中華人民共和國個人信息保護法
中華人民共和國個人信息保護法
(30年20月2021日第十三屆全國人民代表大會常務委員會第三十次會議通過)
(2021年8月20日第十三屆全國人民代表大會常務委員會第三十次會議通過)
第一章
第一章總則
第一條 為了保護個人信息權益,規範個人信息處理活動,促進個人信息的合理使用,根據憲法,制定本法。
第一條為了保護個人信息權益,規範個人信息處理活動,促進個人信息合理利用,根據,制定本法。
第二條 自然人的個人信息受法律保護。 任何組織和個人不得侵犯自然人的個人信息權益。
第二條自然人的個人信息受法律保護,任何組織、個人不得犯自然人的個人信息權益。
第三條 在中華人民共和國境內處理自然人的個人信息,適用本法。
第三條在中華人民共和國境內處理自然人個人信息的活動,適用本法。
有下列情形之一的,在中華人民共和國境外處理中華人民共和國境內自然人的個人信息,也適用本法:
在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列三種之一的,也適用本法:
(一)以為中華人民共和國境內的自然人提供產品或者服務為目的;
(一)以向境內自然人提供產品或服務為目的;
(二)分析或者評價中華人民共和國領域內自然人的行為; 和
(二)分析、評估周圍自然人的行為;
(三)法律、行政法規規定的其他情形。
(三)法律,行政法規規定的其他優點。
第四條“個人信息”是指以電子或者其他方式記錄的與已識別或者可識別自然人有關的各種信息,但不包括匿名信息。
第四條個人信息為電子或其他方式記錄的與已識別或可識別的自然人有關的各種信息,不包括匿名化處理後的信息。
個人信息處理包括個人信息的收集、存儲、使用、處理、傳輸、提供、披露和刪除等。
個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
第五條 個人信息應當在必要時、有正當理由、善意地依法處理,不得存在誤導、欺詐、脅迫等行為。
第五條處理個人信息必須遵循合法、真實、必要和誠信原則,不得通過誤導、處理個人信息、脅迫等方式信息。
第六條 個人信息處理應當基於明確、合理的目的,並與該目的直接相關,對個人權益的影響最小。
第六條處理個人信息應該明確、合理的目的,並應該與處理目的直接相關,採取對個人權益影響最小的方式。
個人信息的收集應限制在處理目的所要求的最小範圍內,不得過度收集個人信息。
收集個人信息,應該只能實現的最小範圍,必要處理個人信息。
第七條 處理個人信息應當遵循公開、透明的原則,公開個人信息處理規則,明確處理目的、方式和範圍。
第七條處理信息應該遵循公開、透明原則,個人公開信息處理規則,明示處理的目的、方式和範圍。
第八條 個人信息處理應當保證個人信息質量,避免個人信息不准確、不完整對個人權益造成不利影響。
第八條處理信息應該保證個人信息的質量,避免個人信息不准確、不完整對個人利益造成不利影響。
第九條 個人信息處理者應當對其個人信息處理活動負責,並採取必要措施確保其處理的個人信息安全。
第九條個人信息處理者必須對其個人信息處理活動負責,並採取必要的措施保障所處理的個人信息的安全。
第十條 任何組織和個人不得非法收集、使用、處理、傳輸他人個人信息,不得非法交易、提供、披露他人個人信息,不得從事危害國家安全、危害他人的個人信息處理活動。公共利益。
第十條任何組織、個人、不得竊取活動收集、使用、加工傳播個人信息,不得竊取個人信息、提供公開個人信息;或者不得從事危害國家安全、利益的個人信息處理。
第十一條 國家建立健全個人信息保護製度,預防和懲治侵犯個人信息權益的行為,加強個人信息保護宣傳教育,為政府、企業、相關行業組織營造良好環境。 ,與公眾共同參與個人信息保護。
第十一條國家建立健全個人信息保護製度,預防和懲治個人信息權益的行為,加強個人信息保護宣傳相關教育,促進政府、企業、社會組織、公眾共同參與的個人信息保護的良好環境。
第十二條 國家積極參與個人信息保護國際規則的製定,促進個人信息保護國際交流與合作,鼓勵與其他國家、地區互認個人信息保護規則和標準等。和國際組織。
第十二條國家積極參與個人信息保護國際規則的製定,促進個人合作信息保護方面的國際交流與,推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等互認。
第二章個人信息處理規則
第二章個人信息處理規則
第一節 一般規則
第一節一般規定
第十三條 個人信息處理者有下列情形之一的,方可處理個人的個人信息:
第十三條符合以下情況的,個人信息處理者方可處理個人信息:
(一)已徵得本人同意;
(一)取得個人的同意;
(2) 為締結或履行個人為當事人的合同所必需的,或為人力資源管理所必需的,依照依法制定的勞動規章制度和按照規定簽訂的集體合同。與法律;
(二)為確定、履行個人作為當事人的合同所規定的,或者按照實際制定的實施細則制度和本人提出的集體合同實施人力資源管理所規定的;
(3) 處理是履行法定職責或義務所必需的;
(三)為法定法定職責或法定義務所必需;
(四)為應對突發公共衛生事件,或者為保護突發事件中自然人的生命、健康和財產安全所必需的;
(四)為應對突發公共衛生事件,或緊急情況下為保護自然人的生命健康和財產安全所必需;
(五)為新聞報導、媒體監督等公益活動而對個人信息進行合理處理;
(五)為公共利益實施新聞報導、集中監督等行為,在合理的範圍內處理個人信息;
(六)個人本人披露的個人信息或者其他依法披露的個人個人信息,依照本法的規定進行了合理處理; 和
(六)根據本法規定在合理的範圍內處理個人自己公開或其他已經合法公開的個人信息;
(七)法律、行政法規規定的其他情形。
(七)法律,行政法規規定的其他優點。
本法其他有關規定有規定處理個人信息的,應當取得個人同意,但前款第(二)項至第(七)項規定的情形除外。
根據本法其他有關規定,處理個人信息應取得個人同意,但有前款第二項至項規定的方案,無需取得個人同意。
第十四條 個人信息處理基於個人同意的,個人同意應當是自願的、明確的、充分知情的。 其他法律、行政法規規定處理個人信息必須取得個人單獨同意或者書面同意的,從其規定。
第十四條是基於個人同意處理的,該同意應該由個人知情的知情信息、個人聲明作出判斷。、行政法規規定處理個人信息應該取得個人同意或書面同意的,從其規定。
個人信息處理的目的、方式、處理的個人信息類別發生變化時,應當重新徵得個人同意。
個人信息的處理目的,處理方式和處理的個人信息種類發生變更的,請重新獲取個人同意。
第十五條 個人信息處理基於個人同意的,個人有權撤回同意。 個人信息處理者應當為個人撤回同意提供便利途徑。
第十五條基於個人同意處理個人信息的,個人取消撤回其同意的個人信息處理者應該提供促成的撤回同意的方式。
撤回同意不影響撤回前基於同意進行的處理活動的有效性。
個人撤回同意,不影響撤回前基於個人同意進行的個人信息處理活動的效力。
第十六條 個人信息處理者不得以個人不同意處理其個人信息或者撤回其處理個人信息的同意為由拒絕為個人提供產品或者服務,但處理個人信息的除外。個人信息是提供產品或服務所必需的。
第十六條個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品服務;處理個人信息屬於提供產品服務所必需的,或者除非。
第十七條 個人信息處理者在處理個人信息前,應當以通俗易懂的方式和通俗易懂的語言,如實、準確、全面地告知個人下列事項:
第十七條 個人信息處理者在處理個人信息前,以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知以下事項:
(一)個人信息處理者的名稱和聯繫方式;
(一)個人信息處理者的姓名或姓名和聯繫方式;
(二)個人信息處理的目的和方式,處理的個人信息的類別和保存期限;
(二)個人信息的處理目的,處理方式,處理的個人信息種類,保存期限;
(三)個人行使本法規定的權利的方式和程序; 和
(三)個人行使本法規定權利的方式和程序;
(四)法律、行政法規規定應當告知個人的其他事項。
(四)法律,行政法規規定授予公告的其他事項。
前款規定的事項發生變化的,應當告知個人。
前款規定事項發生變更的,有權將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則將第一款規定的事項告知個人的,處理規則應當公開,便於查閱和保存。
個人信息處理者通過制定個人信息處理規則的方式知道第一款規定事項的,處理規則適當公開,並可以查閱和保存。
第十八條 個人信息處理者在處理個人信息時,法律、行政法規要求保密或者未規定告知的前條第一款規定的事項,允許個人信息處理者不告知個人。
第十八條個人信息處理者的個人信息,有法律、行政法規規定的必要保密或不告知的情況,可以不提前通知個人通知第一條規定的事項。
為保護自然人的生命健康和財產安全,在緊急情況下無法及時通知個人的,個人信息處理者應當在緊急情況消除後及時通知。
緊急情況下保護自然人的生命健康和財產安全無法及時向個人通報,個人信息處理者應在緊急情況下及時通知。
第十九條 除法律、行政法規另有規定外,個人信息的保存期限為達到處理目的所需的最短時間。
第十九條法律除法行政另有規定外,個人信息的保留期限應該為實現處理目的、所需的時間。
第二十條 兩個以上個人信息處理者共同確定處理某些個人信息的目的和方式的,應當就各自處理個人信息的權利和義務達成一致。 但是,本協議不影響個人請求其中任何人行使本法規定的權利。
第二十條兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應該各自的權利和義務。法規定的權利。
處理者在共同處理某些個人信息時,侵犯個人信息權益並造成損害的,其他個人信息處理者應當依法承擔連帶責任。
個人信息處理者共同處理個人信息,個人信息利益造成損害的,應該承擔連帶責任。
第二十一條 個人信息處理者將部分個人信息委託給一方處理的,應當與受委託方就處理的目的、期限、方式、處理的個人信息類別和保護措施等達成一致,雙方的權利和義務等,並對受託方的個人信息處理活動進行監督。
第二十一條 個人信息處理者委託處理個人信息的,必須與受託人約定委託處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,恢復受託人的個人信息處理活動進行監督。
受託方應當按照約定處理個人信息,不得超出約定的目的、方式和其他條件處理個人信息。 委託合同未生效、無效、被撤銷、終止的,受託方應當將相關個人信息退還或者刪除,不得保留該個人信息。
受託人應該按照約定處理個人信息,不得超出的處理目的、處理方式等處理個人信息;委託合同不應該生效、失效、被或者撤銷終止的,受託人將個人信息還個人信息處理者或者刪除,不得保留。
未經個人信息處理者同意,受託方不得將個人信息的處理分包給任何其他方。
個人信息處理者同意,受託人不得轉委託個人處理個人信息。
第二十二條 個人信息處理者因合併、分立、解散、破產等原因需要轉移個人信息的,應當將轉移個人信息接收者的姓名和聯繫方式告知個人。 接收方應當繼續履行該個人信息處理者的義務。 接收方改變原來的處理目的或者方式的,應當依照本法的規定徵得個人同意。
第二十二條信息處理者因合併、分立、解散、被通知個人離職等原因需要轉移個人信息的,應該向個人告知接收方的姓名和聯繫方式。接收方必須繼續執行個人信息處理者接收方變更原先的處理、目的處理方式的,應該按照本法規定的取得個人同意。
第二十三條 個人信息處理者向其他處理者提供個人信息的,應當將接收者的姓名、聯繫方式、處理目的和方式、處理的個人信息類別等告知個人,並取得個人的單獨信息。同意。 接收方應在上述個人信息的目的、方式和類別範圍內處理個人信息。 接收方改變處理目的或方式的,應當依照本法規定徵得個人同意。
第二十三條 個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應該向個人告知接收方的名稱或姓名、方式、處理方式、處理方式和個人信息的種類,並取得接收方必須在上述處理目的處理方式、個人信息的種類等範圍內處理個人信息。接收方更改原先的處理目的、方式的,應該按照本法規定的方式取得個人同意。
第二十四條 個人信息處理者使用個人信息進行自動化決策,應當保證決策的透明性和結果的公平公正,不得在交易價格等交易條件上對個人進行不合理的差別待遇。
第二十四條信息處理者利用個人信息進行自動化決策,應該做出決策的結果和結果、業績,不得對個人價格等交易條件上不合理交易的資助。
基於自動化決策對個人的信息推送和商業營銷,應同時伴有不針對個人特徵的選項或個人拒絕的便捷方式。
通過自動化決策方式向個人進行信息傳播、商業營銷,應該同時提供不針對其個人特徵的選項,或者向個人提供方便的拒絕方式。
通過自動化決策作出可能對個人權益產生重大影響的決定的,個人有權要求個人信息處理者作出澄清,並有權拒絕處理者僅通過自動化作出決定。做決定。
通過自動化決策方式決定對個人利益有重大影響的決定,個人要求個人信息處理者進行說明,並避免個人信息處理者僅通過決策的方式做出決定。
第二十五條 個人信息處理者不得公開其處理的個人信息,但經個人單獨同意的除外。
第二十五條個人信息處理者不得公開其處理的個人信息,取得個人單獨同意的除外。
第二十六條 公共場所的圖像採集和個人識別設備,應當在維護公共安全需要時設置,並應當按照國家有關規定設置,並有顯著提示。 所收集的個人圖像和身份信息只能用於維護公共安全的目的,未經個人同意,不得用於其他目的。
第二十六條在公共場所安裝圖像採集、個人身份識別設備,應為維護公共安全需要,堅持國家有關規定,設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公共安全的目的,不得用於其他;取得個人單獨同意的除外。
第二十七條 個人信息處理者可以對個人公開的個人信息或者其他合法公開的個人信息進行合理處理,但個人明確拒絕的除外。 處理已披露的個人信息可能對個人權益產生重大影響的,個人信息處理者應當依照本法規定事先徵得個人同意。
第二十七條 個人信息處理者在合理範圍內的個人信息公開或其他已經合法公開的個人信息;個人明確拒絕的除外。個人信息處理者已公開的個人信息,對個人權益有重大影響影響的,應該根據本法規定取得個人同意。
第二節 個人敏感信息處理規則
第二節敏感個人信息的處理規則
第二十八條“個人敏感信息”是指一旦洩露或者被非法使用,容易導致自然人人格尊嚴受到侵害或者可能危及自然人人身安全、財產安全的個人信息,包括生物特徵、宗教信仰、特定身份、醫療健康狀況、財務賬戶和該人的行踪,以及 28 歲以下未成年人的個人信息。
第二十八條個人信息是洩露或洩露機密使用,容易導致自然人的人格傷害或人格、財產安全受到傷害的個人信息,包括生物識別、宗教信仰、特定身份、金融皮膚、行學生指南等信息,以及不足十四周歲的人的個人信息。
個人信息處理者只有在有特定目的和必要時,在採取嚴格保護措施的情況下,才能處理敏感的個人信息。
都有特定的目的和足夠的必要性,並採取嚴格的保護措施下的措施,個人信息處理者方可處理敏感個人信息。
第二十九條處理個人敏感信息,應當取得個人的單獨同意。 其他法律、行政法規規定處理個人敏感信息應當取得書面同意的,從其規定。
第二十九條 處理敏感個人信息應該引起個人的單獨同意;法律、行政法規規定處理敏感個人信息應該取得書面同意的,從其規定。
第三十條 除本法第十七條第一款規定的事項外,處理個人敏感信息的處理者應當告知個人處理其個人敏感信息的必要性及其對其權益的影響,但依照本法規定不需要通知的。
第三十條個人處理信息者處理敏感個人信息的,除本法第十七條第一款規定的外,還應該向個人告知處理敏感個人信息的必要性;以及根據本法律規定可以不向個人告知的除外。
第三十一條 個人信息處理者處理未滿十四周歲未成年人的個人信息,應當徵得未成年人父母或者其他監護人的同意。
第十一條 個人信息處理者處理不滿十四周歲的人個人信息的,應該引起第三人的或其他家庭其他人的同意。
個人信息處理者處理未滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。
個人信息處理者處理不足十四周歲的人個人信息的,應該制定個人信息處理規則。
第三十二條 其他法律、行政法規規定處理個人敏感信息應當取得相關行政許可或者施加其他限制的,從其規定。
第三十二條法律、行政法規對處理敏感個人信息的規定應該取得相關行政許可或者作出其他限制的,從其規定。
第三節 國家機關處理個人信息的特別規定
第三節國家機關處理個人信息的特別規定
第三十三條 國家機關處理個人信息,適用本法; 本節有特別規定的,以本節的規定為準。
第三十三條國家機關處理個人信息的活動,適用本法;本節有特別規定的,適用本節規定。
第三十四條 國家機關為履行法定職責處理個人信息,應當依照法律、行政法規規定的權限和程序行事,不得超出履行法定職責所需的範圍和限度。
第三十四條國家機關為履行法定職責處理個人信息,應當根據、行政法規規定的權限、進行,不得超出法定職責所規定的範圍和範圍。
第三十五條 國家機關為履行法定職責處理個人信息的,應當依照本法規定履行告知義務,但有本法第十八條第一款規定的情形或者應當告知的除外。會妨礙國家機關履行法定職責。
第三條國家機關為履行法定職責的個人信息,應當按照本法規定的履行職責;有本法第十八條規定的情況,或者告知國家機關履行法定職責的情況除外。
第三十六條 國家機關處理的個人信息應當存儲在中華人民共和國境內。 確有必要向中華人民共和國領域外的任何一方提供此類信息的,應當進行安全評估。 在安全評估中,有關部門應當根據要求予以支持和協助。
第三十六條國家機關處理的個人信息應該在中華人民共和國境內;可以確認需要向外界提供的,應該進行安全評估。安全評估要求有關部門提供支持和幫助。
第三十七條 法律、法規授權的具有公共事務管理職能的組織為履行法定職責處理個人信息的,適用本辦法關於國家機關處理個人信息的規定。
第三十七條法律、法規授權的具有管理事務職能的組織為執行公共職責處理個人信息,適用本法關於國家機關處理個人信息的規定。
第三章 個人信息出境規則
第三章個人信息跨境提供的規則
第三十八條 個人信息處理者因業務或者其他原因確需為中華人民共和國境外的當事人提供個人信息的,應當具備下列條件之一:
第三十八條個人信息處理者因業務等需要,確需向中華人民共和國提供個人信息的,必須具備以下條件:
(一)通過國家網信部門依照本法第四十條組織的安全評估;
(一)遵循本法第四十條的規定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定,取得相關專業機構的個人信息保護證明;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)按照國家網信部門製定的標準合同,與境外接收方簽訂約定雙方權利義務的合同; 和
(三)按照國家網信部門製定的標準合同與對外接收方約定,約定雙方的權利和義務;
(四)法律、行政法規和國家網信部門規定的其他條件。
(四)法律,行政法規或國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國領域以外的一方提供個人信息的條件作出規定的,可以依照其規定。
中華人民共和國締結或者參加的國際條約、壓縮對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。
個人信息處理者應當採取必要措施,確保境外接收者的個人信息處理活動符合本法規定的個人信息保護標準。
個人信息處理者需要必要的保障,保障外部接收方處理個人信息的活動達到本法規定的個人信息保護標準。
第三十九條 個人信息處理者為中華人民共和國境外的任何一方提供個人信息的,處理者應當將境外接收者的姓名、聯繫方式、處理目的和方式、個人信息的類別等告知個人。處理,以及個人對境外收受人行使本法規定的權利的方式和程序等,應當取得個人的單獨同意。
第三十九條信息個人處理者向中華人民共和國境外提供個人信息的,應該向個人告知境外接收方的姓名、聯繫方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方本人行使本法規定權利的方式和程序等事項,並取得個人單獨同意。
第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。 確需為中華人民共和國境外當事人提供信息的,由國家網信部門組織安全評估。 法律、行政法規或者國家網信部門規定不需要進行安全評估的,從其規定。
第四十條關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應在國家收集收集和產生的個人信息存儲範圍內。確需向外部提供的。 ,應該通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
第四十一條 中華人民共和國主管部門應當根據有關法律和中華人民共和國締結或者參加的國際條約、協定,處理外國司法、執法機關要求在中國境內存儲個人信息的;或者在平等互惠的原則下。 未經中華人民共和國主管部門批准,任何組織和個人不得將存儲在中華人民共和國境內的數據提供給外國司法、執法機關。
第四十一條中華人民共和國行政機關根據有關法律和締結締結的相關法律和締結,或者說平等互惠原則,處理外國司法或執法關於提供本地個人信息的請求非經。國家主管機關批准,個人信息處理者不得向外國司法或執法機構提供有關國家範圍的個人信息。
第四十二條 境外組織或者個人從事個人信息處理活動,侵犯中華人民共和國公民個人信息權益或者危害中華人民共和國國家安全、公共利益的,國家網絡空間部門可以將其列入限製或者禁止個人信息接收者名單,予以公示,並採取限製或者禁止向該組織和個人提供個人信息等措施。
第四十二條中華人民共和國境外的、個人從事組織的個人信息、危害中華人民共和國或國家安全、公共利益的個人信息處理活動,國家信網部門可以將其限製或禁止個人信息提供基本,公佈,並採取限制措施或禁止向其提供個人信息等措施。
第四十三條 任何國家或者地區在個人信息保護方面對中華人民共和國採取禁止性、限制性或者其他類似歧視性措施的,中華人民共和國可以根據實際情況對該國家或者地區採取反制措施。
第四十三條 任何國家或地區在個人信息保護方面,可以對國家或地區採取其他措施,採取其他措施。
第四章個人信息處理活動中的個人權利
第四章個人在個人信息處理活動中的權利
第四十四條 個人對其個人信息的處理享有知情權、決定權,有權限製或者拒絕他人對其個人信息的處理,法律、行政法規另有規定的除外。
第四十四條撤銷個人信息的處理個人信息權、決定權,限制其拒絕或拒絕他人的個人信息進行處理;法律、行政另有規定的除外。
第四十五條 個人有權向個人信息處理者查閱、複製其個人信息,但本法第十八條第一款、第三十五條規定的情形除外。
第四十五條向個人信息處理者提供個人信息、複製其個人信息;本法第十八條第一款、第三十五條規定的特殊情況除外。
個人要求查閱或者復制其個人信息的,被請求的個人信息處理者應當及時提供。
個人請求查閱,複製其個人信息的,個人信息處理者正確及時提供。
個人要求向指定的個人信息處理者轉移個人信息的,符合國家網信部門轉移個人信息要求的,被要求轉移的個人信息處理者應當提供轉移方式。
個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定的條件,個人信息處理者應該提供轉移的途徑。
第四十六條 個人發現其個人信息不正確或者不完整的,有權要求個人信息處理者更正或者補充有關信息。
第四十六條個人發現其個人信息不准確或不完整,請求個人信息處理者正、補充。
個人要求更正或者補充其個人信息的,個人信息處理者應當對相關信息進行核實,並及時更正或者補充。
個人請求更正,補充其個人信息的,個人信息處理者應針對個人信息插入核實,並及時更正,補充。
第四十七條 有下列情形之一的,個人信息處理者應當主動刪除個人信息,個人信息處理者未刪除的,個人有權要求刪除其個人信息:
第四十七條有以下情況的,個人信息處理者應主動刪除個人信息;個人信息處理者未刪除的,個人請求刪除:
(1) 處理目的已經實現或無法實現,或該信息不再是實現處理目的所必需的;
(一)處理目標已實現、無法實現或者為實現處理目的不再需要;
(二)個人信息處理者停止提供產品或者服務,或者保存期限屆滿;
(二)個人信息處理者停止提供產品或服務,或者保留期限已屆滿;
(三)個人撤回同意;
(三)個人撤回同意;
(四)個人信息處理者違反法律、行政法規或者約定處理個人信息的; 要么
(四)個人信息處理者違反法律,行政法規或違反約定的個人信息;
(五)法律、行政法規規定的其他情形。
(五)法律,行政法規規定的其他優點。
法律、行政法規規定的保存期限未滿,或者個人信息技術難以擦除的,個人信息處理者應當停止對個人信息的處理,但應當對個人信息進行保存並採取必要的安全保護措施。
法律、行政法規規定的保存期限未滿,或者刪除個人信息從技術上汽車實現的,個人信息處理者必須安全停止和移動必要的保護措施之外的處理。
第四十八條 個人有權要求個人信息處理者對其製定的個人信息處理規則進行解釋。
第四十八條個人要求個人信息處理者個人信息處理規則進行解釋說明。
第四十九條 已故自然人的近親屬為了自身的合法權益,可以行使本章規定的查詢、複製、更正、刪除等處理死者個人信息的權利,但死者生前另有安排。
第四十九條自然人死亡的,其近親屬為了自身的合法、合法利益,對者的相關個人信息可以獲取死者規定的實例、複製等、更正、刪除;死者生前還有安排的除外。
第五十條 個人信息處理者應當建立個人行使權利請求的受理和處理機制。 拒絕個人請求的,應當說明理由。
第五十條信息處理者應該建立權力的個人行使權利的申請和處理機制。拒絕個人行使權利的請求的,應該說明理由。
個人行使權利的請求被個人信息處理者拒絕的,個人可以依法向人民法院提起訴訟。
個人處理者拒絕個人行使權利的請求的,個人可以向法院證明違約行為。
第五章個人信息處理者的義務
第一章個人信息處理者的義務
第五十一條 個人信息處理者應當根據處理的目的和方式、處理的個人信息類別、對個人權利的影響和利益,以及潛在的安全風險等,並應防止未經授權訪問、破壞、篡改或丟失任何個人信息:
第五十一條 個人信息處理者應該根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,採取以下措施確保個人信息處理活動法律、行政法規的規定,並避免曝光的訪問以及個人信息洩露、篡改、丟失:
(一)制定內部管理制度和操作規程;
(一)制定內部管理制度和操作規程;
(二)對個人信息實行分類管理;
(二)對個人信息圖像分類管理;
(三)採取相應的加密、去標識化等安全技術措施;
(三)採取相應的加密,去標識化等安全技術措施;
(四)合理確定個人信息處理的操作權限,定期對從業人員進行安全教育培訓;
(四)合理確定個人信息處理的操作權限,並定期對從業人員進行安全教育和培訓;
(五)制定個人信息安全突發事件應急預案並組織實施; 和
(五)編制並組織實施個人信息安全事件應急預案;
(六)法律、行政法規規定的其他措施。
(六)法律,行政法規規定的其他措施。
第五十二條 個人信息處理者處理個人信息達到國家網信部門規定數量的,應當指定個人信息保護負責人,對處理者的個人信息處理活動及其採取的保護措施進行監督。 ,等等。
第十五條處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及行動的保護措施等進行監督。
個人信息處理者應當公開個人信息保護負責人的聯繫方式,並將其姓名、聯繫方式等信息報送負有個人信息保護職責的部門。
個人信息處理者應該公開個人信息保護負責人的聯繫方式,分配個人信息保護負責人的姓名、聯繫方式等報送執行個人信息保護職責的部門。
第五十三條 本法第三條第二款規定的中華人民共和國境外的個人信息處理者應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息。保護相關事項,並應當向負有個人信息保護職責的部門報送代理機構和代表的名稱、聯繫方式等信息。
第五十三條本法第三條第二款規定的中華人民共和國境外的個人者,應當在中華人民共和國境內處理信息的機構指定代表,負責處理個人信息保護相關事務,告知有關機構的名稱或代表的姓名、聯繫方式等報送完成個人信息保護職責的部門。
第五十四條 個人信息處理者應當定期對其個人信息處理活動進行符合法律、行政法規的合規性審計。
第五十四條個人信息處理者應該定期處理個人信息嚴格法律、行政規則的情況進行合規審計。
第五十五條 有下列情形之一的,個人信息處理者應當事先評估對個人信息保護的影響,並記錄處理過程:
第五十五條有以下情況XNUMX的,個人信息處理者應該在進行個人信息影響評估之前,進行處理情況記錄:
(1) 處理敏感的個人信息;
(一)處理敏感個人信息;
(2)利用個人信息進行自動化決策;
(二)利用個人信息進行自動化決策;
(三)委託他人處理個人信息、為他人提供個人信息、公開個人信息的;
(三)委託處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;
(四)為中華人民共和國境外的任何一方提供個人信息; 要么
(四)向境外提供個人信息;
(五)進行其他可能對個人產生重大影響的個人信息處理活動。
(五)其他對個人權益活動有重大影響的個人信息處理。
第五十六條 個人信息保護影響評估應當包括以下內容:
第十五條個人信息保護影響評估應該包括以下內容:
(一)個人信息處理的目的和手段是否合法、正當、必要;
(一)個人信息的處理目的,處理方式等是否合法,正當,必要;
(二)對個人權益的影響、安全風險; 和
(二)對個人權益的影響及安全風險;
(三)採取的保護措施是否合法、有效、與風險程度相適應。
(三)所採取的保護措施是否合法、有效並與風險程度相適應。
個人信息保護影響評估報告及處理記錄至少保存三年。
個人信息保護影響評估報告和處理情況應該記錄至少保存三年。
第五十七條 個人信息發生或者可能發生洩露、篡改、丟失的,個人信息處理者應當立即採取補救措施,並通知負有個人信息保護職責的部門和有關個人。 通知應當包括以下內容:
第五條發生或可能發生的個人信息洩露、篡改、丟失的,個人信息處理者應立即使用服務措施,並通知履行個人信息保護職責的部門和個人。通知應包括以下事項:
(一)個人信息已經或可能被洩露、被篡改、丟失的類別,被洩露、被篡改、丟失的原因和可能造成的危害;
(一)發生或可能發生的個人信息洩露、篡改、丟失的信息種類、原因和可能造成的危害;
(二)個人信息處理者採取的補救措施以及個人為減輕損害可能採取的措施; 和
(二)個人信息處理者採取的支出措施和個人可以採取的勞動強度的措施;
(三)個人信息處理者的聯繫方式。
(三)個人信息處理者的聯繫方式。
個人信息處理者採取的措施能夠有效避免個人信息洩露、篡改、丟失造成損害的,個人信息處理者無需通知個人; 負有個人信息保護職責的部門認為可能造成損害的,有權要求個人信息處理者通知個人。
個人信息處理者採取措施能夠有效避免信息洩露、篡改、破壞損害損害的,個人處理者可以不通知個人;履行個人信息保護職責部門認為可能造成危害的信息,需要個人信息處理者通知個人。
第五十八條 個人信息處理者提供重要的互聯網平台服務,涉及用戶數量龐大、業務類型複雜,應當履行下列義務:
第五十八條提供重要的互聯網平台服務、用戶數量龐大、業務類型複雜的個人信息處理者,應完成以下任務:
(一)按照國家規定建立健全個人信息保護合規制度,建立以外部成員為主的獨立組織,對個人信息保護進行監督;
(一)按照國家規定建立健全個人信息保護合規制度體系,主要由外部成員組成的獨立機構對個人信息保護情況進行監督;
(二)遵循公開、公平、公正的原則,制定平台規則,明確平台內的產品或服務提供者在處理個人信息時應遵守的規範和義務;
(二)遵循公開、公平、敘事的原則,計劃規則,明確的平台內產品或服務提供者處理個人信息的規範和保護個人信息的義務;
(三)在處理個人信息的平台內,嚴重違反法律、行政法規,停止為產品或者服務提供者提供服務; 和
(三)對嚴重違反法律、行政法規個人處理的平台內的產品或服務提供者,停止提供服務;
(四)定期發布個人信息保護社會責任報告,接受公眾監督。
(四)定期發布個人信息保護社會責任報告,接受社會監督。
第五十九條 受委託處理個人信息的當事人應當依照本法和有關法律、行政法規的規定,採取必要措施保障受委託處理的個人信息的安全,並協助受委託的個人信息處理者履行本法規定的義務。
第五條接受委託處理個人信息的受託人,應根據本法和法律、行政規範的規定,採取必要措施保障所處理個人信息的安全,並協助個人信息者履行本法規定的義務。
第六章 個人信息保護職責部門
第六章履行個人信息保護職責的部門
第六十條 國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。 國務院有關部門依照本法和其他有關法律、行政法規的規定,在各自職責範圍內負責個人信息保護和相關監督管理工作。
國務院有關部門根據本法和法律、行政法規的規定,分工負責監督範圍內的個人信息保護和負責管理工作。
縣級以上地方人民政府有關部門的個人信息保護和相關監督管理職責,按照國家有關規定確定。
縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。
前兩款規定的部門統稱為負有個人信息保護職責的部門。
前兩款規定的部門統一稱為補充個人信息保護職責的部門。
第六十一條 負有個人信息保護職責的部門應當履行下列個人信息保護職責:
第六十一條 履行個人信息保護職責的職責如下:
(一)開展個人信息保護宣傳教育,指導、監督個人信息處理者保護個人信息;
(一)開展個人信息保護宣傳教育,指導,監督個人信息處理者開展個人信息保護工作;
(二)受理、處理與個人信息保護有關的投訴、舉報;
(二)接受、處理與個人信息保護有關的投訴、聯繫方式;
(三)組織對個人信息保護方面的申請等進行評估並公佈評估結果;
(三)對應用程序等個人保護情況進行準備,並組織發布信息結果;
(四)查處非法個人信息處理活動; 和
(四)調查、處理個人信息活動;
(五)法律、行政法規規定的其他職責。
(五)法律、行政法規規定的其他職責。
第六十二條 國家網信部門應當配合有關部門依照本法的規定,做好個人信息保護工作:
第六十二條國家網信部門專題討論有關專題論述本法行為以下個人信息保護工作:
(一)制定個人信息保護的具體規則和標準;
(一)制定個人信息保護具體規則、標準;
(二)針對小型個人信息處理者、個人敏感信息處理以及人臉識別、人工智能等新技術和應用,制定專門的個人信息保護規則和標準;
(二)針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用,制定個人信息保護規則、標準;
(三)支持研發,推廣應用安全便捷的電子身份認證技術,推進網絡身份認證公共服務;
(三)支持研究開發和推廣應用安全、方便的電子身份認證技術,推進網絡身份認證公共服務建設;
(四)推動社會各界參與的個人信息保護服務體系建設,支持有關機構提供個人信息保護評估和認證服務; 和
(四)推進個人信息保護社會化服務體系建設,支持有關機構提供個人信息保護評估、認證服務;
(五)完善個人信息保護相關投訴舉報機制。
(五)完善個人信息保護投訴、聯繫人工作機制。
第六十三條 負有個人信息保護職責的部門在履行相關職責時,可以採取下列措施:
第六十三條落實個人信息保護職責,落實個人信息保護職責,可以採取以下措施:
(一)詢問有關當事人,調查與個人信息處理活動有關的情況;
(一)詢問有關焦點,調查與個人信息處理活動有關的情況;
(二)查閱、複製當事人與個人信息處理活動有關的合同、記錄、賬簿等相關資料;
(二)查閱,複製和與個人信息處理活動有關的合同,記錄,賬簿以及其他有關資料;
(三)進行現場檢查,對涉嫌非法個人信息處理活動進行調查; 和
(三)實施現場檢查,對嫌疑人的個人信息處理活動進行調查;
(四)檢查與個人信息處理活動有關的設備、物品; 向負有個人信息保護職責的部門主要負責人書面報告並批准後,查封、扣押有證據證明與非法個人信息處理活動有關的設備、物品。
(四)檢查與個人信息處理活動有關的設備、物品;對有證據證明是並記錄個人信息處理活動的設備、物品,向本部門主要負責人書面檢查報告批准,可以封封或扣押。
負有個人信息保護職責的部門依法履行職責時,當事人應當予以配合和協助,不得拒絕、阻撓。
初步個人信息保護職能的部門依法法定職責,合併合理的協助,配合,不得拒絕,阻撓。
第六十四條 個人信息保護職責部門在履行職責時,發現個人信息處理活動存在較高風險或者發生個人信息安全事件的,可以約談法定代表人或者主要負責人個人信息處理者按照規定的權限和程序,或要求處理者委託專業機構對個人信息處理活動進行合規審計。 個人信息處理者應當根據需要採取措施進行整改,消除潛在風險。
第六十四條履行個人信息保護職責的部門在履行職責中,發現個人信息活動存在風險或發生的個人信息安全事件,可以按照規定的權限程序和個人信息者的法律代表個人或主要負責人進行約談,或者要求個人處理者委託專業機構對其個人信息處理活動進行合規審計。個人處理者按照要求採取措施,進行整改,信息刪除隱患。
負有個人信息保護職責的部門在履行職責過程中,發現違法的個人信息處理活動可能構成犯罪的,應當依法及時移送公安機關。
履行個人信息保護職責的部門在履行職責中,發現處理個人信息涉嫌犯罪的,應該及時移送機關必須處理。
第六十五條 任何組織或者個人有權就個人信息處理違法行為向負有個人信息保護職責的部門投訴、舉報。 接到投訴或者舉報的部門應當依法及時處理,並將處理結果通知投訴人或者舉報人。
第六十五條任何、個人對個人信息處理活動向個人信息保護的職能部門進行投訴、投訴。人。
負有個人信息保護職責的部門應當公開受理投訴舉報的聯繫方式。
履行個人信息保護職責的部門應該發表接受投訴、聯繫方式。
第七章法律責任
第七章法律責任
第六十六條 違反本法規定處理個人信息或者未履行本法規定的個人信息保護義務的,由負有個人信息保護職責的部門責令改正,給予警告,沒收違法的非法處理個人信息的應用程序獲取利益,責令暫停或終止提供服務; 拒不改正的,處66萬元以下罰款; 對直接負責的主管人員和其他直接責任人員,分別處一萬元以上十萬元以下的罰款。
第六十六條違反本法規定處理個人的,或者處理個人信息未履行本法規定的個人信息保護義務的,由履行個人信息保護職能部門責令改正,通報信息,不收收所得,對挪用處理個人的應用程序,責令暫停或終止提供服務的,並處不於改正;對主管的主管人員和其他直接負責的人員,一政府以上直接責任部門。
有前款規定的違法行為,情節嚴重的,由省級以上負有個人信息保護職責的部門責令改正,沒收違法所得,並處以下罰款。 50萬元以上或不超過上一年度營業額的百分之五; 也可以責令停止有關業務,或者責令停業整頓,並通知主管機關吊銷有關營業執照、執照; 對直接負責的主管人員和其他直接責任人員分別處100,000萬元以上1萬元以下罰款,並可以決定禁止上述人員擔任董事、監事、高級管理人員職務經理或相關公司的負責人在特定時期內。
有前款規定的貪食行為,情節嚴重的,由省級以上實施個人信息保護的部門責令改正,沒有收收萬元以下的收入,或者上一年度營業額五以下的罰款,並可以責令暫停相關業務或停業整頓、通報主管部門吊銷相關業務許可或吊銷業務許可;對直接主管的主管人員和主管人員和其他直接責任人員停止營業,並可以決定禁止其在一定期限內擔任相關企業的關注、間接、高級管理人員和個人信息保護負責人。
第六十七條 違反本法規定的,應當記入相關信用記錄,並依照有關法律、行政法規的規定予以公佈。
第六十七條有本法規定的行為的,有關法律、行政法規的規定記入信用檔案,並附有公示。
第六十八條 國家機關不履行本法規定的個人信息保護義務的,由上級機關或者負有個人信息保護職責的部門責令改正,對直接負責的主管人員、其他依法承擔直接責任的人員。
第六十八條國家機關不履行本法規定的個人信息保護職責的,由其上級機關或者執行個人信息保護職責部門的責令改正;對直接主管的主管人員和其他直接責任人員另行通知處分。
負有個人信息保護職責的部門工作人員玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予處分。
履行個人信息保護職責的部門的工作人員玩職守、突擊職責、徇私舞權,尚不構成犯罪的,及時通報處分。
第六十九條 個人信息處理者因個人信息處理活動侵犯個人信息權益,不能證明處理者沒有過錯的,應當承擔損害賠償等侵權責任。
第六條處理個人信息個人信息個人信息利益造成自己損害,者不能證明沒有錯的,應該承擔損害賠償等侵權責任處理。
前款規定的損害賠償責任,以個人因此受到的損失和侵權個人信息處理者獲得的利益為依據確定; 上述損失或者利益難以確定的,應當根據實際情況確定賠償數額。
前款規定的損害賠償額的確定,根據個人信息處理人因此受到的損失或個人信息處理者因此獲得的利益確定;個人因此獲得的損失和個人責任的確定,根據實際信息處理者的賠償數額。
第七十條 個人信息處理者違反本法規定處理個人信息,侵害多人權益的,人民檢察院、法律規定的消費者組織和國家網信部門指定的組織可以提起訴訟。依法向人民法院提起訴訟。
第七十個人處理處理者違反本法規定的處理個人信息,依法追究個人的法律權益,人民檢察院、人民組織和國家網信部門確定的組織可以向法院確定無權影響。
第七十一條 違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰。 構成犯罪的,依法追究刑事責任。
第七十一條違反本法規定,構成違反治安管理行為的,依法通報治安管理處罰;犯罪行為,依法追究刑事責任。
第八章附則
第八章附則
第七十二條 自然人為個人或者家庭事務處理個人信息的,不適用本法。
第七十二條自然人因個人或家庭事務處理個人信息的,不適用本法。
各級人民政府及其有關部門組織開展的統計、檔案管理活動中,其他法律規定個人信息處理的,從其規定。
法律對有關人民政府及其有關部門組織實施的統計,檔案管理活動中的個人信息處理有規定的,適用其規定。
第七十三條 本法所稱下列用語,具有下列含義:
第七十三條本法下列用語的含義:
(一)“個人信息處理者”是指自主決定個人信息處理目的和方式的組織或個人。
(一)個人信息處理者,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。
(二)“自動決策”是指通過計算機程序自動分析和評價個人的行為、愛好或經濟、健康、信用狀況等,並作出決策的活動。
(二)自動化決策,是指計算機程序自動分析、評估個人的行為習慣、信用習慣或經濟、健康、狀況等,並進行決策的活動。
(三)“去識別化”是指在沒有附加信息支持的情況下,對個人信息進行處理,使其無法識別特定自然人。
(三)去標識化,是指個人信息經過處理,導致在不替換多餘的信息的情況下無法識別特定自然人的過程。
(四)“匿名化”,是指對個人信息進行處理,使其無法識別特定自然人,無法恢復的過程。
(四)匿名化,是指個人信息經過處理無法識別特定自然人且不能恢復的過程。
第七十四條 本法自74年1月2021日起施行。
第七十四條本法自2021年11月1日起施行。