中华人民共和国个人信息保护法

第一章 总则

第一条

为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。

第二条

自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。

第三条

在中华人民共和国境内处理自然人个人信息的活动，适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：
（一）以向境内自然人提供产品或者服务为目的；
（二）分析、评估境内自然人的行为；
（三）法律、行政法规规定的其他情形。

第四条

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

第五条

处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

第六条

处理个人信息应当具有明确、合理的目的，应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围。

第七条

处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式、范围。

第八条

处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

第九条

个人信息处理者应当对其个人信息处理活动负责，采取必要措施保障所处理的个人信息安全。

第二章 个人信息处理规则

第一节 一般规定

第十条

任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

第十一条

国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

第十二条

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

第十三条

符合下列情形之一的，个人信息处理者方可处理个人信息：
（一）取得个人的同意；
（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；
（三）为履行法定职责或者法定义务所必需；
（四）为应对突发公共卫生事件或者紧急情况下为保护自然人的生命健康和财产安全所必需；
（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；
（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；
（七）法律、行政法规规定的其他情形。

第十四条

基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

第十五条

基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第十六条

个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

第十七条

个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地告知下列事项：
（一）个人信息处理者的名称或者姓名和联系方式；
（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；
（三）个人行使本法规定权利的方式和程序；
（四）法律、行政法规规定应当告知的其他事项。

第十八条

个人信息处理者处理个人信息，应当在实现处理目的的前提下，采取对个人权益影响最小的方式，不得过度收集个人信息。

第十九条

除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

第二十条

两个以上的个人信息处理者共同处理个人信息，应当约定各自的权利和义务。个人信息权益受到侵害，共同处理者应当承担连带责任。

第二节 敏感个人信息的处理规则

第二十一条

敏感个人信息是一旦泄露或者非法使用，容易导致自然人人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

第二十二条

敏感个人信息的处理应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

第二十三条

个人信息处理者处理敏感个人信息的，应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

第三章 个人信息跨境提供的规则

第二十四条

个人信息处理者向境外提供个人信息，应当具备下列条件之一：
（一）通过国家网信部门组织的安全评估；
（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；
（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；
（四）法律、行政法规或者国家网信部门规定的其他条件。

第二十五条

个人信息处理者向境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

第二十六条

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

第四章 个人在个人信息处理活动中的权利

第二十七条

个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。

第二十八条

个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第二十条规定情形的除外。

第二十九条

个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。

第三十条

有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：
（一）处理目的已实现、无法实现或者为实现处理目的不再必要；
（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；
（三）个人撤回同意；
（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；
（五）法律、行政法规规定的其他情形。

第五章 个人信息处理者的义务

第三十一条

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：
（一）制定内部管理制度和操作规程；
（二）对个人信息实行分类管理；
（三）采取相应的加密、去标识化等安全技术措施；
（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；
（五）制定并组织实施个人信息安全事件应急预案；
（六）法律、行政法规规定的其他措施。

第三十二条

处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

第三十三条

个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第三十四条

个人信息处理者发现个人信息泄露的，应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

第六章 履行个人信息保护职责的部门

第三十五条

国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。

第三十六条

履行个人信息保护职责的部门履行下列个人信息保护职责：
（一）开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；
（二）接受、处理与个人信息保护有关的投诉、举报；
（三）组织对应用程序等个人信息保护情况进行测评，并公布测评结果；
（四）调查、处理违法个人信息处理活动；
（五）法律、行政法规规定的其他职责。

第七章 法律责任

第三十七条

违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第三十八条

违反本法规定处理个人信息，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

第三十九条

违反本法规定，侵害个人信息权益造成损害的，应当承担损害赔偿等侵权责任。

第八章 附则

第四十条

本法自2021年11月1日起施行。