第三章　个人信息跨境提供的规则

第三十八条 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

本条是关于个人信息出境的规定，个人信息出境的前提是需应业务等需要，需要通过个人信息出境安全评估、保护认证、签订合同等要求，目前国内已颁布数据出境安全评估指南。

境外接收方应当按照本法的规定保护个人信息，故境外接收主体应按本法的规定建立个人信息保护机制、体系。

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

个人信息处理者向境外提供个人信息除了履行告知义务意外，还需要取得单独同意，不能一揽子索权同意。例如，个人信息处理者某APP在个人信息保护政策当中载明了个人信息出境的条款，如果将用户个人信息出境到境外，不另行通知用户同意，违反本法规定，在出境时，可通过弹窗的形式征得个人的同意，属于取得个人的单独同意。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

关基运营者和数量达到规定的处理者在境内收集的个人信息和出境的规定，安全评估是个人信息出境的前提条件

第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

个人信息处理者收到国外司法、执法机构提供个人信息要求时，应当向主管机关申请批准，否则违反本条规定。

第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。

本条是管制条款，关于国家网信部门制裁境外组织或个人，对国内个人信息进行管制。

第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

本条是反制条款。

第四章

个人在个人信息处理活动中的权利

第四十四条 个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。

1、知情权（要求个人信息处理者处理个人信息时要公开透明）

2、决定权（含撤回同意权）

3、限制权

4、拒绝权

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。

个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。

个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

5、查阅、复制权

6、可携带权

第四十六条 个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。

7、更正权

8、可携带权

第四十七条 有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；

（三）个人撤回同意；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

9、删除权

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

10、要求解释说明权

第四十九条 自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。

查阅死亡近亲属查阅死者个人信息必须是为了自身的合法、正当利用为前提。例如，死者近亲属查阅死者的银行存款信息属于为了自身的合法正当利益。例如近亲属调取死者的聊天记录了解死者的隐私，这不属于为了自身的合法、正当利益，违反本条规定。

第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。

个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

个人信息处理者建立便捷的申请机制和处理机制，APP应用可参考个人信息保护政策的便捷访问机制，进入界面后通过三次点击操作可以查询、点击申请受理和处理规则。

个人信息处理者应当制定和发布个人申请受理和处理规则/办法/指南，作为指引性文件。