Legge sulla protezione delle informazioni personali della Repubblica popolare cinese
2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过)
第一 章 总 则
为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在 中华人民共和国 境外 处理 中华人民共和国 境内 自然人 个人 信息 的 活动 , 有 下列 情形 之一 的 , 也 适用 本法 :
(一) 以 向 境内 自然人 提供 产品 或者 服务 为 目的 ;
io
(三) 法律 、 行政 法规 规定 的 其他 情形。
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
io
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
io
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
第二章 个人信息处理规则
第一节 一般 规定
符合下列情形之一的,个人信息处理者方可处理个人信息:
(一) 取得 个人 的 同意 ;
io
(三) 为 履行 法定 职责 或者 法定 义务 所 必需 ;
(四) 为 应对 突发 公共卫生 事件 , 或者 紧急 情况 下 为 保护 的 的 生命 健康 和 财产 安全 所 必需 ;
io
io
(七) 法律 、 行政 法规 规定 的 其他 情形。
io
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人 信息 的 处理 目的 、 处理 方式 和 处理 的 个人 信息 种类 发生 变更 的 , 应当 重新 取得 个人 同意。
第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
io
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
io
(二) 个人 信息 的 处理 目的 、 处理 方式 , 处理 的 个人 信息 种类 、 保存 期限 ;
(三) 个人 行使 本法 规定 权利 的 方式 和 程序 ;
(四) 法律 、 行政 法规 规定 应当 告知 的 其他 事项。
前款 规定 事项 发生 变更 的 , 应当 将 变更 部分 告知 个人。
个人 信息 处理 者 通过 制定 个人 信息 处理 规则 的 方式 告知 第一 款 规定 的 , 处理 规则 应当 公开 , 并且 便于 查阅 和 保存。
第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
io
第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本io
io
第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的io
? io
io
第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者io
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得io
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
io
io
第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于io
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大io
第二节 敏感个人信息的处理规则
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、 io
io
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本io
个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
io
第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
第三节 国家机关处理个人信息的特别规定
第三十三条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。
国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
第三十七条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。
第三章 个人信息跨境提供的规则
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一) 依照 本法 第四 十条 的 规定 通过 国家 网 信 部门 组织 的 安全 评估 ;
(二) 按照 国家 网 信 部门 的 规定 经 专业 机构 进行 个人 信息 保护 认证 ;
io
(四) 法律 、 行政 法规 或者 国家 网 信 部门 规定 的 其他 条件。
io
io
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方io
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的io
第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经io
第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止io
第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
第四章 个人在个人信息处理活动中的权利
第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人 请求 查阅 、 复制 其 个人 信息 的 , 个人 信息 处理 者 应当 及时 提供。
io
第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
个人 请求 更正 、 补充 其 个人 信息 的 , 个人 信息 处理 者 应当 对其 个人 信息 予以 核实 , 并 及时 更正 、 补充。
有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
io
io
(三) 个人 撤回 同意 ;
(四) 个人 信息 处理 者 违反 法律 、 行政 法规 或者 违反 约定 处理 个人 信息 ;
(五) 法律 、 行政 法规 规定 的 其他 情形。
io
第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
io
第五章 个人信息处理者的义务
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政:
(一) 制定 内部 管理 制度 和 操作规程 ;
io
(三) 采取 相应 的 加密 、 去 标识 化 等 安全 技术 措施 ;
(四) 合理 确定 个人 信息 处理 的 操作 权限 , 并 定期 对 从业人员 进行 安全 教育 和 培训 ;
(五) 制定 并 组织 实施 个人 信息 安全 事件 应急 预案 ;
(六) 法律 、 行政 法规 规定 的 其他 措施。
第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
io
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构io
第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一) 处理 敏感 个人 信息 ;
(二) 利用 个人 信息 进行 自动化 决策 ;
io
(四) 向 境外 提供 个人 信息 ;
io
个人信息保护影响评估应当包括下列内容:
(一) 个人 信息 的 处理 目的 、 处理 方式 等 是否 合法 、 正当 、 必要 ;
io
io
io
发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
io
io
io
? io
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
io
io
io
io
第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的io
第六章 履行个人信息保护职责的部门
第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级 以上 地方 人民政府 有关部门 的 个人 信息 保护 和 监督 管理 职责 , 按照 国家 有关 规定 确定。
前 两款 规定 的 部门 统称 为 履行 个人 信息 保护 职责 的 部门。
履行个人信息保护职责的部门履行下列个人信息保护职责:
(一) 开展 个人 信息 保护 宣传 教育 , 指导 、 监督 个人 信息 处理 者 开展 个人 信息 保护 工作 ;
io
io
io
io
国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:
io
io
io
io
io
履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:
(一) 询问 有关 当事人 , 调查 与 个人 信息 处理 活动 有关 的 情况 ;
(二) 查阅 、 复制 当事人 与 个人 信息 处理 活动 有关 的 合同 、 记录 、 账簿 以及 其他 有关 资料 ;
(三)实施现场检查, 对涉嫌违法的个人信息处理活动进行调查;
(四) 检查 与 个人 信息 处理 活动 有关 的 设备, 物品; 对 有 证据 证明 是 用 的 的, 物品 处理 活动 的 设备, 物品, 向 本 的 部门 主要 负责人 书面 报告 并 部门 主要, 可以 报告 并 经 批准, 可以 查封 或者 经 经.
履行 个人 信息 保护 职责 的 部门 依法 履行 职责 , 当事人 应当 予以 协助 、 配合 , 不得 拒绝 、 阻挠。
第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表io
io
第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报io
io
第七 章 法律 责任
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理io
io ? io
第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
io
第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款 规定 的 损害 赔偿 责任 按照 个人 个人 因此 的 损失 或者 个人 个人 处理者 的 获得 的 利益 确定; 个人 的 因此 受到 的 损失 和 个人 信息 处理者 的 获得 的 利益 难以 确定 的, 根据 实际 情况 确定 赔偿 数额.
第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第八 章 附 则
第七十二条 自然人因个人或者家庭事务处理个人信息的,不适用本法。
法律 对 各级 人民政府 及其 有关部门 组织 实施 的 统计 、 档案 管理 活动 中 的 个人 信息 处理 有 规定 的 , 适用 其 规定。
第七 十三 条 本法 下列 用语 的 含义 :
io
io
(三) 去 标识 化 , 是 指 个人 信息 经过 处理 , 使其 在 借助 额外 信息 的 情况 下 无法 识别 特定 自然人 的 过程。
(四) 匿名 化 , 是 指 个人 信息 经过 处理 无法 识别 特定 自然人 且 不能 复原 的 过程。
第七 十四 条 本法 自 2021 年 11 月 1 日 起 施行。