中国合规

本法保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用（第 1 条）。

适用于在中国境内进行的处理活动；并具域外适用效力（第 3 条）：以向境内自然人提供产品或服务，或分析、评估其行为为目的的境外处理活动。

处理个人信息应遵循合法、正当、必要和诚信原则，具有明确合理的目的，限于最小范围，并以公开透明方式进行（第 5—7 条）。

处理者仅可在合法依据下处理个人信息（第 13 条）：取得个人同意；为订立、履行合同或人力资源管理所必需；为履行法定职责或义务；为应对突发公共卫生事件；为公共利益实施新闻报道；处理已合法公开的信息；或法律规定的其他情形。

同意应在充分知情的前提下自愿、明确作出，且可随时撤回（第 14—16 条）。

敏感个人信息（生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹，以及不满十四周岁未成年人的信息）须取得单独同意，并具有特定目的、充分必要性及严格保护措施（第 28—32 条）。

向境外提供个人信息（第 38 条）须至少符合一项条件：通过国家网信部门组织的安全评估；经专业机构认证；按标准合同与境外接收方订立合同；或符合法律规定的其他条件。

应告知个人并取得单独同意（第 39 条）。关键信息基础设施运营者及处理达到规定数量的处理者，应在境内存储数据，确需向境外提供的须通过安全评估（第 40 条）。

个人对其个人信息的处理享有知情权、决定权，有权限制或拒绝处理（第 44 条）；有权查阅、复制及请求转移（第 45 条）；有权请求更正、补充（第 46 条）；并在法定情形下请求删除（第 47 条）。处理者应建立便捷的申请受理与处理机制（第 50 条）。

处理者应制定内部管理制度，实行分类管理，采取加密、去标识化等技术措施，合理设定访问权限，开展培训并制定应急预案（第 51 条）。处理达到规定数量的处理者应指定个人信息保护负责人（第 52 条）；境外处理者属适用范围的，应在境内设立机构或指定代表（第 53 条）。

处理敏感个人信息、自动化决策、对外提供或公开、跨境提供等，须事前进行个人信息保护影响评估（第 55 条）。发生安全事件应立即采取补救措施并通知（第 57 条）。

国家网信部门统筹协调个人信息保护工作与监督管理（第 60 条）。情节严重的违法行为可被（第 66 条）责令改正、没收违法所得，并处最高五千万元或上一年度营业额百分之五的罚款，可责令暂停业务，对直接责任人员并处罚款。