中華人民共和国個人情報保護法 (勤理参考訳全文)

勤理法律事務所参考訳 

 

中華人民共和国個人情報保護 

主席令91 

中華人民共和国個人情報保護は、2021820日に中華人民共和国第13回全国人民代表大会常務委員会を通過し、ここに公布し、2021111日から施行する。 

中華人民共和国 習近平国家主席

2021820

 

中華人民共和国個人情報保護

2021820日、第13回全国人民代表大会常務委員会第13回会議で採択)

 

第1章 総則 

1   個人情報の権益を保護し、個人情報取扱事業を規制し、個人情報の適正な利用を促進するため、憲法に基づき、本法を制定する。

第2   自然人の個人情報は、法律により保護され、いかなる組織又は個人が自然人の個人情                   報の権益を侵害してはならない。

3   中華人民共和国境内において自然人の個人情報を取扱う活動は、本法を適用する。

本法は、中華人民共和国境外において自然人の個人情報を取扱う活動が以下のいずれかの場合に該当すれば、本法を適用する。

() 境内の自然人に対して製品又はサービスを提供することを目的とする場合

() 境内の自然人を分析と評価する行為

() 法律や行政法規で定めるその他の場合

4   個人情報とは、電子的又は他の手段で記録され、識別された又は識別可能な自然人に関するあらゆる種類の情報である。ただし、匿名処理後の情報は除く。

            個人情報の取扱には、個人情報の収集、保存、使用、処理、伝送、提供、開示、削除等が含まれる。

5   個人情報の取扱は、適法、正当、必要及び誠実の原則に従うものとし、誤解、詐欺、脅迫等の方法で個人情報を取り扱ってはならない。

6   個人情報の取扱は、明確且つ合理的な目的を有しなければならず、その目的に直接的な関係を有し、個人の権益に最低限の影響に与える方法で行わなければならない。

            個人情報の収集は、取扱の目的を達成するための必要最小限の範囲に限定し、個人情報を過度に収集してはならない。

7   個人情報の取扱は、公開性透明性の原則を遵守し、個人情報の取扱に関する規則を開示し、取扱の目的、方法、範囲を明らかにしなければならない。

8   個人情報の取扱は、個人情報の質を確保し、不正確且つ不完全な個人情報による個人の権益への不利な影響を回避しなければならない。

9   個人情報取扱者は、その個人情報の取扱活動に責任を負い、取扱う個人情報の安全ために必要な措置を講じなければならない。

10 いかなる組織又は個人は、他人の個人情報を不正に収集、使用、処理、伝送し、他人の個人情報を不正に取引、提供又は開示し、国家安全又は公共利益を脅かす個人情報取扱活動を行ってはならない。

11国家は、個人情報保護制度を整備改善し、個人情報の権益を侵害する行為を防止処罰し、個人情報保護に関する広報教育を強化し、政府、企業、社会団体及び公衆とともに個人情報の保護に参加する良好な環境の形成を促進する。

12国家は、個人情報保護に関する国際規約の制定に積極的に参加し、個人情報保護に関する国際交流及び合作を促進し、他の国、地域及び国際組織との間で個人情報保護に関する規制及び基準の相互承認することを推進する。

第2章   個人情報の取扱に関する規定

1   一般規定

13条 個人情報取扱者は、次の各号のいずれに該当する場合に限り、個人情報を取り扱うことができる。

()     本人の同意を取得すること

()     本人が当事者として契約の締結履行のため、又は法律により規定された労働規則及び法律に基づいて締結した労働契約に従い、人事管理の実施のために必要な場合

()     法定職責又は法的義務の履行のために必要な場合

()     公衆衛生上の緊急事件に対応するため、又は緊急事態の際に自然人の生命・健康及び財産を保護するために必要な場合

()     公共利益のために、新聞報道、世論の監督等の行為を行う合理的な範囲で個人情報を取り扱うこと

()     本法の規定に従い、合理的な範囲内で、本人から開示する個人情報及び既に開示された個人情報を取り扱うこと

()     法律や行政法規で定めるその他の状況

本法で他の関連規定に従い、個人情報の取扱は、本人の同意を取得しなければならないが、前項第2項から第7項までの所定の場合には、本人の同意の必要がない。

14条 本人の同意を取得した上で個人情報を取扱う場合には、当該同意は、十分な説明を受けたことを前提として本人が自発的且つ明示的に行うものとする。法律又は行政法規の規定により、個人情報の取扱について、本人の個別の同意又は書面による同意を取得することを定める場合は、その規定に従う。

個人情報の取扱目的、取扱方法、取扱う個人情報の種類に変更があった場合は、本人の同意を再度取得してはならない。

15条 本人の同意に基づいて個人情報を取扱う場合、本人は同意を撤回する権利を有する。 個人情報取扱者は、迅速且つ便利な同意を撤回する方法を提供しなければならない。

本人による同意の撤回は、撤回前に本人の同意により既に実施された個人情報取扱活動の有効性に影響を及ぼさない。 

16条 個人情報取扱者は、個人情報の取扱が製品又はサービスの提供に対して必要な場合を除き、個人が自分の個人情報の取扱に同意せず又は同意を撤回したことを理由に、製品又はサービスの提供を拒絶してはならない。 

17条 個人情報取扱者は、個人情報を取り扱う前に、以下の事項について、真実、正確且つ完全に、目立つ方法、わかりやすい言葉で本人に知らせなければないらない。

()   個人情報取扱者の名称又は氏名と連絡先

()   個人情報の取扱目的、取扱方法、取扱う個人情報の種類、保存期間

()   本人が本法に規定する権利の行使方法及び手続き

()   法律や行政法規で定めるその他の通知すべき事項

前項の規定事項に変更があった場合には、その変更部分を本人に通知しなければならない。

個人情報取扱者が、個人情報取扱規則を設定することを通じて第1項の規定事項を本人に通知する場合には、当該取扱規則を公表し、且つ、容易に閲覧保管できるようにしなければならない。

18条 個人情報取扱者は、個人情報を取り扱う場合において、法律又は行政法規で定める秘密保持すべき事情又は通知する必要がない事情がある場合は、前条第1項の規定事項を本人に通知する必要はない。

緊急状況において自然人の生命・健康及び財産を保護するため、直ちに本人に通知することができない場合は、個人情報取扱者は緊急状況が解消された後に本人への通知を行わなければならない。

19条 法律及び行政法規に別段の定めがある場合を除き、個人情報の保存期間は、取扱目的を達成するための必要な最短期間としなければならない。

20条 二つ以上の情報取扱者が共同で個人情報の取扱の目的及び方法を決定する場合には、各自の権利及び義務に合意しなければならない。 ただし、この合意は、本人がいずれかの個人情報取扱者に対して本法で定める権利の行使の請求権に影響しない。

個人情報取扱者は共同で個人情報を取り扱わなければならず、個人情報の権益を侵害して損害が発生した場合に法律により連帯責任を負う。

21条 個人情報取扱者は、個人情報の取扱を委託する場合には、受託者との間で委託の目的、期間、取扱方法、個人情報の種類、保護措置及び双方の権利義務について合意し、受託者の個人情報における取扱活動を監督する。

受託者は、契約に基づいて個人情報を取り扱わなければならず、合意された取扱目的方法等を超えて個人情報を取り扱ってはならない。また、委託契約が効力を有せず、無効となり、取消され又は終了した場合に、受託者は個人情報を個人情報取扱者に返還又は削除しなければならず、個人情報を保留することができない。

受託者は、個人情報取扱者の同意なしに、個人情報の取扱を他人に委託してはならない。

22条 個人情報取扱者は、合併、分割、解散、倒産等の原因により個人情報を移転する必要がある場合には、移転先の名称又は氏名及び連絡先を本人に通知しなければならない。 受領者は、個人情報取扱者の義務を引き続き履行しなければならない。 受領者が当初の取扱目的又は方法を変更する場合は、本法の規定により再度本人の同意を取得しなければならない。

23条 個人情報取扱者は、他の個人情報取扱者にその取扱った個人情報を提供する場合、受領者の名称又は氏名、連絡先、取扱目的、取扱方法及び個人情報の種類を本人に通知し、本人の個別の同意を取得しなければならない。 受領者は、上記の取扱目的、取扱方法、個人情報の種類等の範囲内で個人情報を取り扱わなければならない。 受領者が当初の取扱目的及び方法を変更する場合は、本法の規定により本人の同意を再度取得しなければならない。

24条 個人情報取扱者は、自動化意思決定のために個人情報を利用し、意思決定の透明性と結果の公正公平性を確保しなければならず、取引価格等の他の取引条件について個人に不合理な差別待遇をしてはならない。

自動化意思決定の方式で個人への情報の自動発送及び商業マーケティングは、個人の特性を対象としない選択肢も提供し、又は迅速且つ便利な拒否方法を提供しなければならない。

個人は、自動化意思決定による個人利益に重大な影響をあたえる決定に対して、個人情報取扱者に説明を求める権利を有し、また、個人情報取扱者が自動化意思決定の方式のみによって決定を行うことに拒否する権利を有する。 

25条 個人情報取扱者は、本人の個別の同意を取得した場合を除き、その取扱う個人情報を開示してはならない。

26条 公共の場所における画像収集及び個人身分識別装置の設置は、公共安全の維持のために必要な場合でなければならず、国家の関連する規制を遵守し、目立つ表示を設置しなければならない。 収集された個人画像及び身分識別情報は、公共安全を維持する目的にのみ使用され、他の目的で使用することができない。本人の個別の同意を取得した場合はこの限りでない。 

27条 個人情報取扱者は、本人が明示的に拒否した場合を除き、合理的な範囲内で、本人から開示した個人情報及びその他の適法に開示された個人情報を取り扱うことができる。 個人情報取扱者は、公表されている個人情報であって、個人の権益に重大な影響を与えるものを取り扱う場合には、本法の規定により本人の同意を取得しなければならない。

第二節   センシティブな個人情報の取扱規則

28条 センシティブな個人情報とは、一旦漏洩もしくは不正に利用されると、自然人の人格尊厳が容易に侵害され、人身や財産の安全に危険を及ぼすおそれのある個人情報であり、生物識別、宗教信仰、特定な身分情報、医療健康情報、金融口座情報、行動軌跡などの情報及び14歳未満の未成年者の個人情報が含まれる。

個人情報取扱者は、特定の目的と十分な必要性があり、且つ厳格な保護措置が講じる場合に限り、センシティブな個人情報を取り扱うことができる。

29条 センシティブな個人情報の取扱は、本人の個別の同意を取得しなければならない。法律又は行政法規の規定により、センシティブな個人情報の取扱について書面による同意を取得すべき場合は、その規定を適用する。

30条 個人情報取扱者は、センシティブな個人情報を取り扱う場合には、本法第17条第1項で定める事項のほか、センシティブな個人情報を取り扱うことの必要性及び本人の権益への影響を本人に通知しなければならない。本法の規定により本人に通知しなくてもよい場合はこの限りでない。

31条 個人情報取扱者は、14歳未満の未成年者の個人情報を取り扱う場合には、当該未成年者の両親及び他の保護者の同意を取得しなければならない。

個人情報取扱者は、14歳未満の未成年者の個人情報を取り扱う場合には、個人情報の取扱に関する特別規則を制定しなければならない。 

32条 法律又は行政法規において、センシティブな個人情報の取扱について行政上の許可を得なければならない又は他の制限が定める場合には、その定めに従う。

第三節   国家機関による個人情報の取扱に関する特別規定 

33条 国家機関が個人情報を取り扱うは、本法を適用する。この節で特段の規定がある場合には、この節の規定を適用する。

34条 国家機関が法定職責を履行するための個人情報の取扱は、法律及び行政法規で定められた権限及び手続に従い、且つ法定の職責を履行するために必要な範囲及び限度を超えることができない。

35条 国家機関は、法定の職責を履行するために個人情報を取扱うが、本法の規定により通知義務が負う。本法第18条第1項に規定する場合、又は通知が法定の職責の履行を妨害する場合はこの限りでない。 

36条 国家機関が取り扱う個人情報は、中華人民共和国の境内において保存し、境外に提供する必要がある場合に安全性の評価を行わなければならない。 安全性の評価には、関連部門のサポートや支援を要求することができる。

37条 法律、法規から授権された公共事務を管理する職能を有する組織は、個人情報を取扱う場合、本法の国家機関による個人情報の取扱に関する規定を適用する。 

3章 越境の個人情報の提供の規則 

38条 個人情報取扱者が業務等の理由で中華人民共和国境外に個人情報を提供する必要がある場合には、次のいずれかの要件が必要である。

()   本法第40条の規定により、国家インターネット情報部門が主催する安全評価に合格する

()   国家インターネット情報部門の規定に基づき、専門機関による個人情報保護の認証が必要

()   国家インターネット情報部門が制定する標準契約書を使用し、双方の権利と義務を合意して海外の受取人との契約を締結する

()   法律、行政法規、又は国家インターネット情報部門の規定で定める他の要件

中華人民共和国が締結又は加盟している国際条約協定において中華人民共和国境外への個人情報の提供等に関する規定がある場合には、その規定に従って執行することができる。

個人情報取扱者は、境外の受取人の個人情報取扱活動が本法に定める個人情報保護の基準を達成するよう必要な措置を講じなければならない。 

39条 個人情報取扱者は、中華人民共和国境外に個人情報を提供する場合、海外の受取人の氏名又は名称、連絡先、取扱目的、取扱方法、個人情報の種類、及び海外の受取人との間で、本法による権利の行使方法及び手続きを本人に通知し、本人の個別の同意を取得しなければならない。 

40条 重要情報インフラの運営者及び国家インターネット情報部門が規定する個人情報取扱の数量に達する個人情報取扱者は、中華人民共和国の境内で収集生成した個人情報を境内に保存しなければならない。 境外に提供する確かな必要性がある場合は、国家ネットワーク情報部門が主催する安全評価に合格しなければならない。法律、行政法規、国家ネットワーク情報部門が安全評価の必要がないと規定している場合は、その規定を適用する。 

41条 中華人民共和国の主管機関は、関連する法律及び中華人民共和国が締結又は加盟した国際条約、協定に基づき、又は平等互恵原則に従い、外国の司法機関又は法執行機関からの境内で保存されている個人情報の提供の要請を処理する。 中華人民共和国の主管機関の承認を得ずに、個人情報取扱者は、中華人民共和国の境内で保管されている個人情報を外国の司法機関や法執行機関に提供してはならない。

42条 中華人民共和国境外の組織又は個人が、中華人民共和国国民の個人情報権益を侵害し、又は中華人民共和国の国家安全又は公共利益に危険を及ぼす個人情報取扱活動を行った場合、国家インターネット情報部門は、それを個人情報提供の制限又は禁止リストに掲載し、公表を行い、その組織もしくは個人への個人情報の提供を制限又は禁止する等の措置を講じすることができる。

43条 いずれかの国又は地域が個人情報の保護における、中華人民共和国に対して差別的な禁止、制限又はその他の類似の措置をとる場合、中華人民共和国は、実際の状況を基づき、当該国又は地域に対して対等な措置をとることができる。

第4章 個人情報取扱活動における本人の権利 

44条 個人は、自己の個人情報の取扱について説明を受ける権利、決定する権利、及び他人による自己の個人情報の取扱を制限又は拒否する権利を有する。法律、行政法規に別段の定めがある場合はその限りでない。 

45条 個人は、第18条第1項及び第35条に規定される場合を除き、個人情報取扱者に対して、自己の個人情報を閲覧及び複製する権利を有する。

本人が自分の個人情報への閲覧又は複製を要求した場合、個人情報取扱者はそれを適時に提供しなければならない。

本人が自分から指定する個人情報取扱者に自分の個人情報の移転を希望する場合、国家インターネット情報部門が規定する条件を満たす場合、個人情報取扱者は移転の手段を提供しなければならない。 

46条 個人は、自己の個人情報が不正確又は不完全であることを発見した場合、個人情報取扱者に対してその訂正又は補足を求める権利を有する。

個人情報取扱者は、本人から個人情報の訂正補完を請求する場合、本人の個人情報を確認して適時に訂正補完しなければならない。 

47 次の各号のいずれかに該当する場合、個人情報取扱者は自発的に個人情報を削除しなければならない。個人情報取扱者が個人情報を削除していない場合、本人は削除を請求する権利を有する。

()   取扱目的が実現し、実現できず、又は取扱の目的を実現するための必要性がなくなった場合

()   個人情報取扱者が製品やサービスの提供を中止し、又は保有期間が終了した場合

()   本人が同意を撤回した場合

()   個人情報取扱者が、法律や行政法規に違反し、個人情報の取扱に関する契約に違反した場合

()   法律や行政法規で定めるその他の場合。

個人情報取扱者は、法律や行政法規で定める保存期間を満たさない場合や、個人情報の削除が技術的に困難な場合には、保存と必要な安全保護措置以外の取扱を中止しなければならない。

48条 個人は、個人情報取扱者に対して、自己の個人情報の取扱に関する規則の説明を求める権利を有する。 

49条 自然人が死亡した場合、その親族は、死者の生前に別段の表示がない限り、自己の適法且つ正当な利益のため、死者の個人情報について本章で定める閲覧・複製・訂正及び削除の権利を行使することができる。

50条 個人情報取扱者は、個人による権利行使の要請を受理、また処理し、便利な仕組みを構築しなければならない。 個人の権利行使の要求を拒否する場合は、その理由を記載しなければならない。

個人情報取扱者が本人の権利行使の要求を拒否した場合、本人は法律により人民法院に訴訟を提起することができる。

5章 個人情報取扱者の義務

51条 個人情報取扱者は、個人情報取扱の目的、取扱方法、個人情報の種類、個人の権益への影響及び可能な安全リスクに応じて、個人情報取扱活動が法律及び行政法規の規定を遵守することを確保し、不正アクセス及び個人情報の漏洩、改ざん、紛失を防止するため、以下の措置を講じなければならない。

() 内部管理システム及び操作規程の制定

()   個人情報に対する分類化管理

()   相応の暗号化、非識別化などの適切な安全技術措置の適用

()   個人情報を取り扱う業務の権限を合理的に定め、従事者に対する定期的な安全教育及び研修を実施

()   個人情報の安全事件に対する緊急対応プランの策定と実施

()   法律や行政法規で定めるその他の措置 

52条 取扱う個人情報が国家インターネット情報部門が規定する個人情報取扱数量に達した個人情報取扱者は、個人情報保護責任者を指名し、個人情報の取扱活動や講じた保護措置等の監督責任を負う。

個人情報取扱者は、個人情報保護責任者の連絡先を開示し、その責任者の氏名及び連絡先を個人情報保護を担当する部門に報告しなければならない。 

53条 本法第3条第2項に規定する中華人民共和国国境外の個人情報取扱者は、中華人民共和境内において個人情報保護に関する事項を取扱う専門機関を設置し、代表者を指定し、個人情報保護職責を履行する部門に関連機関の名称又は代表者の名称及び連絡先を報告しなければならない。 

54条 個人情報取扱者は、個人情報の取扱について、法律及び行政法規に基づき、定期的にコンプライアンス監査を行わなければならない。 

55条 次の各号のいずれかに該当する場合には、個人情報取扱者は、個人情報保護に関する影響評価を行い、その取扱う状況を記録しなければならない。

()   センシティブな個人情報の取扱

()   個人情報による自動化意思決定

()   個人情報の取扱の委託、他の個人情報取扱者への提供、個人情報の開示

()   個人情報を境外に提供すること

()   その他、個人の権益に重大な影響を与える個人情報取扱活動

56条 個人情報保護影響評価には、次の事項を含まなければならない。 

()   個人情報の取扱目的、取扱方法等が適法、正当且つ必要であるか否か

()   個人の権益への影響及び安全リスク

()   講じられた保護措置が合法的、効果的であり、リスクの程度に応じて適切であるか否か

個人情報保護影響評価報告書及び取扱の記録は、少なくとも3年間保存しなければならない。 

57 個人情報の漏洩、改ざん、紛失の発生又は発生のおそれがある場合には、個人情報取扱者は、直ちに救済措置を講じ、個人情報保護を担当する部門及び個人に通知しなければならない。 通知には、以下の事項を含まなければならない。 

()   個人情報の漏洩、改ざん、紛失の発生又は発生のおそれがある情報の種類、原因及び可能性のある危険性

()   個人情報取扱者が講じた救済措置及び被害を軽減するために本人から講じれる措置

()   個人情報取扱者の連絡先

個人情報取扱者が講じる措置が情報の漏洩、改ざん、紛失による被害を有効に回避できる場合、個人情報取扱者は本人に通知しなくてもよい。個人情報保護職責を履行する部門は被害が発生する可能性があると判断した場合、個人情報取扱者に本人への通知を要求する権利を有する。 

58条 重要なインターネットプラットフォームサービスを提供し、利用者数が多く、業態が複雑な個人情報取扱者は、以下の義務を履行しなければならない。

()   国家の規制に従って個人情報保護コンプライアンスシステムを確立・整備し、外部メンバーをメインとした独立機関を設置して個人情報保護の状況を監督する

()   公開、公正、公平の原則を遵守し、プラットフォームの規制を制定し、個人情報の取扱に関する規範及びプラットフォーム内の商品・サービスの提供者の個人情報保護の義務を明確にする

()   個人情報の取扱に関する法律や行政法規に重大に違反するプラットフォーム内の製品・サービス提供者に対して、サービスの提供を停止する

()   個人情報保護に関する社会責任報告書を定期的に公表し、社会的監督を受け入れる 

59 個人情報の取扱を委託された受託者は、本法律及び関係法律、行政法規の規定に基づき、取扱う個人情報の安全を確保するために必要な措置を講じるとともに、個人情報取扱者が本法に定める義務を履行することを支援しなければならない。 

6章 個人情報保護の職責を履行する部門

60 国家インターネット情報部門は、個人情報保護業務及び関連する監督管理業務の統括・調整の責任を負う。 国務院の関連部門は、本法及び関連法律、行政法規の規定に従い、それぞれの個人情報保護の範囲内で、個人情報保護業務及び監督管理を行う。

県以上の地方人民政府の関連部門の個人情報保護と監督管理する責任は、国家の関連規定により確定される。

2項に定める部門を個人情報保護の業務を履行する部門と総称する。 

61 個人情報保護職責を履行する部門は、以下の個人情報保護業務を行う。

()   個人情報保護に関する広報・教育の実施及び個人情報取扱者に対する個人情報保護の指導・監督の展開

()   個人情報保護に関する苦情・相談の受付と対応

()   アプリケーションプログラム等における個人情報の保護に関する評価を行い、その結果を公表すること

()   違法な個人情報取扱行為の調査と処理

()   法律や行政法規で定めるその他の職責 

62 国家インターネット情報部門は、本法に基づき、以下の個人情報保護業務を推進して関連部門との統括を行う。

()   個人情報保護に関する具体的なルールや基準を制定する

()   小規模な個人情報取扱者、センシティブな個人情報の取扱、顔認証や人工知能などの新しい技術やアプリケーションに対して個人情報保護における専門的な具体的なルールや基準を制定する

()   安全で便利性の高い電子ID認証技術の応用に関する研究・開発・普及を支援し、オンラインID認証公共サービスの構築を促進する

()   個人情報保護の社会的サービスシステムの構築を促進し、関連機関の個人情報保護評価及び認証サービスの実施を支援する

()   個人情報保護のための苦情・報告の仕組みを改善する 

63条 個人情報保護職責を履行する部門は、個人情報保護義務を履行し、次の措置を講じることができる。

()   関係者への質問、個人情報の取扱に関する状況を調査すること

()   関係者の個人情報取扱業務に関する契約書、記録、帳簿及び他の関連資料等の閲覧・複製

()   違法性がある個人情報取扱活動の立入検査・調査

()   個人情報取扱活動に関連する設備や物品を検査し、違法な個人情報取扱活動で使用されている証拠となる設備や物品については、本部門の担当者に書面で報告して承認を得た上で、差押え又は押収することができる

個人情報保護の職責を履行する部門は、法律により職責を履行する。当事者はその義務の履行を支援協力しなければならず、拒否又は妨害してはならない。 

64条 個人情報保護の職責を履行する部門は、その職責を履行する間で、個人情報取扱活動に大きなリスクがあると判断し、又は個人情報安全事故が発生した場合、定められた権限と手続きに従って個人情報取扱者の法定代表者又は主要責任人に事情聴取を行い、又は個人情報取扱者に専門機関に委託して個人情報取扱活動のコンプライアンス監査の実施を要請できる。 個人情報取扱者は、要求に応じて措置を講じ、改善を行い、問題を取り除かなければなならない。

個人情報保護の職責を履行する部門は、その職責を履行する間で、個人情報の違法な取扱が犯罪を構成する可能性がある場合、速やかに公安局に移送しなければならない。

65条 いかなる組織又は個人は、違法な個人情報取扱行為について、個人情報保護の職責を履行する部門に苦情又は報告する権利を有する。 苦情、報告を受けた部門は、法律により適時に処理し、その結果を苦情者又は報告者に通知しなければならない。

個人情報保護の職責を履行する部門は、苦情や報告を受ける連絡先を公表しなければならない。

7 法的責任

66条 本法の規定に違反して個人情報を取扱う場合、又は本法に定める個人情報保護の義務を履行しない場合、個人情報保護の職責を履行する部門は、是正を命じ、警告を発し、不法所得を没収し、不法に個人情報を取り扱うアプリケーションのサービスの停止又は中止を命じる。是正を拒否した場合は100万元以下の罰金を科し、直接責任を負う担当者及びその他の直接責任者に対して1万元以上10万元以下の罰金を科す。

前項に規定する違法行為があり、情状が重大な場合には、省以上の個人情報保護の職責を履行する部門から是正を命じ、違法所得を没収し、5千万元以上又は前年の売上高の5%以下の罰金を科し、関連事業の停止又は事業是正の停止を命じることができ、関連主管部門に通知して関連事業許可の取り消し又は事業許可の取り消しを行うことができる。直接責任を負う担当者及びその他の直接責任者は10万元以上100万元以下の罰金を科し、また、一定期間内に関連企業の取締役、監督、上級管理者の職務の禁止を決定できる。 

67 本法の規定に違反する行為は、関係法律及び行政法規の規定により信用ファイルに記録し、且つ公示する。

68 国家機関が本法に定める個人情報保護の職責を履行しない場合、その上位機関又は個人情報保護の職責を履行する部門から是正を命じ、直接責任を負う担当者及びその他の直接責任者に対し法律により処分する。

個人情報保護の職務を行う部門の職員が、その職務を怠り、職権を濫用し、又は便宜を図った場合であって、なお犯罪を構成しない場合は、法律に基づいて処分する。

69条 個人情報の取扱が個人情報の権益を侵害して損害が発生する場合、個人情報取扱者は、その過失がないことを証明できない場合、損害賠償責任等の責任を負わなければならない。

前項に定め損害賠償責任は、本人が被った損失又は個人情報取扱者が得た利益に応じて決定し、本人が被った損失又は個人情報取扱者が得た利益を確定することが困難な場合は、実際の状況に応じて賠償金額を確定する。

70条 個人情報取扱者が本法の規定に違反して個人情報を取り扱い、多数の個人の権益を侵害した場合、人民検察院、法律で定められた消費者組織及び国家インターネット情報部門により確定された組織は、法律に基づいて人民法院に訴訟を提起することができる。 

71条 本法の規定に違反し、治安管理違反行為を構成する者は、法律により治安管理処罰を行う。犯罪を構成する場合には、法により刑事責任を追及する。 

8 附則 

72条 本法は、自然人が個人又は家庭の事情により個人情報を取り扱うことには適用されない。

法律は、各級人民政府及びその関連部門が組織実施する統計ファイル管理活動における個人情報の取扱について規定がある場合には、その規定を適用する。

73条 本法において、次号の用語は以下の通りで意味を規定する。

()   個人情報取扱者とは、個人情報取扱活動において、取扱目的や取扱方法を自ら決定する組織又は個人をいう。

()   自動化意思決定とは、コンピュータプログラムによって個人の行動習慣、興味、又は経済、健康、信用状態が自発的に分析・評価され、意思決定が行われる活動をいう。

()   非識別化とは、追加情報の助けが必要ない場合では、特定の自然人を識別できないよう個人情報を処理するプロセスをいう。

()   匿名化とは、個人情報を特定の自然人と識別できないように処理し、且つ復元できないプロセスをいう。

74条 本法は、2021111日から施行する。

***

本稿、「中華人民共和国個人情報保護法」の日本語訳は、勤理法律事務所が中国語の法律を独自翻訳したもので、正確性を保証いたしておりません。本稿を参考としてお使いください。勤理が本稿をもって如何なるものと如何なる法律、契約関係を樹立していませんので、いかなる責任も負うものではありません。本稿の転載、引用、公表を行う前に、著作権者にご連絡ください。

 

 

作者:

賈 維恒(Weiheng JIA

weihengjia@qinlilegal.com

 梁 馬玲Maling Marinda Liang

malliang@qinlilegal.com

 曲 暁琨(Sean Qu

seanqu@qinlilegal.com

key contact

Weiheng Jia

Weiheng Jia

Partner, National Leader

Shanghaiweihengjia@qinlilegal.com