5月25日下午，十三屆全國(guó)人大三次會(huì)議舉行第二次全體會(huì)議。全國(guó)人大委員會(huì)工作報(bào)告(以下簡(jiǎn)稱工作報(bào)告)提交會(huì)議審議。其中圍繞國(guó)家安全和社會(huì)治理，工作報(bào)告中提到，制定生物安全法、個(gè)人信息保護(hù)法、數(shù)據(jù)安全法，通過刑法修正案 (十一)，修改行政處罰法、人民武裝警察法等。

 

此前消息稱，個(gè)人信息保護(hù)法正在研究起草中，5月中旬草案稿已經(jīng)形成。關(guān)于個(gè)人信息保護(hù)法的研究起草工作，按照全國(guó)人大常委會(huì)立法規(guī)劃和立法工作計(jì)劃安排，從2018年開始，全國(guó)人大常委會(huì)發(fā)工會(huì)就會(huì)同中央網(wǎng)信辦，開始相關(guān)工作。

 

2017年我國(guó)曾公布了《中華人民共和國(guó)個(gè)人信息保護(hù)法(草案)》，主要目的是規(guī)范個(gè)人信息的收集、處理和利用，保護(hù)自然人個(gè)人信息權(quán)以及其他合法權(quán)益，促進(jìn)個(gè)人信息的合理利用，規(guī)范個(gè)人信息跨境傳輸。事實(shí)上，作為大數(shù)據(jù)的重要資源，個(gè)人信息隨著大數(shù)據(jù)時(shí)代的來臨，頻繁遭遇數(shù)據(jù)泄露和網(wǎng)絡(luò)安全事件。不法分子通過數(shù)據(jù)盜取、信息盜用、網(wǎng)絡(luò)釣魚、電信詐騙等一系列非法手段，侵犯公民個(gè)人信息及隱私，謀取商業(yè)利益。

 

 

中華人民共和國(guó)個(gè)人信息保護(hù)法(草案)

 

目 錄

 

第一章 一般規(guī)定

 

第二章 個(gè)人信息權(quán)

 

第三章 國(guó)家機(jī)關(guān)信息處理主體對(duì)個(gè)人信息的收集、處理和利用

 

第四章 非國(guó)家機(jī)關(guān)信息處理主體對(duì)個(gè)人信息的收集、處理和利用

 

第五章 法律責(zé)任

 

 

第一章 一般規(guī)定

 

第1條【立法目的】

 

為規(guī)范個(gè)人信息的收集、處理和利用，保護(hù)自然人個(gè)人信息權(quán)以及其他合法權(quán)益，促進(jìn)個(gè)人信息的合理利用，規(guī)范個(gè)人信息跨境傳輸，特制定本法。

 

 

第2條【適用范圍】

 

本法適用于完全或者部分通過自動(dòng)方式進(jìn)行的個(gè)人信息處理和可以進(jìn)行檢索的人工處理。

 

 

第3條【個(gè)人信息】

 

是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

 

 

第4條【合法原則】

 

個(gè)人信息的收集、處理和利用應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、處理和利用個(gè)人信息。

 

 

第5條【知情同意原則】

 

不符合本法或其他法律、法規(guī)規(guī)定，或未經(jīng)信息主體知情同意，不得收集個(gè)人信息。收集不需識(shí)別信息主體的個(gè)人信息，應(yīng)當(dāng)消除該信息的識(shí)別力，并不得恢復(fù)。

 

 

第6條【目的明確原則】

 

個(gè)人信息的收集應(yīng)當(dāng)有明確而特定的目的，不得偏離有關(guān)目的收集個(gè)人信息。不得以欺詐、脅迫等其他不正當(dāng)?shù)氖侄潍@取個(gè)人信息。

 

 

第7條【限制利用原則】

 

個(gè)人信息的處理和利用，必須與收集目的一致，必要情況下的目的變更應(yīng)當(dāng)有法律規(guī)定或取得信息主體的同意或其他正當(dāng)理由。

 

 

第8條【完整正確原則】

 

信息處理主體應(yīng)當(dāng)保證個(gè)人信息在利用目的范圍內(nèi)準(zhǔn)確、完整并及時(shí)更新。

 

 

第9條【安全原則】

 

信息處理主體應(yīng)當(dāng)采取合理的安全措施保護(hù)個(gè)人信息，防止個(gè)人信息的意外丟失、毀損，非法收集、處理、利用。

 

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

 

 

第10條【可追溯、可異議、可糾錯(cuò)原則】

 

信息處理主體必須保障個(gè)人信息來源渠道和信息使用渠道清晰，確保個(gè)人信息可追溯、可異議和可糾錯(cuò)。

 

 

第二章 個(gè)人信息權(quán)

 

第11條【個(gè)人信息權(quán)】

 

自然人的個(gè)人信息權(quán)包括信息決定、信息保密、信息查詢、信息更正、信息封鎖、信息刪除、信息可攜、被遺忘，依法對(duì)自己的個(gè)人信息所享有的支配、控制并排除他人侵害的權(quán)利。

 

 

第12條【信息決定權(quán)】

 

個(gè)人信息權(quán)人得以直接控制與支配其個(gè)人信息，并決定其個(gè)人信息是否被收集、處理與利用以及以何種方式、目的、范圍收集、處理與利用。

 

 

第13條【信息保密權(quán)】

 

個(gè)人信息權(quán)人得以請(qǐng)求信息處理主體保持信息隱秘性。

 

 

第14條【信息訪問權(quán)】

 

個(gè)人信息權(quán)人得以查詢、訪問其個(gè)人信息及其有關(guān)的處理的情況，并要求答復(fù)。

 

 

第15條【信息更正權(quán)】

 

個(gè)人信息權(quán)人得以請(qǐng)求信息處理主體對(duì)不正確、不全面的個(gè)人信息進(jìn)行更正與補(bǔ)充，或?qū)^時(shí)的個(gè)人信息進(jìn)行更新。

 

 

第16條【信息可攜權(quán)】

 

信息主體有權(quán)就其被收集處理的個(gè)人信息獲得對(duì)應(yīng)的副本，并可以在技術(shù)可行時(shí)直接要求信息控制者將這些個(gè)人信息傳輸給另一控制者。

 

 

第17條【信息封鎖權(quán)】

 

在法定或約定事由出現(xiàn)時(shí)，個(gè)人信息權(quán)人得以請(qǐng)求信息處理主體以一定方式暫時(shí)停止或限制該個(gè)人信息的處理。

 

 

第18條【信息刪除權(quán)】

 

在法定或約定事由出現(xiàn)時(shí)，個(gè)人信息權(quán)人得以請(qǐng)求信息處理主體無條件刪除其個(gè)人信息。

 

 

第19條【被遺忘權(quán)】

 

在法定或約定事由出現(xiàn)時(shí)，信息主體得以請(qǐng)求信息處理主體無條件斷開與該個(gè)人信息的任何鏈接，銷毀該個(gè)人信息的副本或復(fù)制件。

 

 

第三章 國(guó)家機(jī)關(guān)信息處理主體(以下簡(jiǎn)稱“國(guó)家機(jī)關(guān)”)對(duì)個(gè)人信息的收集、處理和利用

 

第20條【國(guó)家機(jī)關(guān)個(gè)人信息收集】

 

國(guó)家機(jī)關(guān)為履行職責(zé)或接受其他有權(quán)機(jī)關(guān)的委托可以依法收集個(gè)人信息。國(guó)家機(jī)關(guān)應(yīng)當(dāng)在職權(quán)范圍內(nèi)收集個(gè)人信息，沒有信息主體的書面同意或授權(quán)，不得超越職權(quán)收集個(gè)人信息。

 

國(guó)家機(jī)關(guān)應(yīng)當(dāng)直接向信息主體收集個(gè)人信息，本人委托有代理人的，也可向代理人收集，法律另有規(guī)定或根據(jù)個(gè)人信息性質(zhì)不宜從信息主體處收集的除外。

 

 

第21條【國(guó)家機(jī)關(guān)告知義務(wù)】

 

國(guó)家機(jī)關(guān)收集個(gè)人信息，應(yīng)當(dāng)事前公告或告知信息主體或其代理人國(guó)家機(jī)關(guān)的名稱、收集個(gè)人信息的法律依據(jù)、目的、處理和利用方式、個(gè)人信息收集是否強(qiáng)制、信息主體的權(quán)利和不提供個(gè)人信息的法律后果。

 

 

第22條【國(guó)家機(jī)關(guān)個(gè)人信息的處理和利用】

 

1.國(guó)家機(jī)關(guān)因履行法定職責(zé)，并為實(shí)現(xiàn)收集個(gè)人信息的目的，可以處理和利用個(gè)人信息。

 

2.有下列情形之一的，可以在收集目的之外處理或利用個(gè)人信息：

 

(1)法律法規(guī)明文規(guī)定的;

 

(2)為維護(hù)國(guó)家安全、公共安全或增進(jìn)社會(huì)公共利益;

 

(3)為防止信息主體或他人人身或財(cái)產(chǎn)上的重大利益遭受侵害所必要的;

 

(4)進(jìn)行學(xué)術(shù)研究所必要且無害于信息主體利益的，但研究人員或機(jī)構(gòu)應(yīng)當(dāng)對(duì)使用的個(gè)人信息進(jìn)行保密;

 

(5)有利于信息主體權(quán)益的;

 

(6)信息主體書面同意或授權(quán)的;

 

(7)收集的是已公開的個(gè)人信息，但信息主體聲明禁止變更目的的除外。

 

3. 為個(gè)人信息的保護(hù)檢查、個(gè)人信息的安全以及確保個(gè)人信息處理設(shè)備的正常運(yùn)轉(zhuǎn)目的而存儲(chǔ)的個(gè)人信息，僅可依其目的而利用。

 

 

第23條【個(gè)人信息的傳輸】

 

1.國(guó)家機(jī)關(guān)之間傳輸個(gè)人信息，須滿足以下條件之一：

 

(1)為一方或雙方履行職責(zé)所必要;

 

(2)符合第21條第2款的規(guī)定。

 

2.個(gè)人信息的接收人應(yīng)當(dāng)保證只在傳輸目的范圍內(nèi)處理和利用個(gè)人信息。除非符合第21條第2款規(guī)定的情形并獲得傳輸人的同意，接收人不得將個(gè)人信息用于其他目的。

 

3. 國(guó)家機(jī)關(guān)向非國(guó)家機(jī)關(guān)信息處理主體傳輸個(gè)人信息，須滿足以下條件之一，并告知信息主體或其代理人：

 

(1)非國(guó)家機(jī)關(guān)信息處理主體證明其對(duì)他人的個(gè)人信息有正當(dāng)利益;

 

(2)信息主體無合法利益禁止該傳輸。

 

 

第24條【個(gè)人信息的跨境傳輸】

 

國(guó)家機(jī)關(guān)需要向境外傳輸個(gè)人信息的，應(yīng)當(dāng)符合有關(guān)專門的法律法規(guī)規(guī)定。如果接收地對(duì)個(gè)人信息提供的保護(hù)措施未達(dá)到我國(guó)法律規(guī)定的最低保護(hù)標(biāo)準(zhǔn)，或者向境外傳輸個(gè)人信息違反我國(guó)法律或公序良俗的，不得向境外傳輸個(gè)人信息。

 

 

第25條【個(gè)人信息比對(duì)】

 

國(guó)家機(jī)關(guān)為履行職責(zé)，與其他國(guó)家機(jī)關(guān)或非國(guó)家機(jī)關(guān)信息處理主體之間通過達(dá)成書面比對(duì)協(xié)議并符合下列條件之一的，可以進(jìn)行個(gè)人信息比對(duì)：

 

(1)為防止危害國(guó)家安全和公共安全所必要的;

 

(2)為反恐怖活動(dòng)、反恐怖融資和反洗錢等所必要的;

 

(3)偵查機(jī)關(guān)進(jìn)行刑事偵查所必要的;

 

(4)稅務(wù)機(jī)關(guān)為防止逃稅、騙稅等行為損害國(guó)家稅收利益所必要的;

 

(5)為支持學(xué)術(shù)研究工作或統(tǒng)計(jì)項(xiàng)目而進(jìn)行的個(gè)人信息比對(duì)，所得到的個(gè)人信息不得用于作出與信息主體權(quán)益有影響的決定;

 

(6)為得到統(tǒng)計(jì)資料，確有進(jìn)行個(gè)人信息比對(duì)必要的;

 

(7)為一般行政目的且主要利用國(guó)家工作人員的記錄進(jìn)行個(gè)人信息比對(duì)的;

 

(8)只利用本機(jī)關(guān)內(nèi)部個(gè)人信息數(shù)據(jù)庫中的個(gè)人信息進(jìn)行比對(duì)的，但比對(duì)結(jié)果不得用于作出不利于國(guó)家工作人員的決定;

 

(9)法律規(guī)定的其他情形。

 

個(gè)人信息比對(duì)的結(jié)果未經(jīng)該國(guó)家機(jī)關(guān)獨(dú)立調(diào)查并證實(shí)，或在通知信息主體后未經(jīng)過合理的異議提出及處理終結(jié)期間，不得利用此結(jié)果作出不利于信息主體的決定，但法律規(guī)定有其他情形的不在此限。

 

 

第26條【政策披露】

 

國(guó)家機(jī)關(guān)應(yīng)當(dāng)公開有關(guān)個(gè)人信息的收集、處理和利用的政策，并以政府公告或其他適當(dāng)方式公告下列信息：

 

(1)個(gè)人信息檔案的名稱;

 

(2)個(gè)人信息的類別和范圍;

 

(3)個(gè)人信息的收集機(jī)關(guān)、目的、范圍和程序;

 

(4)個(gè)人信息的處理和利用機(jī)關(guān)及目的;

 

(5)個(gè)人信息存儲(chǔ)機(jī)關(guān)的名稱、住所及聯(lián)系方式;

 

(6)個(gè)人信息存儲(chǔ)的法律依據(jù)和目的;

 

(7)個(gè)人信息傳輸?shù)耐ǔ＝邮杖说拿Q、住所及聯(lián)系方式;

 

(8)跨境傳輸個(gè)人信息的直接接收人名稱、住所及聯(lián)系方式;

 

(9)受理查詢、變更、刪除或閱覽等申請(qǐng)的機(jī)關(guān)的名稱、住所及聯(lián)系方式;

 

(10)拒絕查詢、變更、刪除或閱覽的法律依據(jù)及程序;

 

(11)信息主體享有的各項(xiàng)個(gè)人信息權(quán)利及法律救濟(jì)措施;

 

(12)國(guó)家機(jī)關(guān)及其工作人員的法定義務(wù)和不履行本法規(guī)定義務(wù)的法律責(zé)任;

 

(13)其他應(yīng)當(dāng)公開的事項(xiàng)。

 

國(guó)家機(jī)關(guān)披露的信息不應(yīng)當(dāng)包括個(gè)人信息檔案的內(nèi)容。

 

 

第27條【信息披露的例外】

 

下列各項(xiàng)個(gè)人信息檔案不適用前條規(guī)定：

 

1. 有關(guān)國(guó)家安全、軍事機(jī)密或其它重大國(guó)防利益的;

 

2. 有關(guān)國(guó)家重大的外交、經(jīng)濟(jì)利益的;

 

3. 有關(guān)犯罪、刑事偵查的;

 

4. 個(gè)人信息的安全措施;

 

5. 法律規(guī)定不應(yīng)當(dāng)公開的其他情形。

 

 

第28條【信息主體的訪問權(quán)行使】

 

信息主體有權(quán)向國(guó)家機(jī)關(guān)檢索、訪問和查詢其個(gè)人信息記錄的內(nèi)容，包括個(gè)人信息的來源與接收者。根據(jù)法律或合同關(guān)于保留的規(guī)定而不能刪除的個(gè)人信息，或僅為個(gè)人信息安全和個(gè)人信息保護(hù)控制的目的保存的個(gè)人信息除外。

 

有以下情形之一的，受理機(jī)關(guān)不得提供查詢：

 

1. 對(duì)國(guó)家利益、公共利益、公序良俗有害的;

 

2. 會(huì)造成信息處理主體不公正履行職責(zé)的;

 

3. 事關(guān)第三人重大利益而提供信息對(duì)信息主體利益影響不大的;

 

4. 法律另有規(guī)定或根據(jù)個(gè)人信息性質(zhì)不宜提供的。

 

國(guó)家機(jī)關(guān)應(yīng)當(dāng)向信息主體說明其拒絕查詢的法律依據(jù)和理由。

 

 

第29條【提供復(fù)制本】

 

信息主體請(qǐng)求提供復(fù)制本的，國(guó)家機(jī)關(guān)應(yīng)當(dāng)給予便利，可收取適當(dāng)?shù)某杀举M(fèi)。但國(guó)家機(jī)關(guān)在第26條規(guī)定的情形下應(yīng)當(dāng)拒絕提供復(fù)制本。

 

 

第30條【個(gè)人信息其他權(quán)利的行使】

 

1. 國(guó)家機(jī)關(guān)發(fā)現(xiàn)其存儲(chǔ)的個(gè)人信息不正確的，應(yīng)當(dāng)依職權(quán)予以變更，并予以記錄。信息主體認(rèn)為其個(gè)人信息不正確而請(qǐng)求變更的，在查明事實(shí)后，應(yīng)當(dāng)予以變更，不予變更的應(yīng)當(dāng)向信息主體說明理由，并在記錄簿上作相應(yīng)記錄。

 

2.個(gè)人信息有以下情形之一的，應(yīng)當(dāng)被刪除：

 

(1)非法存儲(chǔ)的;

 

(2)國(guó)家機(jī)關(guān)執(zhí)行職責(zé)已無知悉該個(gè)人信息的必要的。

 

3. 有下列情形之一的，應(yīng)當(dāng)以封鎖代替刪除：

 

(1)因法律法規(guī)規(guī)定的或合同約定的保管期限，不得刪除的;

 

(2)有理由認(rèn)為刪除將損害信息主體的合法利益的;

 

(3)因存儲(chǔ)方式特殊不能刪除或需要過多費(fèi)用才能刪除的;

 

(4)根據(jù)個(gè)人性質(zhì)不宜刪除的。

 

信息主體對(duì)個(gè)人信息的正確性有爭(zhēng)議，而無法確認(rèn)其正確與否的，應(yīng)當(dāng)予封鎖。

 

4. 國(guó)家機(jī)關(guān)確認(rèn)在特定情況下若不封鎖個(gè)人信息，信息主體的合法利益將受到損害且該機(jī)關(guān)履行職責(zé)已經(jīng)不再需要該個(gè)人信息的，應(yīng)當(dāng)封鎖該個(gè)人信息。

 

5. 符合以下條件，可以傳輸或利用被封鎖的個(gè)人信息而無須信息主體的同意：

 

(1)為了信息主體或第三人人身或財(cái)產(chǎn)上的重大利益免受損害;

 

(2)為免除公共利益受損害所必須的。

 

6. 依前述第1款和第5款規(guī)定對(duì)個(gè)人信息進(jìn)行變更、傳輸或利用，應(yīng)當(dāng)通知信息主體。

 

7. 在保護(hù)信息主體的合法權(quán)益確有必要的前提下，依前述第1、第2、第3或第4款變更、刪除、封鎖個(gè)人信息的信息處理主體，應(yīng)當(dāng)通知個(gè)人信息傳輸?shù)慕邮杖思捌渌嘘P(guān)主體。

 

 

第31條【受理期限】

 

國(guó)家機(jī)關(guān)受理信息主體依本法提出的申請(qǐng)后，應(yīng)當(dāng)在受理申請(qǐng)之日起15天內(nèi)予以答復(fù)，必要情況下需要延長(zhǎng)的，該行政機(jī)關(guān)可以批準(zhǔn)延長(zhǎng)15天。特殊情況還需要延長(zhǎng)的，報(bào)請(qǐng)上級(jí)主管機(jī)關(guān)批準(zhǔn)。

 

 

第32條【安全措施】

 

國(guó)家機(jī)關(guān)應(yīng)采取技術(shù)措施和其他必要措施，設(shè)置專人負(fù)責(zé)個(gè)人信息的安全管理工作，并根據(jù)技術(shù)發(fā)展的狀況及時(shí)更新安全措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。

 

在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

 

 

第33條【國(guó)家機(jī)關(guān)工作人員的義務(wù)】

 

未經(jīng)授權(quán)，國(guó)家機(jī)關(guān)工作人員以及其委托的其他人員不得處理或利用個(gè)人信息，并對(duì)個(gè)人信息負(fù)有保密義務(wù)，工作結(jié)束后仍承擔(dān)該義務(wù)。

 

國(guó)家機(jī)關(guān)工作人員對(duì)其在履行法定職責(zé)過程中所收集、處理或利用的個(gè)人信息負(fù)有保密義務(wù)，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。

 

 

第四章非國(guó)家機(jī)關(guān)信息處理主體對(duì)個(gè)人信息的收集、處理和利用

 

第34條【適用對(duì)象】

 

本節(jié)適用于自然人、法人或其他信息處理主體為了商業(yè)目的或其他職業(yè)目的收集、處理和利用個(gè)人信息。

 

 

第35條【非國(guó)家機(jī)關(guān)信息處理主體個(gè)人信息收集的資格】

 

非國(guó)家機(jī)關(guān)信息處理主體未經(jīng)登記管理機(jī)關(guān)進(jìn)行業(yè)務(wù)資格登記并發(fā)給執(zhí)照，不得收集個(gè)人信息。

 

征信機(jī)構(gòu)及以個(gè)人信息收集或處理為主要業(yè)務(wù)的自然人、法人或其他信息處理主體，除非獲得主管部門的批準(zhǔn)并經(jīng)登記管理機(jī)關(guān)進(jìn)行業(yè)務(wù)資格登記并發(fā)給執(zhí)照，不得收集個(gè)人信息。

 

 

第36條【信息披露】

 

非國(guó)家機(jī)關(guān)信息處理主體應(yīng)當(dāng)于取得收集資格后10日內(nèi)，在政府公告、當(dāng)?shù)貓?bào)紙或其他適當(dāng)?shù)拿襟w上公布下列事項(xiàng)：

 

(1)自然人應(yīng)公布其姓名、住所和聯(lián)系方式，法人或其他組織應(yīng)公布其名稱、主營(yíng)業(yè)地或其法定代表人姓名、住所和聯(lián)系方式;

 

(2)個(gè)人信息檔案名稱;

 

(3)保有個(gè)人信息檔案的目的;

 

(4)個(gè)人信息的類別和范圍;

 

(5)個(gè)人信息收集的目的、范圍和程序;

 

(6)個(gè)人信息處理或利用的目的和范圍;

 

(7)個(gè)人信息檔案的存儲(chǔ)期限和法律依據(jù);

 

(8)個(gè)人信息傳輸?shù)耐ǔ＝邮杖说拿Q、住所及聯(lián)系方式;

 

(9)跨國(guó)傳輸個(gè)人信息的直接接收人名稱、住所及聯(lián)系方式;

 

(10)個(gè)人信息檔案維護(hù)負(fù)責(zé)人的姓名和聯(lián)系方式;

 

(11)受理查詢、變更、刪除或閱覽等申請(qǐng)的部門的名稱和住所及聯(lián)系方式;

 

(12)信息主體享有的各項(xiàng)個(gè)人信息權(quán)利及法律救濟(jì)措施。

 

非國(guó)家機(jī)關(guān)信息處理主體披露的信息不應(yīng)當(dāng)包括個(gè)人信息檔案的內(nèi)容。

 

 

第37條【非國(guó)家機(jī)信息處理主體關(guān)個(gè)人信息的收集、處理與利用】

 

1.除非符合下列條件之一，非國(guó)家機(jī)關(guān)信息處理主體不得超出特定目的收集、處理個(gè)人信息：

 

(1)信息主體書面同意或授權(quán);

 

(2)與信息主體有合同或類似合同的關(guān)系，并不會(huì)損害信息主體的合法權(quán)益;

 

(3)已公開的個(gè)人信息并不會(huì)損害信息主體的合法權(quán)益;

 

(4)學(xué)術(shù)研究有必要且無害于信息主體重大利益的，但研究人員或機(jī)構(gòu)應(yīng)當(dāng)采取必要的保密措施;

 

(5)法律法規(guī)規(guī)定的其他情形。

 

2.除非符合下列條件之一，非國(guó)家機(jī)關(guān)信息處理主體不得超出特定目的利用個(gè)人信息：

 

(1)為保護(hù)公共利益;

 

(2)為免除信息主體人身或財(cái)產(chǎn)上的緊迫危險(xiǎn);

 

(3)防止他人權(quán)益的重大危害而有必要的;

 

(4)信息主體書面同意或授權(quán);

 

(5)履行法定義務(wù)的。

 

(6) 為個(gè)人信息保護(hù)檢查、個(gè)人信息安全、確保個(gè)人信息處理設(shè)備的正常運(yùn)轉(zhuǎn)目的而存儲(chǔ)的個(gè)人信息，僅可依其目的而利用。

 

 

第38條【準(zhǔn)用性規(guī)范】

 

非國(guó)家機(jī)關(guān)信息處理主體收集、處理和利用個(gè)人信息準(zhǔn)用第三章第21、第22、第26、第27、第28、第29、第30以及第31條的規(guī)定。

 

 

第39條【自律規(guī)范】

 

非國(guó)家機(jī)關(guān)信息處理主體依據(jù)本法制定的自律性規(guī)范，達(dá)到本法要求標(biāo)準(zhǔn)的，經(jīng)主管部門審批后具有與本法同等的效力。

 

 

第五章法律責(zé)任

 

第40條【損害賠償】

 

國(guó)家機(jī)關(guān)違反本法規(guī)定，給信息主體造成人身或財(cái)產(chǎn)上的損失的，應(yīng)依照本法的規(guī)定承擔(dān)損害賠償?shù)让袷仑?zé)任;本法無規(guī)定的，依照《中華人民共和國(guó)國(guó)家賠償法》的規(guī)定承擔(dān)民事責(zé)任。

 

非國(guó)家機(jī)關(guān)信息處理主體違反本法規(guī)定，給信息主體造成人身或財(cái)產(chǎn)上的損失的，應(yīng)依照本法的規(guī)定承擔(dān)損害賠償?shù)让袷仑?zé)任;本法無規(guī)定的，依照民法及其他法律法規(guī)的規(guī)定承擔(dān)民事責(zé)任。

 

 

第41條【精神損害賠償】

 

國(guó)家機(jī)關(guān)和非國(guó)家機(jī)關(guān)信息處理主體依本法第39條承擔(dān)責(zé)任的，信息主體對(duì)其非物質(zhì)損失可以主張精神損害賠償。

 

 

第42條【共同侵權(quán)】

 

發(fā)生侵權(quán)時(shí)，信息主體無法確認(rèn)侵權(quán)人的，可以向有權(quán)收集、利用或處理個(gè)人信息的兩個(gè)或兩個(gè)以上的相關(guān)主體主張損害賠償。

 

 

第43條【其他法律責(zé)任】

 

違反本法規(guī)定，構(gòu)成違反行政法律法規(guī)的行為，依法承擔(dān)行政法律責(zé)任;構(gòu)成犯罪的，依法追究刑事責(zé)任。

 

 

第44條【相關(guān)名詞定義】

 

在本法中，

 

1.“信息主體”指產(chǎn)生個(gè)人信息并享有個(gè)人信息權(quán)利的自然人。

 

2.“信息處理主體” 指信息主體以外的對(duì)個(gè)人信息進(jìn)行處理的自然人、法人以及其他組織。

 

3.“國(guó)家機(jī)關(guān)”指行使國(guó)家權(quán)力管理國(guó)家事務(wù)的機(jī)關(guān).包括國(guó)家權(quán)力機(jī)關(guān)、國(guó)家行政機(jī)關(guān)、審判機(jī)關(guān)、檢察機(jī)關(guān)和軍隊(duì)等。

 

4.“非國(guó)家機(jī)關(guān)信息處理主體”指國(guó)家機(jī)關(guān)與被授權(quán)行使國(guó)家機(jī)關(guān)職能的單位或部門以外的信息處理主體。

 

5.“第三人”指信息主體、信息處理主體以及在本法適用范圍內(nèi)被委托處理或利用個(gè)人信息的人之外的任何人。

 

6.“收集”指以利用為目的取得信息主體的個(gè)人信息。

 

7.“處理”指以自動(dòng)化方式或人工方式對(duì)個(gè)人信息進(jìn)行的操作，包括輸入、存儲(chǔ)、編輯、檢索、變更、補(bǔ)充、刪除、傳送、封鎖以及其他操作。

 

(1)“輸入”是指將個(gè)人信息錄入到磁帶、卡片、硬盤、紙張或其他媒介。

 

(2)“存儲(chǔ)”是指對(duì)個(gè)人信息保存在磁帶、卡片、硬盤、紙張或其他媒介。

 

(3)“編輯”指對(duì)個(gè)人信息的編排，包括個(gè)人信息的表現(xiàn)形式、格式、版式等的修改。

 

(4)“檢索”指從個(gè)人信息記錄中查找需要的個(gè)人信息的過程。

 

(5)“變更”指修改已存儲(chǔ)個(gè)人信息的內(nèi)容。

 

(6)“補(bǔ)充”指增加已存儲(chǔ)個(gè)人信息的內(nèi)容。

 

(7)“刪除”指消除部分或全部已存儲(chǔ)的個(gè)人信息記錄，使其不能重現(xiàn)。

 

(8)“傳送”指將已存儲(chǔ)或處理的個(gè)人信息在內(nèi)部進(jìn)行傳遞、連結(jié)或輸出。

 

(9)“封鎖”指對(duì)已存儲(chǔ)的個(gè)人信息附加符號(hào)或其他技術(shù)措施限制對(duì)該個(gè)人信息繼續(xù)處理或利用。

 

8.“利用”指對(duì)個(gè)人信息進(jìn)行目的內(nèi)使用、披露、公開、二次開發(fā)、傳輸?shù)忍幚碇獾氖褂谩?/span>

 

9. “個(gè)人信息數(shù)據(jù)庫”指國(guó)家機(jī)關(guān)和非國(guó)家機(jī)關(guān)存儲(chǔ)個(gè)人信息的數(shù)據(jù)庫。

 

10.“個(gè)人信息比對(duì)”指為特定目的通過連接兩個(gè)或兩個(gè)以上的個(gè)人信息數(shù)據(jù)庫，利用電腦程序等技術(shù)手段對(duì)數(shù)據(jù)庫中的個(gè)人信息進(jìn)行比較。