「중화인민공화국 개인정보 보호법」
• 국 가 · 지 역: 중국 • 법 률 번 호: 주석령 [2021] 제 91 호 • 제 정 일: 2021년 8월 20일 • 공 포 일: 2021년 8월 20일 ∙ 시 행 일: 2021년 11월 1일
为了保护个人信息权益,规范个人信息处 理活动,促进个人信息合理利用,根据宪 法,制定本法。
自然人的个人信息受法律保护,任何组 织、个人不得侵害自然人的个人信息权益。
在中华人民共和国境内处理自然人个人信 息的活动,适用本法。
个人信息是以电子或者其他方式记录的与 已识别或者可识别的自然人有关的各种信 息,不包括匿名化处理后的信息。 个人信息的处理包括个人信息的收集、存 储、使用、加工、传输、提供、公开、删 除等。
处理个人信息应当遵循合法、正当、必要 和诚信原则,不得通过误导、欺诈、胁迫 等方式处理个人信息。
处理个人信息应当具有明确、合理的目 的,并应当与处理目的直接相关,采取对 个人权益影响最小的方式。 收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
处理个人信息应当遵循公开、透明原则, 公开个人信息处理规则,明示处理的目 的、方式和范围。
处理个人信息应当保证个人信息的质量, 避免因个人信息不准确、不完整对个人权 益造成不利影响。
个人信息处理者应当对其个人信息处理活 动负责,并采取必要措施保障所处理的个 人信息的安全。
任何组织、个人不得非法收集、使用、加 工、传输他人个人信息,不得非法买卖、 提供或者公 开他人个人信息;不得从事 危害国家安全、公共利益的个人信息处理 活动。
国家建立健全个人信息保护制度,预防和 惩治侵害个人信息权益的行为,加强个人 信息保护宣传教育,推动形成政府、企 业、相关社会组织、公众共同参与个人信 息保护的良好环境。
国家积极参与个人信息保护国际规则的制 定,促进个人信息保护方面的国际交流与 合作,推动与其他国家、地区、国际组织 之间的个人信息保护规则、标准等互认。
依照本法其他有关规定,处理个人信息应 当取得个人同意,但是有前款第二项至第 七项规定情形的,不需取得个人同意。
基于个人同意处理个人信息的,该同意应 当由个人在充分知情的前提下自愿、明确 作出。法律、行政法规规定处理个人信息 应当取得个人单独同意或者书面同意的, 从其规定。 个人信息的处理目的、处理方式和处理的 个人信息种类发生变更的,应当重新取得 个人同意。
基于个人同意处理个人信息的,个人有权 撤回其同意。个人信息处理者应当提供便 捷的撤回同意的方式。 个人撤回同意,不影响撤回前基于个人同 意已进行的个人信息处理活动的效力。
个人信息处理者不得以个人不同意处理其 个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品 或者服务所必需的除外。
前款规定事项发生变更的,应当将变更部 分告知个人。
个人信息处理者处理个人信息,有法律、 行政法规规定应当保密或者不需要告知的 情形的,可以不向个人告知前条第一款规 定的事项。 紧急情况下为保护自然人的生命健康和财 产安全无法及时向个人告知的,个人信息 处理者应当在紧急情况消除后及时告知。
除法律、行政法规另有规定外,个人信息 的保存期限应当为实现处理目的所必要的 最短时间。
两个以上的个人信息处理者共同决定个人 信息的处理目的和处理方式的,应当约定 各自的权利和义务。但是,该约定不影响 个人向其中任何一个个人信息处理者要求 行使本法规定的权利。 个人信息处理者共同处理个人信息,侵害 个人信息权益造成损害的,应当依法承担 连带责任。
个人信息处理者委托处理个人信息的,应 当与受托人约定委托处理的目的、期限、 处理方式、个 人信息的种类、保护措施 以及双方的权利和义务等,并对受托人的 个人信息处理活动进行监督。 受托人应当按照约定处理个人信息,不得 超出约定的处理目的、处理方式等处理个 人信息;委托合同不生效、无效、被撤销 或者终止的,受托人应当将个人信息返还 个人信息处理者或者予以删除,不得保 留。 未经个人信息处理者同意,受托人不得转 委托他人处理个人信息。
个人信息处理者因合并、分立、解散、被 宣告破产等原因需要转移个人信息的,应 当向个人告知接收方的名称或者姓名和联 系方式。接收方应当继续履行个人信息处 理者的义务。 接收方变更原先的处理目的、处理方式 的,应当依照本法规定重新取得个人同 意。
个人信息处理者向其他个人信息处理者提 供其处理的个人信息的,应当向个人告知 接收方的名称或者姓名、联系方式、处理 目的、处理方式和个人信息的种类,并取 得个人的单独同意。 接收方应当在上述 处理目的、处理方式和个人信息的种类等 范围内处理个人信息。 接收方变更原先的处理目的、处理方式 的,应当依照本法规定重新取得个人同 意。
个人信息处理者利用个人信息进行自动化 决策,应当保证决策的透明度和结果公 平、公正,不得对个人在交易价格等交易 条件上实行不合理的差别待遇。 通过自动化决策方式向个人进行信息推 送、商业营销,应当同时提供不针对其个 人特征的选项,或者向个人提供便捷的拒 绝方式。 通过自动化决策方式作出对个人权益有重 大影响的决定,个人有权要求个人信息处 理者予以说明,并有权拒绝个人信息处理 者仅通过自动化决策的方式作出决定。
个人信息处理者不得公开其处理的个人信 息,取得个人单独同意的除外。
在公共场所安装图像采集、个人身份识别 设备,应当为维护公共安全所必需,遵守 国家有关规定,并设置显著的提示标识。 所收集的个人图像、身份识别信息只能用 于维护公共安全的目的,不得用于其他目 的;取得个人单独同意的除外。
个人信息处理者可以在合理的范围内处理 个人自行公开或者其他已经合法公开的个 人信息;个人明确拒绝的除外。 个人信息处理者处理已公开的个人信息, 对个人权益有重大影响的,应当依照本法 规定取得个人同意。
敏感个人信息是一旦泄露或者非法使用, 容易导致自然人的人格尊严受到侵害或者 人身、财产安全受到危害的个人信息,包 括生物识别、宗教信仰、特定身份、医疗 健康、 金融账户、行踪轨迹等信息,以 及不满十四周岁未成年人的个人信息。 只有在具有特定的目的和充分的必要性, 并采取严格保护措施的情形下,个人信息 处理者方可处理敏感个人信息。
处理敏感个人信息应当取得个人的单独同 意;法律、行政法规规定处理敏感个人信 息应当取得书面同意的,从其规定。
个人信息处理者处理敏感个人信息的,除 本法第十七条第一款规定的事项外,还应 当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可 以不向个人告知的除外。
个人信息处理者处理不满十四周岁未成年 人个人信息的,应当取得未成年人的父母 或者其他监护人的同意。 个人信息处理者处理不满十四周岁未成年 人个人信息的,应当制定专门的个人信息 处理规则。
法律、行政法规对处理敏感个人信息规定 应当取得相关行政许可或者作出其他限制 的,从其规定。
国家机关处理个人信息的活动,适用本 法;本节有特别规定的,适用本节规定。
国家机关为履行法定职责处理个人信息, 应当依照法律、行政法规规定的权限、程 序进行,不得超出履行法定职责所必需的 范围和限度。
有本法第十八条第一款规定的情形,或者 告知将妨碍国家机关履行法定职责的除 外。
确需向境外提供的,应当进行安全评估。 安全评估可以要求有关部门提供支持与协 助。
法律、法规授权的具有管理公共事务职能 的组织为履行法定职责处理个人信息,适 用本法关于国家机关处理个人信息的规 定。
中华人民共和国缔结或者参加的国际条 约、协定对向中华人民共和国境外提供个 人信息的条件等有规定的,可以按照其规 定执行。 个人信息处理者应当采取必要措施,保障 境外接收方处理个人信息的活动达到本法 规定的个人信息保护标准。
个人信息处理者向中华人民共和国境外提 供个人信息的,应当向个人告知境外接收 方的名称或者姓名、联系方式、处理目 的、处理方式、个人信息的种类以及个人 向境外接收方行使本法规定权利的方式和 程序等事项,并取得个人的单独同意。
关键信息基础设施运营者和处理个人信息 达到国家网信部门规定数量的个人信息处 理者,应当将在中华人民共和国境内收集 和产生的个人信息存储在境内。
法律、行政法规和国家网信部门规定可以 不进行安全评估的,从其规定。
中华人民共和国主管机关根据有关法律和 中华人民共和国缔结或者参加的国际条 约、协定,或者按照平等互惠原则,处理 外国司法或者执法机构关于提供存储于境 内个人信息的请求。 非经中华人民共和国主管机关批准,个人 信息处理者不得向外国司法或者执法机构 提供存储于中华人民共和国境内的个人信 息。
境外的组织、个人从事侵害中华人民共和 国公民的个人信息权益,或者危害中华人 民共和国国家安全、公共利益的个人信息 处理活动的,国家网信部门可以将其列入 限制或者禁止个人信息提供清单,予以公 告,并采取限制或者禁止向其提供个人信 息等措施。
任何国家或者地区在个人信息保护方面对 中华人民共和国采取歧视性的禁止、限制 或者其他类似措施的,中华人民共和国可 以根据实际情况对该国家或者地区对等采 取措施。
法律、行政法规另有规定的除外。
有本法第十八条第一款、第三十五条规定 情形的除外。 个人请求查阅、复制其个人信息的,个人 信息处理者应当及时提供。 个人请求将个人信息转移至其指定的个人 信息处理者,符合国家网信部门规定条件 的,个人信息处理者应当提供转移的途 径。
个人发现其个人信息不准确或者不完整 的,有权请求个人信息处理者更正、补 充。 个人请求更正、补充其个人信息的,个人 信息处理者应当对其个人信息予以核实, 并及时更正、补充。
法律、行政法规规定的保存期限未届满, 或者删除个人信息从技术上难以实现的, 个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
个人有权要求个人信息处理者对其个人信 息处理规则进行解释说明。
死者生前另有安排的除外。
个人信息处理者应当建立便捷的个人行使 权利的申请受理和处理机制。 拒绝个人行使权利的请求的,应当说明理 由。 个人信息处理者拒绝个人行使权利的请求 的,个人可以依法向人民法院提起诉讼。
处理个人信息达到国家网信部门规定数量 的个人信息处理者应当指定个人信息保护 负责人,负责对个人信息处理活动以及采 取的保护措施等进行监督。 个人信息处理者应当公开个人信息保护负 责人的联系方式,并将个人信息保护负责 人的姓名、联系方式等报送履行个人信息 保护职责的部门。
本法第三条第二款规定的中华人民共和国 境外的个人信息处理者,应当在中华人民 共和国境内设立专门机构或者指定代表, 负责处理个人信息保护相关事务,并将有 关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
个人信息处理者应当定期对其处理个人信 息遵守法律、行政法规的情况进行合规审 计。
个人信息保护影响评估报告和处理情况记 录应当至少保存三年。
个人信息处理者采取措施能够有效避免信 息泄露、篡改、丢失造成危害的,个人信 息处理者可以不通知个人; 履行个人信息保护职责的部门认为可能造 成危害的,有权要求个人信息处理者通知 个人。
接受委托处理个人信息的受托人,应当依 照本法和有关法律、行政法规的规定,采 取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定 的义务。
国家网信部门负责统筹协调个人信息保护 工作和相关监督管理工作。国务院有关部 门依照本法和有关法律、行政法规的规 定,在各自职责范围内负责个人信息保护 和监督管理工作。 县级以上地方人民政府有关部门的个人信 息保护和监督管理职责,按照国家有关规 定确定。 前两款规定的部门统称为"履行个人信息 保护职责的部门"。
履行个人信息保护职责的部门依法履行职 责,当事人应当予以协助、配合,不得拒 绝、阻挠。
履行个人信息保护职责的部门在履行职责 中,发现个人信息处理活动存在较大风险 或者发生个人信息安全事件的,可以按照 规定的权限和程序对该个人信息处理者的 法定代表人或者主要负责人进行约谈,或 者要求个人信息处理者委托专业机构对其 个人信息处理活动进行合规审计。个人信 息处理者应当按照要求采取措施,进行整 改,消除隐患。 履行个人信息保护职责的部门在履行职责 中,发现违法处理个人信息涉嫌犯罪的, 应当及时移送公安机关依法处理。
任何组织、个人有权对违法个人信息处理 活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当 依法及时处理,并将处理结果告知投诉、 举报人。 履行个人信息保护职责的部门应当公布接 受投诉、举报的联系方式。
拒不改正的,并处一百万元以下罚款;对 直接负责的主管人员和其他直接责任人员 处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,由 省级以上履行个人信息保护职责的部门责 令改正,没收违法所得,并处五千万元以 下或者上一年度营业额百分之五以下罚 款,并可以责令暂停相关业务或者停业整 顿、通报有关主管部门吊销相关业务许可 或者吊销营业执照;对直接负责的主管人 员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定 期限内担任相关企业的董事、监事、高级 管理人员和个人信息保护负责人。
有本法规定的违法行为的,依照有关法 律、行政法规的规定记入信用档案,并予 以公示。
国家机关不履行本法规定的个人信息保护 义务的,由其上级机关或者履行个人信息 保护职责的部门责令改正; 对直接负责的主管人员和其他直接责任人 员依法给予处分。 履行个人信息保护职责的部门的工作人员 玩忽职守、滥用职权、徇私舞弊,尚不构 成犯罪的,依法给予处分。
处理个人信息侵害个人信息权益造成损 害,个人信息处理者不能证明自己没有过 错的,应当承担损害赔偿等侵权责任。 前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的 利益确定; 个人因此受到的损失和个人信 息处理者因此获得的利益难以确定的,根 据实际情况确定赔偿数额。
个人信息处理者违反本法规定处理个人信 息,侵害众多个人的权益的,人民检察 院、法律规定的消费者组织和由国家网信 部门确定的组织可以依法向人民法院提起 诉讼。
违反本法规定,构成违反治安管理行为 的,依法给予治安管理处罚; 构成犯罪的,依法追究刑事责任。
自然人因个人或者家庭事务处理个人信息 的,不适用本法。 法律对各级人民政府及其有关部门组织实 施的统计、档案管理活动中的个人信息处 理有规定的,适用其规定。
本法自 2021 年 11 月 1 日起施行。
「중화인민공화국 개인정보 보호법」
• 국 가 · 지 역: 중국 • 법 률 번 호: 주석령 [2021] 제 91 호 • 제 정 일: 2021년 8월 20일 • 공 포 일: 2021년 8월 20일 ∙ 시 행 일: 2021년 11월 1일
개인정보의 권익을 보호하며, 개인정보 처리 활동을 규율하고, 개인정보의 합리 적인 이용을 촉진하기 위하여 헌법에 근 거하여 이 법을 제정한다.
자연인의 개인정보는 법률의 보호를 받으 며, 모든 조직・개인은 자연인의 개인정 보 권익을 침해하여서는 아니 된다.
중화인민공화국 국내에서 자연인의 개인 정보를 처리하는 활동에 이 법을 적용한다.
개인정보는 자연인을 식별하거나 식별할 수 있는 각종 관련 정보를 전자방식 또는 그 밖의 방식으로 기록한 것이다. 다만, 익명처리가 된 정보는 포함하지 아니한 다. 개인정보의 처리는 개인정보의 수집・저 장・사용・가공・전송・제공・공개・삭제 등을 포함한다.
개인정보의 처리는 적법・정당・필요・신 의성실의 원칙을 준수하여야 하며, 개인 정보를 오도・사기・협박 등의 방식으로 처리하여서는 아니 된다.
개인정보의 처리는 명확하고 합리적인 목 적이 있어야 하며, 처리 목적과 직접적으 로 상관 관계가 있어야 하고, 개인 권익 에 미치는 영향을 최소화하는 방식으로 하여야 한다. 개인정보의 수집은 처리 목적을 실현하는 최소한의 범위에 한정되어야 하고 개인정 보를 과도하게 수집하여서는 아니 된다.
개인정보는 공개・투명성의 원칙을 준수 하여야 하며, 개인정보 처리규칙을 공개 하여 처리 목적・방식・범위를 명시하여 야 한다.
개인정보의 처리는 개인정보의 부정확성 ・불완전성으로 개인권익에 불이익을 받 지 않도록 개인정보의 품질을 보장하여야 한다.
개인정보처리자는 그 개인정보처리활동에 대한 책임을 져야 하며, 처리하는 개인정 보의 안전을 보장하는데 필요한 조치를 취하여야 한다.
모든 조직・개인은 타인의 개인정보를 불 법으로 수집・사용・가공・전송하여서는 아니 되며, 타인의 개인정보를 불법으로 매매・제공・공개하여서는 아니 된다. 또 한, 국가안전・공익에 해를 끼치는 개인 정보 처리활동을 하여서는 아니 된다.
국가는 건전한 개인정보 보호제도를 수립 하며, 개인정보의 권익을 침해하는 행위 를 예방 및 처벌하고, 개인정보 보호에 관한 홍보・교육을 강화하여 정부・기업 ・관련 사회조직・공중이 개인정보 보호 에 공동으로 참여하기에 좋은 환경을 조 성하도록 촉진한다.
국가는 개인정보 보호에 관한 국제규칙의 제정에 적극적으로 참여하며, 개인정보 보호에 관한 국제교류와 협력을 촉진하 고, 다른 국가・지역・국제조직 간에 개 인정보 보호에 관한 규칙・표준 등을 서 로 인정하는 상호주의를 추진한다.
이 법의 다른 관련 규정에 따른 개인정보 처리는 개인의 동의를 받아야 한다. 다만, 앞 관 제 2 항부터 제 7 항까지의 상황에 해당하는 경우 개인의 동의를 받아야 할 의무는 없다.
개인의 동의에 기초하여 개인정보를 처리 하는 경우 해당 동의는 개인이 충분히 사 정을 인지한다는 것을 전제로 자발적이고 명확하게 이루어져야 한다. 법률・행정법 규에 개인정보 처리시 개인으로부터 별도 의 동의 또는 서면 동의를 받아야 한다고 정하여진 경우 그 규정에 따른다. 개인정보의 처리 목적・처리 방식, 처리 되는 개인정보의 종류가 변경되는 경우 다시 개인의 동의를 받아야 한다.
개인의 동의에 기초하여 개인정보를 처리 하는 경우 해당 개인은 그 동의를 철회할 권리가 있다.개인정보처리자는 동의 철회 에 간편한 방식을 제공하여야 한다. 개인의 동의 철회는 철회 이전에 개인의 동의에 기초하여 이루어진 개인정보 처리 활동의 효력에 영향을 미치지 아니한다.
개인정보처리자는 개인이 그 개인정보 처 리에 동의하지 아니하거나 동의 철회를 한다는 이유로 제품 또는 서비스의 제공 을 거부하여서는 아니 된다. 개인정보의 처리가 제품 또는 서비스 제공에 필요한 경우는 제외한다.
앞 관에서 정하는 사항에 변경이 발생하 는 경우 변경 부분을 개인에게 알려주어 야 한다.
개인정보를 처리하는 것에 대하여 법률・ 행정법규에서 비밀을 유지하여야 한다고 정하는 경우 또는 개인에게 알려줄 의무가 없다고 정하는 경우 개인정보처리자 는 제 17 조제 1 관에서 정하는 사항을 개인에게 알려주지 아니할 수 있다. 긴급상황 발생시 자연인의 생명・건강과 재산 안전을 보호하기 위하여 적시에 개 인에게 알려주는 것이 불가능한 경우 개 인정보처리자는 긴급상황이 종료된 뒤 적 시에 알려주어야 한다.
법률・행정법규에 달리 정하여진 경우를 제외하고, 개인정보 보존기간은 처리 목 적의 실현에 필요한 최소한의 기간으로 한다.
둘 이상의 개인정보처리자가 개인정보의 처리 목적과 처리 방식을 공동으로 결정 하는 경우 각자의 권리와 의무를 약정하 여야 한다. 다만, 해당 약정은 개인이 그 중 어느 하나의 개인정보처리자에게 이 법에서 정하는 권리를 행사하기 위한 요 구하는 것에 영향을 미치지 아니한다. 개인정보처리자의 개인정보 공동처리가 개인정보 권익을 침해하여 손해를 입힌 경우 법에 따라 연대책임을 져야 한다.
개인정보처리자가 개인정보의 처리를 위 탁하는 경우 위탁 처리의 목적・기간・처 리 방식・개인정보의 종류・보호 조치・ 당사자 양쪽의 권리와 의무 등을 수탁자 와 약정하여야 하고, 수탁자의 개인정보 처리활동을 감독하여야 한다. 수탁자는 약정에 따라 개인정보를 처리하 여야 하며, 약정한 처리 목적・처리 방식 등을 벗어나게 개인정보를 처리하여서는 아니 된다. 위탁 계약이 발효되지 않거나 무효・취소・종료되는 경우 수탁자는 개 인정보를 개인정보처리자에게 반환하거나 삭제하여야 하고, 그 개인정보를 보유하 여서는 아니 된다. 수탁자는 개인정보처리자의 동의 없이 타 인에게 개인정보의 처리를 위탁하여서는 아니 된다.
개인정보처리자가 합병・분립・해산・파 산선고 등으로 개인정보의 이전을 필요로 하는 경우 그 개인정보를 이전받는 자의 명칭 또는 성명과 연락 방식을 개인에게 알려주어야 한다. 개인정보를 이전받는 자는 개인정보처리 자의 의무를 이어받아 이행하여야 한다. 개인정보를 이전받는 자가 원래의 처리 목적과 처리 방식을 변경하는 경우 이 법 의 규정에 따라 개인의 동의를 다시 받아 야 한다.
개인정보처리자가 처리한 개인정보를 다 른 개인정보처리자에게 제공하고자 하는 경우 개인정보를 받는 개인정보처리자의 명칭 또는 성명・연락 방식・처리 목적・ 처리 방식・개인정보의 종류를 개인에게 알려주어야 하며, 별도의 동의도 받아야 한다. 개인정보를 받는 개인정보처리자는 위에 서술된 처리 목적・처리 방식・개인 정보의 종류 등의 범위에서 개인정보를 처리하여야 한다. 개인정보를 이전받는 자가 원래의 처리 목적・처리 방식을 변경하는 경우 이 법 의 규정에 따라 개인의 동의를 다시 받아 야 한다.
개인정보처리자가 개인정보를 이용하여 자동화된 의사결정을 하는 경우 그 의사 결정의 투명성과 결과의 형평성・공정성 을 보증하여야 하며, 개인에 대하여 거래 가격 등 거래 조건상 불합리한 차별 대우 를 하여서는 아니 된다. 자동화된 의사결정 방식을 통하여 개인에 게 정보 푸시, 비즈니스 마케팅을 하는 경우 그와 동시에 개인 특성을 드러내지 아니하는 선택지를 제공하거나, 간편한 거부 방식을 개인에게 제공하여야 한다. 자동화된 의사결정 방식으로 개인의 권익 에 중대한 영향을 미치는 의사결정을 하 는 행위에 대하여 개인은 개인정보처리자 에게 설명해 줄 것을 요구할 수 있고, 개 인정보처리자가 자동화된 의사결정 방식 만으로 의사결정을 하는 행위를 거부할 수도 있다.
공공장소에 영상수집・개인신원식별 장치 를 설치하는 경우 공공안전 보호를 위하 여 필요한 관련 국가 규정을 준수하여야 하고, 눈에 띄는 안내표지를 설치하여야 한다. 수집된 개인영상・신원식별 정보는 공공 안전을 보호하는 목적으로만 이용할 수 있으며, 다른 목적으로 이용하여서는 아 니 된다. 개인으로부터 별도의 동의를 받 은 경우는 제외한다.
개인정보처리자는 개인이 스스로 공개한 개인정보 또는 이미 적법하게 공개된 그 밖의 개인정보를 합리적인 범위에서 처리 할 수 있다. 다만, 개인이 명시적으로 거 부하는 경우는 제외한다. 개인정보처리자는 이미 공개된 개인정보 를 처리하는 것이 개인의 권익에 중대한 영향을 미치는 경우 이 법에 따라 개인의 동의를 받아야 한다.
민감개인정보는 이미 누설되었거나 불법 으로 사용되어서 자연인의 인격적 존엄성 에 해를 끼치거나 신변・재산 안전을 침 해할 우려가 있는 개인정보이다. 민감개 인정보는 생체인식・종교 및 신앙・특정 신분・의료 건강・금융 계좌・행적 등의 정보와 만 14 세 미만 아동의 개인정보를 포함한다. 민감개인정보는 특정 목적과 충분한 필요 성이 갖추어지고 엄격한 보호조치가 취하 여진 상황에서만 개인정보처리자가 처리 하는 것이 허용된다.
민감개인정보 처리는 개인으로부터 별도 의 동의를 받아야 한다. 법률・행정법규 에서 민감개인정보 처리에 대하여 서면 동의를 받아야 한다고 정하는 경우 그 규 정을 따른다.
이 법 제 17 조제 1 관에서 정하는 사항 이외에 개인정보처리자가 민감개인정보를 처리하는 경우에는 민감개인정보 처리의 필요성 및 개인 권익에 미치는 영향에 대 하여 개인에게 알려주어야 한다. 개인에 게 알려주지 아니하여도 된다고 이 법에 서 정하는 경우는 제외한다.
개인정보처리자는 만 14 세 미만 아동의 개인정보를 처리하는 경우 미성년자의 부 모 또는 그 밖의 후견인의 동의를 받아야 한다. 개인정보처리자가 만 14 세 미만 아동의 개인정보를 처리하는 경우 전문적인 개인 정보처리규칙을 제정하여야 한다.
법률・행정법규에 민감개인정보의 처리에 대하여 관련 행정허가 또는 그 밖의 제한 이 정하여져 있는 경우 그 규정을 따른 다.
국가기관의 개인정보 처리 활동에 이 법 을 적용한다. 이 절에 특별 규정이 있는 경우 이 절의 규정을 적용한다.
국가기관의 법정 직무수행을 위한 개인정 보처리는 법률・행정법규에서 정하는 권 한・절차에 따라 진행되어야 하며, 법정 직무수행에 필요한 범위와 한도를 넘어서 는 아니 된다.
이 법 제 18 조제 1 관에서 정하는 상황에 해당하는 경우 또는 고지하는 것이 국가 기관의 법정 직무수행에 방해가 되는 경 우는 제외한다.
개인정보를 국외에 제공하여야만 하는 경 우 안전평가를 진행하여야 한다. 안전평 가시 관련 기관에 지원 및 협조를 요청할 수 있다.
법률・법규에 따라 공공사무 관리 직능을 위임받은 조직이 법정 직무수행을 위하여 개인정보를 처리하는 경우 국가기관의 개 인정보 처리에 관한 이 법의 규정을 적용 한다.
중화인민공화국이 체결 또는 참가하는 국 제조약・협정에 중화인민공화국 국외로 개인정보를 제공하는 조건 등의 규정이 있는 경우 그 규정에 따라 집행한다. 개인정보처리자는 국외에서 개인정보를 제공받는 자의 개인정보처리 활동이 이 법에 따른 개인정보 보호기준을 충족하는 데 필요한 조치를 취하여야 한다.
개인정보처리자가 중화인민공화국 국외에 개인정보를 제공하는 경우, 반드시 국외 에서 개인정보를 제공받는 자의 명칭 또 는 성명・연락처・처리목적・처리방식・ 개인정보의 종류・국외에서 개인정보를 제공받는 자에 대하여 개인이 이 법에 규 정된 권리를 행사하는 방식과 절차 등의 사항을 개인에게 알려주어야 하고, 개인 으로부터 별도의 동의도 받아야 한다.
핵심정보기반시설 운영자와 개인정보 처 리량이 국가정보통신 담당부서에서 정한 처리한도에 도달한 개인정보처리자는 중 화인민공화국 국경 내에서 수집 및 생산된 개인정보를 국내에 저장하여야 한다.
안전평가를 하지 않아도 된다고 법률・행 정법규에 명시되어 있는 경우 또는 국가 정보통신 담당부서가 안전평가를 면제할 수 있다고 정하는 경우에는 그에 따른다.
중화인민공화국 주무기관은 외국의 사법 기관 또는 법집행기관이 국내에 저장된 개인정보의 제공을 청구하는 경우 관련 법률과 중화인민공화국이 체결하거나 참 가하는 국제조약・협정 또는 호혜평등의 원칙에 근거하여 그 청구를 처리한다. 개인정보처리자는 중화인민공화국 주무기 관의 승인 없이 외국의 사법기관 또는 법 집행기관에게 중화인민공화국 국경 내에 저장된 개인정보를 제공하여서는 아니 된 다.
국외의 조직・개인이 중화인민공화국 공 민의 개인정보 권익을 침해하는 활동에 종사하는 경우 또는 중화인민공화국의 국 가안전・공공이익을 해치는 개인정보 처 리 활동에 종사하는 경우 국가정보통신 담당부서는 이를 개인정보 제공 제한・금 지 목록에 올려 공고할 수 있고, 그 개인 정보 제공을 제한하거나 금지하는 등의 조치도 취할 수 있다.
특정한 국가・지역이 중화인민공화국에 대하여 개인정보 보호와 관련한 차별적 금지・제한・그 밖에 이와 유사한 조치를 취하는 경우 중화인민공화국은 실제 상황 에 따라 해당 국가・지역에 대하여 대등 한 조치를 취할 수 있다.
개인정보 처리에 대하여 법률・행정법규 에 별도로 규정된 경우는 제외한다.
이 법 제 18 조제 1 관, 제 35 조에서 정하 는 상황에 해당하는 경우는 제외한다. 개인이 그 개인정보의 열람・복사를 청구 하는 경우 개인정보처리자는 이를 지체 없이 제공하여야 한다. 개인이 그 개인정보를 이전할 것을 지정 된 개인정보처리자에게 청구하고 그 청구 가 국가정보통신 담당부서가 정하는 요건 에 부합하는 경우 개인정보처리자는 정보 이전을 위한 경로를 제공하여야 한다.
개인정보가 부정확하거나 불완전한 것을 발견하는 경우 그 개인은 개인정보처리자 에게 해당 내용에 대하여 경정・보완을 청구할 권리가 있다. 개인이 그 개인정보의 경정・보완을 청구 하는 경우 개인정보처리자는 그 개인정보 에 대한 사실을 확인하고 지체 없이 정정 ·보완하여야 한다.
법률・행정법규에서 정하는 정보보존기간 이 만료되지 아니한 경우 또는 개인정보 의 삭제가 기술적으로 어려운 경우 개인 정보처리자는 정보 보존과 필요한 보안조 치 외에는 정보에 대한 처리를 정지하여 야 한다.
개인은 개인정보처리자에게 그 개인정보 처리규칙에 대한 해석・설명을 요구할 권 리가 있다.
사망자가 생전에 이에 대하여 별도로 정 해놓은 경우는 제외한다.
개인정보처리자는 개인이 권리를편리하게 행사할 수 있도록 정보처리 관련 신청 접 수 및 처리 기 제를 구축하여야 한다. 개인의 권리행사를 위한 청구를 거부하는 경우에는 그 이유를 설명하여야 한다. 개인정보처리자가 개인의 권리행사를 위 한 청구를 거부하는 경우 개인은 법에 따 라 인민법원에 소송을 제기할 수 있다.
개인정보 처리량이 국가정보통신 담당부 서에서 정한 처리한도에 도달한 개인정보 처리자는 개인정보처리활동 및 보호조치 등에 대한 감독을 담당하는 개인정보보호 책임자를 지정하여야 한다. 개인정보처리자는 개인정보보호책임자의 연락처를 공개하고, 개인정보보호책임자 의 성명・연락처 등을 개인정보보호 업무 를 수행하는 부서에 송부하여야 한다.
이 법 제 3 조제 2 관에서 정하는중화인민 공화국 국외의 개인정보처리자는 중화인 민공화국 국내에서 개인정보보호에 관한 사무를 처리하는 전담기구 또는 대표자를 지정하여야 하며, 해당 기구의 명칭 또는 대표의 성명・연락처 등을 개인정보보호 업무를 수행하는 부서에 송부하여야 한 다.
개인정보처리자는 그 개인정보 처리가 법 률・행정법규를 준수하고 있는지 여부에 대하여 정기적으로 감사를 실시하여야 한 다.
개인정보보호영향평가 보고서와 처리상황 에 대한 기록은 최소 3 년간 보존하여야 한다.
정보의 유출・변조・분실로 인한 위험을 피하기 위한 조치를 사전에 취하는 경우 개인정보처리자는 위의 내용을 개인에게 통지하지 않을 수 있다. 다만, 개인정보보호 업무를 수행하는 부 서가 개인정보 관리에 위해를 끼칠 우려 가 있다고 판단하는 경우 그 부서는 개인 정보처리자에게 개인에 대한 통지를 이행 하도록 요청할 수 있다.
개인정보 처리를 위탁받은 수탁자는 이 법과 관련한 법률・행정법규에 따라 처리 되는 개인정보의 안전보장을 위하여 필요한 조치를 취하여야 하며, 개인정보처리 자가 이 법에서 정하는 의무를 이행할 수 있도록 협조하여야 한다.
국가정보통신 담당부서는 개인정보보호 업무와 관련한 감독・관리 업무를 총괄하 여 조정한다. 국무원 관련 부서는 이 법 과 관련한 법률・행정법규에 따라 각자의 직무 및 책임 범위 내에서 개인정보 보호 및 감독・관리 업무를 담당한다. 현급 이상 지방인민정부의 개인정보 보호 및 감독・관리 관련 부서의 직무 및 책임 은 국가 관련 규정에 따라 정한다. 제 1 항과 제 2 항에 따른 부서는 "개인정 보보호 직무책임 이행부서"로 통칭한다.
개인정보보호 직무책임 이행부서는 법에 따라 직무 및 책임을 수행하며, 당사자는 이에 협조하여야 하고, 직무수행을 거부 하거나 방해하여서는 아니 된다.
개인정보보호 직무책임 이행부서는 직무 수행 중에 개인정보처리활동의 위험성이 크거나 개인정보보호사건이 발생한 경우 정하여진 권한과 절차에 따라 해당 개인 정보처리자의 법정대리인 또는 주요 책임 자를 면담하거나, 개인정보처리자가 그 개인정보처리활동의 준법이행에 대한 감 사를 전문기관에 위탁하도록 요구할 수 있다. 개인정보처리자는 그 요구에 따라 조치를 취하여야 하고, 시정하여 문제를 해소하여야 한다. 개인정보보호 업무를 수행하는 부서가 직 무수행 중에 개인정보를 위법하게 처리한 혐의가 발견되는 경우 지체 없이 공안기 관에 이송하여 법에 따라 처리하여야 한 다.
모든 단체・개인은 위법한 개인정보처리 활동에 대하여 개인정보보호 직무책임 이행부서에 민원을 제기하거나 신고할 권리 가 있다. 민원 또는 신고를 접수하는 부 서는 법에 따라 지체 없이 처리하고 그 결과를 신고자에게 알려야 한다. 개인정보보호 직무책임 이행부서는 민원 또는 신고 접수를 받는 연락처를 공표하 여야 한다.
시정하지 아니하는 경우 1 백만위안 이하 의 과징금을 부과한다. 직접적 책임을 지 는 담당자와 직접적 책임을 지는 그 밖의 사람에 대하여 1 만위안 이상 10 만위안 이하의 과징금을 부과한다. 앞 관에 따른 위법행위 상황이 심각한 경 우 성급 이상 개인정보보호 직무책임 이 행부서에서 시정명령을 하며, 부당이득을 몰수하고, 5 천만위안 이하 또는 전년도 영업액의 100 분의 5 이하에 해당하는 액 수의 과징금을 부과할 수 있다. 해당 업 무의 일시정지 또는 영업정지를 명령하거 나, 관련 주무부서 통보하여 그 부서가 해당 업무에 대한 허가 취소 또는 영업면 허의 취소를 명령하도록 할 수 있다. 직 접적 책임을 지는 담당자와 직접적 책임 을 지는 그 밖의 사람에게 10 만위안 이 상 100 만위안 이하의 과징금을 부과하 고, 해당 기업의 이사・감사・고위관리자 ・개인정보보호 책임자로 근무하는 것을 일정기간 금지할 수 있다.
이 법에서 정하는 위법행위를 하는 경우 관련 법령・행정법규에 따라 신용조사서 에 기재하고 이를 공시한다.
국가기관이 이 법에서 정하는 개인정보보 호의무를 이행하지 아니하는 경우 그 상 급기관 또는 개인정보보호 직무책임 이행 부서에서 시정을 명령한다. 직접적 책임을 지는 담당자와 직접적 책 임을 지는 그 밖의 사람에 대하여는 법에 따라 처분한다. 개인정보보호 직무책임 이행부서의 담당 자가 직무유기・직권남용・부정부패를 행 하였으나 그 행위의 정도가 범죄를 구성 하지는 아니하는 경우 법에 따라 처분한 다.
개인정보를 처리하는 중에 개인정보 권익 이 침해되어 손해를 입었으나 개인정보처 리자가 과실이 없음을 입증하지 못하는 경우 손해배상 등으로 침해에 대한 책임 을 반드시 져야 한다. 앞 관의 손해배상책임은 그 개인정보처리로 인하여 개인이 입은 손실 또는 개인정 보처리자가 얻은 이익에 따라 정한다. 다 만, 개인이 입은 손실과 개인정보처리자 가 얻은 이익을 확정하기 어려운 경우 실 제 상황에 근거하여 손해배상액을 정한 다.
개인정보처리자가 이 법을 위반하여 개인 정보를 처리하고 여러 사람의 권익을 침 해하는 경우 인민검찰원・법률에서 정하 는 소비자조직과 국가정보통신 담당부서 에서 정하는 조직이 법에 따라 인민법원 에 소송을 제기할 수 있다.
이 법을 위반한 사실이 치안관리 위반행 위를 구성하는 경우 법에 따라 치안관리 처벌을 한다. 위반한 사실이 범죄를 구성하는 경우 법 에 따라 형사 책임을 추궁한다.
자연인이 개인사무 또는 가사사무로 개인 정보를 처리하는 경우에 대하여서는 이 법을 적용하지 아니한다. 각급 인민정부 및 관련 부서 조직이 실시 하는 통계・기록물 관리 활동 중 개인정 보 처리에 관하여 법률에 규정이 있는 경 우에는 그 규정을 적용한다.
이 법은 2021 년 11 월 1 일부터 시행한 다.