中华人民共和国 个人 信息 保护 法
(2021 年 8 月 20 日 第十 三届 全国 人民 代表 大会 常务委员会 第 三十次 会议 通过)
第一 章 总 则
第一 条 为了 保护 个人 信息 权益 , 规范 个人 信息 处理 活动 , 促进 个人 信息 合理 利用 , 根据 宪法 , 制定 本法。
第二 条 自然人 的 个人 信息 受 法律 保护 , 任何 组织 、 个人 不得 侵害 自然人 的 个人 信息 权益。
第三 条 在 中华人民共和国 境内 处理 自然人 个人 信息 的 活动 , 适用 本法。
在 中华人民共和国 境外 处理 中华人民共和国 境内 自然人 个人 信息 的 活动 , 有 下列 情形 之一 的 , 也 适用 本法 :
(一) 以 向 境内 自然人 提供 产品 或者 服务 为 目的 ;
(二) 分析 、 评估 境内 自然人 的 行为 ;
(三) 法律 、 行政 法规 规定 的 其他 情形。
第四 条 个人 信息 是以 电子 或者 其他 方式 记录 的 与 已 识别 或者 可 识别 的 自然人 有关 的 各种 信息 , 不 包括 匿名 化 处理 后 的 信息。
个人 信息 的 处理 包括 个人 信息 的 收集 、 存储 、 使用 、 加工 、 传输 、 提供 、 公开 、 删除 等。
第五 条 处理 个人 信息 应当 遵循 合法 、 正当 、 必要 和 诚信 原则 , 不得 通过 误导 、 欺诈 、 胁迫 等 方式 处理 个人 信息。
第六 条 处理 个人 信息 应当 具有 明确 、 合理 的 目的 , 并 应当 与 处理 目的 直接 相关 , 采取 对 个人 权益 影响 最小 的 方式。
收集 个人 信息 , 应当 限于 实现 处理 目的 的 最小 范围 , 不得 过度 收集 个人 信息。
第七 条 处理 个人 信息 应当 遵循 公开 、 透明 原则 , 公开 个人 信息 处理 规则 , 明示 处理 的 目的 、 方式 和 范围。
第八 条 处理 个人 信息 应当 保证 个人 信息 的 质量 , 避免 因 个人 信息 不 准确 、 不 完整 对 个人 权益 造成 不利 影响。
第九条 个人 信息 处理 者 应当 对其 个人 信息 处理 活动 负责 , 并 采取 必要 措施 保障 所 处理 的 个人 信息 的 安全。
第十 条 任何 组织 、 个人 不得 非法 收集 、 使用 、 加工 、 传输 他人 个人 信息 , 不得 非法买卖 、 提供 或者 公开 他人 个人 信息 ; 不得 从事 危害 国家 安全 、 公共 利益 的 个人 信息 处理 活动。
第十一条 国家 建立 健全 个人 信息 保护 制度 , 预防 和 惩治 侵害 个人 信息 权益 的 行为 , 加强 个人 信息 保护 宣传 教育 , 推动 形成 政府 、 企业 、 相关 社会 组织 、 公众 共同 参与 个人 信息 保护 的 良好 环境。
第十二 条 国家 积极 参与 个人 信息 保护 国际 规则 的 制定 , 促进 个人 信息 保护 方面 的 国际 交流 与 合作 , 推动 与 其他 国家 、 地区 、 国际 组织 之间 的 个人 信息 保护 规则 、 标准 等 互认。
第二 章 个人 信息 处理 规则
第一节 一般 规定
第十三 条 符合 下列 情形 之一 的 , 个人 信息 处理 者 方可 处理 个人 信息 :
(一) 取得 个人 的 同意 ;
(二) 为 订立 、 履行 个人 作为 一方 当事人 的 合同 所 必需 , 或者 按照 依法 制定 的 劳动 规章制度 和 依法 签订 的 集体 合同 实施 人力 资源 管理所 必需 ;
(三) 为 履行 法定 职责 或者 法定 义务 所 必需 ;
(四) 为 应对 突发 公共卫生 事件 , 或者 紧急 情况 下 为 保护 自然人 的 生命 和 财产 安全 所 必需 ;
(五) 为 公共 利益 实施 新闻 报道 、 舆论监督 等 行为 , 在 合理 的 范围 内 处理 个人 信息 ;
(六) 依照 本法 规定 在 合理 的 范围 内 处理 个人 自行 公开 或者 其他 已经 合法 公开 的 个人 信息 ;
(七) 法律 、 行政 法规 规定 的 其他 情形。
依照 本法 其他 有关 规定 , 处理 个人 信息 应当 取得 个人 同意 , 但是 有 前款 第二 项 至 第七 项 规定 情形 的 , 不需 取得 个人 同意。
第十四 条 基于 个人 同意 处理 个人 信息 的 , 该 同意 应当 由 个人 在 充分 知情 的 前提 下 自愿 、 明确 作出。 法律 、 行政 法规 规定 处理 个人 信息 应当 取得 个人 单独 同意 或者 书面 同意 的 , 从其。
个人 信息 的 处理 目的 、 处理 方式 和 处理 的 个人 信息 种类 发生 变更 的 , 应当 重新 取得 个人 同意。
第十五 条 基于 个人 同意 处理 个人 信息 的 , 个人 有权 撤回 其 同意。 个人 信息 处理 者 应当 提供 便捷 的 撤回 同意 的 方式。
个人 撤回 同意 , 不 影响 撤回 前 基于 个人 同意 已 进行 的 个人 信息 处理 活动 的 效力。
第十六 条 个人 信息 处理 者 不得 以 个人 不 同意 处理 其 个人 信息 或者 撤回 同意 为由 , 拒绝 提供 产品 或者 服务 ; 处理 个人 信息 属于 提供 产品 或者 服务 所 必需 的 除外。
第十七 条 个人 信息 处理 者 在 处理 个人 信息 前 , 应当 以 显 著 方式 、 清晰 易懂 的 语言 真实 、 准确 、 完整 地 向 个人 告知 下列 事项 :
(一) 个人 信息 处理 者 的 名称 或者 姓名 和 联系 方式 ;
(二) 个人 信息 的 处理 目的 、 处理 方式 , 处理 的 个人 信息 种类 、 保存 期限 ;
(三) 个人 行使 本法 规定 权利 的 方式 和 程序 ;
(四) 法律 、 行政 法规 规定 应当 告知 的 其他 事项。
前款 规定 事项 发生 变更 的 , 应当 将 变更 部分 告知 个人。
个人 信息 处理 者 通过 制定 个人 信息 处理 规则 的 方式 告知 第一 款 规定 事项 的 , 处理 规则 应当 公开 , 并且 便于 查阅 和 保存。
第十八 条 个人 信息 处理 者 处理 个人 信息 , 有 法律 、 行政 法规 规定 应当 保密 或者 不需要 告知 的 情形 的 , 可以 不 向 个人 告知 前 条 第一 款 规定 的 事项。
紧急 情况 下 为 保护 自然人 的 生命 健康 和 财产 安全 无法 及时 向 个人 告知 的 , 个人 信息 处理 者 应当 在 紧急 情况 消除 后 及时 告知。
第十九 条 除 法律 、 行政 法规 另有 规定 外 , 个人 信息 的 保存 期限 应当 为 实现 处理 目的 所 必要 的 最短 时间。
第二十条 两个 以上 的 个人 信息 处理 者 共同 决定 个人 信息 的 处理 目的 和 处理 方式 的 , 应当 约定 各自 的 权利 和 义务。 但是 , 该 约定 不 影响 个人 向 其中 任何 一个 个人 信息 处理 者 要求 本 本法 规定 的 权利。
个人 信息 处理 者 共同 处理 个人 信息 , 侵害 个人 信息 权益 造成 损害 的 , 应当 依法 承担 连带 责任。
第二十 一条 个人 信息 处理 者 委托 处理 个人 信息 的 , 应当 与 受托人 约定 委托 处理 的 目的 、 期限 、 处理 方式 、 个人 信息 的 种类 、 保护 措施 以及 双方 的 权利 和 义务 等 , 并对 受托人 的个人 信息 处理 活动 进行 监督。
受托人 应当 按照 约定 处理 个人 信息 , 不得 超出 约定 的 处理 目的 、 处理 方式 等 处理 个人 信息 ; 委托 合同 不 生效 无效 、 、 被 撤销 或者 终止 的 , 受托人 应当 将 个人 信息 返还 个人 信息 处理 者 予以 予以, 不得 保留。
未经 个人 信息 处理 者 同意 , 受托人 不得 转 委托 他人 处理 个人 信息。
第二十 二条 个人 信息 处理 者 因 合并 、 分立 、 解散 、 被 宣告 破产 等 原因 需要 转移 个人 信息 的 , 应当 向 个人 告知 接收 方 的 名称 或者 姓名 和 联系 方式。 接收 方 应当 继续 履行 个人 信息 者的 义务。 接收 方 变更 原先 的 处理 目的 、 处理 方式 的 , 应当 依照 本法 规定 重新 取得 个人 同意。
第二十 三条 个人 信息 处理 者 向 其他 个人 信息 处理 者 提供 其 处理 的 个人 信息 的 , 应当 向 个人 告知 接收 方 的 名称 或者 姓名 、 联系 方式 、 处理 目 的 、 处理 方式 和 信息 的 种类 , 取得 取得个人 的 单独 同意。 接收 方 应当 在 上述 处理 目的 、 处理 方式 和 个人 信息 的 种类 等 范围 内 处理 个人 信息。 接收 方 变更 原先 的 处理 目的 、 处理 方式 的 的 应当 依照 本法 规定 重新 个人 同意 的
第二十 四条 个人 信息 处理 者 利用 个人 信息 进行 自动化 决策 , 应当 保证 决策 的 透明度 和 结果 公平 、 公正 , 不得 对 个人 在 交易 价格 等 交易 条件 上 实行 不合理 的 差别 待遇。
通过 自动化 决策 方式 向 个人 进行 信息 推送 、 商业 营销 , 应当 同时 提供 不 针对 其 个人 特征 的 选项 , 或者 向 个人 提供 便捷 的 拒绝 方式。
通过 自动化 决策 方式 作出 对 个人 权益 有 重大 影响 的 决定 , 个人 有权 要求 个人 信息 处理 者 予以 说明 , 并 有权 拒绝 个人 信息 处理 者 仅 通过 自动化 决策 的 方式 作出 决定。
第二十 五条 个人 信息 处理 者 不得 公开 其 处理 的 个人 信息 , 取得 个人 单独 同意 的 除外。
第二十 六条 在 公共 场所 安装 图像 采集 、 个人 身份 识别 设备 , 应当 为 维护 公共安全 所 必需 , 遵守 国家 有关 规定 , 并 设置 显 著 的 提示 标识。 所 收集 的 个人 图像 、 身份 识别 信息 只能 用于维护 公共安全 的 目的 , 不得 用于 其他 目的 ; 取得 个人 单独 同意 的 除外。
第二 十七 条 个人 信息 处理 者 可以 在 合理 的 范围 内 处理 个人 自行 公开 或者 其他 已经 合法 公开 的 个人 信息 ; 个人 拒绝 的 除外。 个人 信息 处理 者 处理 已 公开 的 个人 信息 , 对 个人 权益 重大 重大影响 的 , 应当 依照 本法 规定 取得 个人 同意。
第二节 敏感个人信息的处理规则
第二 十八 条 敏感 个人 信息 是 一旦 泄露 或者 非法 使用 , 容易 导致 自然人 的 人格 尊严 受到 侵害 或者 人身 、 财产 安全 受到 的 个人 信息 , 包括 生物 识别 、 宗教信仰 、 特定 身份 、 医疗 健康 、 金融 、行踪 轨迹 等 信息 , 以及 不满 十四 周岁 未成年 人 的 个人 信息。
只有 在 具有 特定 的 目的 和 充分 的 必要性 , 并 采取 严格 保护 措施 的 情形 下 , 个人 信息 处理 者 方可 处理 敏感 个人 信息。
第二 十九 条 处理 敏感 个人 信息 应当 取得 个人 的 单独 同意 ; 法律 、 行政 法规 规定 处理 敏感 个人 信息 应当 取得 书面 的 的 , 从其 规定。
第三 十条 个人 信息 处理 者 处理 敏感 个人 信息 的 , 除 本法 第十七 条 第一 款 规定 的 事项 外 , 还 应当 向 个人 告知 处理 敏感 个人 信息 的 必要性 以及 对 个人 权益 的 影响 ; 依照 本法 规定 可以 不 向 个人 告知 的 除外。
第三十一条 个人 信息 处理 者 处理 不满 十四 周岁 未成年 人 个人 信息 的 , 应当 取得 未成年 人 的 父母 或者 其他 监护人 的 同意。
个人 信息 处理 者 处理 不满 十四 周岁 未成年 人 个人 信息 的 , 应当 制定 专门 的 个人 信息 处理 规则。
第三 十二 条 法律 、 行政 法规 对 处理 敏感 个人 信息 规定 应当 取得 相关 行政 许可 或者 作出 其他 限制 的 , 从其 规定。
第三节 国家 机关 处理 个人 信息 的 特别 规定
第三 十三 条 国家 机关 处理 个人 信息 的 活动 , 适用 本法 ; 本 节 有 特别 规定 的 , 适用 本 节 规定。
第三 十四 条 国家 机关 为 履行 法定 职责 处理 个人 信息 , 应当 依照 法律 、 行政 法规 的 的 权限 、 程序 进行 , 不得 超出 履行 法定 职责 所 必需 的 范围 和 限度。
第三 十五 条 国家 机关 为 履行 法定 职责 处理 个人 信息 , 应当 依照 本法 规定 履行 告知 义务 ; 有 本法 第十八 条 第一 款 的 情形 , 或者 告知 将 妨碍 国家 机关 履行 法定 职责 的 除外。
第三 十六 条 国家 机关 处理 的 个人 信息 应当 在 中华人民共和国 境内 存储 ; 确需 向 境外 提供 的 , 应当 进行 安全 评估。 安全 评估 可以 要求 有关部门 提供 支持 与 协助。
第三 十七 条 法律 、 法规 授权 的 具有 管理 公共 事务 职能 的 组织 为 履行 法定 职责 处理 个人 信息 , 适用 本法 关于 国家 机关 处理 个人 信息 的 规定。
第三 章 个人 信息 跨境 提供 的 规则
第三 十八 条 个人 信息 处理 者 因 业务 等 需要 , 确需 向 中华人民共和国 境外 提供 个人 信息 的 , 应当 具备 下列 条件 之一 :
(一) 依照 本法 第四 十条 的 规定 通过 国家 网 信 部门 组织 的 安全 评估 ;
(二) 按照 国家 网 信 部门 的 规定 经 专业 机构 进行 个人 信息 保护 认证 ;
(三) 按照 国家 网 信 部门 制定 的 标准 合同 与 境外 接收 方 订立 合同 , 约定 双方 的 权利 和 义务 ;
(四) 法律 、 行政 法规 或者 国家 网 信 部门 规定 的 其他 条件。
中华人民共和国 缔结 或者 参加 的 国际 条约 、 协定 对 向 中华人民共和国 境外 提供 个人 信息 的 条件 有 规定 的 , 可以 按照 其 规定 执行。
个人 信息 处理 者 应当 采取 必要 措施 , 保障 境外 接收 方 处理 个人 信息 的 活动 达到 本法 规定 的 个人 信息 保护 标准。
第三 十九 条 个人 信息 处理 者 向 中华人民共和国 境外 提供 个人 信息 的 , 应当 向 个人 告知 境外 接收 方 的 名称 或者 姓名 、 联系 方式 、 处理 目的 、 处理 方式 、 个人 信息 的 种类 以及 个人 向 境外 接收 方行使 本法 规定 权利 的 方式 和 程序 等 事项 , 并 取得 个人 的 单独 同意。
第四 十条 关键 信息 基础 设施 运营 者 和 处理 个人 信息 达到 国家 网 信 部门 规定 的 的 个人 信息 处理 者 , 应当 将 在 中华人民共和国 境内 收集 和 产生 的 个人 信息 存储 在 境内。 确需 向 境外 的 的, 应当 通过 国家 网 信 部门 组织 的 安全 评估 ; 法律 、 行政 法规 和 国家 网 信 部门 规定 可以 不 进行 安全 评估 的 , 从其 规定。
第四十一条 中华人民共和国 主管 机关 根据 有关 法律 和 中华人民共和国 缔结 或者 参加 的 国际 条约 、 协定 , 或者 按照 平等互惠 原则 , 处理 外国 司法 或者 执法 机构 关于 提供 存储 于 境内 个人 信息 的 请求。 非 经中华人民共和国 主管 机关 批准 , 个人 信息 处理 者 不得 向 外国 司法 或者 执法 机构 提供 存储 于 中华人民共和国 境内 的 个人 信息。
第四 十二 条 境外 的 组织 、 个人 从事 侵害 中华人民共和国 公民 的 个人 信息 权益 , 或者 危害 中华人民共和国 国家 安全 、 公共 利益 的 个人 信息 处理 活动 的 , 国家 网 信 部门 可以 将 其 列入 限制 或者 禁止个人 信息 提供 清单 , 予以 公告 , 并 采取 限制 或者 禁止 向其 提供 个人 信息 等 措施。
第四 十三 条 任何 国家 或者 地区 在 个人 信息 保护 方面 对 中华人民共和国 采取 歧视 性 的 禁止 、 限制 或者 其他 类似 措施 的 , 中华人民共和国 可以 根据 实际 情况 对该 国家 或者 地区 对 等 采取 措施。
第四 章 个人 在 个人 信息 处理 活动 中 的 权利
第四 十四 条 个人 对其 个人 信息 的 处理 享有 知情权 、 决定 权 , 有权 限制 或者 拒绝 他人 对其 个人 信息 进行 处理 ; 法律 、 行政 法规 另有 规定 的 除外。
第四 十五 条 个人 有权 向 个人 信息 处理 者 查阅 、 复制 其 个人 信息 ; 有 本法 第十八 条 第一 款 、 第三 十五 条 规定 情形 的 除外。
个人 请求 查阅 、 复制 其 个人 信息 的 , 个人 信息 处理 者 应当 及时 提供。
个人 请求 将 个人 信息 转移 至 其 指定 的 个人 信息 处理 者 , 符合 国家 网 信 部门 规定 条件 的 , 个人 信息 处理 者 应当 提供 转移 的 途径。
第四 十六 条 个人 发现 其 个人 信息 不 准确 或者 不 完整 的 , 有权 请求 个人 信息 处理 者 更正 、 补充。
个人 请求 更正 、 补充 其 个人 信息 的 , 个人 信息 处理 者 应当 对其 个人 信息 予以 核实 , 并 及时 更正 、 补充。
第四 十七 条 有 下列 情形 之一 的 , 个人 信息 处理 者 应当 主动 删除 个人 信息 ; 个人 信息 处理 者 未 删除 的 , 个人 有权 请求 删除 :
(一) 处理 目的 已 实现 、 无法 实现 或者 为 实现 处理 目的 不再 必要 ;
(二) 个人 信息 处理 者 停止 提供 产品 或者 服务 , 或者 保存 期限 已 届满 ;
(三) 个人 撤回 同意 ;
(四) 个人 信息 处理 者 违反 法律 、 行政 法规 或者 违反 约定 处理 个人 信息 ;
(五) 法律 、 行政 法规 规定 的 其他 情形。
法律 、 行政 法规 规定 的 保存 期限 未 届满 , 或者 删除 个人 信息 从 技术上 难以 实现 的 , 个人 信息 处理 者 应当 停止 除 存储 和 采取 必要 的 安全 保护 措施 之外 的 处理。
第四 十八 条 个人 有权 要求 个人 信息 处理 者 对其 个人 信息 处理 规则 进行 解释 说明。
第四 十九 条 自然人 死亡 的 , 其 近 亲属 为了 自身 的 合法 、 正当 利益 , 可以 对 死者 的 相关 个人 信息 行使 本章 的 查阅 、 复制 、 更正 、 删除 等 权利 ; 死者 另有 另有 安排 的 除外。
第五 十条 个人 信息 处理 者 应当 建立 便捷 的 个人 行使 权利 的 申请 受理 和 处理 机制。 拒绝 个人 行使 权利 的 请求 的 , 应当 说明 理由。
个人 信息 处理 者 拒绝 个人 行使 权利 的 请求 的 , 个人 可以 依法 向 人民法院 提起 诉讼。
第五 章 个人 信息 处理 者 的 义务
第五十一条 个人 信息 处理 者 应当 根据 个人 信息 的 处理 目的 、 处理 方式 、 个人 信息 的 种类 以及 对 个人 权益 的 影响 可能 存在 存在 的 安全 风险 等 , 采取 下列 措施 确保 个人 信息 处理 活动 符合 法律 行政 行政法规 的 规定 , 并 防止 未经 授权 的 访问 以及 个人 信息 泄露 、 篡改 、 丢失 :
(一) 制定 内部 管理 制度 和 操作规程 ;
(二) 对 个人 信息 实行 分类 管理 ;
(三) 采取 相应 的 加密 、 去 标识 化 等 安全 技术 措施 ;
(四) 合理 确定 个人 信息 处理 的 操作 权限 , 并 定期 对 从业人员 进行 安全 教育 和 培训 ;
(五) 制定 并 组织 实施 个人 信息 安全 事件 应急 预案 ;
(六) 法律 、 行政 法规 规定 的 其他 措施。
第五 十二 条 处理 个人 信息 达到 国家 网 信 部门 规定 数量 的 个人 信息 处理 者 应当 指定 个人 信息 保护 负责 人 , 负责 对 个人 信息 处理 活动 以及 采取 的 保护 措施 等 进行 监督。
个人 信息 处理 者 应当 公开 个人 信息 保护 负责 人 的 联系 方式 , 并将 个人 信息 保护 负责 人 的 姓名 、 联系 方式 等 报送 履行 个人 信息 保护 职责 的 部门。
第 五十 三条 本法 第三 条 第二款 规定 的 中华人民共和国 境外 的 个人 信息 处理 者 , 应当 在 中华人民共和国 境内 设立 专门 机构 或者 指定 代表 , 负责 处理 个人 信息 保护 相关 事务 , 并将 有关 机构的 名称 或者 代表 的 姓名 、 联系 方式 等 报送 履行 个人 信息 保护 职责 的 部门。
第 五十 四条 个人 信息 处理 者 应当 定期 对其 处理 个人 信息 遵守 法律 、 行政 法规 的 情况 进行 合 规 审计。
第五 十五 条 有 下列 情形 之一 的 , 个人 信息 处理 者 应当 事前 进行 个人 信息 保护 影响 评估 , 并对 处理 情况 进行 记录 :
(一) 处理 敏感 个人 信息 ;
(二) 利用 个人 信息 进行 自动化 决策 ;
(三) 委托 处理 个人 信息 、 向 其他 个人 信息 处理 者 提供 个人 信息 、 公开 个人 信息 ;
(四) 向 境外 提供 个人 信息 ;
(五) 其他 对 个人 权益 有 重大 影响 的 个人 信息 处理 活动。
第五 十六 条 个人 信息 保护 影响 评估 应当 包括 下列 内容 :
(一) 个人 信息 的 处理 目的 、 处理 方式 等 是否 合法 、 正当 、 必要 ;
(二) 对 个人 权益 的 影响 及 安全 风险 ;
(三) 所 采取 的 保护 措施 是否 合法 、 有效 并 与 风险 程度 相 适应。
个人 信息 保护 影响 评估 报告 和 处理 情况 记录 应当 至少 保存 三年。
第五 十七 条 发生 或者 可能 发生 个人 信息 泄露 、 篡改 、 丢失 的 , 个人 信息 处理 者 应当 立即 采取 补救 措施 , 并 通知 履行 个人 信息 保护 职责 的 部门 和 个人。 通知 应当 包括 下列 事项 :
(一) 发生 或者 可能 发生 个人 信息 泄露 、 篡改 、 丢失 的 信息 种类 、 原因 和 可能 造成 的 危害 ;
(二) 个人 信息 处理 者 采取 的 补救 措施 和 个人 可以 采取 的 减轻 危害 的 措施 ;
(三) 个人 信息 处理 者 的 联系 方式。
个人 信息 处理 者 采取 措施 能够 有效 避免 信息 泄露 、 篡改 、 丢失 造成 危害 的 , 个人 信息 处理 者 可以 不 通知 个人 ; 履行 个人 信息 保护 职责 的 部门 认为 可能 造成 危害 的 有权 要求 个人 信息 , , , 。
第五 十八 条 提供 重要 互联网 平台 服务 、 用户 数量 巨大 、 业务 类型 复杂 的 个人 信息 处理 者 , 应当 履行 下列 义务 :
(一) 按照 国家 规定 建立 健全 个人 信息 保护 合 规 制度 体系 , 成立 主要 由 外部 成员 组成 的 独立 机构 对 个人 信息 保护 情况 进行 监督 ;
(二) 遵循 公开 、 公平 、 公正 的 原则 , 制定 平台 规则 , 明确 平台 内 产品 或者 服务 提供 者 处理 个人 信息 的 规范 和 保护 个人 信息 的 义务 ;
(三) 对 严重 违反 法律 、 行政 法规 处理 个人 信息 的 平台 内 的 产品 或者 服务 提供 者 , 停止 提供 服务 ;
(四) 定期 发布 个人 信息 保护 社会 责任 报告 , 接受 社会 监督。
第五 十九 条 接受 委托 处理 个人 信息 的 受托人 , 应当 依照 本法 和 有关 法律 、 行政 法规 的 规定 , 采取 必要 措施 保障 所 处理 的 个人 信息 的 安全 , 并 协助 个人 信息 处理 者 履行 本法 规定义务。
第六 章 履行 个人 信息 保护 职责 的 部门
第六 十条 国家 网 信 部门 负责 统筹 协调 个人 信息 保护 工作 和 相关 监督 管理 工作。 国务院 有关部门 依照 本法 和 有关 法律 、 法规 的 规定 , 在 各自 职责 范围 内 负责 个人 信息 保护 和 监督 管理 工作。
县级 以上 地方 人民政府 有关部门 的 个人 信息 保护 和 监督 管理 职责 , 按照 国家 有关 规定 确定。
前 两款 规定 的 部门 统称 为 履行 个人 信息 保护 职责 的 部门。
第六十一条 履行 个人 信息 保护 职责 的 部门 履行 下列 个人 信息 保护 职责 :
(一) 开展 个人 信息 保护 宣传 教育 , 指导 、 监督 个人 信息 处理 者 开展 个人 信息 保护 工作 ;
(二) 接受 、 处理 与 个人 信息 保护 有关 的 投诉 、 举报 ;
(三) 组织 对 应用 程序 等 个人 信息 保护 情况 进行 测评 , 并 公布 测评 结果 ;
(四) 调查 、 处理 违法 个人 信息 处理 活动 ;
(五) 法律 、 行政 法规 规定 的 其他 职责。
第六 十二 条 国家 网 信 部门 统筹 协调 有关部门 依据 本法 推进 下列 个人 信息 保护 工作 :
(一) 制定 个人 信息 保护 具体 规则 、 标准 ;
(二) 针对 小型 个人 信息 处理 者 、 处理 敏感 个人 信息 以及 人脸识别 、 人工智能 等 新 技术 、 新 应用 , 制定 专门 的 个人 信息 保护 规则 、 标准 ;
(三) 支持 研究 开发 和 推广 应用 安全 、 方便 的 电子 身份 认证 技术 , 推进 网络 身份 认证 公共 服务 建设 ;
(四) 推进 个人 信息 保护 社会 化 服务 体系 建设 , 支持 有关 机构 开展 个人 信息 保护 评估 、 认证 服务 ;
(五) 完善 个人 信息 保护 投诉 、 举报 工作 机制。
第六 十三 条 履行 个人 信息 保护 职责 的 部门 履行 个人 信息 保护 职责 , 可以 采取 下列 措施 :
(一) 询问 有关 当事人 , 调查 与 个人 信息 处理 活动 有关 的 情况 ;
(二) 查阅 、 复制 当事人 与 个人 信息 处理 活动 有关 的 合同 、 记录 、 账簿 以及 其他 有关 资料 ;
(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;
(四) 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的
履行 个人 信息 保护 职责 的 部门 依法 履行 职责 , 当事人 应当 予以 协助 、 配合 , 不得 拒绝 、 阻挠。
第六 十四 条 履行 个人 信息 保护 职责 的 部门 在 履行 职责 中 , 发现 个人 信息 处理 活动 存在 较大 风险 或者 发生 个人 信息 安全 事件 的 , 可以 按照 规定 的 权限 和 程序 对该 个人 信息 处理 者 的 , 代表人 或者 主要 负责 人 进行 约谈 , 或者 要求 个人 信息 处理 者 委托 专业 机构 对其 个人 信息 处理 活动 进行 合 规 审计。 个人 信息 处理 者 应当 按照 要求 采取 措施 , 进行 整改 消除 隐患。
履行 个人 信息 保护 职责 的 部门 在 履行 职责 中 , 发现 违法 处理 个人 信息 涉嫌 犯罪 的 , 应当 及时 移送 公安 机关 依法 处理。
第六 十五 条 任何 组织 、 个人 有权 对 违法 个人 信息 处理 活动 向 履行 个人 信息 保护 职责 的 部门 进行 投诉 、 举报。 收到 投诉 、 举报 的 部门 应当 依法 及时 处理 , 并将 处理 结果 告知 投诉 、 举报人。
履行 个人 信息 保护 职责 的 部门 应当 公布 接受 投诉 、 举报 的 联系 方式。
第七 章 法律 责任
第六 十六 条 违反 本法 规定 处理 个人 信息 , 或者 处理 个人 信息 未 履行 本法 规定 的 个人 信息 保护 义务 的 , 由 履行 个人 信息 保护 职责 的 部门 责令 改正 , 给予 警告 , 没收 违法 所得 , 对 违法 处理个人 信息 的 应用 程序 , 责令 暂停 或者 终止 提供 服务 ; 拒不 改正 的 , 并处 一百 万元 以下 罚款 ; 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 处 一 万元 以上 十 万元 以下 罚款。
有 前款 规定 的 违法行为 , 情节 严重 的 , 由 省级 以上 履行 个人 信息 保护 职责 的 部门 责令 改正 , 没收 违法 所得 , 并处 五千 万元 以下 或者 上 一 年度 营业 额 百分之 五 罚款 , ,并 可以 责令 暂停 相关 业务 或者 停业 整顿 、 通报 有关 主管 部门 吊销 相关 业务 许可 或者 吊销 营业 执照 ; 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 处 十 万元 以上 一百 万元 以下 罚款 , 并 可以 禁止其 在 一定 期限 内 担任 相关 企业 的 董事 、 监事 、 高级 管理 人员 和 个人 信息 保护 负责 人。
第六 十七 条 有 本法 规定 的 违法行为 的 , 依照 有关 法律 、 行政 法规 的 规定 记 入 档案 , 并 予以 公示。
第六 十八 条 国家 机关 不 履行 本法 规定 的 个人 信息 保护 义务 的 , 由其 上级 机关 或者 履行 个人 信息 保护 职责 的 部门 责令 改正 ; 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 依法 给予 处分。
履行 个人 信息 保护 职责 的 部门 的 工作 人员 玩忽职守 、 滥用职权 、 徇私舞弊 , 尚不 构成 犯罪 的 , 依法 给予 处分。
第六 十九 条 处理 个人 信息 侵害 个人 信息 权益 造成 损害 , 个人 信息 处理 者 不能 证明 自己 没有 过错 的 , 应当 承担 损害 赔偿 等 侵权 责任。
的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 的 确定 赔偿
第七 十条 个人 信息 处理 者 违反 本法 规定 处理 个人 信息 , 侵害 众多 个人 的 权益 的 , 人民 检察院 、 法律 规定 的 消费者 组织 和 由 国家 网 信 部门 确定 的 组织 可以 依法 向 人民法院 提起 诉讼。
第七十一条 违反 本法 规定 , 构成 违反 治安 管理 行为 的 , 依法 给予 治安 管理 处罚 ; 构成 犯罪 的 , 依法 追究 刑事责任。
第八 章 附 则
第七 十二 条 自然人 因 个人 或者 家庭 事务 处理 个人 信息 的 , 不 适用 本法。
法律 对 各级 人民政府 及其 有关部门 组织 实施 的 统计 、 档案 管理 活动 中 的 个人 信息 处理 规定 的 , 适用 其 规定。
第七 十三 条 本法 下列 用语 的 含义 :
(一) 个人 信息 处理 者 , 是 指 在 个人 信息 处理 活动 中 自主 决定 目的 、 处理 方式 的 组织 、 个人。
(二) 自动化 决策 , 是 指 通过 计算机 程序 自动 分析 、 评估 个人 的 行为 、 兴趣 爱好 爱好 或者 、 健康 、 信用 状况 等 , 并 进行 决策 的 活动。
(三) 去 标识 化 , 是 指 个人 信息 经过 处理 , 使其 在 不 借助 额外 信息 的 情况 下 无法 识别 特定 自然人 的 过程。
(四) 匿名 化 , 是 指 个人 信息 经过 处理 无法 识别 特定 自然人 且 不能 复原 的 过程。
第七 十四 条 本法 自 2021 年 11 月 1 日 起 施行。