个人信息保护法——你的数据权利和防护方法
时间遗书编辑部 · 更新于 2026-07-05 · 产品团队审核
《个人信息保护法》2021 年施行,赋予个人对自身信息的知情权、决定权、查阅复制权、更正补充权和删除权。企业收集个人信息必须告知目的、取得同意、最小必要,并承担安全保障义务。个人维权可向网信办投诉或提起诉讼。本文讲清楚法律权利、企业义务和个人防护的边界。
2021 年 11 月 1 日,《个人信息保护法》正式施行。这是中国第一部专门系统规范个人信息处理的法律。它规定了你能管自己的哪些信息、企业收集数据有什么边界、泄露后怎么维权。本文讲清楚法律权利和实操方法。延伸阅读:个人信息安全。
个人信息保护法管什么
法律保护的"个人信息"范围很广:姓名、身份证号、手机号、人脸、定位、行踪、生物特征、健康数据——只要能识别到具体人的,都算。其中生物识别、宗教信仰、医疗健康、金融账户、行踪轨迹、不满 14 岁儿童信息属于"敏感个人信息",处理规则更严。
- 个人信息范围 — 能识别到具体人的各种信息。
- 敏感个人信息 — 生物识别、医疗、金融、行踪——规则更严。
- 匿名化信息除外 — 无法识别个人的匿名化信息不在范围内。
你有哪些权利
法律赋予个人对自身信息的核心权利包括:知情权、决定权、查阅复制权、更正补充权、删除权和可携带权。简单说——你有权知道谁在收集你的数据、用来干什么、有没有卖给别人;有权要回自己的数据、改错、要求删除。
- 知情决定权 — 谁在收集、为了什么。
- 查阅复制权 — 可以要回自己的数据。
- 更正补充权 — 改掉错误信息。
- 删除权 — 在规定情形下要求删除。
- 可携带权 — 以可用格式接收自己的数据。
企业有什么义务
企业收集和处理个人信息必须遵循合法、正当、必要和诚信原则,明示处理目的方式范围,取得个人同意,且只能处理最小必要的信息。发生或可能发生泄露时,应立即采取补救措施并通知个人。中国法律规定企业不得以"不同意授权"为由拒绝提供非必要服务;美国各州法律不同,加州 CCPA 等给了类似的拒绝权,但适用范围和豁免情形各异。
- 告知同意 — 收集前明示目的、方式、范围。
- 最小必要 — 只处理功能实际需要的信息。
- 安全保障 — 采取技术和管理措施保护数据。
- 泄露通知 — 泄露后立即处置并通知个人。
个人怎么防护
法律给的是事后维权武器,日常防护还得靠自己。授权时遵循最小必要原则——App 要通讯录就问自己要不要给,要定位就关掉用完再开。重要账户开双因素,密码分层管理。具体做法见密码管理指南。
- 权限最小化 — 不用的权限及时收回。
- 强密码 + 2FA — 每个支持的账户都开。
- 定期检查授权 — 定期检查并清理过期授权。
- 敏感数据加密 — 身份证、财务、私钥加密保存。
泄露了怎么维权
发现个人信息被泄露或滥用,第一步固定证据——截图、保存通知记录、记录时间。第二步向运营者要求说明、删除、停止处理。第三步可向网信办、12377 举报中心、12315 投诉。造成财产或精神损失的,可向法院起诉。
- 固定证据 — 截图、记录、通知凭证。
- 要求运营者处理 — 要求说明、删除、停止处理。
- 向主管部门投诉 — 网信办、12377、12315。
- 法院起诉 — 有实际损失可起诉。
死者个人信息怎么处理
法律规定,死者个人信息由近亲属行使查阅、复制、更正、删除等权利。家属处理逝者账号时,建议先整理账号清单和死亡证明,按各平台流程申请。生前把关键凭据和账号说明加密存好、指定接收人,能大幅减轻家属事后负担。延伸阅读:死后数字身份处理指南。
免责声明
本文仅用于个人信息保护知识说明,不构成法律意见。法律条文以全国人大常委会公布文本为准,具体维权和诉讼请咨询专业律师或网信、公安等主管部门。不同地区法律要求不同,美国各州、欧盟 GDPR 与中国法律存在差异,跨境情形请咨询专业机构。
常见问题
Q: 个人信息保护法管哪些信息?
管以电子或其他方式记录的与已识别或可识别自然人有关的各种信息,不包括匿名化处理后的信息。姓名、身份证号、手机号、人脸、定位、生物特征都属个人信息;敏感个人信息有更严格的保护规则。
Q: App 能不能不授权就用?
App 不得以用户不同意处理其个人信息为由,拒绝提供非必要服务。授权应明示目的方式和范围,用户有权撤回同意。基本功能所需授权外,其他授权用户可拒绝。
Q: 个人信息泄露了怎么维权?
先固定证据(截图、通知记录),向运营者要求说明和删除。可向网信办、12377 举报中心投诉,造成损失的可通过法院起诉。建议同时修改密码、开启 2FA、监控账户异常。
Q: 人不在了,个人信息怎么处理?
死者个人信息由近亲属行使查阅、复制、更正、删除等权利。建议家属先收集账号清单和死亡证明,按平台流程申请;关键凭据可由死者生前加密存好并指定接收人。