中華人民共和國個(gè)人信息保護法

（2021年8月20日第十三屆全國人民代表大會(huì )常務(wù)委員會(huì )第三十次會(huì )議通過(guò)）

目 錄

第一章 總則

第二章 個(gè)人信息處理規則

第一節 一般規定

第二節 敏感個(gè)人信息的處理規則

第三節 國家機關(guān)處理個(gè)人信息的特別規定

第三章 個(gè)人信息跨境提供的規則

第四章 個(gè)人在個(gè)人信息處理活動(dòng)中的權利

第五章 個(gè)人信息處理者的義務(wù)

第六章 履行個(gè)人信息保護職責的部門(mén)

第七章 法律責任

第八章 附則

第一章　總則

第一條　為了保護個(gè)人信息權益，規范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，根據憲法，制定本法。

第二條　自然人的個(gè)人信息受法律保護，任何組織、個(gè)人不得侵害自然人的個(gè)人信息權益。

第三條　在中華人民共和國境內處理自然人個(gè)人信息的活動(dòng)，適用本法。

在中華人民共和國境外處理中華人民共和國境內自然人個(gè)人信息的活動(dòng)，有下列情形之一的，也適用本法：

（一）以向境內自然人提供產(chǎn)品或者服務(wù)為目的；

（二）分析、評估境內自然人的行為；

（三）法律、行政法規規定的其他情形。

第四條　個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

個(gè)人信息的處理包括個(gè)人信息的收集、存儲、使用、加工、傳輸、提供、公開(kāi)、刪除等。

第五條　處理個(gè)人信息應當遵循合法、正當、必要和誠信原則，不得通過(guò)誤導、欺詐、脅迫等方式處理個(gè)人信息。

第六條　處理個(gè)人信息應當具有明確、合理的目的，并應當與處理目的直接相關(guān)，采取對個(gè)人權益影響最小的方式。

收集個(gè)人信息，應當限于實(shí)現處理目的的最小范圍，不得過(guò)度收集個(gè)人信息。

第七條　處理個(gè)人信息應當遵循公開(kāi)、透明原則，公開(kāi)個(gè)人信息處理規則，明示處理的目的、方式和范圍。

第八條　處理個(gè)人信息應當保證個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準確、不完整對個(gè)人權益造成不利影響。

第九條　個(gè)人信息處理者應當對其個(gè)人信息處理活動(dòng)負責，并采取必要措施保障所處理的個(gè)人信息的安全。

第十條　任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息；不得從事危害國家安全、公共利益的個(gè)人信息處理活動(dòng)。

第十一條　國家建立健全個(gè)人信息保護制度，預防和懲治侵害個(gè)人信息權益的行為，加強個(gè)人信息保護宣傳教育，推動(dòng)形成政府、企業(yè)、相關(guān)社會(huì )組織、公眾共同參與個(gè)人信息保護的良好環(huán)境。

第十二條　國家積極參與個(gè)人信息保護國際規則的制定，促進(jìn)個(gè)人信息保護方面的國際交流與合作，推動(dòng)與其他國家、地區、國際組織之間的個(gè)人信息保護規則、標準等互認。

第二章　個(gè)人信息處理規則

第一節　一般規定

第十三條　符合下列情形之一的，個(gè)人信息處理者方可處理個(gè)人信息：

（一）取得個(gè)人的同意；

（二）為訂立、履行個(gè)人作為一方當事人的合同所必需，或者按照依法制定的勞動(dòng)規章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；

（三）為履行法定職責或者法定義務(wù)所必需；

（四）為應對突發(fā)公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；

（五）為公共利益實(shí)施新聞報道、輿論監督等行為，在合理的范圍內處理個(gè)人信息；

（六）依照本法規定在合理的范圍內處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息；

（七）法律、行政法規規定的其他情形。

依照本法其他有關(guān)規定，處理個(gè)人信息應當取得個(gè)人同意，但是有前款第二項至第七項規定情形的，不需取得個(gè)人同意。

第十四條　基于個(gè)人同意處理個(gè)人信息的，該同意應當由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個(gè)人信息應當取得個(gè)人單獨同意或者書(shū)面同意的，從其規定。

個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類(lèi)發(fā)生變更的，應當重新取得個(gè)人同意。

第十五條　基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權撤回其同意。個(gè)人信息處理者應當提供便捷的撤回同意的方式。

個(gè)人撤回同意，不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力。

第十六條　個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。

第十七條　個(gè)人信息處理者在處理個(gè)人信息前，應當以顯著(zhù)方式、清晰易懂的語(yǔ)言真實(shí)、準確、完整地向個(gè)人告知下列事項：

（一）個(gè)人信息處理者的名稱(chēng)或者姓名和聯(lián)系方式；

（二）個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類(lèi)、保存期限；

（三）個(gè)人行使本法規定權利的方式和程序；

（四）法律、行政法規規定應當告知的其他事項。

前款規定事項發(fā)生變更的，應當將變更部分告知個(gè)人。

個(gè)人信息處理者通過(guò)制定個(gè)人信息處理規則的方式告知第一款規定事項的，處理規則應當公開(kāi)，并且便于查閱和保存。

第十八條　個(gè)人信息處理者處理個(gè)人信息，有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個(gè)人告知前條第一款規定的事項。

緊急情況下為保護自然人的生命健康和財產(chǎn)安全無(wú)法及時(shí)向個(gè)人告知的，個(gè)人信息處理者應當在緊急情況消除后及時(shí)告知。

第十九條　除法律、行政法規另有規定外，個(gè)人信息的保存期限應當為實(shí)現處理目的所必要的最短時(shí)間。

第二十條　兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的，應當約定各自的權利和義務(wù)。但是，該約定不影響個(gè)人向其中任何一個(gè)個(gè)人信息處理者要求行使本法規定的權利。

個(gè)人信息處理者共同處理個(gè)人信息，侵害個(gè)人信息權益造成損害的，應當依法承擔連帶責任。

第二十一條　個(gè)人信息處理者委托處理個(gè)人信息的，應當與受托人約定委托處理的目的、期限、處理方式、個(gè)人信息的種類(lèi)、保護措施以及雙方的權利和義務(wù)等，并對受托人的個(gè)人信息處理活動(dòng)進(jìn)行監督。

受托人應當按照約定處理個(gè)人信息，不得超出約定的處理目的、處理方式等處理個(gè)人信息；委托合同不生效、無(wú)效、被撤銷(xiāo)或者終止的，受托人應當將個(gè)人信息返還個(gè)人信息處理者或者予以刪除，不得保留。

未經(jīng)個(gè)人信息處理者同意，受托人不得轉委托他人處理個(gè)人信息。

第二十二條　個(gè)人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉移個(gè)人信息的，應當向個(gè)人告知接收方的名稱(chēng)或者姓名和聯(lián)系方式。接收方應當繼續履行個(gè)人信息處理者的義務(wù)。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個(gè)人同意。

第二十三條　個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應當向個(gè)人告知接收方的名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類(lèi)，并取得個(gè)人的單獨同意。接收方應當在上述處理目的、處理方式和個(gè)人信息的種類(lèi)等范圍內處理個(gè)人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個(gè)人同意。

第二十四條　個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應當保證決策的透明度和結果公平、公正，不得對個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷(xiāo)，應當同時(shí)提供不針對其個(gè)人特征的選項，或者向個(gè)人提供便捷的拒絕方式。

通過(guò)自動(dòng)化決策方式作出對個(gè)人權益有重大影響的決定，個(gè)人有權要求個(gè)人信息處理者予以說(shuō)明，并有權拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。

第二十五條　個(gè)人信息處理者不得公開(kāi)其處理的個(gè)人信息，取得個(gè)人單獨同意的除外。

第二十六條　在公共場(chǎng)所安裝圖像采集、個(gè)人身份識別設備，應當為維護公共安全所必需，遵守國家有關(guān)規定，并設置顯著(zhù)的提示標識。所收集的個(gè)人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的；取得個(gè)人單獨同意的除外。

第二十七條　個(gè)人信息處理者可以在合理的范圍內處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息；個(gè)人明確拒絕的除外。個(gè)人信息處理者處理已公開(kāi)的個(gè)人信息，對個(gè)人權益有重大影響的，應當依照本法規定取得個(gè)人同意。

第二節　敏感個(gè)人信息的處理規則

第二十八條　敏感個(gè)人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個(gè)人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶(hù)、行蹤軌跡等信息，以及不滿(mǎn)十四周歲未成年人的個(gè)人信息。

只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。

第二十九條　處理敏感個(gè)人信息應當取得個(gè)人的單獨同意；法律、行政法規規定處理敏感個(gè)人信息應當取得書(shū)面同意的，從其規定。

第三十條　個(gè)人信息處理者處理敏感個(gè)人信息的，除本法第十七條第一款規定的事項外，還應當向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權益的影響；依照本法規定可以不向個(gè)人告知的除外。

第三十一條　個(gè)人信息處理者處理不滿(mǎn)十四周歲未成年人個(gè)人信息的，應當取得未成年人的父母或者其他監護人的同意。

個(gè)人信息處理者處理不滿(mǎn)十四周歲未成年人個(gè)人信息的，應當制定專(zhuān)門(mén)的個(gè)人信息處理規則。

第三十二條　法律、行政法規對處理敏感個(gè)人信息規定應當取得相關(guān)行政許可或者作出其他限制的，從其規定。

第三節　國家機關(guān)處理個(gè)人信息的特別規定

第三十三條　國家機關(guān)處理個(gè)人信息的活動(dòng)，適用本法；本節有特別規定的，適用本節規定。

第三十四條　國家機關(guān)為履行法定職責處理個(gè)人信息，應當依照法律、行政法規規定的權限、程序進(jìn)行，不得超出履行法定職責所必需的范圍和限度。

第三十五條　國家機關(guān)為履行法定職責處理個(gè)人信息，應當依照本法規定履行告知義務(wù)；有本法第十八條第一款規定的情形，或者告知將妨礙國家機關(guān)履行法定職責的除外。

第三十六條　國家機關(guān)處理的個(gè)人信息應當在中華人民共和國境內存儲；確需向境外提供的，應當進(jìn)行安全評估。安全評估可以要求有關(guān)部門(mén)提供支持與協(xié)助。

第三十七條　法律、法規授權的具有管理公共事務(wù)職能的組織為履行法定職責處理個(gè)人信息，適用本法關(guān)于國家機關(guān)處理個(gè)人信息的規定。

第三章　個(gè)人信息跨境提供的規則

第三十八條　個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個(gè)人信息的，應當具備下列條件之一：

（一）依照本法第四十條的規定通過(guò)國家網(wǎng)信部門(mén)組織的安全評估；

（二）按照國家網(wǎng)信部門(mén)的規定經(jīng)專(zhuān)業(yè)機構進(jìn)行個(gè)人信息保護認證；

（三）按照國家網(wǎng)信部門(mén)制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務(wù)；

（四）法律、行政法規或者國家網(wǎng)信部門(mén)規定的其他條件。

中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個(gè)人信息的條件等有規定的，可以按照其規定執行。

個(gè)人信息處理者應當采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達到本法規定的個(gè)人信息保護標準。

第三十九條　個(gè)人信息處理者向中華人民共和國境外提供個(gè)人信息的，應當向個(gè)人告知境外接收方的名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類(lèi)以及個(gè)人向境外接收方行使本法規定權利的方式和程序等事項，并取得個(gè)人的單獨同意。

第四十條　關(guān)鍵信息基礎設施運營(yíng)者和處理個(gè)人信息達到國家網(wǎng)信部門(mén)規定數量的個(gè)人信息處理者，應當將在中華人民共和國境內收集和產(chǎn)生的個(gè)人信息存儲在境內。確需向境外提供的，應當通過(guò)國家網(wǎng)信部門(mén)組織的安全評估；法律、行政法規和國家網(wǎng)信部門(mén)規定可以不進(jìn)行安全評估的，從其規定。

第四十一條　中華人民共和國主管機關(guān)根據有關(guān)法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執法機構關(guān)于提供存儲于境內個(gè)人信息的請求。非經(jīng)中華人民共和國主管機關(guān)批準，個(gè)人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個(gè)人信息。

第四十二條　境外的組織、個(gè)人從事侵害中華人民共和國公民的個(gè)人信息權益，或者危害中華人民共和國國家安全、公共利益的個(gè)人信息處理活動(dòng)的，國家網(wǎng)信部門(mén)可以將其列入限制或者禁止個(gè)人信息提供清單，予以公告，并采取限制或者禁止向其提供個(gè)人信息等措施。

第四十三條　任何國家或者地區在個(gè)人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類(lèi)似措施的，中華人民共和國可以根據實(shí)際情況對該國家或者地區對等采取措施。

第四章　個(gè)人在個(gè)人信息處理活動(dòng)中的權利

第四十四條　個(gè)人對其個(gè)人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個(gè)人信息進(jìn)行處理；法律、行政法規另有規定的除外。

第四十五條　個(gè)人有權向個(gè)人信息處理者查閱、復制其個(gè)人信息；有本法第十八條第一款、第三十五條規定情形的除外。

個(gè)人請求查閱、復制其個(gè)人信息的，個(gè)人信息處理者應當及時(shí)提供。

個(gè)人請求將個(gè)人信息轉移至其指定的個(gè)人信息處理者，符合國家網(wǎng)信部門(mén)規定條件的，個(gè)人信息處理者應當提供轉移的途徑。

第四十六條　個(gè)人發(fā)現其個(gè)人信息不準確或者不完整的，有權請求個(gè)人信息處理者更正、補充。

個(gè)人請求更正、補充其個(gè)人信息的，個(gè)人信息處理者應當對其個(gè)人信息予以核實(shí)，并及時(shí)更正、補充。

第四十七條　有下列情形之一的，個(gè)人信息處理者應當主動(dòng)刪除個(gè)人信息；個(gè)人信息處理者未刪除的，個(gè)人有權請求刪除：

（一）處理目的已實(shí)現、無(wú)法實(shí)現或者為實(shí)現處理目的不再必要；

（二）個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿(mǎn)；

（三）個(gè)人撤回同意；

（四）個(gè)人信息處理者違反法律、行政法規或者違反約定處理個(gè)人信息；

（五）法律、行政法規規定的其他情形。

法律、行政法規規定的保存期限未屆滿(mǎn)，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現的，個(gè)人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。

第四十八條　個(gè)人有權要求個(gè)人信息處理者對其個(gè)人信息處理規則進(jìn)行解釋說(shuō)明。

第四十九條　自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關(guān)個(gè)人信息行使本章規定的查閱、復制、更正、刪除等權利；死者生前另有安排的除外。

第五十條　個(gè)人信息處理者應當建立便捷的個(gè)人行使權利的申請受理和處理機制。拒絕個(gè)人行使權利的請求的，應當說(shuō)明理由。

個(gè)人信息處理者拒絕個(gè)人行使權利的請求的，個(gè)人可以依法向人民法院提起訴訟。

第五章　個(gè)人信息處理者的義務(wù)

第五十一條　個(gè)人信息處理者應當根據個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類(lèi)以及對個(gè)人權益的影響、可能存在的安全風(fēng)險等，采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規的規定，并防止未經(jīng)授權的訪(fǎng)問(wèn)以及個(gè)人信息泄露、篡改、丟失：

（一）制定內部管理制度和操作規程；

（二）對個(gè)人信息實(shí)行分類(lèi)管理；

（三）采取相應的加密、去標識化等安全技術(shù)措施；

（四）合理確定個(gè)人信息處理的操作權限，并定期對從業(yè)人員進(jìn)行安全教育和培訓；

（五）制定并組織實(shí)施個(gè)人信息安全事件應急預案；

（六）法律、行政法規規定的其他措施。

第五十二條　處理個(gè)人信息達到國家網(wǎng)信部門(mén)規定數量的個(gè)人信息處理者應當指定個(gè)人信息保護負責人，負責對個(gè)人信息處理活動(dòng)以及采取的保護措施等進(jìn)行監督。

個(gè)人信息處理者應當公開(kāi)個(gè)人信息保護負責人的聯(lián)系方式，并將個(gè)人信息保護負責人的姓名、聯(lián)系方式等報送履行個(gè)人信息保護職責的部門(mén)。

第五十三條　本法第三條第二款規定的中華人民共和國境外的個(gè)人信息處理者，應當在中華人民共和國境內設立專(zhuān)門(mén)機構或者指定代表，負責處理個(gè)人信息保護相關(guān)事務(wù)，并將有關(guān)機構的名稱(chēng)或者代表的姓名、聯(lián)系方式等報送履行個(gè)人信息保護職責的部門(mén)。

第五十四條　個(gè)人信息處理者應當定期對其處理個(gè)人信息遵守法律、行政法規的情況進(jìn)行合規審計。

第五十五條　有下列情形之一的，個(gè)人信息處理者應當事前進(jìn)行個(gè)人信息保護影響評估，并對處理情況進(jìn)行記錄：

（一）處理敏感個(gè)人信息；

（二）利用個(gè)人信息進(jìn)行自動(dòng)化決策；

（三）委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開(kāi)個(gè)人信息；

（四）向境外提供個(gè)人信息；

（五）其他對個(gè)人權益有重大影響的個(gè)人信息處理活動(dòng)。