中华人民共和国 个人 信息 保护 法
2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过)
第一 章 总 则
i
i
i
在 中华人民共和国 境外 处理 中华人民共和国 境内 自然人 个人 信息 的 活动, 有 下列 情形 之一 的 , 也 适用 本法 :
(一) 以 向 境内 自然人 提供 产品 或者 服务 为 目目 目
kan
(三) 法律 、 行政 法规 规定 的 其他 情形。
i
kan
i
i
kan
i
i
i
i
i
i
第二 章 个人 信息 处理 规则
第一节 一般 规定
i
(一) 取得 个人 的 同意 ;
kan
(三) 为 履行 法定 职责 或者 法定 义务 所 必需 ;
(四) 为 应对 突发 公共卫生 事件, 或者 紧急 情况 下 为 保护 自然人 的 生命 健康 和 财产 安全 所 必需 ;
kan
kan
(七) 法律 、 行政 法规 规定 的 其他 情形。
kan
i
个人 信息 的 处理 目目 、 、 处理 方式 和 处理 的 个人 信息 种类 发生 变更 的, 应当 重新 取得 个人 同意。
i
kan
i
i
kan
(二) 个人 信息 的 处理 目 、 、 处理 方式, 处理 的 个人 信息 种类 、 保存 期限 ;
(三) 个人 行使 本法 规定 权利 的 方式 和 程序 ;
(四) 法律 、 行政 法规 规定 应当 告知 的 其他 事项。
前款 规定 事项 发生 变更 的, 应当 将 变更 部分 告知 个人。
个人 信息 处理 者 通过 制定 个人 信息 处理 规则 的 方式 告知 第一 款 规定 事项 的, 处理 规则 应当 公开, 并且 于于 查阅 和 保存。
i
kan
i
第二十条 两个 以上 的 个人 信息 处理 者 共同 决定 个人 信息 的 处理 目的 和 处理 方式 的, 应当 约定 各自 的 权利 和 义务. 但是, 该 约定 不 影响 个人 向 其中 任何 一个 个人 信息 处理 者 要求 行使 本kan
kan
第二十 一条 个人 信息 处理 者 委托 处理 个人 信息 的, 应当 与 受托人 约定 委托 处理 的 目的, 期限, 处理 方式, 个人 信息 的 种类, 保护 措施 以及 双方 的 权利 和 义务 等, 并对 受托人 的kan
受托人 应当 按照 约定 处理 个人 信息, 不得 超出 约定 的 处理 目的, 处理 方式 等 处理 个人 信息; 委托 合同 不 生效, 无效, 被 撤销 或者 终止 的, 受托人 应当 将 个人 信息 返还 个人 信息 处理 者 或者 予以 删除kan
kan
第二十 二条 个人 信息 处理 者 因 合并, 分立, 解散, 被 宣告 破产 等 原因 需要 转移 个人 信息 的, 应当 向 个人 告知 接收 方 的 名称 或者 姓名 和 联系 方式. 接收 方 应当 继续 履行 个人 信息 处理 者kan
第二十 三条 个人 信息 处理 者 向 其他 个人 信息 处理 者 提供 其 处理 的 个人 信息 的, 应当 向 个人 告知 接收 方 的 名称 或者 姓名, 联系 方式, 处理 目的, 处理 方式 和 个人 信息 的 种类, 并 取得kan
i
kan
kan
i
第二十 六条 在 公共 场所 安装 图像 采集, 个人 身份 识别 设备, 应当 为 维护 公共安全 所 必需, 遵守 国家 有关 规定, 并 设置 显 著 的 提示 标识. 所 收集 的 个人 图像, 身份 识别 信息 只能 用于kan
第二 十七 条 个人 信息 处理 者 可以 在 合理 的 范围 内 处理 个人 自行 公开 或者 其他 已经 合法 公开 的 个人 信息;. 个人 明确 拒绝 的 除外 个人 信息 处理 者 处理 已 公开 的 个人 信息, 对 个人 权益 有 重大kan
第二 节 敏感 个人 信息 的 处理 规则
i kan
kan
i
第三 十条 个人 信息 处理 者 处理 敏感 个人 信息 的, 除 本法 第十七 条 第一 款 规定 的 事项 外, 还 应当 向 个人 告知 处理 敏感 个人 信息 的 必要性 以及 对 个人 权益 的 影响; 依照 本kan
i
kan
i
第三节 国家 机关 处理 个人 信息 的 特别 规定
i
i
i
i
i
第三 章 个人 信息 跨境 提供 的 规则
i
(一) 依照 本法 第四 十条 的 规定 通过 国家 网 信 部门 组织 的 安全 评估 ;
(二) 按照 国家 网 信 部门 的 规定 经 专业 机构 进行 个人 信息 保护 认证 ;
kan
(四) 法律 、 行政 法规 或者 国家 网 信 部门 规定 的 其他 条件。
kan
kan
第三 十九 条 个人 信息 处理 者 向 中华人民共和国 境外 提供 个人 信息 的, 应当 向 个人 告知 境外 接收 方 的 名称 或者 姓名, 联系 方式, 处理 目的, 处理 方式, 个人 信息 的 种类 以及 个人 向 境外 接收 方kan
第四 十条 关键 信息 基础 设施 运营 者 和 处理 个人 信息 达到 国家 网 信 部门 规定 数量 的 个人 信息 处理 者, 应当 将 在 中华人民共和国 境内 收集 和 产生 的 个人 信息 存储 在 境内. 确需 向 境外 提供 的kan
第四十一条 中华人民共和国 主管 机关 根据 有关 法律 和 中华人民共和国 缔结 或者 参加 的 国际 条约, 协定, 或者 按照 平等互惠 原则, 处理 外国 司法 或者 执法 机构 关于 提供 存储 于 境内 个人 信息 的 请求. 非 经kan
第四 十二 条 境外 的 组织, 个人 从事 侵害 中华人民共和国 公民 的 个人 信息 权益, 或者 危害 中华人民共和国 国家 安全, 公共 利益 的 个人 信息 处理 活动 的, 国家 网 信 部门 可以 将 其 列入 限制 或者 禁止kan
i
第四 章 个人 在 个人 信息 处理 活动 中 的 权利
i
i
个人 请求 查阅 、 复制 其 个人 信息 的, 个人 信息 处理 者 应当 及时 提供。
kan
i
个人 请求 更正 、 补充 其 个人 信息 的, 个人 信息 处理 者 应当 对其 个人 信息 予以 核实, 并 及时 更正 、 补充。
i
kan
kan
(三) 个人 撤回 同意 ;
(四) 个人 信息 处理 者 违反 法律 、 行政 法规 或者 违反 约定 处理 个人 信息 ;
(五) 法律 、 行政 法规 规定 的 其他 情形。
kan
i
i
i
kan
第五 章 个人 信息 处理 者 的 义务
第五十一条 个人 信息 处理 者 应当 根据 个人 信息 的 处理 目的, 处理 方式, 个人 信息 的 种类 以及 对 个人 权益 的 影响, 可能 存在 的 安全 风险 等, 采取 下列 措施 确保 个人 信息 处理 活动 符合 法律, 行政kan
(一) 制定 内部 管理 制度 和 操作规程 ;
kan
(三) 采取 相应 的 加密 、 去 标识 化 等 安全 技术 措施 ;
(四) 合理 确定 个人 信息 处理 的 操作 权限, 并 定期 对 从业人员 进行 安全 教育 和 培训 ;
(五) 制定 并 组织 实施 个人 信息 安全 事件 应急 预案 ;
(六) 法律 、 行政 法规 规定 的 其他 措施。
i
kan
第 五十 三条 本法 第三 条 第二款 规定 的 中华人民共和国 境外 的 个人 信息 处理 者, 应当 在 中华人民共和国 境内 设立 专门 机构 或者 指定 代表, 负责 处理 个人 信息 保护 相关 事务, 并将 有关 机构kan
i
i
(一) 处理 敏感 个人 信息 ;
(二) 利用 个人 信息 进行 自动化 决策 ;
kan
(四) 向 境外 提供 个人 信息 ;
kan
i
(一) 个人 信息 的 处理 目目 、 、 处理 方式 等 是否 合法 、 正当 、 必要 ;
kan
kan
kan
i
kan
kan
kan
个人 信息 处理 者 采取 措施 能够 有效 避免 信息 泄露, 篡改, 丢失 造成 危害 的, 个人 信息 处理 者 可以 不 通知 个人; 履行 个人 信息 保护 职责 的 部门 认为 可能 造成 危害 的, 有权 要求 个人 信息 处理 者 通知 个人kan
i
kan
kan
kan
kan
第五 十九 条 接受 委托 处理 个人 信息 的 受托人, 应当 依照 本法 和 有关 法律, 行政 法规 的 规定, 采取 必要 措施 保障 所 处理 的 个人 信息 的 安全, 并 协助 个人 信息 处理 者 履行 本法 规定 的kan
第六 章 履行 个人 信息 保护 职责 的 部门
i
县级 以上 地方 人民政府 有关部门 的 个人 信息 保护 和 监督 管理 职责, 按照 国家 有关 规定 确定。
前 两款 规定 的 部门 统称 为 履行 个人 信息 保护 职责 的 部门。
i
(一) 开展 个人 信息 保护 宣传 教育, 指导 、 监督 个人 信息 处理 者 开展 个人 信息 保护 工作 ;
kan
kan
kan
kan
i
kan
kan
kan
kan
kan
i
(一) 询问 有关 当事人, 调查 与 个人 信息 处理 活动 有关 的 情况 ;
(二) 查阅 、 复制 当事人 与 个人 信息 处理 活动 有关 的 合同 、 记录 、 账簿 以及 其他 有关 资料 ;
kan
kan
履行 个人 信息 保护 职责 的 部门 依法 履行 职责, 当事人 应当 予以 协助 、 配合, 不得 拒绝 、 阻挠。
第六 十四 条 履行 个人 信息 保护 职责 的 部门 在 履行 职责 中, 发现 个人 信息 处理 活动 存在 较大 风险 或者 发生 个人 信息 安全 事件 的, 可以 按照 规定 的 权限 和 程序 对该 个人 信息 处理 者 的 法定 代表kan
kan
第六 十五 条 任何 组织, 个人 有权 对 违法 个人 信息 处理 活动 向 履行 个人 信息 保护 职责 的 部门 进行 投诉, 举报. 收到 投诉, 举报 的 部门 应当 依法 及时 处理, 并将 处理 结果 告知 投诉, 举报kan
kan
第七 章 法律 责任
第六 十六 条 违反 本法 规定 处理 个人 信息, 或者 处理 个人 信息 未 履行 本法 规定 的 个人 信息 保护 义务 的, 由 履行 个人 信息 保护 职责 的 部门 责令 改正, 给予 警告, 没收 违法 所得, 对 违法 处理kan
kan并 可以 责令 暂停 相关 业务 或者 停业 整顿, 通报 有关 主管 部门 吊销 相关 业务 许可 或者 吊销 营业 执照; 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 处 十 万元 以上 一百 万元 以下 罚款, 并 可以 决定 禁止kan
i
i
kan
i
kan
i
i
第八 章 附 则
i
法律 对 各级 人民政府 及其 有关部门 组织 实施 的 统计 、 档案 管理 活动 中 的 个人 信息 处理 有 规定 的, 适用 其 规定。
第七 十三 条 本法 下列 用语 的 含义 :
kan
kan
(三) 去 标识 化, 是 指 个人 信息 经过 处理, 使其 在 不 借助 额外 信息 的 情况 下 无法 识别 特定 自然人 的 过程。
(四) 匿名 化, 是 指 个人 信息 经过 处理 无法 识别 特定 自然人 且 不能 复原 的 过程。
第七 十四 条 本法 自 2021 年 11 月 1 日 起 施行。