中华 和国 共和国 个人 信息 保护法 保护法
(2021-8-20-XNUMX-XNUMX-XNUMX-XNUMX-XNUMX-XNUMX-XNUMX-XNUMX-XNUMX)
第一 章 总 则
为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在 中华人民共和国 境外 处理 中华人民共和国 境内 自然人 个人 信息 的 活动 , 下列 情形 之一 的 : 也 适用 本法:
(一) 以 向 境内 自然人 提供 产品 或者 服务 为 目的 ;
ik
(三) 法律 、 行政 法规 规定 的 其他 情形。
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
ik
处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
ik
处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
个人信息处理规则
第一节 一般 规定
符合下列情形之一的,个人信息处理者方可处理个人信息:
(一) 取得 个人 的 同意 ;
ik
(三) 为 履行 法定 职责 或者 法定 义务 所 必需 ;
(四) 为 应对 突发 公共卫生 事件 , 紧急 情况 下 为 自然人 自然人 的 健康 健康 和 财产 安全 所 必需 ;
ik
ik
(七) 法律 、 行政 法规 规定 的 其他 情形。
ik
基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人 信息 的 处理 目 信息 种类 发生 变更 ー , 重新 取得 个人 同意。
基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
ik
个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
ik
(二) 个人 信息 的 处理 目 slechts 、 处理 方式 方式 的 个人 信息 种类 、 保存 期限
(三) 个人 行使 本法 规定 权利 的 方式 和 程序 ;
(四) 法律 、 行政 法规 规定 应当 告知 的 其他 事项。
前款 规定 事项 发生 变更 스 , 将 变更 部分 告知 个人。
个人 信息 处理 者 通过 制定 个人 信息 处理 的 的 告知 第一 款 规定 事项 스 的 规则 应当 , , 并且 查阅 保存 保存 保存
个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
ik
除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本ik
ik
个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的ik
受托人 应当 应当 约定 处理 处理 个人 信息 , 不 得 超出 约定 的 处理 目的 目的 、 处理 方式 等 处理 个人 信息 ; 委托 合同 不 生效 、 无效 、 被 被 撤销 撤销 或者 或者 或者 的 的 的 的 受托人 应当 应当 将 个人 信息 返 还 个人 个人 信息 信息 信息 信息 信息 信息 信息 信息 信息 信息 信息 信息 删除 删除 删除 删除 删除 信息 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除 删除. ik
ik
个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者ik
个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得ik
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
ik
ik
个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于ik
个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大ik
敏感个人信息的处理规则
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、 ik
ik
处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本ik
个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
ik
法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
国家机关处理个人信息的特别规定
国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。
国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。
个人信息跨境提供的规则
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一) 依照 本法 第四 十条 的 规定 通过 国家 网 信 部门 组织 的 安全 评估 ;
(二) 按照 国家 网 信 部门 的 规定 经 专业 机构 进行 个人 信息 保护 认证 ;
ik
(四) 法律 、 行政 法规 或者 国家 网 信 部门 规定 的 其他 条件。
ik
ik
个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方ik
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的ik
中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经ik
境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止ik
任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
个人在个人信息处理活动中的权利
个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人 请求 查阅 、 复制 其 个人 信息 스 , 信息 处理 者 应当 及时 提供。
ik
个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
个人 请求 更正 、 补充 其 个人 信息 스 , 信息 处理 者 应当 对其 个人 信息 予以 核实, 并 及时 更正 、 补充。
有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
ik
ik
(三) 个人 撤回 同意 ;
(四) 个人 信息 处理 者 违反 法律 、 行政 法规 或者 违反 约定 处理 个人 信息 ;
(五) 法律 、 行政 法规 规定 的 其他 情形。
ik
个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
ik
个人信息处理者的义务
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政ik
(一) 制定 内部 管理 制度 和 操作规程 ;
ik
(三) 采取 相应 的 加密 、 去 标识 化 等 安全 技术 措施 ;
(四) 合理 确定 个人 信息 处理 的 操作 权限, 并 定期 对 从业人员 进行 安全 教育 和 培训 ;
(五) 制定 并 组织 实施 个人 信息 安全 事件 应急 预案 ;
(六) 法律 、 行政 法规 规定 的 其他 措施。
处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
ik
本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构ik
个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一) 处理 敏感 个人 信息 ;
(二) 利用 个人 信息 进行 自动化 决策 ;
ik
(四) 向 境外 提供 个人 信息 ;
ik
个人信息保护影响评估应当包括下列内容:
(一) 个人 信息 的 处理 目 slechts 、 处理 方式 等 是否 合法 、 正当 、 必要 ;
ik
ik
ik
发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
ik
ik
ik
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人ik
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
ik
ik
ik
ik
接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的ik
履行个人信息保护职责的部门
国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级 以上 地方 人民政府 有关部门 的 个人 信息 保护 和 监督 管理 职责, 按照 国家 有关 规定 确定。
前 两款 规定 的 部门 统称 为 履行 个人 信息 保护 职责 的 部门。
履行个人信息保护职责的部门履行下列个人信息保护职责:
(一) 开展 个人 信息 保护 宣传 教育, 指导 、 监督 个人 信息 处理 者 开展 个人 信息 工作 ;
ik
ik
ik
ik
国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:
ik
ik
ik
ik
ik
履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:
(一) 询问 有关 当事人, 调查 与 个人 信息 处理 活动 有关 的 情况 ;
(二) 查阅 、 复制 当事人 与 个人 信息 处理 活动 有关 slechts 合同 、 记录 、 账簿 以及 其他 有关 资料 ;
ik
ik
履行 个人 信息 保护 职责 的 部门 依法 履行 ,, 当事人 应当 予以 协助 、 配合 : 스得 拒绝 、 阻挠。
履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表ik
ik
任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报ik
ik
第七 章 法律 责任
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理ik
ik并 可以 责令 暂停 相关 相关 业务 或者 停业 整顿 、 通报 通报 主管 部门 部门 吊销 相关 业务 许可 或者 营业 营业 执照 ; 对 直接 负责 负责 的 人员 和 其他 其他 直接 直接 责任 人员 处 十万 十万 十万 十万 元 一百万 元 罚款 , , 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止 禁止. ik
有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
ik
处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
ik
个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第八 章 附 则
自然人因个人或者家庭事务处理个人信息的,不适用本法。
法律 对 各级 人民政府 及其 有关部门 组织 实施 的 统计 、 档案 管理 活动 中 的 个人 信息 处理 有 规定 스 , 其 规定。
本法下列用语的含义:
ik
ik
(三) 去 标识 化, 是 指 个人 信息 经过 处理, 使其 在 스 借助 额外 信息 的 情况 下 无法 识别 特定 自然人 的 过程。
(四) 匿名 化, 是 指 个人 信息 经过 处理 无法 识别 特定 且 且 能 的 过程。
第七 十四 条 本法 自 2021 年 11 月 1 日 起 施行。