중화인민공화국 개인정보 보호법
(30년 20월 2021일 제XNUMX기 전국인민대표대회 상무위원회 제XNUMX차 회의에서 채택)
제 XNUMX 장
제1조 이 법은 개인정보에 대한 권익을 보호하고 개인정보 처리활동을 규제하며 개인정보의 합리적인 이용을 도모함을 목적으로 헌법에 따라 제정된 법률입니다.
제2조 자연인의 개인정보는 법의 보호를 받는다. 어떤 조직이나 개인도 개인 정보에 대한 자연인의 권리와 이익을 침해할 수 없습니다.
제3조 이 법은 중화인민공화국 영역 내에서 자연인의 개인정보를 처리하는 데 적용된다.
이 법은 다음 상황 중 하나에 해당하는 경우 중화인민공화국 영역 내 자연인의 개인 정보를 중화인민공화국 영역 외부에서 처리하는 경우에도 적용됩니다.
(1) 중화인민공화국 내에서 자연인에게 제품 또는 서비스를 제공할 목적으로;
(2) 중화인민공화국 영역 내에서 자연인의 행동을 분석하거나 평가하는 것; 그리고
(3) 법률 또는 행정 규정에서 규정한 기타 상황.
제4조 "개인정보"라 함은 전자적 또는 기타 방법으로 기록된 식별 또는 식별 가능한 자연인과 관련된 각종 정보를 말하며, 익명의 정보는 포함하지 않습니다.
개인정보 처리에는 개인정보의 수집, 보관, 이용, 처리, 전송, 제공, 공개, 삭제 등이 있습니다.
제5조 개인정보는 법령에 따라 필요한 경우 정당한 사유가 있고 성실하게 처리하며, 기만, 사기, 강요 등이 포함되지 않도록 처리합니다.
제6조 개인정보 처리는 명시적이고 합리적인 목적에 근거하고 그 목적과 직접적으로 관련되어야 하며 개인의 권익에 최소한의 영향을 미치도록 합니다.
개인정보의 수집은 처리 목적에 따라 필요한 최소한의 범위로 제한하며, 개인정보를 과도하게 수집하지 않습니다.
제7조 개인정보를 처리함에 있어 공개 및 투명성의 원칙을 준수하고, 개인정보 처리에 관한 규칙을 공개하며, 처리 목적, 수단 및 범위를 명시해야 합니다.
제8조 개인정보 처리 시 개인정보의 품질을 보장하여 부정확하고 불완전한 개인정보로 인해 개인의 권익에 부정적인 영향을 미치지 않도록 해야 합니다.
제9조 개인정보 처리자는 개인정보 처리 활동에 대해 책임을 지고 처리하는 개인정보의 보안을 보장하기 위해 필요한 조치를 취해야 합니다.
제10조 조직 또는 개인은 타인의 개인정보를 불법적으로 수집, 이용, 처리 또는 전송하거나 타인의 개인정보를 불법적으로 거래, 제공 또는 공개하거나 국가 안보 또는 위해를 해하는 개인정보 처리 활동을 하여서는 안 된다. 공익.
제11조 국가는 개인정보 보호 시스템을 구축 및 개선하여 개인정보에 대한 권리와 이익의 침해를 예방 및 처벌하고 개인정보 보호에 대한 홍보 및 교육을 강화하며 정부, 기업, 관련 산업 조직에 유리한 환경을 조성해야 합니다. , 국민이 함께 개인정보 보호에 동참합니다.
제12조 국가는 개인 정보 보호에 관한 국제 규칙의 개발에 적극적으로 참여하고 개인 정보 보호에 관한 국제 교류 및 협력을 촉진하며 다른 국가, 지역과 개인 정보 보호 규칙 및 표준의 상호 인정을 장려합니다. , 국제기구.
제XNUMX장 개인정보 처리규정
섹션 1 일반 규칙
제13조 개인정보처리자는 다음 각 호에 해당하는 경우에만 개인의 개인정보를 처리할 수 있습니다.
(1) 개인의 동의를 얻은 경우
(2) 개인이 당사자인 계약의 체결 또는 이행을 위하여 필요하거나 법령에 따라 제정된 근로기준법 및 이에 따라 체결된 단체계약에 따른 인사관리에 필요한 처리 법으로;
(3) 법적 의무 또는 의무를 수행하기 위해 처리가 필요합니다.
(4) 공중 보건 비상 사태에 대한 대응 또는 비상 사태 시 자연인의 생명, 건강 및 재산 안전을 보호하기 위해 처리가 필요합니다.
(5) 개인 정보는 뉴스 보도, 언론 감독 및 기타 공익을 위해 수행되는 활동을 위해 합리적으로 처리됩니다.
(6) 개인이 공개한 개인 정보 또는 기타 법적으로 공개된 개인의 개인 정보가 이 법에 따라 합리적으로 처리됩니다. 그리고
(7) 기타 법률 또는 행정법규가 정하는 경우.
전 항의 (2)에서 (7)에 명시된 경우를 제외하고 이 법의 다른 관련 규정이 제공하는 경우 개인 정보 처리에 대해 개별 동의를 받아야 합니다.
제14조 개인정보 처리가 개인의 동의를 기반으로 하는 경우 개인의 동의는 자발적이고 명시적이며 충분한 정보를 제공해야 합니다. 다른 법률이나 행정법규에서 개인정보를 처리함에 있어 개인의 별도 동의 또는 서면동의를 받아야 한다고 규정하는 경우에는 이에 따릅니다.
개인정보의 처리 목적이나 처리 수단, 처리하는 개인정보의 종류를 변경하는 경우에는 별도의 동의를 받습니다.
제15조 개인정보 처리가 개인의 동의에 기반한 경우 개인은 동의를 철회할 권리가 있습니다. 개인정보 처리자는 개인이 동의를 철회할 수 있는 편리한 방법을 제공해야 합니다.
동의 철회는 철회 전 동의에 따라 수행된 처리 활동의 유효성에 영향을 미치지 않습니다.
제16조 개인정보 처리자는 개인정보 처리에 대한 동의를 유보하거나 개인정보 처리에 대한 동의를 철회했다는 사유로 개인에 대한 제품 또는 서비스 제공을 거부해서는 안 됩니다. 제품 또는 서비스 제공을 위해 개인정보가 필요합니다.
제17조 개인정보처리자는 개인정보를 처리하기 전에 다음 각 호의 사항을 개인에게 알기 쉽고 명확하고 알기 쉬운 언어로 진실하고 정확하며 충분히 알려야 한다.
(1) 개인정보 처리자의 성명 및 연락처
(2) 개인정보의 처리 목적 및 수단, 처리하는 개인정보의 범주 및 보관기간
(3) 개인이 이 법에 규정된 대로 자신의 권리를 행사하는 방법 및 절차; 그리고
(4) 기타 법령 및 행정법규에서 정하는 바에 따라 개인에게 고지하여야 하는 사항.
전항의 사항이 변경된 경우에는 그 변경을 본인에게 통지합니다.
개인정보 처리자가 개인정보 처리규정을 제정하여 제XNUMX항의 사항을 개인에게 통지하는 경우에는 그 처리규정을 공개하여 조회 및 보관이 용이하도록 하여야 한다.
제18조 개인정보처리자는 개인정보를 처리할 때 전조 제XNUMX항에 규정된 사항을 개인에게 알리지 않거나 법률 또는 행정법규에 따라 비밀유지를 요구하거나 통지를 요구하지 않을 수 있다.
개인정보처리자는 비상시 자연인의 생명, 건강 및 재산의 안전을 보호하기 위하여 적시에 개인에게 통지할 수 없는 경우에는 비상이 해제된 후 지체 없이 통지하여야 합니다.
제19조 법령 및 행정법규에 특별한 규정이 있는 경우를 제외하고 개인정보의 보유기간은 처리목적 달성에 필요한 최소한의 기간으로 합니다.
제20조 XNUMX인 이상의 개인정보 처리자가 특정 개인정보의 처리 목적과 수단을 공동으로 결정할 경우, 각자의 개인정보 처리 권리와 의무에 대해 합의해야 합니다. 그러나 이 계약은 이 법에 규정된 권리를 행사하기 위한 개인의 요청에 영향을 미치지 않습니다.
특정 개인정보를 공동으로 처리함에 있어 처리자가 개인정보에 대한 권익을 침해하고 손해를 입힌 경우, 다른 개인정보처리자가 법률에 따라 연대책임을 져야 합니다.
제21조 특정 개인정보의 처리를 당사자에게 위탁하는 개인정보 처리자는 처리 목적, 기간 및 수단, 처리할 개인 정보의 범주 및 보호 조치에 대해 위탁 당사자와 합의해야 합니다. 양 당사자의 권리와 의무를 규정하고, 수탁자의 개인정보 처리 활동을 감독합니다.
수탁자는 동의한 바에 따라 개인정보를 처리하며, 동의한 목적, 수단 및 기타 조건을 초과하여 개인정보를 처리할 수 없습니다. 수탁계약의 효력이 발생하지 않았거나 무효인 경우, 해지 또는 해지된 경우 수탁자는 해당 개인정보를 개인정보처리자에게 반환하거나 삭제하고 개인정보를 보유하지 않습니다.
수탁자는 개인정보 처리자의 동의 없이 개인정보 처리를 타인에게 위탁할 수 없습니다.
제22조 개인정보 처리자가 합병, 분할, 해산, 파산 등의 사유로 개인정보를 이전해야 하는 경우 처리자는 개인에게 이전된 개인정보를 제공받는 자의 성명과 연락처를 알려야 한다. 수령인은 해당 개인정보 처리자의 의무를 계속 수행해야 합니다. 수령인의 원래 목적 또는 처리 수단의 변경은 이 법에 따라 개별 동의를 받아야 합니다.
제23조 개인정보처리자는 다른 처리자에게 개인정보를 제공하기 위해 수령인의 성명, 연락처, 처리 목적 및 방법, 처리하는 개인정보의 범주를 개인에게 알려야 하며, 개인별 별도의 정보를 입수해야 합니다. 동의. 제공받는 자는 상기 개인정보의 목적, 수단, 범주 내에서 개인정보를 처리합니다. 수령인에 의한 처리 목적 또는 수단의 변경은 이 법에 따라 개별 동의를 받아야 합니다.
제24조 개인정보를 자동 의사결정에 이용하는 개인정보처리자는 의사결정의 투명성과 결과의 공정성과 공평성을 보장해야 하며, 거래가격 및 기타 거래조건에 있어 개인에 대하여 부당한 차별대우를 하여서는 아니된다.
자동화된 의사결정에 기반한 개인에 대한 정보 푸시 및 상업적 마케팅은 동시에 개인의 특성에 국한되지 않는 옵션 또는 개인이 거부할 수 있는 편리한 수단을 동반해야 합니다.
개인의 권익에 중대한 영향을 미칠 수 있는 결정이 자동화된 의사결정을 통해 이루어진 경우 개인정보처리자에게 개인정보 처리자에 대한 설명을 요청할 권리와 자동화된 의사결정을 통해서만 처리하는 것을 거부할 권리가 있습니다. 의사 결정.
제25조 개인정보처리자는 개인에게 별도의 동의를 받은 경우를 제외하고는 처리하는 개인정보를 공개하여서는 아니 된다.
제26조 공공 장소의 영상 수집 및 개인 식별 장비는 공공 안전을 유지하기 위해 필요한 경우에만 설치해야 하며 국가의 관련 규정과 눈에 띄는 알림이 있는 곳에 설치해야 합니다. 수집된 개인영상 및 식별정보는 공공의 안전을 위한 용도로만 사용되며, 개인의 별도 동의가 없는 한 다른 목적으로 사용되지 않습니다.
제27조 개인정보 처리자는 개인이 명시적으로 거부하는 경우를 제외하고 개인이 공개한 개인 정보 또는 기타 법적으로 공개된 개인 정보를 합리적으로 처리할 수 있습니다. 공개된 개인 정보의 처리가 개인의 권리와 이익에 중대한 영향을 미칠 수 있는 경우 개인 정보 처리자는 먼저 이 법의 규정에 따라 개인의 동의를 받아야 합니다.
섹션 2 민감한 개인 정보 처리에 관한 규칙
제28조 "민감한 개인정보"란 한 번 누출되거나 불법적으로 사용된 개인정보로서 쉽게 자연인의 인격적 존엄성을 침해하거나 개인의 안전이나 재산을 위협할 수 있는 생체인식, 종교적 신념, 구체적인 정보 등을 포함한다. 만 14세 미만 미성년자의 개인정보는 물론 신분, 건강상태, 금융계좌, 소재지 등
개인정보 처리자는 민감한 개인정보를 특별한 목적이 있는 경우 및 필요한 경우에 한하여, 엄격한 보호 조치가 취해진 상황에서만 처리할 수 있습니다.
제29조 민감한 개인정보의 처리에 대해서는 개인의 별도 동의를 받습니다. 민감한 개인 정보의 처리에 대해 서면 동의를 받아야 한다고 다른 법률 또는 행정 규정이 있는 경우 해당 조항이 우선합니다.
제30조 이 법 제17조 첫 번째 단락에 명시된 사항에 추가하여 민감한 개인정보를 처리하는 처리자는 개인에게 민감한 개인정보를 처리할 필요성과 개인의 권리와 이익에 미치는 영향을 통지해야 합니다. 이 법의 규정에 따라 그러한 통지가 필요하지 않은 경우.
제31조 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위해서는 해당 미성년자의 부모 또는 기타 보호자의 동의를 받아야 합니다.
만 14세 미만 미성년자의 개인정보를 처리하는 개인정보 처리자는 해당 개인정보 처리에 관한 특별 규정을 마련해야 합니다.
제32조 기타 법률 또는 행정법규가 민감한 개인정보의 처리에 대해 관련 행정허가를 받아야 한다고 규정하거나 기타 제한을 부과하는 경우 해당 규정이 우선한다.
제3절 국가기관의 개인정보 처리에 관한 특례
제33조 국가기관이 개인정보를 처리할 때 이 법을 적용한다. 이 섹션에 특별 조항이 있는 경우 이 섹션의 조항이 우선합니다.
제34조 국가기관이 법적 의무를 수행하기 위해 개인정보를 처리할 때 법률과 행정법규가 정하는 권한과 절차에 따라 행동해야 하며 법적 의무를 수행하는 데 필요한 범위와 한도를 초과해서는 안 됩니다.
제35조 국가 기관이 법적 의무를 수행하기 위해 개인 정보를 처리할 때 이 법의 규정에 따라 통지 의무를 이행해야 합니다. 단, 이 법 제18조의 첫 번째 단락에 명시된 상황 또는 통지가 필요한 경우는 예외입니다. 국가 기관이 법적 의무를 수행하는 것을 방해할 것입니다.
제36조 국가기관이 처리하는 개인정보는 중화인민공화국 경내에서 보관한다. 보안 평가는 중화인민공화국 영역 외부의 당사자에게 그러한 정보를 제공하는 것이 진정으로 필요한 경우 수행됩니다. 보안 평가에서 관련 부서는 요청이 있는 경우 지원 및 지원을 제공해야 합니다.
제37조 공무를 관리하는 기능을 가진 법률 또는 규정의 권한을 부여받은 조직이 법적 의무를 이행하기 위해 개인 정보를 처리하는 경우 국가 기관의 개인 정보 처리에 관한 여기 규정이 적용됩니다.
제XNUMX장 국경을 초월한 개인정보 제공에 관한 규칙
제38조 개인정보 처리자가 업무상 또는 기타 이유로 중화인민공화국 영역 외의 당사자에게 진정으로 개인 정보를 제공해야 하는 경우 다음 요구 사항 중 하나를 충족해야 합니다.
(1) 이 법 제40조에 따라 국가 사이버 공간 부서에서 조직한 보안 평가를 통과합니다.
(2) 국가 사이버 공간 부서에서 발행한 규정에 따라 관련 전문 기관으로부터 개인 정보 보호 인증을 획득합니다.
(3) 국가 사이버 공간 부서에서 제정한 표준 계약에 따라 해외 수령인과 쌍방의 권리와 의무를 규정하는 계약을 체결합니다. 그리고
(4) 법률 및 행정 규정 및 국가 사이버 공간 부서에서 정한 기타 조건을 충족합니다.
중화인민공화국이 체결했거나 가입한 국제 조약 또는 협정이 중화인민공화국 영역 외부의 당사자에게 개인 정보를 제공하는 조건을 규정하는 경우 해당 조건을 따를 수 있습니다.
개인정보 처리자는 해외수취인의 개인정보 처리 활동이 이 법에서 규정하는 개인정보 보호 기준을 충족할 수 있도록 필요한 조치를 취해야 합니다.
제39조 개인정보 처리자가 중화인민공화국 영역 외의 당사자에게 개인정보를 제공하는 경우 처리자는 개인에게 해외 수령인의 이름 및 연락처 정보, 처리 목적 및 수단, 개인 정보 범주를 알려야 합니다. 개인이 해외수취인 등에 대하여 이 법에서 규정한 권리를 행사할 수 있는 방법과 절차에 대해 설명하고 개인의 별도 동의를 받아야 합니다.
제40조 국가 사이버 공간 부서가 규정한 범위 내에서 개인 정보를 처리하는 중요 정보 기반 시설 운영자와 개인 정보 처리자는 중화인민공화국 영역 내에서 수집 및 생성된 개인 정보를 국내에 저장해야 합니다. 중화인민공화국 영역 외부의 당사자에게 정보를 제공해야 하는 경우 해당 문제는 국가 사이버 공간 부서에서 조직한 보안 평가를 받아야 합니다. 법률, 행정 규정 또는 국가 사이버 공간 부서에서 발표한 규정에서 보안 평가가 필요하지 않다고 규정하는 경우 해당 규정이 우선합니다.
제41조 중화인민공화국 주무당국은 관련 법률 및 중화인민공화국이 체결 또는 가입한 국제 조약 및 협정에 따라 외국 사법 또는 법 집행 당국의 중국 내 저장된 개인 정보 요청을 처리하거나, 평등과 호혜의 원칙에 따라. 중화인민공화국 주무당국의 승인 없이는 어떠한 조직이나 개인도 중화인민공화국 영역에 저장된 데이터를 외국 사법당국 또는 법집행당국에 제공할 수 없다.
제42조 해외 조직 또는 개인이 개인 정보 처리 활동에 참여하여 중화인민공화국 공민의 개인정보 권익을 침해하거나 중화인민공화국 국가 안보 또는 공공 이익을 위협하는 경우 국가 사이버 공간 부서는 개인정보의 제공을 제한 또는 금지하는 대상자 명단에 포함시키고, 그 명단을 공표하고, 해당 기관 및 개인에 대하여 개인정보 제공을 제한 또는 금지하는 등의 조치를 할 수 있습니다.
제43조 국가 또는 지역이 중화인민공화국에 대해 개인정보 보호에 대해 금지, 제한 또는 기타 유사한 차별 조치를 취하는 경우, 중화인민공화국은 실제 상황에 따라 상기 국가 또는 지역에 대해 대응 조치를 취할 수 있습니다.
제XNUMX장 개인정보 처리 활동에 대한 개인의 권리
제44조 개인은 법률이나 행정법규에 달리 규정된 경우를 제외하고 정보를 받을 권리, 자신의 개인 정보 처리에 대한 결정을 내릴 권리, 타인에 의한 자신의 개인 정보 처리를 제한하거나 거부할 권리가 있습니다.
제45조 개인은 이 법 제18조 첫 번째 단락 및 제35조에 명시된 경우를 제외하고 개인 정보 처리자로부터 자신의 개인 정보를 상담하고 복제할 권리가 있습니다.
개인이 자신의 개인 정보에 대한 상담 또는 복제를 요청한 경우 요청받은 개인 정보 처리자는 해당 정보를 적시에 제공해야 합니다.
개인이 개인 정보 이전에 대한 국가 사이버 공간 부서의 요구 사항을 충족하는 지정된 개인 정보 처리자에게 자신의 개인 정보 이전을 요청하는 경우 요청받은 개인 정보 처리자는 이전 수단을 제공해야 합니다.
제46조 개인은 자신의 개인정보가 부정확하거나 불완전함을 발견한 경우 개인정보 처리자에게 관련 정보의 수정 또는 보완을 요청할 권리가 있다.
개인정보처리자는 개인정보의 정정 또는 보완을 요구한 경우 해당 정보를 확인하고 적시에 정정 또는 보완하여야 한다.
제47조 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자가 우선적으로 개인정보를 말소하여야 하며, 개인정보처리자가 정보를 삭제하지 아니한 경우 개인은 개인정보의 삭제를 요청할 권리가 있습니다.
(1) 처리 목적이 달성되었거나 달성될 수 없거나 그러한 정보가 처리 목적을 달성하는 데 더 이상 필요하지 않습니다.
(2) 개인정보 처리자가 제품 또는 서비스의 제공을 중단하거나 보관 기간이 만료된 경우
(3) 개인이 동의를 철회하는 경우
(4) 개인정보 처리자가 법령, 행정법규 또는 약정에 위반하여 개인정보를 처리하는 경우 또는
(5) 기타 법률 및 행정법규가 정하는 경우.
개인정보처리자는 법령 또는 행정법규에서 정한 보관기간이 경과하지 아니하거나 기술적으로 개인정보를 삭제하기 어려운 경우에는 그 개인정보의 저장 및 보관에 필요한 보안조치를 하는 것 외에는 그 처리를 중지합니다.
제 48 조 개인은 개인 정보 처리자가 개발한 개인 정보 처리 규칙의 해석을 개인 정보 처리자에게 요청할 권리가 있습니다.
제49조 사망한 자연인의 가까운 친척은 자신의 적법하고 정당한 이익을 위해 이 장에서 규정하는 경우를 제외하고 상담, 복제, 수정 및 삭제와 같은 사망자의 개인 정보를 처리할 권리를 행사할 수 있습니다. 사망 전에 고인이 달리 준비한 경우.
제50조 개인정보 처리자는 개인의 권리 행사 요청을 접수하고 처리하는 메커니즘을 수립해야 합니다. 개인의 요청이 거부된 경우에는 그 이유를 제시합니다.
개인의 권리 행사 요청이 개인정보 처리자에 의해 거부된 경우 개인은 법에 따라 인민법원에 소송을 제기할 수 있습니다.
제XNUMX장 개인정보 처리자의 의무
제51조 개인정보 처리자는 처리 목적과 방법, 처리하는 개인정보의 범주, 개인의 권리 및 개인 정보에 대한 무단 액세스, 위반, 변조 또는 손실을 방지해야 합니다.
(1) 내부 관리 시스템 및 운영 절차를 공식화합니다.
(2) 개인 정보의 분류 관리를 구현합니다.
(3) 암호화 및 비식별화와 같은 해당 보안 기술 조치를 채택합니다.
(4) 개인정보 처리에 대한 운영 권한을 합리적으로 결정하고 정기적으로 종사자에 대한 안전 교육 및 훈련을 실시합니다.
(5) 개인 정보 보안 비상 사태에 대한 비상 계획을 수립하고 그러한 계획의 실행을 조직합니다. 그리고
(6) 기타 법률 및 행정 규정에 따른 조치.
제 52 조 국가 사이버 공간 부서에서 규정한 범위 내에서 개인 정보를 처리하는 개인 정보 처리자는 개인 정보 보호 담당자를 지정해야 하며 처리자의 개인 정보 처리 활동과 그에 따른 보호 조치를 감독해야 합니다. , 무엇보다도.
개인정보 처리자는 개인정보 보호 책임자의 연락처를 공개하고, 해당 자의 성명, 연락처, 기타 정보를 개인정보 보호 업무를 담당하는 부서에 제출하여야 합니다.
제53조 이 법 제3조 XNUMX항에 규정된 중화인민공화국 경외 개인정보 처리자는 중화인민공화국 경내에서 개인정보 처리를 담당할 전문기관을 설립하거나 대표자를 지정해야 한다. 개인정보 보호에 관한 사항을 처리하고 기관 및 대표자의 성명, 연락처, 기타 정보를 개인정보 보호 업무를 담당하는 부서에 제출합니다.
제54조 개인정보처리자는 법률 및 행정법규에 따라 개인정보 처리 활동에 대한 준수 감사를 정기적으로 실시해야 합니다.
제55조 개인정보 처리자는 다음 상황 중 하나에 해당하는 경우 개인정보 보호에 미치는 영향을 사전에 평가하고 처리 과정을 기록해야 합니다.
(1) 민감한 개인 정보 처리
(2) 자동화된 의사 결정을 수행하기 위해 개인 정보를 사용합니다.
(3) 개인정보 처리를 타인에게 위탁하거나, 개인정보를 타인에게 제공하거나, 개인정보를 공개하는 행위
(4) 중화인민공화국 영역 밖의 당사자에게 개인 정보를 제공하는 행위 또는
(5) 개인에게 중대한 영향을 미칠 수 있는 기타 개인 정보 처리 활동을 수행합니다.
제56조 개인정보 보호에 대한 영향 평가에는 다음 내용이 포함되어야 합니다.
(1) 개인정보 처리의 목적과 수단이 적법하고 정당하며 필요한지 여부
(2) 개인의 권리와 이익 및 보안 위험에 대한 영향; 그리고
(3) 취해진 보호 조치가 적법하고 효과적이며 위험의 정도와 양립할 수 있는지 여부.
개인정보 보호에 대한 영향평가 보고서 및 처리기록을 XNUMX년 이상 보관합니다.
제57조 개인정보의 침해, 변조 또는 손실이 발생하거나 발생할 가능성이 있는 경우, 개인정보 처리자는 즉시 시정 조치를 취하고 개인정보 보호 업무를 담당하는 부서와 해당 개인에게 통지해야 합니다. 통지에는 다음 항목이 포함되어야 합니다.
(1) 침해, 변조 또는 손실된 개인 정보의 범주, 위반, 변조 및 손실의 원인 및 가능한 피해
(2) 개인 정보 처리자가 채택한 구제 조치 및 개인이 피해를 완화하기 위해 취할 수 있는 조치 그리고
(3) 개인정보 처리자의 연락처 정보.
개인 정보 처리자가 취한 조치가 개인 정보의 침해, 변조 또는 손실로 인한 피해를 효과적으로 방지할 수 있는 경우 개인 정보 처리자는 개인에게 통지할 필요가 없습니다. 개인정보 보호업무를 담당하는 부서는 피해가 발생할 수 있다고 판단하는 경우 개인정보처리자에게 개인에게 통지할 것을 요청할 수 있는 권한이 있습니다.
제58조 사용자가 많고 업종이 복잡한 중요한 인터넷 플랫폼 서비스를 제공하는 개인정보 처리자는 다음 의무를 수행해야 합니다.
(1) 국가의 규정에 따라 개인 정보 보호 준수 시스템을 구축 및 개선하고 개인 정보 보호를 감독하기 위해 주로 외부 구성원으로 구성된 독립 조직을 설립합니다.
(2) 개방성, 공정성 및 정의의 원칙을 따르고 플랫폼 규칙을 공식화하고 플랫폼 내 제품 또는 서비스 제공자가 개인 정보를 처리할 때 충족해야 하는 규범과 의무를 명확히 합니다.
(3) 법률 및 행정 규정을 심각하게 위반하여 개인 정보를 처리하는 플랫폼 내에서 제품 또는 서비스 제공자에 대한 서비스 제공을 중단합니다. 그리고
(4) 공공 감독을 위해 개인 정보 보호에 대한 사회적 책임 보고서를 정기적으로 발행합니다.
제59조 개인정보 처리를 위탁받은 당사자는 이 법과 관련 법률 및 행정법규에 따라 처리를 위탁받은 개인정보의 보안을 보장하기 위해 필요한 조치를 취하고 위탁한 개인정보 처리자가 다음을 수행하도록 지원해야 합니다. 이 법이 제공하는 의무.
제XNUMX장 개인정보 보호 업무
제60조 국가 사이버 공간 부서는 개인 정보 보호 및 관련 감독 및 관리의 전반적인 계획 및 조정을 책임져야 합니다. 국무원 관련 부서는 이 법과 기타 관련 법률 및 행정법규에 따라 각자의 직무 범위 내에서 개인정보 보호 및 관련 감독 관리를 책임진다.
현급 이상 지방 인민정부 관련 부서의 개인정보 보호 및 관련 감독 관리 업무는 국가 관련 규정에 따라 결정한다.
전 XNUMX항에서 규정한 부서를 총칭하여 개인정보 보호 업무를 담당하는 부서라고 합니다.
제61조 개인정보 보호 업무를 맡은 부서는 다음과 같은 개인정보 보호 업무를 수행한다.
(1) 개인정보 보호에 대한 홍보 및 교육을 실시하고 개인정보 처리자의 개인정보 보호에 대한 지도 및 감독
(2) 개인정보 보호와 관련한 불만 및 신고 접수 및 처리
(3) 개인정보 보호 측면에서 신청 등에 대한 평가를 조직하고 평가 결과를 공표한다.
(4) 불법적인 개인정보 처리 활동에 대한 조사 및 처리 그리고
(5) 기타 법령 및 행정법규가 정하는 업무.
제62조 국가 사이버 공간 부서는 이 법에 따라 다음과 같은 노력을 통해 개인 정보 보호를 촉진하기 위해 관련 부서를 조정해야 합니다.
(1) 개인 정보 보호에 대한 구체적인 규칙 및 표준을 제정합니다.
(2) 소규모 개인 정보 처리자, 민감한 개인 정보 처리, 얼굴 인식 및 인공 지능과 같은 신기술 및 응용 프로그램에 대한 특별 개인 정보 보호 규칙 및 표준을 개발합니다.
(3) 연구 개발을 지원하고 안전하고 편리한 전자 신원 인증 기술의 적용을 촉진하며 네트워크 신원 인증을 위한 공공 서비스를 발전시킵니다.
(4) 다양한 사회 부문이 참여하여 개인 정보 보호 서비스 시스템의 개발을 촉진하고 관련 기관이 개인 정보 보호 평가 및 인증 서비스를 제공하도록 지원합니다. 그리고
(5) 개인 정보 보호와 관련된 불만 사항 및 보고 메커니즘을 개선합니다.
제63조 개인정보 보호업무를 수행하는 부서는 관련 업무를 수행할 때 다음과 같은 조치를 취할 수 있습니다.
(1) 개인정보 처리 활동과 관련한 당사자의 질문 및 상황 조사
(2) 개인 정보 처리 활동과 관련된 당사자의 계약, 기록, 장부 및 기타 관련 자료를 참조하고 복제합니다.
(3) 현장 검사를 수행하고 불법 개인 정보 처리 활동이 의심되는 사항을 조사합니다. 그리고
(4) 개인정보 처리 활동과 관련된 장비 및 물품의 검사 개인정보 보호업무를 담당하는 부서장에게 서면으로 신고하여 승인을 받은 후, 불법적인 개인정보 처리행위와 관련된 장비 및 물품을 증거로 압수 또는 봉인하거나 압수합니다.
개인정보 보호 업무를 담당하는 부서가 법률에 따라 업무를 수행할 때 관련 당사자는 협력하고 지원해야 하며 거부하거나 방해해서는 안 됩니다.
제64조 개인정보 보호업무를 맡은 부서가 업무를 수행할 때 개인정보 처리 활동에 있어 상대적으로 위험성이 높거나 개인정보 보안사고가 발생한다고 판단되는 경우 해당 부서는 법정대리인 또는 주요 담당자와 면담할 수 있다. 개인정보 처리자에게 제공한 권한 및 절차에 따라 개인정보 처리자에게 개인정보 처리업무에 대한 준법감시를 의뢰하거나 전문기관에 위탁하여 처리하도록 요청합니다. 개인 정보 처리자는 필요에 따라 시정하고 잠재적인 위험을 제거하기 위한 조치를 취해야 합니다.
개인정보 보호업무를 수행하는 부서는 업무를 수행하는 과정에서 범죄와 관련될 수 있는 불법적인 개인정보 처리 활동을 발견한 경우 법에 따라 적시에 공안기관에 사건을 이송해야 합니다.
제65조 모든 조직 또는 개인은 개인정보의 불법 처리에 대해 개인정보 보호 담당 부서에 불만을 제기하고 신고할 권리가 있습니다. 이러한 고충이나 신고를 접수한 부서는 법에 따라 적시에 처리하고 그 결과를 제보자 또는 제보자에게 알려야 합니다.
개인정보 보호 업무를 담당하는 부서는 불만 및 신고를 접수하기 위한 연락처 정보를 게시해야 합니다.
제XNUMX장 법적 책임
제66조 개인정보가 이 법의 규정을 위반하거나 이 법에서 규정한 개인정보 보호 의무를 이행하지 않고 처리된 경우, 개인정보 보호 담당 부서는 위반자에게 시정, 경고, 불법 몰수 명령을 내려야 한다. 개인정보를 불법적으로 처리하는 애플리케이션에 의해 서비스 제공의 중단 또는 종료를 명령하는 행위 위반자가 시정을 거부하는 경우 10,000만 위안 이하의 벌금을 부과한다. 직접 책임을 지는 책임자와 기타 직접 책임을 지는 자는 각각 100,000만 위안 이상 XNUMX만 위안 이하의 벌금에 처한다.
전항에서 규정한 불법 행위를 하고 정황이 엄중한 경우 성급 이상 개인정보 보호 업무를 담당하는 부서는 위반자에게 시정을 명령하고 불법 이익을 몰수하고 50만원 이하의 벌금을 부과한다. RMB 100,000천만 위안 이상 또는 전년도 매출액의 1% 이하, 또한 관련 사업의 중단을 명령하거나 정밀 검사를 위해 모든 사업 운영의 중단을 명령할 수 있으며 권한 있는 기관에 관련 사업 허가 또는 면허를 취소하도록 통지할 수 있습니다. 직접 책임이 있는 사람과 기타 직접 책임이 있는 사람에게 각각 XNUMX만 위안 이상 XNUMX만 위안 이하의 벌금을 부과하고 상기 언급된 사람이 이사, 감독관, 선임 일정 기간 내에 해당 기업의 관리자 또는 담당자
제67조 이 법의 규정을 위반한 경우 관련 신용기록에 기재하고 관련 법률 및 행정법규의 규정에 따라 공시한다.
제68조 국가기관이 이 법에서 규정한 개인정보 보호 의무를 이행하지 않는 경우, 상급 기관 또는 개인정보 보호 의무를 맡은 부서는 시정을 명령하고 직접 책임을 지는 책임자를 징계하고 징계한다. 법률에 따라 기타 직접 책임이 있는 사람.
개인정보보호 업무를 담당하는 부서의 직원이 직무를 태만히 하거나 직권을 남용하거나 편애를 행하여 범죄에 해당하지 않는 경우 해당 직원은 법에 따라 제재를 받습니다.
제69조 개인 정보 처리자가 개인 정보 처리 활동으로 인해 개인 정보에 대한 권리 또는 이익을 침해하고 처리자의 잘못이 아님을 입증할 수 없는 경우 처리자는 손해 및 기타 불법 행위에 대한 책임을 져야 합니다.
전항의 손해배상책임은 개인정보를 침해한 개인의 손해와 침해한 개인정보처리자가 얻은 이익에 따라 결정됩니다. 그리고 위의 손실 또는 이익을 결정하기 어려운 경우 손해액은 실제 상황에 따라 결정됩니다.
제70조 개인정보처리자가 이 법의 규정을 위반하여 개인정보를 처리하여 많은 개인의 권익을 침해한 경우 인민검찰원, 법률로 규정한 소비자단체, 국가사이버공간부서에서 지정한 기관에 소송을 제기할 수 있다. 법에 따라 인민법원에 소송을 제기한다.
제71조 이 법을 위반하여 공안행정을 위반하는 경우 법에 따라 공안행정처벌을 받는다. 위반 행위가 범죄를 구성하는 경우 위반자는 법률에 따라 형사 책임을 져야 합니다.
제XNUMX장 부칙
제72조 자연인이 개인 또는 가사를 위해 개인 정보를 처리하는 경우 이 법을 적용하지 않습니다.
다른 법률이 각급 인민정부와 관련 부서가 조직하고 수행하는 통계 또는 기록 보관 관리 활동에서 개인 정보 처리를 규정하는 경우 해당 법률의 규정이 우선합니다.
제73조 이 법의 목적상 다음 용어는 다음과 같은 의미를 갖는다.
(1) "개인정보처리자"라 함은 개인정보의 처리 목적 및 수단을 자율적으로 결정하는 조직 또는 개인을 말합니다.
(2) "자동의사결정"이라 함은 개인의 행동, 취미, 경제, 건강, 신용상태 등을 컴퓨터 프로그램을 통하여 자동으로 분석·평가하여 의사결정하는 행위를 말한다.
(3) "비식별화"라 함은 추가적인 정보의 뒷받침이 없는 한 특정 자연인을 식별할 수 없도록 개인정보를 처리하는 것을 말합니다.
(4) "익명화"라 함은 개인정보를 특정 자연인을 식별하거나 복원할 수 없도록 처리하는 과정을 말합니다.
제74조 이 법은 1년 2021월 XNUMX일부터 시행한다.