现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)+ 个保条例(2025)
数据处理者义务与责任
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:个人信息保护 | 数据分类分级 | 数据泄露应急响应
核心法条
- 《个人信息保护法》(2021 年 11 月 1 日起施行)——数据处理者义务体系的总纲性规定 [现行有效]
- 第 51—59 条:个人信息处理者的一般性保护义务(内部管理制度、技术措施、分类管理、培训、应急预案等)
- 第 52 条:处理达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人
- 第 54—55 条:事前个人信息保护影响评估(PIA)义务
- 第 57 条:个人信息泄露等安全事件通知义务
- 第 66—71 条:违法违规的法律责任体系
- 《数据安全法》第 27 条:开展数据处理活动应建立健全全流程数据安全管理制度,开展数据安全教育培训 [现行有效]
- 《数据安全法》第 29 条:重要数据处理者应明确数据安全负责人和管理机构 [现行有效]
- 《数据安全法》第 45—48 条:数据安全法律责任体系 [现行有效]
- 《网络安全法》第 21 条:网络运营者安全保护义务 [现行有效]
- 《网络数据安全管理条例》(国务院令第 795 号,2025 年 1 月 1 日起施行)——"个保条例",细化数据处理者全流程合规义务 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》初次建立网络运营者安全保障义务 | 现行有效 |
| 2021-09-01 | 《数据安全法》建立数据处理者制度 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》建立个人信息处理者义务体系 | 现行有效 |
| 2024-03-22 | 网信办发布《促进和规范数据跨境流动规定》简化部分合规路径 | 现行有效 |
| 2025-01-01 | 《网络数据安全管理条例》施行,全面细化"三法"下的数据处理者义务 | 现行有效,最新基准 |
一、数据处理者的界定
中国数据法律采用"三分法"界定数据处理者:
| 法律身份 | 定义 | 核心法律 |
|---|---|---|
| 网络运营者(CSL 语境) | 网络的所有者、管理者和网络服务提供者 | 网络安全法第 76 条 |
| 数据处理器(DSL 语境) | 在数据处理的各阶段中决定处理目的、方式的组织和个人 | 数据安全法第 3 条 |
| 个人信息处理者(PIPL 语境) | 在个人信息处理活动中自主决定处理目的和处理方式的组织、个人 | 个人信息保护法第 4 条、第 73 条 |
实务注意:同一主体在不同法律框架下可能具有不同身份,需同时满足三部法律下的相应义务。
二、个人信息处理者的一般性义务(PIPL 第 51—59 条)
(一)内部管理义务
- 制定内部管理制度和操作规程(第 51 条第 1 项)
- 建立覆盖收集、存储、使用、加工、传输、提供、公开、删除全生命周期的操作规程
-
实行分类分级管理
-
技术措施(第 51 条第 2 项)
- 采取加密、去标识化等安全技术措施
-
合理确定个人信息处理的操作权限
-
培训与考核(第 51 条第 3 项)
- 定期对从业人员进行安全教育和培训
-
建立考核机制
-
应急预案(第 51 条第 4 项)
- 制定个人信息安全事件应急预案
- 定期组织演练
(二)个人信息保护负责人制度(PIPL 第 52 条)
- 适用条件:达到国家网信部门规定数量的信息处理者
- 个保条例细化:处理 100 万人以上个人信息 的处理者应当指定负责人,并向网信部门报送姓名、联系方式等信息
- 负责人职责:监督个人信息处理活动、保护个人信息权益、接受用户投诉举报
- 公开要求:负责人姓名和联系方式应当对外公布
(三)个人信息保护影响评估(PIA)义务(PIPL 第 55—56 条)
触发情形:
| 情形 | 法条 |
|---|---|
| 处理敏感个人信息 | 第 55 条第 1 项 |
| 利用个人信息进行自动化决策 | 第 55 条第 2 项 |
| 委托处理、提供个人信息、公开个人信息 | 第 55 条第 3 项 |
| 向境外提供个人信息 | 第 55 条第 4 项 |
| 其他对个人权益有重大影响的活动 | 第 55 条第 5 项 |
评估内容:
- 个人信息处理目的、方式是否合法、正当、必要
- 对个人权益的影响及安全风险
- 保护措施是否合法、有效
记录保存:评估报告和处理情况记录应保存 至少三年(个保条例进一步要求)。
三、数据处理者的数据安全义务(DSL 第 27—30 条)
- 全流程安全管理制度(第 27 条)
- 建立数据安全责任制
- 采取技术措施和其他必要措施保障数据安全
-
加强风险监测
-
风险评估与报告(第 30 条)
- 重要数据处理者应当定期开展风险评估并报送主管部门
-
报告内容涵盖数据种类、数量、处理情况和安全状况
-
应急处理(第 29 条)
- 重要数据处理者应明确数据安全负责人和管理机构
- 制定数据安全事件应急预案
四、委托处理与共同处理
委托处理(PIPL 第 21 条)
- 个人信息处理者委托他人处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、种类、保护措施以及双方权利义务
- 处理者对受托人的个人信息处理活动进行监督
- 受托人不得超出约定处理,委托关系终止时应将个人信息予以返还或删除
共同处理(PIPL 第 20 条)
- 两个以上个人信息处理者共同决定处理目的和处理方式的,应当约定各自的权利和义务
- 该约定不影响个人向任一处理者行使权利
五、法律责任体系
行政责任(PIPL 第 66—68 条)
| 违法类型 | 处罚标准 |
|---|---|
| 一般违法 | 责令改正、警告、没收违法所得;拒不改正的处 100 万元以下罚款 |
| 严重违法 | 责令暂停或终止提供服务、处 5000 万元以下或上年度营业额 5% 以下罚款;吊销许可或营业执照;直接负责人处 10—100 万元罚款 |
| 对直接负责人员 | 可决定其在一定期限内禁止担任相关企业的董监高或个人信息保护负责人 |
数据安全责任(DSL 第 45—48 条)
| 违法类型 | 处罚标准 |
|---|---|
| 未履行数据安全保护义务 | 责令改正,处 10—100 万元罚款;情节严重的处 100—1000 万元罚款 |
| 重要数据处理者未履行风险评估义务 | 责令改正,警告,处 10 万元以下罚款 |
| 向外国司法/执法机构提供数据未经批准 | 处 10—100 万元罚款;造成严重后果的处 100—500 万元罚款 |
民事责任(PIPL 第 69 条)
- 过错推定原则:处理者不能证明自己没有过错的,应承担侵权责任
- 侵害众人个人信息的,人民检察院及法定组织可提起个人信息保护公益诉讼(第 70 条)
刑事责任
- 涉及 侵犯公民个人信息罪(《刑法》第 253 条之一)
- 涉及 拒不履行信息网络安全管理义务罪(《刑法》第 286 条之一)
六、合规实务清单
- 建立内部管理制度——覆盖数据全生命周期
- 指定数据保护负责人——满足数量条件的处理者
- 开展数据分类分级——区分一般数据和重要数据
- 实施 PIA——针对法定触发情形
- 管理委托关系——签订书面协议、定期监督
- 建立应急预案——定期演练,事件发生后立即启动
- 留存合规记录——至少保存三年
- 建立响应机制——处理用户权利请求
知识库原始资料索引
法律法规
学术研究
- 程啸:个人信息权益的行使与救济机制
- 王叶刚:个人信息处理中的个人明确同意