中华人民共和国个人信息保护法
中华人民共和国家个人信息保护法
(30年20月2021日第十三届全国人民代表大会常务委员会第三十次会议通过)
(2021年8月20日第十三届全国人民代表大会常务委员会委员大会第三十届会议通过)
第一章
第一章总则
第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息的合理使用,根据宪法,制定本法。
第一条为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据,制定本法。
第二条 自然人的个人信息受法律保护。 任何组织和个人不得侵犯自然人的个人信息权益。
第二条自然人的个人信息受法律保护,任何组织、个人不得犯自然人的个人信息权益。
第三条 在中华人民共和国境内处理自然人的个人信息,适用本法。
第三条在中华人民共和国境内处理自然人个人信息的活动,适用本法。
有下列情形之一的,在中华人民共和国境外处理中华人民共和国境内自然人的个人信息,也适用本法:
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有以下几种之一的,也适用本法:
(一)以为中华人民共和国境内的自然人提供产品或者服务为目的;
(一)以向境内自然人提供产品或服务为目的;
(二)分析或者评价中华人民共和国领域内自然人的行为; 和
(二)分析、评估周围自然人的行为;
(三)法律、行政法规规定的其他情形。
(三)法律,行政法规规定的其他优点。
第四条“个人信息”是指以电子或者其他方式记录的与已识别或者可识别自然人有关的各种信息,但不包括匿名信息。
第四条个人信息是电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息处理包括个人信息的收集、存储、使用、处理、传输、提供、披露和删除等。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第五条 个人信息应当在必要时、有正当理由、善意地依法处理,不得存在误导、欺诈、胁迫等行为。
第五条处理个人信息必须遵循合法、真实、必要和诚信原则,不得通过误导、处理个人信息、胁迫等方式信息。
第六条 个人信息处理应当基于明确、合理的目的,并与该目的直接相关,对个人权益的影响最小。
第六条处理个人信息应该明确、合理的目的,并应该与处理目的直接相关,采取对个人权益影响最小的方式。
个人信息的收集应限制在处理目的所要求的最小范围内,不得过度收集个人信息。
收集个人信息,应该只能实现的最小范围,必要处理个人信息。
第七条 处理个人信息应当遵循公开、透明的原则,公开处理个人信息的规则,明确处理的目的、方式和范围。
第七条处理信息应该遵循公开、透明原则,个人公开信息处理规则,明示处理的目的、方式和范围。
第八条 个人信息处理应当保证个人信息质量,避免个人信息不准确、不完整对个人权益造成不利影响。
第八条处理信息应该保证个人信息的质量,避免个人信息不准确、不完整对个人利益造成不利影响。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施确保其处理的个人信息安全。
第九条个人信息处理者必须对其个人信息处理活动负责,并采取必要的措施保障所处理的个人信息的安全。
第十条 任何组织和个人不得非法收集、使用、处理、传输他人个人信息,不得非法交易、提供、披露他人个人信息,不得从事危害国家安全、危害他人的个人信息处理活动。公共利益。
第十条任何组织、个人、不得窃取活动收集、使用、加工传播个人信息,不得窃取个人信息、提供公开个人信息;或者不得从事危害国家安全、利益的个人信息处理。
第十一条 国家建立健全个人信息保护制度,预防和惩治侵犯个人信息权益的行为,加强个人信息保护宣传教育,为政府、企业、相关行业组织营造良好环境。 ,与公众共同参与个人信息保护。
第十一条国家建立健全个人信息保护制度,预防和惩治个人信息权益的行为,加强个人信息保护宣传相关教育,促进政府、企业、社会组织、公众共同参与的个人信息保护的良好环境。
第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护国际交流与合作,鼓励与其他国家、地区互认个人信息保护规则和标准等。和国际组织。
第十二条国家积极参与个人信息保护国际规则的制定,促进个人合作信息保护方面的国际交流与,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
第二章个人信息处理规则
第二章个人信息处理规则
第一节 一般规则
第一节一般规定
第十三条 个人信息处理者有下列情形之一的,可以处理个人的个人信息:
第十三条符合以下情况的,个人信息处理者方可处理个人信息:
(一)已征得本人同意;
(一)征得本人同意;
(2) 为缔结或履行个人为当事人的合同所必需的,或为人力资源管理所必需的,依照依法制定的劳动规章制度和按照规定签订的集体合同。与法律;
(二)为确定、履行个人作为当事人的合同所规定的,或者按照实际制定的实施细则制度和本人提出的集体合同实施人力资源管理所规定的;
(3) 处理是履行法定职责或义务所必需的;
(三)为法定法定职责或法定义务所必需;
(四)为应对突发公共卫生事件,或者为保护突发事件中自然人的生命、健康和财产安全所必需的;
(四)为应对突发公共卫生事件,或紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为新闻报道、媒体监督等公益活动而对个人信息进行合理处理;
(五)为公共利益实施新闻报道、集中监督等行为,在合理的范围内处理个人信息;
(六)个人本人披露的个人信息或者其他依法披露的个人个人信息,依照本法的规定进行了合理处理; 和
(六)根据本法规定在合理的范围内处理个人自己公开或其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
(七)法律,行政法规规定的其他优点。
本法其他有关规定有规定处理个人信息的,应当取得个人同意,但前款第(二)项至第(七)项规定的情形除外。
根据本法其他有关规定,处理个人信息应取得个人同意,但有前款第二项规定的方案,无需取得个人同意。
第十四条 个人信息处理基于个人同意的,个人同意应当是自愿的、明确的、充分知情的。 其他法律、行政法规规定处理个人信息必须取得个人单独同意或者书面同意的,从其规定。
第十四条是基于个人同意处理的,该同意应该由个人知情的知情信息、个人声明作出判断。、行政法规规定处理个人信息应该取得个人同意或书面同意的,从其规定。
个人信息处理的目的、方式、处理的个人信息类别发生变化时,应当重新征得个人同意。
个人信息的处理目的,处理方式和处理的个人信息种类发生变更的,请重新获取个人同意。
第十五条 个人信息处理基于个人同意的,个人有权撤回同意。 个人信息处理者应当为个人撤回同意提供便利途径。
第十五条基于个人同意处理个人信息的,个人取消撤回其同意的个人信息处理者应该提供促成的撤回同意的方式。
撤回同意不影响撤回前基于同意进行的处理活动的有效性。
个人撤回同意,不影响撤回前基于个人同意进行的个人信息处理活动的效力。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回其处理个人信息的同意为由拒绝为个人提供产品或者服务,但处理个人信息的除外。个人信息是提供产品或服务所必需的。
第十六条个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品服务;处理个人信息属于提供产品服务所必需的,或者除非。
第十七条 个人信息处理者在处理个人信息前,应当以通俗易懂的方式和通俗易懂的语言,如实、准确、全面地告知个人下列事项:
第十七条 个人信息处理者在处理个人信息前,以显着方式、清晰易懂的语言真实、准确、完整地向个人告知以下事项:
(一)个人信息处理者的名称和联系方式;
(一)个人信息处理者的姓名或姓名和联系方式;
(二)个人信息处理的目的和方式,处理的个人信息的类别和保存期限;
(二)个人信息的处理目的,处理方式,处理的个人信息种类,保存期限;
(三)个人行使本法规定的权利的方式和程序; 和
(三)个人本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知个人的其他事项。
(四)法律,行政法规规定授予公告的其他事项。
前款规定的事项发生变化的,应当告知个人。
前款规定事项发生变更的,准备将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则将第一款规定的事项告知个人的,处理规则应当公开,便于查阅和保存。
个人信息处理者通过制定个人信息处理规则的方式知道第一款规定事项的,处理规则适当公开,并可以查阅和保存。
第十八条 个人信息处理者在处理个人信息时,法律、行政法规要求保密或者未规定告知的前条第一款规定的事项,允许个人信息处理者不告知个人。
第十八条个人信息处理者的个人信息,有法律、行政法规规定的必要保密或不告知的情况,可以不提前通知个人信息第一条规定的事项。
为保护自然人的生命健康和财产安全,在紧急情况下无法及时通知个人的,个人信息处理者应当在紧急情况消除后及时通知。
紧急情况下保护自然人的生命健康和财产安全无法及时向个人通报,个人信息处理者应在紧急情况下及时通知。
第十九条除法律、行政法规另有规定外,个人信息的保存期限为达到处理目的所需的最短时间。
第十九条法律除法行政另有规定外,个人信息的保留期限应该为实现处理目的、所需的时间。
第二十条 两个以上个人信息处理者共同确定处理某些个人信息的目的和方式的,应当就各自处理个人信息的权利和义务达成一致。 但是,本协议不影响个人请求其中任何人行使本法规定的权利。
第二十条两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应该各自的权利和义务。法规定的权利。
处理者在共同处理某些个人信息时,侵犯个人信息权益并造成损害的,其他个人信息处理者应当依法承担连带责任。
个人信息处理者共同处理个人信息,个人信息利益造成损害的,应该承担连带责任。
第二十一条 个人信息处理者将部分个人信息委托给一方处理的,应当与受委托方就处理的目的、期限、方式、处理的个人信息类别和保护措施等达成一致,双方的权利和义务等,并对受托方的个人信息处理活动进行监督。
第二十一条 个人信息处理者委托处理个人信息的,必须与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,恢复受托人的个人信息处理活动进行监督。
受托方应当按照约定处理个人信息,不得超出约定的目的、方式和其他条件处理个人信息。 委托合同未生效、无效、被撤销、终止的,受托方应当将相关个人信息退还或者删除,不得留存。
受托人应该按照约定处理个人信息,不得超出的处理目的、处理方式等处理个人信息;委托合同不应该生效、失效、被或者撤销终止的,受托人将个人信息还个人信息处理者或者删除,不得保留。
未经个人信息处理者同意,受托方不得将个人信息的处理分包给任何其他方。
个人信息处理者同意,受托人不得转委托个人处理个人信息。
第二十二条 个人信息处理者因合并、分立、解散、破产等原因需要转移个人信息的,应当将转移个人信息接收者的姓名和联系方式告知个人。 接收方应当继续履行该个人信息处理者的义务。 接收方改变原来的处理目的或者方式的,应当依照本法的规定征得个人同意。
第二十二条信息处理者因合并、分立、解散、被通知个人信息等原因需要转移个人信息的,应该向个人告知接收方的姓名和联系方式。接收方必须继续执行个人信息处理者接收方变更原先的处理、目的处理方式的,应该按照本法规定的取得个人同意。
第二十三条 个人信息处理者向其他处理者提供个人信息的,应当将接收者的姓名、联系方式、处理目的和方式、处理的个人信息类别等告知个人,并取得个人的单独信息。同意。 接收方应在上述个人信息的目的、方式和类别范围内处理个人信息。 接收方改变处理目的或方式的,应当依照本法规定征得个人同意。
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应该向个人告知接收方的姓名或姓名、方式、处理方式、处理方式和个人信息的种类,并取得接收方必须在上述处理目的处理方式、个人信息的种类等范围内处理个人信息。接收方更改原先的处理目的、方式的,应该按照本法规定的方式取得个人同意。
第二十四条 个人信息处理者使用个人信息进行自动化决策,应当保证决策的透明性和结果的公平公正,不得在交易价格等交易条件上对个人进行不合理的差别待遇。
第二十四条信息处理者利用个人信息进行自动化决策,应该做出决策的结果和结果、业绩,不得对个人价格等交易条件上不合理交易的资助。
基于自动化决策的信息推送和对个人的商业营销,应同时伴随不特定于个人特征的选项或个人拒绝的便捷方式。
通过自动化决策方式向个人进行信息传播、商业营销,应该同时提供不针对其个人特征的选项,或者向个人提供方便的拒绝方式。
通过自动化决策作出可能对个人权益产生重大影响的决定的,个人有权要求个人信息处理者作出澄清,并有权拒绝处理者仅通过自动化作出决定。做决定。
通过自动化决策方式决定对个人利益有重大影响的决定,个人要求个人信息处理者进行说明,并避免个人信息处理者仅通过决策的方式做出决定。
第二十五条 个人信息处理者不得公开其处理的个人信息,但经个人单独同意的除外。
第二十五条个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
第二十六条 公共场所的图像采集和个人识别设备,应当在维护公共安全需要时设置,并应当按照国家有关规定设置,并有显着提示。 所收集的个人图像和身份信息只能用于维护公共安全的目的,未经个人同意,不得用于其他目的。
第二十六条在公共场所安装图像采集、个人身份识别设备,应为维护公共安全需要,坚持国家有关规定,设置显着的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他;取得个人单独同意的除外。
第二十七条 个人信息处理者可以对个人公开的个人信息或者其他合法公开的个人信息进行合理处理,但个人明确拒绝的除外。 处理已披露的个人信息可能对个人权益产生重大影响的,个人信息处理者应当依照本法规定事先征得个人同意。
第二十七条 个人信息处理者在合理范围内的个人信息公开或其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者已公开的个人信息,对个人权益有重大影响影响的,应该根据本法规定取得个人同意。
第二节 个人敏感信息处理规则
第二节敏感个人信息的处理规则
第二十八条“个人敏感信息”是指一旦泄露或者被非法使用,容易导致自然人人格尊严受到侵害或者可能危及自然人人身安全、财产安全的个人信息,包括生物特征、宗教信仰、特定身份、医疗健康状况、财务账户和该人的行踪,以及 28 岁以下未成年人的个人信息。
第二十八条个人信息是泄露或泄露机密使用,容易导致自然人的人格伤害或人格、财产安全受到伤害的个人信息,包括生物识别、宗教信仰、特定身份、金融皮肤、行学生指南等信息,以及不足十四周岁的人的个人信息。
个人信息处理者只有在有特定目的和必要时,在采取严格保护措施的情况下,才能处理敏感的个人信息。
都有特定的目的和足够的必要性,并采取严格的保护措施下的措施,个人信息处理者方可处理敏感个人信息。
第二十九条处理个人敏感信息,应当取得个人的单独同意。 其他法律、行政法规规定处理个人敏感信息应当取得书面同意的,从其规定。
第二十九条 处理敏感个人信息应该引起个人的单独同意;法律、行政法规规定处理敏感个人信息应该取得书面同意的,从其规定。
第三十条 除本法第十七条第一款规定的事项外,处理个人敏感信息的处理者应当告知个人处理其个人敏感信息的必要性及其对其权益的影响,但依照本法规定不需要通知的。
第三十条个人处理信息者处理敏感个人信息的,除本法第十七条第一款规定的外,还应该向个人告知处理敏感个人信息的必要性;以及根据本法律规定可以不向个人告知的除外。
第三十一条 个人信息处理者处理未满十四周岁未成年人的个人信息,应当征得未成年人父母或者其他监护人的同意。
第十一条 个人信息处理者处理不满十四周岁的人个人信息的,应该引起第三人的或其他家庭其他人的同意。
个人信息处理者处理未满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
个人信息处理者处理不足十四周岁的人个人信息的,应该制定个人信息处理规则。
第三十二条 其他法律、行政法规规定处理个人敏感信息应当取得相关行政许可或者有其他限制的,从其规定。
第三十二条法律、行政法规对处理敏感个人信息的规定应该取得相关行政许可或者作出其他限制的,从其规定。
第三节 国家机关处理个人信息的特别规定
第三节国家机关处理个人信息的特别规定
第三十三条 国家机关处理个人信息,适用本法; 本节有特别规定的,以本节的规定为准。
第三十三条国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。
第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限和程序行事,不得超出履行法定职责所需的范围和限度。
第三十四条国家机关为履行法定职责处理个人信息,应当根据、行政法规规定的权限、进行,不得超出法定职责所规定的范围和范围。
第三十五条 国家机关为履行法定职责处理个人信息的,应当依照本法规定履行告知义务,但有本法第十八条第一款规定的情形或者应当告知的除外。会妨碍国家机关履行法定职责。
第三条国家机关为履行法定职责的个人信息,应当按照本法规定的履行职责;有本法第十八条规定的情况,或者告知国家机关履行法定职责的情况除外。
第三十六条 国家机关处理的个人信息应当存储在中华人民共和国境内。 确有必要向中华人民共和国领域外的任何一方提供此类信息的,应当进行安全评估。 在安全评估中,有关部门应当根据要求予以支持和协助。
第三十六条国家机关处理的个人信息应该在中华人民共和国境内;可以确认需要向外界提供的,应该进行安全评估。安全评估要求有关部门提供支持和帮助。
第三十七条 法律、法规授权的具有公共事务管理职能的组织为履行法定职责处理个人信息的,适用本办法关于国家机关处理个人信息的规定。
第三十七条法律、法规授权的具有管理事务职能的组织为执行公共职责处理个人信息,适用本法关于国家机关处理个人信息的规定。
第三章 个人信息出境规则
第三章个人信息跨境提供的规则
第三十八条 个人信息处理者因业务或者其他原因确需为中华人民共和国境外的当事人提供个人信息的,应当具备下列条件之一:
第三十八条个人信息处理者因业务等需要,确需向中华人民共和国提供个人信息的,必须具备以下条件:
(一)通过国家网信部门依照本法第四十条组织的安全评估;
(一)遵循本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定,取得相关专业机构的个人信息保护证明;
(二)按照国家网信部门的规定经办机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同,与境外接收方签订约定双方权利义务的合同; 和
(三)按照国家网信部门制定的标准合同与对外接收方约定,约定双方的权利和义务;
(四)法律、行政法规和国家网信部门规定的其他条件。
(四)法律,行政法规或国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国领域以外的一方提供个人信息的条件作出规定的,可以依照其规定。
中华人民共和国缔结或者参加的国际条约、压缩对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,确保境外接收者的个人信息处理活动符合本法规定的个人信息保护标准。
个人信息处理者需要必要的保障,保障外部接收方处理个人信息的活动达到本法规定的个人信息保护标准。
第三十九条 个人信息处理者为中华人民共和国境外的任何一方提供个人信息的,处理者应当将境外接收者的姓名、联系方式、处理目的和方式、个人信息的类别等告知个人。处理,以及个人对境外收受人行使本法规定的权利的方式和程序等,应当取得个人的单独同意。
第三十九条信息个人处理者向中华人民共和国境外提供个人信息的,应该向个人告知境外接收方的姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方本人行使本法规定权利的方式和程序等事项,并取得个人单独同意。
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。 确需为中华人民共和国境外当事人提供信息的,由国家网信部门组织安全评估。 法律、行政法规或者国家网信部门规定不需要进行安全评估的,从其规定。
第四十条关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应在国家收集收集和产生的个人信息存储范围内。确需向外部提供的。 ,应该通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
第四十一条 中华人民共和国主管部门应当根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,处理外国司法、执法机关要求在中国境内存储个人信息的;或者在平等互惠的原则下。 未经中华人民共和国主管部门批准,任何组织和个人不得将存储在中华人民共和国境内的数据提供给外国司法、执法机关。
第四十一条中华人民共和国行政机关根据有关法律和缔结缔结的相关法律和缔结,或者说平等互惠原则,处理外国司法或执法关于提供本地个人信息的请求非经。国家主管机关批准,个人信息处理者不得向外国司法或执法机构提供有关国家范围的个人信息。
第四十二条 境外组织或者个人从事个人信息处理活动,侵犯中华人民共和国公民个人信息权益或者危害中华人民共和国国家安全、公共利益的,国家网络空间部门可以将其列入限制或者禁止的个人信息接收者名单,予以公示,并采取限制或者禁止向该组织和个人提供个人信息等措施。
第四十二条中华人民共和国境外的、个人从事组织的个人信息、危害中华人民共和国或国家安全、公共利益的个人信息处理活动,国家信网部门可以将其限制或禁止个人信息提供基本,公布,并采取限制措施或禁止向其提供个人信息等措施。
第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取禁止性、限制性或者其他类似歧视性措施的,中华人民共和国可以根据实际情况对该国家或者地区采取反制措施。
第四十三条 任何国家或地区在个人信息保护方面,可以对国家或地区采取其他措施,采取其他措施。
第四章个人信息处理活动中的个人权利
第四章个人在个人信息处理活动中的权利
第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息的处理,法律、行政法规另有规定的除外。
第四十四条撤销个人信息的处理个人信息权、决定权,限制其拒绝或拒绝他人的个人信息进行处理;法律、行政另有规定的除外。
第四十五条 个人有权向个人信息处理者查阅、复制其个人信息,但本法第十八条第一款、第三十五条规定的情形除外。
第四十五条向个人信息处理者提供个人信息、复制其个人信息;本法第十八条第一款、第三十五条规定的特殊情况除外。
个人要求查阅或者复制其个人信息的,被请求的个人信息处理者应当及时提供。
个人请求查阅,复制其个人信息的,个人信息处理者正确及时提供。
个人要求向指定的个人信息处理者转移个人信息的,符合国家网信部门转移个人信息要求的,被要求转移的个人信息处理者应当提供转移方式。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定的条件,个人信息处理者应该提供转移的途径。
第四十六条 个人发现其个人信息不正确或者不完整的,有权要求个人信息处理者更正或者补充有关信息。
第四十六条个人发现其个人信息不准确或不完整,请求个人信息处理者正、补充。
个人要求更正或者补充其个人信息的,个人信息处理者应当对相关信息进行核实,并及时更正或者补充。
个人请求更正,补充其个人信息的,个人信息处理者应针对个人信息插入核实,并及时更正,补充。
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息,个人信息处理者未删除的,个人有权要求删除其个人信息:
第四十七条有以下情况的,个人信息处理者应主动删除个人信息;个人信息处理者未删除的,个人请求删除:
(1) 处理目的已经实现或无法实现,或该信息不再是实现处理目的所必需的;
(一)处理目标已实现、无法实现或者为实现处理目的不再需要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限届满;
(二)个人信息处理者停止提供产品或服务,或者保持期限已满;
(三)个人撤回同意;
(三)个人同意;
(四)个人信息处理者违反法律、行政法规或者约定处理个人信息的; 要么
(四)个人信息处理者违反法律,行政法规或违反约定的处理个人信息;
(五)法律、行政法规规定的其他情形。
(五)法律,行政法规规定的其他优点。
法律、行政法规规定的保存期限未满,或者个人信息技术难以擦除的,个人信息处理者应当停止对个人信息的处理,但应当对个人信息进行保存并采取必要的安全保护措施。
法律、行政法规规定的保存期限未满,或者删除个人信息从技术上汽车实现的,个人信息处理者必须安全停止和移动必要的保护措施之外的处理。
第四十八条 个人有权要求个人信息处理者对其制定的个人信息处理规则进行解释。
第四十八条个人要求个人信息处理者个人信息处理规则进行解释说明。
第四十九条 已故自然人的近亲属为了自身的合法权益,可以行使本章规定的查询、复制、更正、删除等处理死者个人信息的权利,但死者生前另有安排。
第四十九条自然人死亡的,其近亲属为了自身的合法、合法利益,对者的相关个人信息可以获取死者规定的实例、复制等、更正、删除;死者生前还有安排的除外。
第五十条 个人信息处理者应当建立个人行使权利请求的受理和处理机制。 拒绝个人请求的,应当说明理由。
第五十条信息处理者应该建立权力的个人行使权利的申请和处理机制。拒绝个人行使权利的请求的,应该说明理由。
个人行使权利的请求被个人信息处理者拒绝的,个人可以依法向人民法院提起诉讼。
个人处理者拒绝个人行使权利的请求的,个人可以向法院证明违约行为。
第五章个人信息处理者的义务
第一章个人信息处理者的义务
第五十一条 个人信息处理者应当根据处理的目的和方式、处理的个人信息类别、对个人权利的影响和利益、潜在安全风险等,并应防止未经授权访问、破坏、篡改或丢失任何个人信息:
第五十一条 个人信息处理者应该根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取以下措施确保个人信息处理活动法律、行政法规的规定,并避免曝光的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(一)内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(二)对个人信息图像分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(三)采取相应的加密,去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,定期对从业人员进行安全教育培训;
(四)合理确定个人信息处理的操作权限,并确定期限对从业人员进行安全教育和培训;
(五)制定个人信息安全突发事件应急预案并组织实施; 和
(五)编制并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
(六)法律,行政法规规定的其他措施。
第五十二条 个人信息处理者处理个人信息达到国家网信部门规定数量的,应当指定个人信息保护负责人,对处理者的个人信息处理活动及其采取的保护措施进行监督。 ,等等。
第十五条处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及行动的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将其姓名、联系方式等信息报送负有个人信息保护职责的部门。
个人信息处理者应该公开个人信息保护负责人的联系方式,分配个人信息保护负责人的姓名、联系方式等报送执行个人信息保护职责的部门。
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息。保护相关事项,并应当向负有个人信息保护职责的部门报送代理机构和代表的名称、联系方式等信息。
第五十三条本法第三条第二款规定的中华人民共和国境外的个人者,应当在中华人民共和国境内处理信息的机构指定代表,负责处理个人信息保护相关事务,告知有关机构的名称或代表的姓名、联系方式等报送完成个人信息保护职责的部门。
第五十四条 个人信息处理者应当定期对其个人信息处理活动进行符合法律、行政法规的合规性审计。
第五十四条个人信息处理者应该定期处理个人信息严格法律、行政规则的情况进行合规审计。
第五十五条 有下列情形之一的,个人信息处理者应当事先评估对个人信息保护的影响,并记录处理过程:
第五十五条有以下情况XNUMX的,个人信息处理者的事前进行个人信息影响评估,进行处理情况记录:
(1) 处理敏感的个人信息;
(一)处理敏感个人信息;
(2)利用个人信息进行自动化决策;
(二)利用个人信息进行自动化决策;
(三)委托他人处理个人信息、为他人提供个人信息、公开个人信息的;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)为中华人民共和国境外的任何一方提供个人信息; 要么
(四)向外提供个人信息;
(五)进行其他可能对个人产生重大影响的个人信息处理活动。
(五)其他对个人权益活动有重大影响的个人信息处理。
第五十六条 个人信息保护影响评估应当包括以下内容:
第十五条个人信息保护影响评估应该包括以下内容:
(一)个人信息处理的目的和手段是否合法、正当、必要;
(一)个人信息的处理目的,处理方式等是否合法,正当,必要;
(二)对个人权益的影响、安全风险; 和
(二)对个人利益的影响及安全风险;
(三)采取的保护措施是否合法、有效、与风险程度相适应。
(三)所取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告及处理记录至少保存三年。
个人信息保护影响评估报告和处理情况应该记录至少保存三年。
第五十七条 个人信息发生或者可能发生泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知负有个人信息保护职责的部门和有关个人。 通知应当包括以下内容:
第五条发生或可能发生的个人信息泄露、篡改、丢失的,个人信息处理者应立即使用服务措施,并通知履行个人信息保护职责的部门和个人。通知应包括以下事项:
(一)个人信息已经或可能被泄露、被篡改、丢失的类别,被泄露、被篡改、丢失的原因和可能造成的危害;
(一)发生或可能发生的个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施以及个人为减轻损害可能采取的措施; 和
(二)个人信息处理者采取的支出措施和个人可以采取的劳动强度的措施;
(三)个人信息处理者的联系方式。
(三)个人信息处理者的联系方式。
个人信息处理者采取的措施能够有效避免个人信息泄露、篡改、丢失造成损害的,个人信息处理者无需通知个人; 负有个人信息保护职责的部门认为可能造成损害的,有权要求个人信息处理者通知个人。
个人信息处理者采取措施能够有效避免信息泄露、篡改、破坏损害损害的,个人处理者可以不通知个人;履行个人信息保护职责部门认为可能造成危害的信息,需要个人信息处理者通知个人。
第五十八条 个人信息处理者提供重要的互联网平台服务,涉及用户数量庞大、业务类型复杂,应当履行下列义务:
第五十八条提供重要的互联网平台服务、用户数量庞大、业务类型复杂的个人信息处理者,应完成以下任务:
(一)按照国家规定建立健全个人信息保护合规制度,建立以外部成员为主的独立组织,对个人信息保护进行监督;
(一)按照国家规定建立健全个人信息保护合规制度体系,主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内的产品或服务提供者在处理个人信息时应遵守的规范和义务;
(二)遵循公开、公平、叙事的原则,计划规则,明确的平台内产品或服务提供者处理个人信息的规范和保护个人信息的义务;
(三)在处理个人信息的平台内,严重违反法律、行政法规,停止为产品或者服务提供者提供服务; 和
(三)对严重违反法律、行政法规个人处理的平台内的产品或服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受公众监督。
(四)定期发布个人信息,保护社会责任,接受社会监督。
第五十九条 受委托处理个人信息的当事人应当依照本法和有关法律、行政法规的规定,采取必要措施保障受委托处理的个人信息的安全,并协助受委托的个人信息处理者履行本法规定的义务。
第五条接受委托处理个人信息的受托人,根据本法和法律、行政规范的规定,行动必须保障所处理的个人信息的安全,并协助个人信息者履行本法规定的义务。
第六章 个人信息保护职责部门
第六章履行个人信息保护职责的部门
第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。 国务院有关部门依照本法和其他有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和相关监督管理工作。
国务院有关部门根据本法和法律、行政法规的规定,分工负责监督范围内的个人信息保护和负责管理工作。
县级以上地方人民政府有关部门的个人信息保护和相关监督管理职责,按照国家有关规定确定。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定。
前两款规定的部门统称为负有个人信息保护职责的部门。
前两款规定的部门统一称为补充个人信息保护职责的部门。
第六十一条 负有个人信息保护职责的部门应当履行下列个人信息保护职责:
第六十一条 履行个人信息保护职责的职责如下:
(一)开展个人信息保护宣传教育,指导、监督个人信息处理者保护个人信息;
(一)开展个人信息保护宣传教育,指导,监督个人信息处理者开展个人信息保护工作;
(二)受理、处理与个人信息保护有关的投诉、举报;
(二)接受、处理与个人信息保护有关的投诉、联系方式;
(三)组织对个人信息保护方面的申请等进行评估并公布评估结果;
(三)对应用程序等个人保护情况进行准备,并组织发布信息结果;
(四)查处非法个人信息处理活动; 和
(四)调查、处理个人信息活动;
(五)法律、行政法规规定的其他职责。
(五)法律、行政法规的其他职责。
第六十二条 国家网信部门应当配合有关部门依照本法的规定,做好个人信息保护工作:
第六十二条国家网信部门专题讨论有关专题论述本法行为以下个人信息保护工作:
(一)制定个人信息保护的具体规则和标准;
(一)制定个人信息保护制度、标准;
(二)针对小型个人信息处理者、个人敏感信息处理以及人脸识别、人工智能等新技术和应用,制定专门的个人信息保护规则和标准;
(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定个人信息保护规则、标准;
(三)支持研发,推广应用安全便捷的电子身份认证技术,推进网络身份认证公共服务;
(三)支持研究开发和推广应用安全、方方便的电子身份认证技术,推进网络身份认证公共服务建设;
(四)推动社会各界参与的个人信息保护服务体系建设,支持有关机构提供个人信息保护评估和认证服务; 和
(四)推进个人信息保护社会化服务体系建设,支持有关机构提供个人信息保护评估、认证服务;
(五)完善个人信息保护相关投诉举报机制。
(五)完善个人信息保护投诉、联系人工作机制。
第六十三条 负有个人信息保护职责的部门在履行相关职责时,可以采取下列措施:
第六十三条落实个人信息保护职责,落实个人信息保护职责,可以采取以下措施:
(一)询问有关当事人,调查与个人信息处理活动有关的情况;
(一)询问有关焦点,调查与个人信息处理活动有关的情况;
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿等相关资料;
(二)查阅,复制和与个人信息处理活动有关的合同,记录,账簿以及其他有关资料;
(三)进行现场检查,对涉嫌非法个人信息处理活动进行调查; 和
(三)实施现场检查,对嫌疑人的个人信息处理活动进行调查;
(四)检查与个人信息处理活动有关的设备、物品; 向负有个人信息保护职责的部门主要负责人书面报告并批准后,查封、扣押有证据证明与非法个人信息处理活动有关的设备、物品。
(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是并记录个人信息处理活动的设备、物品,向本部门主要负责人书面检查报告批准,可以封封或扣押。
负有个人信息保护职责的部门依法履行职责时,当事人应当予以配合和协助,不得拒绝、阻挠。
初步个人信息保护职能的部门依法法定职责,合并合理的协助,配合,不得拒绝,阻挠。
第六十四条 个人信息保护职责部门在履行职责时,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以约谈法定代表人或者主要负责人个人信息处理者按照规定的权限和程序,或要求处理者委托专业机构对个人信息处理活动进行合规审计。 个人信息处理者应当根据需要采取措施进行整改,消除潜在风险。
第六十四条履行个人信息保护职责的部门在履行职责中,发现个人信息活动存在风险或发生的个人信息安全事件,可以按照规定的权限程序和个人信息者的法律代表个人或主要负责人进行约谈,或者要求个人处理者委托专业机构对其个人信息处理活动进行合规审计。个人处理者按照要求采取措施,进行整改,信息删除隐患。
负有个人信息保护职责的部门在履行职责过程中,发现违法的个人信息处理活动可能构成犯罪的,应当依法及时移送公安机关。
履行个人信息保护职责的部门在履行职责中,发现处理个人信息涉嫌犯罪的,应该及时移送机关必须处理。
第六十五条 任何组织或者个人有权就个人信息处理违法行为向负有个人信息保护职责的部门投诉、举报。 接到投诉或者举报的部门应当依法及时处理,并将处理结果通知投诉人或者举报人。
第六十五条任何、个人对个人信息处理活动向个人信息保护的职能部门进行投诉、投诉。人。
负有个人信息保护职责的部门应当公开受理投诉举报的联系方式。
履行个人信息保护职责的部门应该发表接受投诉、联系方式。
第七章法律责任
第七章法律责任
第六十六条 违反本法规定处理个人信息或者未履行本法规定的个人信息保护义务的,由负有个人信息保护职责的部门责令改正,给予警告,没收违法的非法处理个人信息的应用程序获取利益,责令暂停或终止提供服务; 拒不改正的,处66万元以下罚款; 对直接负责的主管人员和其他直接责任人员,分别处一万元以上十万元以下的罚款。
第六十六条违反本法规定处理个人的,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职能部门责令改正,通报信息,不收收所得,对挪用处理个人的应用程序,责令暂停或终止提供服务的,并处不于改正;对主管的主管人员和其他直接负责的人员,一政府以上直接责任部门。
有前款规定的违法行为,情节严重的,由省级以上负有个人信息保护职责的部门责令改正,没收违法所得,并处以下罚款。 50万元以上或不超过上一年度营业额的百分之五; 也可以责令停止有关业务,或者责令停业整顿,并通知主管机关吊销有关营业执照、执照; 对直接负责的主管人员和其他直接责任人员分别处100,000万元以上1万元以下罚款,并可以决定禁止上述人员担任董事、监事、高级管理人员职务。经理或相关公司的负责人在特定时期内。
有前款规定的贪食行为,情节严重的,由省级以上实施个人信息保护的部门责令改正,没有收收万元以下的收入,或者上一年度营业额五以下的罚款,并可以责令暂停相关业务或停业整顿、通报主管部门吊销相关业务许可或吊销业务许可;对直接主管的主管人员和主管人员和其他直接责任人员停止营业,并可以决定禁止其在一定期限内担任相关企业的关注、间接、高级管理人员和个人信息保护负责人。
第六十七条 违反本法规定的,应当记入相关信用记录,并依照有关法律、行政法规的规定予以公布。
第六十七条有本法规定的行为的,有关法律、行政法规的规定记入信用档案,并附有公示。
第六十八条 国家机关不履行本法规定的个人信息保护义务的,由上级机关或者负有个人信息保护职责的部门责令改正,对直接负责的主管人员、其他依法承担直接责任的人员。
第六十八条国家机关不履行本法规定的个人信息保护职责的,由其上级机关或者执行个人信息保护职责部门的责令改正;对直接主管的主管人员和其他直接责任人员另行通知处分。
负有个人信息保护职责的部门工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
履行个人信息保护职责的部门的工作人员玩职守、突击职责、徇私舞权,尚不构成犯罪的,及时通报处分。
第六十九条 个人信息处理者因个人信息处理活动侵犯个人信息权益,不能证明处理者没有过错的,应当承担损害赔偿等侵权责任。
第六条处理个人信息个人信息个人信息利益造成自己损害,者不能证明没有错的,应该承担损害赔偿等侵权责任处理。
前款规定的损害赔偿责任,根据个人因此受到的损失和侵权个人信息处理者获得的利益确定; 上述损失或者利益难以确定的,应当根据实际情况确定赔偿数额。
前款规定的损害赔偿额的确定,根据个人信息处理人因此受到的损失或个人信息处理者因此获得的利益确定;个人因此获得的损失和个人责任的确定,根据实际信息处理者的赔偿数额。
第七十条 个人信息处理者违反本法规定处理个人信息,侵害多人权益的,人民检察院、法律规定的消费者组织和国家网信部门指定的组织可以提起诉讼。依法向人民法院提起诉讼。
第七十个人处理处理者违反本法规定的处理个人信息,依法追究个人的法律权益,人民检察院、人民组织和国家网信部门确定的组织可以向法院确定无权影响。
第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚。 构成犯罪的,依法追究刑事责任。
第七十一条违反本法规定,构成违反治安管理行为的,依法通报治安管理处罚;犯罪行为,依法追究刑事责任。
第八章附则
第八章附则
第七十二条 自然人为个人或者家庭事务处理个人信息的,不适用本法。
第七十二条自然人因个人或家庭事务处理个人信息的,不适用本法。
各级人民政府及其有关部门组织开展的统计、档案管理活动中,其他法律规定个人信息处理的,从其规定。
法律对有关人民政府及其有关部门组织实施的统计,档案管理活动中的个人信息处理有规定的,适用其规定。
第七十三条 本法所称下列用语,具有下列含义:
第七十三条本法下列用语的含义:
(一)“个人信息处理者”是指自主决定个人信息处理目的和方式的组织或个人。
(个人)信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
(二)“自动决策”是指通过计算机程序自动分析和评价个人的行为、爱好或经济、健康、信用状况等,并作出决策的活动。
(二)自动化决策,是指计算机程序自动分析、评估个人的行为习惯、信用习惯或经济、健康、状况等,并进行决策的活动。
(三)“去识别化”是指在没有附加信息支持的情况下,对个人信息进行处理,使其无法识别特定自然人。
(三)去标识化,是指个人信息经过处理,导致在不替换多余的信息的情况下无法识别特定自然人的过程。
(四)“匿名化”,是指对个人信息进行处理,使其无法识别特定自然人,无法恢复的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能恢复的过程。
第七十四条 本法自74年1月2021日起施行。
第七十四条本法自2021年11月1日起施行。