国家网络安全宣传周：中华人民共和国个人信息保护法

国家网络安全宣传周：中华人民共和国个人信息保护法

第八章 附则

第一章 总则

为了确保个人信息权益得到有效保护，对个人信息处理行为进行规范，并推动个人信息的合理应用，依据我国宪法的规定，本法律得以确立。

自然人的个人信息依法享有保护，任何组织或个人均无权侵犯其个人信息权益。

在中国境内，对自然人个人信息的处理行为，均应遵循本法的相关规定。

在中华人民共和国内地境外对境内公民个人资料进行处理的行动，若符合以下任一条件，同样受到本法的约束：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。

个人信息系通过电子媒介或其他途径保存的，涉及已识别或可识别的自然人的各类资料，且此定义不涵盖经过匿名化处理后的数据。

个人信息处理涵盖了从搜集、保藏到运用、加工，再到传输、供给、公布以及最终删除的各个阶段。

第五条 在处理个人资料时，必须严格遵守合法性、合理性、必要性以及诚信的基本准则，严禁采取误导、欺诈或胁迫等手段来处理个人资料。

第六条 在处理个人资料时个人网络信息安全条例，必须确立清晰且正当的目标，且这些目标应与处理活动紧密相连，同时应选用对个人权利干扰最小的处理方法。

在收集个人资料时，必须严格控制在达成处理目标所需的最小限度内，严禁超出此范围进行过度搜集。

第七条 在处理个人资料时，必须坚持公开和透明的准则，并向公众披露个人信息处理的规章制度，同时明确指出处理的目的、方法以及适用范围。

第八条 在处理个人资料时，必须确保资料的真实性和完整性，防止由于资料的不准确或不完整而对个人的合法权益产生负面影响。

个人信息处理者需对自身处理个人信息的活动承担相应责任，同时必须采取相应的必要措施，确保所涉及的个人信息得到有效保护。

第十条 规定，任何单位或个人均不得擅自搜集、处理、传播他人的个人资料，亦不得非法进行个人信息的有偿交易、供应或公布；同时，严禁进行可能损害国家利益和公共福祉的个人信息处理行为。

国家致力于构建完善的个人信息保护体系，旨在预防并严厉打击侵犯个人信息权益的违法行为。同时，强化个人信息保护的宣传教育工作，促进政府、企业、相关社会组织以及公众共同参与，营造一个多方协作、共同维护个人信息安全的良好氛围。

我国主动投身于个人信息保护国际法规的构建，致力于加强个人信息保护领域的国际沟通与协作，并努力推动与各国、各地区以及国际组织在个人信息保护规则和标准上的相互认可。

第二章 个人信息处理规则

第一节 一般规定

第十三条规定，若个人信息处理者想要处理个人信息，必须满足以下条件之一：

（一）取得个人的同意；

为了达成并执行个人作为合同一方所必需的条款，亦或是在遵循依法确立的劳动规则和集体协议的基础上进行人力资源管理的必要操作。

（三）为履行法定职责或者法定义务所必需；

为了应对突发的公共卫生危机，亦或是在紧急状况中，确保自然人的生命安全、身体健康以及财产安全所不可或缺。

在进行新闻报道、舆论监督等涉及公共利益的活动中，应适度处理个人信息，确保其符合合理范畴。

按照本法律条文的规定，应在合理界限内对个人自行公布或已合法公之于众的个人信息进行处置。

（七）法律、行政法规规定的其他情形。

根据本法律的其他具体规定，在处理个人资料时，必须获得该个人的明确许可。然而，若符合本条第二款至第七款所列出的特定情况，则无需事先征得个人的同意即可进行。

第十四条 在个人知情并同意的前提下，对个人信息的处理需由个人自主且清晰地表达。若法律法规明确要求处理个人信息必须获得个人独立同意或书面同意个人网络信息安全条例，则必须遵守这些规定。

当个人信息的处理目标、处理手段以及涉及的个人数据类型出现变动时，必须重新获取当事人的授权认可。

第十五条规定，若个人信息处理是基于个人所给予的同意，那么个人拥有权利随时撤销该同意。同时，负责处理个人信息的主体需确保提供一种简便易行的途径，以便个人能够顺利地撤回其同意。

个人若决定撤销同意，这一行为并不会对之前基于个人同意所进行的个人信息处理活动产生任何影响，其效力依然有效。

第十六条 规定明确，个人信息处理方不得以用户拒绝个人信息处理或撤回同意为借口，拒绝向用户提供相应的产品或服务；然而，若个人信息处理是提供产品或服务所必需的，则不在此限。

第十七条 规定，个人信息处理方在着手处理个人数据之前，必须通过醒目且易于理解的方式，用真实、精确、全面的语言，向相关个人明确告知以下内容：，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，

（一）个人信息处理者的名称或者姓名和联系方式；

个人信息处理的用途、方法，涉及的个人数据类型以及存储的时限。

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者若以制定处理规则的形式来传达第一款规定的内容，那么这些规则必须对外公布，且需确保公众能够轻松地查找到并保存相关内容。

第十八条 在处理个人信息的过程中，若依据法律或行政法规的规定，该信息需保密或无需向个人透露，则个人信息处理者有权不对个人透露前款规定的相关事项。

在紧急状况下，若因保护公民的生命安全与财产安全而无法即刻向个人进行通知，个人信息处理方应在紧急状况解除之后，立即将相关信息传达给个人。

第十九条 明确指出，除非法律或行政法规有特别规定，否则个人信息的存储时限应限定在完成数据处理所必需的最短期间内。

第二十条 若有多个个人信息处理者共同决定处理个人信息的具体目的与方式，各方需明确划分各自的职责与责任。然而，即便如此，个人仍可向任一处理者提出依据本法律所享有的权利主张。

个人信息处理者若共同参与对个人信息的处理，一旦因侵害个人信息权益而导致损害发生，则必须依照法律规定，共同承担相应的连带责任。

第二十一条 在委托他人处理个人信息的情况下，个人信息处理者需与受托者明确约定处理目的、时间范围、处理方法、信息类别、安全保护措施以及双方各自的权利与责任等内容，同时还要对受托者的个人信息处理行为实施监管。

受托人需依据协议规定妥善处理个人资料，不得越界至超出协议所规定的处理目标、方法等范畴；若委托合同未能生效、失效、被取消或终止，受托人须将个人资料归还给信息处理者或予以销毁，不得私自保留。

未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

如个人信息处理者因合并、分立、解散或被宣告破产等情形，需将个人信息进行转移，则必须向信息主体明示接收方的名称或负责人姓名及其联系方式。接收方需继续承担个人信息处理者的责任。若接收方对个人信息处理的目的或方式作出调整，则必须依照本法规重新获得信息主体的同意。

个人信息处理者在向其他个人信息处理者提供所处理的个人信息时，必须向相关个人明确告知接收方的具体名称或姓名、联系方式、处理的具体目的、处理的具体方式以及所涉及的个人信息的具体类别，并且必须获得个人的明确单独同意。同时，接收方在处理个人信息时，必须严格限定在上述明确的目的、方式及信息类别等范围内进行。若接收方对原有的处理目标或处理方法进行了调整，则必须依照本法律条文的规定，重新获得个人的授权同意。

个人信息处理者在运用个人信息进行自动决策时，必须确保决策过程的透明性，以及结果的公平性与公正性，且不得在交易价格或其他交易条件上对个人施加不合理的区别对待。

在进行信息推送和商业营销时，若采用自动化决策手段国家网络安全宣传周：中华人民共和国个人信息保护法，应确保用户能够选择不基于个人特征的选项，亦或提供简单易行的拒绝途径。

在采用自动化决策手段做出可能对个人权益产生重大影响的决策时，个人有权要求信息处理方提供详细的解释，同时也有权拒绝仅依赖自动化决策手段来做出相关决定。

第二十五条 规定，任何个人信息处理者均不得对外披露其处理的个人资料，除非已经获得该个人明确的授权同意。

第二十六条 在公共场所部署图像捕捉与身份认证设备，必须是为了确保公共安全而必须采取的措施，并需遵循国家的相关法律法规，同时应设置醒目的提示标志。所搜集的个人信息和图像资料，仅限于用于维护公共安全的用途，不得用于其他任何目的；除非已经获得个人明确同意的情况。

第二十七条，个人信息处理者有权在合理限度内对个人自愿公开或已合法公之于众的个人信息进行操作；除非个人明确表示反对。对于处理已公开的个人信息，若对个人权益产生重大影响，处理者需依照本法律的规定，事先获得个人的同意。

第二节 敏感个人信息的处理规则

第二十八条 规定，敏感个人信息若遭泄露或被非法利用，极易引发自然人的人格尊严受损或人身、财产安全遭受威胁。这类信息涵盖生物识别数据、宗教信仰情况、特定身份信息、医疗健康资料、金融账户信息、行动轨迹等，同时还包括未满十四周岁的未成年人的个人资料。

在特定目的明确、必要性充分，并且严格执行保护措施的前提下，个人信息处理者才能对敏感个人信息进行操作。

第二十九条 在处理涉及个人隐私的敏感信息时，必须获得该个人的明确许可；若相关法律法规明确要求书面形式同意，则必须遵守这些规定。

第三十条 在处理敏感个人信息时，个人信息处理者需遵守本法规第十七条第一款之外的规定，同时应向当事人明确说明处理此类信息的必要性及其对个人权益可能带来的影响；除非根据本法规个人网络信息安全条例，有明确条款规定可以不进行告知的情况。

处理不满十四周岁的未成年人个人信息时，个人信息处理者必须征得该未成年人的父母或法定监护人的明确授权。

对于未满十四周岁的未成年人的个人信息，处理者需设立特定的个人信息处理规范。

第三十二条 法律及行政法规在处理涉及敏感的个人信息时，若要求必须获得相应的行政许可或实施其他形式的限制，则应遵循其具体规定。

第三节 国家机关处理个人信息的特别规定

第三十三条 明确指出，国家机关在处理个人信息的相关活动中，应当遵循本法的各项规定；若本节中存在特定条款，则应优先执行本节的相关规定。

国家机关在执行法定职责时涉及个人信息的处理，必须严格遵循法律法规所规定的权限和程序，且其行为不得越界，不能超过执行法定职责所必需的范畴和程度。

国家机关在执行其法定职责时涉及个人信息的处理，必须遵循本法律的相关规定来执行告知职责；除非符合本法律第十八条第一款所述情况，或者告知信息可能会阻碍国家机关履行其法定职责，否则不得例外。

国家机关在处理个人信息时，必须将其存储于我国境内；若确实有必要向境外传输，必须先行进行安全性评估。在进行安全评估的过程中，相关部门需提供必要的支持和帮助。

第三十七条 法律法规所赋予管理公共事务职责的组织，在执行其法定义务时涉及个人信息的处理，应遵循本法律对国家机关处理个人信息的相关规定。

第三章 个人信息跨境提供的规则

第三十八条 根据业务需求等理由，若个人信息处理者确实有必要将个人信息传输至中国境外，则必须满足以下任一条件：

根据本法的第四十条要求，需经国家网信部门牵头进行安全评估。

依照我国网络信息管理部门的相关规定，需由专业机构对个人信息保护进行认证。

依据国家网信部门颁布的规范合同范本，与海外接收方签署协议，明确双方各自的权益与责任。

（四）法律、行政法规或者国家网信部门规定的其他条件。

若中华人民共和国所签订或加入的国际条约、协定对向境外传输个人信息的具体要求有所规定，则应依照这些规定进行操作。

个人信息处理主体必须实施相应的防范手段，确保海外接收者对个人信息的处理行为符合我国法律对个人信息保护所设定的要求。

个人信息处理者在向我国境外出售或传输个人数据时，需向数据主体明确告知接收方的具体名称或负责人姓名、联系途径、数据处理的用途、方法、涉及的数据类别，以及数据主体如何向接收方行使其根据本法律享有的权利和相应的操作流程，同时必须获得数据主体的明确授权。

第四十条 对于运营关键信息基础设施并处理达到国家网信部门规定数量的个人信息的处理者，他们必须将在中国境内收集和生成的个人信息保存在国内。如果确实有必要将信息传输至境外，必须经过国家网信部门组织的安全审查；对于法律、行政法规以及国家网信部门明确指出无需进行安全评估的情况，则依照相关规定执行。

第四十一条 我国主管机关依据相关法律法规以及我国签订或加入的国际条约、协定，亦或遵循平等互惠的原则，对来自外国司法或执法机构关于获取境内个人信息的申请进行处置。未经我国主管机关的批准，任何个人信息处理者均不得向外国司法或执法机构泄露我国境内存储的个人数据。

第四十二条 若境外组织或个人从事侵犯我国公民个人信息权益，或对国家安全、公共利益造成危害的个人信息处理行为，国家网信部门有权将其纳入限制或禁止提供个人信息的名单，并予以公布，同时可实施限制或禁止向其提供个人信息的相应措施。

第四十三条 规定，若任何国家或地区在个人信息保护领域对中华人民共和国实施有差别的禁止、限制或其他类似行动，我国将依据具体情况，对该国家或地区实施相应的对等报复措施。

第四章 个人在个人信息处理活动中的权利

第四十四条 规定，个人对其个人信息的处理拥有了解和决策的权利，他们可以自主选择是否允许他人对其个人信息进行操作；除非法律或行政法规有其他特别规定。

个人享有查询和复制自己个人信息的权利，但若符合本法第十八条第一款或第三十五条所列情形，则不在此列。

个人如需查阅或复制自己的信息，信息处理方应迅速予以提供。

个人若希望将个人资料转交给指定的信息处理方，只要该处理方满足国家网信管理部门的相关规定，就需提供相应的资料转移方式。

第四十六条 若个人发现自己的个人信息存在不准确或不完整的情况，他们有权要求信息处理方进行修正或补充。

个人如需对个人信息进行修正或补充，信息处理方需对相关信息进行验证，并确保及时进行修正与补充。

第四十七条，若出现以下任何一种情况，个人信息处理方应主动予以删除个人数据；若处理方未采取删除措施，个人可依法要求进行删除：，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）当个人信息处理者决定不再提供相关产品或服务，抑或规定的保存期限已经到达终点时；

（三）个人撤回同意；

（四）若个人信息处理者不遵守法律法规、行政规章，或是违背了双方之间的协议，对个人信息进行不当处理；

（五）法律、行政法规规定的其他情形。

若法律或行政法规规定的保存时限尚未到达，亦或是技术上无法实现个人信息的删除，那么个人信息处理方应立即停止除保留必要数据及采取必要安全防护措施以外的其他处理活动。

第四十八条 规定，个人有权向个人信息处理者索要对其个人信息处理规则的相关解释和详细说明。

若自然人不幸离世，其亲属出于维护自身合法权益的考虑，有权根据本章节的规定，对逝者的相关个人信息进行查阅、复制、修正或删除等操作；除非逝者在生前已有其他安排。

第五十条，个人信息处理机构需设立一个高效的个人权利行使申请接收与处理流程。若对个人行权请求予以拒绝，则必须提供相应的解释。

若个人信息处理方拒绝履行个人权利主张的请求，个人有权依照法律规定，向人民法院提起相应的诉讼。

第五章 个人信息处理者的义务

第五十一条 信息处理主体需依据信息处理的宗旨、方法、信息类别、对个人权益的潜在影响以及潜在的安全隐患等因素，实施以下措施，以确保信息处理活动遵循法律法规，同时预防未授权访问、信息泄露、篡改或丢失等现象的发生。

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）需恰当设定处理个人信息的操作权限，同时，对相关工作人员实施定期的安全知识与技能培训。

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。

第五十二条 对于处理个人信息数量达到国家网信部门规定标准的个人信息处理机构，必须指派一名个人信息保护责任人，该责任人需对个人信息处理的具体活动以及所实行的保护措施进行有效监督。

个人信息处理方需明确公布个人信息保护责任人的通讯方式，同时，还需将个人信息保护责任人的名字及联系方式等相关信息报送至负责执行个人信息保护职责的相关部门。

第五十三条 根据本法第三条第二款的规定，那些在中华人民共和国境外从事个人信息处理活动的主体，需在我国境内设立专门机构或指定专人代表，以承担个人信息保护相关事务的职责。同时，他们还需将相关机构的名称、代表人员的姓名以及联系方式等信息提交给负责个人信息保护职责的部门。

第五十四条，个人信息处理主体需定期对遵循法律法规处理个人信息的状况实施合规性审查。

第五十五条 遇到以下任一情况，个人信息处理方需事先对个人信息保护的影响进行评估，并且对处理过程做好记录：，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）进行个人信息的委托处理、向其他个人信息处理主体传输个人信息、以及对外公开个人信息。

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

第五十六条 个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第五十七条 如遇个人信息泄露、篡改或遗失的情况，或存在此类风险，个人信息处理方需迅速实施应急措施，并告知负责个人信息保护的相应部门和个体。在通知中，应包含以下内容：

（一）需关注的信息类型包括个人数据的泄露、篡改或遗失，以及这些行为背后的原因，同时还要考虑它们可能引发的潜在风险和不良后果。

个人信息处理方所实行的救济手段，以及个人能够实施的降低损害风险的行为。

（三）个人信息处理者的联系方式。

个人信息处理者若采取相应措施确保信息不被泄露、篡改或丢失，从而避免对个人造成损害，则无需向个人发出通知；而负责个人信息保护的部门若认为存在潜在危害，则有权责令个人信息处理者向个人进行通知。

第五十八条 对于那些提供关键互联网平台服务、用户基数庞大且业务种类繁多的个人信息处理机构，他们必须承担以下责任：

依据国家相关法律法规，构建完善的个人信息保护合规制度框架，并设立一个主要由外部专家构成的独立监督机构，负责对个人信息保护状况进行有效监管。

依据透明、公允、公道的准则，确立平台的管理条例，具体规定平台内各产品及服务供应方在处理个人数据方面的标准，以及保障个人数据安全的责任。

对于那些在平台内严重违反法律法规、擅自处理个人信息的商品或服务提供者，应立即终止其服务。

（四）定期发布个人信息保护社会责任报告，接受社会监督。

第五十九条 在接受委托处理个人信息的过程中，受托人必须遵守本法及相关法律法规，实施相应措施确保所涉及个人信息的保密性，同时还要配合个人信息处理主体，完成本法所规定的各项责任。

第六章 履行个人信息保护职责的部门

国家网信部门承担着对个人信息保护工作的全面协调和相应的监督管理职责。根据本法及有关法律法规、行政法规的规定，国务院各相关部门在其职能范围内，各自承担个人信息保护和监督管理的责任。

县级以上地方政府相关部门在个人信息保护及监管方面的责任，依照国家既定法规进行明确界定。

前两款规定的部门统称为履行个人信息保护职责的部门。

第六十一条 承担个人信息保护职责的机构，应执行以下几项个人信息保护任务：

积极开展个人信息保护的宣传教育活动，同时负责对个人信息处理者的工作进行指导和监督，确保其正确执行个人信息保护的相关规定。

（二）接受、处理与个人信息保护有关的投诉、举报；

对应用程序等涉及个人信息的保护措施进行评估，同时将评估的结论予以公开。

（四）调查、处理违法个人信息处理活动；

（五）法律、行政法规规定的其他职责。

第六十二条 我国国家互联网信息办公室负责牵头，协同相关机构，依照本法律的规定，推动以下几项个人信息保护工作的实施：

（一）制定个人信息保护具体规则、标准；

对于小型个人信息处理机构、涉及敏感个人信息处理活动，以及人脸识别、人工智能等新兴技术和应用领域，需制定特定的个人信息保护规定和标准。

积极推动安全、便捷的电子身份认证技术的研发与普及，同时加快网络身份认证公共服务的构建进程。

（四）加速构建个人信息保护的社会化服务体系，鼓励相关机构进行个人信息保护的评估与认证工作；

（五）完善个人信息保护投诉、举报工作机制。

第六十三条 在执行个人信息保护相关职责的过程中，相关部门可实施以下具体举措：

（一）询问有关当事人，调查与个人信息处理活动有关的情况；

查阅相关合同，复制与个人信息处理活动相关的记录、账簿等资料，以及搜集其他所有与此类活动有关的文件。

（三）实施现场检查，对涉嫌违法的个人信息处理活动进行调查；

对涉及个人信息处理活动的设备与物品进行审查；若发现设备或物品涉嫌用于非法的个人信息处理行为，需向部门负责人提交书面报告，并取得其批准后，有权对其进行查封或扣押。

相关部门依照法律规定执行个人信息保护任务，相关当事人有义务提供协助与支持，不得进行拒绝或干扰。

第六十四条 在执行个人信息保护职责的过程中，若相关部门察觉到个人信息处理存在显著风险，或已发生个人信息安全事件，有权依据既定权限和流程，对个人信息处理单位的法定代表人或关键负责人进行约谈，亦或指令个人信息处理单位委托专业机构对其处理个人信息的行为进行合法性审查。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。

在执行个人信息保护职责的过程中，相关部门一旦察觉到存在违法处理个人信息的犯罪行为国家网络安全宣传周：中华人民共和国个人信息保护法，就必须迅速将相关情况移交给公安机关，依法进行处置。

第六十五条 各组织和个人均有权就违法的个人信息处理行为向负责个人信息保护的相应部门提出投诉或举报。相关接收投诉、举报的部门应依照法律法规的规定，迅速作出处理，并且需将处理结果通知给投诉、举报者。

负责个人信息保护的机构需公开其受理投诉和举报的通讯方式。