關(guān)于《中華人民共和國個人信息保護(hù)法（草案）》的說明

——2020年10月13日在第十三屆全國人民代表大會常務(wù)委員會第二十二次會議上

全國人大常委會法制工作委員會副主任?劉俊臣

委員長、各位副委員長、秘書長、各位委員：

我受委員長會議的委托，作關(guān)于《中華人民共和國個人信息保護(hù)法（草案）》的說明。

一、關(guān)于制定本法的必要性

隨著信息化與經(jīng)濟(jì)社會持續(xù)深度融合，網(wǎng)絡(luò)已成為生產(chǎn)生活的新空間、經(jīng)濟(jì)發(fā)展的新引擎、交流合作的新紐帶。截至2020年3月，我國互聯(lián)網(wǎng)用戶已達(dá)9億，互聯(lián)網(wǎng)網(wǎng)站超過400萬個、應(yīng)用程序數(shù)量超過300萬個，個人信息的收集、使用更為廣泛。雖然近年來我國個人信息保護(hù)力度不斷加大，但在現(xiàn)實(shí)生活中，一些企業(yè)、機(jī)構(gòu)甚至個人，從商業(yè)利益等出發(fā)，隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財產(chǎn)安全等問題仍十分突出。在信息化時代，個人信息保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問題之一。社會各方面廣泛呼吁出臺專門的個人信息保護(hù)法，本屆以來，全國人大代表共有340人次提出39件相關(guān)議案、建議，全國政協(xié)委員共提出相關(guān)提案32件。黨中央高度重視網(wǎng)絡(luò)空間法治建設(shè)，對個人信息保護(hù)立法工作作出部署。習(xí)近平總書記多次強(qiáng)調(diào)，要堅(jiān)持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民，保障個人信息安全，維護(hù)公民在網(wǎng)絡(luò)空間的合法權(quán)益，對加強(qiáng)個人信息保護(hù)工作提出明確要求。為及時回應(yīng)廣大人民群眾的呼聲和期待，落實(shí)黨中央部署要求，制定一部個人信息保護(hù)方面的專門，將廣大人民群眾的個人信息權(quán)益實(shí)現(xiàn)好、維護(hù)好、發(fā)展好，具有重要意義。

第一，制定個人信息保護(hù)法是進(jìn)一步加強(qiáng)個人信息保護(hù)法制保障的客觀要求。黨的十八大以來，全國人大及其常委會在制定關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定、網(wǎng)絡(luò)安全法、電子商務(wù)法、修改消費(fèi)者權(quán)益保護(hù)法等立法工作中，確立了個人信息保護(hù)的主要規(guī)則；在修改刑法中，完善了懲治侵害個人信息犯罪的法律制度；在編纂民法典中，將個人信息受法律保護(hù)作為一項(xiàng)重要民事權(quán)利作出規(guī)定。我國個人信息保護(hù)法律制度逐步建立，但仍難以適應(yīng)信息化快速發(fā)展的現(xiàn)實(shí)情況和人民日益增長的美好生活需要。因此，應(yīng)當(dāng)在現(xiàn)行法律基礎(chǔ)上制定出臺專門法律，增強(qiáng)法律規(guī)范的系統(tǒng)性、針對性和可操作性，在個人信息保護(hù)方面形成更加完備的制度、提供更加有力的法律保障。

第二，制定個人信息保護(hù)法是維護(hù)網(wǎng)絡(luò)空間良好生態(tài)的現(xiàn)實(shí)需要。網(wǎng)絡(luò)空間是億萬民眾共同的家園，必須在法治軌道上運(yùn)行。違法收集、使用個人信息等行為不僅損害人民群眾的切身利益，而且危害交易安全，擾亂市場競爭，破壞網(wǎng)絡(luò)空間秩序。因此，應(yīng)當(dāng)制定出臺專門法律，以嚴(yán)密的制度、嚴(yán)格的標(biāo)準(zhǔn)、嚴(yán)厲的責(zé)任，規(guī)范個人信息處理活動，落實(shí)企業(yè)、機(jī)構(gòu)等個人信息處理者的法律義務(wù)和責(zé)任，維護(hù)網(wǎng)絡(luò)空間良好生態(tài)。

第三，制定個人信息保護(hù)法是促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的重要舉措。當(dāng)前，以數(shù)據(jù)為新生產(chǎn)要素的數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，數(shù)據(jù)的競爭已成為國際競爭的重要領(lǐng)域，而個人信息數(shù)據(jù)是大數(shù)據(jù)的核心和基礎(chǔ)。黨的十九大報告提出了建設(shè)網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國、智慧社會的任務(wù)要求。按照這一要求，應(yīng)當(dāng)統(tǒng)籌個人信息保護(hù)與利用，通過立法建立權(quán)責(zé)明確、保護(hù)有效、利用規(guī)范的制度規(guī)則，在保障個人信息權(quán)益的基礎(chǔ)上，促進(jìn)信息數(shù)據(jù)依法合理有效利用，推動數(shù)字經(jīng)濟(jì)持續(xù)健康發(fā)展。

二、關(guān)于起草工作和把握的幾點(diǎn)

制定個人信息保護(hù)法列入了十三屆全國人大常委會立法規(guī)劃和年度立法工作計劃。栗戰(zhàn)書委員長和王晨副委員長等常委會領(lǐng)導(dǎo)同志高度重視這項(xiàng)立法工作，多次作出指示批示。2018年全國人大常委會法制工作委員會會同中央網(wǎng)絡(luò)安全和信息化委員會辦公室，著手研究起草個人信息保護(hù)法草案。在起草過程中，認(rèn)真梳理研究近年來全國人大代表、政協(xié)委員提出的建議，召開座談會聽取部分全國人大代表的意見；委托專家組開展專題研究，搜集整理國內(nèi)外立法資料，形成研究報告；通過多種方式深入調(diào)研，廣泛征求有關(guān)部門、企業(yè)和專家等各方面意見。在上述工作的基礎(chǔ)上，經(jīng)反復(fù)研究修改，形成了《中華人民共和國個人信息保護(hù)法（草案）》。

起草工作注意把握以下幾點(diǎn)：一是，堅(jiān)持立足國情與借鑒國際經(jīng)驗(yàn)相結(jié)合。從我國實(shí)際出發(fā)，深入總結(jié)網(wǎng)絡(luò)安全法等法律、法規(guī)、標(biāo)準(zhǔn)的實(shí)施經(jīng)驗(yàn)，將行之有效的做法和措施上升為法律規(guī)范。從上世紀(jì)70年代開始，經(jīng)濟(jì)合作與發(fā)展組織、亞太經(jīng)濟(jì)合作組織和歐盟等先后出臺了個人信息保護(hù)相關(guān)準(zhǔn)則、指導(dǎo)原則和法規(guī)，有140多個國家和地區(qū)制定了個人信息保護(hù)方面的法律。草案充分借鑒有關(guān)國際組織和國家、地區(qū)的有益做法，建立健全適應(yīng)我國個人信息保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展需要的法律制度。二是，堅(jiān)持問題導(dǎo)向和立法前瞻性相結(jié)合。既立足于個人信息保護(hù)領(lǐng)域存在的突出問題和人民群眾的重大關(guān)切，建立完善可行的制度規(guī)范。同時，對一些尚存爭議的理論問題，在本法中留下必要空間，對新技術(shù)新應(yīng)用帶來的新問題，在充分研究論證的基礎(chǔ)上作出必要規(guī)定，體現(xiàn)法律的包容性、前瞻性。三是，處理好與有關(guān)法律的關(guān)系。把握權(quán)益保護(hù)的立法定位，與民法典等有關(guān)法律規(guī)定相銜接，細(xì)化、充實(shí)個人信息保護(hù)制度規(guī)則。同時，與網(wǎng)絡(luò)安全法和已提請全國人大常委會審議的數(shù)據(jù)安全法草案相銜接，對于網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法草案確立的網(wǎng)絡(luò)和數(shù)據(jù)安全監(jiān)管相關(guān)制度措施，本法不再作規(guī)定。

三、關(guān)于草案的主要內(nèi)容

草案共八章七十條，主要內(nèi)容包括：

（一）明確本法適用范圍

一是，對本法相關(guān)用語作出界定，規(guī)定：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息；個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

二是，明確在我國境內(nèi)處理個人信息的活動適用本法的同時，借鑒有關(guān)國家和地區(qū)的做法，賦予本法必要的域外適用效力，以充分保護(hù)我國境內(nèi)個人的權(quán)益，規(guī)定：以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的，或者為分析、評估境內(nèi)自然人的行為等發(fā)生在我國境外的個人信息處理活動，也適用本法；并要求境外的個人信息處理者在境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)個人信息保護(hù)相關(guān)事務(wù)。

（二）健全個人信息處理規(guī)則

一是，確立個人信息處理應(yīng)遵循的原則，強(qiáng)調(diào)處理個人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?，具有明確、合理的目的，限于實(shí)現(xiàn)處理目的的最小范圍，公開處理規(guī)則，保證信息準(zhǔn)確，采取安全保護(hù)措施等，并將上述原則貫穿于個人信息處理的全過程、各環(huán)節(jié)。

二是，確立以“告知—同意”為核心的個人信息處理一系列規(guī)則，要求處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意，并且個人有權(quán)撤回同意；重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新取得個人同意；不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)。考慮到經(jīng)濟(jì)社會生活的復(fù)雜性和個人信息處理的不同情況，草案還對基于個人同意以外合法處理個人信息的情形作了規(guī)定。

三是，根據(jù)個人信息處理的不同環(huán)節(jié)、不同個人信息種類，對個人信息的共同處理、委托處理、向第三方提供、公開、用于自動化決策、處理已公開的個人信息等提出有針對性的要求。

四是，設(shè)專節(jié)對處理敏感個人信息作出更嚴(yán)格的限制，只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，并且應(yīng)當(dāng)取得個人的單獨(dú)同意或者書面同意。

五是，設(shè)專節(jié)規(guī)定國家機(jī)關(guān)處理個人信息的規(guī)則，在保障國家機(jī)關(guān)依法履行職責(zé)的同時，要求國家機(jī)關(guān)處理個人信息應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進(jìn)行。

在應(yīng)對新冠肺炎疫情中，大數(shù)據(jù)應(yīng)用為聯(lián)防聯(lián)控和復(fù)工復(fù)產(chǎn)提供了有力支持。為此，草案將應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下保護(hù)自然人的生命健康，作為處理個人信息的合法情形之一。需要強(qiáng)調(diào)的是，在上述情形下處理個人信息，也必須嚴(yán)格遵守本法規(guī)定的處理規(guī)則，履行個人信息保護(hù)義務(wù)。

（三）完善個人信息跨境提供規(guī)則

一是，明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的處理者，確需向境外提供個人信息的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估；對于其他需要跨境提供個人信息的，規(guī)定了經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證等途徑。

二是，對跨境提供個人信息的“告知—同意”作出更嚴(yán)格的要求。

三是，對因國際司法協(xié)助或者行政執(zhí)法協(xié)助，需要向境外提供個人信息的，要求依法申請有關(guān)主管部門批準(zhǔn)。

四是，對從事?lián)p害我國公民個人信息權(quán)益等活動的境外組織、個人，以及在個人信息保護(hù)方面對我國采取不合理措施的國家和地區(qū)，規(guī)定了可以采取的相應(yīng)措施。

（四）明確個人信息處理活動中個人的權(quán)利和處理者義務(wù)

一是，與民法典的有關(guān)規(guī)定相銜接，明確在個人信息處理活動中個人的各項(xiàng)權(quán)利，包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等，并要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機(jī)制。

二是，明確個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)，要求其按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施，并指定負(fù)責(zé)人對其個人信息處理活動進(jìn)行監(jiān)督；定期對其個人信息活動進(jìn)行合規(guī)審計；對處理敏感個人信息、向境外提供個人信息等高風(fēng)險處理活動，事前進(jìn)行風(fēng)險評估；履行個人信息泄露通知和補(bǔ)救義務(wù)等。

（五）關(guān)于履行個人信息保護(hù)職責(zé)的部門

個人信息保護(hù)涉及各個領(lǐng)域和多個部門的職責(zé)。草案根據(jù)個人信息保護(hù)工作實(shí)際，明確國家網(wǎng)信部門負(fù)責(zé)個人信息保護(hù)工作的統(tǒng)籌協(xié)調(diào)，發(fā)揮其統(tǒng)籌協(xié)調(diào)作用；同時規(guī)定：國家網(wǎng)信部門和國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護(hù)和監(jiān)督管理工作。

此外，草案還對違反本法規(guī)定行為的處罰及侵害個人信息權(quán)益的民事賠償?shù)茸髁艘?guī)定。

個人信息保護(hù)法（草案）和以上說明是否妥當(dāng)，請審議。