中华人民共和国个人信息维护法

（2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过）

目 录

第一章 总 则

第二章 个人信息处理规矩

第一节 一般规矩

第二节 灵敏个人信息的处理规矩

第三节 国家机关处理个人信息的特别规矩

第三章 个人信息跨境供给的规矩

第四章 个人在个人信息处理活动中的权力

第五章 个人信息处理者的职责

第六章 实施个人信息维护职责的部分云盘精灵

第七章 法令职责

第八章 附 则

第一章 总 则

第一条 为了维护个人信息权益，规范个人信息处理活动，促进个人信息合理运用，依据宪法，拟定本法。

第二条 自然人的个人信息受法令维护，任何安排、个人不得危害自然人的个人信息权益。

第三条 在中华人民共和国境内处理自然人个人信息的活动，适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列景象之一的，也适用本法：

（一）以向境内自然人供给产品或许服务为意图；

（二）剖析、评价境内自然人的行为；

（三）法令、行政法规规矩的其他景象。

第四条 个人信息是以电子或许其他方法记载的与已辨认或答应辨认的自然人有关的各种信息，不包含匿名化处理后的信息。

个人信息的处理包含个人信息的搜集、存储、运用、加工、传输、供给、揭露、删去等。

第五条 处理个人信息应当遵从合法、合理、必要和诚信准则，不得通过误导、诈骗、钳制等方法处理个人信息。

第六条 处理个人信息应当具有明晰、合理的意图，并应当与处理意图直接相关，采纳对个人权益影响最小的方法。

搜集个人信息，应当限于完成处理意图的最小规模，不得过度搜集个人信息。

第七条 处理个人信息应当遵从揭露、通明准则，揭露个人信息处理规矩，明示处理的意图、方法和规模。

第八条 处理个人信息应当保证个人信息的质量，防止因个人信息不精确、不完整对个人权益构成晦气影响。

第九条 个人信息处理者应当对其个人信息处理活动担任，并采纳必要办法保证所处理的个人信息的安全。

第十条 任何安排、个人不得不合法搜集、运用、加工、传输别人个人信息，不得不合法生意、供给或许揭露别人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

第十一条 国家树立健全个人信息维护准则，防备和惩治危害个人信息权益的行为，加强个人信息维护宣传教育，推动构成政府、企业、相关社会安排、大众一起参与个人信息维护的良好环境。

第十二条 国家积极参与个人信息维护世界规矩的拟定，促进个人信息维护方面的世界交流与协作，推动与其他国家、区域、世界安排之间的个人信息维护规矩、规范等互认。

第二章 个人信息处理规矩

第一节 一般规矩

第十三条 契合下列景象之一的，个人信息处理者方可处理个人信息：

（一）取得个人的赞同；

（二）为订立、实施个人作为一方当事人的合同所必需，或许依照依法拟定的劳作规章准则和依法签定的集体合同实施人力资源办理所必需；

（三）为实施法定职责或许法定职责所必需；

（四）为应对突发公共卫生事情，或许紧急情况下为维护自然人的生命健康和产业安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的规模内处理个人信息；

（六）依照本法规矩在合理的规模内处理个人自行揭露或许其他现已合法揭露的个人信息；

（七）法令、行政法规规矩的其他景象。

依照本法其他有关规矩，处理个人信息应当取得个人赞同，可是有前款第二项至第七项规矩景象的，不需取得个人赞同。

第十四条 依据个人赞同处理个人信息的，该赞同应当由个人在充沛知情的前提下自愿、明晰作出。法令、行政法规规矩处理个人信息应当取得个人独自赞同或许书面赞同的，从其规矩。

个人信息的处理意图、处理方法和处理的个人信息品种产生改变的，应当从头取得个人赞同。

第十五条 依据个人赞同处理个人信息的，个人有权撤回其赞同。个人信息处理者应当供给快捷的撤回赞同的方法。

个人撤回赞同，不影响撤回前依据个人赞同已进行的个人信息处理活动的效能。

第十六条 个人信息处理者不得以个人不赞同处理其个人信息或许撤回赞同为由，回绝供给产品或许服务；处理个人信息归于供给产品或许服务所必需的在外。

第十七条 个人信息处理者在处理个人信息前，应当以明显方法、明晰易懂的言语实在、精确、完整地向个人奉告下列事项：

（一）个人信息处理者的称号或许名字和联系方法；

（二）个人信息的处理意图、处理方法，处理的个人信息品种、保存期限；

（三）个人行使本法规矩权力的方法和程序；

（四）法令、行政法规规矩应当奉告的其他事项。

前款规矩事项产生改变的，应当将改变部分奉告个人。

个人信息处理者通过拟定个人信息处理规矩的方法奉告第一款规矩事项的，处理规矩应当揭露，而且便于查阅和保存。

第十八条 个人信息处理者处理个人信息，有法令、行政法规规矩应当保密或许不需求奉告的景象的，能够不向个人奉告前条第一款规矩的事项。

紧急情况下为维护自然人的生命健康和产业安全无法及时向个人奉告的，个人信息处理者应当在紧急情况消除后及时奉告。

第十九条 除法令、行政法规还有规矩外，个人信息的保存期限应当为完成处理意图所必要的最短时刻。

第二十条 两个以上的个人信息处理者一起决议个人信息的处理意图和处理方法的，应当约好各自的权力和职责。可是，该约好不影响个人向其间任何一个个人信息处理者要求行使本法规矩的权力。

个人信息处理者一起处理个人信息，危害个人信息权益构成危害的，应当依法承当连带职责。

第二十一条 个人信息处理者托付处理个人信息的，应当与受托人约好托付处理的意图、期限、处理方法、个人信息的品种、维护办法以及两边的权力和职责等，并对受托人的个人信息处理活动进行监督。

受托人应当依照约好处理个人信息，不得超出约好的处理意图、处理方法等处理个人信息；托付合同不收效、无效、被撤消或许中止的，受托人应当将个人信息返还个人信息处理者或许予以删去，不得保存。

未经个人信息处理者赞同，受托人不得转托付别人处理个人信息。

第二十二条 个人信息处理者因兼并、分立、闭幕、被宣告破产等原因需求搬运个人信息的，应当向个人奉告接收方的称号或许名字和联系方法。接收方应当持续实施个人信息处理者的职责。接收方改变原先的处理意图、处理方法的，应当依照本法规矩从头取得个人赞同。

第二十三条 个人信息处理者向其他个人信息处理者供给其处理的个人信息的，应当向个人奉告接收方的称号或许名字、联系方法、处理意图、处理方法和个人信息的品种，并取得个人的独自赞同。接收方应当在上述处理意图、处理方法和个人信息的品种等规模内处理个人信息。接收方改变原先的处理意图、处理方法的，应当依照本法规矩从头取得个人赞同。

第二十四条 个人信息处理者运用个人信息进行主动化决议计划，应当保证决议计划的通明度和成果公平、公平，不得对个人在买卖价格等买卖条件上实施不合理的差别待遇。

通过主动化决议计划方法向个人进行信息推送、商业营销，应当一起供给不针对其个人特征的选项，或许向个人供给快捷的回绝方法。

通过主动化决议计划方法作出对个人权益有严峻影响的决议，个人有权要求个人信息处理者予以阐明，并有权回绝个人信息处理者仅通过主动化决议计划的方法作出决议。

第二十五条 个人信息处理者不得揭露其处理的个人信息，取得个人独自赞同的在外。

第二十六条 在公共场所装置图画搜集、个人身份辨认设备，应当为维护公共安全所必需，恪守国家有关规矩，并设置明显的提示标识。所搜集的个人图画、身份辨认信息只能用于维护公共安全的意图，不得用于其他意图；取得个人独自赞同的在外。

第二十七条 个人信息处理者能够在合理的规模内处理个人自行揭露或许其他现已合法揭露的个人信息；个人明晰回绝的在外。个人信息处理者处理已揭露的个人信息，对个人权益有严峻影响的，应当依照本法规矩取得个人赞同。

第二节 灵敏个人信息的处理规矩

第二十八条 灵敏个人信息是一旦走漏或许不合法运用，简单导致自然人的人格尊严遭到危害或许人身、产业安全遭到危害的个人信息，包含生物辨认、宗教信仰、特定身份、医疗健康、金融账户、行迹轨道等信息，以及不满十四周岁未成年人的个人信息。

只要在具有特定的意图和充沛的必要性，并采纳严厉维护办法的景象下，个人信息处理者方可处理灵敏个人信息。

第二十九条 处理灵敏个人信息应当取得个人的独自赞同；法令、行政法规规矩处理灵敏个人信息应当取得书面赞同的，从其规矩。

第三十条 个人信息处理者处理灵敏个人信息的，除本法第十七条第一款规矩的事项外，还应当向个人奉告处理灵敏个人信息的必要性以及对个人权益的影响；依照本法规矩能够不向个人奉告的在外。

第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的爸爸妈妈或许其他监护人的赞同。

个人信息处理者处理不满十四周岁未成年人个人信息的，应当拟定专门的个人信息处理规矩。

第三十二条 法令、行政法规对处理灵敏个人信息规矩应当取得相关行政答应或许作出其他约束的，从其规矩。

第三节 国家机关处理个人信息的特别规矩

第三十三条 国家机关处理个人信息的活动，适用本法；本节有特别规矩的，适用本节规矩。

第三十四条 国家机关为实施法定职责处理个人信息，应当依照法令、行政法规规矩的权限、程序进行，不得超出实施法定职责所必需的规模和极限。

第三十五条 国家机关为实施法定职责处理个人信息，应当依照本法规矩实施奉告职责；有本法第十八条第一款规矩的景象，或许奉告将阻碍国家机关实施法定职责的在外。

第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外供给的，应当进行安全评价。安全评价能够要求有关部分供给支撑与帮忙。

第三十七条 法令、法规授权的具有办理公共事务功能的安排为实施法定职责处理个人信息，适用本法关于国家机关处理个人信息的规矩。

第三章 个人信息跨境供给的规矩

第三十八条 个人信息处理者因事务等需求，确需向中华人民共和国境外供给个人信息的，应当具有下列条件之一：

（一）依照本法第四十条的规矩通过国家网信部分安排的安全评价；

（二）依照国家网信部分的规矩经专业安排进行个人信息维护认证；

（三）依照国家网信部分拟定的规范合同与境外接收方订立合同，约好两边的权力和职责；

（四）法令、行政法规或许国家网信部分规矩的其他条件。

中华人民共和国订立或许参与的世界公约、协议对向中华人民共和国境外供给个人信息的条件等有规矩的，能够依照其规矩实行。

个人信息处理者应当采纳必要办法，保证境外接收方处理个人信息的活动到达本法规矩的个人信息维护规范。

第三十九条 个人信息处理者向中华人民共和国境外供给个人信息的，应当向个人奉告境外接收方的称号或许名字、联系方法、处理意图、处理方法、个人信息的品种以及个人向境外接收方行使本法规矩权力的方法和程序等事项，并取得个人的独自赞同。

第四十条 要害信息基础设施运营者和处理个人信息到达国家网信部分规矩数量的个人信息处理者，应当将在中华人民共和国境内搜集和产生的个人信息存储在境内。确需向境外供给的，应当通过国家网信部分安排的安全评价；法令、行政法规和国家网信部分规矩能够不进行安全评价的，从其规矩。

第四十一条 中华人民共和国主管机关依据有关法令和中华人民共和国订立或许参与的世界公约、协议，或许依照平等互惠准则，处理外国司法或许法令安排关于供给存储于境内个人信息的恳求。非经中华人民共和国主管机关赞同，个人信息处理者不得向外国司法或许法令安排供给存储于中华人民共和国境内的个人信息。

第四十二条 境外的安排、个人从事危害中华人民共和国公民的个人信息权益，或许危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部分能够将其列入约束或许制止个人信息供给清单，予以布告，并采纳约束或许制止向其供给个人信息等办法。

第四十三条 任何国家或许区域在个人信息维护方面临中华人民共和国采纳歧视性的制止、约束或许其他相似办法的，中华人民共和国能够依据实际情况对该国家或许区域对等采纳办法。

第四章 个人在个人信息处理活动中的权力

第四十四条 个人对其个人信息的处理享有知情权、决议权，有权约束或许回绝别人对其个人信息进行处理；法令、行政法规还有规矩的在外。

第四十五条 个人有权向个人信息处理者查阅、仿制其个人信息；有本法第十八条第一款、第三十五条规矩景象的在外。

个人恳求查阅、仿制其个人信息的，个人信息处理者应当及时供给。

个人恳求将个人信息搬运至其指定的个人信息处理者，契合国家网信部分规矩条件的，个人信息处理者应当供给搬运的途径。

第四十六条 个人发现其个人信息不精确或许不完整的，有权恳求个人信息处理者更正、弥补。

个人恳求更正、弥补其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、弥补。

第四十七条 有下列景象之一的，个人信息处理者应当主动删去个人信息；个人信息处理者未删去的，个人有权恳求删去：

（一）处理意图已完成、无法完成或许为完成处理意图不再必要；

（二）个人信息处理者中止供给产品或许服务，或许保存期限已届满；

（三）个人撤回赞同；

（四）个人信息处理者违背法令、行政法规或许违背约好处理个人信息；

（五）法令、行政法规规矩的其他景象。

法令、行政法规规矩的保存期限未届满，或许删去个人信息从技能上难以完成的，个人信息处理者应当中止除存储和采纳必要的安全维护办法之外的处理。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规矩进行解说阐明。

第四十九条 自然人逝世的，其近亲属为了本身的合法、合理利益，能够对死者的相关个人信息行使本章规矩的查阅、仿制、更正、删去等权力；死者生前还有安排的在外。

第五十条 个人信息处理者应当树立快捷的个人行使权力的恳求受理和处理机制。回绝个人行使权力的恳求的，应当阐明理由。

个人信息处理者回绝个人行使权力的恳求的，个人能够依法向人民法院提起诉讼。

第五章 个人信息处理者的职责

第五十一条 个人信息处理者应当依据个人信息的处理意图、处理方法、个人信息的品种以及对个人权益的影响、或许存在的安全危险等，采纳下列办法保证个人信息处理活动契合法令、行政法规的规矩，并防止未经授权的拜访以及个人信息走漏、篡改、丢掉：

（一）拟定内部办理准则和操作规程；

（二）对个人信息实施分类办理；

（三）采纳相应的加密、去标识化等安全技能办法；

（四）合理确认个人信息处理的操作权限，并定时对从业人员进行安全教育和训练；

（五）拟定并安排实施个人信息安全事情应急预案；

（六）法令、行政法规规矩的其他办法。

第五十二条 处理个人信息到达国家网信部分规矩数量的个人信息处理者应当指定个人信息维护担任人，担任对个人信息处理活动以及采纳的维护办法等进行监督。

个人信息处理者应当揭露个人信息维护担任人的联系方法，并将个人信息维护担任人的名字、联系方法等报送实施个人信息维护职责的部分。

第五十三条 本法第三条第二款规矩的中华人民共和国境外的个人信息处理者，应当在中华人民共和国境内建立专门安排或许指定代表，担任处理个人信息维护相关事务，并将有关安排的称号或许代表的名字、联系方法等报送实施个人信息维护职责的部分。

第五十四条 个人信息处理者应当定时对其处理个人信息恪守法令、行政法规的情况进行合规审计。

第五十五条 有下列景象之一的，个人信息处理者应当事前进行个人信息维护影响评价，并对处理情况进行记载：

（一）处理灵敏个人信息；

（二）运用个人信息进行主动化决议计划；

（三）托付处理个人信息、向其他个人信息处理者供给个人信息、揭露个人信息；

（四）向境外供给个人信息；

（五）其他对个人权益有严峻影响的个人信息处理活动。

第五十六条 个人信息维护影响评价应当包含下列内容：

（一）个人信息的处理意图、处理方法等是否合法、合理、必要；

（二）对个人权益的影响及安全危险；

（三）所采纳的维护办法是否合法、有用并与危险程度相适应。

个人信息维护影响评价陈述和处理情况记载应当至少保存三年。

第五十七条 产生或许或许产生个人信息走漏、篡改、丢掉的，个人信息处理者应当当即采纳补救办法，并告诉实施个人信息维护职责的部分和个人。告诉应当包含下列事项：

（一）产生或许或许产生个人信息走漏、篡改、丢掉的信息品种、原因和或许构成的危害；

（二）个人信息处理者采纳的补救办法和个人能够采纳的减轻危害的办法；

（三）个人信息处理者的联系方法。

个人信息处理者采纳办法能够有用防止信息走漏、篡改、丢掉构成危害的，个人信息处理者能够不告诉个人；实施个人信息维护职责的部分以为或许构成危害的，有权要求个人信息处理者告诉个人。

第五十八条 供给重要互联网渠道服务、用户数量巨大、事务类型杂乱的个人信息处理者，应当实施下列职责：

（一）依照国家规矩树立健全个人信息维护合规准则系统，建立首要由外部成员组成的独立安排对个人信息维护情况进行监督；

（二）遵从揭露、公平、公平的准则，拟定渠道规矩，明晰渠道内产品或许服务供给者处理个人信息的规范和维护个人信息的职责；

（三）对严峻违背法令、行政法规处理个人信息的渠道内的产品或许服务供给者，中止供给服务；

（四）定时发布个人信息维护社会职责陈述，承受社会监督。

第五十九条 承受托付处理个人信息的受托人，应当依照本法和有关法令、行政法规的规矩，采纳必要办法保证所处理的个人信息的安全，并帮忙个人信息处理者实施本法规矩的职责。

第六章 实施个人信息维护职责的部分

第六十条 国家网信部分担任统筹和谐个人信息维护作业和相关监督办理作业。国务院有关部分依照本法和有关法令、行政法规的规矩，在各自职责规模内担任个人信息维护和监督办理作业。

县级以上当地人民政府有关部分的个人信息维护和监督办理职责，依照国家有关规矩确认。

前两款规矩的部分统称为实施个人信息维护职责的部分。

第六十一条 实施个人信息维护职责的部分实施下列个人信息维护职责：

（一）展开个人信息维护宣传教育，辅导、监督个人信息处理者展开个人信息维护作业；

（二）承受、处理与个人信息维护有关的投诉、告发；

（三）安排对使用程序等个人信息维护情况进行测评，并发布测评成果；

（四）查询、处理违法个人信息处理活动；

（五）法令、行政法规规矩的其他职责。

第六十二条 国家网信部分统筹和谐有关部分依据本法推动下列个人信息维护作业：

（一）拟定个人信息维护详细规矩、规范；

（二）针对小型个人信息处理者、处理灵敏个人信息以及人脸辨认、人工智能等新技能、新使用，拟定专门的个人信息维护规矩、规范；

（三）支撑研讨开发和推广使用安全、便利的电子身份认证技能，推动网络身份认证公共服务建造；

（四）推动个人信息维护社会化服务系统建造，支撑有关安排展开个人信息维护评价、认证服务；

（五）完善个人信息维护投诉、告发作业机制。

第六十三条 实施个人信息维护职责的部分实施个人信息维护职责，能够采纳下列办法：

（一）问询有关当事人，查询与个人信息处理活动有关的情况；

（二）查阅、仿制当事人与个人信息处理活动有关的合同、记载、账簿以及其他有关材料；

（三）实施现场查看，对涉嫌违法的个人信息处理活动进行查询；

（四）查看与个人信息处理活动有关的设备、物品；对有依据证明是用于违法个人信息处理活动的设备、物品，向本部分首要担任人书面陈述并经赞同，能够查封或许扣押。

实施个人信息维护职责的部分依法实施职责，当事人应当予以帮忙、合作，不得回绝、阻遏。

第六十四条 实施个人信息维护职责的部分在实施职责中，发现个人信息处理活动存在较大危险或许产生个人信息安全事情的，能够依照规矩的权限和程序对该个人信息处理者的法定代表人或许首要担任人进行约谈，或许要求个人信息处理者托付专业安排对其个人信息处理活动进行合规审计。个人信息处理者应当依照要求采纳办法，进行整改，消除隐患。

实施个人信息维护职责的部分在实施职责中，发现违法处理个人信息涉嫌犯罪的，应当及时移交公安机关依法处理。

第六十五条 任何安排、个人有权对违法个人信息处理活意向实施个人信息维护职责的部分进行投诉、告发。收到投诉、告发的部分应当依法及时处理，并将处理成果奉告投诉、告发人。

实施个人信息维护职责的部分应当发布承受投诉、告发的联系方法。

第七章 法令职责

第六十六条 违背本法规矩处理个人信息，或许处理个人信息未实施本法规矩的个人信息维护职责的，由实施个人信息维护职责的部分责令改正，给予正告，没收违法所得，对违法处理个人信息的使用程序，责令暂停或许中止供给服务；拒不改正的，并处一百万元以下罚款；对直接担任的主管人员和其他直接职责人员处一万元以上十万元以下罚款。

有前款规矩的违法行为，情节严峻的，由省级以上实施个人信息维护职责的部分责令改正，没收违法所得，并处五千万元以下或许上一年度营业额百分之五以下罚款，并能够责令暂停相关事务或许停业整顿、通报有关主管部分撤消相关事务答应或许撤消营业执照；对直接担任的主管人员和其他直接职责人员处十万元以上一百万元以下罚款，并能够决议制止其在必定时限内担任相关企业的董事、监事、高档办理人员和个人信息维护担任人。

第六十七条 有本法规矩的违法行为的，依照有关法令、行政法规的规矩记入信誉档案，并予以公示。

第六十八条 国家机关不实施本法规矩的个人信息维护职责的，由其上级机关或许实施个人信息维护职责的部分责令改正；对直接担任的主管人员和其他直接职责人员依法给予处置。

实施个人信息维护职责的部分的作业人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处置。

第六十九条 处理个人信息危害个人信息权益构成危害，个人信息处理者不能证明自己没有差错的，应当承当危害补偿等侵权职责。

前款规矩的危害补偿职责依照个人因而遭到的丢失或许个人信息处理者因而取得的利益确认；个人因而遭到的丢失和个人信息处理者因而取得的利益难以确认的，依据实际情况确认补偿数额。

第七十条 个人信息处理者违背本法规矩处理个人信息，危害很多个人的权益的，人民检察院、法令规矩的顾客安排和由国家网信部分确认的安排能够依法向人民法院提起诉讼。

第七十一条 违背本法规矩，构成违背治安办理行为的，依法给予治安办理处分；构成犯罪的，依法追究刑事职责。

第八章 附 则

第七十二条 自然人因个人或许家庭事务处理个人信息的，不适用本法。

法令对各级人民政府及其有关部分安排实施的计算、档案办理活动中的个人信息处理有规矩的，适用其规矩。

第七十三条 本法下列用语的意义：

（一）个人信息处理者，是指在个人信息处理活动中自主决议处理意图、处理方法的安排、个人。

（二）主动化决议计划，是指通过计算机程序主动剖析、评价个人的行为习惯、兴趣爱好或许经济、健康、信誉情况等，并进行决议计划的活动。

（三）去标识化，是指个人信息通过处理，使其在不凭借额定信息的情况下无法辨认特定自然人的进程。

（四）匿名化，是指个人信息通过处理无法辨认特定自然人且不能恢复的进程。

第七十四条 本法自2021年11月1日起实施。

来历：我国人大网

来源:版权归属原作者,部分文章推送时未能及时与原作者取得联系,若来源标注错误或侵犯到您的权益烦请告知，我们会及时删除。联系QQ:110-242-789