中华人民共和国个人信息保护法
(30年20月2021日第十三届全国人民代表大会常务委员会第三十次会议通过)
第一章
第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息的合理使用,根据宪法,制定本法。
第二条 自然人的个人信息受法律保护。 任何组织和个人不得侵犯自然人的个人信息权益。
第三条 在中华人民共和国境内处理自然人的个人信息,适用本法。
有下列情形之一的,在中华人民共和国境外处理中华人民共和国境内自然人的个人信息,也适用本法:
(一)以为中华人民共和国境内的自然人提供产品或者服务为目的;
(二)分析或者评价中华人民共和国领域内自然人的行为; 和
(三)法律、行政法规规定的其他情形。
第四条“个人信息”是指以电子或者其他方式记录的与已识别或者可识别自然人有关的各种信息,但不包括匿名信息。
个人信息处理包括个人信息的收集、存储、使用、处理、传输、提供、披露和删除等。
第五条 个人信息应当在必要时、有正当理由、善意地依法处理,不得存在误导、欺诈、胁迫等行为。
第六条 个人信息处理应当基于明确、合理的目的,并与该目的直接相关,对个人权益的影响最小。
个人信息的收集应限制在处理目的所要求的最小范围内,不得过度收集个人信息。
第七条 处理个人信息应当遵循公开、透明的原则,公开处理个人信息的规则,明确处理的目的、方式和范围。
第八条 个人信息处理应当保证个人信息质量,避免个人信息不准确、不完整对个人权益造成不利影响。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施确保其处理的个人信息安全。
第十条 任何组织和个人不得非法收集、使用、处理、传输他人个人信息,不得非法交易、提供、披露他人个人信息,不得从事危害国家安全、危害他人的个人信息处理活动。公共利益。
第十一条 国家建立健全个人信息保护制度,预防和惩治侵犯个人信息权益的行为,加强个人信息保护宣传教育,为政府、企业、相关行业组织营造良好环境。 ,与公众共同参与个人信息保护。
第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护国际交流与合作,鼓励与其他国家、地区互认个人信息保护规则和标准等。和国际组织。
第二章个人信息处理规则
第一节 一般规则
第十三条 个人信息处理者有下列情形之一的,可以处理个人的个人信息:
(一)已征得本人同意;
(2) 为缔结或履行个人为当事人的合同所必需的,或为人力资源管理所必需的,依照依法制定的劳动规章制度和按照规定签订的集体合同。与法律;
(3) 处理是履行法定职责或义务所必需的;
(四)为应对突发公共卫生事件,或者为保护突发事件中自然人的生命、健康和财产安全所必需的;
(五)为新闻报道、媒体监督等公益活动而对个人信息进行合理处理;
(六)个人本人披露的个人信息或者其他依法披露的个人个人信息,依照本法的规定进行了合理处理; 和
(七)法律、行政法规规定的其他情形。
本法其他有关规定有规定处理个人信息的,应当取得个人同意,但前款第(二)项至第(七)项规定的情形除外。
第十四条 个人信息处理基于个人同意的,个人同意应当是自愿的、明确的、充分知情的。 其他法律、行政法规规定处理个人信息必须取得个人单独同意或者书面同意的,从其规定。
个人信息处理的目的、方式、处理的个人信息类别发生变化时,应当重新征得个人同意。
第十五条 个人信息处理基于个人同意的,个人有权撤回同意。 个人信息处理者应当为个人撤回同意提供便利途径。
撤回同意不影响撤回前基于同意进行的处理活动的有效性。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回其处理个人信息的同意为由拒绝为个人提供产品或者服务,但处理个人信息的除外。个人信息是提供产品或服务所必需的。
第十七条 个人信息处理者在处理个人信息前,应当以通俗易懂的方式和通俗易懂的语言,如实、准确、全面地告知个人下列事项:
(一)个人信息处理者的名称和联系方式;
(二)个人信息处理的目的和方式,处理的个人信息的类别和保存期限;
(三)个人行使本法规定的权利的方式和程序; 和
(四)法律、行政法规规定应当告知个人的其他事项。
前款规定的事项发生变化的,应当告知个人。
个人信息处理者通过制定个人信息处理规则将第一款规定的事项告知个人的,处理规则应当公开,便于查阅和保存。
第十八条 个人信息处理者在处理个人信息时,法律、行政法规要求保密或者未规定告知的前条第一款规定的事项,允许个人信息处理者不告知个人。
为保护自然人的生命健康和财产安全,在紧急情况下无法及时通知个人的,个人信息处理者应当在紧急情况消除后及时通知。
第十九条除法律、行政法规另有规定外,个人信息的保存期限为达到处理目的所需的最短时间。
第二十条 两个以上个人信息处理者共同确定处理某些个人信息的目的和方式的,应当就各自处理个人信息的权利和义务达成一致。 但是,本协议不影响个人请求其中任何人行使本法规定的权利。
处理者在共同处理某些个人信息时,侵犯个人信息权益并造成损害的,其他个人信息处理者应当依法承担连带责任。
第二十一条 个人信息处理者将部分个人信息委托给一方处理的,应当与受委托方就处理的目的、期限、方式、处理的个人信息类别和保护措施等达成一致,双方的权利和义务等,并对受托方的个人信息处理活动进行监督。
受托方应当按照约定处理个人信息,不得超出约定的目的、方式和其他条件处理个人信息。 委托合同未生效、无效、被撤销、终止的,受托方应当将相关个人信息退还或者删除,不得留存。
未经个人信息处理者同意,受托方不得将个人信息的处理分包给任何其他方。
第二十二条 个人信息处理者因合并、分立、解散、破产等原因需要转移个人信息的,应当将转移个人信息接收者的姓名和联系方式告知个人。 接收方应当继续履行该个人信息处理者的义务。 接收方改变原来的处理目的或者方式的,应当依照本法的规定征得个人同意。
第二十三条 个人信息处理者向其他处理者提供个人信息的,应当将接收者的姓名、联系方式、处理目的和方式、处理的个人信息类别等告知个人,并取得个人的单独信息。同意。 接收方应在上述个人信息的目的、方式和类别范围内处理个人信息。 接收方改变处理目的或方式的,应当依照本法规定征得个人同意。
第二十四条 个人信息处理者使用个人信息进行自动化决策,应当保证决策的透明性和结果的公平公正,不得在交易价格等交易条件上对个人进行不合理的差别待遇。
基于自动化决策的信息推送和对个人的商业营销,应同时伴随不特定于个人特征的选项或个人拒绝的便捷方式。
通过自动化决策作出可能对个人权益产生重大影响的决定的,个人有权要求个人信息处理者作出澄清,并有权拒绝处理者仅通过自动化作出决定。做决定。
第二十五条 个人信息处理者不得公开其处理的个人信息,但经个人单独同意的除外。
第二十六条 公共场所的图像采集和个人识别设备,应当在维护公共安全需要时设置,并应当按照国家有关规定设置,并有显着提示。 所收集的个人图像和身份信息只能用于维护公共安全的目的,未经个人同意,不得用于其他目的。
第二十七条 个人信息处理者可以对个人公开的个人信息或者其他合法公开的个人信息进行合理处理,但个人明确拒绝的除外。 处理已披露的个人信息可能对个人权益产生重大影响的,个人信息处理者应当依照本法规定事先征得个人同意。
第二节 个人敏感信息处理规则
第二十八条“个人敏感信息”是指一旦泄露或者被非法使用,容易导致自然人人格尊严受到侵害或者可能危及自然人人身安全、财产安全的个人信息,包括生物特征、宗教信仰、特定身份、医疗健康状况、财务账户和该人的行踪,以及 28 岁以下未成年人的个人信息。
个人信息处理者只有在有特定目的和必要时,在采取严格保护措施的情况下,才能处理敏感的个人信息。
第二十九条处理个人敏感信息,应当取得个人的单独同意。 其他法律、行政法规规定处理个人敏感信息应当取得书面同意的,从其规定。
第三十条 除本法第十七条第一款规定的事项外,处理个人敏感信息的处理者应当告知个人处理其个人敏感信息的必要性及其对其权益的影响,但依照本法规定不需要通知的。
第三十一条 个人信息处理者处理未满十四周岁未成年人的个人信息,应当征得未成年人父母或者其他监护人的同意。
个人信息处理者处理未满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
第三十二条 其他法律、行政法规规定处理个人敏感信息应当取得相关行政许可或者有其他限制的,从其规定。
第三节 国家机关处理个人信息的特别规定
第三十三条 国家机关处理个人信息,适用本法; 本节有特别规定的,以本节的规定为准。
第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限和程序行事,不得超出履行法定职责所需的范围和限度。
第三十五条 国家机关为履行法定职责处理个人信息的,应当依照本法规定履行告知义务,但有本法第十八条第一款规定的情形或者应当告知的除外。会妨碍国家机关履行法定职责。
第三十六条 国家机关处理的个人信息应当存储在中华人民共和国境内。 确有必要向中华人民共和国领域外的任何一方提供此类信息的,应当进行安全评估。 在安全评估中,有关部门应当根据要求予以支持和协助。
第三十七条 法律、法规授权的具有公共事务管理职能的组织为履行法定职责处理个人信息的,适用本办法关于国家机关处理个人信息的规定。
第三章 个人信息出境规则
第三十八条 个人信息处理者因业务或者其他原因确需为中华人民共和国境外的当事人提供个人信息的,应当具备下列条件之一:
(一)通过国家网信部门依照本法第四十条组织的安全评估;
(二)按照国家网信部门的规定,取得相关专业机构的个人信息保护证明;
(三)按照国家网信部门制定的标准合同,与境外接收方签订约定双方权利义务的合同; 和
(四)法律、行政法规和国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国领域以外的一方提供个人信息的条件作出规定的,可以依照其规定。
个人信息处理者应当采取必要措施,确保境外接收者的个人信息处理活动符合本法规定的个人信息保护标准。
第三十九条 个人信息处理者为中华人民共和国境外的任何一方提供个人信息的,处理者应当将境外接收者的姓名、联系方式、处理目的和方式、个人信息的类别等告知个人。处理,以及个人对境外收受人行使本法规定的权利的方式和程序等,应当取得个人的单独同意。
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。 确需为中华人民共和国境外当事人提供信息的,由国家网信部门组织安全评估。 法律、行政法规或者国家网信部门规定不需要进行安全评估的,从其规定。
第四十一条 中华人民共和国主管部门应当根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,处理外国司法、执法机关要求在中国境内存储个人信息的;或者在平等互惠的原则下。 未经中华人民共和国主管部门批准,任何组织和个人不得将存储在中华人民共和国境内的数据提供给外国司法、执法机关。
第四十二条 境外组织或者个人从事个人信息处理活动,侵犯中华人民共和国公民个人信息权益或者危害中华人民共和国国家安全、公共利益的,国家网络空间部门可以将其列入限制或者禁止的个人信息接收者名单,予以公示,并采取限制或者禁止向该组织和个人提供个人信息等措施。
第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取禁止性、限制性或者其他类似歧视性措施的,中华人民共和国可以根据实际情况对该国家或者地区采取反制措施。
第四章个人信息处理活动中的个人权利
第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息的处理,法律、行政法规另有规定的除外。
第四十五条 个人有权向个人信息处理者查阅、复制其个人信息,但本法第十八条第一款、第三十五条规定的情形除外。
个人要求查阅或者复制其个人信息的,被请求的个人信息处理者应当及时提供。
个人要求向指定的个人信息处理者转移个人信息的,符合国家网信部门转移个人信息要求的,被要求转移的个人信息处理者应当提供转移方式。
第四十六条 个人发现其个人信息不正确或者不完整的,有权要求个人信息处理者更正或者补充有关信息。
个人要求更正或者补充其个人信息的,个人信息处理者应当对相关信息进行核实,并及时更正或者补充。
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息,个人信息处理者未删除的,个人有权要求删除其个人信息:
(1) 处理目的已经实现或无法实现,或该信息不再是实现处理目的所必需的;
(二)个人信息处理者停止提供产品或者服务,或者保存期限届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者约定处理个人信息的; 要么
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未满,或者个人信息技术难以擦除的,个人信息处理者应当停止对个人信息的处理,但应当对个人信息进行保存并采取必要的安全保护措施。
第四十八条 个人有权要求个人信息处理者对其制定的个人信息处理规则进行解释。
第四十九条 已故自然人的近亲属为了自身的合法权益,可以行使本章规定的查询、复制、更正、删除等处理死者个人信息的权利,但死者生前另有安排。
第五十条 个人信息处理者应当建立个人行使权利请求的受理和处理机制。 拒绝个人请求的,应当说明理由。
个人行使权利的请求被个人信息处理者拒绝的,个人可以依法向人民法院提起诉讼。
第五章个人信息处理者的义务
第五十一条 个人信息处理者应当根据处理的目的和方式、处理的个人信息类别、对个人权利的影响和利益、潜在安全风险等,并应防止未经授权访问、破坏、篡改或丢失任何个人信息:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,定期对从业人员进行安全教育培训;
(五)制定个人信息安全突发事件应急预案并组织实施; 和
(六)法律、行政法规规定的其他措施。
第五十二条 个人信息处理者处理个人信息达到国家网信部门规定数量的,应当指定个人信息保护负责人,对处理者的个人信息处理活动及其采取的保护措施进行监督。 ,等等。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将其姓名、联系方式等信息报送负有个人信息保护职责的部门。
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息。保护相关事项,并应当向负有个人信息保护职责的部门报送代理机构和代表的名称、联系方式等信息。
第五十四条 个人信息处理者应当定期对其个人信息处理活动进行符合法律、行政法规的合规性审计。
第五十五条 有下列情形之一的,个人信息处理者应当事先评估对个人信息保护的影响,并记录处理过程:
(1) 处理敏感的个人信息;
(2)利用个人信息进行自动化决策;
(三)委托他人处理个人信息、为他人提供个人信息、公开个人信息的;
(四)为中华人民共和国境外的任何一方提供个人信息; 要么
(五)进行其他可能对个人产生重大影响的个人信息处理活动。
第五十六条 个人信息保护影响评估应当包括以下内容:
(一)个人信息处理的目的和手段是否合法、正当、必要;
(二)对个人权益的影响、安全风险; 和
(三)采取的保护措施是否合法、有效、与风险程度相适应。
个人信息保护影响评估报告及处理记录至少保存三年。
第五十七条 个人信息发生或者可能发生泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知负有个人信息保护职责的部门和有关个人。 通知应当包括以下内容:
(一)个人信息已经或可能被泄露、被篡改、丢失的类别,被泄露、被篡改、丢失的原因和可能造成的危害;
(二)个人信息处理者采取的补救措施以及个人为减轻损害可能采取的措施; 和
(三)个人信息处理者的联系方式。
个人信息处理者采取的措施能够有效避免个人信息泄露、篡改、丢失造成损害的,个人信息处理者无需通知个人; 负有个人信息保护职责的部门认为可能造成损害的,有权要求个人信息处理者通知个人。
第五十八条 个人信息处理者提供重要的互联网平台服务,涉及用户数量庞大、业务类型复杂,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度,建立以外部成员为主的独立组织,对个人信息保护进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内的产品或服务提供者在处理个人信息时应遵守的规范和义务;
(三)在处理个人信息的平台内,严重违反法律、行政法规,停止为产品或者服务提供者提供服务; 和
(四)定期发布个人信息保护社会责任报告,接受公众监督。
第五十九条 受委托处理个人信息的当事人应当依照本法和有关法律、行政法规的规定,采取必要措施保障受委托处理的个人信息的安全,并协助受委托的个人信息处理者履行本法规定的义务。
第六章 个人信息保护职责部门
第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。 国务院有关部门依照本法和其他有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和相关监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和相关监督管理职责,按照国家有关规定确定。
前两款规定的部门统称为负有个人信息保护职责的部门。
第六十一条 负有个人信息保护职责的部门应当履行下列个人信息保护职责:
(一)开展个人信息保护宣传教育,指导、监督个人信息处理者保护个人信息;
(二)受理、处理与个人信息保护有关的投诉、举报;
(三)组织对个人信息保护方面的申请等进行评估并公布评估结果;
(四)查处非法个人信息处理活动; 和
(五)法律、行政法规规定的其他职责。
第六十二条 国家网信部门应当配合有关部门依照本法的规定,做好个人信息保护工作:
(一)制定个人信息保护的具体规则和标准;
(二)针对小型个人信息处理者、个人敏感信息处理以及人脸识别、人工智能等新技术和应用,制定专门的个人信息保护规则和标准;
(三)支持研发,推广应用安全便捷的电子身份认证技术,推进网络身份认证公共服务;
(四)推动社会各界参与的个人信息保护服务体系建设,支持有关机构提供个人信息保护评估和认证服务; 和
(五)完善个人信息保护相关投诉举报机制。
第六十三条 负有个人信息保护职责的部门在履行相关职责时,可以采取下列措施:
(一)询问有关当事人,调查与个人信息处理活动有关的情况;
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿等相关资料;
(三)进行现场检查,对涉嫌非法个人信息处理活动进行调查; 和
(四)检查与个人信息处理活动有关的设备、物品; 向负有个人信息保护职责的部门主要负责人书面报告并批准后,查封、扣押有证据证明与非法个人信息处理活动有关的设备、物品。
负有个人信息保护职责的部门依法履行职责时,当事人应当予以配合和协助,不得拒绝、阻挠。
第六十四条 个人信息保护职责部门在履行职责时,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以约谈法定代表人或者主要负责人个人信息处理者按照规定的权限和程序,或要求处理者委托专业机构对个人信息处理活动进行合规审计。 个人信息处理者应当根据需要采取措施进行整改,消除潜在风险。
负有个人信息保护职责的部门在履行职责过程中,发现违法的个人信息处理活动可能构成犯罪的,应当依法及时移送公安机关。
第六十五条 任何组织或者个人有权就个人信息处理违法行为向负有个人信息保护职责的部门投诉、举报。 接到投诉或者举报的部门应当依法及时处理,并将处理结果通知投诉人或者举报人。
负有个人信息保护职责的部门应当公开受理投诉举报的联系方式。
第七章法律责任
第六十六条 违反本法规定处理个人信息或者未履行本法规定的个人信息保护义务的,由负有个人信息保护职责的部门责令改正,给予警告,没收违法的非法处理个人信息的应用程序获取利益,责令暂停或终止提供服务; 拒不改正的,处66万元以下罚款; 对直接负责的主管人员和其他直接责任人员,分别处一万元以上十万元以下的罚款。
有前款规定的违法行为,情节严重的,由省级以上负有个人信息保护职责的部门责令改正,没收违法所得,并处以下罚款。 50万元以上或不超过上一年度营业额的百分之五; 也可以责令停止有关业务,或者责令停业整顿,并通知主管机关吊销有关营业执照、执照; 对直接负责的主管人员和其他直接责任人员分别处100,000万元以上1万元以下罚款,并可以决定禁止上述人员担任董事、监事、高级管理人员职务。经理或相关公司的负责人在特定时期内。
第六十七条 违反本法规定的,应当记入相关信用记录,并依照有关法律、行政法规的规定予以公布。
第六十八条 国家机关不履行本法规定的个人信息保护义务的,由上级机关或者负有个人信息保护职责的部门责令改正,对直接负责的主管人员、其他依法承担直接责任的人员。
负有个人信息保护职责的部门工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
第六十九条 个人信息处理者因个人信息处理活动侵犯个人信息权益,不能证明处理者没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任,根据个人因此受到的损失和侵权个人信息处理者获得的利益确定; 上述损失或者利益难以确定的,应当根据实际情况确定赔偿数额。
第七十条 个人信息处理者违反本法规定处理个人信息,侵害多人权益的,人民检察院、法律规定的消费者组织和国家网信部门指定的组织可以提起诉讼。依法向人民法院提起诉讼。
第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚。 构成犯罪的,依法追究刑事责任。
第八章附则
第七十二条 自然人为个人或者家庭事务处理个人信息的,不适用本法。
各级人民政府及其有关部门组织开展的统计、档案管理活动中,其他法律规定个人信息处理的,从其规定。
第七十三条 本法所称下列用语,具有下列含义:
(一)“个人信息处理者”是指自主决定个人信息处理目的和方式的组织或个人。
(二)“自动决策”是指通过计算机程序自动分析和评价个人的行为、爱好或经济、健康、信用状况等,并作出决策的活动。
(三)“去识别化”是指在没有附加信息支持的情况下,对个人信息进行处理,使其无法识别特定自然人。
(四)“匿名化”,是指对个人信息进行处理,使其无法识别特定自然人,无法恢复的过程。
第七十四条 本法自74年1月2021日起施行。