第壹條為了保護個人信息權益,規範個人信息處理活動,促進個人信息的合理使用,根據憲法,制定本法。
第二條自然人的個人信息受法律保護,任何組織和個人不得侵犯自然人的個人信息權益。
第三條在中華人民共和國境內處理自然人個人信息的活動,適用本法。
有下列情形之壹的,在中國境內處理中國公民和自然人個人信息的活動,也適用本法:
(壹)以向境內自然人提供產品或者服務為目的;
(2)分析和評估中國自然人的行為;
(三)法律、行政法規規定的其他情形。
第四條個人信息是指以電子或其他方式記錄的與已識別或可識別的自然人相關的各類信息,不包括匿名化後的信息。
個人信息的處理包括個人信息的收集、存儲、使用、處理、傳輸、提供、披露和刪除。
第五條個人信息應當遵循合法、公正、必要和誠實信用的原則,不得以誤導、欺騙、脅迫等方式處理。
第六條處理個人信息應當有明確合理的目的,應當與處理目的直接相關,並以對個人權益影響最小的方式進行。
個人信息的收集應以處理為目的,限制在最小範圍內,不得過度收集個人信息。
第七條個人信息處理應當遵循公開透明的原則,公開個人信息處理規則,明確說明處理目的、方式和範圍。
第八條處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整而對個人權益造成不利影響。
第九條個人信息處理者應當對其個人信息處理活動負責,並采取必要措施確保其處理的個人信息的安全。
第十條任何組織或者個人不得非法收集、使用、處理、傳輸他人個人信息,不得非法買賣、提供或者泄露他人個人信息;不從事危害國家安全和公共利益的個人信息處理活動。
第十壹條國家建立健全個人信息保護制度,防範和懲治侵犯個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關社會組織和公眾共同參與個人信息保護的良好環境。
第十二條國家積極參與個人信息保護國際規則制定,推進個人信息保護國際交流與合作,推動與其他國家、地區和國際組織的個人信息保護規則和標準互認。
第二章個人信息處理規則
第壹節壹般規定
第十三條符合下列情形之壹的,個人信息處理器可以處理個人信息:
(a)取得個人同意;
(二)需要簽訂和履行以個人為壹方當事人的合同,或者需要按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理的;
(三)需要履行法定職責或者義務的;
(四)為應對突發公共衛生事件或者在突發事件中保護自然人的生命健康和財產安全所必需的;
(五)開展新聞報道、輿論監督等有利於公眾的行為,在合理範圍內處理個人信息;
(六)依照本法規定,處理個人自行公開的個人信息或者在合理範圍內依法公開的其他個人信息;
(七)法律、行政法規規定的其他情形。
依照本法其他有關規定,處理個人信息應當取得個人同意,但前款第二項至第七項規定的情形,不需要取得個人同意。
第十四條在個人同意的基礎上處理個人信息的,應當在個人完全知情的前提下,由個人自願、明確表示同意。法律、行政法規規定處理個人信息應當取得個人同意或者書面同意的,從其規定。
個人信息的目的、方式、類型發生變更的,應當重新取得個人同意。
第十五條個人信息處理基於個人同意,個人有權撤回其同意。個人信息處理者應該提供方便的方式來撤回他們的同意。
撤回個人同意不影響撤回前基於個人同意的個人信息處理活動的效力。
第十六條個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由拒絕提供產品或者服務;處理個人信息不是提供產品或服務所必需的。
第十七條個人信息處理人員在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地告知個人下列事項:
(壹)個人信息處理者的姓名和聯系方式;
(二)個人信息處理的目的和方式,處理的個人信息的種類和保存期限;
(三)個人行使本法規定的權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則告知第壹款規定事項的,處理規則應當公開,便於查閱和保存。
第18條個人信息處理人對於前條第壹項規定之事項,有法律、行政法規規定應予保密或不需告知之情形者,不得告知個人。
在緊急情況下不能及時告知個人以保障自然人生命健康和財產安全的,個人信息處理者應當在緊急情況消除後及時告知。
第十九條除法律、行政法規另有規定外,個人信息的保存期限應當為達到處理目的所必需的最短時間。
第二十條兩個以上個人信息處理者約定個人信息處理目的和方式的,應當約定各自的權利和義務。但是,本協議不影響個人向任何個人信息處理者請求行使本法規定的權利。
個人信息處理者* * *處理個人信息,侵害個人信息權益的,依法承擔連帶責任。
第二十壹條個人信息處理者委托他人處理個人信息的,應當與受托人約定目的、期限、處理方式、個人信息種類、保護措施、雙方權利義務等,並對受托人的個人信息處理活動進行監督。
受托人應當按照約定處理個人信息,不得超出約定的目的和方式處理個人信息;委托合同未生效、無效、被撤銷或者終止的,受托人應當將個人信息退回個人信息處理人或者刪除,不得保留。
未經個人信息處理人同意,受托人不得委托他人處理個人信息。
第二十二條個人信息處理者因合並、分立、解散、破產等原因需要轉移個人信息的,應當告知個人接收人的姓名或者聯系方式。接收方應繼續履行其作為個人信息處理者的義務。接受方改變原處理目的和方式的,應當依照本法規定重新取得本人同意。
第二十三條個人信息處理者將其處理的個人信息提供給其他個人信息處理者的,應當告知該個人接收人的姓名、聯系方式、處理目的、處理方式和個人信息的種類,並征得該個人單獨同意。接收方應在上述個人信息的處理目的、處理方法和類型範圍內處理個人信息。接受方改變原處理目的和方式的,應當依照本法規定重新取得本人同意。
第二十四條個人信息處理者應當利用個人信息進行自動決策,並應當保證決策的透明和結果的公平、公正,不得在交易價格等交易條件上給予個人不合理的差別待遇。
通過自動化決策方式向個人進行信息推送和商業營銷,應當提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
通過自動化決策做出對個人權益有重大影響的決策時,個人有權要求個人信息處理者做出說明,有權拒絕個人信息處理者僅通過自動化決策做出決策。
第二十五條個人信息處理者不得披露其處理的個人信息,但經個人單獨同意的除外。
第二十六條在公共場所安裝圖像采集和個人識別設備應當為維護公共場所安全所必需,遵守國家有關規定,並設置明顯的警示標誌。所收集的個人圖像和身份信息只能用於維護公共安全的目的,不得用於其他目的;除非得到個人同意。
第二十七條個人信息處理者可以在合理範圍內處理個人自行公開的個人信息或者其他已經合法公開的個人信息;除非個人明確拒絕。個人信息處理者對公開的個人信息的處理對個人權益有重大影響的,應當依照本法規定取得個人同意。
第2節處理敏感個人信息的規則
第二十八條個人敏感信息,是指壹旦泄露或者被非法使用,將容易導致侵犯自然人人格尊嚴或者危害人身、財產安全的個人信息,包括生物特征識別、宗教信仰、特定身份、醫療衛生、金融賬戶、行蹤軌跡等信息,以及不滿14周歲的未成年人的個人信息。
只有在有特定目的和足夠的必要性,並采取嚴格的保護措施的情況下,個人信息處理者才能處理敏感的個人信息。
第二十九條處理敏感個人信息應當征得個人的單獨同意;法律、行政法規規定處理個人敏感信息應當取得書面同意的,從其規定。
第三十條個人信息處理者在處理個人敏感信息時,除應當告知本法第十七條第壹款規定的事項外,還應當告知個人處理個人敏感信息的必要性以及對個人權益的影響;除依照本法規定外,不必通知個人。
第三十壹條個人信息處理者在處理不滿十四周歲的未成年人的個人信息時,應當征得未成年人的父母或者其他監護人的同意。
個人信息處理者應當制定處理十四周歲以下未成年人個人信息的特別規則。
第三十二條法律、行政法規規定處理個人敏感信息應當取得相關行政許可或者有其他限制的,從其規定。
第三節國家機關處理個人信息的特別規定
第三十三條國家機關處理個人信息的活動,適用本法;本節有特別規定的,適用本節規定。
第三十四條國家機關為履行法定職責,應當依照法律、行政法規規定的權限和程序處理個人信息,不得超出履行法定職責所必需的範圍和限度。
第三十五條國家機關為履行法定職責處理個人信息,應當依照本法規定履行公開義務。有本法第十八條第壹款規定的情形,或者告知會妨礙國家機關履行法定職責的。
第三十六條國家機關處理的個人信息應當存儲在中華人民共和國境內;確需在境外提供的,應當進行安全評估。安全評估可能需要有關部門提供支持和協助。
第三十七條法律、法規授權的具有管理公共事務職能的組織履行法定職責,適用本法關於國家機關處理個人信息的規定。
第三章個人信息跨境提供規則
第三十八條個人信息處理者因業務需要確需向中華人民共和國境內外提供個人信息的,應當符合下列條件之壹:
(壹)依照本法第四十條的規定,通過國家網絡信息主管部門組織的安全評估;
(二)按照國家網信部的規定由專業機構進行個人信息保護認證;
(三)按照國家網信部門制定的標準合同,與境外接收人簽訂合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境內外提供個人信息的條件有規定的,可以依照其規定。
個人信息處理者應當采取必要措施,確保境外接收人處理個人信息的活動符合本法規定的個人信息保護標準。
第三十九條個人信息處理者向中國人民和境外提供個人信息的,應當向境外接受者告知個人的姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人行使本法規定的權利的方式和程序,並征得個人的單獨同意。
第四十條關鍵信息基礎設施運營者、個人信息處理者處理個人信息達到國家網信部門規定數量的,應當存儲在中華人民共和國境內收集、生成的個人信息。確需在境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門的規定未要求進行安全評估的,從其規定。
第四十壹條中華人民共和國主管機關應當根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機關提出的提供存儲在中國境內的個人信息的請求。未經中華人民共和國主管機關批準,個人信息處理者不得向外國司法或執法機構提供存儲在中華人民共和國境內的個人信息。
第四十二條境外組織或者個人從事侵犯中國人民和中國公民個人信息權益,或者危害中國人民和中國的國家安全和公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止提供個人信息的名單,予以公告,並采取限制或者禁止向其提供個人信息等措施。
第四十三條任何國家或者地區在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區采取對等措施。
第四章個人信息處理活動中的個人權利
第四十四條個人對其個人信息的處理享有知情權和決定權,並有權限制或者拒絕他人處理其個人信息;法律、行政法規另有規定的除外。
第四十五條個人有權從個人信息處理者處查閱、復制其個人信息;本法第十八條第壹款和第三十五條規定的情形除外。
個人要求查閱、復制其個人信息的,個人信息處理者應當及時提供。
個人請求向其指定的符合國家網信部門規定條件的個人信息處理者傳輸個人信息的,個人信息處理者應當提供傳輸方式。
第四十六條個人發現其個人信息不準確或者不完整的,有權要求個人信息處理者更正或者補充。
個人要求更正或者補充個人信息的,個人信息處理人員應當對其個人信息進行核實,並及時更正和補充。
第四十七條有下列情形之壹的,個人信息處理者應當主動刪除個人信息;如果個人信息處理者沒有刪除,個人有權要求刪除:
(壹)加工目的已經達到,不能達到或者不再需要達到加工目的的;
(二)個人信息處理器停止提供產品或者服務,或者儲存期限已過;
(3)個人撤回其同意;
(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息的;
(五)法律、行政法規規定的其他情形。
法律、行政法規規定的保存期限未滿,或者刪除個人信息在技術上有困難的,個人信息處理者除存儲並采取必要的安全保護措施外,應當停止處理。
第四十八條個人有權要求個人信息處理者說明其個人信息處理規則。
第四十九條自然人死亡,其近親屬為了自身合法、正當利益,可以行使查閱、復制、更正、刪除死者相關個人信息的權利。除非死者生前另有打算。
第五十條個人信息處理者應當建立便捷的機制,受理和處理個人行使權利的申請。個人行使權利的請求被拒絕的,應當說明理由。
個人信息處理者拒絕個人請求行使權利的,個人可以依法向人民法院提起訴訟。
第五章個人信息處理者的義務
第五十壹條個人信息處理者應當根據個人信息的處理目的、處理方式、類型、對個人權益的影響以及可能存在的安全風險,采取以下措施,確保個人信息處理活動符合法律、行政法規的規定,防止個人信息被擅自獲取、泄露、篡改和丟失:
(壹)制定內部管理制度和操作規程;
(二)對個人信息實行分類管理;
(3)采取相應的加密、去標記等安全技術措施;
(四)合理確定個人信息處理的操作權限,定期對從業人員進行安全教育和培訓;
(五)制定並組織實施個人信息安全事件應急預案;
(六)法律、行政法規規定的其他措施。
第五十二條處理個人信息達到國家網信部門規定數量的個人信息處理者,應當指定個人信息保護負責人,負責監督個人信息處理活動和采取的保護措施。
個人信息處理者應當公開個人信息保護負責人的聯系方式,並將個人信息保護負責人的姓名和聯系方式報送履行個人信息保護職責的部門。
第五十三條本法第三條第二款規定的境內外個人信息處理者,應當在境內設立專門機構或者指定代表辦理個人信息保護事宜,並提交相關機構或者代表的名稱、聯系方式等。履行個人信息保護職責的部門。
第五十四條個人信息處理者應當定期對其處理個人信息是否符合法律、行政法規進行合規性審計。
第五十五條有下列情形之壹的,個人信息處理者應當事先進行個人信息保護影響評估,並記錄處理情況:
(1)處理敏感的個人信息;
(2)使用個人信息進行自動化決策;
(三)委托處理個人信息,向其他個人信息處理者提供個人信息,泄露個人信息;
(四)在境外提供個人信息;
(五)其他對個人權益有重大影響的個人信息處理活動。
第五十六條個人信息保護影響評估應當包括以下內容:
(壹)處理個人信息的目的和方式是否合法、公正、必要;
(二)對人身權利的影響和安全風險;
(3)所采取的防護措施是否合法、有效並與風險程度相適應。
個人信息保護影響評估報告和處理記錄應當至少保存三年。
第五十七條個人信息泄露、篡改或者丟失的,個人信息處理者應當立即采取補救措施,並通知履行個人信息保護職責的部門和個人。通知應包括以下內容:
(壹)個人信息泄露、篡改、丟失的類型、原因及可能造成的危害;
(2)個人信息處理者采取的補救措施和個人可以采取的減少損害的措施;
(3)個人信息處理者的聯系信息。
個人信息處理者采取的措施能夠有效避免信息泄露、篡改、丟失造成的危害的,個人信息處理者可以不通知個人;履行個人信息保護職責的部門認為可能造成危害的,有權要求個人信息處理者通知個人。
第五十八條提供重要互聯網平臺服務、用戶數量大、業務類型復雜的個人信息處理者,應當履行下列義務:
(壹)按照國家規定建立健全個人信息保護合規制度,設立主要由外部成員組成的獨立機構,監督個人信息保護工作;
(二)遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或服務提供者處理個人信息的規範及其保護個人信息的義務;
(三)停止向嚴重違反法律、行政法規的個人信息處理平臺中的產品或者服務提供者提供服務;
(四)定期發布個人信息保護社會責任報告,接受社會監督。
第五十九條受托人接受委托處理個人信息,應當依照本法和有關法律、行政法規的規定,采取必要措施保證所處理的個人信息的安全,並協助個人信息處理者履行本法規定的義務。
第六章履行個人信息保護職責的部門
第六十條國家網信部門負責協調個人信息保護及相關監督管理工作。國務院有關部門在各自的職責範圍內,依照本法和有關法律、行政法規,負責個人信息的保護和監督管理。
縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。
前兩款規定的部門統稱為履行個人信息保護職責的部門。
第六十壹條履行個人信息保護職責的部門應當履行下列個人信息保護職責:
(壹)開展個人信息保護宣傳教育,指導和監督個人信息處理者開展個人信息保護工作;
(二)受理和處理與個人信息保護相關的投訴和舉報;
(三)組織對申請等個人信息保護情況的評估,並公布評估結果;
(四)查處非法個人信息處理活動;
(五)法律、行政法規規定的其他職責。
第六十二條國家網信部門應當依照本法統籌協調有關部門推進下列個人信息保護工作:
(壹)制定個人信息保護的具體規則和標準;
(二)制定小型個人信息處理器、敏感個人信息處理以及人臉識別、人工智能等新技術、新應用的個人信息保護專門規則和標準;
(三)支持安全便捷的電子認證技術的研究、開發和應用,推進網絡身份認證服務建設;
(四)推進個人信息保護社會化服務體系建設,支持相關機構開展個人信息保護評估認證服務;
(五)完善個人信息保護投訴舉報機制。
第六十三條履行個人信息保護職責的部門可以采取下列措施履行個人信息保護職責:
(壹)詢問有關當事人,調查與個人信息處理活動有關的情況;
(二)查閱、復制與當事人個人信息處理活動有關的合同、記錄、賬冊及其他相關資料;
(三)對涉嫌違法的個人信息處理活動進行現場檢查和調查;
(四)檢查與個人信息處理活動有關的設備和物品;對有證據證明用於非法個人信息處理活動的設備和物品,經書面報告本部門主要負責人批準後,可以予以查封或者扣押。
履行個人信息保護職責的部門應當依法履行職責,當事人應當予以協助和配合,不得拒絕和阻撓。
第六十四條履行個人信息保護職責的部門發現個人信息處理活動存在重大風險或者發生個人信息安全事件的,可以按照規定權限和程序約談個人信息處理者的法定代表人或者主要負責人,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規性審核。個人信息處理者應當按照要求采取措施整改消除隱患。
履行個人信息保護職責的部門發現非法處理個人信息涉嫌犯罪的,應當及時移送公安機關依法處理。
第六十五條任何組織和個人有權向履行個人信息保護職責的部門投訴、舉報非法的個人信息處理活動。接到投訴或者舉報的部門應當依法及時處理,並將處理結果告知投訴人或者舉報人。
履行個人信息保護職責的部門應當公布受理投訴和舉報的聯系方式。