中華人民共和国個人情報保護法
中華人民共和国個人情報保護法
【公布日】 2021.8.20
【発効日】 2021.11.1
【公布機関】 全国人民代表大会常務委員会 国家主席令2021年第91号
第一章 総則
第二章 個人情報の取扱規則
第一節 一般規定
第二節 センシティブ個人情報の取扱規則
第三節 国家機関による個人情報の取扱いに関する特別規定
第三章 個人情報の域外提供規則
第四章 個人情報取扱活動における個人の権利
第五章 個人情報取扱者の義務
第六章 個人情報保護職責履行部門
第七章 法的責任
第八章 附則
第一章 総則
第一条 個人情報に関する権利利益を保護し、個人情報の取扱活動を規範化し、個人情報の合理的利用を促進するため、憲法に基づき、本法を制定する。
第二条 自然人の個人情報は法律による保護を受ける。いかなる組織及び個人も自然人の個 人情報に関する権益を侵害してはならない。
第三条 中華人民共和国の域内において自然人の個人情報を取扱う活動に対し、本法を適用する。
中華人民共和国の域外において、中華人民共和国域内の自然人の個人情報を取扱う活動が、以下に列挙する状況の1つを具備していれば、本法を適用する。
(一)域内の自然人に向けて商品またはサービスを提供することを目的としている。
(二)域内の自然人の行為を分析し、評価するためのものである。
(三)法律または行政法規の規定するその他の状況。
第四条 個人情報は、電子的またはその他の方法で記録された、既に識別されまたは識別可能な自然人に関する各種情報をいうが、匿名化処理後の情報を含まない。個人情報の取扱いは個人情報の收集、保存、使用、加工、伝達、提供、公開、削除等の活動を含む。
第五条 個人情報の取扱いは、合法、正当、必要及びに信義誠実の原則を遵守し、詐欺または誤導等の方法を用いて個人情報を取扱ってはならない。
第六条 個人情報の取扱いは明確かつ合理的な目的を具備していなければならず、かつ、取扱目的と直接関係を有しなければならず、個人権益への影響を最小限とする方法を採用しなければならない。
個人情報の収集は、取扱目的を実現するため最小の範囲に限定しなければならず、個人情報の過度収集をしてはならない。
第七条 個人情報の取扱いは、公開及び透明の原則を遵守し、個人情報の取扱規則を公開し、処理目的、方法及び範囲を明示しなければならない。
第八条 個人情報の取扱いにあたっては、個人情報の品質を保証するものとし、個人情報の不正確さ、不完全さにより個人権益に不利な影響が生じることを避けるものとする。
第九条 個人情報取扱者は、その個人情報の取扱活動に対して責任を負わなければならず、かつその取扱う個人情報の安全を保障するために必要な措置を講じなければならない。
第十条 いかなる組織及び個人も、違法に他人の個人情報の收集、使用、加工、伝達をしてはならず、違法に他人の個人情報を売買、提供または公開をしてはならず、国家安全または公共の利益を害する個人情報の取扱活動を行なってはならない。
第十一条 国家は健全な個人情報保護制度を確立し、個人情報に関する権利利益を侵害する行為を予防及び処罰し、個人情報保護宣伝教育を強化し、政府、企業、関連する社会団体及び公衆が共同で関与する個人情報保護の良好な環境の形成を推進する。
第十二条 国家は積極的に個人情報保護の国際ルールの制定に関与し、個人情報保護の方面 に関する国際交流及び協力を促進し、その他の国家、地区、国際組織間の個人情報保護ルール、基準等の相互認証を促進する。
第二章 個人情報の取扱規則
第一節 一般規定
第十三条 以下に列挙する状況のひとつに該当してはじめて、個人情報取扱者は個人情報を取扱うことができる。
(一)個人の同意を取得している場合。
(二)個人が当事者の一方となる契約の締結、履行に必要、または法により制定された労働規則制度や法により締結された集団契約に基づき実施される人的資源管理に必要な場合。
(三)法定の職責または法定の義務の履行に必要な場合。
(四)突発的な公衆衛生上の事件に対応し、または緊急状況下において自然人の生命、健康及び財産の安全の保護のために必要な場合。
(五)公共の利益のためメディア報道、世論監督等の行為を実施して合理的範囲内で個人情報を取扱う場合。
(六)本法の規定に基づき合理的な範囲内、既に個人自ら公開したもしくはその他合法に公開された個人情報を取扱う場合。
(七)法律、行政法規の規定するその他の状況。
本法のその他の関連規定において個人情報の取扱いにあたって個人の同意を取得するものとされているものの、前項第二号ないし第七号の事由に該当する場合には、個人の同意を取得する必要がない。
第十四条 個人の同意に基づき行う個人情報を取扱う場合、その同意は、個人が充分に情報を得たことを前提に、自発的で、明确な意思表示を行うことによって取得しなければならない。法律または行政法規が個人情報の取扱いに際し、個人の個別的同意または書面による同意を得なければならないと規定する場合には、当該規定に従わなければならない。個人情報の取扱目的、取扱方法及び取扱う個人情報の種類に変更が生じた場合には、再度個人の同意を得なければならない。
第十五条 個人の同意に基づき行う個人情報の取扱活動に対し、個人はその同意を撤回する権限を有する。個人情報取扱者は、容易な同意撤回方法を提供するものとする。
個人が同意を撤回したことは、同意の撤回前に同意に基づいてなされた個人情報取扱活動の効力に影響を与えないものとする。
第十六条 個人情報取扱者は、個人がその個人情報の取扱いに同意しないまたは同意を撤回したことを理由として、商品またはサービスの提供を拒絶してはならない。 ただし、個人情報の取扱いが商品またはサービスの提供に必要な場合にはこの限りではない。
第十七条 個人情報取扱者は、個人情報を取扱う以前において、個人に対し、目立つ方式で、明確かつ理解しやすい表現を用いて、偽りなく、正確かつ完全に、以下の事項を告知しなければならない。
(一)個人情報取扱者の名称もしくは氏名、及び連絡先。
(二)個人情報の取扱目的、取扱方法、取扱う個人情報の種類及び保存期限。
(三)個人が本法の規定する権利を行使する方法及び手続。
(四)法律及び行政法規が告知すべきと規定するその他の事項。
前項の規定する事項について変更が生じた場合には、当該変更部分を個人に告知しなければならない。
個人情報取扱者は、個人情報の取扱いに関するルールの制定という方法によって第一項の規定する事項を告知した場合、取扱ルールを公開し、かつ、閲覧及び保存がしやすくなければならない。
第十八条 個人情報取扱者は個人情報の取扱いに際し、法律または行政法規の規定によって秘密を保持しなければならず、または告知が不要な状況が存在する場合には、個人に対し前条第一項に規定する事項を告知することを要しない。
緊急の状況において自然人の生命、健康及び財産の安全を保護するため、適時に個人に告知することができない場合、個人情報取扱者は緊急の状況が消滅した後に告知しなければならない。
第十九条 法律、行政法規が別段の定めがある場合を除き、個人情報の保存期限は、取扱目的実現のために必要な最短の時間としなければならない。
第二十条 二つ若しくはそれ以上の個人情報取扱者が共同で個人情報の取扱目的及び取 扱方法を決定する場合、各自の権利及び義務を約定しなければならない。ただし、当該約定は、個人がいずれかの個人情報取扱者に対し、本法の規定する権利を行使することを要求することを妨げない。
個人情報取扱者が共同で個人情報を取扱い、個人情報に関する権利利益を侵害し、損害を与えた場合、法に基づき連帯責任を負わなければならない。
第二十一条 個人情報取扱者が個人情報の取扱いに関する委託をする場合においては、受託者との間で、委託による取扱いの目的、期限、取扱方法、個人情報の種類、保護措置及び双方の権利と義務等を約定しなければならず、かつ受託者の個人情報取扱活動に対し監督を行わなければならない。
受託者は約定に基づき個人情報を取扱わなければならず、約定した目的及び取扱方法等を超えて個人情報を取扱ってはならず、委託契約が発効しなかった場合、無効となった場合、撤回または終了された場合、受託者は、個人情報を個人情報取扱者に返還しまたは削除し、留保してはならない。受託者は、個人情報取扱者の同意なく、個人情報の取扱いを他人に再委託してはならない。
第二十二条 個人情報取扱者が合併、分立、解散及び破産宣告等の理由で個人情報を移転する必要がある場合においては、個人に対し移転先の名称もしくは氏名及び連絡先を告知しなければならない。移転先は継続して個人情報取扱者としての義務を履行しなければならない。移転先が元々の取扱目的または取扱方法を変更する場合には、本法の規定に基づき改めて個人に告知し、その同意を取得しなければならない。
第二十三条 個人情報取扱者がその他個人情報取扱者に、その取扱う個人情報を提供する場合、個人に対し受領者の名称もしくは氏名、連絡先、取扱目的、取扱方法及び個人情報の種類を告知し、個人から個別に同意を得なければならない。受領者は上述の取扱目的、取扱方法及び個人情報の種類等の範囲内において個人情報を取扱わなければならない。受領者が元々の取扱目的または取扱方法を変更する場合には、本法の規定に基づき改めて当該個人同意を取得しなければならない。
第二十四条 個人情報取扱者は個人情報を利用して自動意思決定を行う場合、決定の透明度及び取扱結果の公平性・公正性を保障しなければならず、個人に対する取引価格など取引条件面の不合理的な差別待遇を行ってはならない。
自動意思決定の方法でプッシュ型情報配信、商業的なマーケティングを行う場合には、その個人的特徴に基づかない選択肢も同時に提供する、もしくは個人に対して容易に拒絶できる方法を提供するものとする。
個人が、自動意思決定がその権益に対し重大な影響をもたらすと考える場合には、個人情報取扱者に対し説明を求める権利を有し、かつ、個人情報取扱者が自動意思決定の方法のみによって決定を行うことを拒絶する権利を有する。
第二十五条 個人情報取扱者は、その取扱う個人情報を公開してはならない。ただし、個人から個別に同意を得た場合は除く。
第二十六条 公共の場に、画像の収集や個人の身元識別をする設備を設置するのは、 公共安全の維持のために必ず必要な場合に限り、国家の関連規定を遵守し、かつ、これを明確に示す標識を設置しなければならない。そこで収集した個人の画像及び身元識別情報は、公共安全維持の目的のためにのみ用いることができ、他用を禁じる。ただし、個人から個別に同意を得た場合はこの限りではない。
第二十七条 個人情報取扱者は合理的な範囲内で、個人が自ら公開した、またはその他既に合法的に公開された個人情報を取扱うことができるが、個人が明確に拒絶する場合を除く。個人情報取扱者が既に公開されている個人情報を取扱い、個人の権益に重大な影響をもたらす場合には、本法の規定に基づき個人の同意を得なければならない。
第二節 センシティブ個人情報の取扱規則
第二十八条 センシティブ個人情報は、一旦漏洩しまたは不法に使用されれば、容易に自然人の人格尊厳が侵害される、または人身、財産安全に危害を受ける可能性がある個人情報をいい、生体識別、宗教信仰、身分特定、医療健康、金融口座、行動追跡等の情報、及び14歳未満の未成年の個人情報を含む。
特定の目的及び充分な必要性があり、かつ厳格な保護措置を講じた場合に限り、個人情報取扱者がセンシティブ個人情報を取り扱うことができる。
第二十九条 個人の同意に基づきセンシティブ個人情報を取扱う場合には、個人情報取扱者は個人から個別に同意を得なければならない。法律または行政法規が、センシティブ個人情報を取扱う場合、書面による同意を取得しなければならないと規定している場合はその規定に従う。
第三十条 個人情報取扱者がセンシティブ個人情報を取扱う場合、本法第十七条第一項の規定する事項の他に、個人に対しセンシティブ個人情報を取扱う必要性及び個人への影響も告知しなければならない。本法の規定に基づき個人に告知しなくでもよいものはこの限りではない。
第三十一条 個人情報取扱者は、その取扱う個人情報が14歳未満の未成年者に係るものである場合には、その未成年者の父母またはその他後見人の同意を得なければならない。
個人情報取扱者がその取扱う個人情報が14歳未満の未成年者に係るものである場合には、専門的な情報取扱規則を制定しなければならない。
第三十二条 法律または行政法規がセンシティブ個人情報の取扱にあたり、関連する行政許可の取得を求めている、またはその他の制限を規定している場合にはその規定に従う。
第三節 国家機関による個人情報の取扱いに関する特別規定
第三十三条 国家機関による個人情報の取扱いに関する活動に対し本法を適用する。本節が特別な規定を設けている場合、本節の規定を適用する。
第三十四条 国家機関が法定職責の履行のため個人情報を取扱うにあたっては、法律及び行政法規の規定する権限及び手続きに従って行い、法定職責の履行に必要な範囲及び限度を超えてはならない。
第三十五条 国家機関が法定職責の履行のため個人情報を取扱うにあたっては、本法の規定に従って告知義務を果たさなければならない。ただし、本法第十八条第一項に定めた事由がある場合、または、告知若しくは同意の取得が、国家機関が法定職責を履行することを妨げる場合にはこの限りではない。
第三十六条 国家機関が取扱う個人情報は中華人民共和国の域内で保存しなければならない。確かに域外に提供する必要がある場合には、安全評価を行わなければならない。安全評価は関連部門に支持及び協助を要求することができる。
第三十七条 法律、法規の授権により公共事務の管理権限を有する組織が、法定の職責を履行するために個人情報を取扱う場合、本法の国家機関による個人情報取扱に関する規定を適用する。
第三章 個人情報の域外提供規則
第三十八条 個人情報取扱者が業務等の必要により、確かに中華人民共和国の域外に個人情報を提供する必要がある場合には、以下に挙げた条件のひとつを具備しなければならない。
(一)本法第四十条の規定に基づく国家インターネット情報部門による安全評価に合格した場合。
(二)国家インターネット情報部門の規定に基づく専門機構による個人情報保護の認証を得ている場合。
(三)国家インターネット情報部門の定める標準契約に基づいて、域外の移転先と契約を締結し、双方の権利及び義務を約定する場合。
(四)法律、行政法規または国家インターネット情報部門の規定するその他の条件。
中華人民共和国が締結しまたは参加する国際条約、協定が中華人民共和国域外への個人情報の提供について規定をしている場合には、その規定に従う。
個人情報取扱者は、域外の移転先の個人情報取扱活動が本法に規定された個人情報保護基準を満たすよう、必要措置を講じなければならない。
第三十九条 個人情報取扱者が中華人民共和国の域外に個人情報を提供する場合には、個人に対し域外の移転先の名称もしくは氏名、連絡先、取扱目的、取扱方法、個人情報の種類及び個人が域外移転先に対し本法の規定する権利を行使する方法、プロセス等の事項を告知し、かつ個人から個別に同意を得なければならない。
第四十条 重要情報インフラ運営者及び、取扱う個人情報が国家インターネット情報部門の規定する数量に達した個人情報取扱者は、中華人民共和国域内で收集しまたは発生した個人 情報を域内で保存しなければならない。確かに域外に提供する必要がある場合には、国家インターネット情報部門による安全評価に合格しなければならない。法律、行政法規及び国家インターネット情報部門が安全評価を行わなくてよいと規定する場合には、その規定に従う。
第四十一条 中華人民共和国主管機構が関連法規、中華人民共和国が締結しまたは参加する国際条約、協定、または平等互恵の原則に基づき、外国司法または法執行機構の域内で保存する個人情報の提供請求に対処しなければならない。中華人民共和国主管部門の許可を得ていない場合、個人情報取扱者は、外国司法または法執行機構に中華人民共和国域内で保存する個人情報を提供してはならない。
第四十二条 域外の組織、個人が、中華人民共和国公民の個人情報の権益を侵害する活動、または中華人民共和国の国家安全、公共利益に危害を与える個人情報取扱活動に従事している場合には、国家インターネット情報部門はそれを個人情報提供制限リストまたは禁止リストに列挙し、それをもって公告し、当該者に対して個人情報を提供することを制限しまたは禁止する等の措置を講じることができる。
第四十三条 いかなる国家または地区であっても、個人情報保護の側面において中華人民共和国に対し偏見を持って禁止し、制限しまたはその他類似の措置を講じていれば、中華人民共和国は、実際の状況に基づき、当該国家または地区に対し相応の措置を講じることができる。
第四章 個人情報取扱活動における個人の権利
第四十四条 個人はその個人情報の取扱いに対し知る権利、決定権を享有し、他人がその個人情報を取扱うことを制限しまたは拒否する権利を有する。ただし、法律または行政法規が別段の定めをする場合にはこの限りではない。
第四十五条 個人は個人情報取扱者に個人情報の閲覧を求め、それを複製する権限を有する。ただし、本法第十八条第1項、第三十五条の規定する状況が存在する場合はこの限りではない。
個人がその個人情報の閲覧及び複製を請求する場合、個人情報取扱者は適時に提供しなければならない。
個人が、自らが指定する個人情報取扱者に個人情報を移転するよう請求し、それが国家インターネット情報部門の規定条件に適合する場合には、個人情報取扱者はその移転ルートを提供しなければならない。
第四十六条 個人がその個人情報が不正確または不完全であることを発見した場合、個人情報取扱者に対し、是正、補充を求める権利を有する。
個人がその個人情報の是正、補充を請求した場合、個人情報取扱者はその個人情報について確認し、適時に是正、補充しなければならない。
第四十七条 以下に列挙する事由の一つがあれば、個人情報取扱者は自発的にまたは個人の請求に基づき、個人情報を削除しなければならない。個人情報取扱者が削除していない場合、個人は削除を請求することができる。
(一)取扱目的が既に実現し、または目的の実現に不要となった。
(二)個人情報取扱者が商品またはサービスの提供を停止した、もしくは保存期間が満了した。
(三)個人が同意を撤回した。
(四)個人情報取扱者が法律、行政法規に違反しまたは約定に違反して個人情報を取り扱った。
(五)法律または行政法規の規定するその他の状況。
法律、行政法規が規定する保存期間が満了していない場合または個人情報の削除が技術上実現困難な場合、個人情報取扱者は保存及び必要な安全保護措置以外の個人情報の取扱を停止しなければならない。
第四十八条 個人は個人情報取扱者に対しその個人情報取扱ルールについて解釈及び説明を要求する権利を有する。
第四十九条 自然人が死亡した場合、その近親者は自身の合法かつ正当な利益のため、死者に関わる個人情報に対して、本章の定める閲覧、複製、訂正、削除などの権利を行使することができる。ただし、死者の生前における別途手配が有った場合を除く。
第五十条 個人情報取扱者は、個人が権利として容易に行使できるような申請受理と取扱制度を構築しなければならない。個人が権利として行使する請求の拒否にあたっては、その理由を説明しなければならない。
第五章 個人情報取扱者の義務
第五十一条 個人情報取扱者は個人情報の取扱目的、取扱方法、個人情報の種類及び個人権益に対する影响、存在する可能性がある安全リスク等に基づき、下記措置を講じ、個人情報の取扱活動が法律、行政法規の規定に適合することを確保し、かつ、不正アクセス及び個人情報の漏洩、改竄、紛失を防止しなければならない。
(一)内部管理制度および実務規程の制定。
(二)個人情報に対しレベル別の分類管理を行う。
(三)相応の暗号化、非識別化等の安全技術措置を講じる。
(四)個人情報取扱の操作権限を合理的に確定し、かつ従業員に対し定期的に安全教育および訓練を行う。
(五)個人情報安全事件応急措置を制定しその実施を行う。
(六)法律または行政法規の規定するその他の措置。
第五十二条 取扱う個人情報が国家インターネット情報部門の規定する数量に達した個人 情報取扱者は、個人情報保護責任者を指定し、個人情報取扱活動及び講じた保護措置等に対して監督を行うことに責任を負わせなければならない。
個人情報取扱者は個人情報保護責任者の氏名、連絡先等を公開し、個人情報保護職責履行部門に報告しなければならない。
第五十三条 本法第三条第2項の規定する中華人民共和国域外の個人情報取扱者は、中華人民共和国域内で専門機構を設立しまたは代表者を指定し、これをもって個人情報保護に関連する事務の取扱いについて責任を負わせなければならず、かつ、当該機構の名称または代表者の氏名、連絡先等を個人情報保護職責履行部門に報告しなければならない。
第五十四条 個人情報取扱者は、その個人情報取扱が法律、行政法規の規定に適合するかのコンプライアンス監査を定期的に行わなければならない。
第五十五条 下記のいずれかに該当する場合、個人情報取扱者は、事前に個人情報保護影響評価を行い、かつ取扱状況を記録しなければならない。
(一)センシティブ個人情報の取扱い。
(二)個人情報自動意思決定の利用。
(三)個人情報取扱の委託、その他個人情報取扱者への個人情報の提供、個人情報の公開。
(四)域外への個人情報の提供。
(五)その他個人権益に重大な影響を持つ個人情報取扱活動。
第五十六条 個人情報保護影響評価は以下の内容を含まなければならない。
(一)個人情報の取扱目的、取扱方法等が合法、正当かつ必要であるか。
(二)個人権益への影響及び安全リスク。
(三)講じる安全保護措置が合法、有效かつリスクの程度に相応しているか。
個人情報保護影響評価報告書及び取扱状況記録は、最低3年間は保存しなければならない。
第五十七条 個人情報の漏洩、改竄しくは紛失が生じる、または起こる可能性がある場合、個人情報取扱者は即時に救済措置を講じ、かつ個人情報保護職責履行部門及び個人に通知しなければならない。通知は、以下の事項を含まなければならない。
(一)生じる、または起こる可能性がある個人情報の漏洩、改竄もしくは紛失に関する情報種類、原因及び発生させる可能性のある危害。
(二)個人情報取扱者が講じた救済措置及び、個人が講じることのできる被害軽減措置。
(三)個人情報取扱者の連絡先。
個人情報取扱者が講じる措置が情報漏洩、改竄もしくは紛失によって発生する被害を有効に回避できる場合、個人情報取扱者は個人に通知しないことができる。個人情報保護職責履行部門が、被害が発生する可能性があると判断した場合、個人情報取扱者に対し個人に通知するよう要求することができる。
第五十八条 重要なインターネットプラットフォームサービス、ユーザー数が膨大、業務類型が複雑な個人情報処理者は、以下の義務を履行するものとする。
(一)国家規定に基づき個人情報保護コンプライアンス制度体系を構築、健全化し、主に部外者により構成される独立機関を設立し、個人情報保護状況に対して監督を行うこと。
(二)公開、公平、公正な原則基づき、プラットフォーム規則を制定し、プラットフォーム内の商品またはサービス提供者に個人情報保護の規範と個人情報保護の義務を明確すること。
(三)法律、行政法規に重大に違反し、個人情報の取扱いを行うプラットフォーム内の商品またはサービス提供者に対して、サービスの提供を停止させること。
(四)個人情報保護社会責任レポートを定期的に発布し、社会的な監督を受けること。
第五十九条 個人情報取扱の委託を受けた受託者は、本法及び関係する法律、行政法規の規定に基づき、必要な措置を講じて、取扱う一切の個人情報のセキュリティを保障し、個人情報取扱者が本法に定めた義務を履行するのに協力しなければならない。
第六章 個人情報保護職責履行部門
第六十条 国家インターネット情報部門は、個人情報保護業務及び関連する監督管理業務の統括と協調に責任を負う。国務院の関係部門は、本法及び関係する法律、行政法規の規定に基づき、各自の職責の範囲内において個人情報保護及び監督管理業務の責任を負う。
県レベル以上の地方人民政府の関係部門の個人情報保護及び監督管理職責は、国家の関連する規定により確定する。
前2項の規定する部門は、個人情報保護職責履行部門と総称する。
第六十一条 個人情報保護職責履行部門は、以下の個人情報保護職責を履行する。
(一)個人情報保護宣伝教育を実施し、個人情報取扱者が個人情報保護業務を実施するのを指導し監督する。
(二)個人情報保護に関する苦情の申し立て、通報を受理し処理する。
(三)アプリケーションプログラム等個人情報保護状況の評価を組織し、評価結果を公布する。
(四)個人情報の違法取扱を調査し、活動を処理する。
(五)法律、行政法規の規定するその他の職責。
第六十二条 国家インターネット情報部門は、関連部門とともに、以下の個人情報保護業務の推進を統率する。
(一)個人情報保護の具体的な規則、基準の制定。
(二)小型個人情報取扱者、センシティブ個人情報及び顔認証、AI等の新技術、アプリケーションに対する、専門的な個人情報保護規則、基準の制定。
(三)安全、便利な電子身分認証技術の研究開発、普及、応用の支持。オンライン身元認証に関する公共サービス構築の推進
(四)個人情報保護社会化サービス体系の構築を推進し、関連機関が個人情報保護評価、認証サービスを展開することを支持する。
(五)個人情報保護に関する苦情の申し立て、通報処理の仕組みの整備。
第六十三条 個人情報保護職責履行部門は個人情報保護職責を履行するにあたり以下の措置を講じることができる。
(一)関係当事者に対し質問し、個人情報取扱活動に関する状況を調査する。
(二)当事者及び個人情報取扱活動に関する契約、記録、帳簿及びその他の関係資料を閲覧、複製する。
(三)現場検査を実施し、違法な個人情報取扱活動が疑われる場合は調査を行う。
(四)個人情報取扱活動と関係する設備、物品を調査する。違法な個人情報取扱活動に用いた設備、物品であると証明する証拠があるものにつき、本部門の主要責任者に対して書面で報告し、且つ認可を経て、封鎖または差押えをすることができる。
個人情報保護職責履行部門が法に基づき職責を履行する場合、当事者は協力し、従わなければならず、拒絶または妨害してはならない。
第六十四条 個人情報保護職責履行部門が職責を履行する中で、個人情報取扱活動に比較的大きなリスクが存在するまたは個人情報安全事件が発生したことを発見した場合、規定に基づく権限及び手続に従い、当該個人情報取扱者の法定代表者または主要責任者に対し面談を行い、または個人情報取扱者に、個人情報取扱活動のコンプライアンスに係る監査を専門業者に委託するよう要求することができる。個人情報取扱者は、要求に基づき措置を講じ、改善を行い、問題を除去しなければならない。
個人情報保護職責履行部門が職責を履行する中で、違法な個人情報取扱行為が既に犯罪の嫌疑にかかわることを発見した場合には、公安機関に移送して法により対処しなければならない。
第六十五条 いかなる組織及び個人も違法個人情報取扱活動について個人情報保護職責履行部門に苦情を申し立て、通報することができる。苦情や通報を受けた部門は、法に基づき適時に処理しなければならず、かつ処理結果を苦情申立人や通報者に告知しなければならない。
個人情報保護職責履行部門は、苦情や通報の受付の連絡方法を公表しなければならない。
第七章 法的責任
第六十六条 本法の規定に違反し個人情報を取扱い、または個人情報の取扱いにおいて本法の規定に基づく個人情報保護義務を果たさなかった場合、個人情報保護職責履行部門が是正を命じ、違法所得を没収し、警告する。違法に個人情報の取扱いをしていたアプリケーションプログラムに対して、サービスの提供を暫定的に停止、または終了させることができる。是正しない場合、一百万元以下の過料に処する。直接責任を負う主管人員及びその他の直接責任人員は一万元以上十万元以下の過料に処する。
前項の規定する違法行為が存在し、情状が重い場合、省レベル以上の個人情報保護職責履行部門が是正を命じ、違法所得を没収し、かつ五千万元以下または前年度の売上高の百分の五以下の過料に処さなければならず、かつ関連する業務を暫定的に停止し、または業務を止めて整理し、関係主管部門に通報して関係する業務許可を取消しまたは営業許可を取消すことできる。直接責任を負う主管人員及びその他の直接責任人員は十万元以上一百万元以下の過料に処し、かつその一定期間内に関連企業の董事、監事、高級管理職及び個人情報保護責任者を務めることを禁ずることができる。
第六十七条 本法の規定する違法行為があれば、関係法律、行政法規の規定に基づき信用ファイルに記入し、公示する。
第六十八条 国家機関が本法の規定する個人情報保護義務を履行しない場合、上級機関または個人情報保護職責履行部門が是正を命じる。直接責任を負う主管人員及びその他の直接責任人員に法に基づき処分を与える。
個人情報保護職責履行部門の職員が職務懈怠、職権の濫用、私情により不正を行い、犯罪を構成するまでには至らなかった場合、法に基づき処分を与える。
第六十九条 個人情報に関する権益が個人情報取扱活動により侵害された場合、個人情報取扱者が自らの過失がないことを証明できない場合、損害賠償等の権利侵害責任を負う。
前項に定める損害賠償責任は、個人がそれによって受けた損失または個人情報取扱者がそれによって得た利益に基づき確定する。個人がそれによって受けた損失及び個人情報処理者がそれによって得た利益を確定することが困難であれば、人民法院が実際の状況に基づき賠償額を確定する。
第七十条 個人情報取扱者が本法の規定に違反し個人情報を取扱い、多くの個人の権利利益を侵害した場合、人民検察院、法に定めた消費者組織及び国家インターネット情報部門が确定した組織が法に基づき人民法院に訴訟を提起することができる。
第七十一条 本法の規定に違反し、治安管理に違反する行為を構成する場合、法に基づき治安管理処罰を行う。犯罪を構成する場合、法により刑事責任を追及する。
第八章 附 則
第七十二条 自然人は個人または家庭の事務において個人情報を取扱うことに関しては、本法を適用しない。
各レベルの人民政府及びその関係部門が手配して実施する統計、人事記録管理活動における個人情報取扱について、法律に別段の定めがある場合には、当該定めによるものとする。
第七十三条 本法の以下に列挙する用語の意味は以下の通りである。
(一)個人情報取扱者とは、個人情報取扱活動において、自らが取扱目的、取扱方法を決定する組織、個人をいう。
(二)自動意思決定とは、コンピュータープログラムを通じて、個人の行為習慣、興味、嗜好または経済、健康、信用状况等を自動的に分析、評価し意思決定する活動をいう。
(三)非識別化とは、個人情報を加工し、その他の情報と照合しない限り、特定の自然人を識別できなくする過程をいう。
(四)匿名化とは、個人情報を加工し、特定の自然人を識別できず、かつ、復元できなくする過程をいう。
第七十四条 本法は2021年11月1日より施行する。
