一、定义

1.个人信息：是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

2.个人信息的处理：包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

3.敏感个人信息：是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

4.个人信息处理者：是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

5.自动化决策：是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

6.去标识化：是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

7.匿名化：是指个人信息经过处理无法识别特定自然人且不能复原的过程

二、适用范围

1.在我国境内处理个人信息；

2.在我国境外处理个人信息，但符合如下条件之一的：①以向境内自然人提供产品或者服务为目的；②分析、评估境内自然人的行为；③法律、行政法规规定的其他情形。

3.自然人因个人或者家庭事务处理个人信息的，不适用本法。

三、处理个人信息的原则

1.应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息；

2.应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；

3.处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围；

4.应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响；

5.对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全；

6.任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

四、处理个人信息的规则

1.处理个人信息的条件

①取得个人同意；

②因订立、履行合同需要或因劳动用工、人力资源管理需要；

③因履行法定职责或法定义务需要；

④因应对突发卫生事件或紧急情况下，为了保护自然人的生命财产安全需要；

⑤因公共利益而事实新闻报道、舆论监督等，在合理范围内处理个人信息；

⑥在合理范围内处理个人已经自行公开的信息或者基于合法渠道已经公开的信息；

⑦其他法律、法规规定的情行。

2.取得个人同意的内涵

①个人在充分知情的前提下自愿、明确作出同意，即个人已了解了处理信息的规则、目的、方式和范围；

②个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意；

③个人有权利随时撤回同意，处理人应当提供撤回的渠道。

3.处理信息和服务的关系

个人不同意处理其个人信息的，处理者不得拒绝提供服务，除非必须基于其个人信息。

4.处理者的公示或告知义务

除法律、法规有明确规定之外，不论基于何种条件处理个人信息，处理者需明确告知个人如下信息：

①个人信息处理者的名称或者姓名和联系方式；

②个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

③个人行使本法规定权利的方式和程序；

④法律、行政法规规定应当告知的其他事项。

告知的信息发生变更的，则需要重新告知变更的内容。

通过制定规则的方式告知个人的，该规则应当便于查阅和保存。

5.多个信息处理者的规则

①多个信息处理者共同决定处理目的和方式，约定各自的权利和义务；

②不得影响个人向任何一个信息处理者行使本法规定的权利；

③出现侵权的情形，多个信息处理者承担连带责任。

6.委托处理个人信息的规则

①委托人与受托人应当明确约定处理目的、方式、范围、保护措施、期限等等；

②未经委托人许可，不得转委托；

③委托终止，受托人应当移交个人信息，予以删除不得保留。

7.信息处理者不得从事下列行为

①未经个人同意，不得向其他处理者提供信息；

②未经个人同意，接受个人信息的处理者不得变更处理目的、方式、范围等，如需变更则需重新取得个人同意；

③不得利用自动化决策实施不合理的差别待遇（如大数据杀熟）；

④利用自动化决策精准推送、营销的，应当提供不针对该个人的选项或者向个人提供便捷的拒绝途径；

⑤未经个人同意，不得公开个人信息。

8.公共场所的个人信息处理

公共场所安装图像采集、个人身份识别设备应当遵守下列规则：

①基于公共安全目的；

②设置显著标识告知个人；

③遵照国家有关规定。

9.处理敏感信息

①遵守处理个人信息的全部规定；

②向个人告知处理敏感个人信息的必要性以及对个人权益的影响；

③处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

10.国家机关处理个人信息特别规定

①严格依照法律、法规的权限、程序进行；

②同样需要履行告知义务（见第4项）；

③个人信息应当储存在境内，在境外储存的需进行安全评估。

11.个人信息跨境提供规则

①向境外提供个人信息的，需要符合下列条件之一：

i.通过网信部门组织的安全评估；

ii.进行个人信息保护认证；

iii.按照网信部门要求与境外接受者订立合同；

iv.法律、法规或者网信部门规定的其他条件。

②处理者应当保证境外接收方达到本案规定保护标准。

③关键信息基础设施运营商、和达到一定数量信息的处理者，应当将信息储存在境内，除非经过网信部门的安全评估。

④未经主管机关批准，信息处理者不得向境外司法、执法结构提供个人信息。

五、个人的权利

①个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；

②个人有权向个人信息处理者查阅、复制其个人信息；

③个人有权请求个人信息处理者更正、补充；

④有权要求个人信息处理者对其个人信息处理规则进行解释说明;

⑤有下列情形之一的，个人有权请求删除个人信息：

i.处理目的已实现、无法实现或者为实现处理目的不再必要；

ii.个人信息处理者停止提供产品或者服务，或者保存期限已届满；

iii.个人撤回同意；

iv.个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

v.法律、行政法规规定的其他情形。

⑥自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。

⑦侵犯个人信息有关的权利的，个人可以向人民法院起诉。

六、处理者义务

个人信息处理者的一般义务：

①妥善保管个人信息，防泄露、篡改、丢失；

②境外信息助理者应当在境内设立专门机构或代表处；

③铁定调间隙事先进行个人信息保护影响评估；

④发生个人信息泄露、篡改、丢失的情形，应当通知管理部门和个人。

互联网平台的特别义务：

①建立健全个人信息保护合规制度体系；

②成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

③遵循公开、公平、公正的原则，制定平台规则；

④对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

⑤定期发布个人信息保护社会责任报告，接受社会监督。

七、法律责任

①信息处理者责任：

i.责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

ii.情节严重的，责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

②个人的损害赔偿责任：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

附：《中华人民共和国个人信息保护法》