全人代で可決された個人情報保護法の日本語訳
目録
第1章 一般規則
第2章 個人情報の取扱いに関する規程
セクション 1 一般的な規定
セクションII 機密性の高い個人情報の取り扱いに関する規則
第3条 国家機関による個人情報の取扱いに関する特例
第3章 個人情報の国境を越えた提供に関する規程
第4章 個人情報の取扱いに関する個人の権利
第5章 個人情報取扱人の義務
第6章 個人情報保護責任を果たす部署
第7章 法的責任
第8章 附則
第1章 一般規則
第一条この法律は、個人情報の権利及び利益の保護、個人情報の取扱いの規制、個人情報の適正利用の推進を目的として、憲法に基づき制定する。
第2条自然人の個人情報は法律で保護されており、いかなる組織や個人も自然人の個人情報の権利と利益を侵害してはならない。
第三条この法律は、中華人民共和国の領土内で自然人の個人情報を取り扱う活動に適用される。
この法律は、中華人民共和国の国外で中華人民共和国内の自然人の個人情報を処理する活動に適用される場合にも適用されます。
(i) 国内の自然人に製品またはサービスを提供する目的で。
(2) 領土内の自然人の行動を分析し、評価すること。
(3) その他、法令又は行政規則に定める場合
第四条個人情報は、匿名化処理後の情報を除き、識別または識別可能な自然人に関する電子的またはその他の方法で記録される様々な情報です。
個人情報の取扱いには、個人情報の収集、保管、利用、加工、送信、提供、開示、削除等が含まれます。
第五条個人情報の取扱いは、適法性、正当性、必要性及び誠実さの原則に従い、誤解を招く、詐欺、強要等によって個人情報を取り扱わないものとします。
第六条個人情報の取扱いは、明確かつ合理的な目的を有し、その処分目的に直接関係し、個人の権利及び利益に最小限の影響を及ぼすような方法を講ずるものとする。
個人情報の収集は、取扱いの目的の達成に最低限とし、過度に収集してはならないものとします。
第七条個人情報の取扱いは、開示及び透明性の原則に従い、個人情報の取扱いに関する規則を開示し、その処理の目的、方法及び範囲を明示する。
第八条個人情報の取扱いは、個人情報の不正確性及び不完全性による個人の権利及び利益への悪影響を避けるために、個人情報の品質を確保するものとする。
第九条個人情報取扱者は、個人情報の取扱いに責任を負い、取扱う個人情報の安全確保に必要な措置を講じます。
第十条いかなる組織または個人も、他人の個人情報を違法に収集、使用、加工、または送信したり、他人の個人情報を違法に売買、提供、または公開したり、国家の安全や公共の利益を害する個人情報の取り扱いを行ったりしてはならない。
第十一条国は、個人情報保護体制を整備し、個人情報の権利及び利益の侵害を防止・処罰し、個人情報保護に関する広報・教育を強化し、政府、企業、関係社会組織及び国民が個人情報保護に共同で参加できる良好な環境の構築を推進する。
第十二条国は、個人情報保護に関する国際ルールの策定に積極的に参加し、個人情報保護に関する国際交流及び協力を促進し、他国、地域及び国際機関との個人情報保護規則及び基準の相互認識を促進する。
第2章 個人情報の取扱いに関する規程
セクション 1 一般的な規定
第十三条個人情報取扱者は、次の各号のいずれかに該当するときは、個人情報を取り扱います。
(1) 個人の同意を得る。
(2) 当事者としての個人契約の締結または履行、または法律に基づく労働規則および規則および団体契約に従って人事管理を実施するために必要であること。
(3) 法的義務または法的義務を果たすために必要であること。
( 4 ) 公衆衛生上の緊急事態に対応するため、または緊急事態における自然人の生命と財産の安全を保護するために必要であること。
(5) 公共の利益のために報道、世論の監督その他の行為を行い、合理的な範囲で個人情報を処理すること。
(6) この法律の規定に従い、合理的な範囲で、個人が自ら開示した個人情報、または合法的に開示されたその他の個人情報を処理すること。
(7) その他、法令又は行政規則に定める場合
この法律のその他の関連規定に従い、個人情報の取扱いは、前項第二項から第七項の規定により、本人の同意を得ることなく、本人の同意を得るものとする。
第十四条個人情報の取扱いに関する本人の同意に基づき、その同意は、十分な情報を得た上で、個人が自発的かつ明確に行うものとする。 法令または行政規則により、個人情報の取扱いに関する個別の同意または書面による同意が必要であると規定されている場合は、その規定に従うものとします。
個人情報の取扱い目的、取扱い方法、取扱いの種類が変更された場合は、本人の同意を得るものとします。
第十五条個人の同意に基づき個人情報を取り扱う場合、個人は同意を撤回する権利を有する。 個人情報の取扱い者は、同意を撤回する便利な方法を提供するものとする。
個人による同意の撤回は、撤回前に個人の同意に基づいて行われた個人情報の取り扱い活動の有効性には影響しません。
第十六条個人情報取扱者は、個人情報の取扱いに同意しない場合、または同意を撤回した場合を除き、製品またはサービスの提供を拒否してはならない。
第十七条個人情報取扱者は、個人情報を取り扱う前に、以下の事項を、著しく明確かつ理解しやすい言語で、真実、正確、かつ完全に個人に通知しなければならない。
(1) 個人情報の取扱い者の氏名、氏名、連絡先
(2) 個人情報の取扱い目的、取扱い方法、取扱い先の個人情報の種類、保存期間
(3) この法律に定める権利の行使方法及び手続
(4) その他、法令及び行政規則に定める事項。
前項の規定により変更が生じた場合は、その変更の一部を本人に通知しなければならない。
個人情報取扱者は、個人情報の取扱いに関する規程を定めることにより、第一項に規定する事項について通知し、その取扱い規則は公表し、閲覧及び保存を容易にする。
第十八条個人情報取扱者は、個人情報を取り扱う場合において、法令又は行政規則により秘密にしておくこと、又は通知を必要としない場合には、前条第一項に規定する事項を個人に通知しないものとします。
緊急時に、自然人の生命及び財産の安全を保護するために、速やかに個人に通知することができない場合には、個人情報取扱者は、緊急時の解消後速やかに通知しなければならない。
第十九条個人情報の保存期間は、法令及び行政規則に定める場合を除き、その処理目的の達成に必要な最低限の期間とする。
第二十条2人以上の個人情報取扱者が、個人情報の取扱いの目的及び取扱い方法を共同で決定する場合には、それぞれの権利及び義務を定めるものとする。 ただし、この規約は、個人情報の取扱者の1人に対し、この法律に基づく権利の行使を求める個人に影響を与えません。
個人情報の取扱い者が共同で個人情報を取り扱い、個人情報の権利と利益を侵害して損害を与えた場合、法律に従って共同責任を負うものとします。
第二十一条個人情報取扱者が個人情報の取扱いを委託する場合には、委託先と委託先と合意し、委託処理の目的、期間、取扱方法、個人情報の種類、保護措置その他、双方の権利義務等について、受託者の個人情報の取扱いを監督しなければならない。
受託者は、合意された処理目的、処理方法等を超えて個人情報を取り扱うものとし、委託契約が効力を生じず、無効、取り消し又は終了した場合、受託者は、個人情報を個人情報取扱者に返却又は削除し、保持しないものとする。
受託者は、個人情報の取扱い者の同意を得ることなく、個人情報の取扱いを他人に委託することはできません。
第二十二条個人情報取扱人は、合併、分割、解散、破産の宣告等により個人情報の譲渡が必要とされた場合には、受領者の氏名又は氏名及び連絡先を個人に通知しなければならない。 受領者は、個人情報の取扱い者の義務を引き続き履行するものとします。 受領者が元の処理目的または処理方法を変更する場合、両当事者は、この法律の規定に従って、個人の同意を得なければならない。
第二十三条個人情報取扱者が、取扱う個人情報を他の個人情報取扱人に提供する場合、その氏名、連絡先、取扱目的、取扱い方法及び個人情報の種類を本人に通知し、本人の個別の同意を得るものとする。 受領者は、上記処理目的、取扱い方法、個人情報の種類等の範囲内で個人情報を取り扱うものとします。 受領者が元の処理目的または処理方法を変更する場合、両当事者は、この法律の規定に従って、個人の同意を得なければならない。
第二十四条個人情報取扱者は、自動意思決定のために個人情報を利用する場合、意思決定の透明性及び結果が公正かつ公正であることを保証し、取引価格等の取引条件に関して、個人に対して不当な差別的扱いをしてはならない。
自動意思決定を通じて個人に情報をプッシュし、商業マーケティングを行う場合は、個人の特性に合わないオプションを提供するか、個人に簡単な拒否方法を提供する必要があります。
個人の権利と利益に重大な影響を及ぼす決定を自動的に決定することにより、個人は、個人情報の取扱者に説明を求める権利を有し、また、自動意思決定によってのみ、個人情報の取扱い者による決定を拒否する権利を有します。
第二十五条個人情報取扱者は、ご本人の同意を得た場合を除き、その取扱いをした個人情報を開示してはならない。
第二十六条公共の場に画像取得及び個人識別装置を設置するときは、公共の安全の維持に必要な国の関連規定を遵守し、重要な標識を設置するものとする。 収集された個人画像および識別情報は、公共の安全を維持する目的でのみ使用され、個人の個別の同意を得る場合を除き、他の目的には使用できません。
第二十七条個人情報取扱者は、本人が明示的に拒否した場合を除き、合理的な範囲で、個人が自ら開示した個人情報その他の正当な開示を行うことができる。 個人情報の取扱い者が、開示した個人情報を取り扱い、個人の権利及び利益に重大な影響を及ぼす場合には、この法律の規定に従い、本人の同意を得るものとします。
セクションII 機密性の高い個人情報の取り扱いに関する規則
第二十八条機密性の高い個人情報とは、生体認証、宗教的信念、特定の身元、医療、金融口座、所在の軌跡、14歳未満の未成年者の個人情報など、自然人の尊厳や人または財産の安全を危険にさらすおそれのある個人情報です。
個人情報の取扱い者は、特定の目的と十分な必要がある場合、かつ厳重な保護措置を講じた場合にのみ、機密性の高い個人情報を取り扱います。
第二十九条機密性の高い個人情報の取扱いは、個人の個別の同意を得るものとする。
第三十条個人情報取扱者が機密性の高い個人情報を取り扱う場合、この法律の規定により個人に通知されない場合を除き、個人情報の取扱いの必要性及び個人の権利及び利益への影響について、この法律第17条第1項に規定する事項に加えて、個人に周知しなければならない。
第三十一条個人情報取扱人が14歳未満の未成年者の個人情報を取り扱う場合、未成年者の親又は他の保護者の同意を得るものとする。
個人情報取扱者が14歳未満の未成年者の個人情報を取り扱う場合は、個人情報の取扱いに関する特別な規則を定めるものとする。
第三十二条法令又は行政規則により、機密性の高い個人情報の取扱いに関する規定は、関連する行政許可その他の制限を受けなければならないときは、その規定に従うものとする。
第3条 国家機関による個人情報の取扱いに関する特例
第三十三条この法律は、国家機関による個人情報の取扱いに関する活動に適用される。
第三十四条国家機関は、法定義務を果たすために個人情報を取り扱うにあたっては、法令に定める権限及び手続に従い、法定職務の遂行に必要な範囲及び限度を超えないものとする。
第三十五条国家機関は、法定義務を果たすために個人情報を取り扱う場合には、この法律の規定に従い、通知義務を履行し、この法律第十八条第一項に規定する場合、又は、当該国が法的義務を果たせなかったときはを除き、その職務の執行を妨害する旨を通知しなければならない。
第三十六条国家機関が取り扱う個人情報は、中華人民共和国に保管し、海外に提供しなければならない場合には、安全評価を行うものとする。 セキュリティ評価では、関係部署からサポートと支援を求めることができます。
第三十七条法令により認可された公務の管理機能を有する組織は、法定義務を果たすための個人情報の取扱いに関し、この法律の規定を適用し、国家機関による個人情報の取扱いに関する規定を適用する。
第3章 個人情報の国境を越えた提供に関する規程
第三十八条個人情報取扱者は、業務上の必要性等により、中華人民共和国に個人情報を海外に提供する必要がある場合には、次の各号のいずれかに該当します。
(1) この法律第40条の規定に従い、国家ネットワーク通信部門が主催する安全評価を採択すること。
(2) 国家ネットワーク通信部門の規定に従い、専門機関による個人情報保護認証を実施すること。
( 3 ) 国家ネットワーク通信部門が定める標準契約に従って、海外の受領者と契約を結び、両当事者の権利と義務を合意すること。
( 4 ) 法律、行政規則、または国家ネットワーク通信部門が定めるその他の条件。
中華人民共和国締結または参加した国際条約または協定は、中華人民共和国に個人情報を提供する条件等に関する規定がある場合には、その規定に従って実施することができる。
個人情報の取扱い者は、この法律に定める個人情報保護基準を満たして、海外の受取人による個人情報の取扱いを確保するために必要な措置を講ずるものとする。
第三十九条個人情報取扱者が中華人民共和国海外に個人情報を提供する場合、当該個人情報の受領者の氏名又は氏名、連絡先、取扱目的、取扱い方法、個人情報の種類、及びこの法律に定める権利を海外受領者に行使する方法及び手続等について、本人の個別の同意を得るものとする。
第四十条重要な情報インフラ事業者及び国家ネットレター部門が定める量の個人情報を取り扱う者は、中華人民共和国の領土内で収集・生成された個人情報を国内に保管しなければならない。 海外に提供する必要がある場合は、国家ネットワーク通信部門が主催するセキュリティ評価に合格し、法律、行政規則、および国家ネットワーク通信部門がセキュリティ評価を行わないと規定している場合、その規定から。
第四十一条中華人民共和国 所轄官庁は、関連する法律及び中華人民共和国に従って締結又は参加した国際条約又は協定、又は平等及び相互利益の原則に従い、国内に保管されている個人情報の提供に関する外国の司法又は法執行機関の要請を処理する。 個人情報取扱人は、中華人民共和国当局の承認なしに、中華人民共和国に保管されている個人情報を外国の司法または法執行機関に提供することはできません。
第四十二条国外の組織又は個人が、中華人民共和国市民の個人情報の権利及び利益を侵害する行為、又は中華人民共和国の国の安全及び公共の利益を害する個人情報の取扱いに従事する場合、国家ネットワークは、個人情報の提供を制限又は禁止するリストに載せ、公表し、個人情報の提供を制限又は禁止するその他の措置を講ずることができる。
第四十三条国又は地域が、個人情報保護に関して中華人民共和国に対して差別的な禁止、制限その他の同様の措置を講ずる場合、中華人民共和国は、その国又は地域に対して、実情に即した措置を講ずることができる。
第4章 個人情報の取扱いに関する個人の権利
第四十四条個人は、法令又は行政規則に別段の定めがある場合を除き、個人情報の取扱いについて知る権利、決定権、その他の者による個人情報の取扱いを制限又は拒否する権利を有する。
第四十五条個人は、この法律第十八条第一項及び第三十五条に規定する場合を除き、個人情報を取扱者から個人情報にアクセスし、複製する権利を有する。
個人情報の閲覧・複製を求める場合は、速やかに個人情報を取扱う者が提供するものとします。
個人が指定された個人情報を処理する者への個人情報の転送を要求する場合、個人情報取扱者は、国家ネットワーク通信局が定める条件を満たし、移転の手段を提供するものとする。
第四十六条個人は、個人情報が不正確または不完全であるときは、個人情報の取扱者に訂正または補足を求める権利を有する。
個人情報の訂正・補充を求める場合、個人情報取扱人は、個人情報を確認し、速やかに訂正・補足するものとします。
第四十七条個人情報取扱人は、次の各号のいずれかに該当するときは、個人情報を積極的に削除し、個人情報取扱人が削除しない場合には、その削除を求める権利を有する。
(1) 処理目的が達成、実現不能、または処理目的を達成するために不要になった場合。
(2) 個人情報取扱人が製品またはサービスの提供を中止した場合、または保存期間が満了した場合。
(3) 個人による同意の撤回
(4) 個人情報取扱者が法令、行政規則に違反する場合、または契約に違反して個人情報を取り扱う場合。
(5) その他、法令又は行政規則に定める場合
個人情報取扱者は、法令に定める保存期間が満了しない場合、または個人情報の削除が技術的に困難な場合には、保存及び必要な安全管理措置の講じ以外の取扱いを停止するものとします。
第四十八条個人は、個人情報取扱者に対し、個人情報の取扱いに関する規則の説明を求める権利を有する。
第四十九条自然人が死亡した場合、その近親者は、故人の生前に別段の定めがない限り、当該者の正当かつ正当な利益のために、当該者に関する個人情報に対するアクセス、複製、訂正、削除その他の権利を行使することができる。
第五十条個人情報の取扱い者は、個人の権利の行使を容易にする申請の受理及び処理のメカニズムを整備しなければならない。 個人の権利の行使の要請を拒否する場合、その理由を述べるものとする。
個人情報の取扱者が個人の権利行使の請求を拒否した場合、個人は法律に従って人民裁判所に訴訟を起こすことができる。
第5章 個人情報取扱人の義務
第五十一条個人情報取扱者は、個人情報の取扱い目的、取扱い方法、個人情報の種類、個人の権利及び利益への影響、セキュリティリスク等に応じて、個人情報の取扱いが法令及び行政規則に則り、不正アクセス及び個人情報の漏えい、改ざん、紛失等を防止するため、以下の措置を講ずるものとする。
(1) 内部管理体制及び運用規程の整備
(2) 個人情報の分類管理
(3) 暗号化、脱標識、その他のセキュリティ技術対策を講じる。
(4) 個人情報の取扱いに関する運用権限を合理的に決定し、実務者に対する安全教育・研修を定期的に実施すること。
(v) 個人情報のセキュリティインシデントに関する緊急時対応計画の策定と実施
(6) 法令その他の行政規則に定める措置
第五十二条個人情報の取扱いが国のネット上の信頼部門が定める数に達した場合、個人情報の取扱いに関する責任者を任命し、個人情報の取扱い及び保護措置等の監督を行うものとする。
個人情報取扱人は、個人情報保護責任者の連絡先を開示し、個人情報保護責任者の氏名、連絡先等を個人情報保護責任を果たす部署に報告します。
第五十三条この法律第三条第二項に規定する中華人民共和国国外の個人情報取扱人は、中華人民共和国の領土に専門機関を設置し、又は代表者を任命し、個人情報保護に関する事項を担当し、当該機関の名称又は代表者の氏名及び連絡先等を、個人情報保護の職務を遂行する部門に報告しなければならない。
第五十四条個人情報取扱者は、個人情報の取扱いに関する法令及び行政規則の遵守に関するコンプライアンス監査を定期的に実施します。
第五十五条個人情報取扱者は、次の各号のいずれかに該当するときは、あらかじめ個人情報保護影響評価を行い、その取扱いを記録しなければならない。
(1) 機密性の高い個人情報の取扱い
(2) 個人情報を利用した意思決定の自動化
(3) 個人情報の取扱いを委託し、他の個人情報取扱者に個人情報を提供し、開示すること。
(4) 個人情報を海外に提供すること。
(5) その他、個人の権利と利益に重大な影響を及ぼす個人情報の取扱いに関する行為。
第五十六条個人情報保護影響評価には、以下のものが含まれるものとする。
(1) 個人情報の取扱い目的、取扱い方法等が正当、正当、必要であるか。
(2) 個人の権利と利益への影響とセキュリティリスク
(iii) 保護措置が合法で効果的であり、リスクのレベルに適合しているかどうか。
個人情報保護影響評価報告書及び取扱記録は、少なくとも3年間保存しなければならない。
第五十七条個人情報の漏えい、改ざん又は紛失のおそれがある場合、個人情報取扱者は、速やかに是正措置を講ずるものとする。 通知には、次のものを含める必要があります。
(1) 個人情報の漏えい、改ざん、紛失の可能性のある情報の種類、原因、および潜在的な損害。
(2) 個人情報の取扱い者が講じた是正措置及び個人が講じる危険の軽減策
(3) 個人情報取扱人の連絡先。
個人情報取扱者は、情報漏えい、改ざん、紛失による危害を効果的に防止するための措置を講じる場合、個人情報取扱者は、個人に通知しない場合があり、個人情報保護責任を果たす部署が危害を及ぼす可能性があると認めるときは、個人情報取扱人に対し、本人への通知を求める権利を有します。
第五十八条重要なインターネットプラットフォームサービスを提供し、膨大な利用者数及び複雑な業務形態を持つ個人情報を取扱う者は、以下の義務を履行しなければならない。
(1) 国の規制に従い、個人情報保護コンプライアンス体制を整備し、主に外部メンバーからなる独立機関を設置し、個人情報保護状況の監督を行う。
(2) オープン性、公平性、公平性の原則に従い、プラットフォームルールを策定し、プラットフォーム内の製品またはサービスプロバイダーによる個人情報の取り扱いに関する規範を明確にし、個人情報を保護する義務を定める。
(3) 法令または行政規則に重大な違反を犯して個人情報を処理するプラットフォーム内の製品またはサービスプロバイダーに対するサービスの提供を中止すること。
(4) 個人情報保護に関する社会的責任報告書を定期的に発行し、社会的監督を受ける。
第五十九条個人情報の取扱いを委託された受託者は、この法律及び関係法令及び行政規則の規定に従い、取扱う個人情報の安全確保に必要な措置を講ずるところ、当該法律に定める義務を履行する者を支援するものとする。
第6章 個人情報保護責任を果たす部署
第六十条国家ネットワーク通信部門は、個人情報の保護及び関連する監督及び管理をコーディネートし、調整する責任を負うものとする。 国務院の関連部門は、この法律及び関連法令及び行政規則の規定に従い、それぞれの責任の範囲内で個人情報の保護及び監督及び管理に責任を負うものとする。
郡レベル以上の地方公共団体の関連部門の個人情報の保護及び監督及び管理に関する責任は、国の関連規定に従って決定されるものとする。
前二項に規定する部署は、総称して、個人情報保護の職務を遂行する部署といいます。
第六十一条個人情報保護の職務を執行する部署は、次の個人情報保護の職務を遂行します。
(1) 個人情報保護に関する広報・教育を実施し、個人情報取扱者による個人情報保護業務の指導・監督
(2) 個人情報保護に関する苦情・通報の受理・取扱い
(3) アプリケーション等の個人情報保護状況の評価を行い、その結果を公表すること。
(4) 法令に違反する個人情報の取扱いに関する調査・取扱い
(5) 法令及び行政規則に定めるその他の責任
第六十二条国のネットレター部門は、この法律に基づき、以下の個人情報の保護を推進するため、関係部門をコーディネートし、調整する。
(1) 個人情報保護に関する具体的な規程・基準を定める。
(2) 個人情報の取扱い者、機密性の高い個人情報の取り扱い、顔認識、人工知能などの新技術・新しいアプリケーションについて、個人情報保護に関する特別なルールや基準を策定する。
(3) 安全で便利な電子認証技術の研究開発と普及を支援し、ネットワーク認証公共サービスの構築を促進する。
(4) 個人情報保護のための社会サービスシステムの構築を推進し、関係機関による個人情報保護評価・認証サービスの実施を支援する。
(5) 個人情報保護に関する苦情・通報の仕組みを整備する。
第六十三条個人情報保護責任を果たす部署は、個人情報保護の職務を遂行するため、次の措置を講ずることができる。
(1) 個人情報の取扱いに関する状況を調査するために、関係当事者に問い合わせること。
(2) 個人情報の取扱いに関する当事者の契約、記録、帳簿その他の関連資料の閲覧・複製
(3) 違法行為の疑いがある個人情報の取扱いに関する調査を実施するため、現地調査を実施すること。
(4) 個人情報の取扱いに関する機器・物品の点検 違法な個人情報の取り扱い活動に使用されたという証拠がある機器や物品は、部門の責任者に書面で報告し、承認を得て、押収または押収することができます。
個人情報保護の職務を遂行する部署は、法律に従って職務を遂行し、当事者は、その職務を遂行するため、支援及び協力を行い、拒否又は妨害してはならない。
第六十四条個人情報保護の職務を執行する部署は、その職務の遂行において、個人情報取扱活動に重大なリスクが生じ、又は個人情報安全事象が発生した場合には、所定の権限及び手続に従い、当該個人情報取扱者の法定代理人又は主要責任者にインタビューを行うか、又は、個人情報取扱者に対し、当該個人情報取扱活動に関するコンプライアンス監査の実施を専門機関に委託することができる。 個人情報の取扱い者は、必要に応じて是正措置を講ずることにより、隠れた危険を排除するものとする。
個人情報保護の職務を遂行する部署は、その職務の遂行において、個人情報の違法処理の疑いがある場合には、速やかに公安機関に付託し、法律に従って処理しなければならない。
第六十五条いかなる組織または個人も、個人情報の保護に関する義務を果たす部門に、違法な個人情報の取り扱いについて苦情を申し立てる権利を有する。 苦情や報告を受けた部門は、法律に従って速やかに処理し、その結果を苦情や内部通報者に通知しなければならない。
個人情報保護の職務を執行する部署は、苦情の受理及び報告の連絡先を公表しなければならない。
第7章 法的責任
第六十六条この法律の規定に違反して個人情報を取り扱う場合、又は個人情報の取扱いがこの法律に定める個人情報保護義務を果たさない場合、当該個人情報保護義務を果たす部門は、是正を命じ、警告を発し、違法所得を没収し、個人情報を違法に処理するアプリケーションについては、サービスの停止又は終了を命じ、是正を拒んだ場合には、100万元以下の罰金を科せられる。
前項に規定する違反があり、状況が重大である場合、地方レベル以上の個人情報保護義務を果たす部門は、是正を命じ、違法所得を没収し、5000万元以下の売上高の5%以下の罰金を科し、当該業務の停止又は業務の閉鎖を命じることができ、関係当局に対し、当該事業免許の取り消し又は事業免許の取り消しを通知し、直接責任を負う責任者及びその他の直接責任者に対して10万元以上100万元以下の罰金を科す。 また、一定期間、関係企業の取締役、監督者、上級管理職、個人情報保護責任者としての役割を禁止することを決定することができます。
第六十七条この法律に規定する違反があった場合は、関係法令及び行政規則の規定に従い、信用記録に記録し、公表する。
第六十八条国家機関がこの法律に定める個人情報保護義務を果たさないときは、その上位機関又は個人情報保護責任を果たす部署から是正を命じられ、直接責任を負う責任者及び直接責任を負う者は、法律に従って懲戒処分を受けるものとする。
個人情報保護の職務を遂行する部署の職員が職務を怠ったり、職権を乱用したり、私的詐欺を犯したり、犯罪に該当しない場合は、法律に従って懲戒処分を受けるものとする。
第六十九条個人情報の取扱いが個人情報の権利及び利益を侵害し、その損害を被った場合、個人情報取扱者は、過失がないことを証明できない場合には、損害賠償その他の不法行為の責任を負うものとする。
前項の損害賠償責任は、個人が被った損失又は個人情報の取扱者が被った利益に基づいて決定する。 したがって、個人が被った損失および個人情報の取扱者が得る利益は決定が困難であり、実際の状況に応じて補償額が決定されます。
第七十条個人情報取扱者が、この法律の規定に違反して個人情報を処理し、多数の個人の権利及び利益を侵害した場合、人民検察院、法律で定める消費者団体及び国家ネットレター部門が定める団体は、法律に従い、人民裁判所に訴訟を起こすことができる。
第七十一条この法律の規定に違反して、公安管理の違反を構成する者は、法律に従って公安管理の罰則を科せられ、犯罪を構成する者は、法律に従って刑事責任を追及されるものとする。
第8章 附則
第七十二条この法律は、自然人が個人又は家族のために個人情報を取引する場合には適用されない。
この法律は、統計及びアーカイブ管理活動における個人情報の取扱いに関する規定を、あらゆるレベルの人民政府及びその関連部門が実施する場合に適用される。
第七十三条この法律の次の用語の意味:
(1)個人情報取扱者とは、個人情報の取扱い活動において、処理の目的、取扱い方法を自主的に決定する組織、個人をいう。
(2) 自動意思決定とは、コンピュータプログラムを通じて、個人の行動習慣、趣味、経済、健康、信用状況などを自動的に分析し、評価し、意思決定を行う活動をいう。
(3) 非識別とは、個人情報が追加情報なしで特定の自然人を識別できないように処理されるプロセスを指します。
(4) 匿名化とは、個人情報が処理され、特定の自然人を識別できず、復元できないプロセスを指します。
第七十四条この法律は、2021年11月1日から施行する。