中华人民共和国家个人信息保护法
(2021年8月20日第十三届全国人民代表大会常务委员会委员大会第三十届会议通过)
第一章总则
第一条为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据,制定本法。
第二条自然人的个人信息受法律保护,任何组织、个人不得犯自然人的个人信息权益。
第三条在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有以下几种之一的,也适用本法:
(一)以向境内自然人提供产品或服务为目的;
(二)分析、评估周围自然人的行为;
(三)法律,行政法规规定的其他优点。
第四条个人信息是电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第五条处理个人信息必须遵循合法、真实、必要和诚信原则,不得通过误导、处理个人信息、胁迫等方式信息。
第六条处理个人信息应该明确、合理的目的,并应该与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应该只能实现的最小范围,必要处理个人信息。
第七条处理信息应该遵循公开、透明原则,个人公开信息处理规则,明示处理的目的、方式和范围。
第八条处理信息应该保证个人信息的质量,避免个人信息不准确、不完整对个人利益造成不利影响。
第九条个人信息处理者必须对其个人信息处理活动负责,并采取必要的措施保障所处理的个人信息的安全。
第十条任何组织、个人、不得窃取活动收集、使用、加工传播个人信息,不得窃取个人信息、提供公开个人信息;或者不得从事危害国家安全、利益的个人信息处理。
第十一条国家建立健全个人信息保护制度,预防和惩治个人信息权益的行为,加强个人信息保护宣传相关教育,促进政府、企业、社会组织、公众共同参与的个人信息保护的良好环境。
第十二条国家积极参与个人信息保护国际规则的制定,促进个人合作信息保护方面的国际交流与,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
第二章个人信息处理规则
第一节一般规定
第十三条符合以下情况的,个人信息处理者方可处理个人信息:
(一)征得本人同意;
(二)为确定、履行个人作为当事人的合同所规定的,或者按照实际制定的实施细则制度和本人提出的集体合同实施人力资源管理所规定的;
(三)为法定法定职责或法定义务所必需;
(四)为应对突发公共卫生事件,或紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、集中监督等行为,在合理的范围内处理个人信息;
(六)根据本法规定在合理的范围内处理个人自己公开或其他已经合法公开的个人信息;
(七)法律,行政法规规定的其他优点。
根据本法其他有关规定,处理个人信息应取得个人同意,但有前款第二项规定的方案,无需取得个人同意。
第十四条是基于个人同意处理的,该同意应该由个人知情的知情信息、个人声明作出判断。、行政法规规定处理个人信息应该取得个人同意或书面同意的,从其规定。
个人信息的处理目的,处理方式和处理的个人信息种类发生变更的,请重新获取个人同意。
第十五条基于个人同意处理个人信息的,个人取消撤回其同意的个人信息处理者应该提供促成的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意进行的个人信息处理活动的效力。
第十六条个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品服务;处理个人信息属于提供产品服务所必需的,或者除非。
第十七条 个人信息处理者在处理个人信息前,以显着方式、清晰易懂的语言真实、准确、完整地向个人告知以下事项:
(一)个人信息处理者的姓名或姓名和联系方式;
(二)个人信息的处理目的,处理方式,处理的个人信息种类,保存期限;
(三)个人本法规定权利的方式和程序;
(四)法律,行政法规规定授予公告的其他事项。
前款规定事项发生变更的,准备将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式知道第一款规定事项的,处理规则适当公开,并可以查阅和保存。
第十八条个人信息处理者的个人信息,有法律、行政法规规定的必要保密或不告知的情况,可以不提前通知个人信息第一条规定的事项。
紧急情况下保护自然人的生命健康和财产安全无法及时向个人通报,个人信息处理者应在紧急情况下及时通知。
第十九条法律除法行政另有规定外,个人信息的保留期限应该为实现处理目的、所需的时间。
第二十条两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应该各自的权利和义务。法规定的权利。
个人信息处理者共同处理个人信息,个人信息利益造成损害的,应该承担连带责任。
第二十一条 个人信息处理者委托处理个人信息的,必须与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,恢复受托人的个人信息处理活动进行监督。
受托人应该按照约定处理个人信息,不得超出的处理目的、处理方式等处理个人信息;委托合同不应该生效、失效、被或者撤销终止的,受托人将个人信息还个人信息处理者或者删除,不得保留。
个人信息处理者同意,受托人不得转委托个人处理个人信息。
第二十二条信息处理者因合并、分立、解散、被通知个人信息等原因需要转移个人信息的,应该向个人告知接收方的姓名和联系方式。接收方必须继续执行个人信息处理者接收方变更原先的处理、目的处理方式的,应该按照本法规定的取得个人同意。
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应该向个人告知接收方的姓名或姓名、方式、处理方式、处理方式和个人信息的种类,并取得接收方必须在上述处理目的处理方式、个人信息的种类等范围内处理个人信息。接收方更改原先的处理目的、方式的,应该按照本法规定的方式取得个人同意。
第二十四条信息处理者利用个人信息进行自动化决策,应该做出决策的结果和结果、业绩,不得对个人价格等交易条件上不合理交易的资助。
通过自动化决策方式向个人进行信息传播、商业营销,应该同时提供不针对其个人特征的选项,或者向个人提供方便的拒绝方式。
通过自动化决策方式决定对个人利益有重大影响的决定,个人要求个人信息处理者进行说明,并避免个人信息处理者仅通过决策的方式做出决定。
第二十五条个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
第二十六条在公共场所安装图像采集、个人身份识别设备,应为维护公共安全需要,坚持国家有关规定,设置显着的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他;取得个人单独同意的除外。
第二十七条 个人信息处理者在合理范围内的个人信息公开或其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者已公开的个人信息,对个人权益有重大影响影响的,应该根据本法规定取得个人同意。
第二节敏感个人信息的处理规则
第二十八条个人信息是泄露或泄露机密使用,容易导致自然人的人格伤害或人格、财产安全受到伤害的个人信息,包括生物识别、宗教信仰、特定身份、金融皮肤、行学生指南等信息,以及不足十四周岁的人的个人信息。
都有特定的目的和足够的必要性,并采取严格的保护措施下的措施,个人信息处理者方可处理敏感个人信息。
第二十九条 处理敏感个人信息应该引起个人的单独同意;法律、行政法规规定处理敏感个人信息应该取得书面同意的,从其规定。
第三十条个人处理信息者处理敏感个人信息的,除本法第十七条第一款规定的外,还应该向个人告知处理敏感个人信息的必要性;以及根据本法律规定可以不向个人告知的除外。
第十一条 个人信息处理者处理不满十四周岁的人个人信息的,应该引起第三人的或其他家庭其他人的同意。
个人信息处理者处理不足十四周岁的人个人信息的,应该制定个人信息处理规则。
第三十二条法律、行政法规对处理敏感个人信息的规定应该取得相关行政许可或者作出其他限制的,从其规定。
第三节国家机关处理个人信息的特别规定
第三十三条国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。
第三十四条国家机关为履行法定职责处理个人信息,应当根据、行政法规规定的权限、进行,不得超出法定职责所规定的范围和范围。
第三条国家机关为履行法定职责的个人信息,应当按照本法规定的履行职责;有本法第十八条规定的情况,或者告知国家机关履行法定职责的情况除外。
第三十六条国家机关处理的个人信息应该在中华人民共和国境内;可以确认需要向外界提供的,应该进行安全评估。安全评估要求有关部门提供支持和帮助。
第三十七条法律、法规授权的具有管理事务职能的组织为执行公共职责处理个人信息,适用本法关于国家机关处理个人信息的规定。
第三章个人信息跨境提供的规则
第三十八条个人信息处理者因业务等需要,确需向中华人民共和国提供个人信息的,必须具备以下条件:
(一)遵循本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经办机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与对外接收方约定,约定双方的权利和义务;
(四)法律,行政法规或国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、压缩对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者需要必要的保障,保障外部接收方处理个人信息的活动达到本法规定的个人信息保护标准。
第三十九条信息个人处理者向中华人民共和国境外提供个人信息的,应该向个人告知境外接收方的姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方本人行使本法规定权利的方式和程序等事项,并取得个人单独同意。
第四十条关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应在国家收集收集和产生的个人信息存储范围内。确需向外部提供的。 ,应该通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
第四十一条中华人民共和国行政机关根据有关法律和缔结缔结的相关法律和缔结,或者说平等互惠原则,处理外国司法或执法关于提供本地个人信息的请求非经。国家主管机关批准,个人信息处理者不得向外国司法或执法机构提供有关国家范围的个人信息。
第四十二条中华人民共和国境外的、个人从事组织的个人信息、危害中华人民共和国或国家安全、公共利益的个人信息处理活动,国家信网部门可以将其限制或禁止个人信息提供基本,公布,并采取限制措施或禁止向其提供个人信息等措施。
第四十三条 任何国家或地区在个人信息保护方面,可以对国家或地区采取其他措施,采取其他措施。
第四章个人在个人信息处理活动中的权利
第四十四条撤销个人信息的处理个人信息权、决定权,限制其拒绝或拒绝他人的个人信息进行处理;法律、行政另有规定的除外。
第四十五条向个人信息处理者提供个人信息、复制其个人信息;本法第十八条第一款、第三十五条规定的特殊情况除外。
个人请求查阅,复制其个人信息的,个人信息处理者正确及时提供。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定的条件,个人信息处理者应该提供转移的途径。
第四十六条个人发现其个人信息不准确或不完整,请求个人信息处理者正、补充。
个人请求更正,补充其个人信息的,个人信息处理者应针对个人信息插入核实,并及时更正,补充。
第四十七条有以下情况的,个人信息处理者应主动删除个人信息;个人信息处理者未删除的,个人请求删除:
(一)处理目标已实现、无法实现或者为实现处理目的不再需要;
(二)个人信息处理者停止提供产品或服务,或者保持期限已满;
(三)个人同意;
(四)个人信息处理者违反法律,行政法规或违反约定的处理个人信息;
(五)法律,行政法规规定的其他优点。
法律、行政法规规定的保存期限未满,或者删除个人信息从技术上汽车实现的,个人信息处理者必须安全停止和移动必要的保护措施之外的处理。
第四十八条个人要求个人信息处理者个人信息处理规则进行解释说明。
第四十九条自然人死亡的,其近亲属为了自身的合法、合法利益,对者的相关个人信息可以获取死者规定的实例、复制等、更正、删除;死者生前还有安排的除外。
第五十条信息处理者应该建立权力的个人行使权利的申请和处理机制。拒绝个人行使权利的请求的,应该说明理由。
个人处理者拒绝个人行使权利的请求的,个人可以向法院证明违约行为。
第一章个人信息处理者的义务
第五十一条 个人信息处理者应该根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取以下措施确保个人信息处理活动法律、行政法规的规定,并避免曝光的访问以及个人信息泄露、篡改、丢失:
(一)内部管理制度和操作规程;
(二)对个人信息图像分类管理;
(三)采取相应的加密,去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并确定期限对从业人员进行安全教育和培训;
(五)编制并组织实施个人信息安全事件应急预案;
(六)法律,行政法规规定的其他措施。
第十五条处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及行动的保护措施等进行监督。
个人信息处理者应该公开个人信息保护负责人的联系方式,分配个人信息保护负责人的姓名、联系方式等报送执行个人信息保护职责的部门。
第五十三条本法第三条第二款规定的中华人民共和国境外的个人者,应当在中华人民共和国境内处理信息的机构指定代表,负责处理个人信息保护相关事务,告知有关机构的名称或代表的姓名、联系方式等报送完成个人信息保护职责的部门。
第五十四条个人信息处理者应该定期处理个人信息严格法律、行政规则的情况进行合规审计。
第五十五条有以下情况XNUMX的,个人信息处理者的事前进行个人信息影响评估,进行处理情况记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向外提供个人信息;
(五)其他对个人权益活动有重大影响的个人信息处理。
第十五条个人信息保护影响评估应该包括以下内容:
(一)个人信息的处理目的,处理方式等是否合法,正当,必要;
(二)对个人利益的影响及安全风险;
(三)所取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况应该记录至少保存三年。
第五条发生或可能发生的个人信息泄露、篡改、丢失的,个人信息处理者应立即使用服务措施,并通知履行个人信息保护职责的部门和个人。通知应包括以下事项:
(一)发生或可能发生的个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的支出措施和个人可以采取的劳动强度的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、破坏损害损害的,个人处理者可以不通知个人;履行个人信息保护职责部门认为可能造成危害的信息,需要个人信息处理者通知个人。
第五十八条提供重要的互联网平台服务、用户数量庞大、业务类型复杂的个人信息处理者,应完成以下任务:
(一)按照国家规定建立健全个人信息保护合规制度体系,主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、叙事的原则,计划规则,明确的平台内产品或服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规个人处理的平台内的产品或服务提供者,停止提供服务;
(四)定期发布个人信息,保护社会责任,接受社会监督。
第五条接受委托处理个人信息的受托人,根据本法和法律、行政规范的规定,行动必须保障所处理的个人信息的安全,并协助个人信息者履行本法规定的义务。
第六章履行个人信息保护职责的部门
国务院有关部门根据本法和法律、行政法规的规定,分工负责监督范围内的个人信息保护和负责管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定。
前两款规定的部门统一称为补充个人信息保护职责的部门。
第六十一条 履行个人信息保护职责的职责如下:
(一)开展个人信息保护宣传教育,指导,监督个人信息处理者开展个人信息保护工作;
(二)接受、处理与个人信息保护有关的投诉、联系方式;
(三)对应用程序等个人保护情况进行准备,并组织发布信息结果;
(四)调查、处理个人信息活动;
(五)法律、行政法规的其他职责。
第六十二条国家网信部门专题讨论有关专题论述本法行为以下个人信息保护工作:
(一)制定个人信息保护制度、标准;
(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定个人信息保护规则、标准;
(三)支持研究开发和推广应用安全、方方便的电子身份认证技术,推进网络身份认证公共服务建设;
(四)推进个人信息保护社会化服务体系建设,支持有关机构提供个人信息保护评估、认证服务;
(五)完善个人信息保护投诉、联系人工作机制。
第六十三条落实个人信息保护职责,落实个人信息保护职责,可以采取以下措施:
(一)询问有关焦点,调查与个人信息处理活动有关的情况;
(二)查阅,复制和与个人信息处理活动有关的合同,记录,账簿以及其他有关资料;
(三)实施现场检查,对嫌疑人的个人信息处理活动进行调查;
(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是并记录个人信息处理活动的设备、物品,向本部门主要负责人书面检查报告批准,可以封封或扣押。
初步个人信息保护职能的部门依法法定职责,合并合理的协助,配合,不得拒绝,阻挠。
第六十四条履行个人信息保护职责的部门在履行职责中,发现个人信息活动存在风险或发生的个人信息安全事件,可以按照规定的权限程序和个人信息者的法律代表个人或主要负责人进行约谈,或者要求个人处理者委托专业机构对其个人信息处理活动进行合规审计。个人处理者按照要求采取措施,进行整改,信息删除隐患。
履行个人信息保护职责的部门在履行职责中,发现处理个人信息涉嫌犯罪的,应该及时移送机关必须处理。
第六十五条任何、个人对个人信息处理活动向个人信息保护的职能部门进行投诉、投诉。人。
履行个人信息保护职责的部门应该发表接受投诉、联系方式。
第七章法律责任
第六十六条违反本法规定处理个人的,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职能部门责令改正,通报信息,不收收所得,对挪用处理个人的应用程序,责令暂停或终止提供服务的,并处不于改正;对主管的主管人员和其他直接负责的人员,一政府以上直接责任部门。
有前款规定的贪食行为,情节严重的,由省级以上实施个人信息保护的部门责令改正,没有收收万元以下的收入,或者上一年度营业额五以下的罚款,并可以责令暂停相关业务或停业整顿、通报主管部门吊销相关业务许可或吊销业务许可;对直接主管的主管人员和主管人员和其他直接责任人员停止营业,并可以决定禁止其在一定期限内担任相关企业的关注、间接、高级管理人员和个人信息保护负责人。
第六十七条有本法规定的行为的,有关法律、行政法规的规定记入信用档案,并附有公示。
第六十八条国家机关不履行本法规定的个人信息保护职责的,由其上级机关或者执行个人信息保护职责部门的责令改正;对直接主管的主管人员和其他直接责任人员另行通知处分。
履行个人信息保护职责的部门的工作人员玩职守、突击职责、徇私舞权,尚不构成犯罪的,及时通报处分。
第六条处理个人信息个人信息个人信息利益造成自己损害,者不能证明没有错的,应该承担损害赔偿等侵权责任处理。
前款规定的损害赔偿额的确定,根据个人信息处理人因此受到的损失或个人信息处理者因此获得的利益确定;个人因此获得的损失和个人责任的确定,根据实际信息处理者的赔偿数额。
第七十个人处理处理者违反本法规定的处理个人信息,依法追究个人的法律权益,人民检察院、人民组织和国家网信部门确定的组织可以向法院确定无权影响。
第七十一条违反本法规定,构成违反治安管理行为的,依法通报治安管理处罚;犯罪行为,依法追究刑事责任。
第八章附则
第七十二条自然人因个人或家庭事务处理个人信息的,不适用本法。
法律对有关人民政府及其有关部门组织实施的统计,档案管理活动中的个人信息处理有规定的,适用其规定。
第七十三条本法下列用语的含义:
(个人)信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
(二)自动化决策,是指计算机程序自动分析、评估个人的行为习惯、信用习惯或经济、健康、状况等,并进行决策的活动。
(三)去标识化,是指个人信息经过处理,导致在不替换多余的信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能恢复的过程。
第七十四条本法自2021年11月1日起施行。