發布公告
中華人民共和國主席令第九十一号
《中華人民共和國個人信息保護法》已由中華人民共和國第十三屆全國人民代表大會常務委員會第三十次會議于2021年8月20日通過,現予公布,自2021年11月1日起施行。
中華人民共和國主席習近平。
2021年8月20日。
立法經過
2019年10月20日,司法部副部長趙大程在論壇上介紹,個人信息保護法已列入十三屆全國人大常委會立法規劃,相關工作正在加快推進,數據法律保護體系将得到進一步的健全和完善。
2019年12月20日,全國人大常委會法工委舉行第三次記者會,全國人大常委會法工委發言人嶽仲明介紹全國人大常委會2020年立法工作安排。計劃制定個人信息保護法。
2020年11月,《中華人民共和國個人信息保護法(草案)》對情節嚴重違法行為的處罰可高達5000萬元,個人隐私保護即将迎來風清氣正的新階段。
2021年4月26日,提請全國人大常委會二次審議的個人信息保護法草案拟規定,提供基礎性互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者,應成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監督,并要求其定期發布個人信息保護社會責任報告等。
2021年8月20日,十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》。自2021年11月1日起施行。
法律全文
中華人民共和國個人信息保護法
(2021年8月20日第十三屆全國人民代表大會常務委員會第三十次會議通過)
目錄
第一章總則
第二章個人信息處理規則
第一節一般規定
第二節敏感個人信息的處理規則
第三節國家機關處理個人信息的特别規定
第三章個人信息跨境提供的規則
第四章個人在個人信息處理活動中的權利
第五章個人信息處理者的義務
第六章履行個人信息保護職責的部門
第七章法律責任
第八章附則
第一章總則
第一條為了保護個人信息權益,規範個人信息處理活動,促進個人信息合理利用,根據憲法,制定本法。
第二條自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益。
第三條在中華人民共和國境内處理自然人個人信息的活動,适用本法。
在中華人民共和國境外處理中華人民共和國境内自然人個人信息的活動,有下列情形之一的,也适用本法:
(一)以向境内自然人提供産品或者服務為目的;
(二)分析、評估境内自然人的行為;
(三)法律、行政法規規定的其他情形。
第四條個人信息是以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種信息,不包括匿名化處理後的信息。
個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、删除等。
第五條處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。
第六條處理個人信息應當具有明确、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。
收集個人信息,應當限于實現處理目的的最小範圍,不得過度收集個人信息。
第七條處理個人信息應當遵循公開、透明原則,公開個人信息處理規則,明示處理的目的、方式和範圍。
第八條處理個人信息應當保證個人信息的質量,避免因個人信息不準确、不完整對個人權益造成不利影響。
第九條個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。
第十條任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
第十一條國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關社會組織、公衆共同參與個人信息保護的良好環境。
第十二條國家積極參與個人信息保護國際規則的制定,促進個人信息保護方面的國際交流與合作,推動與其他國家、地區、國際組織之間的個人信息保護規則、标準等互認。
第二章個人信息處理規則
第一節一般規定
第十三條符合下列情形之一的,個人信息處理者方可處理個人信息:
(一)取得個人的同意;
(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和财産安全所必需;
(五)為公共利益實施新聞報道、輿論監督等行為,在合理的範圍内處理個人信息;
(六)依照本法規定在合理的範圍内處理個人自行公開或者其他已經合法公開的個人信息;
(七)法律、行政法規規定的其他情形。
依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
第十四條基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自願、明确作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
第十五條基于個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。
個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力。
第十六條個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供産品或者服務;處理個人信息屬于提供産品或者服務所必需的除外。
第十七條個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準确、完整地向個人告知下列事項:
(一)個人信息處理者的名稱或者姓名和聯系方式;
(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)個人行使本法規定權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當将變更部分告知個人。
個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,并且便于查閱和保存。
第十八條個人信息處理者處理個人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條第一款規定的事項。
緊急情況下為保護自然人的生命健康和财産安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除後及時告知。
第十九條除法律、行政法規另有規定外,個人信息的保存期限應當為實現處理目的所必要的最短時間。
第二十條兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。
個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的,應當依法承擔連帶責任。
第二十一條個人信息處理者委托處理個人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托人的個人信息處理活動進行監督。
受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托合同不生效、無效、被撤銷或者終止的,受托人應當将個人信息返還個人信息處理者或者予以删除,不得保留。
未經個人信息處理者同意,受托人不得轉委托他人處理個人信息。
第二十二條個人信息處理者因合并、分立、解散、被宣告破産等原因需要轉移個人信息的,應當向個人告知接收方的名稱或者姓名和聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
第二十三條個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等範圍内處理個人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。
第二十四條個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差别待遇。
通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
第二十五條個人信息處理者不得公開其處理的個人信息,取得個人單獨同意的除外。
第二十六條在公共場所安裝圖像采集、個人身份識别設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示标識。所收集的個人圖像、身份識别信息隻能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。
第二十七條個人信息處理者可以在合理的範圍内處理個人自行公開或者其他已經合法公開的個人信息;個人明确拒絕的除外。個人信息處理者處理已公開的個人信息,對個人權益有重大影響的,應當依照本法規定取得個人同意。
第二節敏感個人信息的處理規則
第二十八條敏感個人信息是一旦洩露或者非法使用,容易導緻自然人的人格尊嚴受到侵害或者人身、财産安全受到危害的個人信息,包括生物識别、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌迹等信息,以及不滿十四周歲未成年人的個人信息。
隻有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。
第二十九條處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。
第三十條個人信息處理者處理敏感個人信息的,除本法第十七條第一款規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響;依照本法規定可以不向個人告知的除外。
第三十一條個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意。
個人信息處理者處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。
第三十二條法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作出其他限制的,從其規定。
第三節國家機關處理個人信息的特别規定
第三十三條國家機關處理個人信息的活動,适用本法;本節有特别規定的,适用本節規定。
第三十四條國家機關為履行法定職責處理個人信息,應當依照法律、行政法規規定的權限、程序進行,不得超出履行法定職責所必需的範圍和限度。
第三十五條國家機關為履行法定職責處理個人信息,應當依照本法規定履行告知義務;有本法第十八條第一款規定的情形,或者告知将妨礙國家機關履行法定職責的除外。
第三十六條國家機關處理的個人信息應當在中華人民共和國境内存儲;确需向境外提供的,應當進行安全評估。安全評估可以要求有關部門提供支持與協助。
第三十七條法律、法規授權的具有管理公共事務職能的組織為履行法定職責處理個人信息,适用本法關于國家機關處理個人信息的規定。
第三章個人信息跨境提供的規則
第三十八條個人信息處理者因業務等需要,确需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:
(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)按照國家網信部門制定的标準合同與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。
個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護标準。
第三十九條個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,并取得個人的單獨同意。
第四十條關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當将在中華人民共和國境内收集和産生的個人信息存儲在境内。确需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
第四十一條中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供存儲于境内個人信息的請求。非經中華人民共和國主管機關批準,個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境内的個人信息。
第四十二條境外的組織、個人從事侵害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以将其列入限制或者禁止個人信息提供清單,予以公告,并采取限制或者禁止向其提供個人信息等措施。
第四十三條任何國家或者地區在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。
第四章個人在個人信息處理活動中的權利
第四十四條個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。
第四十五條個人有權向個人信息處理者查閱、複制其個人信息;有本法第十八條第一款、第三十五條規定情形的除外。
個人請求查閱、複制其個人信息的,個人信息處理者應當及時提供。
個人請求将個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。
第四十六條個人發現其個人信息不準确或者不完整的,有權請求個人信息處理者更正、補充。
個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,并及時更正、補充。
第四十七條有下列情形之一的,個人信息處理者應當主動删除個人信息;個人信息處理者未删除的,個人有權請求删除:
(一)處理目的已實現、無法實現或者為實現處理目的不再必要;
(二)個人信息處理者停止提供産品或者服務,或者保存期限已屆滿;
(三)個人撤回同意;
(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;
(五)法律、行政法規規定的其他情形。
法律、行政法規規定的保存期限未屆滿,或者删除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。
第四十八條個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。
第四十九條自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使本章規定的查閱、複制、更正、删除等權利;死者生前另有安排的除外。
第五十條個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。
個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。
第五章個人信息處理者的義務
第五十一條個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列措施确保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息洩露、篡改、丢失:
(一)制定内部管理制度和操作規程;
(二)對個人信息實行分類管理;
(三)采取相應的加密、去标識化等安全技術措施;
(四)合理确定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;
(五)制定并組織實施個人信息安全事件應急預案;
(六)法律、行政法規規定的其他措施。
第五十二條處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。
個人信息處理者應當公開個人信息保護負責人的聯系方式,并将個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
第五十三條本法第三條第二款規定的中華人民共和國境外的個人信息處理者,應當在中華人民共和國境内設立專門機構或者指定代表,負責處理個人信息保護相關事務,并将有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。
第五十四條個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
第五十五條有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄:
(一)處理敏感個人信息;
(二)利用個人信息進行自動化決策;
(三)委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息;
(四)向境外提供個人信息;
(五)其他對個人權益有重大影響的個人信息處理活動。
第五十六條個人信息保護影響評估應當包括下列内容:
(一)個人信息的處理目的、處理方式等是否合法、正當、必要;
(二)對個人權益的影響及安全風險;
(三)所采取的保護措施是否合法、有效并與風險程度相适應。
個人信息保護影響評估報告和處理情況記錄應當至少保存三年。
第五十七條發生或者可能發生個人信息洩露、篡改、丢失的,個人信息處理者應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人。通知應當包括下列事項:
(一)發生或者可能發生個人信息洩露、篡改、丢失的信息種類、原因和可能造成的危害;
(二)個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施;
(三)個人信息處理者的聯系方式。
個人信息處理者采取措施能夠有效避免信息洩露、篡改、丢失造成危害的,個人信息處理者可以不通知個人;履行個人信息保護職責的部門認為可能造成危害的,有權要求個人信息處理者通知個人。
第五十八條提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者,應當履行下列義務:
(一)按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;
(二)遵循公開、公平、公正的原則,制定平台規則,明确平台内産品或者服務提供者處理個人信息的規範和保護個人信息的義務;
(三)對嚴重違反法律、行政法規處理個人信息的平台内的産品或者服務提供者,停止提供服務;
(四)定期發布個人信息保護社會責任報告,接受社會監督。
第五十九條接受委托處理個人信息的受托人,應當依照本法和有關法律、行政法規的規定,采取必要措施保障所處理的個人信息的安全,并協助個人信息處理者履行本法規定的義務。
第六章履行個人信息保護職責的部門
第六十條國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責範圍内負責個人信息保護和監督管理工作。
縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定确定。
前兩款規定的部門統稱為履行個人信息保護職責的部門。
第六十一條履行個人信息保護職責的部門履行下列個人信息保護職責:
(一)開展個人信息保護宣傳教育,指導、監督個人信息處理者開展個人信息保護工作;
(二)接受、處理與個人信息保護有關的投訴、舉報;
(三)組織對應用程序等個人信息保護情況進行測評,并公布測評結果;
(四)調查、處理違法個人信息處理活動;
(五)法律、行政法規規定的其他職責。
第六十二條國家網信部門統籌協調有關部門依據本法推進下列個人信息保護工作:
(一)制定個人信息保護具體規則、标準;
(二)針對小型個人信息處理者、處理敏感個人信息以及人臉識别、人工智能等新技術、新應用,制定專門的個人信息保護規則、标準;
(三)支持研究開發和推廣應用安全、方便的電子身份認證技術,推進網絡身份認證公共服務建設;
(四)推進個人信息保護社會化服務體系建設,支持有關機構開展個人信息保護評估、認證服務;
(五)完善個人信息保護投訴、舉報工作機制。
第六十三條履行個人信息保護職責的部門履行個人信息保護職責,可以采取下列措施:
(一)詢問有關當事人,調查與個人信息處理活動有關的情況;
(二)查閱、複制當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料;
(三)實施現場檢查,對涉嫌違法的個人信息處理活動進行調查;
(四)檢查與個人信息處理活動有關的設備、物品;對有證據證明是用于違法個人信息處理活動的設備、物品,向本部門主要負責人書面報告并經批準,可以查封或者扣押。
履行個人信息保護職責的部門依法履行職責,當事人應當予以協助、配合,不得拒絕、阻撓。
第六十四條履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施,進行整改,消除隐患。
履行個人信息保護職責的部門在履行職責中,發現違法處理個人信息涉嫌犯罪的,應當及時移送公安機關依法處理。
第六十五條任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理,并将處理結果告知投訴、舉報人。
履行個人信息保護職責的部門應當公布接受投訴、舉報的聯系方式。
第七章法律責任
第六十六條違反本法規定處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
有前款規定的違法行為,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限内擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
第六十七條有本法規定的違法行為的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。
第六十八條國家機關不履行本法規定的個人信息保護義務的,由其上級機關或者履行個人信息保護職責的部門責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。
履行個人信息保護職責的部門的工作人員玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予處分。
第六十九條處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。
前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益确定;個人因此受到的損失和個人信息處理者因此獲得的利益難以确定的,根據實際情況确定賠償數額。
第七十條個人信息處理者違反本法規定處理個人信息,侵害衆多個人的權益的,人民檢察院、法律規定的消費者組織和由國家網信部門确定的組織可以依法向人民法院提起訴訟。
第七十一條違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第八章附則
第七十二條自然人因個人或者家庭事務處理個人信息的,不适用本法。
法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的,适用其規定。
第七十三條本法下列用語的含義:
(一)個人信息處理者,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。
(二)自動化決策,是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動。
(三)去标識化,是指個人信息經過處理,使其在不借助額外信息的情況下無法識别特定自然人的過程。
(四)匿名化,是指個人信息經過處理無法識别特定自然人且不能複原的過程。
第七十四條本法自2021年11月1日起施行。
草案說明
關于《中華人民共和國個人信息保護法(草案)》的說明
一、關于制定本法的必要性
随着信息化與經濟社會持續深度融合,網絡已成為生産生活的新空間、經濟發展的新引擎、交流合作的新紐帶。截至2020年3月,中國互聯網用戶已達9億,互聯網網站超過400萬個、應用程序數量超過300萬個,個人信息的收集、使用更為廣泛。
雖然近年來中國個人信息保護力度不斷加大,但在現實生活中,一些企業、機構甚至個人,從商業利益等出發,随意收集、違法獲取、過度使用、非法買賣個人信息,利用個人信息侵擾人民群衆生活安甯、危害人民群衆生命健康和财産安全等問題仍十分突出。
在信息化時代,個人信息保護已成為廣大人民群衆最關心最直接最現實的利益問題之一。社會各方面廣泛呼籲出台專門的個人信息保護法,本屆以來,全國人大代表共有340人次提出39件相關議案、建議,全國政協委員共提出相關提案32件。黨中央高度重視網絡空間法治建設,對個人信息保護立法工作作出部署。
習近平總書記多次強調,要堅持網絡安全為人民、網絡安全靠人民,保障個人信息安全,維護公民在網絡空間的合法權益,對加強個人信息保護工作提出明确要求。為及時回應廣大人民群衆的呼聲和期待,落實黨中央部署要求,制定一部個人信息保護方面的專門法律,将廣大人民群衆的個人信息權益實現好、維護好、發展好,具有重要意義。
第一,制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求。
黨的十八大以來,全國人大及其常委會在制定關于加強網絡信息保護的決定、網絡安全法、電子商務法、修改消費者權益保護法等立法工作中,确立了個人信息保護的主要規則;在修改刑法中,完善了懲治侵害個人信息犯罪的法律制度;在編纂民法典中,将個人信息受法律保護作為一項重要民事權利作出規定。
中國個人信息保護法律制度逐步建立,但仍難以适應信息化快速發展的現實情況和人民日益增長的美好生活需要。因此,應當在現行法律基礎上制定出台專門法律,增強法律規範的系統性、針對性和可操作性,在個人信息保護方面形成更加完備的制度、提供更加有力的法律保障。
第二,制定個人信息保護法是維護網絡空間良好生态的現實需要。
網絡空間是億萬民衆共同的家園,必須在法治軌道上運行。違法收集、使用個人信息等行為不僅損害人民群衆的切身利益,而且危害交易安全,擾亂市場競争,破壞網絡空間秩序。因此,應當制定出台專門法律,以嚴密的制度、嚴格的标準、嚴厲的責任,規範個人信息處理活動,落實企業、機構等個人信息處理者的法律義務和責任,維護網絡空間良好生态。
第三,制定個人信息保護法是促進數字經濟健康發展的重要舉措。
當前,以數據為新生産要素的數字經濟蓬勃發展,數據的競争已成為國際競争的重要領域,而個人信息數據是大數據的核心和基礎。黨的十九大報告提出了建設網絡強國、數字中國、智慧社會的任務要求。按照這一要求,應當統籌個人信息保護與利用,通過立法建立權責明确、保護有效、利用規範的制度規則,在保障個人信息權益的基礎上,促進信息數據依法合理有效利用,推動數字經濟持續健康發展。
二、關于起草工作和把握的幾點
制定個人信息保護法列入了十三屆全國人大常委會立法規劃和年度立法工作計劃。栗戰書委員長和王晨副委員長等常委會領導同志高度重視這項立法工作,多次作出指示批示。2018年全國人大常委會法制工作委員會會同中央網絡安全和信息化委員會辦公室,着手研究起草個人信息保護法草案。
在起草過程中,認真梳理研究近年來全國人大代表、政協委員提出的建議,召開座談會聽取部分全國人大代表的意見;委托專家組開展專題研究,搜集整理中國外立法資料,形成研究報告;通過多種方式深入調研,廣泛征求有關部門、企業和專家等各方面意見。在上述工作的基礎上,經反複研究修改,形成了《中華人民共和國個人信息保護法(草案)》。
起草工作注意把握以下幾點:
一是,堅持立足國情與借鑒國際經驗相結合。從中國實際出發,深入總結網絡安全法等法律、法規、标準的實施經驗,将行之有效的做法和措施上升為法律規範。
從上世紀70年代開始,經濟合作與發展組織、亞太經濟合作組織和歐盟等先後出台了個人信息保護相關準則、指導原則和法規,有140多個國家和地區制定了個人信息保護方面的法律。草案充分借鑒有關國際組織和國家、地區的有益做法,建立健全适應中國個人信息保護和數字經濟發展需要的法律制度。
二是,堅持問題導向和立法前瞻性相結合。既立足于個人信息保護領域存在的突出問題和人民群衆的重大關切,建立完善可行的制度規範。同時,對一些尚存争議的理論問題,在本法中留下必要空間,對新技術新應用帶來的新問題,在充分研究論證的基礎上作出必要規定,體現法律的包容性、前瞻性。
三是,處理好與有關法律的關系。把握權益保護的立法定位,與民法典等有關法律規定相銜接,細化、充實個人信息保護制度規則。同時,與網絡安全法和已提請全國人大常委會審議的數據安全法草案相銜接,對于網絡安全法、數據安全法草案确立的網絡和數據安全監管相關制度措施,本法不再作規定。
三、關于草案的主要内容
草案共八章七十條,主要内容包括:
(一)明确本法适用範圍
一是,對本法相關用語作出界定,規定:個人信息是以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種信息;個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。
二是,明确在中國境内處理個人信息的活動适用本法的同時,借鑒有關國家和地區的做法,賦予本法必要的域外适用效力,以充分保護中國境内個人的權益,規定:以向境内自然人提供産品或者服務為目的,或者為分析、評估境内自然人的行為等發生在中國境外的個人信息處理活動,也适用本法;并要求境外的個人信息處理者在境内設立專門機構或者指定代表,負責個人信息保護相關事務。
(二)健全個人信息處理規則
一是,确立個人信息處理應遵循的原則,強調處理個人信息應當采用合法、正當的方式,具有明确、合理的目的,限于實現處理目的的最小範圍,公開處理規則,保證信息準确,采取安全保護措施等,并将上述原則貫穿于個人信息處理的全過程、各環節。
二是,确立以“告知—同意”為核心的個人信息處理一系列規則,要求處理個人信息應當在事先充分告知的前提下取得個人同意,并且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供産品或者服務。考慮到經濟社會生活的複雜性和個人信息處理的不同情況,草案還對基于個人同意以外合法處理個人信息的情形作了規定。
三是,根據個人信息處理的不同環節、不同個人信息種類,對個人信息的共同處理、委托處理、向第三方提供、公開、用于自動化決策、處理已公開的個人信息等提出有針對性的要求。
四是,設專節對處理敏感個人信息作出更嚴格的限制,隻有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,并且應當取得個人的單獨同意或者書面同意。
五是,設專節規定國家機關處理個人信息的規則,在保障國家機關依法履行職責的同時,要求國家機關處理個人信息應當依照法律、行政法規規定的權限和程序進行。
在應對新冠肺炎疫情中,大數據應用為聯防聯控和複工複産提供了有力支持。為此,草案将應對突發公共衛生事件,或者緊急情況下保護自然人的生命健康,作為處理個人信息的合法情形之一。需要強調的是,在上述情形下處理個人信息,也必須嚴格遵守本法規定的處理規則,履行個人信息保護義務。
(三)完善個人信息跨境提供規則
一是,明确關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者,确需向境外提供個人信息的,應當通過國家網信部門組織的安全評估;對于其他需要跨境提供個人信息的,規定了經專業機構認證等途徑。
二是,對跨境提供個人信息的“告知—同意”作出更嚴格的要求。
三是,對因國際司法協助或者行政執法協助,需要向境外提供個人信息的,要求依法申請有關主管部門批準。
四是,對從事損害中國公民個人信息權益等活動的境外組織、個人,以及在個人信息保護方面對中國采取不合理措施的國家和地區,規定了可以采取的相應措施。
(四)明确個人信息處理活動中個人的權利和處理者義務
一是,與民法典的有關規定相銜接,明确在個人信息處理活動中個人的各項權利,包括知情權、決定權、查詢權、更正權、删除權等,并要求個人信息處理者建立個人行使權利的申請受理和處理機制。
二是,明确個人信息處理者的合規管理和保障個人信息安全等義務,要求其按照規定制定内部管理制度和操作規程,采取相應的安全技術措施,并指定負責人對其個人信息處理活動進行監督;定期對其個人信息活動進行合規審計;對處理敏感個人信息、向境外提供個人信息等高風險處理活動,事前進行風險評估;履行個人信息洩露通知和補救義務等。
(五)關于履行個人信息保護職責的部門
個人信息保護涉及各個領域和多個部門的職責。草案根據個人信息保護工作實際,明确國家網信部門負責個人信息保護工作的統籌協調,發揮其統籌協調作用;同時規定:國家網信部門和國務院有關部門在各自職責範圍内負責個人信息保護和監督管理工作。
此外,草案還對違反本法規定行為的處罰及侵害個人信息權益的民事賠償等作了規定。
