2021年8月20日第十三届全人民代表大会常委员会第三十次会议通过
目 录 第一章 总 则 第二章 个人信息处理规则 第二节 敏感个人信息的处理规则 第三章 个人信息跨境提供的规则 第四章 个人在个人信息处理活动的权利 第五章 个人信息处理者的义 第六章 履行个人信息保护职责的部门 第七章 法律责任 第八章 附 则 第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。 第二条 自然人的个人信息受法律保护,任何组织个人不得侵害自然人的个人信息权益。 第三条 在华人民和境内处理自然人个人信息的活动,适用本法。 在华人民和境外处理华人民和境内自然人个人信息的活动,有下列情形之一的,也适用本法 一以向境内自然人提供品或者服为目的; 二分析评估境内自然人的行为; 三法律行政法规规定的其他情形。 第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 个人信息的处理包括个人信息的收集存储使用加工传输提供公开删除等。 第五条 处理个人信息应当遵循合法正当必要和诚信原则,不得通过误导欺诈胁迫等方式处理个人信息。 第六条 处理个人信息应当具有明确合理的目的,并应当与处理目的直接相关,采取对个人权益影响最的方式。 收集个人信息,应当限于实现处理目的的最范围,不得过度收集个人信息。 第七条 处理个人信息应当遵循公开透明原则,公开个人信息处理规则,明示处理的目的方式和范围。 第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确不完整对个人权益造成不利影响。 第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。 第十条 任何组织个人不得非法收集使用加工传输他人个人信息,不得非法买卖提供或者公开他人个人信息;不得从事危害家安全公利益的个人信息处理活动。 第十一条 家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府企业相关社会组织公众同参与个人信息保护的良好环境。 第十二条 家积极参与个人信息保护际规则的制定,促进个人信息保护方面的际交流与合作,推动与其他家地区际组织之间的个人信息保护规则标准等互认。 第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息 一取得个人的同意; 二为订立履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; 三为履行法定职责或者法定义所必需; 四为应对突发公卫生事件,或者紧急情况下为保护自然人的生命健康和财安全所必需; 五为公利益实施新闻报道舆论监督等行为,在合理的范围内处理个人信息; 六依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; 七法律行政法规规定的其他情形。 依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。 第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿明确作出。法律行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。 个人信息的处理目的处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。 第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。 个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。 第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供品或者服;处理个人信息属于提供品或者服所必需的除外。 第十七条 个人信息处理者在处理个人信息前,应当以显著方式清晰易懂的语言真实准确完整地向个人告知下列事项 一个人信息处理者的名称或者姓名和联系方式; 二个人信息的处理目的处理方式,处理的个人信息种类保存期限; 三个人行使本法规定权利的方式和程序; 四法律行政法规规定应当告知的其他事项。 前款规定事项发生变更的,应当将变更部分告知个人。 个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。 第十八条 个人信息处理者处理个人信息,有法律行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。 紧急情况下为保护自然人的生命健康和财安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。 第十九条 除法律行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。 第二十条 两个以上的个人信息处理者同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义。但是,该约定不影响个人向其任何一个个人信息处理者要求行使本法规定的权利。 个人信息处理者同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。 第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的期限处理方式个人信息的种类保护措施以及双方的权利和义等,并对受托人的个人信息处理活动进行监督。 受托人应当按照约定处理个人信息,不得超出约定的处理目的处理方式等处理个人信息;委托合同不生效无效被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。 未经个人信息处理者同意,受托人不得转委托他人处理个人信息。 第二十二条 个人信息处理者因合并分立解散被宣告破等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义。接收方变更原先的处理目的处理方式的,应当依照本法规定重新取得个人同意。 第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名联系方式处理目的处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的处理方式的,应当依照本法规定重新取得个人同意。 第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。 通过自动化决策方式向个人进行信息推送商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。 通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。 第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。 第二十六条 在公场所安装图像采集个人身份识别设备,应当为维护公安全所必需,遵守家有关规定,并设置显著的提示标识。所收集的个人图像身份识别信息只能用于维护公安全的目的,不得用于其他目的;取得个人单独同意的除外。 第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。 第二节??敏感个人信息的处理规则 第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身财安全受到危害的个人信息,包括生物识别宗教信仰特定身份医疗健康金融账户行踪轨迹等信息,以及不满十四岁未成年人的个人信息。 只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。 第二十九条 处理敏感个人信息应当取得个人的单独同意;法律行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。 第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。 第三十一条 个人信息处理者处理不满十四岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。 个人信息处理者处理不满十四岁未成年人个人信息的,应当制定专门的个人信息处理规则。 第三十二条 法律行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。 第三十三条 家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。 第三十四条 家机关为履行法定职责处理个人信息,应当依照法律行政法规规定的权限程序进行,不得超出履行法定职责所必需的范围和限度。 第三十五条 家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义;有本法第十八条第一款规定的情形,或者告知将妨碍家机关履行法定职责的除外。 第三十六条 家机关处理的个人信息应当在华人民和境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。 第三十七条 法律法规授权的具有管理公事职能的组织为履行法定职责处理个人信息,适用本法关于家机关处理个人信息的规定。 第三十八条 个人信息处理者因业等需要,确需向华人民和境外提供个人信息的,应当具备下列条件之一 一依照本法第四十条的规定通过家网信部门组织的安全评估; 二按照家网信部门的规定经专业机构进行个人信息保护认证; 三按照家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义; 四法律行政法规或者家网信部门规定的其他条件。 华人民和缔结或者参加的际条约协定对向华人民和境外提供个人信息的条件等有规定的,可以按照其规定执行。 个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。 第三十九条 个人信息处理者向华人民和境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名联系方式处理目的处理方式个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。 第四十条 关键信息基础设施运营者和处理个人信息达到家网信部门规定数量的个人信息处理者,应当将在华人民和境内收集和生的个人信息存储在境内。确需向境外提供的,应当通过家网信部门组织的安全评估;法律行政法规和家网信部门规定可以不进行安全评估的,从其规定。 第四十一条 华人民和主管机关根据有关法律和华人民和缔结或者参加的际条约协定,或者按照等互惠原则,处理外司法或者执法机构关于提供存储于境内个人信息的请求。非经华人民和主管机关批准,个人信息处理者不得向外司法或者执法机构提供存储于华人民和境内的个人信息。 第四十二条 境外的组织个人从事侵害华人民和公民的个人信息权益,或者危害华人民和家安全公利益的个人信息处理活动的,家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。 第四十三条 任何家或者地区在个人信息保护方面对华人民和采取歧视性的禁止限制或者其他类似措施的,华人民和可以根据实际情况对该家或者地区对等采取措施。 第四十四条 个人对其个人信息的处理享有知情权决定权,有权限制或者拒绝他人对其个人信息进行处理;法律行政法规另有规定的除外。 第四十五条 个人有权向个人信息处理者查阅复制其个人信息;有本法第十八条第一款第三十五条规定情形的除外。 个人请求查阅复制其个人信息的,个人信息处理者应当及时提供。 个人请求将个人信息转移至其指定的个人信息处理者,符合家网信部门规定条件的,个人信息处理者应当提供转移的途径。 第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正补充。 个人请求更正补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正补充。 第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除 一处理目的已实现无法实现或者为实现处理目的不再必要; 二个人信息处理者停止提供品或者服,或者保存期限已届满; 三个人撤回同意; 四个人信息处理者违反法律行政法规或者违反约定处理个人信息; 五法律行政法规规定的其他情形。 法律行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。 第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。 第四十九条 自然人死亡的,其亲属为了自身的合法正当利益,可以对死者的相关个人信息行使本章规定的查阅复制更正删除等权利;死者生前另有安排的除外。 第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。 个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法提起诉讼。 第五十一条 个人信息处理者应当根据个人信息的处理目的处理方式个人信息的种类以及对个人权益的影响可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律行政法规的规定,并防止未经授权的访问以及个人信息泄露篡改丢失 一制定内部管理制度和操作规程; 二对个人信息实行分类管理; 三采取相应的加密去标识化等安全技术措施; 四合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训; 五制定并组织实施个人信息安全事件应急预案; 六法律行政法规规定的其他措施。 第五十二条 处理个人信息达到家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。 个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名联系方式等报送履行个人信息保护职责的部门。 第五十三条 本法第三条第二款规定的华人民和境外的个人信息处理者,应当在华人民和境内设立专门机构或者指定代表,负责处理个人信息保护相关事,并将有关机构的名称或者代表的姓名联系方式等报送履行个人信息保护职责的部门。 第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律行政法规的情况进行合规审计。 第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录 一处理敏感个人信息; 二利用个人信息进行自动化决策; 三委托处理个人信息向其他个人信息处理者提供个人信息公开个人信息; 四向境外提供个人信息; 五其他对个人权益有重大影响的个人信息处理活动。 第五十六条 个人信息保护影响评估应当包括下列内容 一个人信息的处理目的处理方式等是否合法正当必要; 二对个人权益的影响及安全风险; 三所采取的保护措施是否合法有效并与风险程度相适应。 个人信息保护影响评估报告和处理情况记录应当至少保存三年。 第五十七条 发生或者可能发生个人信息泄露篡改丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项 一发生或者可能发生个人信息泄露篡改丢失的信息种类原因和可能造成的危害; 二个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施; 三个人信息处理者的联系方式。 个人信息处理者采取措施能够有效避免信息泄露篡改丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。 第五十八条 提供重要互联网台服用户数量巨大业类型复杂的个人信息处理者,应当履行下列义 一按照家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督; 二遵循公开公公正的原则,制定台规则,明确台内品或者服提供者处理个人信息的规范和保护个人信息的义; 三对严重违反法律行政法规处理个人信息的台内的品或者服提供者,停止提供服; 四定期发布个人信息保护社会责任报告,接受社会监督。 第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义。 第六十条 家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。有关部门依照本法和有关法律行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。 县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照家有关规定确定。 前两款规定的部门统称为履行个人信息保护职责的部门。 第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责 一开展个人信息保护宣传教育,指导监督个人信息处理者开展个人信息保护工作; 二接受处理与个人信息保护有关的投诉举报; 三组织对应用程序等个人信息保护情况进行测评,并公布测评结果; 四调查处理违法个人信息处理活动; 五法律行政法规规定的其他职责。 第六十二条 家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作 一制定个人信息保护具体规则标准; 二针对型个人信息处理者处理敏感个人信息以及人脸识别人工智能等新技术新应用,制定专门的个人信息保护规则标准; 三支持研究开发和推广应用安全方便的电子身份认证技术,推进网络身份认证公服建设; 四推进个人信息保护社会化服体系建设,支持有关机构开展个人信息保护评估认证服; 五完善个人信息保护投诉举报工作机制。 第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施 一询问有关当事人,调查与个人信息处理活动有关的情况; 二查阅复制当事人与个人信息处理活动有关的合同记录账簿以及其他有关资料; 三实施现场检查,对涉嫌违法的个人信息处理活动进行调查; 四检查与个人信息处理活动有关的设备物品;对有证据证明是用于违法个人信息处理活动的设备物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。 履行个人信息保护职责的部门依法履行职责,当事人应当予以协助配合,不得拒绝阻挠。 第六十四条 履行个人信息保护职责的部门在履行职责,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。 履行个人信息保护职责的部门在履行职责,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。 第六十五条 任何组织个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉举报。收到投诉举报的部门应当依法及时处理,并将处理结果告知投诉举报人。 履行个人信息保护职责的部门应当公布接受投诉举报的联系方式。 第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业或者停业整顿通报有关主管部门吊销相关业许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事监事高级管理人员和个人信息保护负责人。 第六十七条 有本法规定的违法行为的,依照有关法律行政法规的规定记入信用档案,并予以公示。 第六十八条 家机关不履行本法规定的个人信息保护义的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。 履行个人信息保护职责的部门的工作人员玩忽职守滥用职权徇私舞弊,尚不构成犯罪的,依法给予处分。 第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。 前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。 第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察法律规定的消费者组织和由家网信部门确定的组织可以依法向人民法提起诉讼。 第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第七十二条 自然人因个人或者家庭事处理个人信息的,不适用本法。 法律对各级人民政府及其有关部门组织实施的统计档案管理活动的个人信息处理有规定的,适用其规定。 第七十三条 本法下列用语的含义 一个人信息处理者,是指在个人信息处理活动自主决定处理目的处理方式的组织个人。 二自动化决策,是指通过计算机程序自动分析评估个人的行为惯兴趣爱好或者经济健康信用状况等,并进行决策的活动。 三去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。 四匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。 第七十四条 本法自2021年11月1日起施行。