中国個人情報保護法の仮訳

中国の個人情報保護法（中华人民共和国个人信息保护法）の仮訳を作成しましたので、公開します。Claudeでドラフトした上で、注意を要すると思われる概念を中心にレビューしたものです。条見出しは原文にはない参考情報です。

 

• 第1章 総則
  • 第1条【本法の目的】
  • 第2条【個人情報の法的保護】
  • 第3条【適用範囲】
  • 第4条【個人情報の定義】
  • 第5条【合法性、正当性、必要性及び誠実性原則】
  • 第6条【目的の明確性及び最小化原則】
  • 第7条【公開性及び透明性原則】
  • 第8条【正確性原則】
  • 第9条【責任原則及び安全性原則】
  • 第10条【違法な個人情報処理の禁止】
  • 第11条【個人情報保護制度の構築】
  • 第12条【国際協力】
• 第2章 個人情報処理規則
  • 第1節 一般規定
    • 第13条【処理の法的根拠】
    • 第14条【同意の要件】
    • 第15条【同意の撤回】
    • 第16条【同意の強要の禁止】
    • 第17条【告知義務】
    • 第18条【告知義務の例外】
    • 第19条【保存期限の制限】
    • 第20条【共同処理者】
    • 第21条【委託処理】
    • 第22条【合併等に伴う個人情報の移転】
    • 第23条【第三者提供】
    • 第24条【自動化意思決定】
    • 第25条【個人情報の公開】
    • 第26条【公共空間における画像収集等】
    • 第27条【公開された個人情報の処理】
  • 第2節 敏感個人情報の処理規則
    • 第28条【敏感個人情報の定義】
    • 第29条【敏感個人情報処理の同意】
    • 第30条【敏感個人情報の告知義務】
    • 第31条【未成年者の個人情報】
    • 第32条【敏感個人情報処理の行政許可等】
  • 第3節 国家機関による個人情報処理に関する特別規定
    • 第33条【国家機関への適用】
    • 第34条【国家機関による処理の制限】
    • 第35条【国家機関の告知義務】
    • 第36条【国家機関による処理の国内保存】
    • 第37条【授権組織への適用】
• 第3章 個人情報の越境提供に関する規則
  • 第38条【越境提供の条件】
  • 第39条【越境提供の告知及び同意】
  • 第40条【重要情報インフラ運営者等による国内保存】
  • 第41条【外国司法・法執行機関からの要求】
  • 第42条【外国組織等に対する制限】
  • 第43条【対抗措置】
• 第4章 個人情報処理活動における個人の権利
  • 第44条【知る権利及び決定権】
  • 第45条【閲覧・複製権】
  • 第46条【訂正・補充権】
  • 第47条【削除権】
  • 第48条【説明を求める権利】
  • 第49条【死者の個人情報】
  • 第50条【権利行使の受付処理機構】
• 第5章 個人情報処理者の義務
  • 第51条【安全確保措置】
  • 第52条【個人情報保護責任者】
  • 第53条【国外処理者の国内における機構又は代表】
  • 第54条【適法性監査】
  • 第55条【影響評価】
  • 第56条【影響評価の内容】
  • 第57条【個人情報漏洩等の通知】
  • 第58条【重要プラットフォーム運営者の義務】
  • 第59条【受託者の義務】
• 第6章 個人情報保護職責を履行する部門
  • 第60条【職責分担】
  • 第61条【具体的職責】
  • 第62条【規則・基準の制定等】
  • 第63条【監督権限】
  • 第64条【面談及び監査要求】
  • 第65条【苦情・通報】
• 第7章 法的責任
  • 第66条【行政処罰】
  • 第67条【信用記録】
  • 第68条【国家機関及び職員の責任】
  • 第69条【損害賠償責任】
  • 第70条【公益訴訟】
  • 第71条【刑事責任等】
• 第8章 附則
  • 第72条【適用除外】
  • 第73条【用語の定義】
  • 第74条【施行期日】

 

第1章 総則

第1条【本法の目的】

個人情報に係る権益を保護し、個人情報処理活動を規範化し、個人情報の合理的利用を促進するため、憲法に基づき、本法を制定する。

第2条【個人情報の法的保護】

自然人の個人情報は法律の保護を受ける。いかなる組織及び個人も、自然人の個人情報に係る権益を侵害してはならない。

第3条【適用範囲】

中華人民共和国国内において自然人の個人情報を処理する活動には、本法を適用する。

中華人民共和国国外において中華人民共和国国内の自然人の個人情報を処理する活動について、次の各号のいずれかに該当する場合には、本法も適用する。

(1) 国内の自然人に製品又は役務を提供することを目的とする場合

(2) 国内の自然人の行動を分析し、又は評価する場合

(3) 法律、行政法規が規定するその他の場合

第4条【個人情報の定義】

個人情報とは、電子的又はその他の方式により記録された、識別された又は識別可能な自然人に関するあらゆる情報をいい、匿名化処理後の情報は含まない。

個人情報の処理には、個人情報の収集、保存、使用、加工、伝送、提供、公開、削除等が含まれる。

第5条【合法性、正当性、必要性及び誠実性原則】

個人情報を処理するときは、合法、正当、必要及び誠実の原則を遵守しなければならず、誤導、詐欺、脅迫等の方式により個人情報を処理してはならない。

第6条【目的の明確性及び最小化原則】

個人情報を処理するときは、明確かつ合理的な目的を有しなければならず、また処理目的と直接関連するものでなければならず、個人の権益に対する影響が最も小さい方式を採用しなければならない。

個人情報を収集するときは、処理目的を実現するために必要な最小範囲に限定しなければならず、個人情報を過度に収集してはならない。

第7条【公開性及び透明性原則】

個人情報を処理するときは、公開、透明の原則を遵守し、個人情報処理規則を公開し、処理の目的、方式及び範囲を明示しなければならない。

第8条【正確性原則】

個人情報を処理するときは、個人情報の質を保証し、個人情報が不正確又は不完全であることにより個人の権益に不利な影響を及ぼすことを回避しなければならない。

第9条【責任原則及び安全性原則】

個人情報処理者は、その個人情報処理活動について責任を負わなければならず、かつ処理する個人情報の安全を確保するために必要な措置を講じなければならない。

第10条【違法な個人情報処理の禁止】

いかなる組織及び個人も、他人の個人情報を違法に収集、使用、加工、伝送してはならず、他人の個人情報を違法に売買、提供又は公開してはならない。国家の安全、公共の利益を害する個人情報処理活動に従事してはならない。

第11条【個人情報保護制度の構築】

国は個人情報保護制度を構築し健全化し、個人情報に係る権益を侵害する行為を予防し処罰し、個人情報保護の宣伝教育を強化し、政府、企業、関係社会組織、公衆が共同で個人情報保護に参加する良好な環境の形成を推進する。

第12条【国際協力】

国は個人情報保護に係る国際規則の制定に積極的に参加し、個人情報保護の分野における国際交流及び協力を促進し、その他の国、地域、国際組織との間の個人情報保護規則、基準等の相互承認を推進する。

第2章 個人情報処理規則

第1節 一般規定

第13条【処理の法的根拠】

次の各号のいずれかに該当する場合、個人情報処理者は個人情報を処理することができる。

(1) 個人の同意を取得した場合

(2) 個人が一方の当事者である契約を締結し、又は履行するために必要である場合、又は法により制定された労働規則及び法により締結された労働協約に基づき人的資源管理を実施するために必要である場合

(3) 法定職責又は法定義務を履行するために必要である場合

(4) 突発的な公衆衛生事件に対応するため、又は緊急状況において自然人の生命健康及び財産の安全を保護するために必要である場合

(5) 公共の利益のために報道、世論監督等の行為を実施するために、合理的な範囲内において個人情報を処理する場合

(6) 本法の規定に基づき合理的な範囲内において個人が自ら公開した又はその他既に合法的に公開された個人情報を処理する場合

(7) 法律、行政法規が規定するその他の場合

本法のその他の関係規定により、個人情報を処理するには個人の同意を取得しなければならないが、前項第2号から第7号までに規定する場合に該当するときは、個人の同意を取得する必要はない。

第14条【同意の要件】

個人の同意に基づき個人情報を処理する場合、当該同意は個人が十分に情報を知らされた前提において自発的かつ明確になされなければならない。法律、行政法規が個人情報を処理するには個人の単独同意又は書面による同意を取得しなければならないと規定する場合、その規定に従う。

個人情報の処理目的、処理方式及び処理する個人情報の種類が変更された場合、改めて個人の同意を取得しなければならない。

第15条【同意の撤回】

個人の同意に基づき個人情報を処理する場合、個人はその同意を撤回する権利を有する。個人情報処理者は、簡便な同意撤回の方式を提供しなければならない。

個人が同意を撤回しても、撤回前に個人の同意に基づき既に行われた個人情報処理活動の効力には影響しない。

第16条【同意の強要の禁止】

個人情報処理者は、個人がその個人情報の処理に同意しないこと又は同意を撤回することを理由として、製品又は役務の提供を拒絶してはならない。ただし、個人情報の処理が製品又は役務の提供に必要である場合を除く。

第17条【告知義務】

個人情報処理者は、個人情報を処理する前に、顕著な方式をもって、明瞭かつ理解しやすい言葉により真実、正確、完全に個人に次の各号の事項を告知しなければならない。

(1) 個人情報処理者の名称又は氏名及び連絡方式

(2) 個人情報の処理目的、処理方式、処理する個人情報の種類、保存期限

(3) 個人が本法に規定する権利を行使する方式及び手続

(4) 法律、行政法規が告知すべきと規定するその他の事項

前項に規定する事項が変更された場合、変更部分を個人に告知しなければならない。

個人情報処理者が個人情報処理規則を制定する方式により第1項に規定する事項を告知する場合、処理規則は公開され、かつ閲覧及び保存に便利でなければならない。

第18条【告知義務の例外】

個人情報処理者が個人情報を処理する場合において、法律、行政法規が秘密を保持しなければならない又は告知する必要がないと規定する場合、前条第1項に規定する事項を個人に告知しないことができる。

緊急状況において自然人の生命健康及び財産の安全を保護するために個人に適時に告知することができない場合、個人情報処理者は、緊急状況が消滅した後に速やかに告知しなければならない。

第19条【保存期限の制限】

法律、行政法規に別段の規定がある場合を除き、個人情報の保存期限は、処理目的を実現するために必要な最短期間でなければならない。

第20条【共同処理者】

2以上の個人情報処理者が共同で個人情報の処理目的及び処理方式を決定する場合、各自の権利及び義務を約定しなければならない。ただし、当該約定は、個人がそのうちの任意の1の個人情報処理者に対し本法に規定する権利の行使を要求することに影響しない。

個人情報処理者が共同で個人情報を処理し、個人情報に係る権益を侵害して損害を生じさせた場合、法により連帯責任を負わなければならない。

第21条【委託処理】

個人情報処理者が個人情報の処理を委託する場合、受託者と委託処理の目的、期限、処理方式、個人情報の種類、保護措置並びに双方の権利及び義務等を約定し、かつ受託者の個人情報処理活動に対し監督を行わなければならない。

受託者は、約定に基づき個人情報を処理しなければならず、約定の処理目的、処理方式等を超えて個人情報を処理してはならない。委託契約が発効しない、無効である、取り消される又は終了した場合、受託者は個人情報を個人情報処理者に返還し、又は削除しなければならず、保留してはならない。

個人情報処理者の同意を得ずに、受託者は他人に個人情報の処理を再委託してはならない。

第22条【合併等に伴う個人情報の移転】

個人情報処理者が合併、分割、解散、破産宣告等の原因により個人情報を移転する必要がある場合、受領者の名称又は氏名及び連絡方式を個人に告知しなければならない。受領者は、個人情報処理者の義務を継続して履行しなければならない。受領者が従前の処理目的、処理方式を変更する場合、本法の規定に基づき改めて個人の同意を取得しなければならない。

第23条【第三者提供】

個人情報処理者がその処理する個人情報を他の個人情報処理者に提供する場合、受領者の名称又は氏名、連絡方式、処理目的、処理方式及び個人情報の種類を個人に告知し、かつ個人の単独同意を取得しなければならない。受領者は、上述の処理目的、処理方式及び個人情報の種類等の範囲内において個人情報を処理しなければならない。受領者が従前の処理目的、処理方式を変更する場合、本法の規定に基づき改めて個人の同意を取得しなければならない。

第24条【自動化意思決定】

個人情報処理者が個人情報を利用して自動化意思決定を行う場合、意思決定の透明性及び結果の公平、公正を保証しなければならず、取引価格等の取引条件について個人に対し不合理な差別待遇を実施してはならない。

自動化意思決定の方式により個人に対し情報配信、商業広告を行う場合、同時に個人の特徴を対象としない選択肢を提供し、又は個人に簡便な拒絶方式を提供しなければならない。

自動化意思決定の方式により個人の権益に重大な影響を有する決定をなす場合、個人は個人情報処理者に対し説明を求める権利を有し、かつ個人情報処理者が自動化意思決定の方式のみにより決定をなすことを拒絶する権利を有する。

第25条【個人情報の公開】

個人情報処理者は、その処理する個人情報を公開してはならない。ただし、個人の単独同意を取得した場合を除く。

第26条【公共空間における画像収集等】

公共空間に画像収集、個人身元識別設備を設置する場合、公共の安全を維持するために必要でなければならず、国の関係規定を遵守し、かつ顕著な提示標識を設置しなければならない。収集された個人の画像、身元識別情報は、公共の安全を維持する目的にのみ用いることができ、その他の目的に用いてはならない。ただし、個人の単独同意を取得した場合を除く。

第27条【公開された個人情報の処理】

個人情報処理者は、合理的な範囲内において個人が自ら公開した又はその他既に合法的に公開された個人情報を処理することができる。ただし、個人が明確に拒絶する場合を除く。個人情報処理者が既に公開された個人情報を処理する場合において、個人の権益に重大な影響を有するときは、本法の規定に基づき個人の同意を取得しなければならない。

第2節 敏感個人情報の処理規則

第28条【敏感個人情報の定義】

敏感個人情報とは、一度漏洩し、又は違法に使用されると、自然人の人格の尊厳が侵害され、又は人身、財産の安全が危害されることにつながりやすい個人情報をいい、生体識別、宗教信仰、特定身分、医療健康、金融口座、行動軌跡等の情報、及び満14歳未満の未成年者の個人情報を含む。

特定の目的及び十分な必要性を有し、かつ厳格な保護措置を講じた場合においてのみ、個人情報処理者は敏感個人情報を処理することができる。

第29条【敏感個人情報処理の同意】

敏感個人情報を処理する場合、個人の単独同意を取得しなければならない。法律、行政法規が敏感個人情報を処理するには書面による同意を取得しなければならないと規定する場合、その規定に従う。

第30条【敏感個人情報の告知義務】

個人情報処理者が敏感個人情報を処理する場合、本法第17条第1項に規定する事項のほか、さらに個人に敏感個人情報を処理する必要性及び個人の権益に対する影響を告知しなければならない。ただし、本法の規定により個人に告知しないことができる場合を除く。

第31条【未成年者の個人情報】

個人情報処理者が満14歳未満の未成年者の個人情報を処理する場合、未成年者の父母又はその他の保護者の同意を取得しなければならない。

個人情報処理者が満14歳未満の未成年者の個人情報を処理する場合、専門の個人情報処理規則を制定しなければならない。

第32条【敏感個人情報処理の行政許可等】

法律、行政法規が敏感個人情報の処理について関係行政許可を取得しなければならない又はその他の制限をなすべきと規定する場合、その規定に従う。

第3節 国家機関による個人情報処理に関する特別規定

第33条【国家機関への適用】

国家機関が個人情報を処理する活動には、本法を適用する。本節に特別の規定がある場合、本節の規定を適用する。

第34条【国家機関による処理の制限】

国家機関が法定職責を履行するために個人情報を処理する場合、法律、行政法規が規定する権限、手続に基づき行わなければならず、法定職責を履行するために必要な範囲及び限度を超えてはならない。

第35条【国家機関の告知義務】

国家機関が法定職責を履行するために個人情報を処理する場合、本法の規定に基づき告知義務を履行しなければならない。ただし、本法第18条第1項に規定する場合に該当する場合、又は告知が国家機関による法定職責の履行を妨げる場合を除く。

第36条【国家機関による処理の国内保存】

国家機関が処理する個人情報は、中華人民共和国国内に保存されなければならない。国外に提供する必要がある場合、安全評価を行わなければならない。安全評価は、関係部門に支援及び協力の提供を要求することができる。

第37条【授権組織への適用】

法律、法規により授権された公共事務管理機能を有する組織が法定職責を履行するために個人情報を処理する場合、本法の国家機関による個人情報処理に関する規定を適用する。

第3章 個人情報の越境提供に関する規則

第38条【越境提供の条件】

個人情報処理者が業務等の必要により、中華人民共和国国外に個人情報を提供する必要がある場合、次の各号のいずれかの条件を満たさなければならない。

(1) 本法第40条の規定に基づき国家インターネット情報部門が組織する安全評価を通過した場合

(2) 国家インターネット情報部門の規定により専門機構による個人情報保護認証を経た場合

(3) 国家インターネット情報部門が制定する標準契約に基づき国外の受領者と契約を締結し、双方の権利及び義務を約定した場合

(4) 法律、行政法規又は国家インターネット情報部門が規定するその他の条件

中華人民共和国が締結し、又は参加する国際条約、協定が中華人民共和国国外への個人情報提供の条件等について規定を有する場合、その規定に基づき執行することができる。

個人情報処理者は、国外の受領者による個人情報処理活動が本法に規定する個人情報保護基準に達することを確保するために必要な措置を講じなければならない。

第39条【越境提供の告知及び同意】

個人情報処理者が中華人民共和国国外に個人情報を提供する場合、国外の受領者の名称又は氏名、連絡方式、処理目的、処理方式、個人情報の種類並びに個人が国外の受領者に対し本法に規定する権利を行使する方式及び手続等の事項を個人に告知し、かつ個人の単独同意を取得しなければならない。

第40条【重要情報インフラ運営者等による国内保存】

重要情報インフラの運営者及び国家インターネット情報部門が規定する数量に達する個人情報を処理する個人情報処理者は、中華人民共和国国内において収集し、及び発生させた個人情報を国内に保存しなければならない。国外に提供する必要がある場合、国家インターネット情報部門が組織する安全評価を通過しなければならない。法律、行政法規及び国家インターネット情報部門が安全評価を行わないことができると規定する場合、その規定に従う。

第41条【外国司法・法執行機関からの要求】

中華人民共和国の主管機関は、関係法律及び中華人民共和国が締結し、又は参加する国際条約、協定に基づき、又は平等互恵の原則に基づき、外国の司法又は法執行機関による国内に保存される個人情報の提供に関する要求を処理する。中華人民共和国の主管機関の許可を経ずに、個人情報処理者は外国の司法又は法執行機関に対し中華人民共和国国内に保存される個人情報を提供してはならない。

第42条【外国組織等に対する制限】

国外の組織、個人が中華人民共和国の公民の個人情報に係る権益を侵害し、又は中華人民共和国の国家の安全、公共の利益を害する個人情報処理活動に従事する場合、国家インターネット情報部門は、それらを個人情報提供制限又は禁止リストに掲載し、公告するとともに、それらに対し個人情報の提供を制限し、又は禁止する等の措置を講じることができる。

第43条【対抗措置】

いずれかの国又は地域が個人情報保護の面において中華人民共和国に対し差別的な禁止、制限又はその他の類似の措置をとる場合、中華人民共和国は実際の状況に基づき当該国又は地域に対し対等の措置をとることができる。

第4章 個人情報処理活動における個人の権利

第44条【知る権利及び決定権】

個人は、その個人情報の処理について知る権利、決定権を享有し、他人がその個人情報を処理することを制限し、又は拒絶する権利を有する。ただし、法律、行政法規に別段の規定がある場合を除く。

第45条【閲覧・複製権】

個人は、個人情報処理者に対しその個人情報を閲覧し、複製する権利を有する。ただし、本法第18条第1項、第35条に規定する場合に該当する場合を除く。

個人がその個人情報の閲覧、複製を請求する場合、個人情報処理者は速やかに提供しなければならない。

個人が個人情報をその指定する個人情報処理者に移転することを請求する場合において、国家インターネット情報部門が規定する条件に適合するときは、個人情報処理者は移転の経路を提供しなければならない。

第46条【訂正・補充権】

個人は、その個人情報が不正確又は不完全であることを発見した場合、個人情報処理者に対し訂正、補充を請求する権利を有する。

個人がその個人情報の訂正、補充を請求する場合、個人情報処理者はその個人情報について確認を行い、かつ速やかに訂正、補充しなければならない。

第47条【削除権】

次の各号のいずれかに該当する場合、個人情報処理者は主動的に個人情報を削除しなければならない。個人情報処理者が削除しない場合、個人は削除を請求する権利を有する。

(1) 処理目的が既に実現され、実現することができない、又は処理目的を実現するためにもはや必要でない場合

(2) 個人情報処理者が製品又は役務の提供を停止し、又は保存期限が既に満了した場合

(3) 個人が同意を撤回した場合

(4) 個人情報処理者が法律、行政法規に違反し、又は約定に違反して個人情報を処理した場合

(5) 法律、行政法規が規定するその他の場合

法律、行政法規が規定する保存期限が満了していない場合、又は個人情報の削除が技術的に実現困難である場合、個人情報処理者は保存及び必要な安全保護措置を講じる以外の処理を停止しなければならない。

第48条【説明を求める権利】

個人は、個人情報処理者に対しその個人情報処理規則について解釈説明を求める権利を有する。

第49条【死者の個人情報】

自然人が死亡した場合、その近親者は、自身の合法、正当な利益のために、死者の関係個人情報に対し本章に規定する閲覧、複製、訂正、削除等の権利を行使することができる。ただし、死者が生前に別段の配置をなした場合を除く。

第50条【権利行使の受付処理機構】

個人情報処理者は、個人が権利を行使するための簡便な申請受付及び処理機構を構築しなければならない。個人による権利行使の請求を拒絶する場合、理由を説明しなければならない。

個人情報処理者が個人による権利行使の請求を拒絶する場合、個人は法により人民法院に訴訟を提起することができる。

第5章 個人情報処理者の義務

第51条【安全確保措置】

個人情報処理者は、個人情報の処理目的、処理方式、個人情報の種類並びに個人の権益に対する影響、存在しうる安全リスク等に基づき、個人情報処理活動が法律、行政法規の規定に適合することを確保し、かつ権限を付与されていないアクセス及び個人情報の漏洩、改竄、紛失を防止するために次の各号の措置を講じなければならない。

(1) 内部管理制度及び操作手順を制定する

(2) 個人情報に対し分類管理を実施する

(3) 相応の暗号化、仮名化等の安全技術措置を講じる

(4) 個人情報処理の操作権限を合理的に確定し、かつ定期的に従業員に対し安全教育及び訓練を行う

(5) 個人情報安全事件の緊急対応案を制定し、かつ組織して実施する

(6) 法律、行政法規が規定するその他の措置

第52条【個人情報保護責任者】

国家インターネット情報部門が規定する数量に達する個人情報を処理する個人情報処理者は、個人情報保護責任者を指定し、個人情報処理活動及び講じた保護措置等に対する監督を行わせなければならない。

個人情報処理者は、個人情報保護責任者の連絡方式を公開し、かつ個人情報保護責任者の氏名、連絡方式等を個人情報保護職責を履行する部門に報告しなければならない。

第53条【国外処理者の国内における機構又は代表】

本法第3条第2項に規定する中華人民共和国国外の個人情報処理者は、中華人民共和国国内に専門機構を設立し、又は代表を指定して個人情報保護に関係する事務の処理を担当させなければならず、かつ関係機構の名称又は代表の氏名、連絡方式等を個人情報保護職責を履行する部門に報告しなければならない。

第54条【適法性監査】

個人情報処理者は、その個人情報処理が法律、行政法規を遵守する状況について定期的に適法性監査を行わなければならない。

第55条【影響評価】

次の各号のいずれかに該当する場合、個人情報処理者は事前に個人情報保護影響評価を行い、かつ処理状況について記録しなければならない。

(1) 敏感個人情報を処理する場合

(2) 個人情報を利用して自動化意思決定を行う場合

(3) 個人情報の処理を委託し、他の個人情報処理者に個人情報を提供し、個人情報を公開する場合

(4) 国外に個人情報を提供する場合

(5) 個人の権益に重大な影響を有するその他の個人情報処理活動

第56条【影響評価の内容】

個人情報保護影響評価には、次の各号の内容が含まれなければならない。

(1) 個人情報の処理目的、処理方式等が合法、正当、必要であるか否か

(2) 個人の権益に対する影響及び安全リスク

(3) 講じた保護措置が合法、有効であり、かつリスクの程度に相応しているか否か

個人情報保護影響評価報告及び処理状況記録は、少なくとも3年間保存しなければならない。

第57条【個人情報漏洩等の通知】

個人情報の漏洩、改竄、紛失が発生し、又は発生するおそれがある場合、個人情報処理者は直ちに救済措置を講じなければならず、かつ個人情報保護職責を履行する部門及び個人に通知しなければならない。通知には、次の各号の事項が含まれなければならない。

(1) 発生し、又は発生するおそれがある個人情報の漏洩、改竄、紛失の情報種類、原因及び生じさせるおそれがある危害

(2) 個人情報処理者が講じた救済措置及び個人が講じることができる危害を軽減する措置

(3) 個人情報処理者の連絡方式

個人情報処理者が講じた措置が情報の漏洩、改竄、紛失による危害を有効に回避することができる場合、個人情報処理者は個人に通知しないことができる。個人情報保護職責を履行する部門が危害を生じさせるおそれがあると認める場合、個人情報処理者に対し個人に通知することを要求する権限を有する。

第58条【重要プラットフォーム運営者の義務】

重要なインターネットプラットフォーム役務を提供し、使用者数が巨大であり、業務類型が複雑である個人情報処理者は、次の各号の義務を履行しなければならない。

(1) 国の規定に基づき個人情報保護適法性制度体系を構築し健全化し、主として外部構成員からなる独立機構を設立して個人情報保護状況に対する監督を行う

(2) 公開、公平、公正の原則を遵守し、プラットフォーム規則を制定し、プラットフォーム内の製品又は役務提供者による個人情報処理の規範及び個人情報保護の義務を明確にする

(3) 法律、行政法規に重大に違反して個人情報を処理するプラットフォーム内の製品又は役務提供者に対し、役務の提供を停止する

(4) 定期的に個人情報保護社会責任報告を発表し、社会の監督を受ける

第59条【受託者の義務】

個人情報の処理の委託を受ける受託者は、本法及び関係法律、行政法規の規定により、処理する個人情報の安全を確保するために必要な措置を講じなければならず、かつ個人情報処理者が本法に規定する義務を履行することを協力しなければならない。

第6章 個人情報保護職責を履行する部門

第60条【職責分担】

国家インターネット情報部門は、個人情報保護業務及び関係監督管理業務の統一的協調を担当する。国務院の関係部門は、本法及び関係法律、行政法規の規定により、各自の職責範囲内において個人情報保護及び監督管理業務を担当する。

県級以上の地方人民政府の関係部門による個人情報保護及び監督管理職責は、国の関係規定に基づき確定する。

前2項に規定する部門を総称して個人情報保護職責を履行する部門という。

第61条【具体的職責】

個人情報保護職責を履行する部門は、次の各号の個人情報保護職責を履行する。

(1) 個人情報保護の宣伝教育を展開し、個人情報処理者による個人情報保護業務の展開を指導し、監督する

(2) 個人情報保護に関係する苦情、通報を受理し、処理する

(3) 応用プログラム等の個人情報保護状況に対する測定評価を組織し、かつ測定評価結果を公表する

(4) 違法な個人情報処理活動を調査し、処理する

(5) 法律、行政法規が規定するその他の職責

第62条【規則・基準の制定等】

国家インターネット情報部門は、関係部門を統一的に協調して本法により次の各号の個人情報保護業務を推進する。

(1) 個人情報保護に係る具体的規則、基準を制定する

(2) 小型の個人情報処理者、敏感個人情報の処理並びに顔認識、人工知能等の新技術、新応用に対し、専門の個人情報保護規則、基準を制定する

(3) 安全、便利な電子身元認証技術の研究開発及び普及応用を支援し、ネットワーク身元認証の公共役務建設を推進する

(4) 個人情報保護の社会化役務体系建設を推進し、関係機構による個人情報保護評価、認証役務の展開を支援する

(5) 個人情報保護に係る苦情、通報業務機構を整備する

第63条【監督権限】

個人情報保護職責を履行する部門は、個人情報保護職責を履行するにあたり、次の各号の措置を講じることができる。

(1) 関係当事者に質問し、個人情報処理活動に関係する状況を調査する

(2) 当事者の個人情報処理活動に関係する契約、記録、帳簿及びその他の関係資料を閲覧し、複製する

(3) 現場検査を実施し、違法の疑いのある個人情報処理活動に対し調査を行う

(4) 個人情報処理活動に関係する設備、物品を検査する。違法な個人情報処理活動に用いられたことを証明する証拠がある設備、物品については、本部門の主要責任者に書面により報告し、かつ許可を経た上で、差押え又は押収することができる

個人情報保護職責を履行する部門が法により職責を履行する場合、当事者は協力、配合しなければならず、拒絶し、又は阻害してはならない。

第64条【面談及び監査要求】

個人情報保護職責を履行する部門は、職責の履行において、個人情報処理活動に比較的大きなリスクが存在する、又は個人情報安全事件が発生したことを発見した場合、規定の権限及び手続により当該個人情報処理者の法定代表者又は主要責任者に対し面談を行うことができ、又は個人情報処理者に対し専門機構に委託してその個人情報処理活動について適法性監査を行うことを要求することができる。個人情報処理者は、要求に基づき措置を講じ、是正を行い、隠れた危険を除去しなければならない。

個人情報保護職責を履行する部門は、職責の履行において、違法な個人情報処理が犯罪の疑いに関わることを発見した場合、速やかに公安機関に移送して法により処理させなければならない。

第65条【苦情・通報】

いかなる組織及び個人も、違法な個人情報処理活動について個人情報保護職責を履行する部門に対し苦情、通報を行う権利を有する。苦情、通報を受けた部門は、法により速やかに処理しなければならず、かつ処理結果を苦情提出者、通報者に告知しなければならない。

個人情報保護職責を履行する部門は、苦情、通報を受け付ける連絡方式を公表しなければならない。

第7章 法的責任

第66条【行政処罰】

本法の規定に違反して個人情報を処理し、又は個人情報を処理するにあたり本法に規定する個人情報保護義務を履行しない場合、個人情報保護職責を履行する部門は是正を命じ、警告を与え、違法所得を没収し、違法に個人情報を処理する応用プログラムについては役務の提供を一時停止し、又は終了することを命じる。是正を拒む場合、100万元以下の罰金を併科する。直接責任を負う主管者及びその他の直接責任者に対しては1万元以上10万元以下の罰金を科す。

前項に規定する違法行為があり、情状が重大である場合、省級以上の個人情報保護職責を履行する部門は是正を命じ、違法所得を没収し、かつ5,000万元以下又は前年度の営業額の5パーセント以下の罰金を併科するとともに、関係業務の一時停止若しくは業務整頓の停止を命じ、又は関係主管部門に通報して関係業務許可を取り消させ、若しくは営業許可証を取り消させることができる。直接責任を負う主管者及びその他の直接責任者に対しては10万元以上100万元以下の罰金を科すとともに、一定期限において関係企業の取締役、監事、高級管理者及び個人情報保護責任者を担任することを禁止する決定をなすことができる。

第67条【信用記録】

本法に規定する違法行為がある場合、関係法律、行政法規の規定により信用記録に記入し、かつ公示する。

第68条【国家機関及び職員の責任】

国家機関が本法に規定する個人情報保護義務を履行しない場合、その上級機関又は個人情報保護職責を履行する部門は是正を命じる。直接責任を負う主管者及びその他の直接責任者に対しては法により処分を与える。

個人情報保護職責を履行する部門の職員が職務を怠り、職権を濫用し、私情により不正を行い、いまだ犯罪を構成しない場合、法により処分を与える。

第69条【損害賠償責任】

個人情報を処理することにより個人情報に係る権益を侵害して損害を生じさせた場合において、個人情報処理者が自己に過失がないことを証明できないときは、損害賠償等の侵害責任を負わなければならない。

前項に規定する損害賠償責任は、個人がそれにより被った損失又は個人情報処理者がそれにより獲得した利益により確定する。個人がそれにより被った損失及び個人情報処理者がそれにより獲得した利益の確定が困難である場合、実際の状況により賠償額を確定する。

第70条【公益訴訟】

個人情報処理者が本法の規定に違反して個人情報を処理し、多数の個人の権益を侵害した場合、人民検察院、法律が規定する消費者組織及び国家インターネット情報部門が確定する組織は、法により人民法院に訴訟を提起することができる。

第71条【刑事責任等】

本法の規定に違反し、治安管理違反行為を構成する場合、法により治安管理処罰を与える。犯罪を構成する場合、法により刑事責任を追及する。

第8章 附則

第72条【適用除外】

自然人が個人又は家庭事務のために個人情報を処理する場合、本法を適用しない。

法律が各級人民政府及びその関係部門が組織して実施する統計、文書記録管理活動における個人情報処理について規定を有する場合、その規定を適用する。

第73条【用語の定義】

本法における次の各号の用語の意味は、次のとおりである。

(1) 個人情報処理者とは、個人情報処理活動において処理目的、処理方式を自主的に決定する組織、個人をいう

(2) 自動化意思決定とは、計算機プログラムにより個人の行動習慣、興味嗜好又は経済、健康、信用状況等を自動的に分析し、評価し、かつ意思決定を行う活動をいう

(3) 仮名化とは、個人情報が処理を経て、追加情報を借りない状況において特定の自然人を識別できなくする過程をいう

(4) 匿名化とは、個人情報が処理を経て特定の自然人を識別できず、かつ復元できなくする過程をいう

第74条【施行期日】

本法は、2021年11月1日から施行する。