全文|《中华公民共和国小我信息保护法》_小我信息_目标

文章目录 [+]

中华公民共和国个人信息保护法

（2021年8月20日第十三届全国公民代表大会常务委员会第三十次会议通过）

全文|《中华公民共和国小我信息保护法》_小我信息_目标互联网

目　　录

第一章　总　　则

第二章　个人信息处理规则

第一节　一样平常规定

第二节　敏感个人信息的处理规则

第三节　国家机关处理个人信息的特殊规定

第三章　个人信息跨境供应的规则

第四章　个人在个人信息处理活动中的权利

第五章　个人信息处理者的责任

第六章　履行个人信息保护职责的部门

第七章　法律任务

第八章　附　　则

第一章　总　　则

第一条　为了保护个人信息权柄，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制订本法。

第二条　自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权柄。

第三条　在中华公民共和国境内处理自然人个人信息的活动，适用本法。

在中华公民共和国境外处理中华公民共和国境内自然人个人信息的活动，有下列环境之一的，也适用本法：

（一）以向境内自然人供应产品或者做事为目的；

（二）剖析、评估境内自然人的行为；

（三）法律、行政法规规定的其他环境。

第四条　个人信息因此电子或者其他办法记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息的处理包括个人信息的网络、存储、利用、加工、传输、供应、公开、删除等。

第五条　处理个人信息应该遵照合法、正当、必要和诚信原则，不得通过误导、敲诈、胁迫等办法处理个人信息。

第六条　处理个人信息应该具有明确、合理的目的，并应该与处理目的直接干系，采纳对个人权柄影响最小的办法。

网络个人信息，应该限于实现处理目的的最小范围，不得过度网络个人信息。

第七条　处理个人信息应该遵照公开、透明原则，公开个人信息处理规则，昭示处理的目的、办法和范围。

第八条　处理个人信息应该担保个人信息的质量，避免因个人信息不准确、不完全对个人权柄造成不利影响。

第九条　个人信息处理者应该对其个人信息处理活动卖力，并采纳必要方法保障所处理的个人信息的安全。

第十条　任何组织、个人不得造孽网络、利用、加工、传输他人个人信息，不得造孽买卖、供应或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

第十一条　国家建立健全个人信息保护制度，预防和惩处侵害个人信息权柄的行为，加强个人信息保护宣扬教诲，推动形成政府、企业、干系社会组织、"大众年夜众共同参与个人信息保护的良好环境。

第十二条　国家积极参与个人信息保护国际规则的制订，促进个人信息保护方面的国际互换与互助，推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。

第二章　个人信息处理规则

第一节　一样平常规定

第十三条　符合下列环境之一的，个人信息处理者方可处理个人信息：

（一）取得个人的赞许；

（二）为订立、履行个人作为一方当事人的条约所必需，或者按照依法制订的劳动规章制度和依法签订的集体条约履行人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情形下为保护自然人的生命康健和财产安全所必需；

（五）为公共利益履行新闻宣布、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他环境。

依照本法其他有关规定，处理个人信息应该取得个人赞许，但是有前款第二项至第七项规定环境的，不需取得个人赞许。

第十四条　基于个人赞许处理个人信息的，该赞许应该由个人在充分知情的条件下志愿、明确作出。
法律、行政法规规定处理个人信息应该取得个人单独赞许或者书面赞许的，从其规定。

个人信息的处理目的、处理办法和处理的个人信息种类发生变更的，应该重新取得个人赞许。

第十五条　基于个人赞许处理个人信息的，个人有权撤回其赞许。
个人信息处理者应该供应便捷的撤回赞许的办法。

个人撤回赞许，不影响撤回前基于个人赞许已进行的个人信息处理活动的效力。

第十六条　个人信息处理者不得以个人不同意处理其个人信息或者撤回赞许为由，谢绝供应产品或者做事；处理个人信息属于供应产品或者做事所必需的除外。

第十七条　个人信息处理者在处理个人信息前，应该以显著办法、清晰易懂的措辞真实、准确、完全地向个人奉告下列事变：

（一）个人信息处理者的名称或者姓名和联系办法；

（二）个人信息的处理目的、处理办法，处理的个人信息种类、保存期

（三）个人行使本法规定权利的办法和程序；

（四）法律、行政法规规定应该奉告的其他事变。

前款规定事变发生变更的，应该将变更部分奉告个人。

个人信息处理者通过制订个人信息处理规则的办法奉告第一款规定事变的，处理规则应该公开，并且便于查阅和保存。

第十八条　个人信息处理者处理个人信息，有法律、行政法规规定应该保密或者不须要奉告的环境的，可以不向个人奉告前条第一款规定的事变。

紧急情形下为保护自然人的生命康健和财产安全无法及时向个人奉告的，个人信息处理者应该在紧急情形肃清后及时奉告。

第十九条　除法律、行政法规另有规定外，个人信息的保存期限应该为实现处理目的所必要的最短韶光。

第二十条　两个以上的个人信息处理者共同决定个人信息的处理目的和处理办法的，应该约定各自的权利和责任。
但是，该约定不影响个人向个中任何一个个人信息处理者哀求行使本法规定的权利。

个人信息处理者共同处理个人信息，侵害个人信息权柄造成危害的，应该依法承担连带任务。

第二十一条　个人信息处理者委托处理个人信息的，应该与受托人约定委托处理的目的、期限、处理办法、个人信息的种类、保护方法以及双方的权利和责任等，并对受托人的个人信息处理活动进行监督。

受托人应该按照约定处理个人信息，不得超出约定的处理目的、处理办法等处理个人信息；委托条约不生效、无效、被撤销或者终止的，受托人应该将个人信息返还个人信息处理者或者予以删除，不得保留。

未经个人信息处理者赞许，受托人不得转委托他人处理个人信息。

第二十二条　个人信息处理者因合并、分立、终结、被发布破产等缘故原由须要转移个人信息的，应该向个人奉告吸收方的名称或者姓名和联系办法。
吸收方应该连续履行个人信息处理者的责任。
吸收方变更原来的处理目的、处理办法的，应该依照本法规定重新取得个人赞许。

第二十三条　个人信息处理者向其他个人信息处理者供应其处理的个人信息的，应该向个人奉告吸收方的名称或者姓名、联系办法、处理目的、处理办法和个人信息的种类，并取得个人的单独赞许。
吸收方应该在上述处理目的、处理办法和个人信息的种类等范围内处理个人信息。
吸收方变更原来的处理目的、处理办法的，应该依照本法规定重新取得个人赞许。

第二十四条　个人信息处理者利用个人信息进行自动化决策，应该担保决策的透明度和结果公正、公道，不得对个人在交易价格等交易条件上实施不合理的差别报酬。

通过自动化决策办法向个人进行信息推送、商业营销，应该同时供应不针对其个人特色的选项，或者向个人供应便捷的谢绝办法。

通过自动化决策办法作出对个人权柄有重大影响的决定，个人有权要求个人信息处理者予以解释，并有权谢绝个人信息处理者仅通过自动化决策的办法作出决定。

第二十五条　个人信息处理者不得公开其处理的个人信息，取得个人单独赞许的除外。

第二十六条　在公共场所安装图像采集、个人身份识别设备，应该为掩护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。
所网络的个人图像、身份识别信息只能用于掩护公共安全的目的，不得用于其他目的；取得个人单独赞许的除外。

第二十七条　个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确谢绝的除外。
个人信息处理者处理已公开的个人信息，对个人权柄有重大影响的，应该依照本法规定取得个人赞许。

第二节敏感个人信息的处理规则

第二十八条　敏感个人信息是一旦透露或者造孽利用，随意马虎导致自然人的人格肃静受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教崇奉、特定身份、医疗康健、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采纳严格保护方法的环境下，个人信息处理者方可处理敏感个人信息。

第二十九条　处理敏感个人信息应该取得个人的单独赞许；法律、行政法规规定处理敏感个人信息应该取得书面赞许的，从其规定。

第三十条　个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事变外，还应该向个人奉告处理敏感个人信息的必要性以及对个人权柄的影响；依照本法规定可以不向个人奉告的除外。

第三十一条　个人信息处理者处理不满十四周岁未成年人个人信息的，应该取得未成年人的父母或者其他监护人的赞许。

个人信息处理者处理不满十四周岁未成年人个人信息的，应该制订专门的个人信息处理规则。

第三十二条　法律、行政法规对处理敏感个人信息规定应该取得干系行政容许或者作出其他限定的，从其规定。

第三节　国家机关处理个人信息的特殊规定

第三十三条　国家机关处理个人信息的活动，适用本法；本节有特殊规定的，适用本节规定。

第三十四条　国家机关为履行法定职责处理个人信息，应该依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。

第三十五条　国家机关为履行法定职责处理个人信息，应该依照本法规定履行奉告责任；有本法第十八条第一款规定的环境，或者奉告将妨碍国家机关履行法定职责的除外。

第三十六条　国家机关处理的个人信息应该在中华公民共和国境内存储；确需向境外供应的，应该进行安全评估。
安全评估可以哀求有关部门供应支持与帮忙。

第三十七条　法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息，适用本法关于国家机关处理个人信息的规定。

第三章　个人信息跨境供应的规则

第三十八条　个人信息处理者因业务等须要，确需向中华公民共和国境外供应个人信息的，应该具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制订的标准条约与境外吸收方订立条约，约定双方的权利和责任；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华公民共和国缔结或者参加的国际条约、协定对向中华公民共和国境外供应个人信息的条件等有规定的，可以按照其规定实行。

个人信息处理者应该采纳必要方法，保障境外吸收方处理个人信息的活动达到本法规定的个人信息保护标准。

第三十九条　个人信息处理者向中华公民共和国境外供应个人信息的，应该向个人奉告境外吸收方的名称或者姓名、联系办法、处理目的、处理办法、个人信息的种类以及个人向境外吸收方行使本法规定权利的办法和程序等事变，并取得个人的单独赞许。

第四十条　关键信息根本举动步伐运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应该将在中华公民共和国境内网络和产生的个人信息存储在境内。
确需向境外供应的，应该通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

第四十一条　中华公民共和国主管机关根据有关法律和中华公民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国法律或者司法机构关于供应存储于境内个人信息的要求。
非经中华公民共和国主管机关批准，个人信息处理者不得向外国法律或者司法机构供应存储于中华公民共和国境内的个人信息。

第四十二条　境外的组织、个人从事侵害中华公民共和国公民的个人信息权柄，或者危害中华公民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限定或者禁止个人信息供应清单，予以公告，并采纳限定或者禁止向其供应个人信息等方法。

第四十三条　任何国家或者地区在个人信息保护方面对中华公民共和国采纳歧视性的禁止、限定或者其他类似方法的，中华公民共和国可以根据实际情形对该国家或者地区对等采纳方法。

第四章　个人在个人信息处理活动中的权利

第四十四条　个人对其个人信息的处理享有知情权、决定权，有权限定或者谢绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。

第四十五条　个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定环境的除外。

个人要求查阅、复制其个人信息的，个人信息处理者应该及时供应。

个人要求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应该供应转移的路子。

第四十六条　个人创造其个人信息不准确或者不完全的，有官僚求个人信息处理者更正、补充。

个人要求更正、补充其个人信息的，个人信息处理者应该对其个人信息予以核实，并及时更正、补充。

第四十七条　有下列环境之一的，个人信息处理者应该主动删除个人信息；个人信息处理者未删除的，个人有官僚求删除：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者停滞供应产品或者做事，或者保存期限已届满；

（三）个人撤回赞许；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他环境。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技能上难以实现的，个人信息处理者应该停滞除存储和采纳必要的安全保护方法之外的处理。

第四十八条　个人有权要求个人信息处理者对其个人信息处理规则进行阐明解释。

第四十九条　自然人去世亡的，其近支属为了自身的合法、正当利益，可以对去世者的干系个人信息行使本章规定的查阅、复制、更正、删除等权利；去世者生前另有安排的除外。

第五十条　个人信息处理者应该建立便捷的个人行使权利的申请受理和处理机制。
谢绝个人行使权利的要求的，应该解释情由。

个人信息处理者谢绝个人行使权利的要求的，个人可以依法向公民法院提起诉讼。

第五章　个人信息处理者的责任

第五十一条　个人信息处理者应该根据个人信息的处理目的、处理办法、个人信息的种类以及对个人权柄的影响、可能存在的安全风险等，采纳下列方法确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息透露、修改、丢失：

（一）制订内部管理制度和操作规程；

（二）对个人信息实施分类管理；

（三）采纳相应的加密、去标识化等安全技能方法；

（四）合理确定个人信息处理的操作权限，并定期对从业职员进行安全教诲和培训；

（五）制订并组织履行个人信息安全事宜应急预案；

（六）法律、行政法规规定的其他方法。

第五十二条　处理个人信息达到国家网信部门规定数量的个人信息处理者应该指定个人信息保护卖力人，卖力对个人信息处理活动以及采纳的保护方法等进行监督。

个人信息处理者应该公开个人信息保护卖力人的联系办法，并将个人信息保护卖力人的姓名、联系办法等报送履行个人信息保护职责的部门。

第五十三条　本法第三条第二款规定的中华公民共和国境外的个人信息处理者，应该在中华公民共和国境内设立专门机构或者指定代表，卖力处理个人信息保护干系事务，并将有关机构的名称或者代表的姓名、联系办法等报送履行个人信息保护职责的部门。

第五十四条　个人信息处理者应该定期对其处理个人信息遵守法律、行政法规的情形进行合规审计。

第五十五条　有下列环境之一的，个人信息处理者应该事提高行个人信息保护影响评估，并对处理情形进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者供应个人信息、公开个人信息；

（四）向境外供应个人信息；

（五）其他对个人权柄有重大影响的个人信息处理活动。

第五十六条　个人信息保护影响评估应该包括下列内容：

（一）个人信息的处理目的、处理办法等是否合法、正当、必要；

（二）对个人权柄的影响及安全风险；

（三）所采纳的保护方法是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情形记录应该至少保存三年。

第五十七条　发生或者可能发生个人信息透露、修改、丢失的，个人信息处理者应该立即采纳补救方法，并关照履行个人信息保护职责的部门和个人。
关照应该包括下列事变：

（一）发生或者可能发生个人信息透露、修改、丢失的信息种类、缘故原由和可能造成的危害；

（二）个人信息处理者采纳的补救方法和个人可以采纳的减轻危害的方法；

（三）个人信息处理者的联系办法。

个人信息处理者采纳方法能够有效避免信息透露、修改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者关照个人。

第五十八条　供应主要互联网平台做事、用户数量巨大、业务类型繁芜的个人信息处理者，应该履行下列责任：

（一）按照国家规定建立健全个人信息保护合规制度体系，成立紧张由外部成员组成的独立机构对个人信息保护情形进行监督；

（二）遵照公开、公正、公道的原则，制订平台规则，明确平台内产品或者做事供应者处理个人信息的规范和保护个人信息的责任；

（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者做事供应者，停滞供应做事；

（四）定期发布个人信息保护社会任务报告，接管社会监督。

第五十九条　接管委托处理个人信息的受托人，应该依照本法和有关法律、行政法规的规定，采纳必要方法保障所处理的个人信息的安全，并帮忙个人信息处理者履行本法规定的责任。

第六章　履行个人信息保护职责的部门

第六十条　国家网信部门卖力统筹折衷个人信息保护事情和干系监督管理事情。
国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内卖力个人信息保护和监督管理事情。

县级以上地方公民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

第六十一条　履行个人信息保护职责的部门履行下列个人信息保护职责：

（一）开展个人信息保护宣扬教诲，辅导、监督个人信息处理者开展个人信息保护事情；

（二）接管、处理与个人信息保护有关的投诉、举报；

（三）组织对运用程序等个人信息保护情形进行测评，并公布测评结果；

（四）调查、处理违法个人信息处理活动；

（五）法律、行政法规规定的其他职责。

第六十二条　国家网信部门统筹折衷有关部门依据本法推进下列个人信息保护事情：

（一）制订个人信息保护详细规则、标准；

（二）针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技能、新运用，制订专门的个人信息保护规则、标准；

（三）支持研究开拓和推广运用安全、方便的电子身份认证技能，推进网络身份认证公共做事培植；

（四）推进个人信息保护社会化做事体系培植，支持有关机构开展个人信息保护评估、认证做事；

（五）完善个人信息保护投诉、举报事情机制。

第六十三条　履行个人信息保护职责的部门履行个人信息保护职责，可以采纳下列方法：

（一）讯问有关当事人，调查与个人信息处理活动有关的情形;

（二）查阅、复制当事人与个人信息处理活动有关的条约、记录、账簿以及其他有关

（三）履行现场检讨，对涉嫌违法的个人信息处理活动进行调查;

（四）检讨与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品，向本部门紧张卖力人书面报告并经批准，可以查封或者扣押。

履行个人信息保护职责的部门依法履行职责，当事人应该予以帮忙、合营，不得谢绝、阻挡。

第六十四条　履行个人信息保护职责的部门在履行职责中，创造个人信息处理活动存在较大风险或者发生个人信息安全事宜的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者紧张卖力人进行约谈，或者哀求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
个人信息处理者应该按照哀求采纳方法，进行整改，肃清隐患。

履行个人信息保护职责的部门在履行职责中，创造违法处理个人信息涉嫌犯罪的，应该及时移送公安机关依法处理。

第六十五条　任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。
收到投诉、举报的部门应该依法及时处理，并将处理结果奉告投诉、举报人。

履行个人信息保护职责的部门应该公布接管投诉、举报的联系办法。

第七章　法律任务

第六十六条　违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护责任的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的运用程序，责令停息或者终止供应做事；拒不改正的，并处一百万元以下罚款；对直接卖力的主管职员和其他直接任务职员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度业务额百分之五以下罚款，并可以责令停息干系业务或者停业整顿、通报有关主管部门吊销干系业务容许或者吊销业务执照；对直接卖力的主管职员和其他直接任务职员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担当干系企业的董事、监事、高等管理职员和个人信息保护卖力人。

第六十七条　有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

第六十八条　国家机关不履行本法规定的个人信息保护责任的，由其上级机关或者履行个人信息保护职责的部门责令改正；对直接卖力的主管职员和其他直接任务职员依法给予处罚。

履行个人信息保护职责的部门的事情职员玩忽职守、滥用权益、徇私舞弊，尚不构成犯罪的，依法给予处罚。

第六十九条　处理个人信息侵害个人信息权柄造成危害，个人信息处理者不能证明自己没有差错的，应该承担危害赔偿等侵权任务。

前款规定的危害赔偿任务按照个人因此受到的丢失或者个人信息处理者因此得到的利益确定;个人因此受到的丢失和个人信息处理者因此得到的利益难以确定的，根据实际情形确定赔偿数额。

第七十条　个人信息处理者违反本法规定处理个人信息，侵害浩瀚个人的权柄的，公民审查院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向公民法院提起诉讼。

第七十一条　违反本法规定，构成违反治安管理行为的，依法给予治安管理惩罚；构成犯罪的，依法深究刑事任务。

第八章　附　　则

第七十二条　自然人因个人或者家庭事务处理个人信息的，不适用本法。

法律对各级公民政府及其有关部门组织履行的统计、档案管理活动中的个人信息处理有规定的，适用其规定。

第七十三条　本法下列用语的含义：

（一）个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理办法的组织、个人。