中国“个人信息保护法”草案(全译本)

此翻译是数字中国项目的一部分，该项目设在斯坦福大学网络政策中心，并与新美国共同努力。

这是由Rogier Creemers，Mingli Shih和Lauren Dudley翻译的，由Graham Webster编辑。

第一条为了保护个人信息权益，规范个人信息处理活动，维护个人信息合法、有序、自由流动，促进个人信息的合理使用，制定本法。

第二条自然人的个人信息受法律保护，任何组织和个人不得侵犯自然人的个人信息权益。

第三条组织和个人在中华人民共和国境内办理自然人个人信息活动，适用本法。

在中华人民共和国境外办理中华人民共和国境内自然人个人信息活动有下列情形之一的，适用本法：

以向境内自然人提供产品或者服务为目的的；

第四条个人信息是指以电子方式或者其他方式记录的与可识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息处理包括个人信息的收集、存储、使用、处理、传输、提供、发布和其他此类活动。

第五条个人信息处理应当采取合法、正当的方式，遵循诚实信用的原则。禁止以欺诈、误导等方式处理个人信息。

第六条个人信息处理应当有明确合理的目的，并应当限制在最小范围内实现处理目的。禁止进行与处理目的无关的个人信息处理。

第七条个人信息处理应当遵循公开透明的原则，明确个人信息处理规则。

第八条为实现处理目的，处理后的个人信息应当准确、及时更新。

第九条个人信息从业人员应当对其个人信息处理活动承担责任，并采取必要措施保障其处理的个人信息的安全。

第十条任何组织和个人不得违反法律、行政法规的规定处理个人信息，不得从事损害国家安全和公共利益的个人信息处理活动。

第十一条国家建立个人信息保护体制，预防和惩治损害个人信息权益的行为，加强个人信息保护宣传教育，推动营造良好的个人信息保护环境，政府、企业、有关部门组织和社会公众共同参与。

第十二条国家积极参与个人信息保护国际规则(规范)的制定，促进个人信息保护领域的国际交流与合作，推动与其他国家、地区和国际组织互认个人信息保护规则(规范)、标准等。

第十三条个人信息经营者只有在符合下列情形之一的情况下，方可办理个人信息：

需要订立或者履行个人为利害关系人的合同的；

必要时应对突发公共卫生事件或者在紧急情况下保护自然人的生命健康或者财产安全；

在合理范围内处理个人信息，开展新闻报道、舆论监督等公益活动；

第十四条个人对个人信息的处理，应当在充分知情的前提下，以自愿、明确的意愿表示同意。法律、行政法规规定处理个人信息必须征得具体同意或者书面同意的，依照其规定。

个人信息处理目的、处理方式、处理类别发生变化的，应当重新征得个人同意。

第十五条个人信息处理者明知或者应当知道其处理的个人信息是未满十四周岁未成年人的个人信息的，应当征得监护人同意。

第十六条个人对根据个人同意进行的个人信息处理活动有权撤销同意。

第十七条个人信息经营者不得以个人不同意处理个人信息或者撤销个人信息处理同意为由拒绝提供产品或者服务，但提供产品或者服务需要处理个人信息的除外。

第十八条个人信息处理人员在处理个人信息前，应当用清晰易懂的语言明确告知个人下列事项：

个人信息处理的目的和处理方式、处理的个人信息的类别、保存期限；

前款规定事项发生变化的，应当通知个人。

个人信息处理人员以制定个人信息处理规则的方式通知第一款规定事项的，处理规则应当公开，便于阅读和存储。

第十九条法律、行政法规规定应当保密或者不需要通知的情况下，办理个人信息的人员不得向个人通报前条规定的事项。

紧急情况下，为保护自然人的生命、健康和财产安全，不能及时通知个人的，个人信息处理人员应当在紧急情况结束后予以通知。

第二十条个人信息保留期是实现个人信息处理目的所必需的最短期限。法律、行政法规对个人信息保留期另有规定的，从其规定。

第二十一条两个以上个人信息处理者共同决定个人信息处理目的和处理方式的，应当约定各自的权利和义务。但是，该协议不影响个人根据本法规定要求个人信息处理者履行职责的权利。

个人信息处理者共同处理个人信息损害个人信息权益的，依法承担连带责任。

第二十二条个人信息处理员委托处理个人信息的，应当与受托方就委托处理的目的、处理方式、个人信息类别、保护措施以及双方的权利和义务等事项订立协议，并对受托方的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息，不得超越约定以处理目的或者处理方式等方式处理个人信息；合同履行完成或者委托关系解除后，应当将个人信息返还或者删除。

未经个人信息处理者同意，委托人不得进一步委托他人处理个人信息。

第二十三条个人信息处理者因合并、分立等原因需要转移个人信息的，应当将接收方的身份和联系方式告知个人。接收方应当继续履行个人信息处理员的职责。接收方改变原处理目的或者处理方式的，应当依照本法规定再次通知个人，并征得其同意。

第二十四条个人信息处理者向第三人提供其处理的个人信息的，应当告知第三人的身份、联系方式、处理目的、处理方式和个人信息类别，并征得个人的具体同意。接受个人信息的第三人应当在上述处理目的、处理方式、个人信息类别等范围内处理个人信息。第三人改变原处理目的或者处理方式的，应当依照本法规定再次通知个人，并征得其同意。

在个人信息处理者向第三方提供匿名信息的情况下，第三方不得使用技术或其他方法重新识别个人身份。

第二十五条利用个人信息进行自动化决策，应当保证决策的透明度和处理结果的公平合理。如果个人认为自动化决策对其权益产生重大影响，他们有权要求个人信息处理者解释此事，并有权拒绝个人信息处理者完全通过自动决策方法做出决策。

通过自动决策方法进行商业销售或信息推送的，应当同时提供不针对个人特征的选择。

第二十六条个人信息处理者不得公布其经办的个人信息，但经个人特别同意或者法律、行政法规另有规定的除外。

第二十七条公共场所安装图像采集、身份识别设备，应当按照维护公共安全的要求，遵守国家有关规定，并设置清晰的指示牌。收集到的个人图像和个人身份特征信息，只能用于维护公共安全的目的，不得公布或者提供给他人，但有个人具体同意或者法律、行政法规另有规定的除外。

第二十八条个人信息处理者处理已经发布的个人信息，应当符合该个人信息发布时的目的；超过与该目的有关的合理范围的，应当依照本法规定通知使用者，并征得其同意。

个人信息发布时目的不明确的，个人信息经营者应当合理谨慎地处理发布的个人信息；使用发布的个人信息对个人有重大影响的活动，应当依照本法的规定通知个人，并征得其同意。

第二十九条个人信息处理者只有在必要的情况下，才可以为特定目的处理敏感的个人信息。

敏感个人信息是指一旦泄露或非法使用，可能对个人造成歧视或严重损害个人或财产安全的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人位置跟踪等信息。

第三十条个人信息处理者根据个人同意处理敏感个人信息的，应当征得个人的具体同意。法律、行政法规规定处理敏感个人信息须征得书面同意的，依照其规定。

第三十一条个人信息处理者处理敏感个人信息，除依照本法第十八条的要求外，还应当告知个人处理敏感个人信息的必要性及其对个人的影响。

第三十二条法律、行政法规规定必须取得有关行政许可或者对个人敏感信息的处理有更严格限制的，从其规定。

第三十三条国家机关处理个人信息的活动，适用本法；本节有具体规定的，适用本节规定。

第三十四条处理个人信息的国家机关履行法定职责，应当依照法律、行政法规规定的权限和程序进行，不得超过履行法定职责的范围或者程度。

第三十五条国家机关为履行法定职责处理个人信息，应当依照本法规定通知个人并征得其同意，但法律、行政法规规定保密或者通知、征得同意会妨碍国家机关履行法定职责的除外。

第三十六条除法律、行政法规另有规定或者征得个人同意外，国家机关不得公布或者向他人提供其处理的个人信息。

第三十七条国家机关处理的个人信息应当存储在中华人民共和国境内；需要向境外提供的，应当进行风险评估。可能需要相关部门为风险评估提供支持和协助。

第三十八条个人信息从业人员因业务或者其他需要，需要在境外提供个人信息的，应当至少具备下列条件之一：

根据本法第四十条规定，通过国家网络安全和信息化部门组织的安全评估；

按照国家网络安全和信息化部门的规定，接受专业机构的个人信息保护认证；

与外国接收方订立协议，约定双方的权利和义务，监督其个人信息处理活动是否符合本法规定的个人信息保护标准；

法律、行政法规或者国家网络安全和信息化部门规定的其他条件。

第三十九条个人信息处理者在中华人民共和国境外提供个人信息的，应当将外国接收方的身份、联系方式、办理目的、处理方式、个人信息类别、个人与外国接收方行使本法规定的权利的方式等事项告知个人，并征得个人的具体同意。

第四十条关键信息基础设施经营者和个人信息处理者处理达到国家网络安全和信息化部门规定数量的个人信息的，应当在国内存储收集和生产的个人信息。需要在境外提供的，应当通过国家网络安全和信息化部门组织的安全评估；法律、行政法规和国家网络安全和信息化部门的规定允许不进行安全评估的，按照规定执行。

第四十一条国际司法协助或者行政执法协助需要在境外提供个人信息的，应当依法报经有关主管部门批准。

中华人民共和国缔结或者参加含有在中华人民共和国境外提供个人信息规定的国际条约、协定的，从其规定。

第四十二条外国组织或者个人从事损害中华人民共和国公民个人信息权益、损害中华人民共和国国家安全、公共利益的个人信息处理行为的，国家网络安全和信息化部门可以将其列入限制或者禁止提供个人信息的名单，给予警告，并采取限制或者禁止向其提供个人信息等措施。

第四十三条任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区采取报复措施。

第四十四条个人对个人信息有知情权和决定权，有权限制或者拒绝他人处理其个人信息，但法律、行政法规另有规定的除外。

第四十五条除本法第十九条第一款规定的情形外，个人有权查阅、复制个人信息处理者的个人信息。

个人要求调阅、复制个人信息的，个人信息处理人员应当及时提供。

第四十六条个人发现个人信息不正确、不完整的，有权要求个人信息处理人员更正、填写个人信息。个人要求更正、填写个人信息的，个人信息处理人员应当对个人信息进行核实，并及时更正、填写。

第四十七条个人信息处理者有下列情形之一的，应当主动或者根据个人要求删除个人信息：

法律、行政法规规定的保留期未满或者个人信息删除在技术上难以实现的，个人信息处理人员应当停止个人信息处理。

第四十八条个人有权要求个人信息处理人员解释个人信息处理规则。

文章。

.