Personuppgiftsskyddslag i Kina (2021) 个人信息保护法 - China Laws Portal

Lag för skydd av personuppgifter i Folkrepubliken Kina

（2021 年 8 月 20 日第十三届全国人民代表大会常务委员会第三十次会议通过）

第一章总则

第一条为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用根据宪法，制定本法。。

第二条自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。

第三条在中华人民共和国境内处理自然人个人信息的活动，适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人的的活动，有下列情形之一的，也适用本法：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为行为；

（三）法律、行政法规规定的其他情形。

第四条个人信息是以电子或者其他方式记录的与已或者可识别的自然人有关的各种信息不包括匿名化处理后的信息。。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供公开、删除删除等。

第五条处理个人信息应当遵循合法、正当、必要和原则，不得不得误导、欺诈、胁迫等方式处理个人信息。

第六条处理个人信息应当具有明确、合理的目的，应当与处理处理直接相关，采取对权益影响最小最小的方式。

收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

第七条处理个人信息应当遵循公开、透明原则，公开信息信息处理规则明示处理的目的、方式和范围。

第八条处理个人信息应当保证个人信息的质量，避免因个人信息不准确、完整对个人权益造成不利影响。

第九条个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所的个人信息的安全。。

第十条任何组织、个人不得收集、使用、加工、传输他人信息，不得非法买卖、提供公开他人个人；不得从事国家安全公共利益利益的信息处理处理。。

第十一条国家建立健全个人信息保护，预防和惩治侵害信息权益的行为，加强个人信息保护教育推动形成政府、、相关社会、公众共同参与个人信息保护良好环境。。

第十二条国家积极参与个人信息国际国际的制定，促进个人信息保护的国际交流与合作，与其他、地区、组织之间个人信息信息保护、、标准互认。。

第二章个人信息处理规则

第一节一般规定

条符合下列情形之一的，个人信息处理者方可处理个人信息:

（一）取得个人的同意；

（二）为订立、履行作为作为一方当事人的所必需，或者按照依法制定劳动规章制度和签订的集体合同实施人力资源管理所管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的内处理个人个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经公开的个人个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意但是有前款第二项至第七项情形的，不需取得个人个人同意。

第十四条基于个人处理个人信息的，该同意应当个人在充分知情的前提下自愿明确作出法律、行政规定个人个人信息取得个人单独同意或者书面的，从其。。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

第十五条基于个人同意处理个人信息的，个人有权撤回同意。个人个人处理者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第十六条个人信息处理者不得个人个人不同意其个人信息或者撤回同意为由，拒绝产品或者；处理个人信息属于提供或者或者服务服务必需的的除外。

第十七条个人信息处理者在处理个人信息前，以显著方式、清晰易懂的语言真实准确、完整地向个人告知下列下列事项:

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当的的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理的的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

第十八条个人信息处理者处理信息信息，有法律行政法规规定应当保密或者不需要告知的的可以不向个人告知前条第一款款的的事项。

紧急情况下为保护自然人的生命健康和财产安全无法向个人告知的，个人信息处理应当在紧急情况消除后及时及时告知。

第十九条除法律、行政法规另有规定外，个人信息保存保存期限应当实现处理目的所必要的最短时间。

第二十条两个以上的个人处理处理共同决定个人信息的目的和处理方式的，应当约定各自权利义务。但是，约定不影响向其中任何一个个人信息处理要求行使本本法规定的权利。

个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当承担承担连带责任。

第二十一条个人信息处理者委托个人个人的，应当与受托人约定委托的目的、期限、处理、个人的种类、措施以及的权利权利和等等，受托人的的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息不得超出约定的处理、处理方式等处理个人；委托合同生效、、被撤销终止终止的应当应当将信息信息返还信息处理删除予以予以予以，不得保留。

未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

第二十二条个人信息者因合并、分立、解散、宣告破产等原因需要转移个人信息，应当个人告知接收的或者或者姓名联系方式。接收方应当履行个人信息者者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法重新取得个人个人同意。

第二十三条个人信息处理者向个人信息处理者提供处理的个人信息的，应当个人告知接收的名称姓名、方式方式、目的、处理方式和个人的种类，取得取得个人的单独同意。接收方在上述处理目的、方式和个人信息的种类范围内处理信息。方变更原先处理处理目的方式方式的应当应当依照规定重新。同意同意同意

第二十四条个人信息处理者利用信息信息自动化决策，应当保证决策的透明度和结果、公正，对个人在交易价格等条件条件上不合理不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，同时提供不针对其个人特征的，或者向个人便捷便捷的拒绝方式。

通过自动化决策方式作出对个人有有重大的决定，个人有权要求个人信息处理予以说明，有权拒绝个人信息处理者通过通过自动化决策的方式作出决定。。

第二十五条个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。

第二十六条在公共场所安装图像、个人身份识别设备，应当为维护所必需，遵守国家规定，设置显著的标识。收集的个人图像、身份身份信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

第二十七条个人信息处理者在合理的范围内个人自行公开或者其他已经公开的个人；个人拒绝的除外个人个人信息处理处理已的的个人，对重大有有有影响的，应当依照本法规定取得个人同意同意。

第二节敏感个人信息的处理规则

第二十八条敏感个人信息是泄露或者非法使用，导致自然人的人格尊严受到侵害人身、财产受到危害个人信息包括包括生物、宗教信仰、特定身份、健康、金融、、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取保护措施的情形下，信息处理者方可处理敏感个人信息信息。

第二十九条处理敏感个人信息应当取得个人的单独同意法律、行政法规规定处理敏感个人应当取得书面同意的，从其从其规定。

第三十条个人信息处理者处理个人信息的，除本法第十七条款规定的事项外，应当向个人处理敏感个人的必要性对个人个人权益影响；；本本法规定可以不向个人告知的除外。

第三十一条个人信息处理者处理不满十四周岁未成年人个人信息，，应当取得人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门个人信息处理处理规则。

第三十二条法律、行政法规对处理敏感个人信息规定取得取得相关行政或者作出其他限制的，从其规定。

第三节国家机关处理个人信息的特别规定

第三十三条国家机关处理个人信息的活动，适用本法；本节有规定的，适用本节规定。

第三十四条国家机关为履行职责职责处理个人信息应当依照法律、行政法规规定的权限程序，不得超出履行法定职责所必需的的和和限度。

第三十五条国家机关为履行职责处理个人信息，依照本法规定规定告知义务；有本法条第一规定的情形，告知将国家机关机关履行职责的的。。

第三十六条国家机关处理的信息信息应当在中华人民共和国存储；确需向境外提供的，应当安全评估。评估可以要求有关部门提供支持支持与协助。

第三十七条法律、法规授权的具有管理公共事务职能组织为履行法定职责处理个人信息，本法关于国家机关处理个人信息的规定。。

第三章个人信息跨境提供的规则

十八条个人信息处理者因业务等需要，确需中华人民共和国境外提供提供信息的应当具备具备下列条件之一:

（一）依照本法第四的的规定通过国家网信部门组织的安全评估；

（二）按照国家网信的的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门的的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外个人个人信息的等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方个人个人信息的达到本法规定的个人信息保护标准。

第三十九条个人信息处理者中华人民共和国境外提供个人信息，应当向个人告知境外接收方的或者、联系方式、目的、处理、个人信息的种类以及个人境外接收方方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

第四十条关键信息基础设施运营和处理个人信息达到国家网信部门数量的个人信息处理者应当在中华人民共和国境内收集产生的信息存储在境内。确需确需境外提供的，应当通过国家网信部门组织的安全评估；法律行政法规和国家网信部门规定不进行安全评估的，从其规定规定。

第四十一条中华人民共和国主管机关根据有关法律中华人民共和国中华人民共和国缔结或者的国际条约、协定，或者按照原则，处理司法或者执法机构关于提供于于境内信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供于中华人民共和国境内的个人信息信息。

第四十二条境外的组织、从事侵害中华人民共和国公民的个人信息权益或者危害中华人民共和国国家安全、利益的个人处理活动的国家网部门可以可以将列入限制限制禁止禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。

第四十三条任何国家或者地区个人个人信息保护对中华人民共和国采取歧视性的禁止、或者其他类似的，中华人民共和国可以根据实际对该对该国家地区对等采取措施。

第四章个人在个人信息处理活动中的权利

第四十四条个人对其个人信息处理处理享有知情权、权，有权限制或者拒绝他人个人信息进行；法律、行政法规另有规定的的除外。

第四十五条个人有权向个人信息处理者查阅、复制个人信息；有本法第十八条第一、第三十五条规定情形的除外除外。

个人请求查阅、复制其个人的的，个人信息处理者应当及时提供。

个人请求将个人信息转移至其指定的个人信息处理，符合国家网信部门规定条件的个人信息处理者应当提供转移的途径。。

第四十六条个人发现其个人信息不准确或者不完整的，有权请求个人信息者更正、、补充。

个人请求更正、补充其个人的的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。

第四十七条有下列情形之一，，个人信息处理应当主动删除个人信息；个人信息处理者未的，个人有权请求请求删除:

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；

（三）个人撤回同意；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他情形。

法律、行政法规规定的保存未未届满或者删除个人信息从技术上难以实现的个人信息处理应当停止除存储和采取的的安全保护措施之外的处理。。

第四十八条个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

第四十九条自然人死亡的，近亲属为了自身的、正当利益，可以对死者的相关信息本章规定的查阅复制、更正删除等权利；死者生前另有的除外。。

第五十条个人信息处理者应当建立便捷的个人行使权利申请受理和处理机制。拒绝个人权利的请求的，应当说明理由理由。

个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

第五章个人信息处理者的义务

第五十一条个人信息处理者应当根据信息的处理目的、方式、个人信息的种类以及对个人的、可能存在的风险等，下列措施确保个人信息处理活动法律、行政行政的规定，并防止未经授权的访问以及个人信息泄露、篡改、、丢失:

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息的的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。

第五十二条处理个人信息达到网网信部门数量的个人信息处理者应当指定信息保护负责，负责对个人信息处理以及以及采取保护措施等进行监督。

个人信息处理者应当公开个人保护保护负责人联系方式，并将个人信息保护负责的姓名、方式等报送履行个人信息保护职责的的。。

第五十三条本法第三条第二款的的中华人民共和国境外个人信息处理者，应当在中华人民共和国境内专门机构指定代表，负责处理个人保护保护相关相关，并将并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十四条个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的进行合规规审计。

第五十五条有下列情形之一的，个人信息处理者事前进行个人个人保护影响，并对并对处理情况进行记录:

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

十六条个人信息保护影响评估应当包括下列内容:

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第五十七条发生或者可能发生信息信息泄露篡改、丢失的，个人处理者应当立即采取补救，并履行个人信息职责职责的个人个人。通知包括包括事项事项:

（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因可能造成的的危害；

（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；

（三）个人信息处理者的联系方式方式。

个人信息处理者采取措施能够避免信息泄露、篡改丢失造成危害的个人个人处理者可以通知个人履行个人保护职责的认为可能造成危害的，要求个人者者者。

十八条提供重要互联网平台服务、用户数量巨大、类型复杂的的信息处理，应当应当履行下列义务:

（一）按照国家规定建立健全个人信息保护合规体系，成立主要由外部成员组成独立机构对个人保护保护情况进行监督；

（二）遵循公开、公平公正公正的，制定平台规则，明确平台内产品服务提供者个人信息的规范和保护个人信息的的义务；

（三）对严重违反法律、行政法规处理个人信息平台平台内的或者服务提供者，停止提供服务；

（四）定期发布个人信息保护社会责任报告，接受社会监督。

第五十九条接受委托处理个人的受托人，应当依照本法和有关法律行政法规的规定，必要措施所处理的个人的安全并协助个人信息处理者者本法规定的义务。

第六章履行个人信息保护职责的部门

第六十条国家网信部门负责协调个人信息保护工作相关相关监督管理。国务院有关部门依照本法有关、行政法规的，在各自范围内负责个人信息保护保护管理管理。。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

履行个人信息保护职责的部门履行下列个人信息保护职责:

（一）开展个人信息保护宣传教育，指导、监督信息处理者开展个人信息保护工作；

（二）接受、处理与个人信息保护有关的投诉、举报；

（三）组织对应用程序等个人信息保护情况进行测评，并公布测评结果；

（四）调查、处理违法个人信息处理活动；

（五）法律、行政法规规定的其他职责。

十二条国家网信部门统筹协调有关部门依据本法推进下列个人信息保护保护工作:

（一）制定个人信息保护具体规则、标准；

（二）针对小型个人信息者者、处理个人信息以及人脸识别、人工智能等新技术、应用，制定的个人信息保护规则、、标准；

（三）支持研究开发和推广应用安全、方便的电子身份认证技术推进网络身份认证公共服务建设；

（四）推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息评估、认证认证服务；

（五）完善个人信息保护投诉、举报工作机制。

十三条履行个人信息保护职责的部门履行个人信息职责，，可以采取措施:

（一）询问有关当事人，调查与个人信息处理活动的的情况；

（二）查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料；

（三）实施现场检查，对涉嫌违法的个人信息处理活动进行调查；

(四) 检查与个人信息活动有关的是用于违法个人处理活动的设备, 物品, 向本部门负责人书面报告并经批准可以负责人或者扣押并经批准, 可以查封或者扣押.

履行个人信息保护职责的部门依法履行职责，当事人应当予以协助、配合，不得拒绝、阻挠。

第六十四条履行个人保护保护的部门在履行职责，发现个人信息处理活动存在较大风险发生信息安全事件的可以按照规定权限和程序对该个人信息处理的法定代表代表人或者主要负责人进行约谈或者要求个人信息处理者委托专业机构对其信息处理活动进行合审计。信息处理者应当按照要求措施，进行整改，消除隐患。

履行个人信息保护职责的部门在履行职责中，发现处理处理信息信息犯罪的，应当及时移送公安机关依法处理。

第六十五条任何组织、个人对违法个人信息处理活动向履行个人保护职责的部门进行、举报收到投诉、举报部门应当及时处理，并将处理结果结果投诉、举报人。

履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。

第七章法律责任

第六十六条违反本法规定处理信息，或者处理个人未履行本法规定的个人信息保护义务，履行个人信息保护的部门责令，给予警告，没收违法所得对违法处理处理个人信息的应用程序，责令或者终止提供服务；拒不改正的并处一百万元以下罚款；直接负责的人员和其他责任人员一万元万元以上万元以下以下。。

有前款规定的违法行为，情节的，由省级以上履行个人信息保护的部门责令改正，没收所得，五千万元以下或者上一营业额百分之五以下罚款，并可以责令暂停相关业务或者整顿、通报有关主管吊销相关业务许可或者吊销营业执照对直接的主管人员其他责任责任人员十万元以上一百万元以下，并可以禁止禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人保护保护负责人。

第六十七条有本法规定的违法行为的，依照有关法律、行政法规的记入信用档案，并予以公示。

第六十八条国家机关不履行规定的个人信息保护义务的，由其机关或者履行个人信息保护的责令改正；对负责的人员和其他直接责任人员人员给予处分。

履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪，依法给予给予处分。

第六十九条处理个人信息侵害个人信息权益造成损害，信息处理者不能证明自己没有过错，应当承担损害赔偿等侵权责任责任。

前款的的的损害按照个人因此的的的损失个人个人因此获得的利益和个人个人受到的的的利益确定的, 根据实际情况确定确定的的根据根据情况确定赔偿数额.

第七十条个人信息处理者违反规定处理个人信息，侵害众多个人的的，人民检察院、法律的消费者和由国家信部门部门组织组织可以依法向人民法院诉讼。。

第七十一条违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成的，依法追究刑事责任。。

第八章附则

第七十二条自然人因个人或者家庭事务处理个人信息的，不适用本法。

法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定。

第七十三条本法下列用语的含义：

（一）个人信息处理者，是指在个人信息处理活动中自主决定处理、处理方式的组织、个人。

（二）自动化决策，是指通过计算机程序自动、评估个人的行为习惯、兴趣爱好经济健康、信用状况等，并进行进行决策的活动。

（三）去标识化，是指个人信息经过处理，在不借助额外信息的情况下无法识别特定自然人的过程。

（四）匿名化，是指个人信息经过处理无法特定自然人且不能复原的过程。

第七十四条本法自 2021 年 11 月 1 日起施行。

Kinas lagportal - CJO

Hitta Kinas lagar och officiella offentliga dokument på engelska

Lag för skydd av personuppgifter i Kina (2021)

个人信息保护法

Relaterade inlägg på China Justice Observer

Relaterade engelska artiklar

Relaterade kinesiska artiklar