個人信息處理者應當採取相應的加密去標識化

A. 中華人民共和國個人信息保護法明確了幾項基本原則

八項，《中華人民共和國個人信息保護法》已由中華人民共和國第十三屆全國人民代表大會常務委員會第三十次會議於2021年8月20日通過，現予公布，自2021年11月1日起施行。，
列舉一下，第一條為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法。

第二條自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。

第三條在中華人民共和國境內處理自然人個人信息的活動，適用本法。

在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：

（一）以向境內自然人提供產品或者服務為目的；

（二）分析、評估境內自然人的行為；

（三）法律、行政法規規定的其他情形。

第四條個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

第五條處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

第六條處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式。

收集個人信息，應當限於實現處理目的的最小范圍，不得過度收集個人信息。

第七條處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍。

第八條處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。

B. 個人信息處理者在履行安全保障責任時需要採取哪些必要措施

《個人信息保護法》第九條規定：個人信息處理者應當對其個人信息處理活動負責，並採取必要措施保障所處理的個人信息的安全。就實務而言，個人信息處理者所採取的「必要措施」可以分為技術措施與管理措施。從技術措施的角度來說，包括個人信息的去標識化存儲、加密傳輸等。從管理措施的角度來說，企業宜在明確個人信息安全責任部門和個人信息安全負責人的基礎上，設置必要的訪問控制措施和個人信息安全管理制度，明確處理者內部各部門在個人信息處理上的職責劃分，定期開展個人信息安全培訓，制定必要的個人信息安全應急預案，從多個維度盡可能降低個人信息安全事件發生的可能性。

C. 相關公司拒絕執行個人信息安全法第十五條規定怎麼處理

《個人信息保護法》三讀通過，標志著我國對個人信息的立法保護方面上升到了新的高度；但相對應的是，作為「信息處理者」的企業也有了法律上新的義務。
作者 | 呂長軍 中國傳媒大學法律碩士校外導師
編輯 | 布魯斯
2021年8月， 我國《個人信息保護法》三讀通過 ，標志著我國對個人信息的立法保護方面上升到了新的高度；但相對應的是，作為「信息處理者」[1]的企業也有了法律上新的義務，包括：制度完備義務、安全保障義務、個人信息分級分類義務、內部許可權管理義務、信息質量與演算法合規義務、信息主體權益保障義務、事前風險評估義務（例如事前個人信息保護影響評估）、合規審計義務、以及特殊處理者的義務等，因此需要依法建立起符合法律要求的個人信息及數據[2]合規體系。
一、企業建立個人信息及數據合規體系的價值
《個人信息保護法》中對企業提出了建立個人信息保護合規體系的要求，似乎企業負擔加重，但實際上企業按照《個人信息保護法》的要求來進行合規操作有諸多的價值：
其一，合規價值。我國先後出台的《網路安全法》、《數據安全法》和《個人信息保護法》三部法律不僅構建起個人信息和數據保護的基本框架， 而且均明確要求企業建立數據（或個人信息）合規制度，而《個人信息保護法》更是要求大型互聯網平台、業務類型復雜的企業 「應當按照國家規定建立健全個人信息合規制度體系」[3]；同時，諸多境外數據保護法律法規如GDPR等也要求企業建立數據及個人信息保護合規體系。可以說，建立個人信息及數據合規體系已經成為現代企業的一項重要法律義務。
其二， 品牌價值和市場競爭力。在強調個人數據與隱私保護的大環境下，企業在數據安全和隱私保護方面的有效努力，最終會得到合作方的認可，更為重要的是可以得到消費者的最後認同，這無疑將提升企業的品牌價值和市場競爭力。
其三，降低企業風險及減少損失。任何企業在個人信息及數據方面不合規的行為，均有可能產生行政調查、侵權訴訟、媒體曝光、甚至刑事案件等後果，將可能會為企業帶來重大的經濟和聲譽損失，包括行政處罰、訴訟賠償、刑事處罰、客戶流失等。
其四，有助於應對行政監管或訴訟。企業的個人信息及數據合規體系的完備，可以在一定程度上證明企業已充分盡到數據及個人信息保護的義務，可以有效助力企業應對監管執法和訴訟抗辯。
二、《個人信息保護法》第51條下企業的合規義務
在《個人信息保護法》中，第51條集中闡述了個人信息處理者的主要合規義務，包括制度建設、信息分類、技術措施、人員管理和應急預案五個基本方面以及兜底的其他措施。
第51條規定：
個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，採取下列措施確保個人信息處理活動符合法律、行政法規的規定，並防止未經授權的訪問以及個人信息泄露、篡改、丟失：
（一）制定內部管理制度和操作規程；
（二）對個人信息實行分類管理；
（三）採取相應的加密、去標識化等安全技術措施；
（四）合理確定個人信息處理的操作許可權，並定期對從業人員進行安全教育和培訓；
（五）制定並組織實施個人信息安全事件應急預案；
（六）法律、行政法規規定的其他措施。
1、制定公司內部管理制度和操作規程
《個人信息保護法》要求個人信息處理者（企業）內部應建立完善的個人信息保護制度以及操作規程。
1）健全內部管理制度
對企業而言，了解和梳理企業個人信息處理活動的目的、范圍和方式，是進行信息處理管理的基礎。在此基礎上，需要整理、制定適應企業內部的個人信息相關制度，包括但不限於：（1）個人信息收集、傳輸及處理制度；（2）個人用戶信息收集及處理告知制度；（3）個人信息安全保護制度（包括傳輸、使用及資料庫安全等）；（4）信息分級分類管理制度；（5）個人信息風險評估制度 ;（6）審計制度等。
除上述重要制度外，企業內部管理制度中還應有應急預案制度、個人信息出境管理制度等。（詳見下文）
內部制度應具有合規性、可行性、完備性；也即既要符合法律法規要求，又要從企業自身實際情況出發，可操作，同時應注意全面覆蓋相應各個業務條線， 具有完備性。
2）制定個人信息收集、傳輸、存儲及處理操作流程
流程與制度相輔相成。企業應注意「個人信息處理全流程管理」的重要性，實施從個人信息收集、傳輸、存儲到處理、刪除等各環節的銜接和涵蓋全流程的管理，並在流程中應注意嚴格的許可權管理。
3）設置網路安全負責人、個人信息保護負責人等專職人員
《網路安全法》要求網路運營者設置專門安全管理機構和安全管理負責人，《信息安全技術 個人信息安全規范》規定了個人信息控制者應當設置個人信息保護負責人，而GDPR則要求設置數據保護官。
《個人信息保護法》沒有硬性要求所有的企業均設立「個人信息保護負責人」，而是要求如果處理個人信息達到一定」數量」, 則應設置個人信息保護負責人[4]，但「數量」並未予以明確標准。當涉及的個人信息數據量較大時，企業應當考慮設定個人信息保護負責人，由其進行相關工作的統籌和管理，在有必要的情況下可以考慮成立相關部門，負責建立內部合規管理制度和相關措施乃至推行制度及措施的實施。
2、個人信息實行分級分類管理
《網路安全法》、《數據保護法》和《個人信息保護法》都提出要將數據進行分級分類管理。無論從合規或管理效率而言， 企業都有必要對數據進行分級分類管理。
首先，梳理企業信息庫存。搞清企業目前擁有哪些個人信息（數據）、承載個人信息的數據位於何處、如何流動以及與哪些部門相關，是在企業中創建個人信息保護合規框架的基礎。
其次，明確所需信息， 去除非必要信息。對個人信息的處理，應滿足《個人信息法》第6條提出的 「明確合理目的」以及「個人權益影響最小」兩個原則。因此，企業應當明確其需要哪些類型的個人信息，通過清單等形式將所需信息的內容和目的進行陳列，同時，應在企業系統中去除非必要的信息，並嚴格要求各部門不再進行收集或儲存。
再次，對需要處理的信息進行分級分類，以便進一步的管理，包括處理許可權、流程等工作的區分。
其中，企業應對以下兩類信息進行甄別並加以特別關註：
1）敏感個人信息。敏感個人信息包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融賬戶、個人行蹤等信息。這類信息多與人身、財產安全相關，因此受到法律特別保護，相關的程序和保護措施要求較之一般個人信息要嚴格。
2）未成年人（未滿十四周歲）個人信息。我國法律要求對該類信息的處理應依法取得其監護人的同意。
需要注意的是， 企業收集的個人信息， 不僅僅指收集的外部個人信息， 也包括對內部員工的個人信息。雖然《個人信息保護法》提出因對內部員工「人力資源管理」從而可以進行各種個人信息的收集、處理， 但絕不意味著可以忽略內部員工個人信息權益的保護。
3、個人信息安全保護措施
在網路環境下，數據安全是個人信息保護的基礎，而保障數據安全是個人信息處理者的一項重要且基礎的工作，同時也是一項法律義務。我國《網路安全法》要求網路運營者保障網路安全、維護網路數據的完整性、保密性和可用性[5]；《數據安全法》強制性規定了數據處理者保障數據安全的法律義務[6]， 《個人信息保護法》則要求企業採用安全技術措施來保護其所處理的個人信息。
匿名化後的數據，不需要遵守有關個人信息保護的條款， 但仍應遵守數據保護的法律規定。
4、個人信息處理許可權及安全教育與培訓
個人信息處理許可權制度經過多年企業界的實踐， 被證明是一項較好的對個人信息及數據管理的機制，《個人信息保護法》將該機制直接列為企業的一項法律義務。該機制的要點在於：
1）設立內部分工和許可權制度。將個人信息的收集、儲存、使用等處理環節，以及風險監控、合規等工作進行明確的分工，並根據分工和信息分級分類情況，對不同員工設置對應級別的許可權。
2） 全員參與（而非重點人員參與）安全與許可權培訓。通過個人信息與數據的安全教育與培訓，牢固樹立數據安全意識，明確各自許可權所在， 防止人為造成數據泄露。
5、個人信息安全事件應急制度
合規工作雖能防患於未然，但並不能完全排除風險。隨著技術進步和企業產品迭代，安全漏洞總難以避免，因此企業應當制定數據安全事件應急預案並定期演練，以備不時之需。我國《網路安全法》中已規定網路運營者應當制定網路安全事件應急預案[9]，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，及時啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。
《個人信息保護法》再次強調企業應建立個人信息安全事件應急預案並定期進行演練，並將此作為企業的一項法律義務。
三、《個人信息保護法》下企業的其他合規義務
除第51條外，《個人信息保護法》還在其他條文中規定了企業的一些重要的合規義務， 主要包括：
1、收集、處理個人信息的充分告知義務
《個人信息保護法》再次強調了個人信息收集與處理的「告知-同意」原則。對於需要收集個人信息的企業而言，應制定出明確的個人信息保護政策（《隱私政策》），真實、完整的向用戶告知企業的基本情況、個人信息收集、使用目的、范圍及場景、個人信息處理方式及規則、對外共享及披露情形、個人信息主體權利保障機制、投訴處理渠道等。
個人信息保護政策應公開發布且應送達個人信息主體， 由用戶在注冊或首次運行產品時閱讀並勾選同意後才可繼續使用。如涉及個人信息會被用於用戶畫像和個性化展示的，則應在《隱私政策》中徵得用戶的同意，充分保障用戶知情權；而在進行自動化決策前，應當就自動化決策的透明和公平性做好充分說明。
需要特別注意的是，《個人信息保護法》要求對於收集個人敏感信息的，應取得用戶的單獨同意[10]，因此企業不能採取過去的概約性、打包式的同意，而應單獨提示用戶勾選同意方可。
2、信息主體權益保障義務（應提供個人信息查閱復制、修正、移轉及刪除服務）
《個人信息保護法》明確了在個人信息處理活動中個人的各項權利，包括知情權、決定權、限制權、拒絕權、查閱、復制權、可攜權、更正、補充權、刪除權。既然個人享有一系列個人信息權利，也意味著個人信息處理者負有配合個人權利行使的義務。企業需要根據用戶個人的需求，靈活和准確地響應數據主體訪問查詢、更正、刪除、移轉等要求。
1）接受信息主體的要求，提供個人信息查閱、復制的途徑及服務
長期以來，不少互聯網平台將用戶信息視為重要的財產性權益，而用戶想了解平台到底掌握自己哪些信息卻有時連查詢的渠道、途徑都沒有。GDPR開了個人信息嚴格保護的先河，確認個人有查詢權，即有權要求互聯網公司（信息控制者）提供掌握本人信息的明細清單。
《個人信息保護法》也規定了企業應為用戶提供個人信息查閱、復制的法律義務，因此企業也應制定相應的接受用戶要求、核實身份、匯總信息、提供信息的制度和流程。
2）接受信息主體的要求， 提供個人信息修正的途徑及服務
《個人信息保護法》第十五條規定了信息主體對個人信息的修改權，企業應為個人信息處理者提供修正的途徑和服務。相應的，企業應建立起修正溝通渠道、內部修正機制等。
3）接受信息主體的要求，提供移轉的途徑及服務
《個人信息保護法》第十五條規定了信息主體對個人信息的可攜帶權，即個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。該規定不僅有利於個人自由處理其個人信息，也有利於打破數據壟斷和數據孤島現象。而作為企業也應就此制定移轉的內部操作流程。
4）接受信息主體的要求，提供便捷刪除服務
《個人信息保護法》第十五條規定了「基於個人同意而進行的個人信息處理活動，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式」。
撤回同意，是個人信息主體處分自身權利的一種方式。企業應確定撤回方式、撤回渠道等響應機制，並應保證用戶行使權力的便利性，符合「便捷原則」。
雖然法律未解釋何為「便捷」， 但按照通常的理解，「撤回」的難度不應大於「同意」的難度。
因此，企業可在企業主網頁、APP登錄入口等顯著頁面安置「撤回」的鏈接或選項， 並提供明晰的操作指導。企業內部因數據的修改和刪除有可能涉及多個部門，故應建立一系列的操作流程，並應研判其中的風險。
3、數據與演算法的合規義務
1）數據質量的檢查和審視，防止因數據質量引發歧視
演算法以數據為基礎， 數據不準確，則演算法結果、數據分析結論則基本不會准確，有可能會對相關數據主體帶來負面評價，從而導致其合法權益受到影響。
《個人信息保護法》第8條規定：
「處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。」
《個人信息保護法》將保證個人信息質量作為企業的法定義務，從企業的角度說，則應建立檢查和審視數據的相應制度和流程， 以保障數據獲取的准確度。
2）保證演算法公平合理， 防止不合理差別待遇
互聯網時代「演算法為王」。演算法推薦是搜索引擎、社交軟體、電子商務等幾乎所有平台的標配。平台用代碼、演算法替代了傳統的內容分發過程中編輯的角色，提高了服務效率的同時，也會導致例如大數據殺熟、劣質內容泛濫等一系列侵犯用戶權利的現象。也正因為演算法推薦下的社會問題層出不窮，國家開始通過立法手段進行干預，並在《個人信息保護法》下初步確立了演算法問責制，這在我國還是首次。
《個人信息保護法》第二十四條規定，
個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正。
演算法的透明性、公平及公正性本屬於倫理范疇， 《個人信息保護法》將它上升到了法律的高度， 成為相關企業的法律義務。它要求個人信息處理者必須對所用演算法進行檢查和審視，保證自動化決策的透明度和結果的公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。
3) 自動化決策（演算法），需遵循「明確合理目的」以及「個人權益影響最小」兩個原則
《個人信息保護法》第六條規定，企業進行自動化決策，需遵循「明確合理目的」以及「個人權益影響最小」兩個原則，而且在自動化決策對個人權益造成重大影響時，應「向個人提供便捷的拒絕方式」， 也即賦予個人主體拒絕權。這對於長期以來通過個性化推薦、通過用戶畫像為用戶提供各種信息服務的企業來說，產生較強的影響和制約。
4、事前風險評估義務[11]
根據《個人信息保護法》的規定，在下列情況中，企業應當進行事前風險評估，且應將風險評估報告和處理情況記錄至少保存三年：
1）處理敏感個人信息;
2）利用個人信息進行自動化決策;
3） 委託處理個人信息、向他人提供個人信息、公開個人信息;
4） 向境外提供個人信息;
5）其他對個人有重大影響的個人信息處理活動。
我國《數據安全法》中僅規定「重要數據」的處理者應當對其數據活動定期開展風險評估,並向有關主管部門報送風險評估報告[12]；《個人信息保護法》則明確在涉及「敏感個人信息」、「自動化決策」、「委託處理」、「向第三方提供」、「對外公開」、「跨境提供」等情形下賦予所有的個人信息處理者以「事前評估」的義務。
因此，風險評估將成為作為信息處理者的企業的一項經常性工作， 應將其制度化、常態化，在保證評估質量的情況下盡量實現高效、快捷。
筆者認為，風險評估報告應當包括本組織涉及的個人信息種類、數量, 收集、存儲、使用、委託、提供等的情況,面臨的安全風險及其應對措施等。
5、合規審計義務
《個人信息保護法》要求定期對企業處理個人信息遵守法律、行政法規的情況進行合規審計[13]。但由誰審計、具體審計內容、審計標准尚未有明確規定，企業應未雨綢繆，參照《個人信息保護法》、《網路安全法》、《數據保護法》三部基本法律中相對具體的規定，制定出應對審計的方案。筆者認為，主要內容應包括：
1） 審查內部管理制度和個人信息備忘錄的完備性和合規性；
2） 定期審計個人信息處理和管理工作；
3） 審計履行個人信息查閱復制、修正、移轉及刪除義務情況（信息主體權益保障情況）；
4） 審核風險評估報告及記錄情況；
5） 審核個人信息相關的合同及其他法律文書；
6） 根據個人信息及數據相關法律法規的更新，及時調整內部制度的情況。
6、委託外部進行個人信息處理的合規義務
《個人信息保護法》並非不允許進行個人信息的外部委託處理， 但是應區分「共同處理」與「委託處理」， 其中，共同處理應取得信息主體的充分授權。
在數字經濟發展迅猛的今天， 數據外部委託處理已經極為常見， 比如雲服務，SAAS服務等， 均需要數據的外部存儲與處理。委託處理雖不必取得信息主體的授權，但是，《個人信息保護法》生效後，在對委託第三方（受託人）處理的情況下，委託處理個人信息之前，應事先進行個人信息保護影響評估，並對處理情況進行記錄。
雙方應簽訂書面委託合同, 其中應清楚載明委託事項、受託人許可權、期間等事項， 尤其是委託受託人進行信息處理不應超過個人權利主體的授權許可權或相關法律授予的許可權。
7、跨境數據傳輸的合規義務
《個人信息保護法》並非禁止個人信息跨境傳輸，而是規定了實現數據跨境傳輸的必要條件以及制度性框架，並引入了國際上一些較為成熟的做法，如標准合同機制等。但是，在操作層面還有待於進一步的制度以及有關部門的指導性意見去進行細化，包括標准合同模板、國家網信部門的評估流程及標准、認證部門及認證標准、不對等國家的清單等[14]。因此，在跨境數據流動場景中，企業應嚴格按照《個人信息保護法》、《網路安全法》與《數據安全法》的規定， 慎重處理跨境數據傳輸的問題。
對於企業(尤其是互聯網企業)而言，《個人信息保護法》要求的企業合規內容多而雜，可能涉及企業多個部門，因此企業應根據自身實際情況有一個完整的應對思路和方案， 所有部門都應當做好調整和配合的准備。
我國的《個人信息保護法》吸收了國外立法的優秀做法以及過往國內實踐寶貴經驗，可謂是「集大成者」，真正把我國對個人信息保護提升到了新的水平；但「徒法不足以自行」，個人信息保護法還有待於包括企業在內的各方一起努力，才能真正起到保護公民個人信息、維護公民網路空間權益以及促進信息合理利用的作用。
相關鏈接：
全文 | 《中華人民共和國個人信息保護法》
每周速覽 | 個人信息保護法草案三審
注釋：
[1] 個人信息處理者不僅僅包括企業，也包括政府部門、事業單位等；本文主要討論企業的合規義務。
[2] 數據是信息的載體， 個人信息在網路環境下通常以數據形式存在，故在網路時代個人信息保護和數據保護不可分離。
[3] 參見《個人信息保護法》第58條。
[4] 參見《個人信息保護法》第五十二條：處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及採取的保護措施等進行監督。個人信息處理者應當公開個人信息保護負責人的聯系方式，並將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
[5] 參見《網路安全法》第10條。
[6] 參見《數據安全法》 第25條。
[9] 參見《網路安全法》第 25 條。
[10] 參見《個人信息保護法》第 29 條。
[11] 參見《個人信息保護法》第 55 條。
[12] 參見《數據安全法》 第28條.
[13] 《個人信息保護法》第54條規定：個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
[14] 參見《個人信息保護法》第38條、第40條、第43條。

D. 旅遊景點的門票會泄露個人信息嗎

不會

?1.我國《個人信息保護法》實施，旅遊場景下的實名制，在提升數據分析能力、助力景區智慧發展時，有效保護個人信息。遊客們可通過二維碼進入景區多方位守護信息安全，實名預約收集的個人信息，屬於公民的個人敏感信息並可能形成公民個人隱私。

?2.信息安全等級保護指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

?3.11月1日《個人信息保護法》正式施行，明確任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。在個人信息處理者義務中特別提到，企業在處理個人信息時，應當採取加密、去標識化等安全技術措施。

E. 工商局泄露注冊電話違法嗎

法律分析：是違法的。作為剛注冊成立的公司，該注冊號碼可以由公司所有人決定是否公開，工商局自行公開注冊電話，是侵犯個人隱私的行為。您可以到工商局的相關部門申訴，必要的時候，如果有充足的證據是工商局泄露的信息，您可以主張損害賠償。

法律依據：《個人信息保護法》第五十一條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，採取下列措施確保個人信息處理活動符合法律、行政法規的規定，並防止未經授權的訪問以及個人信息泄露、篡改、丟失：（一）制定內部管理制度和操作規程；（二）對個人信息實行分類管理；（三）採取相應的加密、去標識化等安全技術措施；（四）合理確定個人信息處理的操作許可權，並定期對從業人員進行安全教育和培訓；（五）制定並組織實施個人信息安全事件應急預案；（六）法律、行政法規規定的其他措施。

F. 根據中華人民共和國個人信息保護法規定個人信息不包括

第一章總則

第一條為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法。

第二條自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。

第三條在中華人民共和國境內處理自然人個人信息的活動，適用本法。

在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：

（一）以向境內自然人提供產品或者服務為目的；

（二）分析、評估境內自然人的行為；

（三）法律、行政法規規定的其他情形。

第四條個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

第五條處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

第六條處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式。

收集個人信息，應當限於實現處理目的的最小范圍，不得過度收集個人信息。

第七條處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍。

第八條處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。

第九條個人信息處理者應當對其個人信息處理活動負責，並採取必要措施保障所處理的個人信息的安全。

第十條任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。

第十一條國家建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業、相關社會組織、公眾共同參與個人信息保護的良好環境。

第十二條國家積極參與個人信息保護國際規則的制定，促進個人信息保護方面的國際交流與合作，推動與其他國家、地區、國際組織之間的個人信息保護規則、標准等互認。

第二章個人信息處理規則

第一節一般規定

第十三條符合下列情形之一的，個人信息處理者方可處理個人信息：

（一）取得個人的同意；

（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；

（三）為履行法定職責或者法定義務所必需；

（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；

（五）為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；

（六）依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；

（七）法律、行政法規規定的其他情形。

依照本法其他有關規定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。

第十四條基於個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自願、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定。

個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。

第十五條基於個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。

個人撤回同意，不影響撤回前基於個人同意已進行的個人信息處理活動的效力。

第十六條個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬於提供產品或者服務所必需的除外。

第十七條個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、准確、完整地向個人告知下列事項：

（一）個人信息處理者的名稱或者姓名和聯系方式；

（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；

（三）個人行使本法規定權利的方式和程序；

（四）法律、行政法規規定應當告知的其他事項。

前款規定事項發生變更的，應當將變更部分告知個人。

個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的，處理規則應當公開，並且便於查閱和保存。

第十八條個人信息處理者處理個人信息，有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個人告知前條第一款規定的事項。

緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的，個人信息處理者應當在緊急情況消除後及時告知。

第十九條除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的最短時間。

第二十條兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。

個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任。

第二十一條個人信息處理者委託處理個人信息的，應當與受託人約定委託處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，並對受託人的個人信息處理活動進行監督。

受託人應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委託合同不生效、無效、被撤銷或者終止的，受託人應當將個人信息返還個人信息處理者或者予以刪除，不得保留。

未經個人信息處理者同意，受託人不得轉委託他人處理個人信息。

第二十二條個人信息處理者因合並、分立、解散、被宣告破產等原因需要轉移個人信息的，應當向個人告知接收方的名稱或者姓名和聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。

第二十三條個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，並取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。

第二十四條個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式。

通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

第二十五條個人信息處理者不得公開其處理的個人信息，取得個人單獨同意的除外。

第二十六條在公共場所安裝圖像採集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公共安全的目的，不得用於其他目的；取得個人單獨同意的除外。

第二十七條個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意。

第二節敏感個人信息的處理規則

第二十八條敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。

第二十九條處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。

第三十條個人信息處理者處理敏感個人信息的，除本法第十七條第一款規定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響；依照本法規定可以不向個人告知的除外。

第三十一條個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意。

個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規則。

第三十二條法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作出其他限制的，從其規定。

第三節國家機關處理個人信息的特別規定

第三十三條國家機關處理個人信息的活動，適用本法；本節有特別規定的，適用本節規定。

第三十四條國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的許可權、程序進行，不得超出履行法定職責所必需的范圍和限度。

第三十五條國家機關為履行法定職責處理個人信息，應當依照本法規定履行告知義務；有本法第十八條第一款規定的情形，或者告知將妨礙國家機關履行法定職責的除外。

第三十六條國家機關處理的個人信息應當在中華人民共和國境內存儲；確需向境外提供的，應當進行安全評估。安全評估可以要求有關部門提供支持與協助。

第三十七條法律、法規授權的具有管理公共事務職能的組織為履行法定職責處理個人信息，適用本法關於國家機關處理個人信息的規定。

第三章個人信息跨境提供的規則

第三十八條個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：

（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；

（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；

（三）按照國家網信部門制定的標准合同與境外接收方訂立合同，約定雙方的權利和義務；

（四）法律、行政法規或者國家網信部門規定的其他條件。

中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的，可以按照其規定執行。

個人信息處理者應當採取必要措施，保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標准。

第三十九條個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，並取得個人的單獨同意。

第四十條關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。

第四十一條中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關於提供存儲於境內個人信息的請求。非經中華人民共和國主管機關批准，個人信息處理者不得向外國司法或者執法機構提供存儲於中華人民共和國境內的個人信息。

第四十二條境外的組織、個人從事侵害中華人民共和國公民的個人信息權益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，並採取限制或者禁止向其提供個人信息等措施。

第四十三條任何國家或者地區在個人信息保護方面對中華人民共和國採取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區對等採取措施。

第四章個人在個人信息處理活動中的權利

第四十四條個人對其個人信息的處理享有知情權、決定權，有許可權制或者拒絕他人對其個人信息進行處理；法律、行政法規另有規定的除外。

第四十五條個人有權向個人信息處理者查閱、復制其個人信息；有本法第十八條第一款、第三十五條規定情形的除外。

個人請求查閱、復制其個人信息的，個人信息處理者應當及時提供。

個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。

第四十六條個人發現其個人信息不準確或者不完整的，有權請求個人信息處理者更正、補充。

個人請求更正、補充其個人信息的，個人信息處理者應當對其個人信息予以核實，並及時更正、補充。

第四十七條有下列情形之一的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除：

（一）處理目的已實現、無法實現或者為實現處理目的不再必要；

（二）個人信息處理者停止提供產品或者服務，或者保存期限已屆滿；

（三）個人撤回同意；

（四）個人信息處理者違反法律、行政法規或者違反約定處理個人信息；

（五）法律、行政法規規定的其他情形。

法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和採取必要的安全保護措施之外的處理。

第四十八條個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。

第四十九條自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使本章規定的查閱、復制、更正、刪除等權利；死者生前另有安排的除外。

第五十條個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的，應當說明理由。

個人信息處理者拒絕個人行使權利的請求的，個人可以依法向人民法院提起訴訟。

第五章個人信息處理者的義務

第五十一條個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，採取下列措施確保個人信息處理活動符合法律、行政法規的規定，並防止未經授權的訪問以及個人信息泄露、篡改、丟失：

（一）制定內部管理制度和操作規程；

（二）對個人信息實行分類管理；

（三）採取相應的加密、去標識化等安全技術措施；

（四）合理確定個人信息處理的操作許可權，並定期對從業人員進行安全教育和培訓；

（五）制定並組織實施個人信息安全事件應急預案；

（六）法律、行政法規規定的其他措施。

第五十二條處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及採取的保護措施等進行監督。

個人信息處理者應當公開個人信息保護負責人的聯系方式，並將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。

第五十三條本法第三條第二款規定的中華人民共和國境外的個人信息處理者，應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，並將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。

第五十四條個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。

第五十五條有下列情形之一的，個人信息處理者應當事前進行個人信息保護影響評估，並對處理情況進行記錄：

（一）處理敏感個人信息；

（二）利用個人信息進行自動化決策；

（三）委託處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；

（四）向境外提供個人信息；

（五）其他對個人權益有重大影響的個人信息處理活動。

第五十六條個人信息保護影響評估應當包括下列內容：

（一）個人信息的處理目的、處理方式等是否合法、正當、必要；

（二）對個人權益的影響及安全風險；

（三）所採取的保護措施是否合法、有效並與風險程度相適應。

個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

第五十七條發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即採取補救措施，並通知履行個人信息保護職責的部門和個人。通知應當包括下列事項：

（一）發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；

（二）個人信息處理者採取的補救措施和個人可以採取的減輕危害的措施；

（三）個人信息處理者的聯系方式。

個人信息處理者採取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個人信息處理者可以不通知個人；履行個人信息保護職責的部門認為可能造成危害的，有權要求個人信息處理者通知個人。

第五十八條提供重要互聯網平台服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當履行下列義務：

（一）按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；

（二）遵循公開、公平、公正的原則，制定平台規則，明確平台內產品或者服務提供者處理個人信息的規范和保護個人信息的義務；

（三）對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者，停止提供服務；

（四）定期發布個人信息保護社會責任報告，接受社會監督。

第五十九條接受委託處理個人信息的受託人，應當依照本法和有關法律、行政法規的規定，採取必要措施保障所處理的個人信息的安全，並協助個人信息處理者履行本法規定的義務。

第六章履行個人信息保護職責的部門

第六十條國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作。

縣級以上地方人民政府有關部門的個人信息保護和監督管理職責，按照國家有關規定確定。

前兩款規定的部門統稱為履行個人信息保護職責的部門。

第六十一條履行個人信息保護職責的部門履行下列個人信息保護職責：

（一）開展個人信息保護宣傳教育，指導、監督個人信息處理者開展個人信息保護工作；

（二）接受、處理與個人信息保護有關的投訴、舉報；

（三）組織對應用程序等個人信息保護情況進行測評，並公布測評結果；

（四）調查、處理違法個人信息處理活動；

（五）法律、行政法規規定的其他職責。

第六十二條國家網信部門統籌協調有關部門依據本法推進下列個人信息保護工作：

（一）制定個人信息保護具體規則、標准；

（二）針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智慧等新技術、新應用，制定專門的個人信息保護規則、標准；

（三）支持研究開發和推廣應用安全、方便的電子身份認證技術，推進網路身份認證公共服務建設；

（四）推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服務；

（五）完善個人信息保護投訴、舉報工作機制。

第六十三條履行個人信息保護職責的部門履行個人信息保護職責，可以採取下列措施：

（一）詢問有關當事人，調查與個人信息處理活動有關的情況；

（二）查閱、復制當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料；

（三）實施現場檢查，對涉嫌違法的個人信息處理活動進行調查；

（四）檢查與個人信息處理活動有關的設備、物品；對有證據證明是用於違法個人信息處理活動的設備、物品，向本部門主要負責人書面報告並經批准，可以查封或者扣押。

履行個人信息保護職責的部門依法履行職責，當事人應當予以協助、配合，不得拒絕、阻撓。

第六十四條履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以按照規定的許可權和程序對該個人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者委託專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求採取措施，進行整改，消除隱患。

履行個人信息保護職責的部門在履行職責中，發現違法處理個人信息涉嫌犯罪的，應當及時移送公安機關依法處理。

第六十五條任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理，並將處理結果告知投訴、舉報人。

履行個人信息保護職責的部門應當公布接受投訴、舉報的聯系方式。

G. 怎麼查詢罪犯信息

個人犯罪記錄屬於個人隱私，不對任何公眾公開。
個人信息保護可以通過資料庫安全的技術手段實現，核心數據加密存儲，通過資料庫防火牆實現批量數據防泄漏，也可以通過數據脫敏實現批量個人數據的匿名化，通過數字水印實現溯源處理。
關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。
處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。
《中華人民共和國個人信息保護法》第二十九條 處理敏感個人信息應當取得個人的單獨同意，法律，行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。
第三十四條 國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的許可權、程序進行，不得超出履行法定職責所必需的范圍和限度。
第五十一條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，採取下列措施確保個人信息處理活動符合法律、行政法規的規定，並防止未經授權的訪問以及個人信息泄露、篡改、丟失：
（一）制定內部管理制度和操作規程；
（二）對個人信息實行分類管理；
（三）採取相應的加密、去標識化等安全技術措施；
（四）合理確定個人信息處理的操作許可權，並定期對從業人員進行安全教育和培訓；
（五）制定並組織實施個人信息安全事件應急預案；
（六）法律、行政法規規定的其他措施。

H. 如何控制信息風險

1、提高警惕：

當整體行情出現較大升幅，成交量屢屢創出天量，股市中賺錢效應普及，市場人氣鼎沸，投資者踴躍入市，股民對風險意識逐漸淡漠時，往往是系統性風險將要出現的徵兆。從投資價值分析，當市場整體價值有高估趨勢的時候，投資者切不可放鬆對系統性風險的警惕。

2、投入比例：

股市行情的運行過程中，始終存在著不確定性因素，投資者可以根據行情發展的階段來不斷調整資金投入比例。由於股市升幅較大，從有效控制風險的角度出發，投資者不宜採用重倉操作的方式，至於全進全出的滿倉操作更加不合時宜。

這一時期需要將資金投入比例控制在可承受風險的范圍內。倉位較重的投資者可以有選擇地拋出一些股票，減輕倉位，或者將部分投資資金用於相對較安全的投資中，如申購新股等。

3、贏損准備：

投資者無法預測什麼時候會出現系統性風險，尤其在行情快速上升的時期。如果提前賣出手中的股票，往往意味著投資者無法享受「瘋狂」行情的拉升機會。這時，投資者可以在控制倉位的前提下繼續持股，但隨時做好止贏或止損的准備，一旦市場出現系統性風險的時候，投資者可以果斷斬倉賣出，從而防止損失的進一步擴大。

(8)個人信息處理者應當採取相應的加密去標識化擴展閱讀：

信息系統風險的主要影響因素：

1、股價過高：

當股市經過狂炒後特別是無理性的炒作後，股價就會大幅飆升，從而導致股市的平均市盈率偏高、相對投資價值不足，此時先入市資金的盈利已十分豐厚，一些股民就會率先撤出，將資金投向別處，從而導致股市的暴跌。股市上有一句名言，暴漲之後必有暴跌，暴漲與暴跌是一對孿生兄弟，就是對這種風險的一種客觀描述。

2、從眾行為

在股市上，許多股民並無主見，看見別人拋售股票時，也不究其緣由，就認為該股票行情看跌，便跟著大量拋售，以致引起一個拋售狂潮，從而使該股票價格猛跌，造成股票持有人的損失。

3、環境惡化：

當一個國家宏觀經濟政策發生變化而將對上市公司的經營乃至整個國民經濟產生不利影響時，如政權或政府的更迭及某個領導人的逝世、戰爭及其他因素引起的社會動盪，在此時，所有企業的經營都無一例外地要受其影響，其經營水平面臨普遍下降的危險，股市上所有的股票價格都將隨之向下調整。

I. 個人信息處理者應當採取相應的加密

個人信息處理者應當採取相應的加密、去標識化等安全技術措施。
公民個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
符合下列情形之一的，個人信息處理者方可處理個人信息：
1、取得個人的同意；
2、為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；
3、為履行法定職責或者法定義務所必需；
4、為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；
5、為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；
6、依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；
7、法律、行政法規規定的其他情形。
【法律法規】
《中華人民共和國個人信息保護法》
第十七條 個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、准確、完整地向個人告知下列事項：
（一）個人信息處理者的名稱或者姓名和聯系方式；
（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；
（三）個人行使本法規定權利的方式和程序；
（四）法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的，應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的，處理規則應當公開，並且便於查閱和保存。第十四條 基於個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自願、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。

J. 關於個人信息的法律適用規則

法律分析：相關法律法規釐清了個人信息、敏感個人信息、個人信息處理者、自動化決策、去標識化、匿名化的基本概念，從適用范圍、個人信息處理的基本原則、個人信息及敏感個人信息處理規則、個人信息跨境傳輸規則、個人信息保護領域各參與主體的職責與權力以及法律責任等方面對個人信息保護進行了全面規定，建立起個人信息保護領域的基本制度體系。

法律依據：《個人信息保護法》

第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

第五條 處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

第六條 處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式。

收集個人信息，應當限於實現處理目的的最小范圍，不得過度收集個人信息。