中華人民共和國個人信息保護法(草案)
目錄
第一章 總則
第二章 個人信息處理規則
第一節 一般規定
第二節 敏感個人信息的處理規則
第三節 國家機關處理個人信息的特別規定
第三章 個人信息跨境提供的規則
第四章 個人在個人信息處理活動中的權利
第五章 個人信息處理者的義務
第六章 履行個人信息保護職責的部門
第七章 法律責任
第八章 附則
第一章 總則
第一條 為了保護個人信息權益,規范個人信息處理活動,保障個人信息依法有序自由流動,促進個人信息合理利用,制定本法。
第二條 自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益。
第三條 組織、個人在中華人民共和國境內處理自然人個人信息的活動,適用本法。
在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,有下列情形之一的,也適用本法:
(一)以向境內自然人提供產品或者服務為目的;
(二)為分析、評估境內自然人的行為;
(三)法律、行政法規規定的其他情形。
第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。
個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。
第五條 處理個人信息應當采用合法、正當的方式,遵循誠信原則,不得通過欺詐、誤導等方式處理個人信息。
第六條 處理個人信息應當具有明確、合理的目的,并應當限于實現處理目的的最小范圍,不得進行與處理目的無關的個人信息處理。
第七條 處理個人信息應當遵循公開、透明的原則,明示個人信息處理規則。
第八條 為實現處理目的,所處理的個人信息應當準確,并及時更新。
第九條 個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。
第十條 任何組織、個人不得違反法律、行政法規的規定處理個人信息,不得從事危害國家安全、公共利益的個人信息處理活動。
第十一條 國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關行業組織、社會公眾共同參與個人信息保護的良好環境。
第十二條 國家積極參與個人信息保護國際規則的制定,促進個人信息保護方面的國際交流與合作,推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等的互認。
第二章 個人信息處理規則
第一節 一般規定
第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:
(一)取得個人的同意;
(二)為訂立或者履行個人作為一方當事人的合同所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
(五)為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理個人信息;
(六)法律、行政法規規定的其他情形。
第十四條 處理個人信息的同意,應當由個人在充分知情的前提下,自愿、明確作出意思表示。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
第十五條 個人信息處理者知道或者應當知道其處理的個人信息為不滿十四周歲未成年人個人信息的,應當取得其監護人的同意。
第十六條 基于個人同意而進行的個人信息處理活動,個人有權撤回其同意。
第十七條 個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。
第十八條 個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言向個人告知下列事項:
(一)個人信息處理者的身份和聯系方式;
(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)個人行使本法規定權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,并且便于查閱和保存。
第十九條 個人信息處理者處理個人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條規定的事項。
緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除后予以告知。
第二十條 個人信息的保存期限應當為實現處理目的所必要的最短時間。法律、行政法規對個人信息的保存期限另有規定的,從其規定。
第二十一條 兩個或者兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。
個人信息處理者共同處理個人信息,侵害個人信息權益的,依法承擔連帶責任。
第二十二條 個人信息處理者委托處理個人信息的,應當與受托方約定委托處理的目的、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托方的個人信息處理活動進行監督。
受托方應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息,并應當在合同履行完畢或者委托關系解除后,將個人信息返還個人信息處理者或者予以刪除。
未經個人信息處理者同意,受托方不得轉委托他人處理個人信息。
第二十三條 個人信息處理者因合并、分立等原因需要轉移個人信息的,應當向個人告知接收方的身份、聯系方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新向個人告知并取得其同意。
第二十四條 個人信息處理者向第三方提供其處理的個人信息的,應當向個人告知第三方的身份、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收個人信息的第三方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。第三方變更原先的處理目的、處理方式的,應當依照本法規定重新向個人告知并取得其同意。
個人信息處理者向第三方提供匿名化信息的,第三方不得利用技術等手段重新識別個人身份。
第二十五條 利用個人信息進行自動化決策,應當保證決策的透明度和處理結果的公平合理。個人認為自動化決策對其權益造成重大影響的,有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
通過自動化決策方式進行商業營銷、信息推送,應當同時提供不針對其個人特征的選項。
第二十六條 個人信息處理者不得公開其處理的個人信息;取得個人單獨同意或者法律、行政法規另有規定的除外。
第二十七條 在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供;取得個人單獨同意或者法律、行政法規另有規定的除外。
第二十八條 個人信息處理者處理已公開的個人信息,應當符合該個人信息被公開時的用途;超出與該用途相關的合理范圍的,應當依照本法規定向個人告知并取得其同意。
個人信息被公開時的用途不明確的,個人信息處理者應當合理、謹慎地處理已公開的個人信息;利用已公開的個人信息從事對個人有重大影響的活動,應當依照本法規定向個人告知并取得其同意。
第二節 敏感個人信息的處理規則
第二十九條 個人信息處理者具有特定的目的和充分的必要性,方可處理敏感個人信息。
敏感個人信息是一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。
第三十條 基于個人同意處理敏感個人信息的,個人信息處理者應當取得個人的單獨同意。法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。
第三十一條 個人信息處理者處理敏感個人信息的,除本法第十八條規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人的影響。
第三十二條 法律、行政法規規定處理敏感個人信息應當取得相關行政許可或者作出更嚴格限制的,從其規定。
第三節 國家機關處理個人信息的特別規定
第三十三條 國家機關處理個人信息的活動適用本法;本節有特別規定的,適用本節規定。
第三十四條 國家機關為履行法定職責處理個人信息,應當依照法律、行政法規規定的權限、程序進行,不得超出履行法定職責所必需的范圍和限度。
第三十五條 國家機關為履行法定職責處理個人信息,應當依照本法規定向個人告知并取得其同意;法律、行政法規規定應當保密,或者告知、取得同意將妨礙國家機關履行法定職責的除外。
第三十六條 國家機關不得公開或者向他人提供其處理的個人信息,法律、行政法規另有規定或者取得個人同意的除外。
第三十七條 國家機關處理的個人信息應當在中華人民共和國境內存儲;確需向境外提供的,應當進行風險評估。風險評估可以要求有關部門提供支持與協助。
第三章 個人信息跨境提供的規則
第三十八條個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當至少具備下列一項條件:
(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)與境外接收方訂立合同,約定雙方的權利和義務,并監督其個人信息處理活動達到本法規定的個人信息保護標準;
(四)法律、行政法規或者國家網信部門規定的其他條件。
第三十九條 個人信息處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的身份、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式等事項,并取得個人的單獨同意。
第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
第四十一條 因國際司法協助或者行政執法協助,需要向中華人民共和國境外提供個人信息的,應當依法申請有關主管部門批準。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息有規定的,從其規定。
第四十二條 境外的組織、個人從事損害中華人民共和國公民的個人信息權益,或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的,國家網信部門可以將其列入限制或者禁止個人信息提供清單,予以公告,并采取限制或者禁止向其提供個人信息等措施。
第四十三條 任何國家和地區在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者該地區采取相應措施。
第四章 個人在個人信息處理活動中的權利
第四十四條 個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。
第四十五條 個人有權向個人信息處理者查閱、復制其個人信息;有本法第十九條第一款規定情形的除外。
個人請求查閱、復制其個人信息的,個人信息處理者應當及時提供。
第四十六條 個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充。
個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,并及時更正、補充。
第四十七條 有下列情形之一的,個人信息處理者應當主動或者根據個人的請求,刪除個人信息:
(一)約定的保存期限已屆滿或者處理目的已實現;
(二)個人信息處理者停止提供產品或者服務;
(三)個人撤回同意;
(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;
(五)法律、行政法規規定的其他情形。
法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止處理個人信息。
第四十八條 個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。
第四十九條 個人信息處理者應當建立個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。
第五章 個人信息處理者的義務
第五十條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風險等,采取必要措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露或者被竊取、篡改、刪除:
(一)制定內部管理制度和操作規程;
(二)對個人信息實行分級分類管理;
(三)采取相應的加密、去標識化等安全技術措施;
(四)合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;
(五)制定并組織實施個人信息安全事件應急預案;
(六)法律、行政法規規定的其他措施。
第五十一條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。
個人信息處理者應當公開個人信息保護負責人的姓名、聯系方式等,并報送履行個人信息保護職責的部門。
第五十二條 本法第三條第二款規定的中華人民共和國境外的個人信息處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門。
第五十三條 個人信息處理者應當定期對其個人信息處理活動、采取的保護措施等是否符合法律、行政法規的規定進行審計。履行個人信息保護職責的部門有權要求個人信息處理者委托專業機構進行審計。
第五十四條 個人信息處理者應當對下列個人信息處理活動在事前進行風險評估,并對處理情況進行記錄:
(一)處理敏感個人信息;
(二)利用個人信息進行自動化決策;
(三)委托處理個人信息、向第三方提供個人信息、公開個人信息;
(四)向境外提供個人信息;
(五)其他對個人有重大影響的個人信息處理活動。
風險評估的內容應當包括:
(一)個人信息的處理目的、處理方式等是否合法、正當、必要;
(二)對個人的影響及風險程度;
(三)所采取的安全保護措施是否合法、有效并與風險程度相適應。
風險評估報告和處理情況記錄應當至少保存三年。
第五十五條 個人信息處理者發現個人信息泄露的,應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人。通知應當包括下列事項:
(一)個人信息泄露的原因;
(二)泄露的個人信息種類和可能造成的危害;
(三)已采取的補救措施;
(四)個人可以采取的減輕危害的措施;
(五)個人信息處理者的聯系方式。
個人信息處理者采取措施能夠有效避免信息泄露造成損害的,個人信息處理者可以不通知個人;但是,履行個人信息保護職責的部門認為個人信息泄露可能對個人造成損害的,有權要求個人信息處理者通知個人。
第六章 履行個人信息保護職責的部門
第五十六條 國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作。
縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。
前兩款規定的部門統稱為履行個人信息保護職責的部門。
第五十七條 履行個人信息保護職責的部門履行下列個人信息保護職責:
(一)開展個人信息保護宣傳教育,指導、監督個人信息處理者開展個人信息保護工作;
(二)接受、處理與個人信息保護有關的投訴、舉報;(三)調查、處理違法個人信息處理活動;
(四)法律、行政法規規定的其他職責。
第五十八條 國家網信部門和國務院有關部門按照職責權限組織制定個人信息保護相關規則、標準,推進個人信息保護社會化服務體系建設,支持有關機構開展個人信息保護評估、認證服務。
第五十九條 履行個人信息保護職責的部門履行個人信息保護職責,可以采取下列措施:
(一)詢問有關當事人,調查與個人信息處理活動有關的情況;
(二)查閱、復制當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料;
(三)實施現場檢查,對涉嫌違法個人信息處理活動進行調查;
(四)檢查與個人信息處理活動有關的設備、物品;對有證據證明是違法個人信息處理活動的設備、物品,可以查封或者扣押。
履行個人信息保護職責的部門依法履行職責,當事人應當予以協助、配合,不得拒絕、阻撓。
第六十條 履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談。個人信息處理者應當按照要求采取措施,進行整改,消除隱患。
第六十一條 任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理,并將處理結果告知投訴、舉報人。履行個人信息保護職責的部門應當公布接受投訴、舉報的聯系方式。
第七章 法律責任
第六十二條 違反本法規定處理個人信息,或者處理個人信息未按照規定采取必要的安全保護措施的,由履行個人信息保護職責的部門責令改正,沒收違法所得,給予警告;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
有前款規定的違法行為,情節嚴重的,由履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。
第六十三條 有本法規定的違法行為的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。
第六十四條 國家機關不履行本法規定的個人信息保護義務的,由其上級機關或者履行個人信息保護職責的部門責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。
第六十五條 因個人信息處理活動侵害個人信息權益的,按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔賠償責任;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,由人民法院根據實際情況確定賠償數額。個人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責任。
第六十六條 個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,人民檢察院、履行個人信息保護職責的部門和國家網信部門確定的組織可以依法向人民法院提起訴訟。
第六十七條 違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第八章 附則
第六十八條 自然人因個人或者家庭事務而處理個人信息的,不適用本法。
法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的,適用其規定。
第六十九條 本法下列用語的含義:
(一)個人信息處理者,是指自主決定處理目的、處理方式等個人信息處理事項的組織、個人。
(二)自動化決策,是指利用個人信息對個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,通過計算機程序自動分析、評估并進行決策的活動。
(三)去標識化,是指個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。
(四)匿名化,是指個人信息經過處理無法識別特定自然人且不能復原的過程。
第七十條 本法自年 月 日起施行。