您的当前位置: 主页 > 阿米巴 >

阿米巴

中华国民共跟国个人信息维护法

时间:2021-08-21

  (授权宣布)中华人民共和国个人信息保护法

  新华社北京8月20日电

中华人民共和国个人信息保护法

(2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过)

  目录

  第一章 总则

  第二章 个人信息处理规则

  第一节 个别规定

  第二节 敏感个人信息的处理规则

  第三节 国家机关处理个人信息的特殊规定

  第三章 个人信息跨境提供的规则

  第四章 个人在个人信息处理活动中的权利

  第五章 个人信息处理者的义务

  第六章 履行个人信息保护职责的部门

  第七章 法律义务

  第八章 附则

  第一章 总则

  第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理应用,根据宪法,制定本法。

  第二条 天然人的个人信息受法律保护,任何组织、个人不得损害做作人的个人信息权利。

  第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。

  在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

  (一)以向境内自然人提供产品或者服务为目的;

  (二)剖析、评估境内天然人的行动;

  (三)法律、行政法规规定的其他情况。

  第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

  个人信息的处理包含个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

  第五条 处理个人信息应当遵守正当、合法、必要和诚信准则,不得通过误导、讹诈、胁迫等方式处理个人信息。

  第六条 处理个人信息应当存在明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。

  收集个人信息,应当限于实现处理目的的最小范围,不得适度收集个人信息。

  第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,昭示处理的目的、方式和范围。

  第八条 处理个人信息应当保障个人信息的品质,防止因个人信息不精确、不完整对个人权益造成不利影响。

  第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

  第十条 任何组织、个人不得非法收集、应用、加工、传输他人个人信息,不得非法交易、提供或者公开别人个人信息;不得从事伤害国家安全、公共利益的个人信息处理活动。

  第十一条 国家建立健全个人信息保护制度,防备和惩办侵害个人信息权益的行为,增强个人信息保护宣扬教育,推动构成政府、企业、相关社会组织、大众共同介入个人信息保护的良好环境。

  第十二条 国家踊跃参加个人信息保护国际规则的制订,增进个人信息保护方面的国际交换与配合,推进与其余国家、地域、国际组织之间的个人信息保护规矩、尺度等互认。

  第二章 个人信息处理规则

  第一节 普通规定

  第十三条 吻合下列情形之一的,个人信息处理者方可处理个人信息:

  (一)取得个人的同意;

  (二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签署的群体合同实施人力资源管理所必需;

  (三)为履行法定职责或者法定义务所必需;

  (四)为应答突发公共卫惹事件,或者紧急情况下为保护自然人的生命健康和财产平安所必须;

  (五)为公共利益实施消息报道、舆论监督等行为,在合理的范围内处理个人信息;

  (六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

  (七)法律、行政法规规定的其他情形。

  依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。

  第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的条件下被迫、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

  个人信息的处理目的、处理方式和处理的个人信息品种产生变革的,应当从新取得个人同意。

  第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

  个人撤回赞成,不影响撤回前基于个人批准已进行的个人信息处理运动的效率。

  第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

  第十七条 个人信息处理者在处理个人信息前,应当以明显方式、清楚易懂的语言实在、准确、完整地向个人告知下列事项:

  (一)个人信息处理者的名称或者姓名和接洽方式;

  (二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

  (三)个人行使本法规定权力的方法和程序;

  (四)法律、行政法规规定应当告知的其他事项。

  前款规定事项发生变更的,应当将变更局部告知个人。

  个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公然,并且便于查阅和保存。

  第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。

  紧迫情况下为保护自然人的性命健康和财产保险无奈及时向个人告诉的,个人信息处理者应当在紧急情形打消后及时告知。

  第十九条 除法律、行政法规另有划定外,个人信息的保留期限应该为实现处置目标所必要的最短时光。

  第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。然而,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

  个人信息处理者独特处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。

  第二十一条 个人信息处理者委托处理个人信息的,应当与受托人商定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和责任等,并对受托人的个人信息处理活动进行监督。

  受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保存。

  未经个人信息处理者同意,受托人不得转委托他人处理个人信息。

  第二十二条 个人信息处理者因合并、分立、遣散、被宣布破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当持续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

  第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的独自同意。吸收方应当在上述处理目的、处理方式和个人信息的种类等规模内处理个人信息。接受方变更本来的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

  第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价钱等交易条件上实施分歧理的差异待遇。

  通过自动化决策方式向个人进行信息推送、贸易营销,应当同时提供不针对其个人特点的选项,或者向个人提供便捷的拒绝方式。

  通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

  第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。

  第二十六条 在公共场合装置图像采集、个人身份识别设备,应当为保护公共安全所必需,遵照国家有关规定,并设置显著的提醒标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

  第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。

  第二节 敏感个人信息的处理规则

  第二十八条 敏感个人信息是一旦泄露或者非法使用,轻易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信奉、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四处岁未成年人的个人信息。

  只有在具备特定的目的和充足的必要性,并采取严厉保护措施的情形下,个人信息处理者方可处理敏感个人信息。

  第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

  第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。

  第三十一条 个人信息处理者处理不满十附近岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。

  个人信息处理者处理不满十周围岁未成年人个人信息的,应当制定专门的个人信息处理规则。

  第三十二条 法律、行政法规对处理敏感个人信息规定应当获得相关行政许可或者作出其他限制的,从其规定。

  第三节 国家机关处理个人信息的特别规定

  第三十三条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。

  第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超越履行法定职责所必需的范围和限度。

  第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知任务;有本法第十八条第一款规定的情形,或者告知将妨害国家机关履行法定职责的除外。

  第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以请求有关部门提供支持与帮助。

  第三十七条 法律、法规受权的拥有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法对于国家机关处理个人信息的规定。

  第三章 个人信息跨境提供的规则

  第三十八条 个人信息处理者因业务等须要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

  (一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

  (二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

  (三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

  (四)法律、行政法规或者国家网信部门规定的其他条件。

  中华人民共和国缔结或者加入的国际公约、协议对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定履行。

  个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

  第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

  第四十条 要害信息基本设施经营者和处理个人信息到达国家网信部门规定数目的个人信息处理者,应当将在中华人民共和国境内收集和发生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

  第四十一条 中华人民共和国主管机关根占有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照同等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向本国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

  第四十二条 境外的组织、个人从事侵害中华人民共和国国民的个人信息权益,或者迫害中华国民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入制约或者禁止个人信息提供清单,予以布告,并采用限度或者禁止向其提供个人信息等办法。

  第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取轻视性的禁止、限制或者其他相似措施的,中华人民共和国可以根据实际情况对该国家或者地区平等采取措施。

  第四章 个人在个人信息处理活动中的权利

  第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

  第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。

  个人恳求查阅、复制其个人信息的,个人信息处理者应当及时供给。

  个人请求将个人信息转移至其指定的个人信息处理者,合乎国家网信部门规定前提的,个人信息处理者应当提供转移的道路。

  第四十六条 个人发明其个人信息不正确或者不完全的,有权请求个人信息处理者更正、弥补。

  个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。

  第四十七条 有下列情形之一的,个人信息处理者应当自动删除个人信息;个人信息处理者未删除的,个人有权请求删除:

  (一)处理目的已实现、无法实现或者为实现处理目的不再必要;

  (二)个人信息处理者停滞提供产品或者服务,或者保存期限已届满;

  (三)个人撤回同意;

  (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

  (五)法律、行政法规规定的其他情形。

  法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

  第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行说明解释。

  第四十九条 自然人死亡的,其近支属为了本身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;逝世者生前另有部署的除外。

  第五十条 个人信息处理者应当树立便捷的个人行使权利的申请受理和处理机制。谢绝个人行使权利的要求的,应当阐明理由。

  个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。

  第五章 个人信息处理者的义务

  第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动契合法律、行政法规的规定,并避免未经授权的拜访以及个人信息泄露、篡改、丢失:

  (一)制定内部管理制度和操作规程;

  (二)对个人信息履行分类管理;

  (三)采取相应的加密、去标识化等安全技巧措施;

  (四)公道确定个人信息处理的操作权限,并定期对从业人员进行安全教导和培训;

  (五)制定并组织实施个人信息安全事件应急预案;

  (六)法律、行政法规规定的其他措施。

  第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

  个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

  第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

  第五十四条 个人信息处理者应当定期对其处理个人信息遵遵法律、行政法规的情况进行合规审计。

  第五十五条 有下列情形之一的,个人信息处理者应当事先进行个人信息保护影响评估,并对处理情况进行记载:

  (一)处理敏感个人信息;

  (二)利用个人信息进行自动化决策;

  (三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

  (四)向境外提供个人信息;

  (五)其他对个人权益有重大影响的个人信息处理活动。

  第五十六条 个人信息保护影响评估应当包括下列内容:

  (一)个人信息的处理目的、处理方式等是否合法、正当、必要;

  (二)对个人权益的影响及安全风险;

  (三)所采取的保护措施是否合法、有效并与危险水平相适应。

  个人信息保护影响评估讲演和处理情况记载应当至少保存三年。

  第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当即时采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:

  (一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、起因和可能造成的危害;

  (二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;

  (三)个人信息处理者的联系方式。

  个人信息处理者采取措施可能有效避免信息泄漏、改动、丧失造成危害的,个人信息处理者可以不告诉个人;履行个人信息保护职责的部门以为可能造成危害的,有权要求个人信息处理者通知个人。

  第五十八条 提供主要互联网平台服务、用户数量宏大、业务类型庞杂的个人信息处理者,应当履行下列义务:

  (一)按照国家规定建破健全个人信息保护合规轨制体制,成立重要由外部成员组成的独立机构对个人信息保护情况进行监督;

  (二)遵循公开、公正、公平的原则,制定平台规则,明白平台内产品或者服务提供者处理个人信息的标准和保护个人信息的义务;

  (三)对严峻违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,结束提供服务;

  (四)定期发布个人信息保护社会责任呈文,接收社会监督。

  第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。

  第六章 履行个人信息保护职责的部门

  第六十条 国度网信部分负责兼顾和谐个人信息掩护工作和相干监视治理工作。国务院有关部门按照本法和有关法律、行政法规的规定,在各自职责范畴内负责个人信息维护跟监督管理工作。

  县级以上处所人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

  前两款规定的部门统称为履行个人信息保护职责的部门。

  第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责:

  (一)开展个人信息保护宣传教育,领导、监督个人信息处理者开展个人信息保护工作;

  (二)接受、处理与个人信息保护有关的投诉、举报;

  (三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;

  (四)考察、处理违法个人信息处理活动;

  (五)法律、行政法规规定的其他职责。

  第六十二条 国家网信部门统筹调和有关部门根据本法推进下列个人信息保护工作:

  (一)制定个人信息保护详细规则、标准;

  (二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新利用,制定专门的个人信息保护规则、标准;

  (三)支持研讨开发和推广应用安全、便利的电子身份认证技术,推进网络身份认证公共服务建设;

  (四)推动个人信息保护社会化服务系统建设,支撑有关机构发展个人信息保护评估、认证服务;

  (五)完美个人信息保护投诉、举报工作机制。

  第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:

  (一)讯问有关当事人,调查与个人信息处理活动有关的情况;

  (二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关材料;

  (三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;

  (四)检讨与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的装备、物品,向本部门主要负责人书面报告并经同意,可以查封或者拘留收禁。

  履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻拦。

  第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,排除隐患。

  履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。

  第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理成果告知投诉、举报人。

  履行个人信息保护职责的部门应当颁布接受投诉、举报的联系方式。

  第七章 法律责任

  第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予忠告,没收违法所得,对违法处理个人信息的运用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

  有前款规定的违法行为,情节重大的,由省级以上实行个人信息保护职责的部门责令矫正,没收守法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整理、通报有关主管部门吊销相关业务允许或者撤消营业执照;对直接负责的主管人员和其他直接责任职员处十万元以上一百万元以下罚款,并能够决议制止其在一按期限内担负相关企业的董事、监事、高等管理人员和个人信息保护负责人。

  第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信誉档案,并予以公示。

  第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令纠正;对直接负责的主管人员和其他直接责任人员依法给予处分。

  履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇情枉法,尚不形成犯法的,依法给予处罚。

  第六十九条 处理个人信息侵害个人信息权益造成伤害,个人信息处理者不能证实本人不错误的,应当承当损害赔偿等侵权责任。

  前款规定的侵害抵偿责任依照个人因此受到的损失或者个人信息处理者因此失掉的好处肯定;个人因此受到的丧失和个人信息处理者因而取得的利益难以断定的,依据实际情况确定赔偿数额。

  第七十条 个人信息处理者违背本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的花费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

  第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处分;构成犯罪的,依法查究刑事责任。

  第八章 附则

  第七十二条 自然人因个人或者家庭事务处理个人信息的,不实用本法。

  法律对各级人民政府及其有关部门组织实行的统计、档案管理活动中的个人信息处理有规定的,适用其规定。

  第七十三条 本法下列用语的含意:

  (一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

  (二)自动化决议,是指通过盘算机程序主动分析、评估个人的行为习惯、兴致喜好或者经济、健康、信用状态等,并进行决策的活动。

  (三)去标识化,是指个人信息经由处理,使其在不借助额定信息的情况下无法辨认特定自然人的进程。

  (四)匿名化,是指个人信息经过处理无法识别特定自然人且不能还原的过程。

  第七十四条 本法自2021年11月1日起实施。 【编纂:田博群】



友情链接:

伙伴云提供比云表格/在线Excel更灵活的权限管理和数据协作功能,搭配自动化工作流与大数据分析引擎,快速构建各类企业管理应用与绩效数据仪表盘.自己动手,5分钟配置一个业务场景,还能与微信完整打通,实现客户转化数据统一管理,持续提升经营业绩.