首頁>新聞聚焦>中華人民共和國個人信息保護法全文公布

中華人民共和國個人信息保護法全文公布

2021-08-23
教學輔助中心-徐进

中華人民共和國個人信息保護法


2021年8月20日第十三屆全國人民代表大會常務委員會第三十次會議通過)



目錄


第一章 总则

第二章 个人信息处理规则

第一节 一般规定

第二节 敏感个人信息的处理规则

第三节 国家机关处理个人信息的特别规定

第三章 个人信息跨境提供的规则

第四章 个人在个人信息处理活动中的权利

第五章 个人信息处理者的义务

第六章 履行个人信息保护职责的部门

第七章 法律责任

第八章 附则


第一章 总则


第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。

第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。

第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。

在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法:

(一)以向境內自然人提供産品或者服務爲目的;

(二)分析、評估境內自然人的行爲;

(三)法律、行政法規規定的其他情形。

第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。

收集個人信息,應當限于實現處理目的的最小範圍,不得過度收集個人信息。

第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。

第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。

第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。

第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。


第二章 个人信息处理规则


第一节 一般规定

第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得個人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动規章制度和依法签订的集体合同实施人力资源管理所必需;

(三)爲履行法定職責或者法定義務所必需;

(四)爲應對突發公共衛生事件,或者緊急情況下爲保護自然人的生命健康和財産安全所必需;

(五)爲公共利益實施新聞報道、輿論監督等行爲,在合理的範圍內處理個人信息;

(六)依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息;

(七)法律、行政法規規定的其他情形。

依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。

第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。

第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力。

第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(一)個人信息處理者的名稱或者姓名和聯系方式;

(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;

(三)個人行使本法規定權利的方式和程序;

(四)法律、行政法規規定應當告知的其他事項。

前款規定事項發生變更的,應當將變更部分告知個人。

個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,並且便于查閱和保存。

第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。

緊急情況下爲保護自然人的生命健康和財産安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除後及時告知。

第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。

第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的,應當依法承擔連帶責任。

第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托合同不生效、無效、被撤銷或者終止的,受托人應當將個人信息返還個人信息處理者或者予以刪除,不得保留。

未經個人信息處理者同意,受托人不得轉委托他人處理個人信息。

第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。

通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。

第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。

第二节 敏感个人信息的处理规则

第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性,並采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。

第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。

第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。

個人信息處理者處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。

第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。

第三节 国家机关处理个人信息的特别规定

第三十三条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。

第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。

第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。

第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。

第三十七条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。


第三章 个人信息跨境提供的规则


第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;

(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;

(三)按照國家網信部門制定的標准合同與境外接收方訂立合同,約定雙方的權利和義務;

(四)法律、行政法規或者國家網信部門規定的其他條件。

中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。

個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標准。

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。

第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。


第四章 个人在个人信息处理活动中的权利


第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。

個人請求查閱、複制其個人信息的,個人信息處理者應當及時提供。

個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。

第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。

個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,並及時更正、補充。

第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:

(一)處理目的已實現、無法實現或者爲實現處理目的不再必要;

(二)個人信息處理者停止提供産品或者服務,或者保存期限已屆滿;

(三)個人撤回同意;

(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;

(五)法律、行政法規規定的其他情形。

法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。

第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。

個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。


第五章 个人信息处理者的义务


第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

(一)制定內部管理制度和操作規程;

(二)對個人信息實行分類管理;

(三)采取相應的加密、去標識化等安全技術措施;

(四)合理確定個人信息處理的操作權限,並定期對從業人員進行安全教育和培訓;

(五)制定並組織實施個人信息安全事件應急預案;

(六)法律、行政法規規定的其他措施。

第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

個人信息處理者應當公開個人信息保護負責人的聯系方式,並將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。

第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

(一)處理敏感個人信息;

(二)利用個人信息進行自動化決策;

(三)委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;

(四)向境外提供個人信息;

(五)其他對個人權益有重大影響的個人信息處理活動。

第五十六条 个人信息保护影响评估应当包括下列内容:

(一)個人信息的處理目的、處理方式等是否合法、正當、必要;

(二)對個人權益的影響及安全風險;

(三)所采取的保護措施是否合法、有效並與風險程度相適應。

個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:

(一)發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害;

(二)個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施;

(三)個人信息處理者的聯系方式。

個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的,個人信息處理者可以不通知個人;履行個人信息保護職責的部門認爲可能造成危害的,有權要求個人信息處理者通知個人。

第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:

(一)按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;

(二)遵循公開、公平、公正的原則,制定平台規則,明確平台內産品或者服務提供者處理個人信息的規範和保護個人信息的義務;

(三)對嚴重違反法律、行政法規處理個人信息的平台內的産品或者服務提供者,停止提供服務;

(四)定期發布個人信息保護社會責任報告,接受社會監督。

第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。


第六章 履行个人信息保护职责的部门


第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。

縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。

前兩款規定的部門統稱爲履行個人信息保護職責的部門。

第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责:

(一)開展個人信息保護宣傳教育,指導、監督個人信息處理者開展個人信息保護工作;

(二)接受、處理與個人信息保護有關的投訴、舉報;

(三)組織對應用程序等個人信息保護情況進行測評,並公布測評結果;

(四)調查、處理違法個人信息處理活動;

(五)法律、行政法規規定的其他職責。

第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:

(一)制定個人信息保護具體規則、標准;

(二)針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用,制定專門的個人信息保護規則、標准;

(三)支持研究開發和推廣應用安全、方便的電子身份認證技術,推進網絡身份認證公共服務建設;

(四)推進個人信息保護社會化服務體系建設,支持有關機構開展個人信息保護評估、認證服務;

(五)完善個人信息保護投訴、舉報工作機制。

第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:

(一)詢問有關當事人,調查與個人信息處理活動有關的情況;

(二)查閱、複制當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料;

(三)實施現場檢查,對涉嫌違法的個人信息處理活動進行調查;

(四)檢查與個人信息處理活動有關的設備、物品;對有證據證明是用于違法個人信息處理活動的設備、物品,向本部門主要負責人書面報告並經批准,可以查封或者扣押。

履行個人信息保護職責的部門依法履行職責,當事人應當予以協助、配合,不得拒絕、阻撓。

第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。

履行個人信息保護職責的部門在履行職責中,發現違法處理個人信息涉嫌犯罪的,應當及時移送公安機關依法處理。

第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。

履行個人信息保護職責的部門應當公布接受投訴、舉報的聯系方式。


第七章 法律责任


第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款規定的違法行爲,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,並處五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

履行個人信息保護職責的部門的工作人員玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予處分。

第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額。

第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。


第八章 附则


第七十二条 自然人因个人或者家庭事务处理个人信息的,不适用本法。

法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的,適用其規定。

第七十三条 本法下列用语的含义:

(一)個人信息處理者,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。

(二)自動化決策,是指通過計算機程序自動分析、評估個人的行爲習慣、興趣愛好或者經濟、健康、信用狀況等,並進行決策的活動。

(三)去標識化,是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。

(四)匿名化,是指個人信息經過處理無法識別特定自然人且不能複原的過程。

第七十四条 本法自2021年11月1日起施行。



(新華社北京8月20日電)