主题
附录C 法律条文速查
本表说明:本书引用的法律条款编号、主题、施行日期,均以国家法律法规数据库(flk.npc.gov.cn)公布的官方文本为唯一依据。本附录仅供检索索引,不逐字转引条文,仅以一句话概括要旨,便于读者快速定位。如需用于维权、诉讼或合规等正式场景,请务必前往国家法律法规数据库核对原文,并以最新修订文本为准。
本附录将三部基础法律——《中华人民共和国个人信息保护法》(个保法,2021-11-01 施行)、《中华人民共和国数据安全法》(数安法,2021-09-01 施行)、《中华人民共和国网络安全法》(网安法,2017-06-01 施行)——中与个人隐私安全防御最相关的条款整理为索引表。每条给出:条款号、主题、一句话核心要点、在本书中的对应章节,便于读者"查条文 → 读解读 → 落实防护"三者联动。
三法的分工口径参见本书第 1 章:网安法管"管道"、数安法管"数据本身"、个保法管"你和你的数据之间的关系"。
一、个人信息保护法(个保法)
个保法是三部法律中与普通人关系最直接的一部。它以"告知—同意"为核心规则,赋予个人八项权利,并对处理者施加全面的安全保护义务。以下按主题分组索引。
1. 核心定义与适用范围
| 条款号 | 主题 | 核心要点(一句话) | 本书对应章节 |
|---|---|---|---|
| 第 4 条 | 个人信息定义 | 以电子或其他方式记录的、与已识别或可识别的自然人有关的各种信息;处理包括收集、存储、使用、加工、传输、提供、公开、删除——存而不动也算处理 | 第 1、2 章 |
| 第 5—8 条 | 处理基本原则 | 应当遵循合法、正当、必要和诚信原则;目的明确、最小必要、公开透明、质量准确、安全保障 | 第 1、6、7 章 |
| 第 28 条 | 敏感个人信息 | 一旦泄露或非法使用,容易导致人身、财产安全受到严重危害或涉及个人尊严的信息;典型如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹,以及不满 14 周岁未成年人信息 | 第 1、6、7、17 章 |
2. 处理的合法基础与同意规则
| 条款号 | 主题 | 核心要点(一句话) | 本书对应章节 |
|---|---|---|---|
| 第 13 条 | 处理合法基础 | 列举取得同意、订立/履行合同所必需、履行法定职责或义务、应对突发公共卫生事件、公共利益新闻报道、公开信息处理等合法事由 | 第 1、7、16 章 |
| 第 14 条 | 同意要求 | 同意须在充分知情前提下由个人自愿、明确作出;法律行政法规规定需"单独同意"的从其规定 | 第 1、7 章 |
| 第 15 条 | 撤回同意 | 个人有权撤回同意,且撤回不影响撤回前基于同意的处理效力;处理者须提供便捷的撤回方式 | 第 7、16 章 |
| 第 16 条 | 不得以不同意为由拒服务 | 不得以个人不同意或撤回同意为由,拒绝提供产品或服务(法律另有规定的除外) | 第 6、7、16 章 |
3. 自动化决策与敏感信息处理
| 条款号 | 主题 | 核心要点(一句话) | 本书对应章节 |
|---|---|---|---|
| 第 24 条 | 自动化决策 | 决策应当保证透明度和结果公平、公正;不得对个人在交易价格等条件上实行不合理的差别待遇(即"大数据杀熟"的直接依据);个人有权要求说明,并有权拒绝仅通过自动化决策作出的决定 | 第 2、9 章 |
| 第 29 条 | 敏感信息单独同意 | 处理敏感个人信息须取得"单独同意",不能塞入冗长协议一键全勾 | 第 6、7 章 |
| 第 30 条 | 敏感信息告知义务 | 须向个人告知处理敏感信息的必要性以及对个人权益的影响 | 第 1、6 章 |
| 第 31 条 | 未成年人特殊规定 | 不满 14 周岁未成年人信息处理须取得监护人同意,并制定专门处理规则 | 第 17 章 |
| 第 32 条 | 特定行业规定 | 处理敏感信息的法律、行政法规对特定行业另有规定的,从其规定 | 第 1 章 |
4. 国家机关处理与跨境提供
| 条款号 | 主题 | 核心要点(一句话) | 本书对应章节 |
|---|---|---|---|
| 第 33—37 条 | 国家机关处理 | 国家机关为履行法定职责处理个人信息适用个保法,并须遵循告知、必要、安全保密等特别义务;国家机关原则上不得向境外提供个人信息 | 第 1 章 |
| 第 38 条 | 跨境提供方式 | 向境外提供须满足下列之一:通过国家安全评估、经个人信息保护认证、按标准合同(SCC)、法律行政法规规定的其他条件 | 第 11 章 |
| 第 39 条 | 跨境告知与单独同意 | 须向个人告知境外接收方相关信息(名称、联系方式、处理目的、方式、信息种类、行使权利的方式等),并取得单独同意 | 第 11 章 |
5. 个人权利(第四章核心,"八项权利"的法律出处)
| 条款号 | 主题 | 核心要点(一句话) | 本书对应章节 |
|---|---|---|---|
| 第 44 条 | 知情权、决定权 | 个人对其个人信息的处理享有知情权和决定权(法律、行政法规另有规定的除外),有权限制或者拒绝 | 第 1、16 章 |
| 第 45 条 | 查询权、复制权 | 个人有权向处理者查询、复制其个人信息;这是多数平台"导出我的数据"功能的法律来源 | 第 2、16 章 |
| 第 46 条 | 更正权、补充权 | 个人发现其个人信息不准确或不完整的,有权请求处理者更正、补充 | 第 16 章 |
| 第 47 条 | 删除权 | 在目的已实现、撤回同意、不再提供产品服务、违规处理等法定情形下,处理者应主动或依请求删除 | 第 7、16 章 |
| 第 48 条 | 解释说明权 | 个人有权要求处理者对其个人信息处理规则进行解释说明 | 第 2、16 章 |
| 第 49 条 | 死者近亲属权利 | 自然人死亡,其近亲属为自身合法、正当利益,可对死者个人信息行使查询、复制、更正、删除等权利 | 第 16 章 |
| 第 50 条 | 处理者受理机制 | 处理者应当建立便捷的申请受理机制;拒绝个人行使权利请求的,应当说明理由 | 第 16 章 |
6. 处理者义务与法律责任
| 条款号 | 主题 | 核心要点(一句话) | 本书对应章节 |
|---|---|---|---|
| 第 51 条 | 安全保护义务 | 处理者应根据处理目的、方式、信息种类、风险等采取相应措施:内部制度与操作规程、分类管理、加密与去标识化、操作权限控制、教育培训、应急预案等 | 第 6、7、14 章 |
| 第 55 条 | 保护影响评估(PIA) | 处理敏感信息、自动化决策、委托处理、对外提供、公开、跨境提供等情形,应事前进行个人信息保护影响评估并留存处理情况记录 | 第 1、2 章 |
| 第 57 条 | 泄露补救与通知 | 发生或可能发生个人信息泄露、篡改、丢失时,应立即采取补救措施,并通知履行个人信息保护职责的部门和个人 | 第 14、18 章 |
| 第 66 条 | 法律责任与罚则 | 违法处理或未尽义务:责令改正、警告、没收违法所得;拒不改正处一百万元以下罚款;情节严重处五千万元以下或上一年度营业额 5% 以下罚款,并可吊销许可,对责任人员处一万元以上一百万元以下罚款 | 第 1、16 章 |
| 第 67 条 | 信用档案与公示 | 有本法规定违法行为的,依照有关法律、行政法规规定记入信用档案并予以公示 | 第 1 章 |
说明:第 66 条罚款额度的具体表述(如"百分之五""五千万元以下""一百万元以下"等)以官方文本为准;个保法后续若有配套实施文件或修正案,以最新文本为准(待复核)。
二、数据安全法(数安法)
数安法聚焦"数据本身"的安全分级与保护,是理解个人信息之外的"重要数据""核心数据"管理的基础。对个人而言,它主要影响你对"平台是否妥善保管了我的数据"这一问题的判断。
| 条款号 | 主题 | 核心要点(一句话) | 本书对应章节 |
|---|---|---|---|
| 第 21 条 | 数据分级分类 | 国家建立数据分类分级保护制度;关系国家安全、国民经济命脉、重要民生、重大公共利益的数据属于"重要数据",国家对其建立目录管理 | 第 1、14 章 |
| 第 27 条 | 安全保护义务 | 开展数据处理活动应建立健全全流程数据安全管理制度,采取技术措施和其他必要措施保障数据安全;重要数据处理者应明确数据安全负责人和管理机构 | 第 6、14 章 |
| 第 30 条 | 风险评估义务 | 重要数据处理者应当按照规定定期开展风险评估,并向有关主管部门报送评估报告 | 第 14 章 |
| 第 31 条 | 重要数据出境 | 关键信息基础设施运营者境内运营中收集和产生的个人信息和重要数据应当境内存储;确需向境外提供的,应按国家网信部门会同有关部门制定的办法进行安全评估 | 第 11 章 |
数安法的法律责任(含未履行安全保护义务的罚款)见该法第六章;罚则具体额度以官方文本为准(待复核)。
三、网络安全法(网安法)
网安法是三部法律中最早施行的,管"网络和系统本身"的安全运行。其中第 40—45 条是早期的"个人信息保护专节",后被个保法进一步细化,但仍是直接可援引的条文。
| 条款号 | 主题 | 核心要点(一句话) | 本书对应章节 |
|---|---|---|---|
| 第 22 条 | 网络产品/服务安全义务 | 网络产品、服务应符合相关国家标准的强制性要求;不得设置恶意程序;发现安全缺陷、漏洞应即时采取补救措施,告知用户并向主管部门报告;持续提供安全维护 | 第 6、10 章 |
| 第 40 条 | 收集使用规则 | 网络运营者收集、使用个人信息,应遵循合法、正当、必要原则,公开收集使用规则,明示目的、方式、范围,并经被收集者同意 | 第 1、6、7 章 |
| 第 41 条 | 不得超范围收集 | 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律法规和约定收集、使用、处理个人信息 | 第 6、7 章 |
| 第 42 条 | 提供第三方与泄露通知 | 未经被收集者同意,不得向他人提供个人信息;经处理无法识别特定个人且不能复原的除外;应保障安全,发生或可能发生泄露时应当告知用户并向主管部门报告 | 第 7、14 章 |
| 第 43 条 | 删除与更正权 | 个人发现网络运营者违反规定或约定收集、使用其个人信息的,有权要求删除;发现信息有错误的,有权要求更正 | 第 16 章 |
| 第 44 条 | 禁止非法获取 | 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息 | 第 1、13 章 |
| 第 45 条 | 监管保密义务 | 依法负有网络安全监管职责的部门及其工作人员,对履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或非法提供 | 第 1 章 |
| 第 76 条 | 相关术语定义 | 对"网络""网络安全""网络运营者""网络数据""个人信息"等术语作出法律定义,是理解前述条款的基础 | 第 1 章 |
网安法的法律责任见该法第六章(第 59—68 条),涵盖对网络运营者、产品服务提供者等不同主体的处罚;具体罚则以官方文本为准(待复核)。
四、配套法规与标准速览
除上述三部法律外,以下规范性文件与国家标准同样构成个人隐私保护的法律实践基础,读者可在需要时查阅:
| 名称 | 性质 | 简要说明 |
|---|---|---|
| 《民法典》第四编"人格权" | 法律(上位依据) | 规定隐私权和个人信息受法律保护,是三部专门法的上位法依据 |
| 《未成年人保护法》(网络保护专章) | 法律 | 对未成年人个人信息、网络素养、防沉迷等作出特别规定 |
| 《关键信息基础设施安全保护条例》 | 行政法规 | 关键信息基础设施运营者的识别与保护义务 |
| 《数据出境安全评估办法》 | 部门规章 | 国家网信部门制定,细化个保法第 38、40 条与数安法第 31 条的出境评估程序 |
| 《个人信息出境标准合同办法》 | 部门规章 | 规范标准合同条款(SCC)的订立、使用与备案 |
| GB/T 35273《信息安全技术 个人信息安全规范》 | 推荐性国家标准 | 实务中常作为"是否合规"的重要参考 |
| GB/T 41391《移动互联网应用程序(App)收集个人信息基本要求》 | 推荐性国家标准 | 对"必要原则"和最小化收集的具体落地,与第 6、7 章密切相关 |
上述配套法规、规章、标准的最新文本及施行状态,请以国家法律法规数据库及相关主管部门官方发布为准;名称与施行日期如与最新文本不一致,以官方为准(待复核)。
五、检索与使用建议
- 先查主题,再查条文:遇到具体问题时,先确定关键词(如"人脸识别""账号注销""数据出境""大数据杀熟""泄露通知"),再到本表对应法律中定位条款号。
- 条款号只供检索:本表的"核心要点"是本书作者根据官方文本作出的概括性陈述,可能与原文表述存在差异。一切正式场景以 flk.npc.gov.cn 原文为准。
- 本书解读与条文联动:每条都标注了本书对应章节,建议按"查条文 → 读对应章节的解读 → 落实防护措施"三步走。
- 关注修订与配套文件:三部法律均可能通过修正案、配套规章更新;数据出境、App 收集等领域的实施细则仍在持续完善。涉及时间敏感事项(如维权、合规)时,务必核对最新施行版本及相关主管部门公告。
- 配合第 16 章使用:本附录是"武器清单"的索引,实际行使权利(投诉、查询、更正、删除、诉讼)的操作路径,详见第 16 章"法律武器与维权"。
⚠️ 免责声明:本附录仅作防御性科普用途,不构成法律建议。法律条文以国家法律法规数据库(flk.npc.gov.cn)公布的官方文本为唯一依据,本表内容仅供检索参考,不逐字转引。涉及具体维权、诉讼、合规事项,建议咨询专业律师或向主管部门核实。本书部分设置可能影响 App 正常功能,请读者自行评估。
⬅ 上一章 附录B 推荐工具清单 | ➡ 下一章 附录D 举报与应急渠道