有下列情形之壹的,在中國境內處理中國公民和自然人個人信息的活動,也適用本法:
(壹)以向境內自然人提供產品或者服務為目的;
(2)分析和評估中國自然人的行為;
(三)法律、行政法規規定的其他情形。第四條個人信息是指以電子或其他方式記錄的與已識別或可識別的自然人相關的各類信息,不包括匿名化後的信息。
個人信息的處理包括個人信息的收集、存儲、使用、處理、傳輸、提供、披露和刪除。第五條個人信息應當遵循合法、公正、必要和誠實信用的原則,不得以誤導、欺騙、脅迫等方式處理。第六條處理個人信息應當有明確合理的目的,應當與處理目的直接相關,並以對個人權益影響最小的方式進行。
個人信息的收集應以處理為目的,限制在最小範圍內,不得過度收集個人信息。第七條個人信息處理應當遵循公開透明的原則,公開個人信息處理規則,明確說明處理目的、方式和範圍。第八條處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整而對個人權益造成不利影響。第九條個人信息處理者應當對其個人信息處理活動負責,並采取必要措施確保其處理的個人信息的安全。第十條任何組織或者個人不得非法收集、使用、處理、傳輸他人個人信息,不得非法買賣、提供或者泄露他人個人信息;不從事危害國家安全和公共利益的個人信息處理活動。第十壹條國家建立健全個人信息保護制度,防範和懲治侵犯個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關社會組織和公眾共同參與個人信息保護的良好環境。第十二條國家積極參與個人信息保護國際規則制定,推進個人信息保護國際交流與合作,推動與其他國家、地區和國際組織的個人信息保護規則和標準互認。第二章個人信息處理規則第壹節壹般規定第十三條個人信息處理者應當符合下列情形之壹,方可處理個人信息:
(a)取得個人同意;
(二)需要簽訂和履行以個人為壹方當事人的合同,或者需要按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理的;
(三)需要履行法定職責或者義務的;
(四)為應對突發公共衛生事件或者在突發事件中保護自然人的生命健康和財產安全所必需的;
(五)開展新聞報道、輿論監督等有利於公眾的行為,在合理範圍內處理個人信息;
(六)依照本法規定,處理個人自行公開的個人信息或者在合理範圍內依法公開的其他個人信息;
(七)法律、行政法規規定的其他情形。
依照本法其他有關規定,處理個人信息應當取得個人同意,但前款第二項至第七項規定的情形,不需要取得個人同意。第十四條在個人同意的基礎上處理個人信息的,應當在個人完全知情的前提下,由個人自願、明確表示同意。法律、行政法規規定處理個人信息應當取得個人同意或者書面同意的,從其規定。
個人信息的目的、方式、類型發生變更的,應當重新取得個人同意。第十五條個人信息處理基於個人同意,個人有權撤回其同意。個人信息處理者應該提供方便的方式來撤回他們的同意。
撤回個人同意不影響撤回前基於個人同意的個人信息處理活動的效力。第十六條個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由拒絕提供產品或者服務;處理個人信息不是提供產品或服務所必需的。第十七條個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地告知個人下列事項:
(壹)個人信息處理者的姓名和聯系方式;
(二)個人信息處理的目的和方式,處理的個人信息的種類和保存期限;
(三)個人行使本法規定的權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則告知第壹款規定事項的,處理規則應當公開,便於查閱和保存。