个人信息保护法（图解版）-炼石网络25

1、,2021年11月1日起正式施行,2021年8月20日，个人信息保护法正式发布，将于 2021年11月1日起施行。个人信息保护关乎国计民生，明 确被纳入民法典人格权保护范围，但是个人信息泄 漏乱象频发，因此，结合国际通行实践，对个人信息保 护专门立法，规范个人信息处理活动，保障个人信息的 有序流通，对我国发展数字经济、数字社会、数字政府 具有重要意义。,2019年6月13日,2019年11月28日 APP违法违规收集使用个人信息行为认 定方法,2020年6月1日起实施,2020年10月1日实施 GB/T35273-2020,2020年2月1日起施行,2020年9月18日 互联网个人信息安全保护指南,2019年5月28日,2019年8月,APP,2019年10月1日起施行 儿童个人信息网络保护规定,2020年8月28日,2021年5月1日起施行 常见类型移动互联网应用程序（APP） 必要个人信息范围,2020年1月 信息安全技术个人信息告知同意指南 （征求意见稿）,2013年9月1日起施行,2017年8月,2012年12月28日,2013年2月1日实施 GB/Z 28828-2012信息

2、安全技术公共及 商用服务信息系统个人信息保护指南,2021年8月20日颁布,目的 宗旨 适用范围 关键定义 合法、正当 目的、必要 公开、透明 准确、完整 责任到人 刑事追责 环境构建 国际合作,第一节 一般规定,第二节 敏感个人信息的处理规则,第三节国家机关处理个人信息的特,适 用 范,围,33.34.,范 围 限,度,告 知 同,意,境 内 存,储,别规定 35.36.37.,公 共 事,务,38.前提 条件,39.告知 要求,40.关基 要求,41.主管 批准,42.限制 清单,43.对等 反制,44.知情、 决定,45.查阅、 复制,46.更正、 补充,47.主动 删除,48.解释 说明,49.代行 使权,50.处理 机制,60.职责部门,61.保护职责,62.工作说明,63.履职措施,64.约谈审计,65.投诉举报,67. 信用档案,66. 行政责任,68. 国家机关处罚,69. 民事责任,70. 依法诉讼,71. 刑事责任,72.特殊情况,73.专业术语,74.施行时间,13.,处理 前提,14.,取得 同意,15.,撤回 同意,16. 不得,拒绝 服务,18.,例外 情形

3、,19.,最短 时间,20.,共同 处理,21. 委托,22. 信息,处理转移,23. 第三,方共 享,24. 自动,化决 策,26. 公共,27. 重新,17.,告知 要求,25. 不得,公开采集同意,51. 基本义务,52. 责任到人,53. 境外机构 义务,54. 合规审计,55. 影响评估,56. 评估内容,57 补救通知,58. 大型互联 网义务,59. 受托人义 务,关 键 定,义,单 独 同,意,28.29.32.,行 政 许,可,未成 年人 保护,30.31.,必要 性告,知,1在中华人民共和国境内处 理自然人个人 信息的活动，适用本法。（无论处,理者是否在境内设立，或者处理的是否为境内自,然人信息，只要处理行为发生在境内，就受个保,法制约。）,2GDPR：只要符合“向 境内自然人提供产品或者服务为目的”、“为分,析、评估境内自然人的行为”及其他规定情形时，,也应适用个保法的规定。,GDPR /,1/,在欧盟境内设立的数,据控制者或处理者对个人数 据的处理行为（不论其实际,数据处理行为在何处）,2 即使有关个人数据处理活动,的控制者或处理者不在欧盟,设立，但若其：(a)

4、为欧盟境 内的数据主体提供商品或服,务；或 (b)对发生在欧盟境内,的数据主体的活动进行监控，,则该类控制者或处理者也同,样适用GDPR。 境外,境外,总则,处理,跨境,权利,义务,监管,罚则,中国,欧盟,.,.,以,电子,或者,其,他方式记录的,与,已,识别,或者,可,识别的自然人,有,关的各种信息,不包括匿名化,处,理后,的信,息,。,一旦泄露或者非法使用，容易导 致自然人的人格尊严受到侵害或,者人身、财产安全受到危害的个,人信息，包括生物识别、宗教信,仰、特定身份、医疗健康、金融 账户、行踪轨迹等信息，以及不 满十四周岁未成年人的个人信息。,宗教,生物识别,医疗,行踪,已,识别,可识别,总则,处理,跨境,权利,义务,监管,罚则,包括,个人,信息,的收集、存储、使用、加工、传输、提供、公开、删,除等,。,在个,人信,息处,理活,动,中自主决定处理目的、处理方式的组织、个人。,通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经 济、健康、信用状况等，并进行决策的活动。,个人,信息,经过,处理,无,法识,别特,定自,然人,且,不能,复原,的过,程。,个人,信息,经过,处,理，使

5、其在不借,助额,外信,息,的情,况下,无,法识,别特,定自,然人,的过,程。,总则,处理,跨境,权利,义务,监管,罚则,个人信息处理者的名称或者姓名和联系方式;,个人信息的处理目的、处理方式、种类、保存期限;,个人行使权利的方式和程序;,其他法定告知事项。,*针对第一种情形，最为典型的是根据中华人民共和国反恐怖主义法第 五十一条的规定，即公安机关在调查恐怖活动的案件中，可以获得事先告 知豁免。,1,2,3,4,法定保密,或豁免告知第一款,紧急情况 事后告知,两种例外情形：,*注：第2-7项规定情形的，不需取 得个人同意,3.履行法定职责或义务必需,4.突发紧急应对必需,5.公共利益的合理范围,7.其他情形,2.订立、履行合同或实施人力 资源管理所必需,6.自行公开或其他已经合法公 开的,充分知情、自愿明确,法定单独或书面同意,变更需重新同意,个人有权撤回其同意,1.取得个人同意,总则,处理,跨境,权利,义务,监管,罚则,根据必要性的要求，规定在满足处理目,的后，最短时间内尽快予以删除。需要企业制定相应内部 合规制度，就个人信息的存储及删除时间进行明确规定。,对个人信息保存期限另有规定的

6、，从其规定。 常见的法律、法规另有规定的情形包括：,NO,第十九条第三款：客户身份资料在业务关系结束后、客户 交易信息在交易结束后，应当至少保存五年。,第三十一条：商品和服务信息、交易信息保存时间自交易 完成之日起不少于三年 第147条：证券公司应当妥善保存客户开户资料、委托记 录、交易记录和与内部管理、业务经营有关的各项资 料上述资料的保存期限不得少于二十年,第102条：基金份额登记机构应当妥善保存登记数据 其保存期限自基金账户销户之日起不得少于二十年,总则,处理,跨境,权利,义务,监管,罚则,共同决定处理目的和处理方式，约定权利和义务 个人可向其中任一信息处理者行使本法权利,侵害个人信息权益造成损害的，应当依法承担连带 责任,共 同,处,理,个,人 信,息,转 移,告知接收方的名称或者姓名和,联系方式,因合并、分立、解散、被宣,告破产等转移个人信息,约定委托处理的目的、期限、,处理方式、个人信息的种类、,保护措施以及双方的权利和,义务等,监督受托人的个人信息处理,活动,委托处理,继续履行个人信息处理者的义务,变更处理目的、处理方式的，应,重新取得个人同意,按照约定处理个人信息,委托

7、合同不生效、无效、被撤,销或终止，受托方应当将个人,信息返还或予以删除,未经同意，受托人不得转委托,委 托,处 理,总则,处理,跨境,权利,义务,监管,罚则,告知接收方的名称或者姓名、,联系方式、处理目的、处理方,式和个人信息的种类,取得个人单独同意,在上述处理目的、处理方式和个,人信息的种类等范围内处理个人,信息,变更处理目的、处理方式应重新,取得个人同意,提供个人信息,其,他 个,人 信,息,处 理,者 共,享,保证决策的透明度和结果公平、公正，不得对个人在交易,价格等交易条件上实行不合理的差别待遇,通过自动化决策方式向个人进行信息推送、商业营销，提,供不针对个人特征的选项，或提供便捷的拒绝方式 对个人权益具有重大影响的决定，个人有要求说明权和拒 绝权,自,动 化,决,策,在公共场所安装图像采集、个人身份识别设备，应当为维,护公共安全所必需,遵守国家有关规定，并设置显著的提示标识,收集的个人图像、身份识别信息只能用于维护公共安全的 目的，不得用于其他目的；取得个人单独同意的除外,公 共,采 集,前提条件,在第六条处理个人信息要,求“ 明确且合理目的” 的,基础上，提出更高的要求,个

8、人信息处理需取得个,人单独同意，且同时满,足“明示同意”的要求,依法处理需取得书面,同意， 且必须符合,“书面同意”的形式,要件,遵从个人信息,处理的告知要,求,依法应当取得相关,行政许可或者作出,其他限制的，从其,向个人告知处理敏感,个人信息的必要性以,及对个人权益的影响,告知要求,总则,处理,跨境,权利,义务,监管,罚则,处理不满十四周岁未,成年人个人信息的，,应当取得未成年人的,父母或其他监护人的规定 同意；应当制定专门 的个人信息处理规则,依照法定权限、程序进行,个人信息应当在境内存储,履行告知义务 法定保密、不需要告知，或妨碍履行法定 职责的除外,应当进行安全评估,法定具有管理公共事务职能组织适用,总则,处理,跨境,权利,义务,监管,罚则,向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、 个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等 事项，并取得个人的单独同意。,境内收集产生的个人信息存储在境内 向境外提供的应通过国家网信部门组织的安全评估 规定可以不进行安全评估的从其规定,通过安全评估 经专业机构进行保护认证 依据标准合同，与境外接收方

9、订立合同 法律、行政法规或国家网信部门规定其他条件,总则,处理,跨境,权利,义务,监管,罚则,按照缔结或者参加的国际条约、协定的规定，或者 按照平等互惠原则执行 非经批准，不得提供储于境内的个人信息,列入限制或者禁止个人信息提供清单并公告 采取限制或者禁止向境外提供个人信息等措施,在个人信息保护方面对我国采取歧视性措施的国家 或地区，我国可根据实际情况对等采取措施,总则,处理,跨境,权利,义务,监管,罚则,拒绝处理权,处理目的已实现、无法实现或不再必要 限制处理权,产品或者服务停止提供，或保存期限已届满,个人撤回同意 违法或违反约定处理个人信息 其他情形 *注：法律、法定保存期限未届满,或删除个人信息从技 术上难以实现的，应当停止除存储和采取必要的安全保 护措施之外的处理,总则,处理,跨境,权利,义务,监管,罚则,安全措施说明：,1、加密：对数据进行密码变换以产生,密文的过程（GB/T 39786-2021）,2、去标识化： 去标识化建立在个体基,础之上，保留个体颗粒度，采用假名、,加密、哈希函数等替代对个人信息的标,识（GB/T 352732020）,定期教育培训,制度规程制定,信息

10、分类管理,安全技术措施采用,应急预案制定 操作权限确定,法定其他措施,义务执行依据：个人信息处理目的、处理方式、信息 种类及个人权益的影响、潜在风险等； 义务执行目的：符合法律、行政法规的规定，并防止 未授权访问及个人信息泄露、篡改、丢失。,内部人员管理,总则,处理,跨境,权利,义务,监管,罚则,定期合规审计,事后事项通知,处理个人信息达到国家网信部门规定数,量的个人信息处理者,境外个人信息处理者,敏感信息处理,自动化决策 委托、提供、公开,境外提供 其他有重大影响的,合法、正当、必要 个人权益影响及安,全风险,合法性、有效性、,匹配性,报告和记录至少保,存三年,1、豁免条件：采取措施能有效避免危,害的发生，可以不通知个人;,2、限制条件：相关部门认为可能造成,危害的，有权要求通知个人。,情形条件：,1、个人信息遭受泄露、篡改、丢失；,2、相关部门提出要求。,机构设立/代表指定,事前个人信息保护影响评估,安全负责人指定,信息种类,泄露、篡改、丢失原因,危害分析 补救措施,危害减轻,联系方式,违规停止服务,独立机构建立,责任报告发布 接受社会监督 义务主体特征： 1、提供重要互联网平台服

《个人信息保护法（图解版）-炼石网络25》由会员沧海****19分享，可在线阅读，更多相关《个人信息保护法（图解版）-炼石网络25》请在金锄头文库上搜索。