中華人民共和國個人信息保護法
(30年20月2021日第十三屆全國人民代表大會常務委員會第三十次會議通過)
第一章
第一條 為了保護個人信息權益,規範個人信息處理活動,促進個人信息的合理使用,根據憲法,制定本法。
第二條 自然人的個人信息受法律保護。 任何組織和個人不得侵犯自然人的個人信息權益。
第三條 在中華人民共和國境內處理自然人的個人信息,適用本法。
有下列情形之一的,在中華人民共和國境外處理中華人民共和國境內自然人的個人信息,也適用本法:
(一)以為中華人民共和國境內的自然人提供產品或者服務為目的;
(二)分析或者評價中華人民共和國領域內自然人的行為; 和
(三)法律、行政法規規定的其他情形。
第四條“個人信息”是指以電子或者其他方式記錄的與已識別或者可識別自然人有關的各種信息,但不包括匿名信息。
個人信息處理包括個人信息的收集、存儲、使用、處理、傳輸、提供、披露和刪除等。
第五條 個人信息應當在必要時、有正當理由、善意地依法處理,不得存在誤導、欺詐、脅迫等行為。
第六條 個人信息處理應當基於明確、合理的目的,並與該目的直接相關,對個人權益的影響最小。
個人信息的收集應限制在處理目的所要求的最小範圍內,不得過度收集個人信息。
第七條 處理個人信息應當遵循公開、透明的原則,公開個人信息處理規則,明確處理目的、方式和範圍。
第八條 個人信息處理應當保證個人信息質量,避免個人信息不准確、不完整對個人權益造成不利影響。
第九條 個人信息處理者應當對其個人信息處理活動負責,並採取必要措施確保其處理的個人信息安全。
第十條 任何組織和個人不得非法收集、使用、處理、傳輸他人個人信息,不得非法交易、提供、披露他人個人信息,不得從事危害國家安全、危害他人的個人信息處理活動。公共利益。
第十一條 國家建立健全個人信息保護製度,預防和懲治侵犯個人信息權益的行為,加強個人信息保護宣傳教育,為政府、企業、相關行業組織營造良好環境。 ,與公眾共同參與個人信息保護。
第十二條 國家積極參與個人信息保護國際規則的製定,促進個人信息保護國際交流與合作,鼓勵與其他國家、地區互認個人信息保護規則和標準等。和國際組織。
第二章個人信息處理規則
第一節 一般規則
第十三條 個人信息處理者有下列情形之一的,方可處理個人的個人信息:
(一)已徵得本人同意;
(2) 為締結或履行個人為當事人的合同所必需的,或為人力資源管理所必需的,依照依法制定的勞動規章制度和按照規定簽訂的集體合同。與法律;
(3) 處理是履行法定職責或義務所必需的;
(四)為應對突發公共衛生事件,或者為保護突發事件中自然人的生命、健康和財產安全所必需的;
(五)為新聞報導、媒體監督等公益活動而對個人信息進行合理處理;
(六)個人本人披露的個人信息或者其他依法披露的個人個人信息,依照本法的規定進行了合理處理; 和
(七)法律、行政法規規定的其他情形。
本法其他有關規定有規定處理個人信息的,應當取得個人同意,但前款第(二)項至第(七)項規定的情形除外。
第十四條 個人信息處理基於個人同意的,個人同意應當是自願的、明確的、充分知情的。 其他法律、行政法規規定處理個人信息必須取得個人單獨同意或者書面同意的,從其規定。
個人信息處理的目的、方式、處理的個人信息類別發生變化時,應當重新徵得個人同意。
第十五條 個人信息處理基於個人同意的,個人有權撤回同意。 個人信息處理者應當為個人撤回同意提供便利途徑。
撤回同意不影響撤回前基於同意進行的處理活動的有效性。
第十六條 個人信息處理者不得以個人不同意處理其個人信息或者撤回其處理個人信息的同意為由拒絕為個人提供產品或者服務,但處理個人信息的除外。個人信息是提供產品或服務所必需的。
第十七條 個人信息處理者在處理個人信息前,應當以通俗易懂的方式和通俗易懂的語言,如實、準確、全面地告知個人下列事項:
(一)個人信息處理者的名稱和聯繫方式;
(二)個人信息處理的目的和方式,處理的個人信息的類別和保存期限;
(三)個人行使本法規定的權利的方式和程序; 和
(四)法律、行政法規規定應當告知個人的其他事項。
前款規定的事項發生變化的,應當告知個人。
個人信息處理者通過制定個人信息處理規則將第一款規定的事項告知個人的,處理規則應當公開,便於查閱和保存。
第十八條 個人信息處理者在處理個人信息時,法律、行政法規要求保密或者未規定告知的前條第一款規定的事項,允許個人信息處理者不告知個人。
為保護自然人的生命健康和財產安全,在緊急情況下無法及時通知個人的,個人信息處理者應當在緊急情況消除後及時通知。
第十九條 除法律、行政法規另有規定外,個人信息的保存期限為達到處理目的所需的最短時間。
第二十條 兩個以上個人信息處理者共同確定處理某些個人信息的目的和方式的,應當就各自處理個人信息的權利和義務達成一致。 但是,本協議不影響個人請求其中任何人行使本法規定的權利。
處理者在共同處理某些個人信息時,侵犯個人信息權益並造成損害的,其他個人信息處理者應當依法承擔連帶責任。
第二十一條 個人信息處理者將部分個人信息委託給一方處理的,應當與受委託方就處理的目的、期限、方式、處理的個人信息類別和保護措施等達成一致,雙方的權利和義務等,並對受託方的個人信息處理活動進行監督。
受託方應當按照約定處理個人信息,不得超出約定的目的、方式和其他條件處理個人信息。 委託合同未生效、無效、被撤銷、終止的,受託方應當將相關個人信息退還或者刪除,不得保留該個人信息。
未經個人信息處理者同意,受託方不得將個人信息的處理分包給任何其他方。
第二十二條 個人信息處理者因合併、分立、解散、破產等原因需要轉移個人信息的,應當將轉移個人信息接收者的姓名和聯繫方式告知個人。 接收方應當繼續履行該個人信息處理者的義務。 接收方改變原來的處理目的或者方式的,應當依照本法的規定徵得個人同意。
第二十三條 個人信息處理者向其他處理者提供個人信息的,應當將接收者的姓名、聯繫方式、處理目的和方式、處理的個人信息類別等告知個人,並取得個人的單獨信息。同意。 接收方應在上述個人信息的目的、方式和類別範圍內處理個人信息。 接收方改變處理目的或方式的,應當依照本法規定徵得個人同意。
第二十四條 個人信息處理者使用個人信息進行自動化決策,應當保證決策的透明性和結果的公平公正,不得在交易價格等交易條件上對個人進行不合理的差別待遇。
基於自動化決策對個人的信息推送和商業營銷,應同時伴有不針對個人特徵的選項或個人拒絕的便捷方式。
通過自動化決策作出可能對個人權益產生重大影響的決定的,個人有權要求個人信息處理者作出澄清,並有權拒絕處理者僅通過自動化作出決定。做決定。
第二十五條 個人信息處理者不得公開其處理的個人信息,但經個人單獨同意的除外。
第二十六條 公共場所的圖像採集和個人識別設備,應當在維護公共安全需要時設置,並應當按照國家有關規定設置,並有顯著提示。 所收集的個人圖像和身份信息只能用於維護公共安全的目的,未經個人同意,不得用於其他目的。
第二十七條 個人信息處理者可以對個人公開的個人信息或者其他合法公開的個人信息進行合理處理,但個人明確拒絕的除外。 處理已披露的個人信息可能對個人權益產生重大影響的,個人信息處理者應當依照本法規定事先徵得個人同意。
第二節 個人敏感信息處理規則
第二十八條“個人敏感信息”是指一旦洩露或者被非法使用,容易導致自然人人格尊嚴受到侵害或者可能危及自然人人身安全、財產安全的個人信息,包括生物特徵、宗教信仰、特定身份、醫療健康狀況、財務賬戶和該人的行踪,以及 28 歲以下未成年人的個人信息。
個人信息處理者只有在有特定目的和必要時,在採取嚴格保護措施的情況下,才能處理敏感的個人信息。
第二十九條處理個人敏感信息,應當取得個人的單獨同意。 其他法律、行政法規規定處理個人敏感信息應當取得書面同意的,從其規定。
第三十條 除本法第十七條第一款規定的事項外,處理個人敏感信息的處理者應當告知個人處理其個人敏感信息的必要性及其對其權益的影響,但依照本法規定不需要通知的。
第三十一條 個人信息處理者處理未滿十四周歲未成年人的個人信息,應當徵得未成年人父母或者其他監護人的同意。
個人信息處理者處理未滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。
第三十二條 其他法律、行政法規規定處理個人敏感信息應當取得相關行政許可或者施加其他限制的,從其規定。
第三節 國家機關處理個人信息的特別規定
第三十三條 國家機關處理個人信息,適用本法; 本節有特別規定的,以本節的規定為準。
第三十四條 國家機關為履行法定職責處理個人信息,應當依照法律、行政法規規定的權限和程序行事,不得超出履行法定職責所需的範圍和限度。
第三十五條 國家機關為履行法定職責處理個人信息的,應當依照本法規定履行告知義務,但有本法第十八條第一款規定的情形或者應當告知的除外。會妨礙國家機關履行法定職責。
第三十六條 國家機關處理的個人信息應當存儲在中華人民共和國境內。 確有必要向中華人民共和國領域外的任何一方提供此類信息的,應當進行安全評估。 在安全評估中,有關部門應當根據要求予以支持和協助。
第三十七條 法律、法規授權的具有公共事務管理職能的組織為履行法定職責處理個人信息的,適用本辦法關於國家機關處理個人信息的規定。
第三章 個人信息出境規則
第三十八條 個人信息處理者因業務或者其他原因確需為中華人民共和國境外的當事人提供個人信息的,應當具備下列條件之一:
(一)通過國家網信部門依照本法第四十條組織的安全評估;
(二)按照國家網信部門的規定,取得相關專業機構的個人信息保護證明;
(三)按照國家網信部門製定的標準合同,與境外接收方簽訂約定雙方權利義務的合同; 和
(四)法律、行政法規和國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國領域以外的一方提供個人信息的條件作出規定的,可以依照其規定。
個人信息處理者應當採取必要措施,確保境外接收者的個人信息處理活動符合本法規定的個人信息保護標準。
第三十九條 個人信息處理者為中華人民共和國境外的任何一方提供個人信息的,處理者應當將境外接收者的姓名、聯繫方式、處理目的和方式、個人信息的類別等告知個人。處理,以及個人對境外收受人行使本法規定的權利的方式和程序等,應當取得個人的單獨同意。
第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。 確需為中華人民共和國境外當事人提供信息的,由國家網信部門組織安全評估。 法律、行政法規或者國家網信部門規定不需要進行安全評估的,從其規定。
第四十一條 中華人民共和國主管部門應當根據有關法律和中華人民共和國締結或者參加的國際條約、協定,處理外國司法、執法機關要求在中國境內存儲個人信息的;或者在平等互惠的原則下。 未經中華人民共和國主管部門批准,任何組織和個人不得將存儲在中華人民共和國境內的數據提供給外國司法、執法機關。
第四十二條 境外組織或者個人從事個人信息處理活動,侵犯中華人民共和國公民個人信息權益或者危害中華人民共和國國家安全、公共利益的,國家網絡空間部門可以將其列入限製或者禁止個人信息接收者名單,予以公示,並採取限製或者禁止向該組織和個人提供個人信息等措施。
第四十三條 任何國家或者地區在個人信息保護方面對中華人民共和國採取禁止性、限制性或者其他類似歧視性措施的,中華人民共和國可以根據實際情況對該國家或者地區採取反制措施。
第四章個人信息處理活動中的個人權利
第四十四條 個人對其個人信息的處理享有知情權、決定權,有權限製或者拒絕他人對其個人信息的處理,法律、行政法規另有規定的除外。
第四十五條 個人有權向個人信息處理者查閱、複製其個人信息,但本法第十八條第一款、第三十五條規定的情形除外。
個人要求查閱或者復制其個人信息的,被請求的個人信息處理者應當及時提供。
個人要求向指定的個人信息處理者轉移個人信息的,符合國家網信部門轉移個人信息要求的,被要求轉移的個人信息處理者應當提供轉移方式。
第四十六條 個人發現其個人信息不正確或者不完整的,有權要求個人信息處理者更正或者補充有關信息。
個人要求更正或者補充其個人信息的,個人信息處理者應當對相關信息進行核實,並及時更正或者補充。
第四十七條 有下列情形之一的,個人信息處理者應當主動刪除個人信息,個人信息處理者未刪除的,個人有權要求刪除其個人信息:
(1) 處理目的已經實現或無法實現,或該信息不再是實現處理目的所必需的;
(二)個人信息處理者停止提供產品或者服務,或者保存期限屆滿;
(三)個人撤回同意;
(四)個人信息處理者違反法律、行政法規或者約定處理個人信息的; 要么
(五)法律、行政法規規定的其他情形。
法律、行政法規規定的保存期限未滿,或者個人信息技術難以擦除的,個人信息處理者應當停止對個人信息的處理,但應當對個人信息進行保存並採取必要的安全保護措施。
第四十八條 個人有權要求個人信息處理者對其製定的個人信息處理規則進行解釋。
第四十九條 已故自然人的近親屬為了自身的合法權益,可以行使本章規定的查詢、複製、更正、刪除等處理死者個人信息的權利,但死者生前另有安排。
第五十條 個人信息處理者應當建立個人行使權利請求的受理和處理機制。 拒絕個人請求的,應當說明理由。
個人行使權利的請求被個人信息處理者拒絕的,個人可以依法向人民法院提起訴訟。
第五章個人信息處理者的義務
第五十一條 個人信息處理者應當根據處理的目的和方式、處理的個人信息類別、對個人權利的影響和利益,以及潛在的安全風險等,並應防止未經授權訪問、破壞、篡改或丟失任何個人信息:
(一)制定內部管理制度和操作規程;
(二)對個人信息實行分類管理;
(三)採取相應的加密、去標識化等安全技術措施;
(四)合理確定個人信息處理的操作權限,定期對從業人員進行安全教育培訓;
(五)制定個人信息安全突發事件應急預案並組織實施; 和
(六)法律、行政法規規定的其他措施。
第五十二條 個人信息處理者處理個人信息達到國家網信部門規定數量的,應當指定個人信息保護負責人,對處理者的個人信息處理活動及其採取的保護措施進行監督。 ,等等。
個人信息處理者應當公開個人信息保護負責人的聯繫方式,並將其姓名、聯繫方式等信息報送負有個人信息保護職責的部門。
第五十三條 本法第三條第二款規定的中華人民共和國境外的個人信息處理者應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息。保護相關事項,並應當向負有個人信息保護職責的部門報送代理機構和代表的名稱、聯繫方式等信息。
第五十四條 個人信息處理者應當定期對其個人信息處理活動進行符合法律、行政法規的合規性審計。
第五十五條 有下列情形之一的,個人信息處理者應當事先評估對個人信息保護的影響,並記錄處理過程:
(1) 處理敏感的個人信息;
(2)利用個人信息進行自動化決策;
(三)委託他人處理個人信息、為他人提供個人信息、公開個人信息的;
(四)為中華人民共和國境外的任何一方提供個人信息; 要么
(五)進行其他可能對個人產生重大影響的個人信息處理活動。
第五十六條 個人信息保護影響評估應當包括以下內容:
(一)個人信息處理的目的和手段是否合法、正當、必要;
(二)對個人權益的影響、安全風險; 和
(三)採取的保護措施是否合法、有效、與風險程度相適應。
個人信息保護影響評估報告及處理記錄至少保存三年。
第五十七條 個人信息發生或者可能發生洩露、篡改、丟失的,個人信息處理者應當立即採取補救措施,並通知負有個人信息保護職責的部門和有關個人。 通知應當包括以下內容:
(一)個人信息已經或可能被洩露、被篡改、丟失的類別,被洩露、被篡改、丟失的原因和可能造成的危害;
(二)個人信息處理者採取的補救措施以及個人為減輕損害可能採取的措施; 和
(三)個人信息處理者的聯繫方式。
個人信息處理者採取的措施能夠有效避免個人信息洩露、篡改、丟失造成損害的,個人信息處理者無需通知個人; 負有個人信息保護職責的部門認為可能造成損害的,有權要求個人信息處理者通知個人。
第五十八條 個人信息處理者提供重要的互聯網平台服務,涉及用戶數量龐大、業務類型複雜,應當履行下列義務:
(一)按照國家規定建立健全個人信息保護合規制度,建立以外部成員為主的獨立組織,對個人信息保護進行監督;
(二)遵循公開、公平、公正的原則,制定平台規則,明確平台內的產品或服務提供者在處理個人信息時應遵守的規範和義務;
(三)在處理個人信息的平台內,嚴重違反法律、行政法規,停止為產品或者服務提供者提供服務; 和
(四)定期發布個人信息保護社會責任報告,接受公眾監督。
第五十九條 受委託處理個人信息的當事人應當依照本法和有關法律、行政法規的規定,採取必要措施保障受委託處理的個人信息的安全,並協助受委託的個人信息處理者履行本法規定的義務。
第六章 個人信息保護職責部門
第六十條 國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。 國務院有關部門依照本法和其他有關法律、行政法規的規定,在各自職責範圍內負責個人信息保護和相關監督管理工作。
縣級以上地方人民政府有關部門的個人信息保護和相關監督管理職責,按照國家有關規定確定。
前兩款規定的部門統稱為負有個人信息保護職責的部門。
第六十一條 負有個人信息保護職責的部門應當履行下列個人信息保護職責:
(一)開展個人信息保護宣傳教育,指導、監督個人信息處理者保護個人信息;
(二)受理、處理與個人信息保護有關的投訴、舉報;
(三)組織對個人信息保護方面的申請等進行評估並公佈評估結果;
(四)查處非法個人信息處理活動; 和
(五)法律、行政法規規定的其他職責。
第六十二條 國家網信部門應當配合有關部門依照本法的規定,做好個人信息保護工作:
(一)制定個人信息保護的具體規則和標準;
(二)針對小型個人信息處理者、個人敏感信息處理以及人臉識別、人工智能等新技術和應用,制定專門的個人信息保護規則和標準;
(三)支持研發,推廣應用安全便捷的電子身份認證技術,推進網絡身份認證公共服務;
(四)推動社會各界參與的個人信息保護服務體系建設,支持有關機構提供個人信息保護評估和認證服務; 和
(五)完善個人信息保護相關投訴舉報機制。
第六十三條 負有個人信息保護職責的部門在履行相關職責時,可以採取下列措施:
(一)詢問有關當事人,調查與個人信息處理活動有關的情況;
(二)查閱、複製當事人與個人信息處理活動有關的合同、記錄、賬簿等相關資料;
(三)進行現場檢查,對涉嫌非法個人信息處理活動進行調查; 和
(四)檢查與個人信息處理活動有關的設備、物品; 向負有個人信息保護職責的部門主要負責人書面報告並批准後,查封、扣押有證據證明與非法個人信息處理活動有關的設備、物品。
負有個人信息保護職責的部門依法履行職責時,當事人應當予以配合和協助,不得拒絕、阻撓。
第六十四條 個人信息保護職責部門在履行職責時,發現個人信息處理活動存在較高風險或者發生個人信息安全事件的,可以約談法定代表人或者主要負責人個人信息處理者按照規定的權限和程序,或要求處理者委託專業機構對個人信息處理活動進行合規審計。 個人信息處理者應當根據需要採取措施進行整改,消除潛在風險。
負有個人信息保護職責的部門在履行職責過程中,發現違法的個人信息處理活動可能構成犯罪的,應當依法及時移送公安機關。
第六十五條 任何組織或者個人有權就個人信息處理違法行為向負有個人信息保護職責的部門投訴、舉報。 接到投訴或者舉報的部門應當依法及時處理,並將處理結果通知投訴人或者舉報人。
負有個人信息保護職責的部門應當公開受理投訴舉報的聯繫方式。
第七章法律責任
第六十六條 違反本法規定處理個人信息或者未履行本法規定的個人信息保護義務的,由負有個人信息保護職責的部門責令改正,給予警告,沒收違法的非法處理個人信息的應用程序獲取利益,責令暫停或終止提供服務; 拒不改正的,處66萬元以下罰款; 對直接負責的主管人員和其他直接責任人員,分別處一萬元以上十萬元以下的罰款。
有前款規定的違法行為,情節嚴重的,由省級以上負有個人信息保護職責的部門責令改正,沒收違法所得,並處以下罰款。 50萬元以上或不超過上一年度營業額的百分之五; 也可以責令停止有關業務,或者責令停業整頓,並通知主管機關吊銷有關營業執照、執照; 對直接負責的主管人員和其他直接責任人員分別處100,000萬元以上1萬元以下罰款,並可以決定禁止上述人員擔任董事、監事、高級管理人員職務經理或相關公司的負責人在特定時期內。
第六十七條 違反本法規定的,應當記入相關信用記錄,並依照有關法律、行政法規的規定予以公佈。
第六十八條 國家機關不履行本法規定的個人信息保護義務的,由上級機關或者負有個人信息保護職責的部門責令改正,對直接負責的主管人員、其他依法承擔直接責任的人員。
負有個人信息保護職責的部門工作人員玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予處分。
第六十九條 個人信息處理者因個人信息處理活動侵犯個人信息權益,不能證明處理者沒有過錯的,應當承擔損害賠償等侵權責任。
前款規定的損害賠償責任,以個人因此受到的損失和侵權個人信息處理者獲得的利益為依據確定; 上述損失或者利益難以確定的,應當根據實際情況確定賠償數額。
第七十條 個人信息處理者違反本法規定處理個人信息,侵害多人權益的,人民檢察院、法律規定的消費者組織和國家網信部門指定的組織可以提起訴訟。依法向人民法院提起訴訟。
第七十一條 違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰。 構成犯罪的,依法追究刑事責任。
第八章附則
第七十二條 自然人為個人或者家庭事務處理個人信息的,不適用本法。
各級人民政府及其有關部門組織開展的統計、檔案管理活動中,其他法律規定個人信息處理的,從其規定。
第七十三條 本法所稱下列用語,具有下列含義:
(一)“個人信息處理者”是指自主決定個人信息處理目的和方式的組織或個人。
(二)“自動決策”是指通過計算機程序自動分析和評價個人的行為、愛好或經濟、健康、信用狀況等,並作出決策的活動。
(三)“去識別化”是指在沒有附加信息支持的情況下,對個人信息進行處理,使其無法識別特定自然人。
(四)“匿名化”,是指對個人信息進行處理,使其無法識別特定自然人,無法恢復的過程。
第七十四條 本法自74年1月2021日起施行。