《中華人民***和國個人信息保護法》是為了保護個人信息權益,規範個人信息處理活動,保障個人信息依法有序自由流動,促進個人信息合理利用而制定的法律, 自2021年11月1日起施行。[1]
該法明確了個人信息的概念和處理規則,對處理人臉信息等敏感個人信息進行規制,強調不得過度收集個人信息,禁止商家通過自動化決策“大數據殺熟”,對公***場所安裝圖像采集、個人身份識別設備作出規範。[2]
第壹條 為了保護個人信息權益,規範個人信息處理活動,促進個人信息合理利用,根據憲法,制定本法。
第二條 自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益。
第三條 在中華人民***和國境內處理自然人個人信息的活動,適用本法。
在中華人民***和國境外處理中華人民***和國境內自然人個人信息的活動,有下列情形之壹的,也適用本法:
(壹)以向境內自然人提供產品或者服務為目的;
(二)分析、評估境內自然人的行為;
(三)法律、行政法規規定的其他情形。
第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息。
個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
第五條 處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。
第六條 處理個人信息應當具有明確、合理的目的,並應當與處理目的直接相關,采取對個人權益影響最小的方式。
收集個人信息,應當限於實現處理目的的最小範圍,不得過度收集個人信息。
第七條 處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和範圍。
第八條 處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響。
第九條 個人信息處理者應當對其個人信息處理活動負責,並采取必要措施保障所處理的個人信息的安全。
第十條 任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公***利益的個人信息處理活動。
第十壹條 國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關社會組織、公眾***同參與個人信息保護的良好環境。
第十二條 國家積極參與個人信息保護國際規則的制定,促進個人信息保護方面的國際交流與合作,推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等互認。