中華人民共和國個人信息保護法
(2021年8月20日第十三屆全國人民代表大會常務委員會第三十次會議通過)
目錄
第一章 總則
第二章 個人信息處理規(guī)則
第一節(jié) 一般規(guī)定
第二節(jié) 敏感個人信息的處理規(guī)則
第三節(jié) 國家機關處理個人信息的特別規(guī)定
第三章 個人信息跨境提供的規(guī)則
第四章 個人在個人信息處理活動中的權利
第五章 個人信息處理者的義務
第六章 履行個人信息保護職責的部門
第七章 法律責任
第八章 附則
第一章 總則
第一條 為了保護個人信息權益,規(guī)范個人信息處理活動�,促進個人信息合理利用�����,根據(jù)憲法���,制定本法�。
第二條 自然人的個人信息受法律保護���,任何組織���、個人不得侵害自然人的個人信息權益。
第三條 在中華人民共和國境內處理自然人個人信息的活動�,適用本法。
在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的����,也適用本法:
(一)以向境內自然人提供產品或者服務為目的;
(二)分析��、評估境內自然人的行為���;
(三)法律�、行政法規(guī)規(guī)定的其他情形���。
第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息���,不包括匿名化處理后的信息。
個人信息的處理包括個人信息的收集��、存儲��、使用���、加工��、傳輸����、提供、公開���、刪除等����。
第五條 處理個人信息應當遵循合法�、正當�、必要和誠信原則,不得通過誤導��、欺詐����、脅迫等方式處理個人信息。
第六條 處理個人信息應當具有明確���、合理的目的��,并應當與處理目的直接相關�����,采取對個人權益影響最小的方式����。
收集個人信息,應當限于實現(xiàn)處理目的的最小范圍�����,不得過度收集個人信息����。
第七條 處理個人信息應當遵循公開、透明原則�����,公開個人信息處理規(guī)則�,明示處理的目的、方式和范圍���。
第八條 處理個人信息應當保證個人信息的質量�����,避免因個人信息不準確�、不完整對個人權益造成不利影響。
第九條 個人信息處理者應當對其個人信息處理活動負責��,并采取必要措施保障所處理的個人信息的安全����。
第十條 任何組織、個人不得非法收集�����、使用�、加工��、傳輸他人個人信息�����,不得非法買賣��、提供或者公開他人個人信息�����;不得從事危害國家安全����、公共利益的個人信息處理活動��。
第十一條 國家建立健全個人信息保護制度�����,預防和懲治侵害個人信息權益的行為���,加強個人信息保護宣傳教育,推動形成政府�����、企業(yè)��、相關社會組織����、公眾共同參與個人信息保護的良好環(huán)境。
第十二條 國家積極參與個人信息保護國際規(guī)則的制定����,促進個人信息保護方面的國際交流與合作,推動與其他國家�、地區(qū)�、國際組織之間的個人信息保護規(guī)則����、標準等互認。
第二章 個人信息處理規(guī)則
第一節(jié) 一般規(guī)定
第十三條 符合下列情形之一的��,個人信息處理者方可處理個人信息:
(一)取得個人的同意�����;
(二)為訂立����、履行個人作為一方當事人的合同所必需�����,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需�����;
(三)為履行法定職責或者法定義務所必需���;
(四)為應對突發(fā)公共衛(wèi)生事件�����,或者緊急情況下為保護自然人的生命健康和財產安全所必需����;
(五)為公共利益實施新聞報道、輿論監(jiān)督等行為�����,在合理的范圍內處理個人信息����;
(六)依照本法規(guī)定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;
(七)法律���、行政法規(guī)規(guī)定的其他情形���。
依照本法其他有關規(guī)定,處理個人信息應當取得個人同意�����,但是有前款第二項至第七項規(guī)定情形的����,不需取得個人同意��。
第十四條 基于個人同意處理個人信息的��,該同意應當由個人在充分知情的前提下自愿����、明確作出���。法律���、行政法規(guī)規(guī)定處理個人信息應當取得個人單獨同意或者書面同意的,從其規(guī)定����。
個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的�,應當重新取得個人同意�����。
第十五條 基于個人同意處理個人信息的��,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式�。
個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力���。
第十六條 個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由�,拒絕提供產品或者服務��;處理個人信息屬于提供產品或者服務所必需的除外�。
第十七條 個人信息處理者在處理個人信息前,應當以顯著方式�����、清晰易懂的語言真實���、準確���、完整地向個人告知下列事項:
(一)個人信息處理者的名稱或者姓名和聯(lián)系方式;
(二)個人信息的處理目的���、處理方式�,處理的個人信息種類、保存期限��;
(三)個人行使本法規(guī)定權利的方式和程序����;
(四)法律、行政法規(guī)規(guī)定應當告知的其他事項�。
前款規(guī)定事項發(fā)生變更的,應當將變更部分告知個人�����。
個人信息處理者通過制定個人信息處理規(guī)則的方式告知第一款規(guī)定事項的�,處理規(guī)則應當公開,并且便于查閱和保存�����。
第十八條 個人信息處理者處理個人信息���,有法律����、行政法規(guī)規(guī)定應當保密或者不需要告知的情形的�����,可以不向個人告知前條第一款規(guī)定的事項����。
緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除后及時告知��。
第十九條 除法律����、行政法規(guī)另有規(guī)定外,個人信息的保存期限應當為實現(xiàn)處理目的所必要的最短時間����。
第二十條 兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務����。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規(guī)定的權利�。
個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的��,應當依法承擔連帶責任���。
第二十一條 個人信息處理者委托處理個人信息的��,應當與受托人約定委托處理的目的�����、期限�����、處理方式����、個人信息的種類、保護措施以及雙方的權利和義務等�����,并對受托人的個人信息處理活動進行監(jiān)督�。
受托人應當按照約定處理個人信息,不得超出約定的處理目的�����、處理方式等處理個人信息�;委托合同不生效��、無效�����、被撤銷或者終止的,受托人應當將個人信息返還個人信息處理者或者予以刪除����,不得保留。
未經個人信息處理者同意����,受托人不得轉委托他人處理個人信息。
第二十二條 個人信息處理者因合并�、分立、解散���、被宣告破產等原因需要轉移個人信息的����,應當向個人告知接收方的名稱或者姓名和聯(lián)系方式��。接收方應當繼續(xù)履行個人信息處理者的義務����。接收方變更原先的處理目的�����、處理方式的���,應當依照本法規(guī)定重新取得個人同意。
第二十三條 個人信息處理者向其他個人信息處理者提供其處理的個人信息的�,應當向個人告知接收方的名稱或者姓名、聯(lián)系方式�、處理目的、處理方式和個人信息的種類��,并取得個人的單獨同意����。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息����。接收方變更原先的處理目的、處理方式的���,應當依照本法規(guī)定重新取得個人同意�����。
第二十四條 個人信息處理者利用個人信息進行自動化決策�,應當保證決策的透明度和結果公平、公正�,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
通過自動化決策方式向個人進行信息推送���、商業(yè)營銷,應當同時提供不針對其個人特征的選項��,或者向個人提供便捷的拒絕方式�。
通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明�,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
第二十五條 個人信息處理者不得公開其處理的個人信息�����,取得個人單獨同意的除外��。
第二十六條 在公共場所安裝圖像采集�、個人身份識別設備,應當為維護公共安全所必需���,遵守國家有關規(guī)定�,并設置顯著的提示標識。所收集的個人圖像����、身份識別信息只能用于維護公共安全的目的,不得用于其他目的�����;取得個人單獨同意的除外��。
第二十七條 個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息�;個人明確拒絕的除外。個人信息處理者處理已公開的個人信息��,對個人權益有重大影響的��,應當依照本法規(guī)定取得個人同意�����。
第二節(jié) 敏感個人信息的處理規(guī)則
第二十八條 敏感個人信息是一旦泄露或者非法使用�����,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息���,包括生物識別�����、宗教信仰���、特定身份、醫(yī)療健康��、金融賬戶�����、行蹤軌跡等信息�����,以及不滿十四周歲未成年人的個人信息�。
只有在具有特定的目的和充分的必要性����,并采取嚴格保護措施的情形下���,個人信息處理者方可處理敏感個人信息。
第二十九條 處理敏感個人信息應當取得個人的單獨同意��;法律�����、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的����,從其規(guī)定。
第三十條 個人信息處理者處理敏感個人信息的���,除本法第十七條第一款規(guī)定的事項外���,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響;依照本法規(guī)定可以不向個人告知的除外���。
第三十一條 個人信息處理者處理不滿十四周歲未成年人個人信息的��,應當取得未成年人的父母或者其他監(jiān)護人的同意�����。
個人信息處理者處理不滿十四周歲未成年人個人信息的���,應當制定專門的個人信息處理規(guī)則��。
第三十二條 法律�、行政法規(guī)對處理敏感個人信息規(guī)定應當取得相關行政許可或者作出其他限制的����,從其規(guī)定。
第三節(jié) 國家機關處理個人信息的特別規(guī)定
第三十三條 國家機關處理個人信息的活動���,適用本法�����;本節(jié)有特別規(guī)定的,適用本節(jié)規(guī)定���。
第三十四條 國家機關為履行法定職責處理個人信息���,應當依照法律、行政法規(guī)規(guī)定的權限、程序進行�,不得超出履行法定職責所必需的范圍和限度。
第三十五條 國家機關為履行法定職責處理個人信息�����,應當依照本法規(guī)定履行告知義務���;有本法第十八條第一款規(guī)定的情形�����,或者告知將妨礙國家機關履行法定職責的除外��。
第三十六條 國家機關處理的個人信息應當在中華人民共和國境內存儲����;確需向境外提供的�����,應當進行安全評估�����。安全評估可以要求有關部門提供支持與協(xié)助。
第三十七條 法律���、法規(guī)授權的具有管理公共事務職能的組織為履行法定職責處理個人信息�����,適用本法關于國家機關處理個人信息的規(guī)定����。
第三章 個人信息跨境提供的規(guī)則
第三十八條 個人信息處理者因業(yè)務等需要��,確需向中華人民共和國境外提供個人信息的�����,應當具備下列條件之一:
(一)依照本法第四十條的規(guī)定通過國家網信部門組織的安全評估���;
(二)按照國家網信部門的規(guī)定經專業(yè)機構進行個人信息保護認證��;
(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務��;
(四)法律���、行政法規(guī)或者國家網信部門規(guī)定的其他
