谢邀，本人已经从工商局离职多年，不过可以简单答一发。

1.按照规定，商家必须要将营业执照放置于经营场所显眼的位置，也就是亮照。

2.不过在现实中，很多商家并不遵守这个规定，工商局现在对这个项目的监管也不会投入什么精力。

3.你可以登陆各地工商局的网站去查询该企业的营业执照等信息，比看实体执照能得到更多信息。

2021年11月1日，《中华人民共和国个人信息保护法》（以下称：《个人信息保护法》）正式施行。《个人信息保护法》集中体现了以人民为中心的立法理念，并将在国家层面建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境，确保《个人信息保护法》的各项要求和规定在社会生活中得到全面的贯彻和实施。在学习和贯彻《个人信息保护法》时，建议重点把握以下十大核心要点。

“规范个人信息处理活动”是个人信息保护法的核心

目前，在各类个人信息保护法的解读文章中，大多在谈论个人信息保护的内容，很少涉及如何促进个人信息合理利用。实质上，《个人信息保护法》的立法目的不仅仅是“保护”个人信息，而是“保护”和“利用”同步推进。

《个人信息保护法》第一条规定：“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。”从《个人信息保护法》的立法目的看，个人信息保护法的实质功能是一部个人信息处理活动行为规范法，个人信息保护的真正立法目的有两个，一个是“保护个人信息权益”，另一个是“促进个人信息合理利用”，其中“规范个人信息处理活动”处于整个《个人信息保护法》的核心地位，只有夯实“规范个人信息处理活动”这个关键环节，才能确保实现保护个人信息权益和促进个人信息合理利用之目的。

个人信息的内涵与匿名化

《个人信息保护法》第四条第一款明确了“个人信息”的定义：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。“该定义与《网络安全法》《民法典》以及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中的“个人信息”定义在基本概念上保持了一致，强调了“已识别或者可识别的自然人信息”，但在内涵上却有很大的不同。《个人信息保护法》中的“个人信息”定义增加了“不包括匿名化处理后的信息”，明确了“个人信息”经匿名化处理后不属于个人信息，也就无须适用《个人信息保护法》的相关规定，体现了《个人信息保护法》的“保护”和“利用”并重。

《个人信息保护法》第七十三条（四）将“匿名化”定义为：“是指个人信息经过处理无法识别特定自然人且不能复原的过程。”该定义中的“不能复原”采取了以下两种方法，一是删除个人信息包含的个人描述部分，包括将描述部分替换为其他描述部分，或者使用具有不可恢复的方法等；二是删除所述个人信息中所包含的全部标识符，包括将标识符替换为其他描述部分，或者使用具有不可恢复的方法等。

个人信息保护法的域外效力

在数字化、智能化和网络化的时代，数据正在以前所未有的方式自由流动和跨境传输，因此个人信息保护立法仅有域内效力的规定根本无法充分保护本国公民的个人信息。2018年生效的欧盟GDPR率先确立了个人数据保护的域外效力，目前已有多个国家的个人信息保护法借鉴了GDPR域外效力的立法实践，我国的《个人信息保护法》也反映了国际个人信息保护的域外效力趋势。

我国《个人信息保护法》第三条第二款规定，在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列三种情形之一的，也适用《个人信息保护法》：一是“以向境内自然人提供产品或者服务为目的”，比如一家位于美国运营的电子商务网站（Amazon）向中国境内的自然人（包括本国人、外国人和无国籍人）提供产品或服务；二是“分析、评估境内自然人的行为”，比如一家位于境外的社交网站分析、评估中国境内自然人的行为，像全球最大的社交网站Facebook，每年发布专门的用户行为习惯研究分析报告；三是法律、行政法规规定的其他情形，如我国《数据安全法》第二条第二款明确规定：“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任”。

个人信息处理的核心原则

《个人信息保护法》总则部分确立了多项处理个人信息的基本原则，对这部法律的实施具有重要的指导意义，个人信息保护法的基本原则主要涉及的是个人信息处理的基本准则，特别是在云环境和平台经济的背景下，很多新型和疑难的个人信息保护案件很难精准地适用具体相应的法律条款，但是个人信息处理的基本原则具有协调、漏洞补充和缓和规则不公正的作用，对新型个人信息保护案件的适用将发挥重要作用，应当透彻地理解。

《个人信息保护法》主要确立以下五项重要原则：一是遵循合法、正当、必要和诚信原则；二是采取对个人权益影响最小的方式，限于实现处理目的的最小范围原则；三是处理个人信息应当遵循公开、透明原则；四是处理个人信息应当保证个人信息质量原则；五是采取必要措施确保个人信息安全原则等。以上个人信息处理原则，如“遵循合法、正当、必要”“应当遵循公开、透明原则”以及“保障个人信息安全”等原则在《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《民法典》《消费者权益保护法》等相关个人信息保护立法中均规定，已经成为我国个人信息处理应遵循的通用规则。

笔者以为，《个人信息保护法》总则部分第六条确立的两个“最小原则”，是个人信息处理应遵循的核心原则，尤其是处理目的的“最小范围”，这是禁止“过度收集个人信息”的关键要点，因为个人信息处理者只有在严格遵守处理目的的“最小范围”的前提下，即“非必要不收集”的情况下，才能确保其采取对个人权益影响最小的方式。《个人信息保护法》第八条还专门规定了处理个人信息应当保证个人信息的质量，这项原则也极为重要，如果个人信息不准确或不完整将对个人权益造成不利影响，比如疫情期间“通信大数据行程卡”记录的“表示当前该城市存在中风险或高风险地区，并不表示用户实际到访过这些中高风险地区”，以上对个人行程信息的记录就不够准确或不够完整，给用户的出行带来了极大的不便。笔者以为，准确和完整的信息应该是“该城市存在中风险或高风险地区，具体应当注明是哪几个区域存在中风险或高风险，该用户是否实际到过这些中高风险区域”。

以“告知-知情-同意”为核心的个人信息处理规则

“告知-同意”这一个人信息处理规则，在全国人大常委会的《决定》《网络安全法》《消费者权益保护法》以及《民法典》等法律中均有规定。《个人信息保护法》不仅是确立了以“告知-同意”的个人信息处理规则，而是构建了以“告知-知情-同意”为核心的个人信息处理规则体系。

应当指出，个人信息处理者“告知”的目的是确保被告知者的充分“知情”，只有被告知者在充分知情的前提下才能自愿、明确地作出决定。为此，《个人信息保护法》第十四条明确规定：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。”由此，《个人信息保护法》构建了以“告知-知情-同意”为核心的个人信息处理规则。

敏感个人信息的认定与保护规则

《民法典》第一千零三十四条的三款：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”因此，《个人信息保护法》没有对自然人的隐私信息做出专门规定，而是将个人信息分为敏感信息和非敏感信息，并设专节设置了“敏感个人信息的处理规则”。

《个人信息保护法》第二十八条给出了“敏感个人信息”的定义，即“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”该定义采用了“个人信息被泄露或者非法使用+危害后果+列举重要敏感个人信息”的立法技术，同时将不满十四周岁未成年人的个人信息也纳入了“敏感个人信息”给予重点保护。

《个人信息保护法》对处理敏感个人信息作出了严格的限制性规定，即在履行“告知-知情-同意”原则的基础上，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。特别是处理敏感个人信息应当取得个人的单独同意，如果法律、行政法规规定处理敏感个人信息应当取得书面同意的，应当从其规定。

严禁“大数据杀熟”以及为“用户画像”等涉及不当自动化决策

针对“大数据杀熟”“用户画像”和“算法推荐”等涉及个人信息自动化决策的热点问题，《个人信息保护法》作出了明确规范（第二十四条）：首先，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；其次，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式；第三，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

《个人信息保护法》就个人信息处理者利用个人信息进行自动化决策重点确立了一项义务性规范和一项禁止性规定：一是应当保证决策的透明度和结果公平、公正；二是不得对个人在交易价格等交易条件上实行不合理的差别待遇。

在数字和网络时代，特别是疫情激发的非接触式经济，使得个人信息的跨境流动日益频繁，但是由于不同国家的个人信息法律制度存在差异，个人信息跨境流动的规则也有所不同。我国《个人信息保护法》立足我国实际，并借鉴了国际立法经验，确立了一套完善的个人信息跨境提供规则。

《个人信息保护法》明确了个人信息处理者向境外提供个人信息应当具备的基本条件，如关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估；对于其他需要跨境提供个人信息的，应由专业机构进行个人信息保护认证；个人信息处理者因业务需要向境外提供个人信息，需按照国家网信部门的标准合同与境外接收方订立合同；对我国缔结或者参加的国际条约、协定对向我国境外提供个人信息的条件等有规定的，可以按照其规定执行等。

《个人信息保护法》对个人信息处理者跨境提供个人信息的“告知与单独同意”作出了严格的要求；对因国际司法协助或者行政执法协助，需要向境外提供个人信息的，要求依法申请有关主管部门批准，特别是对从事损害我国公民个人信息权益或者危害我国国家安全、公共利益等活动的境外组织、个人，以及在个人信息保护方面对我国采取不合理措施的国家和地区，规定了相应的限制或者禁止措施。

个人在个人信息处理活动中的七项权利

《个人信息保护法》全面构建了个人在个人信息处理活动中的权利，包括知情权、决定权（限制、拒绝和撤回权）、查阅复制权、个人信息移转权、更正补充权、删除权、规则解释权。

1.知情同意权，收集和使用公民个人信息必须遵循合法、正当、必要原则，且目的必须明确并经用户的知情同意；2.决定权，有权限制、拒绝或撤回他人对其个人信息的处理；3.查阅复制权，个人有权向个人信息处理者查阅、复制其个人信息；4.个人信息移转权，个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径；5.更正补充权，个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充；6.删除权，在五种情形下，个人信息处理者应当主动删除个人信息，个人信息处理者未删除的，个人有权请求删除：1）处理目的已实现、无法实现或者为实现处理目的不再必要，2）个人信息处理者停止提供产品或者服务，或者保存期限已届满，3）个人撤回同意，4）个人信息处理者违反法律、行政法规或者违反约定处理个人信息，5）法律、行政法规规定的其他情形；7.规则解释权，个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

重要互联网平台的“守门人”制度

鉴于重要互联网平台掌握海量用户数据，一旦发生信息泄露或滥用，可能导致严重后果，《个人信息保护法》专门要求其履行“守门人”角色，并承担更多责任，主要包括：1.应按照国家规定建立健全个人信息保护合规制度体系；2.成立主要由外部成员组成的独立机构进行监督；3.遵循公开、公平、公正的原则制定平台规则；4.对严重违法处理个人信息的平台内产品或服务提供者停止提供服务；5.定期发布个人信息保护社会责任报告并接受社会监督等。

2021年10月29日，国家市场监督管理总局就《互联网平台分类分级指南（征求意见稿）》《互联网平台落实主体责任指南（征求意见稿）》公开征求意见。《互联网平台分类分级指南（征求意见稿）》根据用户规模、业务种类、限制能力，将互联网平台分为以下三级：超级平台、大型平台和中小平台，其中“超级平台”指同时具备超大用户规模、超广业务种类、超高经济体量和超强限制能力的平台。其中，超大用户规模，即平台上年度在中国的年活跃用户不低于5亿；超广业务种类，即平台核心业务至少涉及两类平台业务，该业务涉及网络销售、生活服务、社交娱乐、信息资讯、金融服务、计算应用等六大方面；超高经济体量，即平台上年底市值（估值）不低于10000亿元人民币；超强限制能力，即平台具有超强的限制商户接触消费者（用户）的能力。

《互联网平台落实主体责任指南（征求意见稿）》明确了超大型平台经营者的八大主体责任，一是公平竞争的示范责任，超大型平台经营者具有规模、数据、技术等优势，应当发挥公平竞争示范引领作用；二是平等治理的责任，超大型平台经营者应当遵守公平和非歧视原则，平等对待平台自身（或关联企业）和平台内经营者，不实施自我优待；三是开放生态的责任，超大型平台经营者应当在符合安全以及相关主体权益保障的前提下，推动其提供的服务与其他平台经营者提供的服务具有互操作性；四是数据管理的责任，超大型平台经营者应当建立健全数据安全审查与内控机制，对涉及用户个人信息的处理、数据跨境流动，涉及国家和社会公共利益的数据开发行为，必须严格依法依规进行，确保数据安全；五是内部治理的责任，超大型平台经营者应当设置平台合规部门，不断完善平台内部合规制度和合规机制，响应监管部门的监管要求，并建立平台内部预防腐败机制；六是风险评估的责任，超大型平台经营者应当至少每年进行一次风险评估，重点识别、分析和评估由其提供的互联网平台服务可能引起的各种风险，并定期发布风险评估报告；七是安全审计的责任，超大型平台经营者应定期委托第三方独立机构对《互联网平台落实主体责任指南》所规定的主体责任的遵守情况进行审计，并由第三方独立机构发布书面审计报告；八是促进创新的责任，超大型互联网平台经营者应当充分利用数据、资金、人才、用户和技术等资源优势，加大创新投入，提升技术水平，组织核心技术攻关，加快技术迭代，扶持中小科技企业创新，不断激发平台经济领域创新发展活力。

为了确保个人信息处理者遵守个人信息保护之义务，严格规范个人信息的处理活动，《个人信息保护法》设置了严格的行政和民事法律责任。

《个人信息保护法》第六十六条对违法处理个人信息，或者处理个人信息未履行法定的个人信息保护义务设置了三项法律责任，一是由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；二是拒不改正的，并处一百万元以下罚款；三是对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

如果有上述规定的违法行为，且情节严重的，设置了两项更严格的法律责任，一是由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；二是对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

特别是“并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照”，这项处罚是非常严厉的。我们可以对比GDPR对违反信息披露和保护个人信息违规实施的处罚：严重违约罚款2000万欧元或全球营业额的4%（以较高者为准）；轻微违约罚款1000万欧元或全球营业额的2%（以较高者为准），比如苹果公司最近几年的收入都超过了2000亿美元，那么按照“全球营业额的4%”计算，罚金就有可能高达80亿美元。可见，我国个人信息保护法的处罚金额与GDPR的罚金是一个等量级的，不过GDPR对违反信息披露和保护个人信息的经济处罚责任重点强调违约罚款，特别强调了是“全球营业额”的罚款比例。我国个人信息保护法已经设立了域外效力，因此法律责任的适用也应当具有全球视野。

中华人民共和国个人信息保护法

（2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过）

第一条为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。

第二条自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。

第三条在中华人民共和国境内处理自然人个人信息的活动，适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。

第四条个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

第五条处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

第六条处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

第七条处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

第八条处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

第九条个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

第十条任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

第十一条国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

第十二条国家积极参与个人信息保护国际规则的制定，促进个人信息保护方面的国际交流与合作，推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。

第二章个人信息处理规则

第十三条符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

第十四条基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

第十五条基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第十六条个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

第十七条个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

第十八条个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。

第十九条除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

第二十条两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。但是，该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

第二十一条个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。

未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

第二十二条个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

第二十三条个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

第二十四条个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

第二十五条个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。

第二十六条在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

第二十七条个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。

第二节 敏感个人信息的处理规则

第二十八条敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

第二十九条处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

第三十条个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

第三十一条个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

第三十二条法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的，从其规定。

第三节国家机关处理个人信息的特别规定

第三十三条国家机关处理个人信息的活动，适用本法；本节有特别规定的，适用本节规定。

第三十四条国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。

第三十五条国家机关为履行法定职责处理个人信息，应当依照本法规定履行告知义务；有本法第十八条第一款规定的情形，或者告知将妨碍国家机关履行法定职责的除外。

第三十六条国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

第三十七条法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息，适用本法关于国家机关处理个人信息的规定。

第三章个人信息跨境提供的规则

第三十八条个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第三十九条个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

第四十条关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

第四十一条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

第四十二条境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。

第四十三条任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

第四章个人在个人信息处理活动中的权利

第四十四条个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。

第四十五条个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。

个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。

个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

第四十六条个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。

第四十七条有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第四十八条个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

第四十九条自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。

第五十条个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。

个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

第五章个人信息处理者的义务

第五十一条个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。

第五十二条处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十三条本法第三条第二款规定的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十四条个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第五十五条有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

第五十六条个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第五十七条发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：

（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；

（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；

（三）个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

第五十八条提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：

（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

（二）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

（四）定期发布个人信息保护社会责任报告，接受社会监督。

第五十九条接受委托处理个人信息的受托人，应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务。

第六章履行个人信息保护职责的部门

第六十条国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

第六十一条履行个人信息保护职责的部门履行下列个人信息保护职责：

（一）开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；

（二）接受、处理与个人信息保护有关的投诉、举报；

（三）组织对应用程序等个人信息保护情况进行测评，并公布测评结果；

（四）调查、处理违法个人信息处理活动；

（五）法律、行政法规规定的其他职责。

第六十二条国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：

（一）制定个人信息保护具体规则、标准；

（二）针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；

（三）支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设；

（四）推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务；

（五）完善个人信息保护投诉、举报工作机制。

第六十三条履行个人信息保护职责的部门履行个人信息保护职责，可以采取下列措施：

（一）询问有关当事人，调查与个人信息处理活动有关的情况;

（二）查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;

（三）实施现场检查，对涉嫌违法的个人信息处理活动进行调查;

（四）检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品，向本部门主要负责人书面报告并经批准，可以查封或者扣押。

履行个人信息保护职责的部门依法履行职责，当事人应当予以协助、配合，不得拒绝、阻挠。

第六十四条履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。

履行个人信息保护职责的部门在履行职责中，发现违法处理个人信息涉嫌犯罪的，应当及时移送公安机关依法处理。

第六十五条任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。

履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。

第六十六条违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

第六十七条有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

第六十八条国家机关不履行本法规定的个人信息保护义务的，由其上级机关或者履行个人信息保护职责的部门责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。

履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。

第六十九条处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

第七十条个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

第七十一条违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

第七十二条自然人因个人或者家庭事务处理个人信息的，不适用本法。

法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定。

第七十三条本法下列用语的含义：

（一）个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

（二）自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

（三）去标识化，是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

（四）匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。

第七十四条本法自2021年11月1日起施行。

免责声明：本文转自网络公开渠道，旨在为广大用户提供最新最全的信息，营商环境智库不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。转载的稿件版权归原作者或机构所有，如有侵权，请联系删除。抄袭本文至其它渠道者引发的一切纠纷与本平台无关。

《营商环境国家政策汇编（）》

统一零售价299元，欢迎垂询。

关注我们 获取更多资讯

国脉，是大数据治理、数字政府、营商环境、数字经济、政务服务专业提供商。创新提出"软件+咨询+数据+平台+创新业务"五位一体服务模型，拥有超能城市APP、营商环境流程再造系统、营商环境督查与考核评估系统、政策智能服务系统、数据基因、数据母体等几十项软件产品，长期为中国智慧城市、智慧政府和智慧企业提供专业咨询规划和数据服务，广泛服务于发改委、营商环境局、考核办、大数据局、行政审批局等政府客户、中央企业和高等院校。