5月25日下午，十三屆全國人大三次會議舉行第二次全體會議。全國人大委員會工作報告(以下簡稱工作報告)提交會議審議。其中圍繞國家安全和社會治理，工作報告中提到，制定生物安全法、個人信息保護法、數(shù)據(jù)安全法，通過刑法修正案 (十一)，修改行政處罰法、人民武裝警察法等。

 

此前消息稱，個人信息保護法正在研究起草中，5月中旬草案稿已經(jīng)形成。關于個人信息保護法的研究起草工作，按照全國人大常委會立法規(guī)劃和立法工作計劃安排，從2018年開始，全國人大常委會發(fā)工會就會同中央網(wǎng)信辦，開始相關工作。

 

2017年我國曾公布了《中華人民共和國個人信息保護法(草案)》，主要目的是規(guī)范個人信息的收集、處理和利用，保護自然人個人信息權以及其他合法權益，促進個人信息的合理利用，規(guī)范個人信息跨境傳輸。事實上，作為大數(shù)據(jù)的重要資源，個人信息隨著大數(shù)據(jù)時代的來臨，頻繁遭遇數(shù)據(jù)泄露和網(wǎng)絡安全事件。不法分子通過數(shù)據(jù)盜取、信息盜用、網(wǎng)絡釣魚、電信詐騙等一系列非法手段，侵犯公民個人信息及隱私，謀取商業(yè)利益。

 

 

中華人民共和國個人信息保護法(草案)

 

目 錄

 

第一章 一般規(guī)定

 

第二章 個人信息權

 

第三章 國家機關信息處理主體對個人信息的收集、處理和利用

 

第四章 非國家機關信息處理主體對個人信息的收集、處理和利用

 

第五章 法律責任

 

 

第一章 一般規(guī)定

 

第1條【立法目的】

 

為規(guī)范個人信息的收集、處理和利用，保護自然人個人信息權以及其他合法權益，促進個人信息的合理利用，規(guī)范個人信息跨境傳輸，特制定本法。

 

 

第2條【適用范圍】

 

本法適用于完全或者部分通過自動方式進行的個人信息處理和可以進行檢索的人工處理。

 

 

第3條【個人信息】

 

是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

 

 

第4條【合法原則】

 

個人信息的收集、處理和利用應當遵循合法、正當、必要的原則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、處理和利用個人信息。

 

 

第5條【知情同意原則】

 

不符合本法或其他法律、法規(guī)規(guī)定，或未經(jīng)信息主體知情同意，不得收集個人信息。收集不需識別信息主體的個人信息，應當消除該信息的識別力，并不得恢復。

 

 

第6條【目的明確原則】

 

個人信息的收集應當有明確而特定的目的，不得偏離有關目的收集個人信息。不得以欺詐、脅迫等其他不正當?shù)氖侄潍@取個人信息。

 

 

第7條【限制利用原則】

 

個人信息的處理和利用，必須與收集目的一致，必要情況下的目的變更應當有法律規(guī)定或取得信息主體的同意或其他正當理由。

 

 

第8條【完整正確原則】

 

信息處理主體應當保證個人信息在利用目的范圍內(nèi)準確、完整并及時更新。

 

 

第9條【安全原則】

 

信息處理主體應當采取合理的安全措施保護個人信息，防止個人信息的意外丟失、毀損，非法收集、處理、利用。

 

網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。

 

 

第10條【可追溯、可異議、可糾錯原則】

 

信息處理主體必須保障個人信息來源渠道和信息使用渠道清晰，確保個人信息可追溯、可異議和可糾錯。

 

 

第二章 個人信息權

 

第11條【個人信息權】

 

自然人的個人信息權包括信息決定、信息保密、信息查詢、信息更正、信息封鎖、信息刪除、信息可攜、被遺忘，依法對自己的個人信息所享有的支配、控制并排除他人侵害的權利。

 

 

第12條【信息決定權】

 

個人信息權人得以直接控制與支配其個人信息，并決定其個人信息是否被收集、處理與利用以及以何種方式、目的、范圍收集、處理與利用。

 

 

第13條【信息保密權】

 

個人信息權人得以請求信息處理主體保持信息隱秘性。

 

 

第14條【信息訪問權】

 

個人信息權人得以查詢、訪問其個人信息及其有關的處理的情況，并要求答復。

 

 

第15條【信息更正權】

 

個人信息權人得以請求信息處理主體對不正確、不全面的個人信息進行更正與補充，或?qū)^時的個人信息進行更新。

 

 

第16條【信息可攜權】

 

信息主體有權就其被收集處理的個人信息獲得對應的副本，并可以在技術可行時直接要求信息控制者將這些個人信息傳輸給另一控制者。

 

 

第17條【信息封鎖權】

 

在法定或約定事由出現(xiàn)時，個人信息權人得以請求信息處理主體以一定方式暫時停止或限制該個人信息的處理。

 

 

第18條【信息刪除權】

 

在法定或約定事由出現(xiàn)時，個人信息權人得以請求信息處理主體無條件刪除其個人信息。

 

 

第19條【被遺忘權】

 

在法定或約定事由出現(xiàn)時，信息主體得以請求信息處理主體無條件斷開與該個人信息的任何鏈接，銷毀該個人信息的副本或復制件。

 

 

第三章 國家機關信息處理主體(以下簡稱“國家機關”)對個人信息的收集、處理和利用

 

第20條【國家機關個人信息收集】

 

國家機關為履行職責或接受其他有權機關的委托可以依法收集個人信息。國家機關應當在職權范圍內(nèi)收集個人信息，沒有信息主體的書面同意或授權，不得超越職權收集個人信息。

 

國家機關應當直接向信息主體收集個人信息，本人委托有代理人的，也可向代理人收集，法律另有規(guī)定或根據(jù)個人信息性質(zhì)不宜從信息主體處收集的除外。

 

 

第21條【國家機關告知義務】

 

國家機關收集個人信息，應當事前公告或告知信息主體或其代理人國家機關的名稱、收集個人信息的法律依據(jù)、目的、處理和利用方式、個人信息收集是否強制、信息主體的權利和不提供個人信息的法律后果。

 

 

第22條【國家機關個人信息的處理和利用】

 

1.國家機關因履行法定職責，并為實現(xiàn)收集個人信息的目的，可以處理和利用個人信息。

 

2.有下列情形之一的，可以在收集目的之外處理或利用個人信息：

 

(1)法律法規(guī)明文規(guī)定的;

 

(2)為維護國家安全、公共安全或增進社會公共利益;

 

(3)為防止信息主體或他人人身或財產(chǎn)上的重大利益遭受侵害所必要的;

 

(4)進行學術研究所必要且無害于信息主體利益的，但研究人員或機構應當對使用的個人信息進行保密;

 

(5)有利于信息主體權益的;

 

(6)信息主體書面同意或授權的;

 

(7)收集的是已公開的個人信息，但信息主體聲明禁止變更目的的除外。

 

3. 為個人信息的保護檢查、個人信息的安全以及確保個人信息處理設備的正常運轉(zhuǎn)目的而存儲的個人信息，僅可依其目的而利用。

 

 

第23條【個人信息的傳輸】

 

1.國家機關之間傳輸個人信息，須滿足以下條件之一：

 

(1)為一方或雙方履行職責所必要;

 

(2)符合第21條第2款的規(guī)定。

 

2.個人信息的接收人應當保證只在傳輸目的范圍內(nèi)處理和利用個人信息。除非符合第21條第2款規(guī)定的情形并獲得傳輸人的同意，接收人不得將個人信息用于其他目的。

 

3. 國家機關向非國家機關信息處理主體傳輸個人信息，須滿足以下條件之一，并告知信息主體或其代理人：

 

(1)非國家機關信息處理主體證明其對他人的個人信息有正當利益;

 

(2)信息主體無合法利益禁止該傳輸。

 

 

第24條【個人信息的跨境傳輸】

 

國家機關需要向境外傳輸個人信息的，應當符合有關專門的法律法規(guī)規(guī)定。如果接收地對個人信息提供的保護措施未達到我國法律規(guī)定的最低保護標準，或者向境外傳輸個人信息違反我國法律或公序良俗的，不得向境外傳輸個人信息。

 

 

第25條【個人信息比對】

 

國家機關為履行職責，與其他國家機關或非國家機關信息處理主體之間通過達成書面比對協(xié)議并符合下列條件之一的，可以進行個人信息比對：

 

(1)為防止危害國家安全和公共安全所必要的;

 

(2)為反恐怖活動、反恐怖融資和反洗錢等所必要的;

 

(3)偵查機關進行刑事偵查所必要的;

 

(4)稅務機關為防止逃稅、騙稅等行為損害國家稅收利益所必要的;

 

(5)為支持學術研究工作或統(tǒng)計項目而進行的個人信息比對，所得到的個人信息不得用于作出與信息主體權益有影響的決定;

 

(6)為得到統(tǒng)計資料，確有進行個人信息比對必要的;

 

(7)為一般行政目的且主要利用國家工作人員的記錄進行個人信息比對的;

 

(8)只利用本機關內(nèi)部個人信息數(shù)據(jù)庫中的個人信息進行比對的，但比對結(jié)果不得用于作出不利于國家工作人員的決定;

 

(9)法律規(guī)定的其他情形。

 

個人信息比對的結(jié)果未經(jīng)該國家機關獨立調(diào)查并證實，或在通知信息主體后未經(jīng)過合理的異議提出及處理終結(jié)期間，不得利用此結(jié)果作出不利于信息主體的決定，但法律規(guī)定有其他情形的不在此限。

 

 

第26條【政策披露】

 

國家機關應當公開有關個人信息的收集、處理和利用的政策，并以政府公告或其他適當方式公告下列信息：

 

(1)個人信息檔案的名稱;

 

(2)個人信息的類別和范圍;

 

(3)個人信息的收集機關、目的、范圍和程序;

 

(4)個人信息的處理和利用機關及目的;

 

(5)個人信息存儲機關的名稱、住所及聯(lián)系方式;

 

(6)個人信息存儲的法律依據(jù)和目的;

 

(7)個人信息傳輸?shù)耐ǔ＝邮杖说拿Q、住所及聯(lián)系方式;

 

(8)跨境傳輸個人信息的直接接收人名稱、住所及聯(lián)系方式;

 

(9)受理查詢、變更、刪除或閱覽等申請的機關的名稱、住所及聯(lián)系方式;

 

(10)拒絕查詢、變更、刪除或閱覽的法律依據(jù)及程序;

 

(11)信息主體享有的各項個人信息權利及法律救濟措施;

 

(12)國家機關及其工作人員的法定義務和不履行本法規(guī)定義務的法律責任;

 

(13)其他應當公開的事項。

 

國家機關披露的信息不應當包括個人信息檔案的內(nèi)容。

 

 

第27條【信息披露的例外】

 

下列各項個人信息檔案不適用前條規(guī)定：

 

1. 有關國家安全、軍事機密或其它重大國防利益的;

 

2. 有關國家重大的外交、經(jīng)濟利益的;

 

3. 有關犯罪、刑事偵查的;

 

4. 個人信息的安全措施;

 

5. 法律規(guī)定不應當公開的其他情形。

 

 

第28條【信息主體的訪問權行使】

 

信息主體有權向國家機關檢索、訪問和查詢其個人信息記錄的內(nèi)容，包括個人信息的來源與接收者。根據(jù)法律或合同關于保留的規(guī)定而不能刪除的個人信息，或僅為個人信息安全和個人信息保護控制的目的保存的個人信息除外。

 

有以下情形之一的，受理機關不得提供查詢：

 

1. 對國家利益、公共利益、公序良俗有害的;

 

2. 會造成信息處理主體不公正履行職責的;

 

3. 事關第三人重大利益而提供信息對信息主體利益影響不大的;

 

4. 法律另有規(guī)定或根據(jù)個人信息性質(zhì)不宜提供的。

 

國家機關應當向信息主體說明其拒絕查詢的法律依據(jù)和理由。

 

 

第29條【提供復制本】

 

信息主體請求提供復制本的，國家機關應當給予便利，可收取適當?shù)某杀举M。但國家機關在第26條規(guī)定的情形下應當拒絕提供復制本。

 

 

第30條【個人信息其他權利的行使】

 

1. 國家機關發(fā)現(xiàn)其存儲的個人信息不正確的，應當依職權予以變更，并予以記錄。信息主體認為其個人信息不正確而請求變更的，在查明事實后，應當予以變更，不予變更的應當向信息主體說明理由，并在記錄簿上作相應記錄。

 

2.個人信息有以下情形之一的，應當被刪除：

 

(1)非法存儲的;

 

(2)國家機關執(zhí)行職責已無知悉該個人信息的必要的。

 

3. 有下列情形之一的，應當以封鎖代替刪除：

 

(1)因法律法規(guī)規(guī)定的或合同約定的保管期限，不得刪除的;

 

(2)有理由認為刪除將損害信息主體的合法利益的;

 

(3)因存儲方式特殊不能刪除或需要過多費用才能刪除的;

 

(4)根據(jù)個人性質(zhì)不宜刪除的。

 

信息主體對個人信息的正確性有爭議，而無法確認其正確與否的，應當予封鎖。

 

4. 國家機關確認在特定情況下若不封鎖個人信息，信息主體的合法利益將受到損害且該機關履行職責已經(jīng)不再需要該個人信息的，應當封鎖該個人信息。

 

5. 符合以下條件，可以傳輸或利用被封鎖的個人信息而無須信息主體的同意：

 

(1)為了信息主體或第三人人身或財產(chǎn)上的重大利益免受損害;

 

(2)為免除公共利益受損害所必須的。

 

6. 依前述第1款和第5款規(guī)定對個人信息進行變更、傳輸或利用，應當通知信息主體。

 

7. 在保護信息主體的合法權益確有必要的前提下，依前述第1、第2、第3或第4款變更、刪除、封鎖個人信息的信息處理主體，應當通知個人信息傳輸?shù)慕邮杖思捌渌嘘P主體。

 

 

第31條【受理期限】

 

國家機關受理信息主體依本法提出的申請后，應當在受理申請之日起15天內(nèi)予以答復，必要情況下需要延長的，該行政機關可以批準延長15天。特殊情況還需要延長的，報請上級主管機關批準。

 

 

第32條【安全措施】

 

國家機關應采取技術措施和其他必要措施，設置專人負責個人信息的安全管理工作，并根據(jù)技術發(fā)展的狀況及時更新安全措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。

 

在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。

 

 

第33條【國家機關工作人員的義務】

 

未經(jīng)授權，國家機關工作人員以及其委托的其他人員不得處理或利用個人信息，并對個人信息負有保密義務，工作結(jié)束后仍承擔該義務。

 

國家機關工作人員對其在履行法定職責過程中所收集、處理或利用的個人信息負有保密義務，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。

 

 

第四章非國家機關信息處理主體對個人信息的收集、處理和利用

 

第34條【適用對象】

 

本節(jié)適用于自然人、法人或其他信息處理主體為了商業(yè)目的或其他職業(yè)目的收集、處理和利用個人信息。

 

 

第35條【非國家機關信息處理主體個人信息收集的資格】

 

非國家機關信息處理主體未經(jīng)登記管理機關進行業(yè)務資格登記并發(fā)給執(zhí)照，不得收集個人信息。

 

征信機構及以個人信息收集或處理為主要業(yè)務的自然人、法人或其他信息處理主體，除非獲得主管部門的批準并經(jīng)登記管理機關進行業(yè)務資格登記并發(fā)給執(zhí)照，不得收集個人信息。

 

 

第36條【信息披露】

 

非國家機關信息處理主體應當于取得收集資格后10日內(nèi)，在政府公告、當?shù)貓蠹埢蚱渌m當?shù)拿襟w上公布下列事項：

 

(1)自然人應公布其姓名、住所和聯(lián)系方式，法人或其他組織應公布其名稱、主營業(yè)地或其法定代表人姓名、住所和聯(lián)系方式;

 

(2)個人信息檔案名稱;

 

(3)保有個人信息檔案的目的;

 

(4)個人信息的類別和范圍;

 

(5)個人信息收集的目的、范圍和程序;

 

(6)個人信息處理或利用的目的和范圍;

 

(7)個人信息檔案的存儲期限和法律依據(jù);

 

(8)個人信息傳輸?shù)耐ǔ＝邮杖说拿Q、住所及聯(lián)系方式;

 

(9)跨國傳輸個人信息的直接接收人名稱、住所及聯(lián)系方式;

 

(10)個人信息檔案維護負責人的姓名和聯(lián)系方式;

 

(11)受理查詢、變更、刪除或閱覽等申請的部門的名稱和住所及聯(lián)系方式;

 

(12)信息主體享有的各項個人信息權利及法律救濟措施。

 

非國家機關信息處理主體披露的信息不應當包括個人信息檔案的內(nèi)容。

 

 

第37條【非國家機信息處理主體關個人信息的收集、處理與利用】

 

1.除非符合下列條件之一，非國家機關信息處理主體不得超出特定目的收集、處理個人信息：

 

(1)信息主體書面同意或授權;

 

(2)與信息主體有合同或類似合同的關系，并不會損害信息主體的合法權益;

 

(3)已公開的個人信息并不會損害信息主體的合法權益;

 

(4)學術研究有必要且無害于信息主體重大利益的，但研究人員或機構應當采取必要的保密措施;

 

(5)法律法規(guī)規(guī)定的其他情形。

 

2.除非符合下列條件之一，非國家機關信息處理主體不得超出特定目的利用個人信息：

 

(1)為保護公共利益;

 

(2)為免除信息主體人身或財產(chǎn)上的緊迫危險;

 

(3)防止他人權益的重大危害而有必要的;

 

(4)信息主體書面同意或授權;

 

(5)履行法定義務的。

 

(6) 為個人信息保護檢查、個人信息安全、確保個人信息處理設備的正常運轉(zhuǎn)目的而存儲的個人信息，僅可依其目的而利用。

 

 

第38條【準用性規(guī)范】

 

非國家機關信息處理主體收集、處理和利用個人信息準用第三章第21、第22、第26、第27、第28、第29、第30以及第31條的規(guī)定。

 

 

第39條【自律規(guī)范】

 

非國家機關信息處理主體依據(jù)本法制定的自律性規(guī)范，達到本法要求標準的，經(jīng)主管部門審批后具有與本法同等的效力。

 

 

第五章法律責任

 

第40條【損害賠償】

 

國家機關違反本法規(guī)定，給信息主體造成人身或財產(chǎn)上的損失的，應依照本法的規(guī)定承擔損害賠償?shù)让袷仑熑?本法無規(guī)定的，依照《中華人民共和國國家賠償法》的規(guī)定承擔民事責任。

 

非國家機關信息處理主體違反本法規(guī)定，給信息主體造成人身或財產(chǎn)上的損失的，應依照本法的規(guī)定承擔損害賠償?shù)让袷仑熑?本法無規(guī)定的，依照民法及其他法律法規(guī)的規(guī)定承擔民事責任。

 

 

第41條【精神損害賠償】

 

國家機關和非國家機關信息處理主體依本法第39條承擔責任的，信息主體對其非物質(zhì)損失可以主張精神損害賠償。

 

 

第42條【共同侵權】

 

發(fā)生侵權時，信息主體無法確認侵權人的，可以向有權收集、利用或處理個人信息的兩個或兩個以上的相關主體主張損害賠償。

 

 

第43條【其他法律責任】

 

違反本法規(guī)定，構成違反行政法律法規(guī)的行為，依法承擔行政法律責任;構成犯罪的，依法追究刑事責任。

 

 

第44條【相關名詞定義】

 

在本法中，

 

1.“信息主體”指產(chǎn)生個人信息并享有個人信息權利的自然人。

 

2.“信息處理主體” 指信息主體以外的對個人信息進行處理的自然人、法人以及其他組織。

 

3.“國家機關”指行使國家權力管理國家事務的機關.包括國家權力機關、國家行政機關、審判機關、檢察機關和軍隊等。

 

4.“非國家機關信息處理主體”指國家機關與被授權行使國家機關職能的單位或部門以外的信息處理主體。

 

5.“第三人”指信息主體、信息處理主體以及在本法適用范圍內(nèi)被委托處理或利用個人信息的人之外的任何人。

 

6.“收集”指以利用為目的取得信息主體的個人信息。

 

7.“處理”指以自動化方式或人工方式對個人信息進行的操作，包括輸入、存儲、編輯、檢索、變更、補充、刪除、傳送、封鎖以及其他操作。

 

(1)“輸入”是指將個人信息錄入到磁帶、卡片、硬盤、紙張或其他媒介。

 

(2)“存儲”是指對個人信息保存在磁帶、卡片、硬盤、紙張或其他媒介。

 

(3)“編輯”指對個人信息的編排，包括個人信息的表現(xiàn)形式、格式、版式等的修改。

 

(4)“檢索”指從個人信息記錄中查找需要的個人信息的過程。

 

(5)“變更”指修改已存儲個人信息的內(nèi)容。

 

(6)“補充”指增加已存儲個人信息的內(nèi)容。

 

(7)“刪除”指消除部分或全部已存儲的個人信息記錄，使其不能重現(xiàn)。

 

(8)“傳送”指將已存儲或處理的個人信息在內(nèi)部進行傳遞、連結(jié)或輸出。

 

(9)“封鎖”指對已存儲的個人信息附加符號或其他技術措施限制對該個人信息繼續(xù)處理或利用。

 

8.“利用”指對個人信息進行目的內(nèi)使用、披露、公開、二次開發(fā)、傳輸?shù)忍幚碇獾氖褂谩?/span>

 

9. “個人信息數(shù)據(jù)庫”指國家機關和非國家機關存儲個人信息的數(shù)據(jù)庫。

 

10.“個人信息比對”指為特定目的通過連接兩個或兩個以上的個人信息數(shù)據(jù)庫，利用電腦程序等技術手段對數(shù)據(jù)庫中的個人信息進行比較。