(2021年8月20日第十三屆全國人民代表大會常務委員會第三十次會議通過)
第八章 附 則
第一章 總 則
第十二條國家積極參與個人信息保護國際規則的制定,促進個人信息保護方面的國際交流與合作,推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等互認。
第二章 個人信息處理規則
第一節 一般規定
第十三條符合下列情形之一的,個人信息處理者方可處理個人信息:
?。ㄒ唬┤〉脗€人的同意;
?。ǘ橛喠?、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;
?。ㄈ槁男蟹ǘ氊熁蛘叻ǘx務所必需;
?。ㄋ模閼獙ν话l公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
?。ㄎ澹楣怖鎸嵤┬侣剤蟮?、輿論監督等行為,在合理的范圍內處理個人信息;
?。┮勒毡痉ㄒ幎ㄔ诤侠淼姆秶鷥忍幚韨€人自行公開或者其他已經合法公開的個人信息;
?。ㄆ撸┓?、行政法規規定的其他情形。
依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
第十四條基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
第十五條基于個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。
個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力。
第十六條個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。
第十七條個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:
?。ㄒ唬﹤€人信息處理者的名稱或者姓名和聯系方式;
?。ǘ﹤€人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
?。ㄈ﹤€人行使本法規定權利的方式和程序;
?。ㄋ模┓?、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,并且便于查閱和保存。
第十八條個人信息處理者處理個人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條第一款規定的事項。
緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除后及時告知。
第十九條除法律、行政法規另有規定外,個人信息的保存期限應當為實現處理目的所必要的最短時間。
第二十條兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。
個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的,應當依法承擔連帶責任。
第二十一條個人信息處理者委托處理個人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托人的個人信息處理活動進行監督。
受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托合同不生效、無效、被撤銷或者終止的,受托人應當將個人信息返還個人信息處理者或者予以刪除,不得保留。
未經個人信息處理者同意,受托人不得轉委托他人處理個人信息。
第二十二條個人信息處理者因合并、分立、解散、被宣告破產等原因需要轉移個人信息的,應當向個人告知接收方的名稱或者姓名和聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
第二十三條個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
第二十四條個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
第二十五條個人信息處理者不得公開其處理的個人信息,取得個人單獨同意的除外。
第二十六條在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。
第二十七條個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;個人明確拒絕的除外。個人信息處理者處理已公開的個人信息,對個人權益有重大影響的,應當依照本法規定取得個人同意。
第二節敏感個人信息的處理規則第三十二條法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作出其他限制的,從其規定。
第三節 國家機關處理個人信息的特別規定第三十七條法律、法規授權的具有管理公共事務職能的組織為履行法定職責處理個人信息,適用本法關于國家機關處理個人信息的規定。
第三章 個人信息跨境提供的規則
第三十八條個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:
(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;
?。ǘ┌凑諊揖W信部門的規定經專業機構進行個人信息保護認證;
?。ㄈ┌凑諊揖W信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
?。ㄋ模┓?、行政法規或者國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。
個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。
第三十九條個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,并取得個人的單獨同意。
第四十條關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
第四十一條中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供存儲于境內個人信息的請求。非經中華人民共和國主管機關批準,個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息。
第四十二條境外的組織、個人從事侵害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,并采取限制或者禁止向其提供個人信息等措施。
第四十三條任何國家或者地區在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。
第四章 個人在個人信息處理活動中的權利
個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。
第四十六條個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充。
個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,并及時更正、補充。個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。
第五章 個人信息處理者的義務
第五十一條個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失:
?。ㄒ唬┲贫▋炔抗芾碇贫群筒僮饕幊?;
?。ǘ€人信息實行分類管理;
?。ㄈ┎扇∠鄳募用?、去標識化等安全技術措施;
?。ㄋ模┖侠泶_定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;
?。ㄎ澹┲贫ú⒔M織實施個人信息安全事件應急預案;
?。┓?、行政法規規定的其他措施。
第五十二條處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。
個人信息處理者應當公開個人信息保護負責人的聯系方式,并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
第五十三條本法第三條第二款規定的中華人民共和國境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。
第五十四條個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
第五十五條有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄:
?。ㄒ唬┨幚砻舾袀€人信息;
?。ǘ├脗€人信息進行自動化決策;
?。ㄈ┪刑幚韨€人信息、向其他個人信息處理者提供個人信息、公開個人信息;
?。ㄋ模┫蚓惩馓峁﹤€人信息;
?。ㄎ澹┢渌麑€人權益有重大影響的個人信息處理活動。
第五十六條個人信息保護影響評估應當包括下列內容:
?。ㄒ唬﹤€人信息的處理目的、處理方式等是否合法、正當、必要;
?。ǘ€人權益的影響及安全風險;
?。ㄈ┧扇〉谋Wo措施是否合法、有效并與風險程度相適應。
個人信息保護影響評估報告和處理情況記錄應當至少保存三年。
第五十七條發生或者可能發生個人信息泄露、篡改、丟失的,個人信息處理者應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人。通知應當包括下列事項:
?。ㄒ唬┌l生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害;
?。ǘ﹤€人信息處理者采取的補救措施和個人可以采取的減輕危害的措施;
?。ㄈ﹤€人信息處理者的聯系方式。
個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的,個人信息處理者可以不通知個人;履行個人信息保護職責的部門認為可能造成危害的,有權要求個人信息處理者通知個人。
第五十八條提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,應當履行下列義務:
?。ㄒ唬┌凑諊乙幎ń⒔∪珎€人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;
?。ǘ┳裱_、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務;
?。ㄈ乐剡`反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務;
?。ㄋ模┒ㄆ诎l布個人信息保護社會責任報告,接受社會監督。
第五十九條接受委托處理個人信息的受托人,應當依照本法和有關法律、行政法規的規定,采取必要措施保障所處理的個人信息的安全,并協助個人信息處理者履行本法規定的義務。
第六章 履行個人信息保護職責的部門
履行個人信息保護職責的部門應當公布接受投訴、舉報的聯系方式。
第七章 法律責任
第七十一條違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第八章 附 則
第七十二條自然人因個人或者家庭事務處理個人信息的,不適用本法。
法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的,適用其規定。