2020最新中华人民共以及国个人信息维护法草案【全文】

589 人看过
核心提示:大数据以及人工智能时期的到来,个人信息作为大数据发掘以及应用的宝藏,面临着空前的维护危机,个人不应该在享受科技发展便利的同时遭遇人格权力的损害。2017年3月全国人大代表、全国人大常委
大数据以及人工智能时期的到来,个人信息作为大数据发掘以及应用的“宝藏”,面临着空前的维护危机,个人不应该在享受科技发展便利的同时遭遇人格权力的损害。2017年3月全国人大代表、全国人大常委、财经委副主任委员吴晓灵,全国人大代表、中国人民银行营业管理部主任周学东和45位全国人大代表今年两会提交《关于制订<中华人民共以及国个人信息维护法>的议案》,建议尽快制订《中华人民共以及国个人信息维护法》。议案同时将《中华人民共以及国个人信息维护法(草案) 》作为附件提交。

  2020最新中华人民共以及国个人信息维护法草案【全文】

2020最新中华人民共和国个人信息保护法草案【全文】

  目 录

  第一章 一般规定

  第二章 个人信息权

  第三章 国家机关信息处理主体对于个人信息的搜集、处理以及应用

  第四章 非国家机关信息处理主体对于个人信息的搜集、处理以及应用

  第五章 法律责任

  第六章 附则

  第一章一般规定

  第1条【立法目的】

  为规范个人信息的搜集、处理以及应用,维护自然人个人信息权和其他合法权益,增进个人信息的公道应用,规范个人信息跨境传输,特制订本法。

  第2条【合用规模】

  本法合用于完整或者者部份通过自动方式进行的个人信息处理以及可以进行检索的人工处理。

  第3条【个人信息】

  是指以电子或者者其他方式记录的能够单独或者者与其他信息结合辨认自然人个人身份的各种信息,包含但不限于自然人的姓名、诞生日期、身份证件号码、个人生物辨认信息、住址、电话号码等。

  第4条【合法原则】

  个人信息的搜集、处理以及应用应该遵循合法、正当、必要的原则,不患上背反法律、法规的规定以及双方的商定搜集、处理以及应用个人信息。

  第5条【知情赞成原则】

  不相符本法或者其他法律、法规规定,或者未经信息主体知情赞成,不患上搜集个人信息。搜集不需辨认信息主体的个人信息,应该解除该信息的辨认力,其实不患上恢复。

  第6条【目的明确原则】

  个人信息的搜集应该有明确而特定的目的,不患上偏离有关目的搜集个人信息。不患上以欺诈、胁迫等其他不正当的手腕获取个人信息。

  第7条【限制应用原则】

  个人信息的处理以及应用,必需与搜集目的一致,必要情况下的目的变更应该有法律规定或者获得信息主体的赞成或者其他正当理由。

  第8条【完全正确原则】

  信息处理主体应该保证个人信息在应用目的规模内准确、完全并及时更新。

  第9条【安全原则】

  信息处理主体应该采用公道的安全措施维护个人信息,避免个人信息的意外丢失、毁损,非法搜集、处理、应用。

  网络运营者应该采用技术措施以及其他必要措施,确保其搜集的个人信息安全,避免信息泄漏、毁损、丢失。在产生或者者可能产生个人信息泄漏、毁损、丢失的情况时,应该当即采用补救措施,依照规定及时告诉用户并向有关主管部门讲演。

  第10条【可追溯、可异议、可纠错原则】

  信息处理主体必需保障个人信息来源渠道以及信息使用渠道清晰,确保个人信息可追溯、可异议以及可纠错。

  第二章个人信息权

  第11条【个人信息权】

  自然人的个人信息权包含信息抉择、信息保密、信息查询、信息更正、信息封闭、信息删除了、信息可携、被遗忘,依法对于自己的个人信息所享有的安排、节制并排除了别人损害的权力。

  第12条【信息抉择权】

  个人信息权人患上以直接节制与安排其个人信息,并抉择其个人信息是不是被搜集、处理与应用和以何种方式、目的、规模搜集、处理与应用。

  第13条【信息保密权】

  个人信息权人患上以要求信息处理主体维持信息隐蔽性。

  第14条【信息走访权】

  个人信息权人患上以查询、走访其个人信息及其有关的处理的情况,并请求回覆。

  第15条【信息更正权】

  个人信息权人患上以要求信息处理主体对于不正确、不全面的个人信息进行更正与补充,或者对于过时的个人信息进行更新。

  第16条【信息可携权】

  信息主体有权就其被搜集处理的个人信息取得对于应的副本,并可以在技术可行时直接请求信息节制者将这些个人信息传输给另外一节制者。

  第17条【信息封闭权】

  在法定或者商定事由呈现时,个人信息权人患上以要求信息处理主体以必定方式暂时休止或者限制该个人信息的处理。

  第18条【信息删除了权】

  在法定或者商定事由呈现时,个人信息权人患上以要求信息处理主体无前提删除了其个人信息。

  第19条【被遗忘权】

  在法定或者商定事由呈现时,信息主体患上以要求信息处理主体无前提断开与该个人信息的任何链接,烧毁该个人信息的副本或者复制件。

  第三章 国家机关信息处理主体(下列简称“国家机关”)

  对于个人信息的搜集、处理以及应用

  第20条【国家机关个人信息搜集】

  国家机关为实行职责或者接受其他有权机关的拜托可以依法搜集个人信息。国家机关应该在职权规模内搜集个人信息,没有信息主体的书面赞成或者授权,不患上超出职权搜集个人信息。

  国家机关应该直接向信息主体搜集个人信息,本人拜托有代理人的,也可向代理人搜集,法律另有规定或者依据个人信息性质不宜从信息主体处搜集的除了外。

  第21条【国家机关告诉义务】

  国家机关搜集个人信息,应该事先公告或者告诉信息主体或者其代理人国家机关的名称、搜集个人信息的法律根据、目的、处理以及应用方式、个人信息搜集是不是强制、信息主体的权力以及不提供个人信息的法律后果。

  第22条【国家机关个人信息的处理以及应用】

  1.国家机关因实行法定职责,并为实现搜集个人信息的目的,可以处理以及应用个人信息。

  2.有以下情景之一的,可以在搜集目的以外处理或者应用个人信息:

  (1)法律法规明文规定的;

  (2)为保护国家安全、公共安全或者促进社会公共利益;

  (3)为避免信息主体或者别人人身或者财产上的重大利益遭遇损害所必要的;

  (4)进行学术钻研所必要且无害于信息主体利益的,但钻研人员或者机构应该对于使用的个人信息进行保密;

  (5)有益于信息主体权益的;

  (6)信息主体书面赞成或者授权的;

  (7)搜集的是已经公然的个人信息,但信息主体声明制止变更目的的除了外。

  3. 为个人信息的维护检查、个人信息的安全和确保个人信息处理装备的正常运转目的而存储的个人信息,仅可依其目的而应用。

  第23条【个人信息的传输】

  1.国家机关之间传输个人信息,须知足下列前提之一:

  (1)为一方或者双方实行职责所必要;

  (2)相符第21条第2款的规定。

  2.个人信息的接管人应该保证只在传输目的规模内处理以及应用个人信息。除了非相符第21条第2款规定的情景并取得传输人的赞成,接管人不患上将个人信息用于其他目的。

  3. 国家机关向非国家机关信息处理主体传输个人信息,须知足下列前提之一,并告诉信息主体或者其代理人:

  (1)非国家机关信息处理主体证明其对于别人的个人信息有正当利益;

  (2)信息主体无合法利益制止该传输。

  第24条【个人信息的跨境传输】

  国家机关需要向境别传输个人信息的,应该相符有关专门的法律法规规定。如果接管地对于个人信息提供的维护措施未到达我国法律规定的最低维护标准,或者者向境别传输个人信息背反我国法律或者公序良俗的,不患上向境别传输个人信息。

  第25条【个人信息比对于】

  国家机关为实行职责,与其他国家机关或者非国家机关信息处理主体之间通过达成书面比对于协定并相符以下前提之一的,可以进行个人信息比对于:

  (1)为避免危害国家安全以及公共安全所必要的;

  (2)为反恐怖流动、反恐怖融资以及反洗钱等所必要的;

  (3)侦察机关进行刑事侦察所必要的;

  (4)税务机关为避免逃税、骗税等行动侵害国家税收利益所必要的;

  (5)为支撑学术钻研工作或者统计项目而进行的个人信息比对于,所患上到的个人信息不患上用于作出与信息主体权益有影响的抉择;

  (6)为患上到统计资料,确有进行个人信息比对于必要的;

  (7)为一般行政目的且主要应用国家工作人员的记录进行个人信息比对于的;

  (8)只应用本机关内部个人信息数据库中的个人信息进行比对于的,但比对于结果不患上用于作出无益于国家工作人员的抉择;

  (9)法律规定的其他情景。

  个人信息比对于的结果未经该国家机关独立调查并证实,或者在通知信息主体后未经由公道的异议提出及处理终结期间,不患上应用此结果作出无益于信息主体的抉择,但法律规定有其他情景的不在此限。

  第26条【政策表露】

  国家机关应该公然有关个人信息的搜集、处理以及应用的政策,并以政府公告或者其他适量方式公告以下信息:

  (1)个人信息档案的名称;

  (2)个人信息的种别以及规模;

  (3)个人信息的搜集机关、目的、规模以及程序;

  (4)个人信息的处理以及应用机关及目的;

  (5)个人信息存储机关的名称、住所及联络方式;

  (6)个人信息存储的法律根据以及目的;

  (7)个人信息传输的通常接管人的名称、住所及联络方式;

  (8)跨境传输个人信息的直接接管人名称、住所及联络方式;

  (9)受理查询、变更、删除了或者阅览等申请的机关的名称、住所及联络方式;

  (10)谢绝查询、变更、删除了或者阅览的法律根据及程序;

  (11)信息主体享有的各项个人信息权力及法律救援措施;

  (12)国家机关及其工作人员的法定义务以及不实行本法规定义务的法律责任;

  (13)其他应该公然的事项。

  国家机关表露的信息不应该包含个人信息档案的内容。

  第27条【信息表露的例外】

  以下各项个人信息档案不合用前条规定:

  1. 有关国家安全、军事秘要或者其它重大国防利益的;

  2. 有关国家重大的外交、经济利益的;

  3. 有关犯法、刑事侦察的;

  4. 个人信息的安全措施;

  5. 法律规定不应该公然的其他情景。

  第28条【信息主体的走访权行使】

  信息主体有权向国家机关检索、走访以及查询其个人信息记录的内容,包含个人信息的来源与接管者。依据法律或者合同关于保存的规定而不能删除了的个人信息,或者仅为个人信息安全以及个人信息维护节制的目的保留的个人信息除了外。

  有下列情景之一的,受理机关不患上提供查询:

  1. 对于国家利益、公共利益、公序良俗有害的;

  2. 会造成信息处理主体不公正实行职责的;

  3. 事关第三人重大利益而提供信息对于信息主体利益影响不大的;

  4. 法律另有规定或者依据个人信息性质不宜提供的。

  国家机关应该向信息主体说明其谢绝查询的法律根据以及理由。

  第29条【提供复制本】

  信息主体要求提供复制本的,国家机关应该给予便利,可收取适量的本钱费。但国家机关在第26条规定的情景下应该谢绝提供复制本。

  第30条【个人信息其他权力的行使】

  1. 国家机关发现其存储的个人信息不正确的,应该依职权予以变更,并予以记录。信息主体认为其个人信息不正确而要求变更的,在查明事实后,应该予以变更,不予变更的应该向信息主体说明理由,并在记录簿上作相应记录。

  2.个人信息有下列情景之一的,应该被删除了:

  (1)非法存储的;

  (2)国家机关执行职责已经无知悉该个人信息的必要的;

  3. 有以下情景之一的,应该以封闭接替删除了:

  (1)因法律法规规定的或者合同商定的保管期限,不患上删除了的;

  (2)有理由认为删除了将侵害信息主体的合法利益的;

  (3)因存储方式特殊不能删除了或者需要过量费用才能删除了的;

  (4)依据个人道质不宜删除了的。

  信息主体对于个人信息的正确性有争议,而没法确认其正确与否的,应该予封闭。

  4. 国家机关确认在特定情况下若不封闭个人信息,信息主体的合法利益将遭到侵害且该机关实行职责已经经再也不需要该个人信息的,应该封闭该个人信息。

  5. 相符下列前提,可以传输或者应用被封闭的个人信息而无须信息主体的赞成:

  (1)为了信息主体或者第三人人身或者财产上的重大利益免受侵害;

  (2)为罢黜公共利益受侵害所必需的。

  6. 依前述第1款以及第5款规定对于个人信息进行变更、传输或者应用,应该通知信息主体。

  7. 在维护信息主体的合法权益确有必要的条件下,依前述第1、第2、第3或者第4款变更、删除了、封闭个人信息的信息处理主体,应该通知个人信息传输的接管人及其他有关主体。

  第31条【受理期限】

  国家机关受理信息主体依本法提出的申请后,应该在受理申请之日起15天内予以回覆,必要情况下需要延长的,该行政机关可以批准延长15天。特殊情况还需要延长的,报请上级主管机关批准。

  第32条【安全措施】

  国家机关应采用技术措施以及其他必要措施,设置专人负责个人信息的安全管理工作,并依据技术发展的状态及时更新安全措施,确保其搜集的个人信息安全,避免信息泄漏、毁损、丢失。

  在产生或者者可能产生个人信息泄漏、毁损、丢失的情况时,应该当即采用补救措施,依照规定及时告诉用户并向有关主管部门讲演。

  第33条【国家机关工作人员的义务】

  未经授权,国家机关工作人员和其拜托的其别人员不患上处理或者应用个人信息,并对于个人信息负有保密义务,工作收场后仍承当该义务。

  国家机关工作人员对于其在实行法定职责进程中所搜集、处理或者应用的个人信息负有保密义务,不患上泄漏、篡改或者者毁损,不患上出售或者者非法向别人提供。

  第四章非国家机关信息处理主体对于个人信息的搜集、处理以及应用

  第34条【合用对于象】

  本节合用于自然人、法人或者其他信息处理主体为了商业目的或者其他职业目的搜集、处理以及应用个人信息。

  第35条【非国家机关信息处理主体个人信息搜集的资历】

  非国家机关信息处理主体未经登记管理机关进行业务资历登记并发给执照,不患上搜集个人信息。

  征信机构及以个人信息搜集或者处理为主要业务的自然人、法人或者其他信息处理主体,除了非取得主管部门的批准并经登记管理机关进行业务资历登记并发给执照,不患上搜集个人信息。

  第36条【信息表露】

  非国家机关信息处理主体应该于获得搜集资历后10日内,在政府公告、当地报纸或者其他适量的媒体上公布以下事项:

  (1)自然人应公布其姓名、住所以及联络方式,法人或者其他组织应公布其名称、主营业地或者其法定代表人姓名、住所以及联络方式;

  (2)个人信息档案名称;

  (3)保有个人信息档案的目的;

  (4)个人信息的种别以及规模;

  (5)个人信息搜集的目的、规模以及程序;

  (6)个人信息处理或者应用的目的以及规模;

  (7)个人信息档案的存储期限以及法律根据;

  (8)个人信息传输的通常接管人的名称、住所及联络方式;

  (9)跨国传输个人信息的直接接管人名称、住所及联络方式;

  (10)个人信息档案保护负责人的姓名以及联络方式;

  (11)受理查询、变更、删除了或者阅览等申请的部门的名称以及住所及联络方式;

  (12)信息主体享有的各项个人信息权力及法律救援措施。

  非国家机关信息处理主体表露的信息不应该包含个人信息档案的内容。

  第37条【非国家机信息处理主体关个人信息的搜集、处理与应用】

  1.除了非相符以下前提之一,非国家机关信息处理主体不患上超越特定目的搜集、处理个人信息:

  (1)信息主体书面赞成或者授权;

  (2)与信息主体有合同或者相似合同的瓜葛,其实不会侵害信息主体的合法权益;

  (3)已经公然的个人信息其实不会侵害信息主体的合法权益;

  (4)学术钻研有必要且无害于信息主体重大利益的,但钻研人员或者机构应该采用必要的保密措施;

  (5)法律法规规定的其他情景。

  2.除了非相符以下前提之一,非国家机关信息处理主体不患上超越特定目的应用个人信息:

  1. 为维护公共利益;

  2. 为罢黜信息主体人身或者财产上的紧急危险;

  3. 避免别人权益的重大危害而有必要的;

  4. 信息主体书面赞成或者授权;

  5. 实行法定义务的。

  6. 为个人信息维护检查、个人信息安全、确保个人信息处理装备的正常运转目的而存储的个人信息,仅可依其目的而应用。

  第38条【准用性规范】

  非国家机关信息处理主体搜集、处理以及应用个人信息准用第三章第21、第22、第26、第27、第28、第29、第30和第31条的规定。

  第39条【自律规范】

  非国家机关信息处理主体根据本法制订的自律性规范,到达本法请求标准的,经主管部门审批后拥有与本法平等的效率。

  第五章法律责任

  第40条【侵害赔偿】

  国家机关背反本法规定,给信息主体造成人身或者财产上的损失的,应按照本法的规定承当侵害赔偿等民事责任;本法无规定的,按照《中华人民共以及国国家赔偿法》的规定承当民事责任。

  非国家机关信息处理主体背反本法规定,给信息主体造成人身或者财产上的损失的,应按照本法的规定承当侵害赔偿等民事责任;本法无规定的,按照民法及其他法律法规的规定承当民事责任。

  第41条【精神侵害赔偿】

  国家机关以及非国家机关信息处理主体依本法第39条承当责任的,信息主体对于其非物资损失可以主意精神侵害赔偿。

  第42条【共同侵权】

  产生侵权时,信息主体没法确认侵权人的,可以向有权搜集、应用或者处理个人信息的两个或者两个以上的相干主体主意侵害赔偿。

  第43条【其他法律责任】

  背反本法规定,形成背反行政法律法规的行动,依法承当行政法律责任;形成犯法的,依法追究刑事责任。

  第44条【相干名词定义】

  在本法中,

  1.“信息主体”指发生个人信息并享有个人信息权力的自然人。

  2.“信息处理主体” 指信息主体之外的对于个人信息进行处理的自然人、法人和其他组织。

  3.“国家机关”指行使国家权利管理国家事务的机关.包含国家权利机关、国家行政机关、审讯机关、检察机关以及戎行等。

  4.“非国家机关信息处理主体”指国家机关与被授权行使国家机关职能的单位或者部门之外的信息处理主体。

  5.“第三人”指信息主体、信息处理主体和在本法合用规模内被拜托处理或者应用个人信息的人以外的任何人。

  6.“搜集”指以应用为目的获得信息主体的个人信息。

  7.“处理”指以自动化方式或者人工方式对于个人信息进行的操作,包含输入、存储、编纂、检索、变更、补充、删除了、传送、封闭和其他操作。

  (1)“输入”是指将个人信息录入到磁带、卡片、硬盘、纸张或者其他媒介。

  (2)“存储”是指对于个人信息保留在磁带、卡片、硬盘、纸张或者其他媒介。

  (3)“编纂”指对于个人信息的编排,包含个人信息的表现情势、格式、版式等的修改。

  (4)“检索”指从个人信息记录中查找需要的个人信息的进程。

  (5)“变更”指修改已经存储个人信息的内容。

  (6)“补充”指增添已经存储个人信息的内容。

  (7)“删除了”指解除部份或者全体已经存储的个人信息记录,使其不能重现。

  (8)“传送”指将已经存储或者处理的个人信息在内部进行传递、连结或者输出。

  (9)“封闭”指对于已经存储的个人信息附加符号或者其他技术措施限制对于该个人信息继续处理或者应用。

  8.“应用”指对于个人信息进行目的内使用、表露、公然、二次开发、传输等处理以外的使用。

  9. “个人信息数据库”指国家机关以及非国家机关存储个人信息的数据库。

  10.“个人信息比对于”指为特定目的通过连接两个或者两个以上的个人信息数据库,应用电脑程序等技术手腕对于数据库中的个人信息进行比较。

律赞网lawun.net,致力打造一个律师咨询、在线学习的法律法规知识平台