全國人民代表大會憲法和法律委員會關於《中華人民共和國個人信息保護法（草案）》審議結果的報告

全國人民代表大會常務委員會：

常委會第二十八次會議對個人信息保護法草案進行了二次審議。會後，法制工作委員會在中國人大網全文公布草案徵求社會公眾意見。憲法和法律委員會、法制工作委員會召開座談會，分別聽取有關專家、企業和法院系統的意見；就草案的有關問題與有關方面交換意見，共同研究。憲法和法律委員會於7月14日召開會議，根據7月9日委員長會議精神、常委會組成人員審議意見和各方面的意見，對草案進行了逐條審議。中央網絡安全和信息化委員會辦公室有關負責同志列席了會議。7月28日，憲法和法律委員會召開會議，再次進行了審議。憲法和法律委員會認為，為加強個人信息保護，維護人民群眾在網絡空間的合法權益，並促進信息合理利用，制定本法是必要的，草案經過兩次審議修改，已經比較成熟。同時，提出以下主要修改意見：

一、有的常委委員和社會公眾、專家提出，我國憲法規定，國家尊重和保障人權；公民的人格尊嚴不受侵犯；公民的通信自由和通信秘密受法律保護。制定實施本法對於保障公民的人格尊嚴和其他權益具有重要意義，建議在草案二次審議稿第一條中增加規定「根據憲法」制定本法。憲法和法律委員會經研究，贊同上述意見，建議予以採納。

二、一些常委會組成人員和地方、部門、社會公眾建議，進一步完善個人信息處理規則，特別是對應用程序（APP）過度收集個人信息、大數據殺熟以及非法買賣、泄露個人信息等作出有針對性規範。憲法和法律委員會經研究，建議對草案二次審議稿作以下修改：一是進一步明確處理個人信息應當遵循合法、正當、必要原則。二是將第六條修改為：處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，採取對個人權益影響最小的方式。收集個人信息，應當限於實現處理目的的最小範圍。三是增加規定，任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。四是增加規定，利用個人信息進行自動化決策，不得對個人在交易價格等交易條件上實行不合理的差別待遇。五是增加規定，履行個人信息保護職責的部門應當組織對應用程序等個人信息保護情況進行測評、公布測評結果，對違法處理個人信息的應用程序，責令暫停或者終止提供服務。

三、有的常委委員和企業、專家提出，現實中有關企業、單位在人力資源管理工作中需要處理個人信息，建議在草案中將此類情況作為允許收集和處理個人信息的情形。憲法和法律委員會經研究，建議採納上述意見，在草案二次審議稿第十三條中增加相應規定。

四、一些常委會組成人員和地方、部門、企業、專家建議，進一步做好草案有關條款與民法典有關規定的銜接。憲法和法律委員會經研究，建議對草案二次審議稿作以下修改：一是將第二十八條修改為，個人信息處理者可以在合理的範圍內處理已合法公開的個人信息，個人明確拒絕的除外；對個人權益有重大影響的，應當取得個人同意。二是將第五十六條中的「個人信息泄露」修改為「個人信息泄露、篡改、丟失」。

五、有些常委會組成人員建議，將未成年人個人信息作為敏感個人信息予以嚴格保護。憲法和法律委員會經研究，建議明確將不滿十四周歲未成年人的個人信息作為敏感個人信息，並要求個人信息處理者對此制定專門的個人信息處理規則。

六、有的常委委員和部門、專家提出，按照我國締結或者參加的經貿合作等國際條約，可以向境外提供個人信息，草案中應當考慮規定這種情形，同時，也需要規定，對轉移到境外的個人信息的保護，不應低於我國的保護標準。憲法和法律委員會經研究，建議增加規定：中華人民共和國締結或者參加的國際條約、協定對向境外提供個人信息的條件等有規定的，可以按照其規定執行；個人信息處理者應當採取必要措施，保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。

七、有的常委委員和社會公眾、部門、專家提出，為方便個人獲取並轉移其個人信息，建議借鑑有關國家和地區的立法，增加個人信息可攜帶權的規定。憲法和法律委員會經研究，建議增加規定：個人請求將其個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。

八、草案二次審議稿第四十九條對死者個人信息的保護作了規定。有的常委委員和專家提出，死者的近親屬行使相關權利應當有合理的理由，並尊重死者生前的安排，建議對上述規定再作研究。憲法和法律委員會經研究，建議將這一條修改為：自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的個人信息行使本章規定的查閱、複製、更正、刪除等權利；死者生前另有安排的除外。

九、有的部門、專家提出，大型互聯網企業制定有關個人信息保護的平台規則時，應當公平合理地對待平台內經營者。有的常委委員和企業、專家提出，對處理信息數量少、處理活動簡單的小型個人信息處理者，應適當減輕其合規成本。憲法和法律委員會經研究，建議對草案二次審議稿作以下修改：一是增加規定，大型互聯網企業應當遵循公開、公平、公正的原則，制定有關個人信息保護的平台規則；二是授權國家網信部門針對小型個人信息處理者制定相關規則。

十、有的常委委員和部門、社會公眾提出，有關部門應完善個人信息保護投訴、舉報機制，並在案件查處方面加強協同配合。憲法和法律委員會經研究，建議在草案二次審議稿中增加以下規定：一是國家網信部門統籌協調有關部門完善個人信息保護投訴、舉報工作機制。二是履行個人信息保護職責的部門發現違法處理個人信息涉嫌犯罪的，應當及時移送公安機關依法處理；對有關責任人員可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人等職務。

此外，還對草案二次審議稿作了一些文字修改。

7月28日，法制工作委員會召開會議，邀請部分全國人大代表、專家學者以及基層立法聯繫點、地方有關部門、企業等方面的代表，就草案中主要制度規範的可行性、法律出台時機、法律實施的社會效果和可能出現的問題等進行評估。普遍認為，草案適應我國信息化發展需要，聚集人民群眾重大關切，深入總結現行法律實施經驗，健全完善個人信息保護制度規則，對於維護廣大人民群眾網絡空間合法權益具有重要意義。草案內容全面、系統，針對性和可操作性較強，並具有一定的包容性、前瞻性，建議儘快通過實施。與會人員還對草案提出了一些具體修改意見，有的意見已經採納。

草案三次審議稿已按上述意見作了修改，憲法和法律委員會建議提請本次常委會會議審議通過。

草案三次審議稿和以上報告是否妥當，請審議。