新華社北京8月20日電
中華人民共和国個人情報保護法
(2021年8月20日第13期全国人民代表大会常務委員会第30回会議採択)
ディレクトリ
第一章総則
第二章個人情報処理規則
第一節一般規定
第二節機密個人情報の処理規則
第三節国家機関が個人情報を処理するための特別規定
第三章個人情報の国境を越えて提供する規則
第四章個人情報処理活動における個人の権利
第五章個人情報処理者の義務
第六章個人情報保護の職責を履行する部門
第七章法的責任
第八章附則
第一章総則
第一条個人情報の権益を保護し、個人情報処理活動を規範化し、個人情報の合理的利用を促進するため、憲法に基づき、本法を制定する。
第二条自然人の個人情報は法律により保護され、いかなる組織、個人も自然人の個人情報権益を侵害してはならない。
第三条中華人民共和国国内における自然人個人情報の処理活動については、本法を適用する。
中華人民共和国国外で中華人民共和国境内の自然人の個人情報を処理する活動には、次のいずれかの場合があり、本法も適用する:
(一)国内の自然人に製品又はサービスを提供することを目的とする、
(二)国内の自然人の行為を分析、評価する、
(三)法律、行政法規に規定されたその他の状況。
第4条個人情報は、電子的または他の方法で記録された識別または識別可能な自然人に関する各種情報であり、匿名化処理後の情報は含まれない。
個人情報の処理には、個人情報の収集、記憶、使用、加工、転送、提供、公開、削除などが含まれる。
第5条個人情報の処理は合法、正当、必要と誠実の原則に従わなければならず、誤解、詐欺、脅迫などの方法で個人情報を処理してはならない。
第六条個人情報の処理は明確で合理的な目的を持っていなければならず、そして処理目的と直接関連して、個人の権益に対する影響が最小の方式を採用しなければならない。
個人情報の収集は、処理目的を実現するための最小限の範囲に限らなければならず、個人情報を過度に収集してはならない。
第7条個人情報を処理するには、公開、透明の原則に従い、個人情報処理規則を公開し、処理の目的、方式、範囲を明示しなければならない。
第8条個人情報の処理は個人情報の品質を保証し、個人情報の不正確、不完全による個人権益への不利な影響を回避しなければならない。
第9条個人情報処理者は、その個人情報処理活動に責任を負い、処理される個人情報の安全を保障するための必要な措置を講じなければならない。
第10条いかなる組織、個人も他人の個人情報を不法に収集、使用、加工、伝送してはならず、他人の個人情報を不法に売買、提供または公開してはならない、国家の安全、公共の利益を害する個人情報の処理活動に従事してはならない。
第11条国は個人情報保護制度を確立し、健全化し、個人情報の権益を侵害する行為を予防し、処罰し、個人情報保護の宣伝教育を強化し、政府、企業、関連社会組織、公衆が共同で個人情報保護に参与する良好な環境の形成を推進する。
第12条国は個人情報保護国際規則の制定に積極的に参加し、個人情報保護に関する国際交流と協力を促進し、他国、地域、国際組織との間の個人情報保護規則、基準などの相互認識を推進する。
第二章個人情報処理規則
第一節一般規定
第13条次のいずれかに該当する場合、個人情報処理者は個人情報を処理することができる:
(一)個人の同意を得る、
(二)個人が当事者である契約を締結、履行するために必要であり、又は法に基づいて制定された労働規則制度と法に基づいて締結された集団契約に基づいて人的資源管理を実施するために必要である、
(三)法定職責又は法定義務を履行するために必要である、
(四)突発的な公衆衛生事件に対応するため、或いは緊急時に自然人の生命健康と財産安全を保護するために必要である、
(五)公共利益のために新聞報道、世論監督などの行為を実施し、合理的な範囲内で個人情報を処理する、
(六)本法の規定に従って合理的な範囲内で個人の自己公開又はその他の合法的に公開された個人情報を処理する、
(七)法律、行政法規に規定されたその他の状況。
本法のその他の関連規定に基づき、個人情報を処理するには個人の同意を得なければならないが、前項第2項から第7項までの規定がある場合、個人の同意を得る必要はない。
第14条個人の同意に基づいて個人情報を処理する場合、その同意は個人が十分に知っている前提の下で自発的に、明確にしなければならない。法律、行政法規により個人情報を処理するには、個人の単独同意または書面同意を取得しなければならないと規定されている場合は、その規定に従う。
個人情報の処理目的、処理方式及び処理する個人情報の種類が変更された場合は、改めて個人の同意を得なければならない。
第15条個人の同意に基づいて個人情報を処理する場合、個人はその同意を撤回する権利がある。個人情報処理者は、簡単に同意を撤回する方法を提供しなければならない。
個人の同意撤回は、撤回前に個人の同意に基づいて行われた個人情報処理活動の効力に影響を与えない。
第16条個人情報処理者は、個人が個人情報の処理に同意しないこと、または同意を撤回することを理由に、製品またはサービスの提供を拒否することができない、個人情報の処理が製品またはサービスの提供に必要な場合を除く。
第17条個人情報処理者は、個人情報を処理する前に、以下の事項を顕著な方法で、明確でわかりやすい言語で真実で、正確で、完全に個人に知らせなければならない。
(一)個人情報処理者の名称又は氏名と連絡先
(二)個人情報の処理目的、処理方式、処理する個人情報の種類、保存期限、
(三)個人が本法で規定された権利を行使する方式と手順
(四)法律、行政法規の規定が告知すべきその他の事項。
前項の規定事項が変更された場合は、変更部分を個人に通知しなければならない。
個人情報処理者が個人情報処理規則を制定することによって第1項の規定事項を通知する場合、処理規則は公開しなければならず、閲覧と保存に便利である。
第18条個人情報処理者が個人情報を処理するには、法律、行政法規により秘密にすべき、または告知する必要がないと規定されている場合、前条第1項に規定されている事項を個人に告知しなくてもよい。
緊急時に自然人の生命健康と財産の安全を保護するために個人に適時に告知できない場合、個人情報処理者は緊急時が解消された後に直ちに告知しなければならない。
第19条法律、行政法規に別途規定がある場合を除き、個人情報の保存期間は処理目的を実現するために必要な最短時間でなければならない。
第20条2人以上の個人情報処理者が共同で個人情報の処理目的と処理方式を決定する場合、それぞれの権利と義務を約定しなければならない。しかし、この約束は、個人が個人情報処理者のいずれかに本法で規定された権利の行使を要求することに影響を与えない。
個人情報処理者が個人情報を共同で処理し、個人情報の権益を侵害して損害を与えた場合、法に基づいて連帯責任を負わなければならない。
第21条個人情報処理者が個人情報の処理を委託する場合、受託者と委託処理の目的、期限、処理方式、個人情報の種類、保護措置及び双方の権利と義務などを約定し、受託者の個人情報処理活動を監督しなければならない。
受託者は約束通りに個人情報を処理しなければならず、約束した処理目的、処理方式などを超えて個人情報を処理してはならない、委託契約が発効せず、無効であり、取り消され、または終了した場合、受託者は個人情報を個人情報処理者に返却するか、削除しなければならず、保留してはならない。
個人情報処理者の同意を得ずに、受託者は他人に個人情報の処理を委託してはならない。
第22条個人情報処理者が合併、分立、解散、破産宣告などの理由で個人情報を移転する必要がある場合は、個人に受取人の名前または名前と連絡先を通知しなければならない。受信者は引き続き個人情報処理者の義務を履行しなければならない。受信者が当初の処理目的、処理方式を変更する場合は、本法の規定に基づいて改めて個人の同意を得なければならない。
第23条個人情報処理者が他の個人情報処理者にその処理した個人情報を提供する場合、個人に受信者の名前または名前、連絡先、処理目的、処理方法と個人情報の種類を通知し、個人の単独同意を取得しなければならない。受信者は、上記の処理目的、処理方式、個人情報の種類などの範囲内で個人情報を処理しなければならない。受信者が当初の処理目的、処理方式を変更する場合は、本法の規定に基づいて改めて個人の同意を得なければならない。
第24条個人情報処理者は個人情報を利用して自動化意思決定を行い、意思決定の透明性と結果の公平、公正を保証しなければならず、個人に対して取引価格などの取引条件において不合理な差別待遇を実行してはならない。
自動意思決定方式による個人への情報プッシュ、商業マーケティングは、その個人の特徴に対応しないオプションを同時に提供するか、個人に便利な拒否方式を提供しなければならない。
自動化意思決定方式を通じて個人の権益に重大な影響を与える決定を行い、個人は個人情報処理者に説明を要求する権利があり、個人情報処理者は自動化意思決定方式のみで決定を行うことを拒否する権利がある。
第25条個人情報処理者は、その処理する個人情報を公開してはならず、個人単独の同意を得た場合を除く。
第26条公共の場所に画像収集、個人識別装置を設置するには、公共の安全を維持するために必要であり、国の関連規定を遵守し、顕著な提示標識を設置しなければならない。収集された個人画像、識別情報は、公共の安全を維持する目的にのみ使用でき、他の目的には使用できない、個人の単独同意を得た場合を除く。
第27条個人情報処理者は、合理的な範囲内で個人が自ら公開した又はその他の合法的に公開された個人情報を処理することができる、個人が明確に拒否した場合を除く。個人情報処理者が公開された個人情報を処理し、個人の権益に重大な影響を与える場合は、本法の規定に基づいて個人の同意を得なければならない。
第二節機密個人情報の処理規則
第28条敏感な個人情報は、一旦漏洩または不法使用されると、自然人の人格尊厳が侵害されたり、人身、財産の安全が危害を受けやすい個人情報であり、生物識別、宗教信仰、特定の身分、医療健康、金融口座、行方軌跡などの情報、および14歳未満の未成年者の個人情報を含む。
個人情報処理者は、特定の目的と十分な必要性を持ち、厳格な保護措置を講じている場合にのみ、敏感な個人情報を処理することができる。
第29条敏感な個人情報を処理するには、個人の単独同意を得なければならない。法律、行政法規は敏感な個人情報を処理するには書面による同意を得なければならないと規定しており、その規定に従う。
第30条個人情報処理者が敏感な個人情報を処理する場合、本法第17条第1項に規定された事項のほか、個人に敏感な個人情報の処理の必要性及び個人権益への影響を通知しなければならない。本法の規定により個人に告知しなくてもよい場合を除く。
第31条個人情報処理者が満14歳未満の未成年者の個人情報を処理する場合は、未成年者の両親又はその他の保護者の同意を得なければならない。
個人情報処理者が満14歳未満の未成年者の個人情報を処理する場合は、専門的な個人情報処理規則を制定しなければならない。
第32条法律、行政法規が敏感な個人情報の処理に関する規定は、関連する行政許可を取得し、またはその他の制限をしなければならない場合、その規定に従う。
第三節国家機関が個人情報を処理するための特別規定
第33条国家機関が個人情報を処理する活動は、本法を適用する。本節に特別な規定がある場合は、本節の規定を適用する。
第34条国家機関は法定職責を履行して個人情報を処理するために、法律、行政法規に規定された権限、手順に従って行わなければならず、法定職責の履行に必要な範囲と限度を超えてはならない。
第35条国家機関は法定職責を履行して個人情報を処理するために、本法の規定に基づいて告知義務を履行しなければならない。本法第18条第1項に規定されている場合、または国家機関の法定職責履行を妨げると告知した場合を除く。
第36条国家機関が処理する個人情報は中華人民共和国国内に保管しなければならない。確実に国外に提供する必要がある場合は、安全評価を行わなければならない。セキュリティ評価には、関係部門のサポートと協力が必要です。
第37条法律、法規により授権された公共事務を管理する機能を有する組織は法定職責を履行するために個人情報を処理し、本法の国家機関の個人情報の処理に関する規定を適用する。
第三章個人情報の国境を越えて提供する規則
第38条個人情報処理者が業務等の必要により、中華人民共和国国外に個人情報を提供する必要がある場合は、次のいずれかの条件を備えなければならない。
(一)本法第40条の規定に従って国家網信部門組織の安全評価を通過する、
(二)国家網信部門の規定に従って専門機関による個人情報保護認証を行う、
(三)国家網信部門が制定した標準契約に基づいて国外の受信者と契約を締結し、双方の権利と義務を約束する、
(四)法律、行政法規又は国家網信部門が規定したその他の条件。
中華人民共和国が締結または参加する国際条約、協定は中華人民共和国国外に個人情報を提供する条件などに規定がある場合、その規定に従って実行することができる。
個人情報処理者は、国外の受信者が個人情報を処理する活動が本法で規定された個人情報保護基準に達することを保障するために必要な措置を講じなければならない。
第三十九条個人情報処理者が中華人民共和国の国外に個人情報を提供する場合、個人に国外の受信者の名称又は氏名、連絡先、処理目的、処理方式、個人情報の種類及び個人が国外の受信者に本法で規定する権利を行使する方式及びプログラム等の事項を通知し、個人の単独同意を得なければならない。
第40条重要情報インフラ運営者及び個人情報の処理が国家ネット情報部門の規定数量に達した個人情報処理者は、中華人民共和国国内で収集及び生成された個人情報を国内に記憶しなければならない。確実に国外に提供する必要がある場合は、国家網信部門が組織した安全評価を通過しなければならない。法律、行政法規及び国家網信部門が安全評価を行わなくてもよいと規定している場合は、その規定に従う。
第41条中華人民共和国主管機関は、関連法律に基づいて中華人民共和国と締結または参加する国際条約、協定、または平等互恵の原則に基づいて、国内に保存された個人情報の提供に関する外国司法または法執行機関の要請を処理する。中華人民共和国主管機関の許可を得ずに、個人情報処理者は外国の司法又は法執行機関に中華人民共和国境内に格納された個人情報を提供してはならない。
第42条国外の組織、個人が中華人民共和国公民の個人情報権益を侵害したり、中華人民共和国の国家安全、公共利益を害する個人情報処理活動に従事したりした場合、国家網信部門はそれを個人情報提供リストに制限または禁止し、公告することができ、また、個人情報の提供を制限または禁止するなどの措置をとる。
第43条任意の国または地域が個人情報保護の面で中華人民共和国に対して差別的な禁止、制限またはその他の類似の措置を取った場合、中華人民共和国は実際の状況に応じてその国または地域に対して対等に措置を取ることができる。
第四章個人情報処理活動における個人の権利
第44条個人はその個人情報の処理に対して知る権利、決定権を有し、他人がその個人情報を処理することを制限または拒否する権利を有する。法律、行政法規に別途規定がある場合を除く。
第45条個人は個人情報処理者にその個人情報を閲覧、複製する権利がある、本法第18条第1項、第35条の規定がある場合を除く。
個人が個人情報の閲覧、複製を要求した場合、個人情報処理者は速やかに提供しなければならない。
個人が個人情報を指定した個人情報処理者に転送することを要求し、国家ネット情報部門の規定条件に合致する場合、個人情報処理者は転送のルートを提供しなければならない。
第46条個人がその個人情報が不正確または不完全であることを発見した場合、個人情報処理者に訂正、補充を請求する権利がある。
個人が個人情報の訂正、補充を要求した場合、個人情報処理者はその個人情報を確認し、適時に訂正、補充しなければならない。
第47条次のいずれかの場合には、個人情報処理者は自ら個人情報を削除しなければならない。個人情報処理者が削除していない場合、個人は削除を要求する権利があります:
(一)処理目的はすでに実現し、実現できない、または処理目的を実現するために必要ではない、
(二)個人情報処理者は製品又はサービスの提供を停止し、又は保存期間が満了した場合、
(三)個人が同意を撤回する、
(四)個人情報処理者が法律、行政法規に違反したり、約束に違反したりして個人情報を処理したり、
(五)法律、行政法規に規定されたその他の状況。
法律、行政法規に規定された保存期間が満了していない、または個人情報の削除が技術的に実現しにくい場合、個人情報処理者は保存と必要な安全保護措置を講じる以外の処理を停止しなければならない。
第48条個人は、個人情報処理者にその個人情報処理規則の解釈説明を要求する権利がある。
第49条自然人が死亡した場合、その近親者は自身の合法的、正当な利益のために、死者の関連個人情報に対して本章で規定する閲覧、複製、訂正、削除などの権利を行使することができる、死者が生前に別の予定を持っていた場合を除く。
第50条個人情報処理者は、便利な個人行使権利の申請受付と処理メカニズムを構築しなければならない。個人の権利行使の請求を拒否する場合は、理由を説明しなければならない。
個人情報処理者が個人の権利行使請求を拒否した場合、個人は法に基づいて人民法院に訴訟を提起することができる。
第五章個人情報処理者の義務
第51条個人情報処理者は、個人情報の処理目的、処理方式、個人情報の種類及び個人の権益に対する影響、存在する可能性のある安全リスクなどに基づいて、以下の措置を講じて、個人情報処理活動が法律、行政法規の規定に合致することを確保し、そして不正アクセス及び個人情報の漏洩、改ざん、紛失を防止しなければならない:
(一)内部管理制度と操作規程を制定する、
(二)個人情報に対して分類管理を実行する、
(三)相応の暗号化、非標識化などの安全技術措置を取る、
(四)個人情報処理の操作権限を合理的に確定し、定期的に従業員に安全教育と訓練を行う、
(五)個人情報セキュリティ事件の応急対策案を制定し、組織し、実施する。
(六)法律、行政法規に規定されたその他の措置。
第52条個人情報を処理して国家ネット情報部門の規定数量に達した個人情報処理者は、個人情報保護責任者を指定し、個人情報処理活動及び取った保護措置などの監督に責任を負わなければならない。
個人情報処理者は、個人情報保護責任者の連絡先を公開し、個人情報保護責任者の氏名、連絡先などを個人情報保護の職責を履行する部門に報告しなければならない。
第53条本法第3条第2項に規定する中華人民共和国国外の個人情報処理者は、中華人民共和国国内に専門機関を設立するか、代表を指定し、個人情報保護に関する事務を処理し、関連機関の名称または代表の名前、連絡先などを個人情報保護の職責を履行する部門に報告しなければならない。
第54条個人情報処理者は、個人情報を処理して法律、行政法規を遵守する状況に対して定期的にコンプライアンス監査を行わなければならない。
第55条次のいずれかの状況がある場合、個人情報処理者は事前に個人情報保護影響評価を行い、処理状況を記録しなければならない。
(一)敏感な個人情報を処理する、
(二)個人情報を利用して自動化決定を行う、
(三)個人情報の処理を委託し、他の個人情報処理者に個人情報を提供し、個人情報を公開する、
(四)海外に個人情報を提供する、
(五)その他の個人権益に重大な影響を与える個人情報処理活動。
第56条個人情報保護の影響評価は、次の内容を含むべきである:
(一)個人情報の処理目的、処理方式などが合法、正当、必要であるか。
(二)個人権益への影響及び安全リスク
(三)取った保護措置は合法的で、有効であり、リスクの程度に適応しているか。
個人情報保護影響評価報告書と処理状況記録は少なくとも3年間保存しなければならない。
第57条個人情報の漏洩、改ざん、紛失が発生または発生する可能性がある場合、個人情報処理者は直ちに救済措置をとり、個人情報保護の職責を履行する部門と個人に通知しなければならない。通知には次の事項が含まれている必要があります。
(一)個人情報の漏洩、改ざん、紛失が発生または発生する可能性のある情報の種類、原因と発生する可能性のある危害、
(二)個人情報処理者が講じる救済措置と個人が講じることができる危害軽減措置
(三)個人情報処理者の連絡先。
個人情報処理者が措置を講じて情報漏洩、改ざん、紛失による危害を効果的に回避できる場合、個人情報処理者は個人に通知しなくてもよい、個人情報保護の職責を履行する部門は、危害をもたらす可能性があると判断した場合、個人情報処理者に個人に通知するよう要求する権利がある。
第58条重要なインターネットプラットフォームサービスを提供し、ユーザー数が巨大で、業務タイプが複雑な個人情報処理者は、以下の義務を履行しなければならない:
(一)国の規定に従って個人情報保護コンプライアンス制度体系を確立し、健全化し、主に外部メンバーからなる独立機構を設立して個人情報保護状況を監督する、
(二)公開、公平、公正の原則に従い、プラットフォーム規則を制定し、プラットフォーム内の製品またはサービス提供者が個人情報を処理する規範と個人情報を保護する義務を明確にする。
(三)重大な法律、行政法規に違反して個人情報を処理するプラットフォーム内の製品又はサービス提供者に対して、サービスの提供を停止する、
(四)定期的に個人情報保護の社会的責任報告を発表し、社会的監督を受ける。
第59条委託を受けて個人情報を処理する受託者は、本法と関連法律、行政法規の規定に基づいて、処理された個人情報の安全を保障するために必要な措置を講じ、そして個人情報処理者に協力して本法に規定された義務を履行しなければならない。
第六章個人情報保護の職責を履行する部門
第60条国家網信部門は個人情報保護業務と関連監督管理業務の統一的な調整を担当する。国務院の関係部門は本法と関連法律、行政法規の規定に基づき、それぞれの職責範囲内で個人情報の保護と監督管理の仕事を担当する。
県級以上の地方人民政府の関連部門の個人情報保護と監督管理の職責は、国の関連規定に基づいて確定する。
最初の2つの規定の部門は、個人情報保護の役割を果たす部門と総称される。
第61条個人情報保護職責を履行する部門は、次の個人情報保護職責を履行する:
(一)個人情報保護宣伝教育を展開し、個人情報処理者の個人情報保護活動の展開を指導、監督する、
(二)個人情報保護に関する苦情、通報を受け入れ、処理する。
(三)アプリケーションなどの個人情報保護状況を評価し、評価結果を公表する。
(四)違法な個人情報処理活動を調査、処理する、
(五)法律、行政法規に規定されたその他の職責。
第62条国家網信部門は関係部門を統一的に調整し、本法に基づいて以下の個人情報保護活動を推進する:
(一)個人情報保護の具体的な規則、基準を制定する、
(二)小型個人情報処理者、敏感な個人情報及び顔認識、人工知能などの新技術、新応用に対して、専門的な個人情報保護規則、基準を制定する、
(三)安全で便利な電子身分認証技術の研究開発と普及をサポートし、ネットワーク身分認証公共サービスの建設を推進する、
(四)個人情報保護の社会化サービスシステムの構築を推進し、関係機関の個人情報保護評価、認証サービスの展開を支持する、
(五)個人情報保護苦情、通報の仕組みを完備する。
第63条個人情報保護の職責を履行する部門は、個人情報保護の職責を履行し、以下の措置をとることができる:
(一)関係当事者に尋ね、個人情報処理活動に関する状況を調査する、
(二)当事者と個人情報処理活動に関する契約、記録、帳簿及びその他の関連資料を閲覧、複製する、
(三)現場検査を実施し、違法の疑いのある個人情報処理活動に対して調査を行う、
(四)個人情報処理活動に関する設備、物品の検査、違法な個人情報処理活動に使用されていることを証明する証拠のある設備、物品については、当部門の主要責任者に書面で報告し、承認を得て、差押えまたは押収することができる。
個人情報保護の職責を履行する部門は法に基づいて職責を履行し、当事者は協力し、協力しなければならず、拒否し、妨害してはならない。
第64条個人情報保護の職責を履行する部門が職責を履行する中で、個人情報処理活動に大きなリスクが存在したり、個人情報セキュリティ事件が発生したりすることを発見した場合、規定の権限と手順に従って当該個人情報処理者の法定代表者または主要責任者に対して約束を行うことができ、あるいは、個人情報処理者が専門機関に個人情報処理活動のコンプライアンス監査を依頼することを要求する。個人情報処理者は要求に応じて措置をとり、改善を行い、隠れた危険を取り除かなければならない。
個人情報保護の職責を履行する部門は職責を履行する中で、個人情報を違法に処理して犯罪の疑いがあることを発見した場合、速やかに公安機関に移送して法に基づいて処理しなければならない。
第65条いかなる組織、個人は違法な個人情報処理活動に対して個人情報保護の職責を履行する部門に苦情、通報する権利がある。苦情、通報を受けた部門は法に基づいて適時に処理し、処理結果を苦情、通報者に通知しなければならない。
個人情報保護の役割を果たす部門は、苦情や通報を受ける連絡先を公表しなければならない。
第七章法的責任
第66条本法の規定に違反して個人情報を処理し、または個人情報を処理して本法の規定する個人情報保護義務を履行していない場合、個人情報保護職責を履行する部門は是正を命じ、警告を与え、違法所得を没収し、違法に個人情報を処理するアプリケーションに対して、サービスの一時停止または提供終了を命じ、改正を拒否した場合、100万元以下の罰金を科す。直接責任を負う主管者とその他の直接責任者に対して1万元以上10万元以下の罰金を科す。
前項に規定する違法行為があり、情状が深刻な場合、省級以上の個人情報保護職責を履行する部門は是正を命じ、違法所得を没収し、5千万元以下または前年度の売上高5%以下の罰金を科し、関連業務の一時停止または休業整備を命じ、関連主管部門に関連業務許可の取り消しまたは営業許可証の取り消しを通報することができる。直接責任を負う主管者とその他の直接責任者に対して10万元以上100万元以下の罰金を科し、一定期間内に関連企業の取締役、監事、高級管理者、個人情報保護責任者を務めることを禁止することを決定することができる。
第67条本法に規定する違法行為がある場合は、関連法律、行政法規の規定に基づいて信用書類に記入し、公示する。
第68条国家機関が本法に規定された個人情報保護義務を履行しない場合、その上級機関又は個人情報保護職責を履行する部門は改正を命じ、直接責任を負う主管者とその他の直接責任者に対して法に基づいて処分を与える。
個人情報保護の職責を履行する部門の従業員が職務怠慢、職権乱用、私情にとらわれて不正行為を行い、まだ犯罪を構成していない場合は、法に基づいて処分する。
第69条個人情報を処理して個人情報の権益を侵害して損害を与え、個人情報処理者が自分に過失がないことを証明できない場合、損害賠償などの権利侵害責任を負わなければならない。
前項に規定する損害賠償責任は、これにより個人が受けた損失又は個人情報処理者が得た利益に基づいて確定する。これにより個人が受けた損失と個人情報処理者が得た利益を確定することが困難な場合、実際の状況に基づいて賠償額を確定する。
第70条個人情報処理者が本法の規定に違反して個人情報を処理し、多くの個人の権益を侵害した場合、人民検察院、法律に規定された消費者組織と国家網信部門が確定した組織は法に基づいて人民法院に訴訟を提起することができる。
第71条本法の規定に違反し、治安管理違反行為を構成する場合、法に基づいて治安管理処罰を与える。犯罪を構成する場合は、法に基づいて刑事責任を追及する。
第八章附則
第72条自然人が個人又は家庭事務のために個人情報を処理する場合、本法は適用されない。
法律は各級人民政府及びその関連部門が実施する統計、ファイル管理活動における個人情報の処理に規定がある場合、その規定を適用する。
第73条本法の以下の用語の意味:
(一)個人情報処理者とは、個人情報処理活動において処理目的、処理方式を自主的に決定する組織、個人を指す。
(二)自動意思決定とは、コンピュータプログラムを通じて個人の行動習慣、趣味或いは経済、健康、信用状況などを自動的に分析、評価し、意思決定を行う活動を指す。
(3)非識別子化とは、個人情報が追加情報を介さずに特定の自然人を識別できないように処理される過程を指す。
(四)匿名化とは、個人情報が処理されて特定の自然人を識別できず、復元できない過程を指す。
第74条本法は2021年11月1日から施行する。
