中華人民共和國個人信息保護法

中華人民共和國主席令第九十一號

《中華人民共和國個人信息保護法》已由中華人民共和國第十三屆全國人民代表大會常務委員會第三十次會議於2021年8月20日通過，現予公佈，自2021年11月1日起施行。

中華人民共和國主席　習近平

2021年8月20日 ^[6] 

2019年10月20日，司法部副部長趙大程在論壇上介紹，個人信息保護法已列入十三屆全國人大常委會立法規劃，相關工作正在加快推進，數據法律保護體系將得到進一步的健全和完善。 ^[1] 

2019年12月20日，全國人大常委會法工委舉行第三次記者會，全國人大常委會法工委發言人嶽仲明介紹全國人大常委會2020年立法工作安排。計劃制定個人信息保護法。 ^[2] 

2020年11月，《中華人民共和國個人信息保護法（草案）》對情節嚴重違法行為的處罰可高達5000萬元，個人隱私保護即將迎來風清氣正的新階段。

2021年4月26日，提請全國人大常委會二次審議的個人信息保護法草案擬規定，提供基礎性互聯網平台服務、用户數量巨大、業務類型複雜的個人信息處理者，應成立主要由外部成員組成的獨立機構，對個人信息處理活動進行監督，並要求其定期發佈個人信息保護社會責任報告等。 ^[3] 

2021年8月20日，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》。自2021年11月1日起施行。 ^[4-5] 

（2021年8月20日第十三屆全國人民代表大會常務委員會第三十次會議通過）

第一章　總則

第二章　個人信息處理規則

第一節　一般規定

第二節　敏感個人信息的處理規則

第三節　國家機關處理個人信息的特別規定

第三章　個人信息跨境提供的規則

第四章　個人在個人信息處理活動中的權利

第五章　個人信息處理者的義務

第六章　履行個人信息保護職責的部門

第七章　法律責任

第八章　附則

第一條　為了保護個人信息權益，規範個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法。

第二條　自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。

第三條　在中華人民共和國境內處理自然人個人信息的活動，適用本法。

在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法：

（一）以向境內自然人提供產品或者服務為目的；

（二）分析、評估境內自然人的行為；

（三）法律、行政法規規定的其他情形。

第四條　個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

第五條　處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。

第六條　處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式。

收集個人信息，應當限於實現處理目的的最小範圍，不得過度收集個人信息。

第七條　處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和範圍。

第八條　處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。

第九條　個人信息處理者應當對其個人信息處理活動負責，並採取必要措施保障所處理的個人信息的安全。

第十條　任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。

第十一條　國家建立健全個人信息保護制度，預防和懲治侵害個人信息權益的行為，加強個人信息保護宣傳教育，推動形成政府、企業、相關社會組織、公眾共同參與個人信息保護的良好環境。

第十二條　國家積極參與個人信息保護國際規則的制定，促進個人信息保護方面的國際交流與合作，推動與其他國家、地區、國際組織之間的個人信息保護規則、標準等互認。

第一節　一般規定

第十三條　符合下列情形之一的，個人信息處理者方可處理個人信息：

（一）取得個人的同意；

（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；

（三）為履行法定職責或者法定義務所必需；

（四）為應對突發公共衞生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；

（五）為公共利益實施新聞報道、輿論監督等行為，在合理的範圍內處理個人信息；

（六）依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息；

（七）法律、行政法規規定的其他情形。

依照本法其他有關規定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。

第十四條　基於個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自願、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定。

個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。

第十五條　基於個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。

個人撤回同意，不影響撤回前基於個人同意已進行的個人信息處理活動的效力。

第十六條　個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬於提供產品或者服務所必需的除外。

第十七條　個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：

（一）個人信息處理者的名稱或者姓名和聯繫方式；

（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；

（三）個人行使本法規定權利的方式和程序；

（四）法律、行政法規規定應當告知的其他事項。

前款規定事項發生變更的，應當將變更部分告知個人。

個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的，處理規則應當公開，並且便於查閲和保存。

第十八條　個人信息處理者處理個人信息，有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個人告知前條第一款規定的事項。

緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的，個人信息處理者應當在緊急情況消除後及時告知。

第十九條　除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的最短時間。

第二十條　兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。

個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任。

第二十一條　個人信息處理者委託處理個人信息的，應當與受託人約定委託處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，並對受託人的個人信息處理活動進行監督。

受託人應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委託合同不生效、無效、被撤銷或者終止的，受託人應當將個人信息返還個人信息處理者或者予以刪除，不得保留。

未經個人信息處理者同意，受託人不得轉委託他人處理個人信息。

第二十二條　個人信息處理者因合併、分立、解散、被宣告破產等原因需要轉移個人信息的，應當向個人告知接收方的名稱或者姓名和聯繫方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。

第二十三條　個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類，並取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等範圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。

第二十四條　個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式。

通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以説明，並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

第二十五條　個人信息處理者不得公開其處理的個人信息，取得個人單獨同意的除外。

第二十六條　在公共場所安裝圖像採集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公共安全的目的，不得用於其他目的；取得個人單獨同意的除外。

第二十七條　個人信息處理者可以在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意。

第二節　敏感個人信息的處理規則

第二十八條　敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬户、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。

第二十九條　處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。

第三十條　個人信息處理者處理敏感個人信息的，除本法第十七條第一款規定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響；依照本法規定可以不向個人告知的除外。

第三十一條　個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意。

個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規則。

第三十二條　法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作出其他限制的，從其規定。

第三節　國家機關處理個人信息的特別規定

第三十三條　國家機關處理個人信息的活動，適用本法；本節有特別規定的，適用本節規定。

第三十四條　國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的範圍和限度。

第三十五條　國家機關為履行法定職責處理個人信息，應當依照本法規定履行告知義務；有本法第十八條第一款規定的情形，或者告知將妨礙國家機關履行法定職責的除外。

第三十六條　國家機關處理的個人信息應當在中華人民共和國境內存儲；確需向境外提供的，應當進行安全評估。安全評估可以要求有關部門提供支持與協助。

第三十七條　法律、法規授權的具有管理公共事務職能的組織為履行法定職責處理個人信息，適用本法關於國家機關處理個人信息的規定。

第三十八條　個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：

（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；

（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；

（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；

（四）法律、行政法規或者國家網信部門規定的其他條件。

中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的，可以按照其規定執行。

個人信息處理者應當採取必要措施，保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。

第三十九條　個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯繫方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，並取得個人的單獨同意。

第四十條　關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。

第四十一條　中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關於提供存儲於境內個人信息的請求。非經中華人民共和國主管機關批准，個人信息處理者不得向外國司法或者執法機構提供存儲於中華人民共和國境內的個人信息。

第四十二條　境外的組織、個人從事侵害中華人民共和國公民的個人信息權益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，並採取限制或者禁止向其提供個人信息等措施。

第四十三條　任何國家或者地區在個人信息保護方面對中華人民共和國採取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區對等採取措施。

第四十四條　個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；法律、行政法規另有規定的除外。

第四十五條　個人有權向個人信息處理者查閲、複製其個人信息；有本法第十八條第一款、第三十五條規定情形的除外。

個人請求查閲、複製其個人信息的，個人信息處理者應當及時提供。

個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。

第四十六條　個人發現其個人信息不準確或者不完整的，有權請求個人信息處理者更正、補充。

個人請求更正、補充其個人信息的，個人信息處理者應當對其個人信息予以核實，並及時更正、補充。

第四十七條　有下列情形之一的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除：

（一）處理目的已實現、無法實現或者為實現處理目的不再必要；

（二）個人信息處理者停止提供產品或者服務，或者保存期限已屆滿；

（三）個人撤回同意；

（四）個人信息處理者違反法律、行政法規或者違反約定處理個人信息；

（五）法律、行政法規規定的其他情形。

法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和採取必要的安全保護措施之外的處理。

第四十八條　個人有權要求個人信息處理者對其個人信息處理規則進行解釋説明。

第四十九條　自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使本章規定的查閲、複製、更正、刪除等權利；死者生前另有安排的除外。

第五十條　個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的，應當説明理由。

個人信息處理者拒絕個人行使權利的請求的，個人可以依法向人民法院提起訴訟。

第五十一條　個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，採取下列措施確保個人信息處理活動符合法律、行政法規的規定，並防止未經授權的訪問以及個人信息泄露、篡改、丟失：

（一）制定內部管理制度和操作規程；

（二）對個人信息實行分類管理；

（三）採取相應的加密、去標識化等安全技術措施；

（四）合理確定個人信息處理的操作權限，並定期對從業人員進行安全教育和培訓；

（五）制定並組織實施個人信息安全事件應急預案；

（六）法律、行政法規規定的其他措施。

第五十二條　處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及採取的保護措施等進行監督。

個人信息處理者應當公開個人信息保護負責人的聯繫方式，並將個人信息保護負責人的姓名、聯繫方式等報送履行個人信息保護職責的部門。

第五十三條　本法第三條第二款規定的中華人民共和國境外的個人信息處理者，應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，並將有關機構的名稱或者代表的姓名、聯繫方式等報送履行個人信息保護職責的部門。

第五十四條　個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。

第五十五條　有下列情形之一的，個人信息處理者應當事前進行個人信息保護影響評估，並對處理情況進行記錄：

（一）處理敏感個人信息；

（二）利用個人信息進行自動化決策；

（三）委託處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；

（四）向境外提供個人信息；

（五）其他對個人權益有重大影響的個人信息處理活動。

第五十六條　個人信息保護影響評估應當包括下列內容：

（一）個人信息的處理目的、處理方式等是否合法、正當、必要；

（二）對個人權益的影響及安全風險；

（三）所採取的保護措施是否合法、有效並與風險程度相適應。

個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

第五十七條　發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即採取補救措施，並通知履行個人信息保護職責的部門和個人。通知應當包括下列事項：

（一）發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；

（二）個人信息處理者採取的補救措施和個人可以採取的減輕危害的措施；

（三）個人信息處理者的聯繫方式。

個人信息處理者採取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個人信息處理者可以不通知個人；履行個人信息保護職責的部門認為可能造成危害的，有權要求個人信息處理者通知個人。

第五十八條　提供重要互聯網平台服務、用户數量巨大、業務類型複雜的個人信息處理者，應當履行下列義務：

（一）按照國家規定建立健全個人信息保護合規制度體系，成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督；

（二）遵循公開、公平、公正的原則，制定平台規則，明確平台內產品或者服務提供者處理個人信息的規範和保護個人信息的義務；

（三）對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者，停止提供服務；

（四）定期發佈個人信息保護社會責任報告，接受社會監督。

第五十九條　接受委託處理個人信息的受託人，應當依照本法和有關法律、行政法規的規定，採取必要措施保障所處理的個人信息的安全，並協助個人信息處理者履行本法規定的義務。

第六十條　國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責範圍內負責個人信息保護和監督管理工作。

縣級以上地方人民政府有關部門的個人信息保護和監督管理職責，按照國家有關規定確定。

前兩款規定的部門統稱為履行個人信息保護職責的部門。

第六十一條　履行個人信息保護職責的部門履行下列個人信息保護職責：

（一）開展個人信息保護宣傳教育，指導、監督個人信息處理者開展個人信息保護工作；

（二）接受、處理與個人信息保護有關的投訴、舉報；

（三）組織對應用程序等個人信息保護情況進行測評，並公佈測評結果；

（四）調查、處理違法個人信息處理活動；

（五）法律、行政法規規定的其他職責。

第六十二條　國家網信部門統籌協調有關部門依據本法推進下列個人信息保護工作：

（一）制定個人信息保護具體規則、標準；

（二）針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規則、標準；

（三）支持研究開發和推廣應用安全、方便的電子身份認證技術，推進網絡身份認證公共服務建設；

（四）推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服務；

（五）完善個人信息保護投訴、舉報工作機制。

第六十三條　履行個人信息保護職責的部門履行個人信息保護職責，可以採取下列措施：

（一）詢問有關當事人，調查與個人信息處理活動有關的情況；

（二）查閲、複製當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料；

（三）實施現場檢查，對涉嫌違法的個人信息處理活動進行調查；

（四）檢查與個人信息處理活動有關的設備、物品；對有證據證明是用於違法個人信息處理活動的設備、物品，向本部門主要負責人書面報告並經批准，可以查封或者扣押。

履行個人信息保護職責的部門依法履行職責，當事人應當予以協助、配合，不得拒絕、阻撓。

第六十四條　履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者委託專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求採取措施，進行整改，消除隱患。

履行個人信息保護職責的部門在履行職責中，發現違法處理個人信息涉嫌犯罪的，應當及時移送公安機關依法處理。

第六十五條　任何組織、個人有權對違法個人信息處理活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理，並將處理結果告知投訴、舉報人。

履行個人信息保護職責的部門應當公佈接受投訴、舉報的聯繫方式。

第六十六條　違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，並處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，並處五千萬元以下或者上一年度營業額百分之五以下罰款，並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

第六十七條　有本法規定的違法行為的，依照有關法律、行政法規的規定記入信用檔案，並予以公示。

第六十八條　國家機關不履行本法規定的個人信息保護義務的，由其上級機關或者履行個人信息保護職責的部門責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。

履行個人信息保護職責的部門的工作人員翫忽職守、濫用職權、徇私舞弊，尚不構成犯罪的，依法給予處分。

第六十九條　處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。

前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額。

第七十條　個人信息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。

第七十一條　違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

第七十二條　自然人因個人或者家庭事務處理個人信息的，不適用本法。

法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的，適用其規定。

第七十四條　本法自2021年11月1日起施行。 ^[7] 

關於《中華人民共和國個人信息保護法（草案）》的説明

一、關於制定本法的必要性

隨着信息化與經濟社會持續深度融合，網絡已成為生產生活的新空間、經濟發展的新引擎、交流合作的新紐帶。截至2020年3月，我國互聯網用户已達9億，互聯網網站超過400萬個、應用程序數量超過300萬個，個人信息的收集、使用更為廣泛。雖然近年來我國個人信息保護力度不斷加大，但在現實生活中，一些企業、機構甚至個人，從商業利益等出發，隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵擾人民羣眾生活安寧、危害人民羣眾生命健康和財產安全等問題仍十分突出。在信息化時代，個人信息保護已成為廣大人民羣眾最關心最直接最現實的利益問題之一。社會各方面廣泛呼籲出台專門的個人信息保護法，本屆以來，全國人大代表共有340人次提出39件相關議案、建議，全國政協委員共提出相關提案32件。黨中央高度重視網絡空間法治建設，對個人信息保護立法工作作出部署。習近平總書記多次強調，要堅持網絡安全為人民、網絡安全靠人民，保障個人信息安全，維護公民在網絡空間的合法權益，對加強個人信息保護工作提出明確要求。為及時迴應廣大人民羣眾的呼聲和期待，落實黨中央部署要求，制定一部個人信息保護方面的專門法律，將廣大人民羣眾的個人信息權益實現好、維護好、發展好，具有重要意義。

第一，制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求。黨的十八大以來，全國人大及其常委會在制定關於加強網絡信息保護的決定、網絡安全法、電子商務法、修改消費者權益保護法等立法工作中，確立了個人信息保護的主要規則；在修改刑法中，完善了懲治侵害個人信息犯罪的法律制度；在編纂民法典中，將個人信息受法律保護作為一項重要民事權利作出規定。我國個人信息保護法律制度逐步建立，但仍難以適應信息化快速發展的現實情況和人民日益增長的美好生活需要。因此，應當在現行法律基礎上制定出台專門法律，增強法律規範的系統性、針對性和可操作性，在個人信息保護方面形成更加完備的制度、提供更加有力的法律保障。

第二，制定個人信息保護法是維護網絡空間良好生態的現實需要。網絡空間是億萬民眾共同的家園，必須在法治軌道上運行。違法收集、使用個人信息等行為不僅損害人民羣眾的切身利益，而且危害交易安全，擾亂市場競爭，破壞網絡空間秩序。因此，應當制定出台專門法律，以嚴密的制度、嚴格的標準、嚴厲的責任，規範個人信息處理活動，落實企業、機構等個人信息處理者的法律義務和責任，維護網絡空間良好生態。

第三，制定個人信息保護法是促進數字經濟健康發展的重要舉措。當前，以數據為新生產要素的數字經濟蓬勃發展，數據的競爭已成為國際競爭的重要領域，而個人信息數據是大數據的核心和基礎。黨的十九大報告提出了建設網絡強國、數字中國、智慧社會的任務要求。按照這一要求，應當統籌個人信息保護與利用，通過立法建立權責明確、保護有效、利用規範的制度規則，在保障個人信息權益的基礎上，促進信息數據依法合理有效利用，推動數字經濟持續健康發展。

二、關於起草工作和把握的幾點

制定個人信息保護法列入了十三屆全國人大常委會立法規劃和年度立法工作計劃。慄戰書委員長和王晨副委員長等常委會領導同志高度重視這項立法工作，多次作出指示批示。2018年全國人大常委會法制工作委員會會同中央網絡安全和信息化委員會辦公室，着手研究起草個人信息保護法草案。在起草過程中，認真梳理研究近年來全國人大代表、政協委員提出的建議，召開座談會聽取部分全國人大代表的意見；委託專家組開展專題研究，蒐集整理國內外立法資料，形成研究報告；通過多種方式深入調研，廣泛徵求有關部門、企業和專家等各方面意見。在上述工作的基礎上，經反覆研究修改，形成了《中華人民共和國個人信息保護法（草案）》。

起草工作注意把握以下幾點：一是，堅持立足國情與借鑑國際經驗相結合。從我國實際出發，深入總結網絡安全法等法律、法規、標準的實施經驗，將行之有效的做法和措施上升為法律規範。從上世紀70年代開始，經濟合作與發展組織、亞太經濟合作組織和歐盟等先後出台了個人信息保護相關準則、指導原則和法規，有140多個國家和地區制定了個人信息保護方面的法律。草案充分借鑑有關國際組織和國家、地區的有益做法，建立健全適應我國個人信息保護和數字經濟發展需要的法律制度。二是，堅持問題導向和立法前瞻性相結合。既立足於個人信息保護領域存在的突出問題和人民羣眾的重大關切，建立完善可行的制度規範。同時，對一些尚存爭議的理論問題，在本法中留下必要空間，對新技術新應用帶來的新問題，在充分研究論證的基礎上作出必要規定，體現法律的包容性、前瞻性。三是，處理好與有關法律的關係。把握權益保護的立法定位，與民法典等有關法律規定相銜接，細化、充實個人信息保護制度規則。同時，與網絡安全法和已提請全國人大常委會審議的數據安全法草案相銜接，對於網絡安全法、數據安全法草案確立的網絡和數據安全監管相關制度措施，本法不再作規定。

三、關於草案的主要內容

草案共八章七十條，主要內容包括：

（一）明確本法適用範圍

一是，對本法相關用語作出界定，規定：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息；個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。（草案第四條）

二是，明確在我國境內處理個人信息的活動適用本法的同時，借鑑有關國家和地區的做法，賦予本法必要的域外適用效力，以充分保護我國境內個人的權益，規定：以向境內自然人提供產品或者服務為目的，或者為分析、評估境內自然人的行為等發生在我國境外的個人信息處理活動，也適用本法；並要求境外的個人信息處理者在境內設立專門機構或者指定代表，負責個人信息保護相關事務。（草案第三條、第五十二條）

（二）健全個人信息處理規則

一是，確立個人信息處理應遵循的原則，強調處理個人信息應當採用合法、正當的方式，具有明確、合理的目的，限於實現處理目的的最小範圍，公開處理規則，保證信息準確，採取安全保護措施等，並將上述原則貫穿於個人信息處理的全過程、各環節。（草案第五條至第九條）

二是，確立以“告知—同意”為核心的個人信息處理一系列規則，要求處理個人信息應當在事先充分告知的前提下取得個人同意，並且個人有權撤回同意；重要事項發生變更的應當重新取得個人同意；不得以個人不同意為由拒絕提供產品或者服務。考慮到經濟社會生活的複雜性和個人信息處理的不同情況，草案還對基於個人同意以外合法處理個人信息的情形作了規定。（草案第十三條至第十九條）

三是，根據個人信息處理的不同環節、不同個人信息種類，對個人信息的共同處理、委託處理、向第三方提供、公開、用於自動化決策、處理已公開的個人信息等提出有針對性的要求。（草案第二十一條至第二十八條）

四是，設專節對處理敏感個人信息作出更嚴格的限制，只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，並且應當取得個人的單獨同意或者書面同意。（草案第二十九條至第三十二條）

五是，設專節規定國家機關處理個人信息的規則，在保障國家機關依法履行職責的同時，要求國家機關處理個人信息應當依照法律、行政法規規定的權限和程序進行。（草案第三十三條至第三十七條）

在應對新冠肺炎疫情中，大數據應用為聯防聯控和復工復產提供了有力支持。為此，草案將應對突發公共衞生事件，或者緊急情況下保護自然人的生命健康，作為處理個人信息的合法情形之一。需要強調的是，在上述情形下處理個人信息，也必須嚴格遵守本法規定的處理規則，履行個人信息保護義務。

（三）完善個人信息跨境提供規則

一是，明確關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者，確需向境外提供個人信息的，應當通過國家網信部門組織的安全評估；對於其他需要跨境提供個人信息的，規定了經專業機構認證等途徑。（草案第三十八條、第四十條）

二是，對跨境提供個人信息的“告知—同意”作出更嚴格的要求。（草案第三十九條）

三是，對因國際司法協助或者行政執法協助，需要向境外提供個人信息的，要求依法申請有關主管部門批准。（草案第四十一條）

四是，對從事損害我國公民個人信息權益等活動的境外組織、個人，以及在個人信息保護方面對我國採取不合理措施的國家和地區，規定了可以採取的相應措施。（草案第四十二條、第四十三條）

（四）明確個人信息處理活動中個人的權利和處理者義務

一是，與民法典的有關規定相銜接，明確在個人信息處理活動中個人的各項權利，包括知情權、決定權、查詢權、更正權、刪除權等，並要求個人信息處理者建立個人行使權利的申請受理和處理機制。（草案第四十四條至第四十九條）

二是，明確個人信息處理者的合規管理和保障個人信息安全等義務，要求其按照規定製定內部管理制度和操作規程，採取相應的安全技術措施，並指定負責人對其個人信息處理活動進行監督；定期對其個人信息活動進行合規審計；對處理敏感個人信息、向境外提供個人信息等高風險處理活動，事前進行風險評估；履行個人信息泄露通知和補救義務等。（草案第五十條、第五十一條、第五十三條至第五十五條）

（五）關於履行個人信息保護職責的部門

個人信息保護涉及各個領域和多個部門的職責。草案根據個人信息保護工作實際，明確國家網信部門負責個人信息保護工作的統籌協調，發揮其統籌協調作用；同時規定：國家網信部門和國務院有關部門在各自職責範圍內負責個人信息保護和監督管理工作。（草案第五十六條）

此外，草案還對違反本法規定行為的處罰及侵害個人信息權益的民事賠償等作了規定。