中華人民共和國個人情報保護(hù)法
作者:洪靜海 大崎詠子 2021-08-24【公布日】 2021.8.20
【発効日】 2021.11.1
【公布機(jī)関】 全國人民代表大會常務(wù)委員會 國家主席令2021年第91號
第一章 総則
第二章 個人情報の取扱規(guī)則
第一節(jié) 一般規(guī)定
第二節(jié) センシティブ個人情報の取扱規(guī)則
第三節(jié) 國家機(jī)関による個人情報の取扱いに関する特別規(guī)定
第三章 個人情報の域外提供規(guī)則
第四章 個人情報取扱活動における個人の権利
第五章 個人情報取扱者の義務(wù)
第六章 個人情報保護(hù)職責(zé)履行部門
第七章 法的責(zé)任
第八章 附則
第一章 総則 第一條 個人情報に関する権利利益を保護(hù)し、個人情報の取扱活動を規(guī)範(fàn)化し、個人情報の合理的利用を促進(jìn)するため、憲法に基づき、本法を制定する。 第二條 自然人の個人情報は法律による保護(hù)を受ける。いかなる組織及び個人も自然人の個 人情報に関する権益を侵害してはならない。 第三條 中華人民共和國の域內(nèi)において自然人の個人情報を取扱う活動に対し、本法を適用する。 中華人民共和國の域外において、中華人民共和國域內(nèi)の自然人の個人情報を取扱う活動が、以下に列挙する狀況の1つを具備していれば、本法を適用する。 (一)域內(nèi)の自然人に向けて商品またはサービスを提供することを目的としている。 (二)域內(nèi)の自然人の行為を分析し、評価するためのものである。 (三)法律または行政法規(guī)の規(guī)定するその他の狀況。 第四條 個人情報は、電子的またはその他の方法で記録された、既に識別されまたは識別可能な自然人に関する各種情報をいうが、匿名化処理後の情報を含まない。個人情報の取扱いは個人情報の收集、保存、使用、加工、伝達(dá)、提供、公開、削除等の活動を含む。 第五條 個人情報の取扱いは、合法、正當(dāng)、必要及びに信義誠実の原則を遵守し、詐欺または誤導(dǎo)等の方法を用いて個人情報を取扱ってはならない。 第六條 個人情報の取扱いは明確かつ合理的な目的を具備していなければならず、かつ、取扱目的と直接関係を有しなければならず、個人権益への影響を最小限とする方法を採用しなければならない。 個人情報の収集は、取扱目的を?qū)g現(xiàn)するため最小の範(fàn)囲に限定しなければならず、個人情報の過度収集をしてはならない。 第七條 個人情報の取扱いは、公開及び透明の原則を遵守し、個人情報の取扱規(guī)則を公開し、処理目的、方法及び範(fàn)囲を明示しなければならない。 第八條 個人情報の取扱いにあたっては、個人情報の品質(zhì)を保証するものとし、個人情報の不正確さ、不完全さにより個人権益に不利な影響が生じることを避けるものとする。 第九條 個人情報取扱者は、その個人情報の取扱活動に対して責(zé)任を負(fù)わなければならず、かつその取扱う個人情報の安全を保障するために必要な措置を講じなければならない。 第十條 いかなる組織及び個人も、違法に他人の個人情報の收集、使用、加工、伝達(dá)をしてはならず、違法に他人の個人情報を売買、提供または公開をしてはならず、國家安全または公共の利益を害する個人情報の取扱活動を行なってはならない。 第十一條 國家は健全な個人情報保護(hù)制度を確立し、個人情報に関する権利利益を侵害する行為を予防及び処罰し、個人情報保護(hù)宣伝教育を強(qiáng)化し、政府、企業(yè)、関連する社會団體及び公衆(zhòng)が共同で関與する個人情報保護(hù)の良好な環(huán)境の形成を推進(jìn)する。 第十二條 國家は積極的に個人情報保護(hù)の國際ルールの制定に関與し、個人情報保護(hù)の方面 に関する國際交流及び協(xié)力を促進(jìn)し、その他の國家、地區(qū)、國際組織間の個人情報保護(hù)ルール、基準(zhǔn)等の相互認(rèn)証を促進(jìn)する。 第二章 個人情報の取扱規(guī)則 第一節(jié) 一般規(guī)定 第十三條 以下に列挙する狀況のひとつに該當(dāng)してはじめて、個人情報取扱者は個人情報を取扱うことができる。 (一)個人の同意を取得している場合。 (二)個人が當(dāng)事者の一方となる契約の締結(jié)、履行に必要、または法により制定された労働規(guī)則制度や法により締結(jié)された集団契約に基づき実施される人的資源管理に必要な場合。 (三)法定の職責(zé)または法定の義務(wù)の履行に必要な場合。 (四)突発的な公衆(zhòng)衛(wèi)生上の事件に対応し、または緊急狀況下において自然人の生命、健康及び財産の安全の保護(hù)のために必要な場合。 (五)公共の利益のためメディア報道、世論監(jiān)督等の行為を?qū)g施して合理的範(fàn)囲內(nèi)で個人情報を取扱う場合。 (六)本法の規(guī)定に基づき合理的な範(fàn)囲內(nèi)、既に個人自ら公開したもしくはその他合法に公開された個人情報を取扱う場合。 (七)法律、行政法規(guī)の規(guī)定するその他の狀況。 本法のその他の関連規(guī)定において個人情報の取扱いにあたって個人の同意を取得するものとされているものの、前項第二號ないし第七號の事由に該當(dāng)する場合には、個人の同意を取得する必要がない。 第十四條 個人の同意に基づき行う個人情報を取扱う場合、その同意は、個人が充分に情報を得たことを前提に、自発的で、明確な意思表示を行うことによって取得しなければならない。法律または行政法規(guī)が個人情報の取扱いに際し、個人の個別的同意または書面による同意を得なければならないと規(guī)定する場合には、當(dāng)該規(guī)定に従わなければならない。個人情報の取扱目的、取扱方法及び取扱う個人情報の種類に変更が生じた場合には、再度個人の同意を得なければならない。 第十五條 個人の同意に基づき行う個人情報の取扱活動に対し、個人はその同意を撤回する権限を有する。個人情報取扱者は、容易な同意撤回方法を提供するものとする。 個人が同意を撤回したことは、同意の撤回前に同意に基づいてなされた個人情報取扱活動の効力に影響を與えないものとする。 第十六條 個人情報取扱者は、個人がその個人情報の取扱いに同意しないまたは同意を撤回したことを理由として、商品またはサービスの提供を拒絶してはならない。ただし、個人情報の取扱いが商品またはサービスの提供に必要な場合にはこの限りではない。 第十七條 個人情報取扱者は、個人情報を取扱う以前において、個人に対し、目立つ方式で、明確かつ理解しやすい表現(xiàn)を用いて、偽りなく、正確かつ完全に、以下の事項を告知しなければならない。 (一)個人情報取扱者の名稱もしくは氏名、及び連絡(luò)先。 (二)個人情報の取扱目的、取扱方法、取扱う個人情報の種類及び保存期限。 (三)個人が本法の規(guī)定する権利を行使する方法及び手続。 (四)法律及び行政法規(guī)が告知すべきと規(guī)定するその他の事項。 前項の規(guī)定する事項について変更が生じた場合には、當(dāng)該変更部分を個人に告知しなければならない。 個人情報取扱者は、個人情報の取扱いに関するルールの制定という方法によって第一項の規(guī)定する事項を告知した場合、取扱ルールを公開し、かつ、閲覧及び保存がしやすくなければならない。 第十八條 個人情報取扱者は個人情報の取扱いに際し、法律または行政法規(guī)の規(guī)定によって秘密を保持しなければならず、または告知が不要な狀況が存在する場合には、個人に対し前條第一項に規(guī)定する事項を告知することを要しない。 緊急の狀況において自然人の生命、健康及び財産の安全を保護(hù)するため、適時に個人に告知することができない場合、個人情報取扱者は緊急の狀況が消滅した後に告知しなければならない。 第十九條 法律、行政法規(guī)が別段の定めがある場合を除き、個人情報の保存期限は、取扱目的実現(xiàn)のために必要な最短の時間としなければならない。 第二十條 二つ若しくはそれ以上の個人情報取扱者が共同で個人情報の取扱目的及び取 扱方法を決定する場合、各自の権利及び義務(wù)を約定しなければならない。ただし、當(dāng)該約定は、個人がいずれかの個人情報取扱者に対し、本法の規(guī)定する権利を行使することを要求することを妨げない。 個人情報取扱者が共同で個人情報を取扱い、個人情報に関する権利利益を侵害し、損害を與えた場合、法に基づき連帯責(zé)任を負(fù)わなければならない。 第二十一條 個人情報取扱者が個人情報の取扱いに関する委託をする場合においては、受託者との間で、委託による取扱いの目的、期限、取扱方法、個人情報の種類、保護(hù)措置及び雙方の権利と義務(wù)等を約定しなければならず、かつ受託者の個人情報取扱活動に対し監(jiān)督を行わなければならない。 受託者は約定に基づき個人情報を取扱わなければならず、約定した目的及び取扱方法等を超えて個人情報を取扱ってはならず、委託契約が発効しなかった場合、無効となった場合、撤回または終了された場合、受託者は、個人情報を個人情報取扱者に返還しまたは削除し、留保してはならない。受託者は、個人情報取扱者の同意なく、個人情報の取扱いを他人に再委託してはならない。 第二十二條 個人情報取扱者が合併、分立、解散及び破産宣告等の理由で個人情報を移転する必要がある場合においては、個人に対し移転先の名稱もしくは氏名及び連絡(luò)先を告知しなければならない。移転先は継続して個人情報取扱者としての義務(wù)を履行しなければならない。移転先が元々の取扱目的または取扱方法を変更する場合には、本法の規(guī)定に基づき改めて個人に告知し、その同意を取得しなければならない。 第二十三條 個人情報取扱者がその他個人情報取扱者に、その取扱う個人情報を提供する場合、個人に対し受領(lǐng)者の名稱もしくは氏名、連絡(luò)先、取扱目的、取扱方法及び個人情報の種類を告知し、個人から個別に同意を得なければならない。受領(lǐng)者は上述の取扱目的、取扱方法及び個人情報の種類等の範(fàn)囲內(nèi)において個人情報を取扱わなければならない。受領(lǐng)者が元々の取扱目的または取扱方法を変更する場合には、本法の規(guī)定に基づき改めて當(dāng)該個人同意を取得しなければならない。 第二十四條 個人情報取扱者は個人情報を利用して自動意思決定を行う場合、決定の透明度及び取扱結(jié)果の公平性?公正性を保障しなければならず、個人に対する取引価格など取引條件面の不合理的な差別待遇を行ってはならない。 自動意思決定の方法でプッシュ型情報配信、商業(yè)的なマーケティングを行う場合には、その個人的特徴に基づかない選択肢も同時に提供する、もしくは個人に対して容易に拒絶できる方法を提供するものとする。 個人が、自動意思決定がその権益に対し重大な影響をもたらすと考える場合には、個人情報取扱者に対し説明を求める権利を有し、かつ、個人情報取扱者が自動意思決定の方法のみによって決定を行うことを拒絶する権利を有する。 第二十五條 個人情報取扱者は、その取扱う個人情報を公開してはならない。ただし、個人から個別に同意を得た場合は除く。 第二十六條 公共の場に、畫像の収集や個人の身元識別をする設(shè)備を設(shè)置するのは、 公共安全の維持のために必ず必要な場合に限り、國家の関連規(guī)定を遵守し、かつ、これを明確に示す標(biāo)識を設(shè)置しなければならない。そこで収集した個人の畫像及び身元識別情報は、公共安全維持の目的のためにのみ用いることができ、他用を禁じる。ただし、個人から個別に同意を得た場合はこの限りではない。 第二十七條 個人情報取扱者は合理的な範(fàn)囲內(nèi)で、個人が自ら公開した、またはその他既に合法的に公開された個人情報を取扱うことができるが、個人が明確に拒絶する場合を除く。個人情報取扱者が既に公開されている個人情報を取扱い、個人の権益に重大な影響をもたらす場合には、本法の規(guī)定に基づき個人の同意を得なければならない。 第二節(jié) センシティブ個人情報の取扱規(guī)則 第二十八條 センシティブ個人情報は、一旦漏洩しまたは不法に使用されれば、容易に自然人の人格尊厳が侵害される、または人身、財産安全に危害を受ける可能性がある個人情報をいい、生體識別、宗教信仰、身分特定、醫(yī)療健康、金融口座、行動追跡等の情報、及び14歳未満の未成年の個人情報を含む。 特定の目的及び充分な必要性があり、かつ厳格な保護(hù)措置を講じた場合に限り、個人情報取扱者がセンシティブ個人情報を取り扱うことができる。 第二十九條 個人の同意に基づきセンシティブ個人情報を取扱う場合には、個人情報取扱者は個人から個別に同意を得なければならない。法律または行政法規(guī)が、センシティブ個人情報を取扱う場合、書面による同意を取得しなければならないと規(guī)定している場合はその規(guī)定に従う。 第三十條 個人情報取扱者がセンシティブ個人情報を取扱う場合、本法第十七條第一項の規(guī)定する事項の他に、個人に対しセンシティブ個人情報を取扱う必要性及び個人への影響も告知しなければならない。本法の規(guī)定に基づき個人に告知しなくでもよいものはこの限りではない。 第三十一條 個人情報取扱者は、その取扱う個人情報が14歳未満の未成年者に係るものである場合には、その未成年者の父母またはその他後見人の同意を得なければならない。 個人情報取扱者がその取扱う個人情報が14歳未満の未成年者に係るものである場合には、専門的な情報取扱規(guī)則を制定しなければならない。 第三十二條 法律または行政法規(guī)がセンシティブ個人情報の取扱にあたり、関連する行政許可の取得を求めている、またはその他の制限を規(guī)定している場合にはその規(guī)定に従う。 第三節(jié) 國家機(jī)関による個人情報の取扱いに関する特別規(guī)定 第三十三條 國家機(jī)関による個人情報の取扱いに関する活動に対し本法を適用する。本節(jié)が特別な規(guī)定を設(shè)けている場合、本節(jié)の規(guī)定を適用する。 第三十四條 國家機(jī)関が法定職責(zé)の履行のため個人情報を取扱うにあたっては、法律及び行政法規(guī)の規(guī)定する権限及び手続きに従って行い、法定職責(zé)の履行に必要な範(fàn)囲及び限度を超えてはならない。 第三十五條 國家機(jī)関が法定職責(zé)の履行のため個人情報を取扱うにあたっては、本法の規(guī)定に従って告知義務(wù)を果たさなければならない。ただし、本法第十八條第一項に定めた事由がある場合、または、告知若しくは同意の取得が、國家機(jī)関が法定職責(zé)を履行することを妨げる場合にはこの限りではない。 第三十六條 國家機(jī)関が取扱う個人情報は中華人民共和國の域內(nèi)で保存しなければならない。確かに域外に提供する必要がある場合には、安全評価を行わなければならない。安全評価は関連部門に支持及び協(xié)助を要求することができる。 第三十七條 法律、法規(guī)の授権により公共事務(wù)の管理権限を有する組織が、法定の職責(zé)を履行するために個人情報を取扱う場合、本法の國家機(jī)関による個人情報取扱に関する規(guī)定を適用する。 第三章 個人情報の域外提供規(guī)則 第三十八條 個人情報取扱者が業(yè)務(wù)等の必要により、確かに中華人民共和國の域外に個人情報を提供する必要がある場合には、以下に挙げた條件のひとつを具備しなければならない。 (一)本法第四十條の規(guī)定に基づく國家インターネット情報部門による安全評価に合格した場合。 (二)國家インターネット情報部門の規(guī)定に基づく専門機(jī)構(gòu)による個人情報保護(hù)の認(rèn)証を得ている場合。 (三)國家インターネット情報部門の定める標(biāo)準(zhǔn)契約に基づいて、域外の移転先と契約を締結(jié)し、雙方の権利及び義務(wù)を約定する場合。 (四)法律、行政法規(guī)または國家インターネット情報部門の規(guī)定するその他の條件。 中華人民共和國が締結(jié)しまたは參加する國際條約、協(xié)定が中華人民共和國域外への個人情報の提供について規(guī)定をしている場合には、その規(guī)定に従う。 個人情報取扱者は、域外の移転先の個人情報取扱活動が本法に規(guī)定された個人情報保護(hù)基準(zhǔn)を満たすよう、必要措置を講じなければならない。 第三十九條 個人情報取扱者が中華人民共和國の域外に個人情報を提供する場合には、個人に対し域外の移転先の名稱もしくは氏名、連絡(luò)先、取扱目的、取扱方法、個人情報の種類及び個人が域外移転先に対し本法の規(guī)定する権利を行使する方法、プロセス等の事項を告知し、かつ個人から個別に同意を得なければならない。 第四十條 重要情報インフラ運営者及び、取扱う個人情報が國家インターネット情報部門の規(guī)定する數(shù)量に達(dá)した個人情報取扱者は、中華人民共和國域內(nèi)で收集しまたは発生した個人 情報を域內(nèi)で保存しなければならない。確かに域外に提供する必要がある場合には、國家インターネット情報部門による安全評価に合格しなければならない。法律、行政法規(guī)及び國家インターネット情報部門が安全評価を行わなくてよいと規(guī)定する場合には、その規(guī)定に従う。 第四十一條 中華人民共和國主管機(jī)構(gòu)が関連法規(guī)、中華人民共和國が締結(jié)しまたは參加する國際條約、協(xié)定、または平等互恵の原則に基づき、外國司法または法執(zhí)行機(jī)構(gòu)の域內(nèi)で保存する個人情報の提供請求に対処しなければならない。中華人民共和國主管部門の許可を得ていない場合、個人情報取扱者は、外國司法または法執(zhí)行機(jī)構(gòu)に中華人民共和國域內(nèi)で保存する個人情報を提供してはならない。 第四十二條 域外の組織、個人が、中華人民共和國公民の個人情報の権益を侵害する活動、または中華人民共和國の國家安全、公共利益に危害を與える個人情報取扱活動に従事している場合には、國家インターネット情報部門はそれを個人情報提供制限リストまたは禁止リストに列挙し、それをもって公告し、當(dāng)該者に対して個人情報を提供することを制限しまたは禁止する等の措置を講じることができる。 第四十三條 いかなる國家または地區(qū)であっても、個人情報保護(hù)の側(cè)面において中華人民共和國に対し偏見を持って禁止し、制限しまたはその他類似の措置を講じていれば、中華人民共和國は、実際の狀況に基づき、當(dāng)該國家または地區(qū)に対し相応の措置を講じることができる。 第四章 個人情報取扱活動における個人の権利 第四十四條 個人はその個人情報の取扱いに対し知る権利、決定権を享有し、他人がその個人情報を取扱うことを制限しまたは拒否する権利を有する。ただし、法律または行政法規(guī)が別段の定めをする場合にはこの限りではない。 第四十五條 個人は個人情報取扱者に個人情報の閲覧を求め、それを複製する権限を有する。ただし、本法第十八條第1項、第三十五條の規(guī)定する狀況が存在する場合はこの限りではない。 個人がその個人情報の閲覧及び複製を請求する場合、個人情報取扱者は適時に提供しなければならない。 個人が、自らが指定する個人情報取扱者に個人情報を移転するよう請求し、それが國家インターネット情報部門の規(guī)定條件に適合する場合には、個人情報取扱者はその移転ルートを提供しなければならない。 第四十六條 個人がその個人情報が不正確または不完全であることを発見した場合、個人情報取扱者に対し、是正、補充を求める権利を有する。 個人がその個人情報の是正、補充を請求した場合、個人情報取扱者はその個人情報について確認(rèn)し、適時に是正、補充しなければならない。 第四十七條 以下に列挙する事由の一つがあれば、個人情報取扱者は自発的にまたは個人の請求に基づき、個人情報を削除しなければならない。個人情報取扱者が削除していない場合、個人は削除を請求することができる。 (一)取扱目的が既に実現(xiàn)し、または目的の実現(xiàn)に不要となった。 (二)個人情報取扱者が商品またはサービスの提供を停止した、もしくは保存期間が満了した。 (三)個人が同意を撤回した。 (四)個人情報取扱者が法律、行政法規(guī)に違反しまたは約定に違反して個人情報を取り扱った。 (五)法律または行政法規(guī)の規(guī)定するその他の狀況。 法律、行政法規(guī)が規(guī)定する保存期間が満了していない場合または個人情報の削除が技術(shù)上実現(xiàn)困難な場合、個人情報取扱者は保存及び必要な安全保護(hù)措置以外の個人情報の取扱を停止しなければならない。 第四十八條 個人は個人情報取扱者に対しその個人情報取扱ルールについて解釈及び説明を要求する権利を有する。 第四十九條 自然人が死亡した場合、その近親者は自身の合法かつ正當(dāng)な利益のため、死者に関わる個人情報に対して、本章の定める閲覧、複製、訂正、削除などの権利を行使することができる。ただし、死者の生前における別途手配が有った場合を除く。 第五十條 個人情報取扱者は、個人が権利として容易に行使できるような申請受理と取扱制度を構(gòu)築しなければならない。個人が権利として行使する請求の拒否にあたっては、その理由を説明しなければならない。 第五章 個人情報取扱者の義務(wù) 第五十一條 個人情報取扱者は個人情報の取扱目的、取扱方法、個人情報の種類及び個人権益に対する影響、存在する可能性がある安全リスク等に基づき、下記措置を講じ、個人情報の取扱活動が法律、行政法規(guī)の規(guī)定に適合することを確保し、かつ、不正アクセス及び個人情報の漏洩、改竄、紛失を防止しなければならない。 (一)內(nèi)部管理制度および実務(wù)規(guī)程の制定。 (二)個人情報に対しレベル別の分類管理を行う。 (三)相応の暗號化、非識別化等の安全技術(shù)措置を講じる。 (四)個人情報取扱の操作権限を合理的に確定し、かつ従業(yè)員に対し定期的に安全教育および訓(xùn)練を行う。 (五)個人情報安全事件応急措置を制定しその実施を行う。 (六)法律または行政法規(guī)の規(guī)定するその他の措置。 第五十二條 取扱う個人情報が國家インターネット情報部門の規(guī)定する數(shù)量に達(dá)した個人 情報取扱者は、個人情報保護(hù)責(zé)任者を指定し、個人情報取扱活動及び講じた保護(hù)措置等に対して監(jiān)督を行うことに責(zé)任を負(fù)わせなければならない。 個人情報取扱者は個人情報保護(hù)責(zé)任者の氏名、連絡(luò)先等を公開し、個人情報保護(hù)職責(zé)履行部門に報告しなければならない。 第五十三條 本法第三條第2項の規(guī)定する中華人民共和國域外の個人情報取扱者は、中華人民共和國域內(nèi)で専門機(jī)構(gòu)を設(shè)立しまたは代表者を指定し、これをもって個人情報保護(hù)に関連する事務(wù)の取扱いについて責(zé)任を負(fù)わせなければならず、かつ、當(dāng)該機(jī)構(gòu)の名稱または代表者の氏名、連絡(luò)先等を個人情報保護(hù)職責(zé)履行部門に報告しなければならない。 第五十四條 個人情報取扱者は、その個人情報取扱が法律、行政法規(guī)の規(guī)定に適合するかのコンプライアンス監(jiān)査を定期的に行わなければならない。 第五十五條 下記のいずれかに該當(dāng)する場合、個人情報取扱者は、事前に個人情報保護(hù)影響評価を行い、かつ取扱狀況を記録しなければならない。 (一)センシティブ個人情報の取扱い。 (二)個人情報自動意思決定の利用。 (三)個人情報取扱の委託、その他個人情報取扱者への個人情報の提供、個人情報の公開。 (四)域外への個人情報の提供。 (五)その他個人権益に重大な影響を持つ個人情報取扱活動。 第五十六條 個人情報保護(hù)影響評価は以下の內(nèi)容を含まなければならない。 (一)個人情報の取扱目的、取扱方法等が合法、正當(dāng)かつ必要であるか。 (二)個人権益への影響及び安全リスク。 (三)講じる安全保護(hù)措置が合法、有效かつリスクの程度に相応しているか。 個人情報保護(hù)影響評価報告書及び取扱狀況記録は、最低3年間は保存しなければならない。 第五十七條 個人情報の漏洩、改竄しくは紛失が生じる、または起こる可能性がある場合、個人情報取扱者は即時に救済措置を講じ、かつ個人情報保護(hù)職責(zé)履行部門及び個人に通知しなければならない。通知は、以下の事項を含まなければならない。 (一)生じる、または起こる可能性がある個人情報の漏洩、改竄もしくは紛失に関する情報種類、原因及び発生させる可能性のある危害。 (二)個人情報取扱者が講じた救済措置及び、個人が講じることのできる被害軽減措置。 (三)個人情報取扱者の連絡(luò)先。 個人情報取扱者が講じる措置が情報漏洩、改竄もしくは紛失によって発生する被害を有効に回避できる場合、個人情報取扱者は個人に通知しないことができる。個人情報保護(hù)職責(zé)履行部門が、被害が発生する可能性があると判斷した場合、個人情報取扱者に対し個人に通知するよう要求することができる。 第五十八條 重要なインターネットプラットフォームサービス、ユーザー數(shù)が膨大、業(yè)務(wù)類型が複雑な個人情報処理者は、以下の義務(wù)を履行するものとする。 (一)國家規(guī)定に基づき個人情報保護(hù)コンプライアンス制度體系を構(gòu)築、健全化し、主に部外者により構(gòu)成される獨立機(jī)関を設(shè)立し、個人情報保護(hù)狀況に対して監(jiān)督を行うこと。 (二)公開、公平、公正な原則基づき、プラットフォーム規(guī)則を制定し、プラットフォーム內(nèi)の商品またはサービス提供者に個人情報保護(hù)の規(guī)範(fàn)と個人情報保護(hù)の義務(wù)を明確すること。 (三)法律、行政法規(guī)に重大に違反し、個人情報の取扱いを行うプラットフォーム內(nèi)の商品またはサービス提供者に対して、サービスの提供を停止させること。 (四)個人情報保護(hù)社會責(zé)任レポートを定期的に発布し、社會的な監(jiān)督を受けること。 第五十九條 個人情報取扱の委託を受けた受託者は、本法及び関係する法律、行政法規(guī)の規(guī)定に基づき、必要な措置を講じて、取扱う一切の個人情報のセキュリティを保障し、個人情報取扱者が本法に定めた義務(wù)を履行するのに協(xié)力しなければならない。 第六章 個人情報保護(hù)職責(zé)履行部門 第六十條 國家インターネット情報部門は、個人情報保護(hù)業(yè)務(wù)及び関連する監(jiān)督管理業(yè)務(wù)の統(tǒng)括と協(xié)調(diào)に責(zé)任を負(fù)う。國務(wù)院の関係部門は、本法及び関係する法律、行政法規(guī)の規(guī)定に基づき、各自の職責(zé)の範(fàn)囲內(nèi)において個人情報保護(hù)及び監(jiān)督管理業(yè)務(wù)の責(zé)任を負(fù)う。 県レベル以上の地方人民政府の関係部門の個人情報保護(hù)及び監(jiān)督管理職責(zé)は、國家の関連する規(guī)定により確定する。 前2項の規(guī)定する部門は、個人情報保護(hù)職責(zé)履行部門と総稱する。 第六十一條 個人情報保護(hù)職責(zé)履行部門は、以下の個人情報保護(hù)職責(zé)を履行する。 (一)個人情報保護(hù)宣伝教育を?qū)g施し、個人情報取扱者が個人情報保護(hù)業(yè)務(wù)を?qū)g施するのを指導(dǎo)し監(jiān)督する。 (二)個人情報保護(hù)に関する苦情の申し立て、通報を受理し処理する。 (三)アプリケーションプログラム等個人情報保護(hù)狀況の評価を組織し、評価結(jié)果を公布する。 (四)個人情報の違法取扱を調(diào)査し、活動を処理する。 (五)法律、行政法規(guī)の規(guī)定するその他の職責(zé)。 第六十二條 國家インターネット情報部門は、関連部門とともに、以下の個人情報保護(hù)業(yè)務(wù)の推進(jìn)を統(tǒng)率する。 (一)個人情報保護(hù)の具體的な規(guī)則、基準(zhǔn)の制定。 (二)小型個人情報取扱者、センシティブ個人情報及び顔認(rèn)証、AI等の新技術(shù)、アプリケーションに対する、専門的な個人情報保護(hù)規(guī)則、基準(zhǔn)の制定。 (三)安全、便利な電子身分認(rèn)証技術(shù)の研究開発、普及、応用の支持。オンライン身元認(rèn)証に関する公共サービス構(gòu)築の推進(jìn) (四)個人情報保護(hù)社會化サービス體系の構(gòu)築を推進(jìn)し、関連機(jī)関が個人情報保護(hù)評価、認(rèn)証サービスを展開することを支持する。 (五)個人情報保護(hù)に関する苦情の申し立て、通報処理の仕組みの整備。 第六十三條 個人情報保護(hù)職責(zé)履行部門は個人情報保護(hù)職責(zé)を履行するにあたり以下の措置を講じることができる。 (一)関係當(dāng)事者に対し質(zhì)問し、個人情報取扱活動に関する狀況を調(diào)査する。 (二)當(dāng)事者及び個人情報取扱活動に関する契約、記録、帳簿及びその他の関係資料を閲覧、複製する。 (三)現(xiàn)場検査を?qū)g施し、違法な個人情報取扱活動が疑われる場合は調(diào)査を行う。 (四)個人情報取扱活動と関係する設(shè)備、物品を調(diào)査する。違法な個人情報取扱活動に用いた設(shè)備、物品であると証明する証拠があるものにつき、本部門の主要責(zé)任者に対して書面で報告し、且つ認(rèn)可を経て、封鎖または差押えをすることができる。 個人情報保護(hù)職責(zé)履行部門が法に基づき職責(zé)を履行する場合、當(dāng)事者は協(xié)力し、従わなければならず、拒絶または妨害してはならない。 第六十四條 個人情報保護(hù)職責(zé)履行部門が職責(zé)を履行する中で、個人情報取扱活動に比較的大きなリスクが存在するまたは個人情報安全事件が発生したことを発見した場合、規(guī)定に基づく権限及び手続に従い、當(dāng)該個人情報取扱者の法定代表者または主要責(zé)任者に対し面談を行い、または個人情報取扱者に、個人情報取扱活動のコンプライアンスに係る監(jiān)査を?qū)熼T業(yè)者に委託するよう要求することができる。個人情報取扱者は、要求に基づき措置を講じ、改善を行い、問題を除去しなければならない。 個人情報保護(hù)職責(zé)履行部門が職責(zé)を履行する中で、違法な個人情報取扱行為が既に犯罪の嫌疑にかかわることを発見した場合には、公安機(jī)関に移送して法により対処しなければならない。 第六十五條 いかなる組織及び個人も違法個人情報取扱活動について個人情報保護(hù)職責(zé)履行部門に苦情を申し立て、通報することができる。苦情や通報を受けた部門は、法に基づき適時に処理しなければならず、かつ処理結(jié)果を苦情申立人や通報者に告知しなければならない。 個人情報保護(hù)職責(zé)履行部門は、苦情や通報の受付の連絡(luò)方法を公表しなければならない。 第七章 法的責(zé)任 第六十六條 本法の規(guī)定に違反し個人情報を取扱い、または個人情報の取扱いにおいて本法の規(guī)定に基づく個人情報保護(hù)義務(wù)を果たさなかった場合、個人情報保護(hù)職責(zé)履行部門が是正を命じ、違法所得を沒収し、警告する。違法に個人情報の取扱いをしていたアプリケーションプログラムに対して、サービスの提供を暫定的に停止、または終了させることができる。是正しない場合、一百萬元以下の過料に処する。直接責(zé)任を負(fù)う主管人員及びその他の直接責(zé)任人員は一萬元以上十萬元以下の過料に処する。 前項の規(guī)定する違法行為が存在し、情狀が重い場合、省レベル以上の個人情報保護(hù)職責(zé)履行部門が是正を命じ、違法所得を沒収し、かつ五千萬元以下または前年度の売上高の百分の五以下の過料に処さなければならず、かつ関連する業(yè)務(wù)を暫定的に停止し、または業(yè)務(wù)を止めて整理し、関係主管部門に通報して関係する業(yè)務(wù)許可を取消しまたは営業(yè)許可を取消すことできる。直接責(zé)任を負(fù)う主管人員及びその他の直接責(zé)任人員は十萬元以上一百萬元以下の過料に処し、かつその一定期間內(nèi)に関連企業(yè)の董事、監(jiān)事、高級管理職及び個人情報保護(hù)責(zé)任者を務(wù)めることを禁ずることができる。 第六十七條 本法の規(guī)定する違法行為があれば、関係法律、行政法規(guī)の規(guī)定に基づき信用ファイルに記入し、公示する。 第六十八條 國家機(jī)関が本法の規(guī)定する個人情報保護(hù)義務(wù)を履行しない場合、上級機(jī)関または個人情報保護(hù)職責(zé)履行部門が是正を命じる。直接責(zé)任を負(fù)う主管人員及びその他の直接責(zé)任人員に法に基づき処分を與える。 個人情報保護(hù)職責(zé)履行部門の職員が職務(wù)懈怠、職権の濫用、私情に走り不正行為をし、犯罪を構(gòu)成するまでには至らなかった場合、法に基づき処分を與える。 第六十九條 個人情報に関する権益が個人情報取扱活動により侵害された場合、個人情報取扱者が自らの過失がないことを証明できない場合、損害賠償?shù)趣螛乩趾ω?zé)任を負(fù)う。 前項に定める損害賠償責(zé)任は、個人がそれによって受けた損失または個人情報取扱者がそれによって得た利益に基づき確定する。個人がそれによって受けた損失及び個人情報処理者がそれによって得た利益を確定することが困難であれば、人民法院が実際の狀況に基づき賠償額を確定する。 第七十條 個人情報取扱者が本法の規(guī)定に違反し個人情報を取扱い、多くの個人の権利利益を侵害した場合、人民検察院、法に定めた消費者組織及び國家インターネット情報部門が確定した組織が法に基づき人民法院に訴訟を提起することができる。 第七十一條 本法の規(guī)定に違反し、治安管理に違反する行為を構(gòu)成する場合、法に基づき治安管理処罰を行う。犯罪を構(gòu)成する場合、法により刑事責(zé)任を追及する。 第八章 附 則 第七十二條 自然人は個人または家庭の事務(wù)において個人情報を取扱うことに関しては、本法を適用しない。 各レベルの人民政府及びその関係部門が手配して実施する統(tǒng)計、人事記録管理活動における個人情報取扱について、法律に規(guī)定が存在する場合には、その規(guī)定を適用する。 第七十三條 本法の以下に列挙する用語の意味は以下の通りである。 (一)個人情報取扱者とは、個人情報取扱活動において、自らが取扱目的、取扱方法を決定する組織、個人をいう。 (二)自動意思決定とは、コンピュータープログラムを通じて、個人の行為習(xí)慣、興味、嗜好または経済、健康、信用狀況等を自動的に分析、評価し意思決定する活動をいう。 (三)非識別化とは、個人情報を加工し、その他の情報と照合しない限り、特定の自然人を特定できなくする過程をいう。 (四)匿名化とは、個人情報を加工し、特定の自然人を識別できず、かつ、復(fù)元できなくする過程をいう。 第七十四條 本法は2021年11月1日より施行する。
