ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

中国個人情報保護法草案第二回審議稿の個人的趣味による日本語訳

この記事を書いている2021/05/25時点でまだ草案第二回審議中の、中華人民共和国個人情報保護法(个人信息保护法)の草案全文を試訳しておく。

あくまで単なる個人的趣味としての試訳なので、ゆめゆめ業務目的でご利用なさらぬよう。

原文は、第一回審議稿、第二回審議稿の対比を示している下記ページを参照した。第二回で削除された部分は見え消しで、逆に第二回で追加された部分は太字で示した。 www.secrss.com

第一章 総則

第一条

個人情報の権益を保護し、個人情報処理活動の規範を示し、個人情報の法律に依拠する秩序ある自由な移動を保障し、個人情報の合理的な利用を促進するために、本法を制定する。

第二条

自然人の個人情報は法律の保護を受け、いかなる組織、個人も自然人の個人情報の権益を侵害してはならない。

第三条

組織、個人が中華人民共和国国内において自然人の個人情報を処理する活動について、本法を適用する。 中華人民共和国国外において、中華人民共和国国内の自然人の個人情報を処理する活動も、以下の状況の一つに当てはまる場合は、本法を適用する。 (一)国内の自然人に対して製品あるいはサービスを提供することを目的とする; (二)国内の自然人の行為を分析、評価する; (三)法律、行政法規の定めるその他の状況。

第四条

個人情報は、電子あるいはその他の方法で記録され、すでに識別されたあるいは識別可能な自然人に関する各種情報であり、匿名化処理後の情報は含まない。 個人情報の処理には、個人情報の収集、保存、使用、加工、伝送、提供、公開等を含む。

第五条

個人情報の処理は合法的、正当な方法を採用しなければならず、誠実性の原則を遵守し、誤導、詐欺、脅迫等の方法を通じて個人情報を処理してはならない。

第六条

個人情報の処理は、明確で、合理的な目的を持たなければならず、ならびに処理の目的を実現するために必要最小限の範囲に制限し、個人の権益に対する影響を最小化する方法を採用しなければならず、処理目的と無関係な個人情報処理を行ってはならない。

第七条

個人情報の処理は公開、透明性の原則を遵守しなければならず、個人情報処理規則を公開し、処理の目的、方法および範囲を範囲を明示しなければならない。

第八条

処理の目的を実現するために、個人情報の処理は、個人情報の品質を保証しなければならず、個人情報が不正確、不完全であることによって個人の権益に対する不利な影響を生み出すことを避けなければならない。

第九条

個人情報処理者はその個人情報処理活動に責任を負い、ならびに処理する個人情報のセキュリティを保障するのに必要な措置を採用しなければならない。

第十条

いかなる組織、個人も、法律、行政法規の定めに反して個人情報を処理してはならず、国家の安全、公共の利益に危害を加える個人情報処理活動に従事してはならない。

第十一条

国家は健全な個人情報保護制度を確立し、個人情報の権益を侵害する行為を予防、処罰し、個人情報保護の宣伝教育を強化し、政府、企業、関連する業界組織、社会公衆が共同で個人情報保護に参加する良好な環境を形成することを推進する。

第十二条

国家は積極的に個人情報保護の国際規則の制定に参加し、個人情報保護の方面で国際交流と協力を促進し、その他の国家、地区、国際組織の間の個人情報保護規則、標準等の相互認証を推進する。

第二章 個人情報処理規則

第一節 一般規定

十三条

以下の状況のうち一つに当てはまる場合は、個人情報処理者は個人情報を処理することができる: (一)個人の同意を取得している; (二)当事者の一方として個人が契約を締結あるいは履行するために必要である; (三)法の定める職責あるいは法の定める義務を履行するために必要である; (四)突発的な公衆衛生事件に対応するため、あるいは緊急の状況下で自然人の生命、健康、財産の安全を保護するために必要である; (五)本法の規定に基づいて合理的な範囲内で、すでに公開されている個人情報を処理する; (六)公共の利益のためにニュース報道、世論の監督等の行為を実施し、合理的な範囲内で個人情報を処理する; (七)法律、行政法規の定めるその他の状況。

本法の他の関連条項が規定する個人情報の処理は、個人の同意を得なければならないが、前段第二項から第七項までが規定する状況においては、個人の同意を得る必要はない。

第十四条

個人情報処理の同意は、個人が十分に情報を得ている前提で、自らの意思で、明確に意思表示を行う必要がある。法律、行政法規の定める個人情報処理は、その規定に従って、個人単独の同意、あるいは書面による同意を取得しなければならない。

第十五条

個人情報処理者は満十四歳未満の未成年の個人情報を処理することを知っている、あるいは知っているはずである場合、未成年の父母あるいはその他監督保護者の同意を取得しなければならない。

第十六条

個人の同意に基づいて個人情報処理活動を行う場合、個人はその同意を撤回する権利を有する。個人情報処理者は同意を迅速に撤回する方法を提供しなければならない。

個人が同意を撤回した場合も、撤回前に個人の同意に基づいてすでに行われた個人情報処理活動の効力には影響しない。

第十七条

個人情報処理者は、個人がその個人情報の処理に同意しないこと、あるいは、その個人情報の処理の同意を撤回したことを理由として、製品やサービスの提供を拒否してはならない;ただし個人情報の処理が製品やサービスの提供に必要である場合を除く。

第十八条

個人情報処理者は個人情報を処理する前に、明示的な方法で、明晰で分かりやすい言語で個人に対して以下の事項を告知しなければならない: (一)個人情報処理者の身分と連絡方法; (二)個人情報処理の目的、処理方法、処理する個人情報の種類、保存期間; (三)個人が本法の規定する権利を行使する方法と手続き; (四)法律、行政法規の定めるその他の告知しなければならない事項。

前段の規定の事項に変更が発生した場合は、変更部分を個人に告知しなければならない。

個人情報処理者は個人情報処理規則を定める方法によって、第一段の規定する事項を告知し、処理規則を公開、かつ閲覧、保存しやすいようにしなければならない。

第十九条

個人情報処理者は個人情報を処理する場合、法律、行政法規が秘密とすべき、あるいは告知する必要はないと規定する状況においては、個人に対して前条に規定する事項を告知しなくてもよい。

第二十条

個人情報の保存期間は実際の処理目的に必要な最短の時間でなければならない。法律、行政法規が個人情報の保存期限に対してその他の規定をしている場合は、その規定に従う。

第二十一条

二者あるいは二者以上の個人情報処理者が共同で個人情報の処理目的と処理方法を決定する場合、各自の権利と義務を事前に定めなければならない。ただし個人が、それら個人情報処理者のうちいかなる者に対しても、本法の規定する権利の行使を要求することに影響を与えないものとする。

個人情報処理者が共同で個人情報を処理する場合、個人情報の権益の侵害については、連帯責任を負わなければならない。

第二十二条

個人情報処理者が個人情報の処理を委託する場合、受託者と委託処理の目的、期限、処理方法、個人情報の種類、保護措置および双方の権利と義務等を、事前に定め、ならびに受託者の個人情報処理活動に対して監督を行わなければならない。

受託者は事前に定めた個人情報処理に基づいて、事前に定めた処理目的、処理方法等の個人情報処理を超えてはいけない;委託契約が効力を発生せず、無効、取消、あるいは終了した場合、受託者はその個人情報を個人情報処理者に返還あるいは削除しなければならず、保有し続けてはならない

個人情報処理者の同意を経ず、受託者は個人情報処理を他に委託してはならない。

第二十三条

個人情報処理者は合併、分割等の理由により個人情報を移転する必要がある場合、個人に対して引継先の身分、連絡方法を告知しなければならない。引継先は個人情報処理者の義務を継続して履行しなければならない。引継者が当初の処理目的、処理方法を変更する場合、本法規定に基づいて再度個人に告知し個人の同意を得なければならない。

第二十四条

個人情報処理者はその処理する個人情報を他者に提供する場合、個人に対して受領者の身分、連絡方法、処理目的、処理方法と個人情報の種類を告知し、ならびに個人の単独の同意を得なければならない。個人情報を受領した第三者受領者は上述の処理目的、処理方法と個人情報の種類等の範囲内で個人情報を処理しなければならない。受領者は当初の処理目的、処理方法を変更する場合、本法の規定に基づいて再度個人に告知し個人の同意を得なければならない。

個人情報処理者が第三者に匿名化情報を提供する場合、第三者は技術等の手段を利用して再度個人の身分を識別してはならない。

第二十五条

個人情報を利用して自動化された決定を行う場合、決定の透明度と結果の公平性合理性を保証しなければならない。自動化された決定方法を通じてマーケティング、レコメンデーションを行う場合、同時にその個人の特徴に対するものではないオプションも提供、あるいは個人に対して拒否する方法を提供しなければならない。

自動化された決定方法を通じてマーケティング、レコメンデーションを行う場合、同時にその個人の特徴に対するものではないオプションも提供しなければならない。

自動化された決定方法を通じて個人の権益に対して重大な影響を及ぼす決定を行う場合、個人は個人情報処理者に説明を要求する権利を有し、ならびに個人情報処理者に自動化された決定方法によってのみ決定を行うことを拒否する権利を有する。

第二十六条

個人情報処理者は、個人の単独の同意を得た場合あるいは法律、行政法規が別途定める場合を除き、その処理する個人情報を公開してはならない。

第二十七条

画像の収集、個人の身分の識別を行う設備を公共の場所に設置する場合、公共の安全の維持に必要なこととして、国家の関連する規定を遵守し、ならびに明示的な標識を設置しなければならない。収集した個人の画像、個人の身分の特徴の情報は、公共の安全を維持する目的のみに利用することができ、個人の単独の同意を得た場合あるいは法律、行政法規が別途定める場合を除いて、公開あるいは他者に提供してはならない。

第二十八条

個人情報処理者がすでに公開した情報は、当該個人情報が公開されたときの用途に符合しなければならない。当該用途に関連する合理的な範囲を超える場合は、本法の規定に基づいて個人の同意を得なければならない。

第二節 センシティブな個人情報の処理規則

第二十九条

個人情報処理者は特定の目的と十分な必要性がある場合、センシティブな個人情報を処理することができる。

センシティブな個人情報とは、一旦漏えいあるいは不法に利用された場合、個人が差別あるいは人身、財産の安全に重大な危害を受けるに至る可能性がある情報のことで、種族、民族、宗教信仰、個人の生物学的特徴、医療健康、金融口座、個人の行動等の情報のことをいう。

第三十条

個人の同意に基づいてセンシティブな個人情報を処理する場合、個人情報処理者は個人の単独の同意を得る必要がある。法律、行政法規の定めるセンシティブな個人情報処理の場合は書面による同意を得て、その規定に従わなければならない。

第三十一条

個人情報処理者はセンシティブな個人情報を処理する場合、本法第十八条第一段に定める事項を除き、センシティブな個人情報処理の必要性および個人に対する影響を個人に対して告知しなければならない。

第三十二条

法律、行政法規の定めるセンシティブな個人情報処理の場合は、関連する行政許可を取得あるいはその他の制限を行い、その規定に従わなければならない。

第三節 国家機関による個人情報処理の特別規定

第三十三条

国家機関が個人情報を処理する活動には、本法を適用する;本節が特別な規定を有する場合、本節の規定を適用する。

第三十四条

国家機関が法の定める職責のために個人情報を処理する場合、法律、行政法規の定める権限、手続きに基づいて実施し、法の定める職責が必要とする範囲と限度を超えてはならない。

第三十五条

国家機関が法の定める職責のために個人情報を処理する場合、本法の規定に基づいて個人に告知しならびにその同意を得なければならない;法律、行政法規が秘密にしなければならないと定める場合や、告知、同意の取得により国家機関が法の定める職責の履行が妨害される場合を除く。

##### 第三十六条 国家機関は、法律、行政法規が別途定める場合あるいは個人の同意を得ている場合を除き、その処理する個人情報を公開あるいは他社に提供してはならない。

第三十六条

国家機関の処理する個人情報は中華人民共和国国内に保存しなければならない;国外に提供する必要が確かにある場合は、リスク評価を実施しなければならない。リスク評価に際しては関連部門の提供する支援と協力を要求することができる。

第三十七条

法律、法規が権利を与えて公共事務の管理職能を有する組織が、法の定める職責を履行するために個人情報を処理する場合、本法の国家機関の個人情報処理に関する規定を適用する。

第三章 個人情報の越境提供規則

第三十八条

個人情報処理者は業務等の必要により、中華人民共和国国外に個人情報を提供する必要が確かにある場合は、少なくとも以下に挙げる条件の一つを具備しなければならない: (一)本法第四十条の規定に基づき中国サイバースペース管理局組織の安全評価を経ること (二)中国サイバースペース管理局の規定に基づき専門機関の実施する個人情報保護認証を経ること (三)中国サイバースペース管理局の定める標準契約に基づき国外の受領者と契約を締結し、双方の権利と義務を前もって定め、ならびにその個人情報処理活動が本法の規定する個人情報保護水準に達するよう監督すること (四)法律、行政法規あるいは中国サイバースペース管理局の定めるその他の条件。

第三十九条

個人情報処理者が中華人民共和国国外に個人情報を提供する場合、国外受領者の身分、連絡方法、処理目的、処理方法、個人情報の種類および個人が国外の受領者に対して本法の規定する権利を行使する方法等の事項を本人に告知し、ならびに個人の単独の同意を得なければならない。

第四十条

重要情報基盤施設運営者と、処理する個人情報が中国サイバースペース管理局の規定する数量に達している個人情報処理者は、中華人民共和国国外で収集、産出した個人情報を国内に保存しなければならない。国外提供が確かに必要である場合、中国サイバースペース管理局の安全評価を経なければならない;法律、行政法規と中国サイバースペース管理局が安全評価を行わなくてよいと定める場合は、その規定に従う。

第四十一条

中華人民共和国国外の司法あるいは法執行機関中華人民共和国国内に保存されている個人情報の提供を要求した場合、中華人民共和国の主管機関の許可を経なければ、提供してはならない中華人民共和国が締結あるいは参加している国際条約、協定に規定がある場合は、その規定に基づいて執行することができる。

第四十二条

国外の組織、個人が、中華人民共和国公民の個人情報の権益の損害、あるいは中華人民共和国による国家安全、公共の利益のための個人情報処理活動に危害を加えることに関わった場合、中国サイバースペース管理局は個人情報提供リストへの追加を制限あるいは禁止、告知、ならびに個人情報の提供の制限あるいは禁止等の措置を講ずることができる。

第四十三条

いかなる国家と地区も、個人情報保護において中華人民共和国に対して差別的な禁止、制限あるいはその他類する措置を講じた場合、中華人民共和国は実際の状況に基づき当該国家あるいは当該地区に対して対等な措置を講じることができる。

第四章 個人情報処理活動における個人の権利

第四十四条

個人はその個人情報処理に対して知る権利、決定権を有し、その個人情報に対する他者による処理の実施を制限あるいは拒否する権利を有する;ただし法律、行政法規が別途定める場合を除く。

第四十五条

個人は個人情報処理者に対して、その個人情報を閲覧、複製する権利を有する;ただし本法第十九条第一段の定める状況を除く。

個人によるその個人情報の閲覧、複製請求は、個人情報処理者が直ちに提供しなければならない。

第四十六条

個人がその個人情報が不正確あるいは不完全であることを発見した場合、個人情報処理者に訂正、補足を請求する権利を有する。

個人がその個人情報の訂正、補足を請求した場合、個人情報処理者はその個人情報に対して確認、ならびに直ちに訂正、補足を行わなければならない。

第四十七条

以下の状況の一つに当たる場合、個人情報処理者は自ら個人情報を削除しなければならない;個人情報処理者が未削除の場合、個人は削除請求する権利を有する: (一)処理目的がすでに実現された、あるいは処理目的の実現に不要となった; (二)個人情報処理者が製品あるいはサービスの提供を停止した、あるいは保存期間が満了した; (三)個人が同意を撤回した; (四)個人情報処理者が法律、行政法規に違反あるいは前もって定めた個人情報処理に違反した; (五)法律、行政法規の定めるその他の状況。

法律、行政法規の定める保存期間に満たない場合、あるいは個人情報の削除が技術的に実現困難な場合、個人情報処理者は保存と必要な安全保護措置の実施を除く処理を停止しなければならない。

第四十八条

個人は個人情報処理者に、その個人情報に対する処理規則について説明の実施を要求する権利を有する。

第四十九条

自然人が死亡した場合、本章の規定する個人の個人情報処理活動における権利は、その親族が行使する。

第五十条

個人情報処理者は個人が権利を行使する場合の申請受理と処理体制を確立しなければならない。個人の権利行使の請求を拒否する場合、理由を説明しなければならない。

第五章 個人情報処理者の義務

第五十一条

個人情報処理者は個人情報の処理目的、処理方法、個人情報の種類および個人に対する影響、存在する可能性のあるセキュリティリスク等に基づき、必要な措置を講じ、個人情報処理活動が法律、行政法規の定めに符合することを確保し、ならびに権限のないアクセスおよび個人情報の漏えいあるいは窃取、改ざん、削除を防止しなければならない: (一)内部管理制度と操作規程の制定; (二)個人情報に対する分類管理の実施; (三)適切な暗号化、標識化等のセキュリティ技術の措置 (四)個人情報処理の操作権限の合理的な確定、ならびに定期的な従業員に対する安全教育と訓練の実施; (五)個人情報セキュリティ事故緊急対応の制定ならびに実施; (六)法律、行政法規の定めるその他の措置。

第五十二条

処理する個人情報が中国サイバースペース管理局の定める数量に達している個人情報処理者は個人情報保護責任者を指名しなければならず、個人情報処理活動に対して責任をとり、および採用した保護措置等の実施を監督しなければならない。

個人情報処理者は個人情報保護責任者の連絡方法を公開し、ならびに個人情報保護責任者の氏名、連絡方式等を個人情報保護の職責を履行する部門に報告しなければならない。

第五十三条

本法第三条第二段に定める中華人民共和国国外の個人情報処理者は、中華人民共和国国内に専門の組織を設立あるいは代表者を指定し、個人情報の処理に関する事務の責任を負い、ならびに関連する組織あるいは代表者の氏名、連絡方法等を個人情報保護の職責を履行する部門に報告しなければならない。

第五十四条

個人情報処理者は定期的にその個人情報処理活動、採用している保護措置等の法律、行政法規の遵守状況に対してコンプライアンス監査を実施しなければならない。個人情報保護の職責を履行する部門は個人情報処理者に専門機関に委託して監査を実施するよう要求する権利を有する。

第五十五条

個人情報処理者は以下の個人情報処理活動に対して事前にリスク評価を実施し、ならびに処理状況を記録しなければならない: (一)センシティブな個人情報の処理; (二)個人情報を利用した自動的な決定の実施; (三)個人情報処理の委託、他社への個人情報提供、個人情報の公開; (四)個人情報の国外提供; (五)その他個人に重大な影響のある個人情報処理活動。

リスク評価の内容は以下を含まなければならない: (一)個人情報の処理目的、処理方法等が合法、正当、必要であるか; (二)個人に対する影響およびリスクレベル; (三)採用した安全保護措置が合法、有効ならびにリスクレベルに適しているか;

リスク評価の報告と処理状況の記録は少なくとも三年間保存しなければならない。

第五十六条

個人情報処理者が個人情報漏えいに気付いた場合、直ちに対応措置を講じ、ならびに個人情報保護の職責を履行する部門と個人に通知しなければならない。

通知には以下の事項を含まなければならない: (一)個人情報漏えいの原因; (二)漏えいした個人情報の種類と生じる可能性のある危害; (三)すでに講じた対応措置; (四)個人が講じることのできる危害軽減措置; (五)個人情報処理者の連絡方法。

個人情報処理者の講じた措置が情報漏えいにより生じる損害を免れるのに有効である場合、個人情報処理者は個人に通知しなくてもよい;ただし、個人情報保護の職責を履行する部門が個人情報の漏えいが個人に対して存在を生じさせると認識した場合、個人情報処理者に個人への通知を要求する権利を有する。

第五十七条

インフラ的性格をもつインターネット・プラットフォームサービス、ユーザ数が巨大で、業務類型が複雑な個人情報処理者は、以下の義務を履行しなければならない: (一)主に外部のメンバーで構成される独立機構を設立し、個人情報処理活動に対する監督を実施すること; (二)法律、行政法規に対する重大な違反となる個人情報処理のプラットフォーム内の製品あるいはサービス提供者は、サービス提供を停止すること; (三)定期的に個人情報保護の社会的責任報告を公布し、社会の監督を受けること。

第五十八条

個人情報処理委託を受ける受託者は、本章の定める関連義務を履行し、処理する個人情報の安全を保障するために必要な措置を講じなければならない。

第六章 個人情報保護の職責を履行する部門

第五十九条

中国サイバースペース管理局は個人情報保護業務と関連する監督管理業務を統一、調整する責任を持つ。国務院の関連部門は本法と関連する法律、行政法規の定めに基づき、各自の職責の範囲内で個人情報保護と監督管理業務に責任を持つ。

県級以上の地方人民政府の関連部門の個人情報保護と監督管理職責は、国家の関連する規定の定めに基づく。

前二段の定める部門を、個人情報保護の職責を履行する部門と総称する。

第六十条

個人情報保護の職責を履行する部門は以下の個人情報保護の職責を履行する: (一)個人情報保護の宣伝教育の推進、個人情報処理者の指導、監督、個人情報保護業務の推進; (二)個人情報保護に関する苦情申立て、通報の受付、処理; (三)違法な個人情報処理活動の調査、処理; (四)法律、行政法規の定めるその他の職責。

第六十一条

中国サイバースペース管理局と国務院の関連する部門は職責と権限に基づいて個人情報保護に関する規則を組織、制定し、は関係する部門が本法に基づき以下の個人情報保護業務を推進するよう統一、調整する: (一)個人情報保護の具体的規則、標準の制定; (二)センシティブな個人情報および顔識別、人工知能等の新技術、新規アプリケーションに対する、専用の個人情報保護規則、標準の制定; (三)安全、便利な電子身分認証技術の研究開発支援; (四)個人情報保護の社会化サービス体系確率の推進、関連する機構による個人情報保護評価、認証サービス推進への支援。

第六十二条

個人情報保護の職責を履行する部門は個人情報保護の職責を履行し、以下の措置を講じることができる: (一)関係する当事者への照会、個人情報処理活動に関連する状況の調査; (二)当事者と個人情報処理活動に関する契約、記録、帳簿およびその他関連資料の調査; (三)現場検査の実施、違法の疑いがある個人情報処理活動に対する調査の実施; (四)個人情報処理活動に関係する設備、物品の検査;証拠によって違法であることが証明された個人情報処理活動の設備、物品に対しては、本部門の主な責任者への書面による報告ならびに許可を経た上で、差押えあるいは押収することができる。

個人情報保護の職責を履行する部門は法律に基づいて職責を履行し、当事者は協力しなければならず、拒否、妨害してはならない。

第六十三条

個人情報保護の職責を履行する部門は職責の履行において、個人情報処理活動に相当程度に大きなリスクの存在、あるいは個人情報セキュリティ事故の発生を発見した場合、規定の権限と手続きに基づき、当該個人情報処理者の法定代表者あるいは主な責任者に対して聴取を行い、あるいは個人情報処理者に対し、専門的な機構にその個人情報処理活動のコンプライアンス監査を委託するよう要求することができる。個人情報処理者はその要求に基づいて措置を講じ、改善を実施し、原因を除去しなければならない。

第六十四条

いかなる組織、個人も違法な個人情報処理活動について、個人情報保護の職責を履行する部門に対して苦情申立て、通報を行う権利を有する。苦情申立て、通報を受けた部門は法に基づいて直ちに処理し、ならびに処理結果を苦情申立て、通報を行った者に告知しなければならない。

個人情報保護の職責を履行する部門は苦情、通報を受け付ける連絡方法を公布しなければならない。

第七章 法律上の責任

第六十五条

本法規定に違反した個人情報処理、あるいは必要な安全保護措置を講じる規定に基づかない個人情報処理については、個人情報保護の職責を履行する部門が是正を命令、警告、違法な所得の没収を行う;是正を拒否した場合、百万元以下の罰金を課す;直接の責任を有する主管責任者とその他直接責任を有する人員は一万元以上十万元以下の罰金を課す。

前段に定める違法行為は、情状が重大である場合、個人情報保護の職責を履行する部門は是正を命令、違法な所得の没収を行い、ならびに五千万元以下あるいは前年度売上高の五パーセント以下の罰金を課し、ならびに関連業務の一時停止、業務改善、関連する主管部門への通報と関連する業務許可の取消、あるいは営業許可の取消を行う;直接の責任を有する主管責任者とその他直接責任を有する人員は十万元以上百万元以下の罰金を課す。

第六十六条

本法の定める違反行為があった場合、関連する法律、行政法規の定めに基づき、信用記録に記入し、公示する。

第六十七条

国家機関が本法の定める個人情報保護義務を履行しなかった場合、上級機関あるいは個人情報保護の職責を履行する部門は是正を命令する;直接の責任を有する主管責任者とその他直接責任を有する人員は法に基づく処分を受ける。

第六十八条

個人情報の権益が個人情報処理活動のために侵害を受け、個人情報処理者が自らに過失がないことを証明できない場合、損害賠償等権益の侵害の責任を負わなければならない。

前段に定める損害賠償責任は個人がそれによって受けた損失あるいは個人情報処理者がそれによって得た利益に基づいて確定する;個人がそれによって受けた損失と個人情報処理者がそれによって得た利益の確定が困難な場合、実際の状況に基づいて賠償額を確定する。

個人情報処理者が自ら過失がないことを証明することができれば、責任を軽減あるいは免除することができる。

第六十九条

個人情報処理者が本法の定める個人情報処理に違反し、多数の個人の権益を侵害した場合、人民検察院、個人情報保護の職責を履行する部門と中国サイバースペース管理局が確定する組織が法に基づいて人民法院に提訴することができる。

第七十条

本法の規定に違反し、治安管理行為違反を構成した場合、法に基づいて治安管理処罰を行う;犯罪を構成する場合、刑事責任を追及する。

第八章 附則

第七十一条

自然人が個人あるいは家族の事務処理のために個人情報を処理する場合、本法を適用しない。

法律が各級人民政府およびそれに関連する部門組織の実施する統計、記録管理活動における個人情報処理に対する規定を有する場合は、その規定を適用する。

第七十二条

本法の以下の用語を定義する: (一)個人情報処理者とは、自主的に処理目的、処理方法等個人情報処理の事項を決定する組織、個人を指す。 (二)自動化された決定とは、個人情報を利用して個人の行為習慣、趣味趣向あるいは経済、健康、信用状況等に対して、コンピュータプログラムを通じて自動的に分析、評価し、ならびに決定活動を行うことを指す。 (三)標識化するとは、個人情報を処理を通じて、その他の情報の助けを借りない状況下で特定の自然人を識別できないようにするプロセスを指す。 (四)匿名化とは、個人情報を処理を通じて、特定の自然人を識別できずかつ復原できないようにするプロセスを指す。

第七十三条

本法は 年 月 日より施行する。