【情報】中華人民共和国個人情報保護法(全文)(2021年9月2日)
中華人民共和国個人情報保護法
第一章 総則
第一条 個人情報の権益を保護し、個人情報の処理活動を規範化し、個人情報の合理的な利用を促進するために、憲法に基づき、本法を制定する。
第二条 自然人の個人情報は法律による保護を受ける。いかなる組織、個人も、自然人の個 人情報の権益を侵害してはならない。
第三条 中華人民共和国の域内において自然人の個人情報を処理する活動に対して、本法を適用する。
中華人民共和国の域外において、中華人民共和国域内の自然人の個人情報を処理する活動が、以下に掲げる事由のいずれか一つに該当する場合も、本法を適用する。
(一)域内の自然人に向けて商品又はサービスを提供することを目的としている場合。
(二)域内の自然人の行為を分析し、評価する場合。
(三)法律、行政法規が規定するその他の事由。
第四条 個人情報とは、電子的又はその他の方法で記録された、すでに識別され又は識別可能な、自然人に関係する各種情報をいうが、匿名化処理後の情報は含まれない。
個人情報の処理には、個人情報の收集、保存、使用、加工、伝送、提供、公開、削除等が含まれる。
第五条 個人情報の処理は、合法、正当、必要性と信義誠実の原則を遵守するものとし、誤導、詐欺、脅迫等の方法により個人情報を処理してはならない。
第六条 個人情報の処理は、明確かつ合理的な目的を持つものとし、かつ処理の目的と直接関係していなければならず、個人の権益に対する影響が最小の方法を採用しなければならない。
個人情報の収集は、処理の目的を実現するための最小の範囲に限定されるものとし、個人情報を過度に収集してはならない。
第七条 個人情報の処理は、公開、透明の原則を遵守するものとし、個人情報の処理に関するルールを公開し、処理の目的、方法と範囲を明示しなければならない。
第八条 個人情報の処理は、個人情報の品質を保証するものとし、個人情報が不正確、不完全であることに起因して個人の権益に不利な影響が生じることを回避しなければならない。
第九条 個人情報の処理者は、その個人情報の処理活動に対して責任を負うものとし、 かつその処理する個人情報の安全を保障するために必要な措置を講じなければならない。
第十条 いかなる組織、個人も、他人の個人情報を不法に収集、使用、加工、伝送してはならず、他人の個人情報を不法に売買、提供又は公開してはならない。国家の安全、公共の利益を脅かす個人情報の処理活動に従事してはならない。
第十一条 国家は健全な個人情報保護制度を確立し、個人情報の権益を侵害する行為を予防及び処罰し、個人情報保護の宣伝教育を強化し、政府、企業、関連する社会組織、公衆が個人情報の保護に共同で関与する良好な環境の形成を推進する。
第十二条 国家は個人情報保護の国際ルールの制定に積極的に関与し、個人情報保護の分野における国際交流及び協力を促進し、その他の国家、地区、国際組織との間における個人情報保護ルール、基準等の相互認証を推進する。
第二章 個人情報の処理ルール
第一節 一般規定
第十三条 以下に掲げる事由のいずれか一つに該当してはじめて、個人情報処理者は個人情報を処理することができる。
(一)個人の同意を取得している場合。
(二)個人を当事者の一方とする契約の締結、履行に必要である場合、或いは法により制定した労働規則制度や法により締結した集団契約に基づいて人的資源の管理を実施するために必要である場合。
(三)法定の職責又は法定の義務の履行に必要である場合。
(四)突発的な公衆衛生上の事件に対応するため、又は緊急状況下において自然人の生命、健康及び財産の安全を保護するために必要な場合。
(五)公共の利益のためにメディア報道、世論監督等の行為を実施して、合理的な範囲内で個人情報を処理する場合。
(六)本法の規定に従って、合理的な範囲内で、個人が自ら公開した個人情報又はすでに合法的に公開されているその他個人情報を処理する場合。
(七)法律、行政法規が規定するその他の事由。
本法のその他の関連規定により、個人情報の処理には個人の同意を取得しなければならないが、前項第2号乃至第7号に規定する事由に該当する場合は、個人の同意を取得する必要はない。
第十四条 個人の同意に基づいて個人情報を処理するとき、当該同意は、個人が充分に事情を理解していることを前提に、自発的かつ明確に行わなければならない。法律、行政法規が、個人情報の処理には個人の個別の同意又は書面による同意を得なければならないと規定している場合は、当該規定に従わなければならない。
個人情報の処理目的、処理方法及び処理する個人情報の種類に変更が生じた場合は、改めて個人の同意を得なければならない。
第十五条 個人の同意に基づく個人情報の処理に対し、個人はその同意を撤回することができる。個人情報処理者は、同意を撤回するための簡便な方法を提供しなければならない。
個人が同意を撤回しても、撤回前に個人の同意に基づいて行われた個人情報処理活動の効力には影響を及ぼさない。
第十六条 個人情報処理者は、個人がその個人情報の処理に同意しないこと、又は同意を撤回したことを理由として、商品又はサービスの提供を拒否してはならない。個人情報の処理が商品又はサービスの提供のために必須である場合は、この限りではない。
第十七条 個人情報処理者は、個人情報を処理する前に、目立つ方式により、明瞭かつ理解しやすい表現を用いて、個人に対し、真実のとおり、正確かつ完全に以下の事項を告知しなければならない。
(一)個人情報処理者の名称又は氏名及び連絡先。
(二)個人情報の処理目的、処理方法、処理する個人情報の種類、保存期限。
(三)個人が本法の規定する権利を行使する方法及び手続。
(四)法律、行政法規が告知すべきであると規定するその他の事項。
前項に規定する事項に変更が生じた場合は、当該変更部分を個人に告知しなければならない。
個人情報処理者が、個人情報の処理に関するルールを制定する方法を通じて第1項に規定する事項を告知する場合、処理ルールは公開されなければならず、かつ容易に閲覧及び保存ができなければならない。
第十八条 個人情報処理者による個人情報の処理について、法律、行政法規が秘密を保持すべきであると規定している場合、又は告知が不要であると規定している場合は、個人に対し前条第一項に規定する事項を告知しなくともよい。
緊急の状況において自然人の生命、健康及び財産の安全を保護するために、速やかに個人に告知することができない場合、個人情報処理者は、緊急の状況が消滅した後に速やかに告知しなければならない。
第十九条 法律、行政法規に別段の規定がある場合を除き、個人情報の保存期間は、処理目的の実現に必要な最短の期間としなければならない。
第二十条 二者以上の個人情報処理者が共同で個人情報の処理目的及び処理方法を決定する場合、各自の権利及び義務を約定しなければならない。但し、当該約定は、個人がいずれの個人情報処理者に対しても、本法に規定する権利の行使を要求することを妨げない。
個人情報処理者が共同で個人情報を処理し、個人情報の権益を侵害して損害が生じた場合は、法に基づき連帯責任を負わなければならない。
第二十一条 個人情報処理者は、個人情報の処理を委託する場合、受託者との間で、委託する処理の目的、期間、処理方法、個人情報の種類、保護措置及び双方の権利と義務等を約定するとともに、受託者による個人情報処理活動に対して監督を行わなければならない。
受託者は約定に従って個人情報を処理するものとし、約定した処理目的及び処理方法等を超えて個人情報を処理してはならず、委託契約が未発効、無効となった場合、取り消された場合、又は終了した場合は、個人情報を個人情報処理者に返還し、又は削除するものとし、留め置いてはならない。
個人情報処理者の同意なく、受託者は個人情報の処理を他人に再委託してはならない。
第二十二条 個人情報処理者が合併、分割、解散、破産宣告等の理由で個人情報を移転する必要がある場合、個人に対して移転先の名称又は氏名及び連絡先を告知しなければならない。移転先は、個人情報処理者としての義務を引き続き履行しなければならない。移転先が従来の処理目的、処理方法を変更する場合には、本法の規定に基づいて改めて個人の同意を取得しなければならない。
第二十三条 個人情報処理者がその他の個人情報処理者に対してその処理した個人情報を提供する場合、個人に対して、受領者の名称又は氏名、連絡先、処理目的、処理方法及び個人情報の種類を告知し、個人から個別の同意を得なければならない。受領者は、上記の処理目的、処理方法及び個人情報の種類等の範囲内において個人情報を処理しなければならない。受領者が従来の処理目的、処理方法を変更する場合には、本法の規定に基づいて改めて個人の同意を取得しなければならない。
第二十四条 個人情報処理者が個人情報を利用して自動的な決定を行う場合には、決定の透明度及び結果の公平性・公正性を保証するものとし、取引価格等の取引条件において、個人に対して不合理な差別的待遇を行ってはならない。
自動的な決定という方式により個人に対して情報のプッシュ通知、商業的なマーケティングを行う場合は、その個人的特徴に基づかないオプション項目も同時に提供するか、個人に対して簡便な拒否手段を提供しなければならない。
自動的な決定という方式により、個人の権益に対し重大な影響をもたらす決定を行う場合、個人は、個人情報処理者に対して説明を求めることができる。また、個人情報処理者が自動的な決定という方式のみによって決定を行うことを拒否することができる。
第二十五条 個人情報処理者は、その処理した個人情報を公開してはならない。個人の個別の同意を得ている場合は、この限りではない。
第二十六条 公共の場において、画像の収集、個人の身元を識別する設備を設置する場合は、 公共安全の維持のために必須の場合であるものとし、国家の関連規定を遵守し、かつ明示的にこれを表示する標識を設置しなければならない。収集した個人の画像及び身元を識別する情報は、公共安全の維持という目的のためにのみ用いることができ、その他の目的のために用いてはならない。個人の個別の同意を得た場合は、この限りではない。
第二十七条 個人情報処理者は、合理的な範囲内において、個人が自ら公開している個人情報又は合法的に公開されているその他の個人情報を処理することができるが、個人が明確に拒否している場合はこの限りではない。個人情報処理者が既に公開されている個人情報を処理し、個人の権益に重大な影響がある場合は、本法の規定に基づき個人の同意を得なければならない。
第二節
センシティブ個人情報の処理ルール
第二十八条 センシティブ個人情報とは、ひとたび漏洩し又は不法に使用されれば、自然人の人格の尊厳の侵害を引き起こしやすい、又は人身、財産の安全が損なわれやすい個人情報をいい、生物識別、宗教信仰、特定の身分、医療健康、金融口座、行動履歴等の情報及び14歳未満の未成年者の個人情報が含まれる。
特定の目的と十分な必要性がある場合で、かつ厳格な保護措置を講じている場合に限り、個人情報処理者は、センシティブ個人情報を処理することができる。
第二十九条 センシティブ個人情報の処理は、個人の個別の同意を取得しなければならない。法律、行政法規が、センシティブ個人情報を処理する場合について、書面による同意を取得しなければならないと規定している場合は、その規定に従う。
第三十条 個人情報処理者がセンシティブ個人情報を処理する場合は、本法第十七条第一項に規定されている事項のほか、さらに個人に対してセンシティブ個人情報を処理する必要性及び個人の権益に対する影響を告知しなければならない。本法に基づき、個人に対して告知しなくともよいと規定されている場合は、この限りではない。
第三十一条 個人情報処理者が14歳未満の未成年者の個人情報を処理する場合は、未成年者の両親又はその他監護者の同意を取得しなければならない。
個人情報処理者が14歳未満の未成年者の個人情報を処理する場合は、専用の個人情報処理ルールを制定しなければならない。
第三十二条 法律、行政法規がセンシティブ個人情報の処理について、関連する行政許可の取得を求め、又はその他の制限を定めている場合は、その規定に従う。
第三節
国家機関による個人情報の処理に関する特別規定
第三十三条 国家機関が個人情報を処理する活動に対し、本法を適用する。本節が特別な規定を設けている場合は、本節の規定を適用する。
第三十四条 国家機関が法定の職責を履行するために個人情報を処理する場合は、法律、行政法規が規定する権限、手順に従って行うものとし、法定の職責の履行に必要な範囲及び限度を超えてはならない。
第三十五条 国家機関が法定の職責の履行のために個人情報を処理する場合は、本法の規定 に従って告知義務を履行しなければならない。本法第十八条第一項が定める事由がある場合、又は告知が国家機関による法定の職責の履行を妨げる場合は、この限りではない。
第三十六条 国家機関が処理する個人情報は、中華人民共和国域内で保存しなければならない。どうしても域外に提供する必要がある場合は、安全評価を行わなければならない。安全評価について、関連部門に支援及び協力を求めることができる。
第三十七条 法律、法規により授権され、公共事務を管理する職能を有する組織が、法定の職責を履行するために個人情報を処理する場合には、本法の国家機関による個人情報の処理に関する規定が適用される。
第三章 個人情報の域外提供に関するルール
第三十八条 個人情報処理者が業務等の必要性により、どうしても中華人民共和国の域外に個人情報を提供する必要がある場合には、以下のいずれか一つの条件を具備しているものとする。
(一)本法第四十条の規定に基づき、国家インターネット情報部門による安全評価に合格している。
(二)国家インターネット情報部門の規定に基づき、専門機関による個人情報保護の認証を得ている。
(三)国家インターネット情報部門が制定した標準契約に従って、域外の移転先との間で契約を締結し双方の権利及び義務を約定している。
(四)法律、行政法規又は国家インターネット情報部門が規定するその他の条件。
中華人民共和国が締結又は参加している国際条約、協定が、中華人民共和国の域外に対する個人情報の提供の条件等について規定している場合は、その規定に従って執行することができる。
個人情報処理者は、必要な措置を講じて、域外の移転先による個人情報の処理活動が、本法の規定する個人情報保護の基準を満たしていることを保障しなければならない。
第三十九条 個人情報処理者が中華人民共和国の域外に個人情報を提供する場合には、個人 に対し域外の移転先の名称又は氏名、連絡先、処理目的、処理方法、個人情報の種類及び個人が域外移転先に対し本法の規定する権利を行使する方法と手順等の事項を告知し、かつ個人の個別の同意を取得しなければならない。
第四十条 重要情報インフラ運営者及び処理する個人情報が国家インターネット情報部門の規定数量に達する個人情報処理者は、中華人民共和国域内で收集及び発生した個人情報を域内で保存しなければならない。どうしても域外に提供する必要がある場合には、国家イ ンターネット情報部門による安全評価に合格しなければならない。法律、行政法規及び国家 インターネット情報部門が安全評価を行わなくとも良いと規定する場合には、その規定に従う。
第四十一条 中華人民共和国の主管機関は、関連する法律及び中華人民共和国が締結し又は参加する国際条約、協定に基づき、或いは平等互恵の原則に照らして、外国の司法機関又は法執行機関からの国内に保管している個人情報の提供についての要求を処理する。中華人民共和国の主管機関による認可を経ることなく、個人情報処理者は、外国の司法機関又は法執行機関に対して、中華人民共和国内に保管されている個人情報を提供してはならない。
第四十二条 域外の組織、個人が、中華人民共和国公民の個人情報の権益を侵害する活動又は中華人民共和国の国家安全、公共利益に危害を与える個人情報処理活動に従事している場合、国家インターネット情報部門はこれを個人情報提供制限リスト又は禁止リストに収載して公告するとともに、当該域外の組織、個人に対する個人情報等の提供を制限又は禁止する措置を講じることができる。
第四十三条 いずれかの国家又は地域が、個人情報保護の分野において、中華人民共和国に対して差別的な禁止、制限措置、又はその他類似の措置を講じた場合、中華人民共和国は、実際の状況に基づき、当該国家又は地域に対して対等の措置を講じることができる。
第四章 個人情報の処理活動における個人の権利
第四十四条 個人は、その個人情報の処理について知る権利、決定権を享受し、他人がその個人情報を処理することを制限又は拒否する権利を有する。法律、行政法規に別段の定めがある場合は、この限りではない。
第四十五条 個人は、個人情報処理者から個人情報を閲覧し、複製する権利を有する。本法第十八条第一項、第三十五条の規定する事由が存在する場合は、この限りではない。
個人がその個人情報の閲覧、複製を請求した場合、個人情報処理者は速やかに提供しなければならない。
個人がその個人情報の閲覧、複製を請求した場合、個人情報処理者は速やかに提供しなければならない。
第四十六条 個人は、その個人情報が不正確又は不完全であることを発見した場合、個人情報処理者に対し、是正、補充を求める権利を有する。
個人がその個人情報の是正、補充を請求した場合、個人情報処理者はその個人情報について確認したうえで、速やかに是正、補充しなければならない。
第四十七条 以下に掲げる事由のいずれか一つに該当する場合、個人情報処理者は自発的に個人情報を削除しなければならない。個人情報処理者が削除しない場合、個人は、削除を要求することができる。
(一)処理目的が既に実現した場合、実現不可能な場合、又は処理目的の実現のために必要ではなくなった場合。
(二)個人情報処理者が商品又はサービスの提供を停止した場合、又は保存期限がすでに満了した場合。
(三)個人が同意を撤回した場合。
(四)個人情報処理者が法律、行政法規に違反し、又は約定に違反して個人情報を処理した場合。
(五)法律、行政法規が規定するその他の事由。
法律、行政法規が規定する保存期限が満了していない場合、又は個人情報の削除が技術的に困難である場合、個人情報処理者は、保存と必要な安全保護措置の実施を除き、それ以外の処理を停止しなければならない。
第四十八条 個人は、個人情報処理者に対してその個人情報処理ルールについて解釈、説明 を行うよう要求する権利を有する。
第四十九条 自然人が死亡した場合、その近親者は、自身の合法、正当な利益のために、死者の個人情報に関して本章に規定する閲覧、複製、更生、削除等の権利を行使することができる。死者の生前に別段の取り決めがあった場合を除く。
第五十条 個人情報処理者は、個人からの権利行使の申請を受理、処理するための簡便な制度を構築しなければならない。個人による権利行使の請求を拒否する場合は、その理由を説明しなければならない。
個人情報処理者が、個人による権利行使の請求を拒否した場合、個人は、人民法院に訴訟を提起することができる。
第五章 個人情報処理者の義務
第五十一条 個人情報処理者は、個人情報の処理目的、処理方法、個人情報の種類及び個人の権益に対する影響、存在する可能性がある安全リスク等に基づき、以下に掲げる措置を講じて、個人情報の処理活動が法律、行政法規の規定に適合することを確実に保証し、かつ不正アクセス及び個人情報の漏洩、改竄、紛失を防止しなければならない。
(一)内部管理制度及び取扱い規程を制定する。
(二)個人情報に対して分類管理を行う。
(三)暗号化、非識別化等、相応の安全技術措置を講じる。
(四)個人情報処理の取扱い権限を合理的に確定し、かつ従業員に対して定期的に安全教育及び訓練を行う。
(五)個人情報安全事件緊急対応策を制定し、実施する。
(六)法律、行政法規の規定するその他の措置。
第五十二条 処理する個人情報が国家インターネット情報部門の規定する数量に達する個人情報処理者は、個人情報保護責任者を指定して、個人情報処理活動及び講じている保護措置等に対する監督を担わせるものとする。
個人情報処理者は、個人情報保護責任者の連絡先等を公開するとともに、個人情報保護責任者の氏名、連絡先等を個人情報保護の職責を履行する部門に報告しなければならない。
第五十三条 本法第三条第二項に規定する中華人民共和国域外の個人情報処理者は、中華人 民共和国域内に専門機構を設立し、又は代表者を指定して、個人情報保護に関連する事務の処理を担わせるものとし、当該機構の名称又は代表者の氏名、連絡先等を個人情報保護の職責を履行する部門に報告しなければならない。
第五十四条 個人情報処理者は、その処理する個人情報の法律、行政法規の遵守情況について、定期的にコンプライアンス監査を実施しなければならない。
第五十五条 以下に掲げる事由のいずれか一つに該当する場合、個人情報処理者は、個人情報保護の影響評価を事前に行い、かつ処理の情況を記録しなければならない。
(一)センシティブ個人情報の処理。
(二)個人情報を用いた自動的な決定の実施。
(三)個人情報の処理の委託、その他個人情報処理者への個人情報の提供、個人情報の公開。
(四)域外への個人情報の提供。
(五)個人の権益に重大な影響を及ぼすその他の個人情報処理活動。
第五十六条 個人情報保護の影響評価の内容には、以下を含むものとする。
(一)個人情報の処理目的、処理方法等が合法、正当、必要であるか否か。
(二)個人の権益への影響及び安全リスク。
(三)講じている保護措置が合法、有效で、かつリスクの程度に適しているか否か。
個人情報保護の影響評価報告書及び処理情況記録は、少なくとも3年間保存しなければならない。
第五十七条 個人情報の漏洩、改竄、紛失が発生したとき、又は発生の恐れがあるとき、個人情報処理者は、直ちに救済措置を講じるとともに、個人情報保護の職責を履行する部門及び個人に通知しなければならない。通知には、下記に掲げる事項が含まれているものとする。
(一)個人情報の漏洩、改竄、紛失が発生した、又は発生する恐れのある情報の種類、原因と生じる恐れのある危害。
(二)個人情報処理者が講じる救済措置と個人が講じることのできる危害軽減措置。
(三)個人情報処理者の連絡先。
個人情報処理者が措置を講じて、情報の漏洩、改竄、紛失により引き起こされる危害を有効に回避できる場合、個人情報処理者は個人に通知しないことができる。個人情報保護の職責を履行する部門が、危害が生じる可能性があると認めた場合、個人情報処理者に対して、個人に通知するよう要求することができる。
第五十八条 重要なインターネットプラットフォームサービスを提供する個人情報処理者、ユーザーの数が極めて多い個人情報処理者、業務類型が複雑な個人情報処理者は、以下に掲げる義務を履行しなければならない。
(一)国家の規定に従って、個人情報保護のコンプライアンス体制を確立し、主に外部構成員によって構成される独立した機構を設立して、個人情報の保護情況に対する監督を行わせる。
(二)公開、公平、公正の原則を遵守して、プラットフォームのルールを制定し、プラットフォーム内の製品提供者又はサービスプロバイダーによる個人情報の処理規範と個人情報の保護義務を明確にする。
(三)法律、行政法規に著しく違反して個人情報を処理しているプラットフォーム内の製品提供者又はサービスプロバイダーに対して、サービスの提供を停止する。
(四)個人情報保護の社会的責任に関する報告書を定期的に発行し、社会の監督を受け入れる。
第五十九条 委託を受けて個人情報の処理を行う受託者は、本法及び関連する法律、行政法規の規定に従い、必要な措置を講じて、処理する個人情報の安全を保障するとともに、個人情報処理者による本法の規定する義務の履行に協力しなければならない。
第六章 個人情報保護の職責を履行する部門
第六十条 国家インターネット情報部門は、個人情報保護業務及び関連する監督管理業務の統括と調整に責任を負う。国務院の関連部門は、本法及び関係する法律、行政法規の規定 に基づき、各自の職責の範囲内において、個人情報保護及び監督管理業務の責任を負う。
県級以上の地方人民政府の関連部門の個人情報保護及び監督管理の職責は、国家の関連 規定に照らして確定する。
前2項が規定する部門を合わせて、個人情報保護の職責を履行する部門と総称する。
第六十一条 個人情報保護の職責を履行する部門は、以下に掲げる個人情報保護の職責を履行する。
(一)個人情報保護の宣伝教育を展開し、個人情報処理者による個人情報保護業務を指導、監督する。
(二)個人情報保護に関する苦情の申し立て、通報を受理し、処理する。
(三)アプリケーションプログラム等の個人情報保護情況について測定・評価を実施し、測定・評価の結果を公表する。
(四)違法な個人情報処理活動を調査し、処理する。
(五)法律、行政法規が規定するその他の職責。
第六十二条 国家インターネット情報部門は、関係部門を統括調整して、本法に従い、以下に掲げる個人情報保護業務を推進する。
(一)個人情報保護の具体的なルール、基準を制定する。
(二)小規模な個人情報処理者、センシティブな個人情報の処理及び顔認識、人工知能等の新テクノロジー、新アプリケーションを対象に、専門の個人情報保護ルール、基準を制定する。
(三)安全で便利な電子ID認証技術の研究開発と応用の普及を支援し、オンラインID認証のための公共サービスの構築を促進する。
(四)個人情報保護の社会的サービス体系の構築を推進し、関係機関による個人情報保護の評価、認証サービスの展開を支援する。
(五)個人情報保護に関する苦情申立て、通報業務のメカニズムを完備する。
第六十三条 個人情報保護の職責を履行する部門は、個人情報保護の職責を履行するにあたり、以下に掲げる措置を講じることができる。
(一)関係当事者に対し質問し、個人情報処理活動に関する状況を調査する。
(二)個人情報処理活動と関係する当事者の契約、記録、帳簿及びその他の関係資料を閲覧、 複製する。
(三)現場検査を実施し、違法が疑われる個人情報処理活動について調査を行う。
(四)個人情報処理活動と関係する設備、物品を調査する。違法な個人情報処理活動に用いられている設備、物品であることを証明する証拠があるものについては、当該部門の主要責任者に対して書面で報告したうえで許可を得て、差押え又は押収することができる。
個人情報保護の職責を履行する部門が法に基づき職責を履行する場合、当事者は協力し、従わなければならず、これを拒否又は妨害してはならない。
第六十四条 個人情報保護の職責を履行する部門が職責を履行する中で、個人情報処理活動に比較的大きなリスクが存在すること、又は個人情報安全事件が発生したことを発見した場合は、規定された権限及び手順に従って、当該個人情報処理者の法定代表者又は主要責任者に対して行政指導を行うか、或いは個人情報処理者に対して、専門機構に委託してその個人情報処理活動についてのコンプライアンス監査を依頼するよう要求することができる。個人情報処理者は、要求に基づき措置を講じ、改善を実施し、隠れた危険を取り除かなければならない。
個人情報保護の職責を履行する部門が、職責を履行する中で、個人情報の違法な処理が犯罪を構成する疑いのあることを発見した場合は、速やかに公安機関に移送して、公安機関の法による処理に委ねるものとする。
第六十五条 いかなる組織、個人も、違法な個人情報処理活動について、個人情報保護の職責を履行する部門に対して苦情を申し立て、通報することができる。苦情や通報を受けた部門は、法に基づいて速やかに処理を行うとともに、処理の結果を苦情申立人や通報者に告知しなければならない。
個人情報保護の職責を履行する部門は、苦情や通報を受け付ける連絡先を公表しなければならない。
第七章 法的責任
第六十六条 本法の規定に違反して個人情報を処理した場合、又は個人情報の処理に際して本法に規定する個人情報の保護義務を履行しない場合、個人情報保護の職責を履行する部門は是正を命じ、警告を与え、違法所得を没収し、個人情報を違法に処理するアプリケーションプログラムについては、サービス提供の停止又は終了を命じる。是正を拒む場合は、100万元以下の過料を併科する。直接の責任を負う主管者及びその他直接の責任者は、1万元以上10万元以下の過料に処する。
前項に規定する違法行為が存在し、情状が重い場合、省級以上の個人情報保護の職責を履行する部門は是正を命じ、違法所得を没収し、5000万元以下又は前年度の売上高の100分の5以下の過料に処する。あわせて、関連する業務の一時休止、又は営業停止・整頓を命じ、関係主管部門に通報して関係する業務許可又は営業許可証を取り消すことできる。直接の責任を負う主管者及びその他の直接の責任者は10万元以上100万元以下の過料に処するとともに、一定の期間、その者が関連する企業の董事、監事、高級管理職員及び個人情報保護責任者に就任することを禁止することができる
第六十七条 本法に規定する違法行為があった場合、関連する法律、行政法規の規定に基づき信用記録書類に記入し、公示する。
第六十八条 国家機関が本法に規定する個人情報保護義務を履行しない場合、その上級機関又は個人情報保護の職責を履行する部門は是正を命じる。直接の責任を負う主管者及びその他の直接の責任者に対して法により処分を与える。
個人情報保護の職責を履行する部門の職員が職務を怠り、職権を濫用し、個人の利益のために不正行為を行い、犯罪を構成しない場合は、法により処分を与える。
第六十九条 個人情報の処理により個人情報の権益が侵害された場合で、個人情報処理者が自らに過失がないことを証明できない場合は、損害賠償等の権利侵害責任を負わなければならない。
前項に規定する損害賠償責任は、個人がこれにより被った損失に基づき、又は個人情報処理者がこれにより得た利益に基づき確定される。個人がこれにより被った損失と個人情報処理者がこれにより得た利益を確定することが難しい場合は、実際の状況に基づき賠償額を確定する。
第七十条 個人情報処理者が本法の規定に違反して個人情報を処理し、多くの個人の権益を侵害した場合、人民検察院、法律が規定する消費者組織及び国家インターネット情報部門が確定した組織は、法に基づき人民法院に訴訟を提起することができる。
第七十一条 本法の規定に違反し、治安管理違反行為を構成する場合は、法に基づき治安管理処罰を行う。犯罪を構成する場合は、法により刑事責任を追究する。
第八章 附則
第七十二条 自然人が個人又は家庭の事務のために個人情報を処理する場合は、本法を適用しない。
各級人民政府及びその関連組織が組織・実施する統計、人事記録管理の活動における個人情報の処理について、法律に規定が存在する場合は、その規定を適用する。
第七十三条 以下に掲げる本法の用語の意味は、次のとおりとする。
(一)個人情報処理者とは、個人情報の処理活動において、処理目的、処理方法を自ら決定する組織、個人をいう。
(二)自動的な決定とは、コンピュータプログラムを通じて自動的に個人の行為習慣、興味、嗜好又は経済、健康、信用状態等を自動的に分析、評価したうえで決定する活動をいう。
(三)非識別化とは、個人情報の処理を経て、その他追加の情報の助けを得ない限り、特定の自然人を特定できなくさせる過程をいう。
(四)匿名化とは、処理を経て、個人情報が特定の自然人を識別できず、かつ復元できなくなる過程をいう。
第七十四条 本法は2021年11月1日より施行する。
日本語訳:大江橋法律事務所よりご提供いただきました。
2021.9.2
