和國境內存儲；確需向境外提供的，應當進行風險評估。風險評估可以要求有關部門提供支持與協助。	第三十六條 國家機關處理的個人信息應當在中華人民共和國境內存儲；確需向境外提供的，應當進行風險評估。風險評估可以要求有關部門提供支持與協助。
	第三十七條 法律、法規授權的具有管理公共事務職能的組織為履行法定職責處理個人信息，適用本法關于國家機關處理個人信息的規定。
第三章 個人信息跨境提供的規則	第三章 個人信息跨境提供的規則
第三十八條 個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當至少具備下列一項條件: (一)依照本法第四十條的規定通過國家網信部門組織的安全評估; (二)按照國家網信部門的規定經專業機構進行個人信息保護認證; (三)與境外接收方訂立合同，約定雙方的權利和義務，并監督其個人信息處理活動達到本法規定的個人信息保護標準; (四)法律、行政法規或者國家網信部門規定的其他條件。	第三十八條 個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當至少具備下列一項條件: (一)依照本法第四十條的規定通過國家網信部門組織的安全評估; (二)按照國家網信部門的規定經專業機構進行個人信息保護認證; (三)按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務，并監督其個人信息處理活動達到本法規定的個人信息保護標準; (四)法律、行政法規或者國家網信部門規定的其他條件。
第三十九條 個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的身份、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式等事項，并取得個人的單獨同意。	第三十九條 個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的身份、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式等事項，并取得個人的單獨同意。
第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。	第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。
第四十一條 因國際司法協助或者行政執法協助,需要向中華人民共和國境外提供個人信息的，應當依法申請有關主管部門批準。中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息有規定的，從其規定。	第四十一條 中華人民共和國境外的司法或者執法機構要求提供存儲于中華人民共和國境內的個人信息的，非經中華人民共和國主管機關批準,不得提供；中華人民共和國締結或者參加的國際條約、協定有規定的，可以按照其規定執行。
第四十二條 境外的組織、個人從事損害中華人民共和國公民的個人信息權益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。	第四十二條 境外的組織、個人從事損害中華人民共和國公民的個人信息權益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。
第四十三條 任何國家和地區在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者該地區采取相應措施。	第四十三條 任何國家和地區在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者該地區對等采取措施。
第四章 個人在個人信息處理活動中的權利	第四章 個人在個人信息處理活動中的權利
第四十四條 個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；法律、行政 法規另有規定的除外。	第四十四條 個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；法律、行政法規另有規定的除外。
第四十五條 個人有權向個人信息處理者查閱、復制其個人信息；有本法第十九條第一款規定情形的除外。 個人請求查閱、復制其個人信息的，個人信息處理者應當及時提供。	第四十五條 個人有權向個人信息處理者查閱、復制其個人信息；有本法第十九條第一款規定情形的除外。 個人請求查閱、復制其個人信息的，個人信息處理者應當及時提供。
第四十六條 個人發現其個人信息不準確或者不完整的，有權請求個人信息處理者更正、補充。 個人請求更正、補充其個人信息的，個人信息處理者應當對其個人信息予以核實，并及時更正、補充。	第四十六條 個人發現其個人信息不準確或者不完整的，有權請求個人信息處理者更正、補充。 個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,并及時更正、補充。
第四十七條 有下列情形之一的，個人信息處理者應當主動或者根據個人的請求，刪除個人信息： (一)約定的保存期限已屆滿或者處理目的已實現;  (二)個人信息處理者停止提供產品或者服務;  (三)個人撤回同意;  (四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息; (五)法律、行政法規規定的其他情形。  法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止處理個人信息。	第四十七條 有下列情形之一的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的,個人有權請求刪除： (一)處理目的已實現或者為實現處理目的不再必要; (二)個人信息處理者停止提供產品或者服務，或者保存期限已屆滿; (三)個人撤回同意; (四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息; (五)法律、行政法規規定的其他情形。 法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。
第四十八條 個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。	第四十八條 個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。
	第四十九條 自然人死亡的,本章規定的個人在個人信息處理活動中的權利,由其近親屬行使。
第四十九條 個人信息處理者應當建立個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的，應當說明理由。	第五十條 個人信息處理者應當建立個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的，應當說明理由。
第五章 個人信息處理者的義務	第五章 個人信息處理者的義務
第五十條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風險等，采取必要措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露或者被竊取、篡改、刪除: (一)制定內部管理制度和操作規程; (二)對個人信息實行分級分類管理; (三)采取相應的加密、去標識化等安全技術措施;  (四)合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓; (五)制定并組織實施個人信息安全事件應急預案;  (六)法律、行政法規規定的其他措施。	第五十一條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風險等,采取必要措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露或者被竊取、篡改、刪除: (一)制定內部管理制度和操作規程; (二)對個人信息實行分類管理; (三)采取相應的加密、去標識化等安全技術措施; (四)合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓; (五)制定并組織實施個人信息安全事件應急預案; (六)法律、行政法規規定的其他措施。
第五十一條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督。 個人信息處理者應當公開個人信息保護負責人的姓名、聯系方式等，并報送履行個人信息保護職責的部門。	第五十二條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督。 個人信息處理者應當公開個人信息保護負責人的聯系方式，并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
第五十二條 本法第三條第二款規定的中華人民共和國境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。	第五十三條 本法第三條第二款規定的中華人民共和國境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。
第五十三條 個人信息處理者應當定期對其個人信息處理活動、采取的保護措施等是否符合法律、行政法規的規定進行審計。履行個人信息保護職責的部門有權要求個人信息處理者委托專業機構進行審計。	第五十四條 個人信息處理者應當定期對其個人信息處理活動遵守法律、行政法規的情況進行合規審計。
第五十四條 個人信息處理者應當對下列個人信息處理活動在事前進行風險評估，并對處理情況進行記錄: (一)處理敏感個人信息;  (二)利用個人信息進行自動化決策;  (三)委托處理個人信息、向第三方提供個人信息、公開個人信息; (四)向境外提供個人信息;  (五)其他對個人有重大影響的個人信息處理活動。 風險評估的內容應當包括:  (一)個人信息的處理目的、處理方式等是否合法、正當、必要; (二)對個人的影響及風險程度; (三)所采取的安全保護措施是否合法、有效并與風險程度相適應。 風險評估報告和處理情況記錄應當至少保存三年。	第五十五條 個人信息處理者應當對下列個人信息處理活動在事前進行風險評估，并對處理情況進行記錄: (一)處理敏感個人信息; (二)利用個人信息進行自動化決策; (三)委托處理個人信息、向他人提供個人信息、公開個人信息; (四)向境外提供個人信息; (五)其他對個人有重大影響的個人信息處理活動。 風險評估的內容應當包括: (一)個人信息的處理目的、處理方式等是否合法、正當、必要; (二)對個人的影響及風險程度; (三)所采取的安全保護措施是否合法、有效并與風險程度相適應。 風險評估報告和處理情況記錄應當至少保存三年。
第五十五條 個人信息處理者發現個人信息泄露的，應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。 通知應當包括下列事項: (一)個人信息泄露的原因;  (二)泄露的個人信息種類和可能造成的危害； (三)已采取的補救措施； (四)個人可以采取的減輕危害的措施； (五)個人信息處理者的聯系方式。 個人信息處理者采取措施能夠有效避免信息泄露造成損害的，個人信息處理者可以不通知個人；但是，履行個人信息保護職責的部門認為個人信息泄露可能對個人造成損害的，有權要求個人信息處理者通知個人。	第五十六條 個人信息處理者發現個人信息泄露的，應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人。 通知應當包括下列事項: (一)個人信息泄露的原因; (二)泄露的個人信息種類和可能造成的危害； (三)已采取的補救措施； (四)個人可以采取的減輕危害的措施； (五)個人信息處理者的聯系方式。 個人信息處理者采取措施能夠有效避免信息泄露造成損害的，個人信息處理者可以不通知個人；但是，履行個人信息保護職責的部門認為個人信息泄露可能對個人造成損害的，有權要求個人信息處理者通知個人。
	第五十七條 提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當履行下列義務： (一)成立主要由外部成員組成的獨立機構，對個人信息處理活動進行監督; (二)對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者，停止提供服務; (三)定期發布個人信息保護社會責任報告，接受社會監督。
	第五十八條 接受委托處理個人信息的受托方，應當履行本章規定的相關義務，采取必要措施保障所處理的個人信息的安全。
第六章 履行個人信息保護職責的部門	第六章 履行個人信息保護職責的部門
第五十六條 國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作。 縣級以上地方人民政府有關部門的個人信息保護和監督管理職責，按照國家有關規定確定。 前兩款規定的部門統稱為履行個人信息保護職責的部門。	第五十九條 國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作。 縣級以上地方人民政府有關部門的個人信息保護和監督管理職責，按照國家有關規定確定。 前兩款規定的部門統稱為履行個人信息保護職責的部門。
第五十七條 履行個人信息保護職責的部門履行下列個人信息保護職責: (一)開展個人信息保護宣傳教育，指導、監督個人信息處理者開展個人信息保護工作; (二)接受、處理與個人信息保護有關的投訴、舉報; (三)調查、處理違法個人信息處理活動;  (四)法律、行政法規規定的其他職責。	第六十條 履行個人信息保護職責的部門履行下列個人信息保護職責: (一)開展個人信息保護宣傳教育，指導、監督個人信息處理者開展個人信息保護工作; (二)接受、處理與個人信息保護有關的投訴、舉報; (三)調查、處理違法個人信息處理活動; (四)法律、行政法規規定的其他職責。
第五十八條 國家網信部門和國務院有關部門按照職責權限組織制定個人信息保護相關規則、標準，推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服務。	第六十一條 國家網信部門統籌協調有關部門依據本法推進下列個人信息保護工作: (一)制定個人信息保護具體規則、標準; (二)針對敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規則、標準; (三)支持研究開發安全、方便的電子身份認證技術; (四)推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服務。
第五十九條 履行個人信息保護職責的部門履行個人信息保護職責，可以采取下列措施: (一)詢問有關當事人,調查與個人信息處理活動有關的情況; (二)查閱、復制當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料;  (三)實施現場檢查,對涉嫌違法個人信息處理活動進行調查； (四)檢查與個人信息處理活動有關的設備、物品;對有證據證明是違法個人信息處理活動的設備、物品,可以查封或者扣押。  履行個人信息保護職責的部門依法履行職責，當事人應當予以協助、配合,不得拒絕、阻撓。	第六十二條 履行個人信息保護職責的部門履行個人信息保護職責，可以采取下列措施: (一)詢問有關當事人,調查與個人信息處理活動有關的情況; (二)查閱、復制當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料; (三)實施現場檢查,對涉嫌違法個人信息處理活動進行調查; (四)檢查與個人信息處理活動有關的設備、物品；對有證據證明是違法個人信息處理活動的設備、物品，向本部門主要負責人書面報告并經批準,可以查封或者扣押。 履行個人信息保護職責的部門依法履行職責，當事人應當予以協助、配合,不得拒絕、阻撓。
第六十條 履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談。個人信息處理者應當按照要求采取措施，進行整改，消除隱患。	第六十三條 履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施，進行整改，消除隱患。
第六十一條 任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理，并將處理結果告知投訴、舉報人。 履行個人信息保護職責的部門應當公布接受投訴、舉報的聯系方式。	第六十四條 任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理，并將處理結果告知投訴、舉報人。 履行個人信息保護職責的部門應當公布接受投訴、舉報的聯系方式。
第七章 法律責任	第七章 法律責任
第六十二條 違反本法規定處理個人信息，或者處理個人信息未按照規定采取必要的安全保護措施的，由履行個人信息保護職責的部門責令改正，沒收違法所得，給予警告；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。 有前款規定的違法行為，情節嚴重的，由履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上 一年度營業額百分之五以下罰款，并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。	第六十五條 違反本法規定處理個人信息，或者處理個人信息未按照規定采取必要的安全保護措施的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。 有前款規定的違法行為，情節嚴重的，由履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。
第六十三條 有本法規定的違法行為的，依照有關法律、行政法規的規定記入信用檔案，并予以公示。	第六十六條 有本法規定的違法行為的，依照有關法律、行政法規的規定記入信用檔案，并予以公示。
第六十四條 國家機關不履行本法規定的個人信息保護義務的，由其上級機關或者履行個人信息保護職責的部門責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。	第六十七條 國家機關不履行本法規定的個人信息保護義務的，由其上級機關或者履行個人信息保護職責的部門責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。
第六十五條 因個人信息處理活動侵害個人信息權益的，按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔賠償責任；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，由人民法院根據實際情況確定賠償數額。個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責任。	第六十八條 個人信息權益因個人信息處理活動受到侵害，個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。 前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額。
第六十六條 個人信息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織可以依法向人民法院提起訴訟。	第六十九條 個人信息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織可以依法向人民法院提起訴訟。
第六十七條 違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。	第七十條 違反本法規定,構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。
第八章 附則	第八章 附則
第六十八條 自然人因個人或者家庭事務而處理個人信息的，不適用本法。 法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的，適用其規定。	第七十一條 自然人因個人或者家庭事務處理個人信息的，不適用本法。 法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的，適用其規定。
第六十九條 本法下列用語的含義: (一)個人信息處理者，是指自主決定處理目的、處理方式等個人信息處理事項的組織、個人。 (二)自動化決策，是指利用個人信息對個人的行為習慣、 興趣愛好或者經濟、健康、信用狀況等，通過計算機程序自動分析、評估并進行決策的活動。 (三)去標識化，是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。 (四)匿名化，是指個人信息經過處理無法識別特定自然人 且不能復原的過程。	第七十二條 本法下列用語的含義: (一)個人信息處理者，是指自主決定處理目的、處理方式等個人信息處理事項的組織、個人。 (二)自動化決策，是指利用個人信息對個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,通過計算機程序自動分析、評估并進行決策的活動。 (三)去標識化，是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。 (四)匿名化，是指個人信息經過處理無法識別特定自然人且不能復原的過程。
第七十條 本法自 年 月 日起施行。	第七十三條 本法自 年 月 日起施行。

文章來源：網絡空間安全