020年5月25日下午，十三届全国人大三次会议举行第二次全体会议。全国人大委员会工作报告(以下简称工作报告)提交会议审议。其中围绕国家安全和社会治理，工作报告中提到，制定生物安全法、个人信息保护法、数据安全法，通过刑法修正案 (十一)，修改行政处罚法、人民武装警察法等。

此前消息称，个人信息保护法正在研究起草中，5月中旬草案稿已经形成。关于个人信息保护法的研究起草工作，按照全国人大常委会立法规划和立法工作计划安排，从2018年开始，全国人大常委会发工会就会同中央网信办，开始相关工作。

2017年我国曾公布了《中华人民共和国个人信息保护法(草案)》，主要目的是规范个人信息的收集、处理和利用，保护自然人个人信息权以及其他合法权益，促进个人信息的合理利用，规范个人信息跨境传输。事实上，作为大数据的重要资源，个人信息随着大数据时代的来临，频繁遭遇数据泄露和网络安全事件。不法分子通过数据盗取、信息盗用、网络钓鱼、电信诈骗等一系列非法手段，侵犯公民个人信息及隐私，谋取商业利益。

中华人民共和国个人信息保护法(草案)

目 录

第一章 一般规定

第二章 个人信息权

第三章 国家机关信息处理主体对个人信息的收集、处理和利用

第四章 非国家机关信息处理主体对个人信息的收集、处理和利用

第五章 法律责任

第一章 一般规定

第1条【立法目的】

为规范个人信息的收集、处理和利用，保护自然人个人信息权以及其他合法权益，促进个人信息的合理利用，规范个人信息跨境传输，特制定本法。

第2条【适用范围】

本法适用于完全或者部分通过自动方式进行的个人信息处理和可以进行检索的人工处理。

第3条【个人信息】

是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

第4条【合法原则】

个人信息的收集、处理和利用应当遵循合法、正当、必要的原则，不得违反法律、法规的规定和双方的约定收集、处理和利用个人信息。

第5条【知情同意原则】

不符合本法或其他法律、法规规定，或未经信息主体知情同意，不得收集个人信息。收集不需识别信息主体的个人信息，应当消除该信息的识别力，并不得恢复。

第6条【目的明确原则】

个人信息的收集应当有明确而特定的目的，不得偏离有关目的收集个人信息。不得以欺诈、胁迫等其他不正当的手段获取个人信息。

第7条【限制利用原则】

个人信息的处理和利用，必须与收集目的一致，必要情况下的目的变更应当有法律规定或取得信息主体的同意或其他正当理由。

第8条【完整正确原则】

信息处理主体应当保证个人信息在利用目的范围内准确、完整并及时更新。

第9条【安全原则】

信息处理主体应当采取合理的安全措施保护个人信息，防止个人信息的意外丢失、毁损，非法收集、处理、利用。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

第10条【可追溯、可异议、可纠错原则】

信息处理主体必须保障个人信息来源渠道和信息使用渠道清晰，确保个人信息可追溯、可异议和可纠错。

第二章 个人信息权

第11条【个人信息权】

自然人的个人信息权包括信息决定、信息保密、信息查询、信息更正、信息封锁、信息删除、信息可携、被遗忘，依法对自己的个人信息所享有的支配、控制并排除他人侵害的权利。

第12条【信息决定权】

个人信息权人得以直接控制与支配其个人信息，并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用。

第13条【信息保密权】

个人信息权人得以请求信息处理主体保持信息隐秘性。

第14条【信息访问权】

个人信息权人得以查询、访问其个人信息及其有关的处理的情况，并要求答复。

第15条【信息更正权】

个人信息权人得以请求信息处理主体对不正确、不全面的个人信息进行更正与补充，或对过时的个人信息进行更新。

第16条【信息可携权】

信息主体有权就其被收集处理的个人信息获得对应的副本，并可以在技术可行时直接要求信息控制者将这些个人信息传输给另一控制者。

第17条【信息封锁权】

在法定或约定事由出现时，个人信息权人得以请求信息处理主体以一定方式暂时停止或限制该个人信息的处理。

第18条【信息删除权】

在法定或约定事由出现时，个人信息权人得以请求信息处理主体无条件删除其个人信息。

第19条【被遗忘权】

在法定或约定事由出现时，信息主体得以请求信息处理主体无条件断开与该个人信息的任何链接，销毁该个人信息的副本或复制件。

第三章 国家机关信息处理主体(以下简称“国家机关”)对个人信息的收集、处理和利用

第20条【国家机关个人信息收集】

国家机关为履行职责或接受其他有权机关的委托可以依法收集个人信息。国家机关应当在职权范围内收集个人信息，没有信息主体的书面同意或授权，不得超越职权收集个人信息。

国家机关应当直接向信息主体收集个人信息，本人委托有代理人的，也可向代理人收集，法律另有规定或根据个人信息性质不宜从信息主体处收集的除外。

第21条【国家机关告知义务】

国家机关收集个人信息，应当事前公告或告知信息主体或其代理人国家机关的名称、收集个人信息的法律依据、目的、处理和利用方式、个人信息收集是否强制、信息主体的权利和不提供个人信息的法律后果。

第22条【国家机关个人信息的处理和利用】

1.国家机关因履行法定职责，并为实现收集个人信息的目的，可以处理和利用个人信息。

2.有下列情形之一的，可以在收集目的之外处理或利用个人信息：

(1)法律法规明文规定的;

(2)为维护国家安全、公共安全或增进社会公共利益;

(3)为防止信息主体或他人人身或财产上的重大利益遭受侵害所必要的;

(4)进行学术研究所必要且无害于信息主体利益的，但研究人员或机构应当对使用的个人信息进行保密;

(5)有利于信息主体权益的;

(6)信息主体书面同意或授权的;

(7)收集的是已公开的个人信息，但信息主体声明禁止变更目的的除外。

3. 为个人信息的保护检查、个人信息的安全以及确保个人信息处理设备的正常运转目的而存储的个人信息，仅可依其目的而利用。

第23条【个人信息的传输】

1.国家机关之间传输个人信息，须满足以下条件之一：

(1)为一方或双方履行职责所必要;

(2)符合第21条第2款的规定。

2.个人信息的接收人应当保证只在传输目的范围内处理和利用个人信息。除非符合第21条第2款规定的情形并获得传输人的同意，接收人不得将个人信息用于其他目的。

3. 国家机关向非国家机关信息处理主体传输个人信息，须满足以下条件之一，并告知信息主体或其代理人：

(1)非国家机关信息处理主体证明其对他人的个人信息有正当利益;

(2)信息主体无合法利益禁止该传输。

第24条【个人信息的跨境传输】

国家机关需要向境外传输个人信息的，应当符合有关专门的法律法规规定。如果接收地对个人信息提供的保护措施未达到我国法律规定的最低保护标准，或者向境外传输个人信息违反我国法律或公序良俗的，不得向境外传输个人信息。

第25条【个人信息比对】

国家机关为履行职责，与其他国家机关或非国家机关信息处理主体之间通过达成书面比对协议并符合下列条件之一的，可以进行个人信息比对：

(1)为防止危害国家安全和公共安全所必要的;

(2)为反恐怖活动、反恐怖融资和反洗钱等所必要的;

(3)侦查机关进行刑事侦查所必要的;

(4)税务机关为防止逃税、骗税等行为损害国家税收利益所必要的;

(5)为支持学术研究工作或统计项目而进行的个人信息比对，所得到的个人信息不得用于作出与信息主体权益有影响的决定;

(6)为得到统计资料，确有进行个人信息比对必要的;

(7)为一般行政目的且主要利用国家工作人员的记录进行个人信息比对的;

(8)只利用本机关内部个人信息数据库中的个人信息进行比对的，但比对结果不得用于作出不利于国家工作人员的决定;

(9)法律规定的其他情形。

个人信息比对的结果未经该国家机关独立调查并证实，或在通知信息主体后未经过合理的异议提出及处理终结期间，不得利用此结果作出不利于信息主体的决定，但法律规定有其他情形的不在此限。

第26条【政策披露】

国家机关应当公开有关个人信息的收集、处理和利用的政策，并以政府公告或其他适当方式公告下列信息：

(1)个人信息档案的名称;

(2)个人信息的类别和范围;

(3)个人信息的收集机关、目的、范围和程序;

(4)个人信息的处理和利用机关及目的;

(5)个人信息存储机关的名称、住所及联系方式;

(6)个人信息存储的法律依据和目的;

(7)个人信息传输的通常接收人的名称、住所及联系方式;

(8)跨境传输个人信息的直接接收人名称、住所及联系方式;

(9)受理查询、变更、删除或阅览等申请的机关的名称、住所及联系方式;

(10)拒绝查询、变更、删除或阅览的法律依据及程序;

(11)信息主体享有的各项个人信息权利及法律救济措施;

(12)国家机关及其工作人员的法定义务和不履行本法规定义务的法律责任;

(13)其他应当公开的事项。

国家机关披露的信息不应当包括个人信息档案的内容。

第27条【信息披露的例外】

下列各项个人信息档案不适用前条规定：

1. 有关国家安全、军事机密或其它重大国防利益的;

2. 有关国家重大的外交、经济利益的;

3. 有关犯罪、刑事侦查的;

4. 个人信息的安全措施;

5. 法律规定不应当公开的其他情形。

第28条【信息主体的访问权行使】

信息主体有权向国家机关检索、访问和查询其个人信息记录的内容，包括个人信息的来源与接收者。根据法律或合同关于保留的规定而不能删除的个人信息，或仅为个人信息安全和个人信息保护控制的目的保存的个人信息除外。

有以下情形之一的，受理机关不得提供查询：

1. 对国家利益、公共利益、公序良俗有害的;

2. 会造成信息处理主体不公正履行职责的;

3. 事关第三人重大利益而提供信息对信息主体利益影响不大的;

4. 法律另有规定或根据个人信息性质不宜提供的。

国家机关应当向信息主体说明其拒绝查询的法律依据和理由。

第29条【提供复制本】

信息主体请求提供复制本的，国家机关应当给予便利，可收取适当的成本费。但国家机关在第26条规定的情形下应当拒绝提供复制本。

第30条【个人信息其他权利的行使】

1. 国家机关发现其存储的个人信息不正确的，应当依职权予以变更，并予以记录。信息主体认为其个人信息不正确而请求变更的，在查明事实后，应当予以变更，不予变更的应当向信息主体说明理由，并在记录簿上作相应记录。

2.个人信息有以下情形之一的，应当被删除：

(1)非法存储的;

(2)国家机关执行职责已无知悉该个人信息的必要的。

3. 有下列情形之一的，应当以封锁代替删除：

(1)因法律法规规定的或合同约定的保管期限，不得删除的;

(2)有理由认为删除将损害信息主体的合法利益的;

(3)因存储方式特殊不能删除或需要过多费用才能删除的;

(4)根据个人性质不宜删除的。

信息主体对个人信息的正确性有争议，而无法确认其正确与否的，应当予封锁。

4. 国家机关确认在特定情况下若不封锁个人信息，信息主体的合法利益将受到损害且该机关履行职责已经不再需要该个人信息的，应当封锁该个人信息。

5. 符合以下条件，可以传输或利用被封锁的个人信息而无须信息主体的同意：

(1)为了信息主体或第三人人身或财产上的重大利益免受损害;

(2)为免除公共利益受损害所必须的。

6. 依前述第1款和第5款规定对个人信息进行变更、传输或利用，应当通知信息主体。

7. 在保护信息主体的合法权益确有必要的前提下，依前述第1、第2、第3或第4款变更、删除、封锁个人信息的信息处理主体，应当通知个人信息传输的接收人及其他有关主体。

第31条【受理期限】

国家机关受理信息主体依本法提出的申请后，应当在受理申请之日起15天内予以答复，必要情况下需要延长的，该行政机关可以批准延长15天。特殊情况还需要延长的，报请上级主管机关批准。

第32条【安全措施】

国家机关应采取技术措施和其他必要措施，设置专人负责个人信息的安全管理工作，并根据技术发展的状况及时更新安全措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。

在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

第33条【国家机关工作人员的义务】

未经授权，国家机关工作人员以及其委托的其他人员不得处理或利用个人信息，并对个人信息负有保密义务，工作结束后仍承担该义务。

国家机关工作人员对其在履行法定职责过程中所收集、处理或利用的个人信息负有保密义务，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。

第四章非国家机关信息处理主体对个人信息的收集、处理和利用

第34条【适用对象】

本节适用于自然人、法人或其他信息处理主体为了商业目的或其他职业目的收集、处理和利用个人信息。

第35条【非国家机关信息处理主体个人信息收集的资格】

非国家机关信息处理主体未经登记管理机关进行业务资格登记并发给执照，不得收集个人信息。

征信机构及以个人信息收集或处理为主要业务的自然人、法人或其他信息处理主体，除非获得主管部门的批准并经登记管理机关进行业务资格登记并发给执照，不得收集个人信息。

第36条【信息披露】

非国家机关信息处理主体应当于取得收集资格后10日内，在政府公告、当地报纸或其他适当的媒体上公布下列事项：

(1)自然人应公布其姓名、住所和联系方式，法人或其他组织应公布其名称、主营业地或其法定代表人姓名、住所和联系方式;

(2)个人信息档案名称;

(3)保有个人信息档案的目的;

(4)个人信息的类别和范围;

(5)个人信息收集的目的、范围和程序;

(6)个人信息处理或利用的目的和范围;

(7)个人信息档案的存储期限和法律依据;

(8)个人信息传输的通常接收人的名称、住所及联系方式;

(9)跨国传输个人信息的直接接收人名称、住所及联系方式;

(10)个人信息档案维护负责人的姓名和联系方式;

(11)受理查询、变更、删除或阅览等申请的部门的名称和住所及联系方式;

(12)信息主体享有的各项个人信息权利及法律救济措施。

非国家机关信息处理主体披露的信息不应当包括个人信息档案的内容。

第37条【非国家机信息处理主体关个人信息的收集、处理与利用】

1.除非符合下列条件之一，非国家机关信息处理主体不得超出特定目的收集、处理个人信息：

(1)信息主体书面同意或授权;

(2)与信息主体有合同或类似合同的关系，并不会损害信息主体的合法权益;

(3)已公开的个人信息并不会损害信息主体的合法权益;

(4)学术研究有必要且无害于信息主体重大利益的，但研究人员或机构应当采取必要的保密措施;

(5)法律法规规定的其他情形。

2.除非符合下列条件之一，非国家机关信息处理主体不得超出特定目的利用个人信息：

(1)为保护公共利益;

(2)为免除信息主体人身或财产上的紧迫危险;

(3)防止他人权益的重大危害而有必要的;

(4)信息主体书面同意或授权;

(5)履行法定义务的。

(6) 为个人信息保护检查、个人信息安全、确保个人信息处理设备的正常运转目的而存储的个人信息，仅可依其目的而利用。

第38条【准用性规范】

非国家机关信息处理主体收集、处理和利用个人信息准用第三章第21、第22、第26、第27、第28、第29、第30以及第31条的规定。

第39条【自律规范】

非国家机关信息处理主体依据本法制定的自律性规范，达到本法要求标准的，经主管部门审批后具有与本法同等的效力。

第五章法律责任

第40条【损害赔偿】

国家机关违反本法规定，给信息主体造成人身或财产上的损失的，应依照本法的规定承担损害赔偿等民事责任;本法无规定的，依照《中华人民共和国国家赔偿法》的规定承担民事责任。

非国家机关信息处理主体违反本法规定，给信息主体造成人身或财产上的损失的，应依照本法的规定承担损害赔偿等民事责任;本法无规定的，依照民法及其他法律法规的规定承担民事责任。

第41条【精神损害赔偿】

国家机关和非国家机关信息处理主体依本法第39条承担责任的，信息主体对其非物质损失可以主张精神损害赔偿。

第42条【共同侵权】

发生侵权时，信息主体无法确认侵权人的，可以向有权收集、利用或处理个人信息的两个或两个以上的相关主体主张损害赔偿。

第43条【其他法律责任】

违反本法规定，构成违反行政法律法规的行为，依法承担行政法律责任;构成犯罪的，依法追究刑事责任。

第44条【相关名词定义】

在本法中，

1.“信息主体”指产生个人信息并享有个人信息权利的自然人。

2.“信息处理主体” 指信息主体以外的对个人信息进行处理的自然人、法人以及其他组织。

3.“国家机关”指行使国家权力管理国家事务的机关.包括国家权力机关、国家行政机关、审判机关、检察机关和军队等。

4.“非国家机关信息处理主体”指国家机关与被授权行使国家机关职能的单位或部门以外的信息处理主体。

5.“第三人”指信息主体、信息处理主体以及在本法适用范围内被委托处理或利用个人信息的人之外的任何人。

6.“收集”指以利用为目的取得信息主体的个人信息。

7.“处理”指以自动化方式或人工方式对个人信息进行的操作，包括输入、存储、编辑、检索、变更、补充、删除、传送、封锁以及其他操作。

(1)“输入”是指将个人信息录入到磁带、卡片、硬盘、纸张或其他媒介。

(2)“存储”是指对个人信息保存在磁带、卡片、硬盘、纸张或其他媒介。

(3)“编辑”指对个人信息的编排，包括个人信息的表现形式、格式、版式等的修改。

(4)“检索”指从个人信息记录中查找需要的个人信息的过程。

(5)“变更”指修改已存储个人信息的内容。

(6)“补充”指增加已存储个人信息的内容。

(7)“删除”指消除部分或全部已存储的个人信息记录，使其不能重现。

(8)“传送”指将已存储或处理的个人信息在内部进行传递、连结或输出。

(9)“封锁”指对已存储的个人信息附加符号或其他技术措施限制对该个人信息继续处理或利用。

8.“利用”指对个人信息进行目的内使用、披露、公开、二次开发、传输等处理之外的使用。

9. “个人信息数据库”指国家机关和非国家机关存储个人信息的数据库。

10.“个人信息比对”指为特定目的通过连接两个或两个以上的个人信息数据库，利用电脑程序等技术手段对数据库中的个人信息进行比较。