《个人信息保(专家稿)》:应构建个人信息标

2019-11-06 07:03

  本稿为中国人民大学院张新宝教授担任首席专家的国家社科基金重大项目“互联网安全主要立法问题”(14ZDC021)的之一,目的在于为立法提供参考,作者为张新宝、葛鑫。稿不足之处,欢迎研提意见和,发送至进一步修改完善后,稿及立由书将在近期由中国人民大学出版社出版,敬请关注。

  《个人信息保(专家稿)》以“两头强化、三方平衡”理论为基础,通过强化个人信息和强化个人一般信息利用,实现信息主体、信息业者、三方主体之间的利益平衡。在立法模式上,《专家稿》采用统一立法模式,分为九章,共计一百余条。

  第一章至第三章大致为总则部分,包括个人信息的基本、基本原则和基本制度,明确了、企业、行业、社会等多方主体共同构建和个人信息秩序的框架,在基本原则方面基本上采纳了国际上通行的知情同意、目的限定等个人信息原则,在基本制度方面提出了构建个人信息标准体系、认证与标志体系、风险评估、去识别性处理等基本制度。

  第四章、第五章分别了信息业者和政务部门的个人信息处理规则。在这两个章节中,除了对总则部分予以细化之外,在信息业者部分专业规范信息业者的商业营销行为,借鉴域外如新加坡等国家立法经验,确立商业营销号码登记制度;在政务部门个人信息处理规则部分,也专节了信息公开、共享、中的个人信息制度。

  第六章到第八章了监督管理、争议解决、法律责任等事项。在法律监督部分,明确了监管、行业自律、新闻监督、社会监督、参与等多元监督,并且在监管体制方面,试图构建以网信部门为主导的统筹协调机制;在争议解决部分,明确信息主体可以通过协商、投诉、调解、诉讼与仲裁等渠道其自身权益;第八章为法律责任部分,除了了各项具体的行政责任之外,也对民事责任、刑事责任进行了引致性。第九章为附则部分,主要是对专家稿中的术语进行了统一定义。

  为规范信息业者和政务部门的个人信息处理活动,信息主体的权益,促进大数据的利用,根据《常务委员会关于加强网络信息的决定》、《中华人民国网络安全法》等法律的,制定本法。

  本法所称个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

  中华人民国缔结或者参加的国际条约中的个人信息事项,中华人民国在所承担条约义务的范围内行使管辖权的,适用本法。

  国家对个人信息实行预防为主、风险管理、全程控制、社会共治的机制,建立科学、严格的监督管理制度。

  国家网信部门负责统筹、协调、指导个人信息工作和相关监督管理工作。国务院各主管部门依照本法和有关法律、行规的,在各自职责范围内负责个人信息和监督管理工作。

  国家网信部门设立个人信息专家咨询委员会,就我国个人信息相关重大问题开展咨询,促进个人信息与大数据利用工作的科学性。

  信息业者开展经营和服务活动,必须遵守法律、行规,尊重信息主体人格和社会公德,遵守商业,诚实信用,履行个人信息安全义务,接受和社会的监督,承担社会责任。

  相关行业组织依据法律、行规,按照章程的,加业自律,建立健全行业规范和惩机制,制定个人信息行为规范,指导会员加强个人信息,支持、协助会员提高个人信息水平,促进行业健康发展。

  国家支持依法成立的个人信息组织,对个人信息和相关数据利用活动进行社会监督,信息主体权益,履行公益性职责。

  国家推进个人信息社会化服务体系建设,鼓励有关企业、机构依法开展个人信息认证、风险评估等服务,履行社会服务职责。

  国家积极开展个人信息治理、个人信息技术研发和标准制定、打击个人信息违法犯罪等方面的国际交流与合作,建立多边、、透明的个人信息治理体系。

  信息业者、政务部门进行个人信息处理活动,应当尊重并信息主体人格权益,遵守本法及其他法律、行规有关个人信息处理的,不得非法处理他人个人信息。

  自然人是其个人信息的主体。信息主体可以依法参与其个人信息处理活动,对个人信息的处理活动享有知情权、同意权、查询权、更正权、权、删除权。

  信息业者、政务部门开展个人信息处理活动,应当通过信息主体便利了解和获取的方式,公开其个人信息处理规则、重大事项。

  信息业者、政务部门应当清晰、易懂的用语,全面、准确、及时地告知信息主体其个人信息处理的目的、方式、范围等相关事项,信息主体有权依法要求信息业者、政务部门提供其个人信息处理相关事项信息,但法律另有的除外。

  信息业者、政务部门处理个人信息,应当事先征得信息主体的同意,但法律、行规另有的除外。

  信息主体的同意应当以明确的意思表示或者行为作出,除法律、行规另有或与信息主体另有约定外,信息主体未予的沉默不被视为同意。

  信息业者、政务部门变更个人信息处理目的的,变更后的个人信息处理目的应当与变更前的个人信息处理目的具有合理的关联。

  信息业者、政务部门收集个人信息,应当在特定目的范围内,收集为实现该目的所需的必要信息。未经信息主体同意,不得超出个人信息收集时确立的特定目的范围或者与之具有合理关联的范围内处理个人信息,但法律、行规另有的除外。

  信息业者、政务部门收集、处理个人信息,应采取与个人信息安全风险、相适应的安全保障措施,确保个人信息安全,避免其所处理的个人信息发生泄露、毁损、等安全事件。

  个人信息受法律特别。信息业者、政务部门依法处理个人信息时,应当为信息主体提供特别。

  未成年人个人信息受法律特别。信息业者、政务部门收集、处理未成年人个人信息,应未成年人利益优先原则和监护人同意原则,尊重和未成年人的人格权益。

  国家建立和完善统一的个人信息标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关个人信息处理及其监督管理的国家标准、行业标准,推进个人信息标准的国际交流与合作。

  国家支持企业、研究机构、高等学校、相关行业组织、个人信息组织等参与个人信息国家标准、行业标准的制定。

  国家建立和完善统一的个人信息认证、标志体系,制定个人信息标准认证标志和认施规则,发布认证标志使用管理办法,推进个人信息认证、标志的国际交流与合作。

  经具备资格的机构认证合格后,信息业者经方可使用个人信息认证标志。国家网信部门会同国务院有关部门制定、公布个人信息认证信息业者目录,并推动个人信息认证结果互认,避免重复认证。

  信息业者、政务部门应当建立健全个人信息工作机制,建立个人信息工作专职部门或者指定牵头部门,明确部门及人员职责,确保其能够开展工作。

  信息业者、政务部门个人信息工作部门或负责人员,应当勤勉地履行职责,监督信息业者、政务部门遵守个人信息相关法律、行规的状况,及时处理信息主体有关个人信息的咨询、投诉,配合网信部门和其他主管部门的检查监督。

  信息业者、政务部门处理个人信息,应当确保个人信息安全,依照法律、行规和国家标准的强制性要求,建立健全内部个人信息安全管理制度,包括但不限于个人信息处理文档化管理制度、个人信息分级授权管理机制、个人信息安全风险等级评估制度、个人信息安全事件应急机制等制度。

  信息业者、政务部门将要进行的个人信息处理项目中包含大规模居民统一身份识别代码信息等个人信息、未成年人个人信息、个人信息自动化决策时,在进行个人信息处理前,应当进行个人信息风险评估,对个人信息处理项目实施后可能的个人信息被泄露、毁损、、等风险进行调查、预测、评估,并提出相应风险防范措施。

  前款的个人信息处理项目实施后,信息业者、政务部门应当依据个人信息风险评估结果进行评估,及时识别和应对个人信息风险。

  信息业者、政务部门应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照及时告知用户并向有关主管部门报告。

  信息业者、政务部门进行个人信息处理,在不影响个人信息处理目的必要限度内,应当优先对个人信息进行去识别化、匿名化处理,降低个人信息处理风险。

  (四)所涉及的个人信息是信息主体自行公开或其他已经公开的个人信息,且个人信息处理未超出前述公开目的的合理范围;

  信息业者收集个人信息,应当通过用户协议、隐私政策、即时通知等方式,以清晰、易懂的用语告知信息主体下列事项:

  (三)个人信息处理的特殊事项,包括可能进行的个人信息自动化决策、个人信息对外提供、个人信息出境、去识别化利用等;

  信息业者从信息主体处直接收集其个人信息时,应当在收集个人信息前告知信息主体前款各项事项;信息业者间接收集信息主体个人信息时,应当在收集个人信息后不超过一个月的合理期限内告知信息主体前款各项事项;间接收集的个人信息用于联络信息主体时,应当在初次联络信息主体时告知其前款各项事项。

  信息业者据本法第三十条第一项收集信息主体个人信息时,应当以清晰、易懂的用语,通过信息主体易于选择和操作的方式,征求信息主体对处理其个人信息的同意。

  信息业者在征求信息主体同意时,事实上排除信息主体同意的的,该同意无效。具有下列情形之一时,该同意无效:

  (一)未根据个人信息处理的具体情形,为信息主体提供同意事项清单,而以概括式条款征求信息主体的同意;

  (二)以信息主体对处理其个人信息的同意作为订立或履行合同的条件,超出为订立或履行与信息主体之间的合同所需的必要范围处理信息主体个人信息;

  (三)与其他事项一并以书面形式或电子形式向信息主体征求对处理其个人信息的同意,未采取合理的方式显著标识有关个人信息处理事项条款,或未为信息主体提供单独的同意选项。

  信息主体虽未作出有效同意,但向信息业者提供其个人信息,且依具体情形,信息主体提供其个人信息的行为存在合,视为信息主体同意对其个人信息的收集。

  信息业者应当在个人信息收集时所确定的特定目的范围内或者与之具有合理关联的范围内利用个人信息,超出该范围利用个人信息,应当告知并征求信息主体的同意,但法律、行规另有的除外。

  信息业者变更个人信息的处理目的,变更后的处理目的较之于变更前的处理目的,能够被合理地认为未显著增加对信息主体权益的影响,并为信息主体提供易于操作的机制的,信息主体未行使权前,视为信息主体同意变更后的个人信息处理目的,但所处理的个人信息为个人信息除外。

  信息业者对外提供个人信息的,应当对接收方信息业者的个人信息水平、个人信息处理目的进行审查,不得将个人信息提供至不具有本法要求的个人水平或不具有正当处理目的的信息业者。

  接收方信息业者应当配合提供方信息业者的审查,向提供方信息业者提供有关其个人信息水平、个人信息处理目的的相关材料。

  信息业者向他人提供信息主体个人信息的,应当及时告知信息主体个人信息对外提供具体事项,包括个人信息的类型、方式、接收方基本信息及其个人信息处理目的等个人信息对外提供事项,征求信息主体的同意。

  信息业者向接受其委托、为其提供个人信息处理服务的其他信息业者提供信息主体个人信息的,不属于前款的对外提供个人信息。

  (三)基于公共利益为学术研究或者统计的目的,以不足以识别特定信息主体的方式公开,但涉及个人信息除外;

  信息业者对外提供匿名化信息,应当审查接收方信息业者的个人信息安全措施、能力和水平,向接收方信息业者说明该信息为匿名化信息,并与接收方信息业者书面约定,要求其不得尝试复原匿名化信息的可识别性。

  信息业者利用网络公开匿名化信息的,应当在公开匿名化信息前进行个人信息影响性评估,重点评估匿名化信息公开的必要性、涉及的匿名化信息的情况、复原匿名化信息识别性的可能性,以及匿名化信息公开可能对、社会公共利益、信息主体权益带来的风险。

  个人信息自动化分析是指信息业者对信息主体的个人信息进行自动化处理,获得对信息主体工作表现、经济状况、健康状况、个人偏好等的分析。除经信息主体同意或法律、行规另有的情形,信息业者不得收集信息主体的个人信息用于进行个人信息自动化分析。

  信息业者获得信息主体的个人信息自动化分析,用于决定是否向信息主体授信、承保、提供就业机会等影响信息主体权益或对信息主体有重大影响的事项时,应当向信息主体说明个人信息自动化处理的目的、范围、内容,并经其同意。未经其同意,信息主体有权要求人工介入或该决定的约束,但法律、行规另有的除外。

  信息业者为营业场所安全、提升服务质量等正当目的,在其营业场所、办公场所运用录音、等现代技术手段实施、前,应当将采取的技术手段、设备类型、点位分布等基础信息向所在地县级以上人民机关备案。

  在旅馆客房、集体宿舍以及公共浴室、室、卫生间等可能泄露他人隐私的场所、部位,安装视息采集设备。

  对于获取的语音、图像信息,信息业者应当采取授权管理、控制访问等措施,控制对获取的语音、图像信息的查阅、复制和传输和非法泄露,但行使侦查、检察、审判职权的机关因司法工作需要,机关、机关因行政执法工作需要,或者县级以上人民行政主管部门因调查、处置突发事件需要,查阅、复制或者调取获取的语音、图像信息时,信息业者依法予以配合的除外。

  信息主体有权查询信息业者处理的其个人信息及其相关事项,信息业者应当为信息主体查询其个人信息提供便利。

  信息主体发现信息业者处理的其个人信息存在错误、遗漏时,可以书面通知信息业者予以更正。信息业者经初步确认后,应当对相关个人信息作出存在的标注。

  经核查,确认相关信息确有错误、遗漏的,信息业者应当予以更正;确认不存在错误、遗漏的,应当取消标注;经核查仍不能确认的,对核查情况和意义内容应当予以记载。

  经信息主体同意进行个人信息处理,信息主体撤回其同意或者认为信息业者不再具有本法第三十条的个人信息处理的其他性依据的,可以通知信息业者删除已处理的个人信息,但法律、行规不得删除或需要保留的除外。

  下列情形中,信息主体认为网络空间中的个人信息,是不准确、不再相关或侵害其权益的,且与公共利益无关的,信息主体有权要求信息业者采取删除、屏蔽、断开链接等必要措施:

  (一)提供网络平台服务的信息业者接到信息主体通知后,确认平台内相关个人信息与公共利益无关的,应当及时采取删除、屏蔽、断开信息内容等必要措施,并协助信息主体通知其已知或应知的其他链接、复制该个人信息的信息业者采取必要措施;

  (二)提供网络搜索引擎服务的信息业者接到信息主体通知后,确认搜索引擎结果中相关个人信息链接内容与公共利益无关的,应当及时采取删除、屏蔽、断开链接等必要措施;

  (三)未成年人或其监护人要求信息业者删除、屏蔽网络空间中该未成年人个人信息的,信息业者应当及时采取删除、屏蔽、断开链接等必要措施。

  信息主体行使前款的删除权,应当以书面形式通知信息业者,告知信息业者姓名和联系方式、要求删除个人信息相关的网络地址或足以定位该个人信息的其他信息、要求删除相关信息的理由等事项。信息业者收到信息主体的通知后,应当及时删除相关信息。信息业者认为信息主体删除请求不符合前款的,可以删除,但应当及时通知信息主体,并向信息主体说由。

  信息业者委托其他信息业者进行个人信息处理,应当对受托方个人信息安全措施、能力和水平进行评估,不得委托不具备本法的个人信息安全水平的信息业者。信息业者应当通过合同等方式,与受托方信息业者明确授权范围,包括受托处理个人信息的类型、范围、处理目的等,并对受托方信息业者的个人信息安全管理进行监督。

  信息业者接收其他信息业者委托进行个人信息处理,应当遵守本法和其他法律、行规的有关个人信息的,确保个人信息安全,并按照与委托方信息业者的约定妥善进行个人信息处理,接受委托方信息业者的监督,并向委托方信息业者报告个人信息处理情况,不得超出委托方信息业者的授权范围处理个人信息。

  信息业者使用第三方存储或计算服务的,应当遵守本法和其他相关法律、行规、国家标准,通过与第三方签订合同等方式,明确第三方个人信息安全管理标准,确保个人信息的安全,并在使用第三方存储或计算服务过程中持续监督。

  第三方应当按照法律、行规、国家标准、与信息业者的约定,确保信息业者提供的个人信息以及信息业者业务系统运行过程中收集、产生、存储的个人个人信息的安全,确保信息业者对前述个人信息的访问、利用、支配,接受信息业者的持续监督,未经信息业者授权,不得访问、修改、披露、利用、传输前述个人信息。服务终止时,应按照法律、行规、国家标准、信息业者的要求,进行移交或删除。

  涉及经营活动、所任职务、公司意愿和公司财力四个方面的因素,而有的司法裁判对公司商业机会的认定,仅考量一个因素。

  信息主体提供其办理固定电话、移动电话入网手续时的真实身份信息,可以通过商业营销号码登记系统为其固定电话、移动电话号码申请登记、变更商业营销登记事项范围或注销登记。

  国务院电信主管部门通过商业营销号码登记系统为信息主体办理商业营销号码登记、变更或注销登记,除收取必要成本费用外,不得收取其他费用。

  信息业者基于商业营销目的,拨打固定电话、移动电话号码或向其发送短信息,应当事先通过商业营销号码登记系统查询该号码的商业营销登记情况和事项范围,每次查询的有效期为30个自然日。

  国务院电信主管部门通过商业营销号码登记系统为信息业者提供查询服务,可以收取必要的合理费用。

  信息业者将要进行的语音呼叫、信息发送属于固定电话、移动电话号码已经进行商业营销登记事项范围时,不得基于商业营销目的,通过语音呼叫、信息发送方式联络该信息主体,但经信息主体同意或应信息主体请求进行的除外。

  信息业者通过语音呼叫、发送短信息等方式开展商业营销,应当向信息主体表明其真实、准确的身份,不得隐匿、伪造,并将发送端电话号码或者代码一并发送,不得缺少或者含有虚假、冒用的发送端电话号码或者代码。

  信息业者利用自动语音群呼、服务开展商业营销的,应当向电信服务提供者申请使用商业营销固定特服号码。电信服务提供者应当审查、登记信息业者的真实身份信息。

  信息业者在语音呼叫、短信息中应当为信息主体提供易于操作的机制,确保一键退订。信息主体接收的,不得再次向其发送内容相同或者相似的语音呼叫、短信息。

  未经信息主体同意或者请求,信息业者不得基于商业营销目的,向信息主体的个人电子邮箱发送电子邮件。

  信息业者基于商业营销目的向信息主体发送电子邮件,应当向信息主体提供真实、准确的电子邮件信封信息,不得隐匿或伪造电子邮件信封信息,并在电子邮件标题信息前显著标明。

  信息业者基于商业目的向信息主体发送电子邮件,应当以清晰、易懂的用语,向信息主体提供易于操作的机制,确保一键退订。信息主体接收的,不得再次向其发送内容相同或者相似的电子邮件。

  信息业者基于信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向其发送商业营销信息内容的,应当显著标明退订标志,确保一键退订。信息主体退订的,信息业者不得再次发送,并应向信息主体提供删除或匿名化商业营销活动所使用的个人信息的方式。

  因业务需要,信息业者在中华人民国境内运营中收集和产生的个人信息确需向境外提供的,应当进行个人信息出境安全评估,认为个人信息出境不会对个人信息主体权益造成重大风险时,方可出境。

  (三)境外数据接收方基本情况,包括自身安全措施、能力和水平,以及所在国家和地区的网络安全等。

  有以下情形之一的,信息业者在向境外提供个人信息时,可免为第五十四条的个人信息出境安全评估:

  国家网信部门主动或应信息业者申请评估特定国家或地区的个人信息水平的,应根据境外国家或地区的立法与执法状况、参与国际条约状况等,明确特定国家或地区是否满足我国个人息水平,向社会公布具备同等个人信息水平的国家或地区名单。

  信息业者向经国家网信部门认定具备同等个人信息水平的国家或地区的信息业者提供个人信息,可免为第五十四条的个人信息出境安全评估事项,但应当对个人信息出境的基本情况,如出境个人信息的类型、数量、目的、境外数据接收方基本信息等予以记录。

  信息业者因业务需要向境外子公司、分公司提供在中国境内运营中收集和产生的个人信息的,承诺其境外子公司、分公司适用与境内相同的个人信息规章制度,确保同等个人信息水平,并对境外子公司、分公司的个人信息处理行为承担相应法律责任的,可免为第五十四条的个人信息出境安全评估事项,但应当向国家网络部门、国务院电信主管部门和其他有关部门备案。

  外商投资设立的信息业者因业务需要向境外母公司、总公司等提供在中国境内运营中收集和产生的个人信息的,承诺其境外母公司、总公司对前述个人信息与境内公司适用相同的个人信息规章制度,确保同等个人信息水平,并对境外母公司、总公司对前述个人信息的处理行为承担相应法律责任的,可免为第五十四条的个人信息出境安全评估事项,但应当向国家网络部门、国务院电信主管部门和其他有关部门备案。

  (一)在经国家网信部门认定具备同等个人信息水平的国家或地区设置数据中心的,应当向国家网信部门备案。

  (二)在未经国家网信部门认定具备同等个人信息水平的国家或地区设置数据中心的,应当经国家网信部门批准。

  信息业者因业务需要向境外提供在中华人民国境内运营中收集和产生的个人信息的,应当与境外个人信息接收方约定非经其同意,不得再次向第三方传输所接收的个人信息。

  信息业者在境外设立的子公司、分公司、数据中心收到所在国家或地区执法机关、司法机关调取其在中华人民国境内运营中收集和产生的个人信息命令等情形的,应当及时通知国家网信部门或有关主管部门,经批准后,方可提供。

  信息业者因业务需要向境外提供在中华人民国境内运营中收集和产生的个人信息的,应当与境外个人信息接收方约定在其收到所在国家或地区执法机关、司法机关调取前述个人信息命令等情形时,应当及时通知信息业者。信息业者收到通知后,应当及时向国家网信部门或有关主管部门备案。

  (三)为信息主体或第三人的重大人身、财产利益所必要,但依其情形,难以获得信息主体的同意;

  (二)个人信息处理的基本事项,包括个人信息的性质、法律依据、处理目的、方式、范围和存储期限等;

  通过信息主体直接收集其个人信息时,应当在收集个人信息时告知信息主体前款事项;间接收集信息主体个人信息时,应当在收集个人信息后不超过一个月的合理期限内告知信息主体前款事项;间接收集的个人信息用于联络信息主体时,应当在初次联络信息主体时告知其前款事项。

  政务部门依本法第六十二条第二项收集信息主体个人信息时,应当以清晰、易懂的用语,通过信息主体易于选择和操作的方式,征求信息主体对处理其个人信息的同意。政务部门在征求信息主体同意时,在事实上排除信息主体行使同意权时,视为信息主体未同意。

  信息主体虽未作出有效同意,但向政务部门提供其个人信息,且依具体情形,信息主体提供其个人信息的行为存在合,视为信息主体同意对其个人信息的收集。

  信息主体有权查询政务部门处理的本人个人信息及其相关事项,政务部门应当为信息主体查询其个人信息提供便利,但法律法规另有的除外。

  信息主体认为政务部门所处理的个人信息存在错误、遗漏的,有权向相应的政务部门提出。政务部门经初步确认后,应当对相关个人信息作出存在的标注。

  经核查,确认相关信息确有错误、遗漏的,政务部门应当予以更正;确认不存在错误、遗漏的,应当取消标注;经核查仍不能确认的,对核查情况和内容应当予以记载。

  存在下列情形之一的,信息主体有权向相应政务部门提出停止使用、删除或停止向他人提供相关个人信息的请求:

  政务部门在收到请求后,经核查存在前款的情形之一的,应当在20个工作日内停止使用、删除或者停止他人提供。认为不存在前款的情形的,应当在20个工作日内通知信息主体,并说由。下列情形下,信息主体可以向政务部门提出停止使用、删除相关信息或停止向他人提供的请求:

  政务部门在履行职责过程中,需要查询或要求信息业者提供个人信息类数据时,应当具有法律法规依据,经严格的批准程序,书面通知信息业者,并按照第六十、第六十四条的向相关信息主体履行告知义务,技术侦查措施适用、情报信息搜集等法律法规另有的除外。

  政务部门依法查询或要求信息业者提供的个人信息时,应以履行职责的实际需要为限度查询或保存相关个人信息,不得用于与履行职责无关的用途。

  政务部门应当依照本法和其他有关法律、法规和国家有关对拟公开的信息进行审查。涉及个人信息的,遵循以下规则:

  (一)不公开对公共利益无重大影响的,不得公开,但能够对个人信息和其他信息进行分区分处理的,公开对个人信息进行区分处理后的其他信息;

  (二)不公开可能对公共利益造成重大影响的,应当予以公开,但应当对个人信息进行匿名化处理后公开;

  (三)不公开可能对公共利益造成重大影响的,但进行匿名化处理无法实现信息公开的目的,应当书面征求信息主体的意见。信息主体自收到征求意见书之日起15个工作日内未提出意见的,由政务部门依法决定是否公开。信息主体不同意公开且有理由的,政务部门不予公开。政务部门认为不公开可能对公共利益造成重大影响的,可以决定公开,并将决定公开的信息内容和理由书面告知信息主体。

  人口信息、电子证照信息等基础信息资源的基础信息项等可提供给所有政务部门共享使用的个人信息属于无条件共享类。凡列入无条件共享类的个人信息,应当有法律、行规或、国务院政策依据。

  可提供给相关政务部门共享使用或仅能够部分提供给所有政务部门共享使用的个人信息属于有条件共享类。

  制作或采集个人信息类政务信息资源的部门(以下简称“提供部门”)应当按照个人信息相关法律法规要求,建立个人信息类政务信息资源共享目录,列明个人信息类政务信息资源的共享类别。

  提供部门应当在同级网信部门的指导下建立个人信息类政务信息资源共享目录动态调整机制,对尚未列入无条件共享、有条件共享的个人信息类政务信息资源进行个人信息共享风险评估,确定对信息主体权益不会造成不利影响的,及时更新共享个人信息类政务信息资源目录。

  因履行职责需要使用共享个人信息的部门(以下简称“使用部门”)应提出明确的共享需求和信息使用用途。

  属于无条件共享的个人信息,使用部门可以通过政务数据共享交换平台以数据下载或者接口调用等方式直接获取。

  属于有条件共享的个人信息,使用部门应通过政务数据共享交换平台向提供部门提出申请,提供部门应在10个工作日内予以答复。予以共享的,应当明确个人信息使用的条件和具体要求。对不予共享的,提供部门应说由。

  属于不予共享类的个人信息,以及有条件共享类提供部门不予共享的个人信息,使用部门因履行职责确需使用的,由使用部门与提供部门协商解决,协商未果的由有权决定的同级网信部门协调解决,涉及中央有关部门的由促进大数据发展部际联席会议协调解决。

  使用部门对获取的共享个人信息,应遵守提供部门提出的个人信息使用条件和具体要求,并仅可按照明确的使用用途用于本部门履行职责需要,不得直接或以改变数据形式等方式提供给第三方,也不得用于或变相用于其他目的。

  使用部门对获取的共享个人信息发现有错误、遗漏的,应及时反馈提供部门。提供部门经初步确认后,应当对相关个人信息作出存在的标注。

  经核查,确认相关信息确有错误、遗漏的,提供部门应当予以更正;确认不存在错误、遗漏的,应当取消标注;经核查仍不能确认的,对核查情况和内容应当予以记载。

  制作或采集个人信息类政务信息资源的部门(以下简称“部门”)拟增加有条件类或者无条件类政务信息资源的,应当进行个人信息影响评估,并采取听证会、等形式,听取有关基层和群体代表、部门、人民团体、专家、代表和社会有关方面的意见。

  部门应当将数据的必要性、对个人信息可能产生的影响以及听证、论证情况向同级网信部门报告。经同级网信部门批准后,纳入有条件或无条件目录,并通过平台向社会公布。

  属于无条件类的个人信息类政务信息资源,自然人、法人和非法人组织可以通过政务数据统一平台以数据下载或者接口调用的方式直接获取。

  属于有条件类的个人信息类政务信息资源,部门应当通过政务数据统一平台公布数据使用技术能力和安全保障措施等要求,向符合条件的自然人、法人和非法人组织(以下简称“数据利用主体”),并签订数据利用协议,明确数据利用的条件和具体要求,并通过政务数据统一平台向社会公示数据使用主体相关信息。

  数据利用主体在利用个人信息类政务信息资源过程中,应当采取必要的安全保障措施,不得以识别自然人为目的利用个人信息类政务信息资源,并接受数据部门及有关部门的监督检查。

  属于有条件类的个人信息类政务信息资源,数据利用主体还应当遵守数据利用协议中的条件和具体要求。

  数据利用主体在利用个人信息类政务信息资源过程中,应当定期向数据部门反馈数据利用情况,在发生或可能发生政务信息资源恢复个人信息识别性时,应当及时向数据部门反馈。

  自然人、法人和非法人组织认为个人信息类政务信息资源信息主体权益的,可以通过政务数据统一平台告知部门,并提交相关材料。

  部门收到相关材料后,认为必要的,应当立即中止,同时进行核实。根据核实结果,分别采取撤回数据、恢复或者处理后再等措施,并及时反馈。

  (三)协调国务院各主管部门开展个人信息执法工作,定期或临时召开促进个人信息部际联席会议;

  地方网信息部门依本法和国家网信部门授权,负责组织、指导、协调和监督本地区个人信息工作,履行与国家网信部门相应的职责。

  有关行业组织应当对信息主体信息业者依法自愿成立行业协会,加业自律管理,负责本行业个人信息标识认证的批准事项,并受理信息主体投诉,组织对会员的监督检查,协助相关监管部门进行合规审查等,促进行业健康发展。

  新闻应当开展个人信息保律、法规以及个人信息标准和知识的公益宣传,并对个人信息违法行为进行监督。有关个人信息的宣传报道应当真实、。

  信息业者、政务部门进行个人信息处理相关重大事项,应当主动接受新闻监督,通过新闻发布会、记者招待会、新闻通稿、公报、互联网站等形式向新闻及时发布相关信息。

  个人信息组织、消费者权益组织等公益组织依法对违反本法,侵害信息主体权益的行为,依法进行社会监督。

  个人信息组织、消费者权益组织等公益组织可以向信息主体提供信息和咨询,并可就信息主体权益等问题向有关部门反映、,参与有关信息主体权益的法律、行规、规范性文件、标准制定的听证程序等。

  任何组织或者个人有权举报个人信息违法行为,依法,监督和督促信息业者、政务部门遵守本法及其他个人信息相关的法律、行规,对个人信息工作提出意见和

  信息主体在信息业者进行个人信息处理时,其权益受到损害的,有权通知信息业者停止侵害或向信息业者要求赔偿,协商解决。

  信息业者接到信息主体的通知后拒不处理、限期未予处理,或者信息主体认为信息业者的处理结果不合理的,信息主体可以选择本法第八十八条的其他争议解决方式。

  个人信息组织或者依法成立的其他调解组织可以依法受理信息主体对信息业者的投诉,通知被投诉信息业者,对被投诉事项进行调查,以信息主体和信息业者双方自愿、、合理、为基础,以事实和为依据进行调解。

  对内容复杂、争议较大的投诉,前述调解组织可以会同信息业者所在行业协会、有关主管部门共同处理;对涉及面广,危及广大信息主体权益的,或者损害信息主体权益情节严重的重要投诉,应向有关主管部门及时反映,要求和及时查处信息业者,并可以通过大众媒介予以揭露、。

  相关行业组织应当按照章程,监督本协会会员执行本行业行为规范,并受理信息主体对会员信息业者的投诉,促进行业健康发展。

  各级主管部门收到信息主体的投诉,属于本部门相关职责范围的,应当受理并及时调查、核实、处理和反馈;不属于本部门职责范围的,应当及时通知信息主体并移交有关部门进行调查、核实处理和反馈;涉及多个主管部门的,应当及时报告同级网信部门,由同级网信部门协调相关主管部门进行调查、核实、处理和反馈。

  因信息业者的个人信息处理行为受到损害的信息主体人数众多的,可以依法由信息主体推选代表人进行共同诉讼。

  各省、自治区、直辖市设立的个人信息组织、消费者权益协会等社会组织对侵害众多信息主体权益的行为,可以向提起诉讼。

  人民检察院在履行职责过程中发现侵害众多信息主体权益的行为,在没有适格主体或者适格主体不提起诉讼的情况下,可以向提起诉讼。

  信息主体认为政务部门个人信息处理活动违反本法及其他法律、行规的、侵害其权益的,可以向相应的主管部门投诉、举报,也可以依法申请行政复议或者提起行政诉讼。

  信息业者违反本法,落实个人信息安全义务不到位,存在较大个人信息安全风险的,由网信部门或有关主管部门责令改正,给予;拒不改正或发生个人信息安全事件的,处上一年度在中国境内营业额百分之一以上百分之五以下的罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

  信息业者违反本法,侵害信息主体个人信息依法得到的的,由网信部门或有关主管部门责令改正,可以根据情节单处或者并处、违法所得、处上一年度在中国境内营业百分之一以上百分之五以下的罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

  信息业者违反本法,未落实商业营销行为规范向信息主体发送商业性营销信息的,由电信主管部门按照国家有关法律、行规予以处罚。

  信息业者违反本法,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

  政务部门违反本法,未落实个人信息安全义务的,由上一级政务部门责令改正;情节严重的,对负有责任的领导人员和直接责任人员依法给予处分。

  政务部门违反本法,侵害信息主体个人信息依法得到的的,由上一级政务部门责令改正;情节严重的,对负有责任的领导人员和直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。

  境外信息业者违法本法,侵害中华人民国个人信息依法得到的,造成严重后果的,依法追究法律责任;国务院门和有关部门并可以决定对该境外信息业者采取冻结财产或者其他必要的制裁措施。

  (一)信息主体,指姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等个人身份代码和记述等被识别出的特定自然人。

  (二)个人信息,指因其性质、内容与信息主体的核心隐私相关,或一旦泄露、可能危害信息主体人身和财产安全或引发对信息主体的歧视等不利后果的个人信息。

  (三)信息业者,指除政务部门之外,开展个人信息收集、利用、加工、传输活动的一项或多项的法人、非法人组织;自然人以营利为目的从事个人信息收集、使用、加工等个人信息处理活动的一项或多项,在本法适用范围内视为信息业者。

  (七)个人信息加工:指针对个人信息进行的编辑、编码、加密、去识别性、存储、比对、挖掘等操作。

  (十一)个人信息出境:指为中华人民国境外的、法人或其他组织提供接入途径等,使其能够处理存储在中华人民国境内的服务器中的个人信息的操作;或为中华人民国境外的、法人或其他组织提供存储在中华人民国境内的服务器中的个人信息的拷贝等,使其获取前述个人信息的操作。

  (十二)去识别化处理:指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。

  (十三)匿名化处理:指通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且依据现有技术水平和的成本考量,处理后的信息不再能合理地识别信息主体。经过匿名化处理后的信息,不属于个人信息。

  (十四)个人信息处理:指针对个人信息进行的任何操作,包括收集、使用、加工、共享、转让、跨境传输、去识别化、匿名化等。

  机关、审判机关、检察机关、军事机关等其他涉及个人信息处理事项的,除法律、行规另有外,应遵守本法相关。

  中华人民国缔结或者参加的与个人信息有关的国际条约与本法有不同的,适用国际条约的;但是,中华人民国声明保留的条款除外。