リリースタイム：2021-8-27 発表人：admin

（2021年8月20日、第十三回全国人民代表大会常務委員会第三十回会議が採択された）

第一章　総則
第一条　個人情報の権益を保護し、個人情報の処理活動を規範化させ、個人情報の合理的な利用を促進するため、憲法に基づき、本法を制定する。

第二条　自然人の個人情報は法律によって保護され、いかなる組織、個人も自然人の個人情報の権益を侵害してはならない。

第三条　中華人民共和国国内で自然人の個人情報を処理する活動には、本法を適用する。
中華人民共和国国外で中華人民共和国国内の自然人の個人情報を処理する活動には、下記のいずれか一つに該当する場合、本法も適用する。
（一）国内の自然人に製品またはサービスを提供することを目的とする。
（二）国内の自然人の行為を分析し、評価する。
（三）法律、行政法規に規定されたその他の状況。

第四条　個人情報は、匿名化処理後の情報を含まない、電子またはその他の手段で記録された、識別された、または識別可能な自然人に関する各種情報である。
個人情報の処理は、個人情報の収集、保存、使用、加工、転送、提供、公開、削除等を含む。

第五条　個人情報の処理には合法、正当、必要及び誠実と信用の原則に従い、誤解を招く、詐欺、強制等の方法で処理してはならない。

第六条　個人情報の処理には、明確で合理的な目的を持ち、処理目的と直接に関連し、個人の権益に対する影響を最小限にする方法を採用しなければならない。
個人情報の収集は、処理目的を実現するための最小限の範囲に限られ、個人情報を過度に収集してはならない。

第七条　個人情報の処理には、公開、透明の原則に従い、個人情報の処理規則を公開し、処理の目的、方法及び範囲を明示しなければならない。

第八条　個人情報の処理には、個人情報の品質を保証し、個人情報が不正確、不完全による個人の権益に不利な影響を与えることを避けられなければならない。

第九条　個人情報の処理者は、その個人情報の処理活動に責任を負い、処理した個人情報の安全を保障するために必要な措置を講じなければならない。

第十条　いかなる組織、個人も他人の個人情報を不法に収集、使用、加工、転送或いは、他人の個人情報を不法に売買、提供または公開してはならない。国家の安全、公共利益に危害を及ぼす個人情報処理活動に従事してはならない。

第十一条　国は健全な個人情報の保護制度を確立し、個人情報の権益を侵害する行為を予防及び処罰し、個人情報の保護広報教育を強化し、政府、企業、関連社会組織、公衆が共同で個人情報保護に参与する良好な環境の構築を推進する。

第十二条　国は個人情報の保護国際規則の制定に積極的に参与し、個人情報保護に関する国際交流と協力を促進し、他の国、地域、国際組織との間の個人情報保護規則、標準等の相互承認を推進する。

第二章　個人情報の処理規則

第一節　一般規定

第十三条　下記のいずれか一つに該当する場合、個人情報処理者は個人情報を処理することができる。
（一）個人の同意を得ている。
（二）個人が一方の当事者としての契約の締結、履行するために必要であり、または法律に基づき制定された労働規則制度と法律に基づき締結された集団契約に従って人事管理を実施する必要がある。
（三）法定職責または法定義務を履行するために必要である。
（四）突発的公衆衛生事件に対応するため、または緊急事態の下で自然人の生命健康と財産安全を守るために必要である。
（五）公共利益のために報道、世論監督等の行為を実施し、合理的な範囲内で個人情報を処理する。
（六）本法の規定に基づき合理的な範囲内で個人が自ら公開した、またはその他の合法的に公開された個人情報を処理する。
（七）法律、行政法規に規定されたその他の状況。
本法のその他の関連規定に基づき、個人情報を処理するには個人の同意を得なければならないが、前項の第二項から第七項までの規定の状況がある場合は、個人の同意を得る必要はない。

第十四条　個人の同意に基づいて個人情報を処理する場合、この同意は個人が十分に事情を知ることを前提として自発的に、明確にしなければならない。法律、行政法規の規定に基づき個人情報を処理する場合は、個人の単独同意または書面による同意を取得しなければならないと規定された場合は、その規定に従うものとする。
個人情報の処理目的、処理方法及び処理の個人情報の種類に変更が発生した場合、個人の同意を新たに取得しなければならない。

第十五条　個人の同意に基づいて個人情報を処理する場合、個人はその同意を撤回する権利を有する。個人情報処理者は、同意を撤回する利便的な方法を提供しなければならない。
個人の同意撤回は、撤回する前に個人の同意に基づいて行われた個人情報処理活動の効力に影響を与えない。

第十六条　個人情報処理者は、個人がその個人情報を処理することに同意しない、または同意を撤回したという理由で、製品またはサービスの提供を拒否してはならない。製品またはサービスの提供に必要な場合の個人情報の処理を除く。

第十七条　個人情報処理者は、個人情報を処理する前に、明らかな方法で、明確かつ分かりやすい言葉で、真実、正確、完全に個人に下記の事項を通知しなければならない。
（一）個人情報処理者の名称または名前と連絡先。
（二）個人情報の処理目的、処理方法、処理する個人情報の種類、保存期限。
（三）個人が本法に規定された権利を行使する場合の方法と手続。
（四）法律、行政法規の規定に基づき通知しなければならないその他の事項。
前項の規定事項に変更が発生した場合は、変更部分を個人に通知しなければならない。
個人情報処理者が個人情報処理規則を制定することにより、第一項の規定事項を通知する場合、処理規則は公開され、かつ閲覧と保存を容易にしなければならない。

第十八条　個人情報処理者が個人情報を処理し、法律、行政法規の規定に基づき秘密を保持し、または通知する必要がない場合には、前条第一項の規定された事項を個人に通知しなくてもよい。
緊急事態の下で、自然人の生命と財産の安全を守るために、速やかに個人に通知できない場合には、個人情報処理者は緊急事態が解消された後、速やかに通知しなければならない。

第十九条　法律、行政法規に別途規定がある場合を除き、個人情報の保存期限は処理目的を実現するために必要な最短時間としなければならない。

第二十条　二人以上の個人情報処理者が共同で個人情報の処理目的と処理方法を決定する場合、各自の権利と義務を約定しなければならない。しかし、当該約定はいずれかの個人情報処理者に対して本法で規定された権利の行使を要求することに影響を与えない。
個人情報処理者が個人情報を共同で処理し、個人情報の権益を侵害して損害を与えた場合、法律に基づき連帯責任を負わなければならない。

第二十一条　個人情報処理者が個人情報の処理を委託する場合は、受託者と委託処理の目的、期限、処理方法、個人情報の種類、保護措置及び双方の権利と義務等を約定し、かつ受託者の個人情報の処理活動について監督を行わなければならない。
受託者は約定に基づき個人情報を処理し、約定の処理目的、処理方法等を超えて個人情報を処理してはならない。委託契約が効力を生じず、無効、取り消されまたは終了した場合、受託者は個人情報を個人情報処理者に返却し、または削除しなければならない、保留してはならない。
個人情報処理者の同意なしに、受託者は他人に再委託して個人情報を処理してはならない。

第二十二条　個人情報処理者は、合併、分割、解散、破産宣告等の理由で個人情報を移転する必要がある場合、個人に受領者の名称または名前と連絡先を通知しなければならない。受領者は引き続き個人情報処理者の義務を履行しなければならない。受領者が本来の処理目的、処理方法を変更する場合、本法の規定に基づき個人の同意を再取得しなければならない。

第二十三条　個人情報処理者が他の個人情報処理者にその処理した個人情報を提供する場合、個人に受領者の名称または名前、連絡先、処理目的、処理方法及び個人情報の種類を通知し、個人の単独同意を取得しなければならない。受領者は、上記の処理目的、処理応報及び、個人情報の種類等の範囲内で個人情報を処理しなければならない。受領者が本来の処理目的、処理方法を変更する場合、本法の規定に基づき個人の同意を再取得しなければならない。

第二十四条　個人情報処理者は個人情報を利用して自動化された意思決定を行う場合に、決定の透明性と結果の公平性、公正性を保証し、個人が取引価格等の取引条件において不合理な差別的取扱を受けることがあってはならない。
自動化された意思決定方法によって個人に情報を送り、商業マーケティングを行う場合、その個人の特徴に合わない選択できる項目を同時に提供しなければならない、または個人に対して利便的な拒否方式を提供しなければならない。
自動化された意思決定方式によって個人の権益に重大な影響を与える決定をする場合、個人は個人情報処理者に説明を求める権利を有し、個人情報処理者は自動化された意思決定により決定されることへ拒否する権利を有する。

第二十五条　個人情報処理者は、その処理した個人情報を公開してはならない。個人の単独同意を取得した場合を除く。

第二十六条　公共の場所に画像収集、個人身分を識別する設備を設置する場合は、公共の安全を維持するために必要であり、国の関連規定を遵守し、目立つ位置に提示標識を設置しなければならない。収集された個人画像、身分識別情報は、公共の安全を維持する目的のみ使用され、他の目的に使用されてはならない。個人の同意を取得した場合を除く。

第二十七条　個人情報処理者は、合理的な範囲内で個人が自ら公開した、またはその他の合法的に公開された個人情報を処理することができる。個人が明確に拒否した場合を除く。個人情報処理者は、すでに公開されている個人情報を処理し、個人の権益に重大な影響を与える場合、本法の規定に基づき個人の同意を取得しなければならない。

第二節　敏感個人情報の処理規則

第二十八条　敏感個人情報は、一旦、漏洩または不法使用された場合、自然人の人格尊厳が侵害され、または人身、財産の安全に危害を容易に及ぼす個人情報であり、生体識別、宗教信仰、特定の身分、医療健康、金融口座、行動履歴等の情報及び14歳未満の未成年者の個人情報を含む。
特定の目的と十分な必要性を有し、かつ厳格な保護措置を講じた場合にのみ、個人情報処理者は敏感個人情報を処理することができる。

第二十九条　敏感個人情報を処理するには個人の単独同意を取得しなければならない。法律、行政法規の規定に基づき敏感個人情報を処理する場合、書面による同意を取得しなければならない場合、その規定に基づく。

第三十条　個人情報処理者が敏感個人情報を処理する場合、本法第十七条第一項に規定された事項以外に、敏感個人情報を処理する必要性及び個人の権益に対する影響について個人に通知しなければならない。本法の規定に基づき個人に通知する必要性がない場合を除く。

第三十一条　個人情報処理者が十四歳未満の未成年者の個人情報を処理する場合、未成年の父母またはその他の保護者の同意を取得しなければならない。
個人情報処理者が14歳未満の未成年者の個人情報を処理する場合、個人情報処理規則に関する、特別な規則を制定しなければならない。

第三十二条　法律、行政法規が、敏感個人情報の処理について関連行政許可を取得しなければならないであると規定している、またはその他の制限を設けている場合、その規定に基づく。

第三節　国家機関個人情報処理特別規定

第三十三条　国家機関が個人情報を処理する活動は、本法が適用される。本節に特別に規定がある場合は、本節の規定を適用する。

第三十四条　国家機関が法定職責を履行するために個人情報を処理する場合、法律、行政法規に規定された権限、手続に従い、法定職責の履行に必要な範囲と限度を超えてはならない。

第三十五条　国家機関が法定職責を履行するために個人情報を処理する場合、本法の規定に基づき通知義務を履行しなければならない。本法第十八条第一項の規定の状況がある場合、または国家機関の法定職責の履行を妨害していると通知した場合を除く。

第三十六条　国家機関が処理する個人情報は中華人民共和国国内に保存しなければならない。確かに国外に提供する必要がある場合は、安全評価を行わなければならない。安全評価は関係機関に支援と協力を求めることができる。

第三十七条　法律、法規に授権された公共事務を管理する機能を有する組織は、法定職責を履行するために個人情報を処理する場合、本法の国家機関による個人情報の処理規定を適用する。

第三章　個人情報クロスボーダー提供の規則

第三十八条　個人情報処理者は業務等の必要により、中華人民共和国国外に個人情報を確かに提供する必要がある場合には、下記の条件のいずれか一つを備えていなければならない。
（一）本法第四十条の規定に基づき、国家ネット情報部門が整備した安全評価に合格する。
（二）国家ネット情報部門の規定に基づき、専門期間による個人情報保護認証を行う。
（三）国家ネット情報部門が制定した標準契約に基づき、国外の受領者と契約を締結し、双方の権利と義務を約定する。
（四）法律、行政法規または国家ネット情報部門が規定したその他の条件。
中華人民共和国が締結または参加する国際条約、協定が中華人民共和国の国外に個人情報を提供する条件等に関する規定をした場合、その規定に基づき執行することができる。
個人情報処理者は、国外の受領者による個人情報を処理する活動が本法で規定された個人情報保護基準に達することを保障するために、必要な措置を講じらなければならない。

第三十九条　個人情報処理者が中華人民共和国国外に個人情報を提供する場合、海外の受領者の名称または名前、連絡先、処理目的、処理方法、個人情報の種類、及び個人が国外の受領者に対して本法で規定される権利の方法と手続等の事項を個人に通知し、個人の単独同意を取得しなければならない。

第四十条　重要情報インフラ運営者及び個人情報の処理が国家ネット情報部門の規定数量に達した個人情報処理者は、中華人民共和国国内で収集し、生成した個人情報を国内に保存しなければならない。確かに国外に提供する必要がある場合、国家ネット情報部門が整備した安全評価を通過しなければならない。法律、行政法規と国家ネット情報部門が安全評価を行わなくてもよいと規定している場合は、その規定に従う。

第四十一条　中華人民共和国の管轄機関は、関連法律と中華人民共和国と締結または参加する国際条約、協定に基づき、または平等互恵の原則に基づき、外国の司法または法執行機関から、国内に保存された個人情報の提供に関する請求を処理する。中華人民共和国の管轄機関の承認無くして、個人情報処理者は外国の司法または法執行機構に中華人民共和国国内に保存されている個人情報を提供してはならない。

第四十二条　国外の組織、個人が中華人民共和国公民の個人情報の権益を侵害し、または中華人民共和国の国家安全、公共利益に危害を及ぼす個人情報処理活動に従事する場合、国家ネット情報部門はそれを個人情報提供制限または禁止リストに組み入れ、公告することができる。また、個人情報の提供を制限または禁止する等の措置を講じる。

第四十三条　いかなる国または地域が個人情報保護に関して中華人民共和国に対して差別的な禁止、制限またはその他の類似の措置を講じた場合、中華人民共和国は実際の状況に応じて、当該国または地域に対して対等に措置を講じることができる。

第四章　個人情報処理活動における個人の権利

第四十四条　個人はその個人情報の処理について知る権利、決定権を有し、他人によるその個人情報を処理することを制限または拒否する権利を有する。法律、行政法規に別途規定がある場合を除く。

第四十五条　個人は個人情報処理者にその個人情報を閲覧、複製する権利を有する。本法第十八条第一項、第三十五条に規定する場合を除く。
個人がその個人情報の閲覧、複製を要求する場合、個人情報処理者は速やかに提供しなければならない。
個人が個人情報をその指定された個人情報処理者に移転を要求する場合、国家ネット情報部門の規定条件に適合する場合、個人情報処理者は移転のルートを提供しなければならない。

第四十六条　個人はその個人情報が不正確または不完全であることを発見した場合、個人情報処理者に訂正、補充を請求する権利を有する。
個人がその個人情報を訂正、補充を要求する場合、個人情報処理者はその個人情報を確認し、速やかに訂正し、補充しなければならない。

第四十七条　下記のいずれか一つに該当する場合、個人情報処理者は自ら個人情報を削除しなければならない。個人情報処理者が削除していない場合、個人は削除を要求する権利を有する。
（一）処理目的が実現された、実現できない、または処理目的を実現するために必要でない。
（二）個人情報処理者が商品またはサービスの提供を停止し、または保存期限が満了した場合。
（三）個人による同意が撤回された。
（四）個人情報処理者が法律、行政法規に違反し、または約定に違反して個人情報を処理する。
（五）法律、行政法規に規定されたその他の状況。
法律、行政法規に規定された保存期限が満了していない場合、または個人情報を削除することが技術的に困難な場合、個人情報処理者は保存及び必要な安全保護措置以外の処理を停止しなければならない。

第四十八条　個人は個人情報処理者にその個人情報処理規則を説明するように要求する権利を有する。

第四十九条　自然人が死亡した場合、その近親者は自身の合法、正当な利益のために、死者の関連個人情報に対して本章の規定された閲覧、複製、訂正、削除等の権利を行使することができる。死者が生前に別段の段取があった場合を除く。

第五十条　個人情報処理者は、利便的な個人の権利行使の申請受付及び処理メカニズムを確立しなければならない。個人の権利行使の請求を拒否する場合は、理由を説明しなければならない。
個人情報処理者が個人の権利行使の請求を拒否した場合、個人は法律に基づき人民法院に訴訟を起こすことができる。

第五章　個人情報処理者の義務

第五十一条　個人情報処理者は、個人情報の処理目的、処理方法、個人情報の種類及び個人権益への影響、潜在的なセキュリティリスク等に基づき、下記の措置を講じて個人情報処理活動が法律、行政法規の規定に適合することを確保し、または不正アクセス及び個人情報の漏洩、改ざん、紛失を防止しなければならない。
（一）内部管理制度と運用規程を制定する。
（二）個人情報に対して分類管理を行う。
（三）相応の暗号化、非特定化等のセキュリティ技術措置を講じる。
（四）個人情報処理の運用権限を合理的に確定し、定期的に従業員にセキュリティ教育と研修を行う。
（五）個人情報セキュリティ事件緊急計画の制定と実施を整備する。
（六）法律、行政法規に規定されたその他の措置。

第五十二条　個人情報の処理が国家ネット情報部門によって規定された数量に達した個人情報処理者は個人情報保護責任者を指定し、個人情報の処理活動及び講じられた保護措置等を監督うる責任を負わければならない。
個人情報処理者は、個人情報保護責任者の連絡先を公開し、個人情報保護責任者の名前、連絡先等を個人情報保護職責履行部門に提出しなければならない。

第五十三条　本法第三条第二項に規定された中華人民共和国国外の個人情報処理者は、中華人民共和国国内に専門機関を設立し、または代表を指定し、個人情報保護に関する事務を処理し、関連機関の名称または代表の名前、連絡先等を個人情報保護職責履行機構に提出しなければならない。

第五十四条　個人情報処理者は、定期的に個人情報の処理に関する法律、行政法規を遵守する状況に対してコンプライアンス監査を行わなければならない。

第五十五条　下記のいずれか一つに該当する場合、個人情報処理者は事前に個人情報保護影響評価を行い、処理状況を記録しなければならない。
（一）敏感個人情報を処理する。
（二）個人情報を利用して自動化された意思決定を行う。
（三）委託して個人情報を処理し、他の個人情報処理者に個人情報を提供し、個人情報を公開する。
（四）国外に個人情報を提供する。
（五）その他の個人の権益に重大な影響を及ぼす個人情報処理活動。

第五十六条　個人情報保護影響評価には、下記の内容が含まれていなければならない。
（一）個人情報の処理目的、処理方法等が適法、正当、必要であるか否か。
（二）個人の権益に対する影響及びセキュリティリスク。
（三）講じた保護措置は合法であり、有効であり、かつリスクの程度に適合しているか否か。
個人情報保護影響評価報告書と処理状況記録は少なくとも三年間保存しなければならない。

第五十七条　個人情報の漏洩、改ざん、紛失が発生した場合、または発生する可能性がある場合、個人情報処理者は直ちに是正措置を講じ、個人情報保護職責履行部門と個人に通知しなければならない。通知には下記の事項が含まれていなければならない。
（一）個人情報の漏洩、改ざん、紛失が発生した、または発生する可能性がある情報の種類、原因及び引き起こす可能性のある危害。
（二）個人情報処理者が講じた是正措置と個人が危害を軽減するために講じることができる措置。
（三）個人情報処理者の連絡先。
個人情報処理者は情報の漏洩、改ざん、紛失による危害を効果的に回避できる措置を講じる場合、個人情報処理者は個人に通知しなくてもいい。個人情報保護職責履行機構は、危害を及ぼす可能性があると判断し、個人情報処理者に個人への通知を求める権利を有する。

第五十八条　重要なインターネットプラットフォームサービスを提供し、膨大な数のユーザー、業務タイプが複雑な個人情報処理者は、下記の義務を履行しなければならない。
（一）国の規定に基づき健全な個人情報保護コンプライアンス制度を確立し、主に外部メンバーから構成される独立機構を設立し、個人情報保護状況を監督する。
（二）公開、公平、公正の原則に基づき、プラットフォーム規則を制定し、プラットフォーム内の製品またはサービス提供者が個人情報を処理するための規範と個人情報を保護する義務を明確にする。
（三）法律、行政法規に重大な違反をした場合、個人情報を処理するプラットフォーム内の製品またはサービス提供者に対して、サービスの提供を停止する。
（四）個人情報保護に関する社会責任報告書を定期的に発表し、社会的監督を受ける。

第五十九条　個人情報の処理委託された受託者は、本法と関連法律、行政法規の規定に基づき、必要な措置を講じて処理した個人情報のセキュリティを確保し、個人情報処理者が本法に規定された義務の履行に協力しなければならない。

第六章　個人情報保護職責履行部門

第六十条　国家ネット情報部門は、個人情報保護業務と関連監督管理業務を統括・調整する責任を負う。国務院の関連部門は本法と関連法律、行政法規の規定に基づき、各自の職責範囲内で個人情報の保護と監督管理業務の責任を負う。
県級以上の地方人民政府の関連部門の個人情報保護と監督管理職の責は、国の関連規定に基づき確定する。
前二項に規定された部門を総称して、個人情報保護職責履行する部門という。

第六十一条　個人情報保護職責履行部門は下記の個人情報保護の職責を履行する。
（一）個人情報保護に関する広報・教育を展開し、個人情報処理者の個人情報保護業務を指導、監督する。
（二）個人情報保護に関する苦情、通報を受理し、処理する。
（三）アプリケーション等の個人情報保護状況に関する評価を整備し、評価結果を公表する。
（四）違法な個人情報処理活動を調査、処理する。
（五）法律、行政法規に規定されたその他の職責。

第六十二条　国家ネット情報部門は関係部門を統括・調整し、本法に基づき下記の個人情報保護業務を推進する。
（一）個人情報保護の具体的な規則、基準を制定する。
（二）小規模個人情報処理者、敏感個人情報の処理及び顔認識、人工知能等の新技術、新アプリケーションに対して、専門的な個人情報保護規則、基準を制定する。
（三）安全で、利便的なアプリケーションの電子身分認証技術の研究開発と普及を支援し、ネットワーク身分認証公共サービスの構築を推進する。
（四）個人情報保護社会化サービス体系の構築を推進し、関係機構の個人情報保護評価、認証サービスの展開を支援する。
（五）個人情報保護に関する苦情、通報業務メカニズムを改善する。

第六十三条　個人情報保護職責履行部門は個人情報保護の職責を履行するため、下記の措置を講じることができる。
（一）関係当事者に問い合わせて、個人情報処理活動に関する状況を調査する。
（二）個人情報処理活動に関する当事者の契約、記録、帳簿及びその他の関連資料を閲覧、複製する。
（三）現場検査を実施し、違法の疑いのある個人情報処理活動を調査する。
（四）個人情報処理活動に関する設備、物品を検査する。個人情報の違法処理活動に使用された設備、物品を証明する証拠がある場合は、当該部門の主要責任者に書面で報告し、承認を得て、差し押さえまたは押収することができる。
個人情報保護職責履行部門は法律に基づき職責を履行し、当事者は支援し、協力し、拒否、妨害してはならない。

第六十四条　個人情報保護職責履行部門が職責を履行する中で、個人情報処理活動に大きなリスクがあることを発見した場合、または個人情報セキュリティ事件が発生した場合、規定された権限と手続に基づき当該個人情報処理者の法定代表者または主要責任者に対して聴取を行うか、または個人情報処理者が専門機構に委託し、その個人情報処理活動についてコンプライアンス監査を行うよう要求する。個人情報処理者は必要に応じて措置を講じ、是正し、隠れたリスクを排除しなければならない。
個人情報保護職責履行部門は職責を履行する中で、個人情報の違法処理による犯罪の疑いがあることを発見した場合、速やかに公安機関に移送し、法律に基づき処理しなければならない。

第六十五条　いかなる組織、個人も違法個人情報処理活動について個人情報保護職責履行部門に苦情、通報する権利を有する。苦情、通報を受けた部門は法律に基づいて速やかに処理し、処理結果を苦情、通報者に通知しなければならない。
個人情報保護職責履行部門は、苦情、通報を受けるための連絡先を公表しなければならない。

第七章　法律責任

第六十六条　本法の規定に違反して個人情報を処理し、または個人情報の処理が本法の規定された個人情報保護義務を履行していない場合、個人情報保護職責履行部門が是正を命じ、警告を発し、違法所得を没収し、個人情報を違法に処理するアプリケーションに対して、サービスの提供を一時停止または終了させるよう命じる。是正を拒否した場合、百万元以下の罰金を科する。直接責任を負う主宰者及びその他の直接責任者に対して一万元以上十万元以下の罰金を科する。
前項に規定された違法行為があり、状況が深刻な場合は、省級以上の個人情報保護職責履行部門が是正を命じ、違法所得を没収し、5千万元以下または前年度の売上高の5%以下の罰金を科し、関連業務の停止または営業を停止・整理を命じ、関連管轄部門に関連業務許可を取り消すまたは営業許可を取り消すよう命じることができる。直接責任を負う主宰者及びその他の直接責任者に対して十万元以上の百万元以下の罰金を科し、一定期間内に関連企業の取締役、監督者、上級管理者及び個人情報保護責任者を担当することを禁止することを決定することができる。

第六十七条　本法に規定された違法行為がある場合、関連法律、行政法規の規定に基づき信用記録に記録し、公表する。

第六十八条　国家機関が本法に規定された個人情報保護義務を履行しない場合、その上級機関または個人情報保護職責履行部門が是正を命じる。直接責任を負う主宰者及びその他の直接責任者に対しては、法律に基づき処分する。
個人情報保護職責履行機構の職員が職務を怠り、職権を乱用し、私利を図り、詐欺をしているが、犯罪を構成しない場合は、法律に基づき処分する。

第六十九条　個人情報の処理が個人情報の権益を侵害し損害を引き起こし、個人情報処理者が自分の過失がないことを証明できない場合、損害賠償等の権利侵害の責任を負わなければならない。
前項に規定された損害賠償責任は、個人がこれにより被った損失、または個人情報処理者がこれにより取得した利益に基づいて確定する。個人が被った損失と個人情報処理者が取得した利益の確定が困難な場合、実際の状況に応じて賠償額を確定する。

第七十条　個人情報処理者が本法の規定に違反して個人情報を処理し、多くの個人の権益を侵害した場合、人民検察院、法律で規定された消費者組織及び国家ネット情報部門により確定された組織が法律に基づき人民法院に訴訟を起こすことができる。

第七十一条　本法の規定に違反し、治安管理行為の違反を構成した場合、法律に基づき治安管理処罰を科する。犯罪を構成した者は、法律に基づき刑事責任を追及する。

第八章　付則

第七十二条　自然人が個人または家庭事務により個人情報を処理する場合には、本法は適用されない。
法律は各級の人民政府及び関連部門が実施する統計、個人情報保存管理活動における個人情報処理に関する規定がある場合、その規定を適用する。

第七十三条　本法における下記の用語の定義は下記の通り。
（一）個人情報処理者とは、個人情報処理活動における、処理目的、処理方式を自主的に決定する組織、個人をいう。
（二）自動化された意思決定とは、コンピュータプログラムを通じて個人の行動習慣、趣味嗜好や経済、健康、信用状況等を自動的に分析し、評価し、意思決定を行う活動をいう。
（三）非特定化とは、個人情報が処理され、追加の情報に頼ることなく特定の自然人を識別できないようにする過程をいう。
（四）匿名化とは、個人情報が処理され、特定の自然人を識別できず、復元できない過程をいう。

第七十四条　本法は2021年11月1日から施行する。