中華人民共和国の個人情報保護法
(30年20月2021日の第XNUMX回全国人民代表大会常任委員会第XNUMX回大会で採択)
第Ⅰ章
第1条この法律は、個人情報の権利と利益を保護し、個人情報処理活動を規制し、個人情報の合理的な使用を促進することを目的として、憲法に従って制定されています。
第2条自然人の個人情報は、法令により保護するものとします。 組織または個人は、個人情報に対する自然人の権利および利益を侵害することはできません。
第3条この法律は、中華人民共和国の領土内の自然人の個人情報の処理に適用されるものとします。
この法律は、以下のいずれかの状況において、中華人民共和国の領土内の自然人の個人情報の中華人民共和国の領土外での処理にも適用されるものとします。
(1)中華人民共和国内の自然人に製品またはサービスを提供する目的で。
(2)中華人民共和国の領土内の自然人の行動を分析または評価する。 と
(3)法律または行政規制によって提供されるその他の状況。
第4条「個人情報」とは、電子的またはその他の方法で記録された、特定または特定可能な自然人に関連するさまざまな情報を指しますが、匿名化された情報は含まれません。
個人情報処理には、個人情報の収集、保管、使用、処理、送信、提供、開示、削除などが含まれます。
第5条個人情報は、必要に応じて、正当な理由により、誠意を持って法令に則って処理するものとし、誤解、詐欺、強制等を行うことはできません。
第6条個人情報処理は、明示的かつ合理的な目的に基づき、それらの目的に直接関連し、個人の権利と利益に最小限の影響を与えるものとします。
個人情報の収集は、処理目的に必要な最小限の範囲に限定し、過度に収集することはできません。
第7条個人情報の処理においては、公開性と透明性の原則を遵守し、個人情報の処理規則を開示し、処理の目的、手段、範囲を明示するものとします。
第8条個人情報の質は、不正確かつ不完全な個人情報による個人の権利と利益への悪影響を回避するために、個人情報処理において保証されるものとします。
第9条個人情報処理者は、個人情報の処理に責任を負い、処理する個人情報の安全を確保するために必要な措置を講じるものとします。
第10条組織または個人は、他人の個人情報を違法に収集、使用、処理、または送信したり、他人の個人情報を違法に取引、提供または開示したり、国家の安全または危害を危険にさらす個人情報処理活動に従事したりしてはなりません。公共の利益。
第11条国は、個人情報の権利と利益の侵害を防止および処罰し、個人情報保護に関する宣伝と教育を強化し、政府、企業、関連業界団体にとって好ましい環境を促進するために、個人情報保護システムを確立および改善するものとする。 、および一般の人々が共同で個人情報保護に参加します。
第12条国家は、個人情報保護に関する国際規則の策定に積極的に取り組み、個人情報保護における国際交流と協力を促進し、とりわけ、他の国、地域との個人情報保護規則および基準の相互承認を奨励する。 、および国際機関。
第II章個人情報処理規則
セクション1一般規則
第13条個人情報処理者は、以下のいずれかの場合に限り、個人の個人情報を処理することができます。
(1)個人の同意が得られている。
(2)個人が当事者である契約の締結または履行のために必要であるか、または法令に従って制定された労働規則および規則およびそれに従って署名された集団契約に従った人的資源管理のために必要である。法律で;
(3)法定義務または義務の履行のために処理が必要である。
(4)公衆衛生上の緊急事態への対応、または緊急事態における自然人の生命、健康、および財産の安全の保護のために処理が必要である。
(5)個人情報は、ニュース報道、メディア監督、および公益のために行われるその他の活動のために合理的に処理されます。
(6)個人が開示した個人情報またはその他の法的に開示された個人の個人情報は、本法に基づき合理的に処理されます。 と
(7)法律または行政規則によって提供されるその他の状況。
前項(2)から(7)に定める場合を除き、本法の他の関連規定に定める場合は、個人情報の取り扱いについて個人の同意を得るものとします。
第14条個人情報処理が個人の同意に基づく場合、個人の同意は自主的、明示的、かつ十分な情報に基づいて行われるものとします。 その他の法律または行政規則により、個人情報を処理するために個人の個別の同意または書面による同意を取得する必要があると規定されている場合、そのような規定が適用されるものとします。
個人情報処理の目的や手段、または処理される個人情報の種類が変更になった場合は、個人から新たな同意を得るものとします。
第15条個人の情報処理が個人の同意に基づく場合、個人は同意を取り消す権利を有するものとします。 個人情報処理者は、個人が同意を取り消すための便利な方法を提供するものとします。
同意の撤回は、それが撤回される前に同意に基づいて行われる処理活動の有効性に影響を与えないものとします。
第16条個人情報処理者は、個人情報の処理についての同意を差し控えた、または個人情報の処理についての同意を取り消したという理由で、個人の商品やサービスの提供を拒否してはならない。製品やサービスの提供には個人情報が必要です。
第17条個人情報の処理者は、個人情報を処理する前に、以下の事項について、わかりやすく、わかりやすく、わかりやすく、誠実かつ正確かつ完全に個人に通知しなければならない。
(1)個人情報処理者の氏名および連絡先。
(2)個人情報処理の目的と手段、および処理される個人情報のカテゴリーと保管期間。
(3)個人が本法に規定されている権利を行使するための方法および手順。 と
(4)法令および行政規則の定めるところにより、個人に通知すべきその他の事項。
前項の事項が変更されたときは、個人にその旨を通知します。
個人情報処理者が、個人情報処理規則を作成することにより、最初の段落で指定された事項を個人に通知する場合、処理規則は公開され、参照および保存が容易でなければなりません。
第18条個人情報を処理する場合、個人情報処理者は、法令または行政規則により守秘義務が義務付けられている、または通知の義務がない場合、前条第XNUMX項に定める事項を個人に通知しないことが認められます。
緊急時に自然人の生命、健康、財産の安全を守るために適時に通知することができない場合、個人情報処理者は緊急事態が解消された後、遅滞なく通知するものとします。
第19条法律及び行政規則に別段の定めがある場合を除き、個人情報の保管期間は、処理の目的を達成するために必要な最短時間とする。
第20条XNUMX人以上の個人情報処理者が共同で特定の個人情報を処理する目的と手段を決定する場合、それらは個人情報を処理する際のそれぞれの権利と義務について合意に達するものとします。 ただし、本契約は、本法に定める権利の行使を求める個人の請求に影響を与えるものではありません。
特定の個人情報を共同で処理する際に、処理者が個人情報の権利と利益を侵害し、損害を与える場合、他の個人情報処理者は、法律に従って連帯責任を負うものとします。
第21条特定の個人情報の処理を当事者に委託する個人情報処理者は、処理の目的、期間および手段、処理する個人情報の種類および保護措置、ならびに保護措置について、委託当事者と合意に達するものとします。両当事者の権利と義務、とりわけ、委託された当事者の個人情報処理活動を監督するものとします。
委託当事者は、合意に従って個人情報を処理するものとし、合意された目的、手段、その他の条件を超えて個人情報を処理することはできません。 委託契約が発効していない、無効である、失効または終了した場合、委託当事者は、当該個人情報を個人情報処理者に返却または削除し、個人情報を保持しないものとします。
個人情報処理者の同意がない限り、委託当事者は、個人情報の処理を他の当事者に委託することはできません。
第22条合併、分割、解散、破産等の理由により、個人情報の処理者が個人情報を転送する必要がある場合、処理者は、転送された個人情報の受領者の氏名及び連絡先を個人に通知しなければならない。 受領者は、当該個人情報処理者の義務を引き続き履行するものとします。 受領者による本来の目的または処理手段の変更は、この法律に従って個別の同意に従うものとします。
第23条他の処理者に個人情報を提供するために、個人情報処理者は、受取人の氏名および連絡先情報、処理の目的および手段、処理する個人情報の種類を個人に通知し、個人の個別の情報を取得するものとします。同意。 受領者は、上記の個人情報の目的、手段、およびカテゴリーの範囲内で個人情報を処理するものとします。 受領者による処理の目的または手段の変更は、この法律に従って個別の同意に従うものとします。
第24条自動意思決定のために個人情報を利用する個人情報処理者は、意思決定の透明性と結果の公平性および公平性を確保し、取引価格等の取引条件において個人に不当な差別的扱いをしてはならない。
自動化された意思決定に基づく個人への情報プッシュおよび商業マーケティングは、同時に、個人の特性に固有ではないオプション、または個人が拒否するための便利な手段を伴うものとします。
個人の権利と利益に重大な影響を与える可能性のある決定が自動化された意思決定によって行われる場合、個人は、個人情報処理者に説明を要求する権利と、自動化された方法によってのみ決定を行うことを処理者に拒否する権利を有するものとします。意思決定。
第25条個人情報処理者は、個人から別途同意を得た場合を除き、処理する個人情報を開示してはならない。
第26条公共の場所における画像収集および個人識別装置は、公共の安全を維持する目的で必要な場合にのみ設置し、州の関連規定および目立つ注意を喚起して設置するものとする。 収集された個人の画像および識別情報は、公安を維持する目的でのみ使用でき、個人の個別の同意が得られない限り、他の目的に使用することはできません。
第27条個人情報処理者は、個人が明示的に拒否する場合を除き、個人が開示した個人情報またはその他の法的に開示された個人情報を合理的に処理することができます。 開示された個人情報の処理が個人の権利と利益に重大な影響を与える可能性がある場合、個人情報処理者はまず本法の規定に従い個人の同意を得るものとします。
セクション2機密性の高い個人情報の処理に関する規則
第28条「機密性の高い個人情報」とは、漏洩または違法に使用された場合、自然人の尊厳を侵害したり、個人の安全や財産を危険にさらしたりする可能性のある個人情報です。身元、健康状態、財務会計、本人の所在、および14歳未満の未成年者の個人情報。
個人情報処理者は、厳重な保護措置を講じる場合において、特定の目的があり、必要な場合に限り、機密性の高い個人情報を処理することができます。
第29条機密性の高い個人情報の取り扱いについては、個人の同意を得るものとします。 他の法律または行政規則により、機密性の高い個人情報の処理について書面による同意を得ることが規定されている場合、そのような規定が優先するものとします。
第30条本法第17条第XNUMX項に定める事項に加えて、機密性の高い個人情報を処理する処理者は、個人の機密性の高い個人情報を処理する必要性と、それが個人の権利と利益に与える影響を個人に通知しなければならない。この法律の規定に従ってそのような通知が必要とされない場合。
第31条14歳未満の未成年者の個人情報を処理するために、個人情報処理者は、未成年者の親またはその他の保護者の同意を得るものとします。
14歳未満の未成年者の個人情報を処理する個人情報処理者は、そのような個人情報を処理するための特別な規則を作成するものとします。
第32条他の法律または行政規則が、機密性の高い個人情報の処理のために関連する行政許可を取得すること、またはその他の制限を課すことを規定している場合、そのような規定が優先するものとします。
セクション3国家機関による個人情報の処理に関する特別規定
第33条この法律は、国の機関による個人情報の処理に適用されるものとします。 このセクションに特別な規定がある場合、このセクションの規定が優先するものとします。
第34条国の機関が法定の職務を遂行するために個人情報を処理するときは、法及び行政規則に定める権限及び手続に従い、法定の職務を遂行するために必要な範囲及び制限を超えないものとする。
第35条国の機関が法定の職務を遂行するために個人情報を処理するときは、本法第18条第XNUMX項に定める場合を除き、本法の規定に従って通知義務を履行するものとする。州の機関が法定義務を遂行するのを妨げるでしょう。
第36条国の機関によって処理される個人情報は、中華人民共和国の領土内に保管されるものとします。 中華人民共和国の領土外の当事者にそのような情報を提供することが本当に必要な場合は、セキュリティ評価を実施するものとします。 セキュリティ評価では、必要に応じて、関連する部門がサポートと支援を提供するものとします。
第37条公務を管理する機能を有する法律または規則によって認可された組織がその法定義務を遂行するために個人情報を処理する場合、国の機関による個人情報の処理に関する本書の規定が適用されるものとする。
第III章国境を越えた個人情報の提供に関する規則
第38条業務上またはその他の理由により、中華人民共和国の領土外の当事者に個人情報を提供する必要のある個人情報処理者は、以下のいずれかの要件を満たさなければならない。
(1)この法律の第40条に従って、国家サイバースペース部門によって組織されたセキュリティ評価に合格する。
(2)国家サイバースペース部門が発行した規定に従い、関連する専門機関から個人情報保護認証を取得する。
(3)国内サイバースペース部門が策定した標準契約に従い、海外の受領者との両当事者の権利と義務を規定する契約を締結する。 と
(4)法律および行政規則、ならびに国家サイバースペース部門によって定められたその他の条件を満たす。
中華人民共和国が、中華人民共和国の領土外の当事者に個人情報を提供するための条件を規定するために締結または加入した国際条約または協定の場合、そのような規定に従うことができます。
個人情報処理者は、海外の受取人の個人情報処理活動が本法に定める個人情報保護基準を確実に満たすために必要な措置を講じるものとします。
第39条個人情報処理者が中華人民共和国の領土外の当事者に個人情報を提供する場合、処理者は、海外の受取人の名前と連絡先情報、処理の目的と手段、個人情報のカテゴリを個人に通知するものとします。処理されるもの、および本法に定める海外の受領者等に対する権利を行使するための方法及び手続きは、個人の同意を得たものとします。
第40条国家サイバースペース部門が定める量まで個人情報を処理する重要な情報インフラ運営者および個人情報処理者は、中華人民共和国の領土内で収集および生成された個人情報を国内に保管しなければならない。 中華人民共和国の領土外の当事者に情報を提供することが本当に必要な場合、その問題は、国家サイバースペース部門によって組織されたセキュリティ評価の対象となるものとします。 法律、行政規則、または国家サイバースペース部門によって発行された規定がセキュリティ評価を必要としないと規定している場合、そのような規定が優先するものとします。
第41条中華人民共和国の管轄当局は、関連する法律および中華人民共和国によって締結または加入された国際条約および協定に従って、中国国内に保管されている個人情報に対する外国の司法当局または法執行当局の要求を処理するものとします。平等と互恵の原則の下で。 中華人民共和国の管轄当局の承認なしに、いかなる組織または個人も、外国の司法当局または法執行当局に中華人民共和国の領土に保存されているデータを提供してはなりません。
第42条海外の組織または個人が個人情報に関する中華人民共和国の市民の権利および利益を侵害する、または中華人民共和国の国家安全保障または公共の利益を危険にさらす個人情報処理活動に従事する場合、国家サイバースペース部門は、個人情報の制限または禁止された受信者のリストにそれらを含め、リストを公表し、そのような組織および個人への個人情報の提供を制限または禁止するなどの措置を講じることができます。
第43条いずれかの国または地域が、個人情報の保護に関して中華人民共和国に対して禁止的、制限的またはその他の同様の差別的措置を講じる場合、中華人民共和国は、実際の状況に基づいて、上記の国または地域に対して対抗措置を講じることができます。
第IV章個人情報処理活動における個人の権利
第44条個人は、法律または行政規則により別段の定めがある場合を除き、通知を受ける権利、個人情報の処理について決定を下す権利、および他者による個人情報の処理を制限または拒否する権利を有するものとします。
第45条個人は、本法第18条第35項及び第XNUMX条に定める場合を除き、個人情報処理者から個人情報を閲覧および複製する権利を有するものとします。
個人が個人情報の閲覧または複製を要求する場合、要求された個人情報処理者はそのような情報を適時に提供するものとします。
個人が個人情報を転送するための国家サイバースペース部門の要件を満たす指定された個人情報処理装置への個人情報の転送を要求する場合、要求された個人情報処理装置は転送のための手段を提供するものとします。
第46条個人が個人情報が不正確または不完全であることに気付いた場合、個人情報処理者に関連情報の訂正または補足を求める権利を有するものとします。
個人が個人情報の訂正または補足を請求する場合、個人情報処理者は、当該情報を確認し、適時に訂正または補足を行うものとします。
第47条次のいずれかの場合において、個人情報処理者は、個人情報の消去を主導し、個人情報処理者が情報の消去に失敗した場合、個人情報の削除を請求する権利を有します。
(1)処理の目的が達成されたか、達成できないか、またはそのような情報が処理の目的を達成するためにもはや必要ではない。
(2)個人情報処理者が製品またはサービスの提供を停止した場合、または保管期間が満了した場合。
(3)個人が同意を撤回する。
(4)個人情報処理者は、法令、行政規則、協定に違反して個人情報を処理します。 また
(5)法律および行政規則によって提供されるその他の状況。
法令等の保管期間が満了していない場合、または技術的に個人情報を消去することが困難な場合、個人情報処理者は、個人情報の保管および必要なセキュリティ保護措置を講じる以外の方法で個人情報の処理を停止するものとします。
第48条個人は、個人情報処理者が作成した個人情報処理規則の解釈を求める権利を有します。
第49条死亡した自然人の近親者は、本章に規定されているように、本章に規定されているように、自らの法的および正当な利益のために、死亡者の個人情報を取り扱う権利を行使することができる。死ぬ前に故人によって別の方法で手配されたように。
第50条個人情報処理者は、個人の権利行使の請求を受理し、処理するための仕組みを確立しなければならない。 個人の請求が拒否された場合は、その理由を記載するものとします。
個人の権利行使の要求が個人情報処理者によって拒否された場合、その個人は、法律に従って人民法院に訴訟を起こすことができます。
第V章個人情報処理者の義務
第51条個人情報処理者は、処理の目的と手段、処理する個人情報の種類、個人の権利への影響、とりわけ、利益、および潜在的なセキュリティリスク、および個人情報への不正アクセス、および個人情報の侵害、改ざん、または損失を防止するものとします。
(1)内部管理システムと運用手順を策定する。
(2)個人情報の分類された管理を実施する。
(3)暗号化や匿名化などの対応するセキュリティ技術的手段を採用する。
(4)個人情報処理の運用権限を合理的に決定し、実務家向けの安全教育および訓練を定期的に実施する。
(5)個人情報セキュリティ緊急事態のための偶発的計画を策定し、そのような計画の実施を組織化する。 と
(6)法令および行政規則により定められたその他の措置。
第52条国のサイバースペース部門が定める量まで個人情報を処理する個人情報処理者は、個人情報保護の責任者を指名し、処理者の個人情報処理活動およびそれにより講じられる保護措置を監督するものとする。 、とりわけ。
個人情報処理者は、個人情報保護担当者の連絡先情報を開示し、当該個人情報保護業務を行う部門に当該個人の氏名、連絡先情報等を提出するものとします。
第53条本法第3条第XNUMX項に規定する中華人民共和国の領土外の個人情報処理者は、個人情報の取り扱いに責任を負う専門機関を設置するか、中華人民共和国の領土内の代表者を指名するものとする。保護関連事項については、個人情報保護業務を行う部署に、代理店および代表者の氏名、連絡先、その他の情報を提出するものとします。
第54条個人情報処理者は、法令及び行政規則に基づく個人情報処理活動の遵守監査を定期的に実施しなければならない。
第55条次のいずれかの場合、個人情報処理者は、個人情報保護への影響を事前に評価し、処理の過程を記録しなければならない。
(1)機密性の高い個人情報の処理。
(2)自動化された意思決定を行うために個人情報を使用する。
(3)個人情報処理を他者に委託すること、他者に個人情報を提供すること、または個人情報を公表すること。
(4)中華人民共和国の領土外の当事者に個人情報を提供すること。 また
(5)個人に重大な影響を与える可能性のあるその他の個人情報処理活動を実施すること。
第56条個人情報保護への影響の評価には、以下の内容を含めるものとします。
(1)個人情報処理の目的および手段が合法であり、正当化され、必要であるかどうか。
(2)個人の権利と利益への影響、およびセキュリティリスク。 と
(3)講じられた保護措置が合法であり、効果的であり、リスクの程度に適合しているかどうか。
個人情報保護への影響評価の報告と処理記録は、少なくともXNUMX年間保持するものとします。
第57条個人情報の侵害、改ざん、または紛失が発生した場合、または発生する可能性がある場合、個人情報処理者は、直ちに是正措置を講じ、個人情報保護業務を行う部門および関係者に通知するものとします。 通知には、以下の項目を含めるものとします。
(1)侵害された、改ざんされた、または失われた個人情報のカテゴリー、および侵害、改ざん、および損失の理由と考えられる危害。
(2)個人情報処理者が採用した是正措置、および危害を軽減するために個人が講じることができる措置。 と
(3)個人情報処理者の連絡先情報。
個人情報処理者が講じた措置により、個人情報の侵害、改ざん、または紛失による危害を効果的に回避できる場合、個人情報処理者は個人に通知する必要はありません。 個人情報保護業務を行う部門が危害を及ぼす可能性があると判断した場合、個人情報処理者に個人情報の通知を依頼する権限があります。
第58条膨大な数の利用者および複雑な業種の重要なインターネットプラットフォームサービスを提供する個人情報処理者は、以下の義務を負わなければならない。
(1)国の規定に従って個人情報保護コンプライアンスシステムを確立および改善し、個人情報の保護を監督するために主に外部メンバーで構成される独立した組織を設立する。
(2)オープン性、公平性、正義の原則に従い、プラットフォームのルールを策定し、プラットフォーム内の製品またはサービスプロバイダーが個人情報を処理する際に満たすべき規範と義務を明確にします。
(3)法律および行政規制に重大な違反をした場合に、個人情報を処理するプラットフォーム内の製品またはサービスプロバイダーへのサービスの提供を停止する。 と
(4)公的監督のための個人情報保護に関する社会的責任報告書を定期的に発行する。
第59条個人情報の処理を委託された当事者は、本法及び関連法及び行政規則に従い、処理を委託された個人情報の安全を確保するために必要な措置を講じ、委託された個人情報処理者の履行を支援するものとします。この法律によって提供される義務。
第VI章個人情報保護業務を行う部門
第60条国家サイバースペース部門は、個人情報保護および関連する監督と管理の全体的な計画と調整に責任を負うものとします。 州議会の関連部門は、この法律およびその他の関連法および行政規則に従って、それぞれの職務の範囲内で個人情報の保護および関連する監督と管理に責任を負うものとします。
郡レベル以上の地方自治体の関連部門の個人情報保護および関連する監督と管理の義務は、州の関連規定に従って決定されるものとします。
前XNUMX項の部署を総称して個人情報保護業務を行う部署といいます。
第61条個人情報保護業務を行う部門は、以下の個人情報保護業務を行うものとします。
(1)個人情報保護に関する広報および教育を実施し、個人情報の保護において個人情報処理者を指導および監督する。
(2)個人情報保護に関連する苦情および報告の受領および処理。
(3)個人情報保護の観点から、申請等の評価を整理し、その結果を公表する。
(4)違法な個人情報処理活動の調査および取り扱い。 と
(5)法令および行政規則により定められたその他の義務。
第62条国家サイバースペース部門は、この法律に従って以下の努力を通じて個人情報保護を促進するために関連部門を調整するものとする。
(1)個人情報保護のための特定の規則および基準を策定する。
(2)小型の個人情報処理装置、機密性の高い個人情報の処理、および顔認識や人工知能などの新しいテクノロジーとアプリケーションのための特別な個人情報保護規則と標準を開発する。
(3)研究開発を支援し、安全で便利な電子ID認証技術の適用を促進し、ネットワークID認証のための公共サービスを推進する。
(4)様々な社会的セクターの参加を得て個人情報保護サービスシステムの開発を促進し、個人情報保護の評価および認証サービスを提供する際に関連機関を支援する。 と
(5)個人情報保護に関連する苦情および報告メカニズムの改善。
第63条関連する職務を遂行する際に個人情報保護の職務を行う部門は、以下の措置を講じることができます。
(1)関係者に質問し、個人情報処理活動に関連する状況を調査する。
(2)当事者の契約、記録、帳簿、および個人情報処理活動に関連するその他の関連資料を参照および複製すること。
(3)立入検査を実施し、違法と思われる個人情報処理活動を調査する。 と
(4)個人情報処理活動に関連する機器および物品の検査。 個人情報保護業務を担当する主たる担当者に書面による報告を提出し、承認を得た後、証拠により証明された違法な個人情報処理活動に関連する機器および物品を封印または押収すること。
個人情報保護業務を行う部門が法令に基づき業務を遂行する場合、関係者は協力・支援を行い、拒否したり妨害したりしてはなりません。
第64条個人情報保護業務を行う部門が、その職務を遂行するにあたり、個人情報処理活動または個人情報セキュリティ事件の発生において比較的高いリスクを認めた場合、その部門は、法定代理人または主たる担当者との面談を行うことがあります。提供された権限および手順に従って個人情報処理者の情報を提供するか、または専門機関に個人情報処理活動のコンプライアンス監査を委託するよう依頼する。 個人情報処理者は、必要に応じて是正措置を講じ、潜在的なリスクを排除するものとします。
個人情報保護業務を行う部門が、その職務を遂行する上で、犯罪を伴う可能性のある違法な個人情報処理活動を発見した場合、法律に従い、適時に公安機関に事件を転送するものとします。
第65条いかなる組織または個人も、違法な個人情報処理について、個人情報保護の義務を負っている部門に苦情を申し立て、報告する権利を有します。 そのような苦情または報告を受けた部門は、法律に従って適時にそれを処理し、結果を申立人または情報提供者に通知するものとします。
個人情報保護業務を行う部門は、苦情や報告を受けるための連絡先情報を公開するものとします。
第XNUMX章法的責任
第66条個人情報が本法の規定に違反して、または本法に定める個人情報保護義務を履行せずに処理された場合、個人情報保護義務を負う部門は、違反者に訂正、警告、違法な没収を命じるものとする。個人情報を違法に処理するアプリケーションによるサービスの提供の停止または終了を取得し、命令する。 違反者が訂正を拒否した場合、10,000万元以下の罰金が科せられます。 また、直接責任者およびその他の直接責任者は、それぞれ100,000元以上XNUMX元以下の罰金を科されるものとします。
前項の違法行為があり、事情が深刻な場合は、州レベル以上の個人情報保護義務を有する部門は、違反者に訂正、違法利益の没収、罰金以下の罰金を科すよう命じる。 50万元以上、または前年の売上高の100,000%以下。 また、関連する事業の停止を命じたり、オーバーホールのためにすべての事業活動の停止を命じたり、管轄当局に関連する事業許可または免許を取り消すように通知したりする場合があります。 直接責任者およびその他の直接責任者のそれぞれに1万元以上XNUMX万元以下の罰金を科し、上記の者が取締役、監督者、上級者を務めることを禁止することを決定することができる。管理者、または特定の期間内の関連会社の責任者。
第67条この法律の規定に違反した場合は、関連する信用記録に記入し、関連する法律および行政規則の規定に従って公表するものとする。
第68条いずれかの州の機関が本法に定める個人情報保護義務を履行しない場合、上位機関または個人情報保護義務のある部門は、訂正を命じ、直接責任者を懲戒し、法律に従って他の直接責任者。
個人情報保護業務を行う部署の職員が、職務を怠ったり、権力を乱用したり、犯罪とはならない好意を持ったりした場合は、法令に基づく制裁の対象となります。
第69条個人情報処理者が、個人情報処理活動により個人情報の権利及び利益を侵害し、過失がないことを証明できない場合は、損害賠償責任及びその他の不法行為責任を負うものとします。
前項に規定する損害賠償責任は、それにより生じた個人の損失および侵害した個人情報処理者が獲得した利益に基づいて決定されるものとします。 また、上記の損失または利益を判断することが困難な場合は、実際の状況に基づいて損害額を判断するものとします。
第70条個人情報処理者が本法の規定に違反して個人情報を処理し、多くの個人の権利と利益を侵害する場合は、人民検察院、法律で定められた消費者団体、国家サイバー宇宙局で定められた団体が申し立てを行うことができます。法律に従った人民法院との訴訟。
第71条公安行政の違反となる本法の違反は、法に基づく公安行政の罰則の対象となる。 違反が犯罪を構成する場合、違反者は法律に従って刑事責任を問われるものとします。
第XNUMX章補足規定
第72条この法律は、自然人が個人または家事のために個人情報を処理する場合には適用されません。
他の法律が、すべてのレベルの人民政府およびその関連部門によって組織および実施される統計またはアーカイブ管理活動において個人情報処理を提供する場合、そのような法律の規定が優先するものとします。
第73条この法律の目的上、以下の用語は以下の意味を持つものとします。
(1)「個人情報処理者」とは、個人情報処理の目的および手段を自律的に決定する組織または個人を指します。
(2)「自動意思決定」とは、コンピュータプログラムを通じて、個人の行動、趣味、経済、健康、信用状態などを自動的に分析および評価し、意思決定を行う活動を指します。
(3)「匿名化」とは、追加情報のサポートがない場合に特定の自然人を識別できないようにするために個人情報を処理することを指します。
(4)「匿名化」とは、個人情報を処理して特定の自然人を特定できず、復元できないようにするプロセスを指します。
第74条この法律は、1年2021月XNUMX日から施行される。