번역:중화인민공화국 개인정보보호법
中华人民共和国个人信息保护法 중화인민공화국 개인정보보호법
(2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过)(2021년8월20일 제13기 전국인민대표대회 상무위원회 제30차 회의에서 통과)
第一章 总则 총칙
편집第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。개인정보의 권익을 보호하고, 개인정보처리활동을 규율하며, 개인정보의 합리적 이용을 촉진하기 위하여, 헌법에 근거하여 본법을 제정한다.
第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。자연인의 개인정보는 법률의 보호를 받으며, 어떠한 조직이나 개인도 자연인의 개인정보의 권익을 침해해서는 아니된다.
第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。중화인민공화국 경내에서 자연인의 개인정보를 처리하는 활동은 본법을 적용한다.
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:중화인민공화국 경외에서 중화인민공화국 경내의 자연인의 개인정보를 처리하는 활동은, 아래 열거하는 정황의 어느 하나가 있는 때에, 또한 본법을 적용한다.
(一)以向境内自然人提供产品或者服务为目的;경내의 자연인을 대상으로 제품이나 서비스를 제공하는 것을 목적으로 함.
(二)分析、评估境内自然人的行为;경내 자연인의 행위를 분석, 평가
(三)法律、行政法规规定的其他情形。법률, 행정법규가 규정하는 기타의 정황
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。개인정보란, 전자 또는 기타의 방식으로 기록된, 이미 식별되었거나 식별이 가능한 자연인과 관련한 각종 정보를 말하며, 익명화 처리 후의 정보를 포함하지 않는다.
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。개인정보의 처리는 개인정보의 수집, 보관, 사용, 가공, 전송, 제공, 공개, 삭제 등을 포함한다.
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。개인정보를 처리함에는 응당, 합법, 정당, 필요 및 신의성실의 원칙을 준수하여야 하고, 오도하는, 사기적인, 협박적인 등의 방식을 통하여 개인정보를 처리하여서는 아니된다.
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。개인정보를 처리함에는 응당, 명확하고 합리적인 목적을 갖추어야 하고, 또한 응당, 처리목적과 직접적으로 관련되어야 하며, 개인권익에 대하여 최소한의 영향을 미치는 방식을 채택하여야 한다.
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。개인정보의 수집은 응당, 처리 목적을 실현하는 최소 범위로 한정하여야 하고, 개인정보를 과도하게 수집해서는 아니된다.
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。개인정보의 처리는 응당, 공개, 투명 원칙을 준수하여야 하고, 개인정보처리규칙을 공개하여야 하며, 처리의 목적, 방식 및 범위를 명시하여야 한다.
第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。개인정보의 처리는 응당, 개인정보의 품질을 보증하여야 하고, 개인정보의 불명확, 불완전으로 인하여 개인정보의 권익에 대하여 불이익한 영향을 미치는 것을 피하여야 한다.
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。개인정보처리자는 응당, 그 개인정보처리활동에 대하여 책임을 져야 하고 또한, 필요조치를 채택하여 처리되는 개인정보의 안전을 보장하여야 한다.
第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。어떠한 조직이나 개인도 불법적으로 타인의 개인정보를 수집, 사용, 가공, 전송하여서는 아니되고, 불법적으로 개인정보를 매매, 제공 또는 공개하여서는 아니된다. 또한, 국가안전, 공공이익에 위해를 가하는 개인정보 처리 활동에 종사하여서는 아니된다.
第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。국가는 건전한 개인정보보호제도를 수립하고, 개인정보의 권익을 침해하는 행위를 예방하고 다스려야 하며, 개인정보보호의 선전 교육을 강화하고, 정부, 기업, 관련 사회 조직, 공중이 개인정보보호에 공동으로 참여하는 양호한 환경을 형성하도록 힘써야 한다.
第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。국가는 적극적으로 개인정보보호의 국제적 규칙의 제정에 참여하고, 개인정보보호 방면의 국제교류와 합작을 촉진하며, 기타 국가, 지구, 국제조직 간의 개인정보보호규칙, 표준 등의 상호 인증에 힘써야 한다.
第二章个人信息处理规则 개인정보 처리 규칙
편집第一节一般规定 일반 규정
편집第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:아래 열거하는 정황의 어느 하나에 부합하는 때에는, 개인정보처리자는 비로소 개인정보를 처리할 수 있다.
(一)取得个人的同意;개인의 동의를 취득
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;개인을 일방 당사자의 자격으로 계약을 체결, 이행하기 위하여 필요로 함 또는 법에 따라 제정한 노동 규장 제도와 법에 따라 체결된 집단 계약이 인력자원관리를 실시함에 필요로 함
(三)为履行法定职责或者法定义务所必需;법정 책무 또는 법정 의무를 이행하기 위하여 필요로 함
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;돌발적인 공공 위생 사건에 대응하기 위하여, 또는 긴급한 정황 하에 자연인의 생명, 건강과 재산 안전을 보호하기 위하여 필요로 함
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;공공이익을 위하여 신문 보도, 여론 감독 등의 행위를 실시하기 위하여, 합리적인 범위 내에서 개인정보를 처리하는 경우
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;본법의 규정에 따라 합리적인 범위 내에서 개인이 스스로 공개하거나 기타 이미 합법적인 공개를 거친 개인정보
(七)法律、行政法规规定的其他情形。법률, 행정법규가 규정한 기타 정황
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。본법의 기타 유관규정에 의거하여, 개인정보를 처리함에는 응당 개인의 동의를 취득하여야 한다. 단, 전관 제2항부터 제7항에 규정한 정황이 있는 때에는, 개인의 동의를 취득할 필요가 없다.
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。개인의 동의에 기하여 개인정보를 처리할 때에는, 해당 동의는 응당, 개인이 충분히 사정을 알고 있는 전제 하에서, 스스로 명확히 행한 것이어야 한다. 법률, 행정법규가 개인정보의 처리를 규정함에 응당, 개인 단독의 동의 또는 서면 동의를 요한다고 규정한 때에는, 그 규정에 따른다.
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。개인정보의 처리 목적, 처리방식과 처리하는 개인정보의 종류에 변경이 발생한 때에는, 응당 다시 개인의 동의를 취득하여야 한다.
第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。개인의 동의에 기하여 개인정보를 처리하는 때에는, 개인은 그 동의를 철회할 권리를 갖는다. 개인정보처리자는 응당, 간편한 동의 철회 방식을 제공하여야 한다.
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。개인이 동의를 철회함은, 철회 전에 개인의 동의에 기하여 이미 진행한 개인정보의 처리 활동의 효력에 영향을 주지 아니한다.
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。개인정보처리자는 개인의 그 개인정보 처리에 동의하지 않거나 동의를 철회하였다는 것을 이유로, 제품이나 용역의 제공을 거절하여서는 아니된다. 단, 개인정보의 처리가 제품이나 용역의 제공에 필수적인 때는 제외한다.
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:개인정보처리자가 개인정보를 처리하기 전에, 응당, 현저한 방식, 분명하고 알기 쉬운 언어로, 진실, 정확, 완전한게 개인에게 아래 열거하는 사항을 고지하여야 한다.
(一)个人信息处理者的名称或者姓名和联系方式;개인정보처리자의 명칭 또는 성명과 연락 방법
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;개인정보처리의 목적, 처리방식, 처리하는 개인정보의 종류, 보존기한
(三)个人行使本法规定权利的方式和程序;개인이 본법이 규정한 권리를 행사하는 방식과 절차
(四)法律、行政法规规定应当告知的其他事项。법률, 행정법규가 응당 고지하여야 한다고 규정한 기타 사항
前款规定事项发生变更的,应当将变更部分告知个人。전관에 규정한 사항에 변경이 발생한 때에는, 응당 변경 부분을 개인에게 고지하여야 한다.
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。개인정보처리자가 개인정보처리 규칙을 제공하는 방식을 통하여 제1관에 규정한 사항을 고지할 때에는, 처리규칙은 응당, 공개하여야 하고, 또한 편리하게 열람하고 보존하여야 한다.
第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。개인정보처리자가 개인정보를 처리함에, 법률, 행정법규가 응당 비밀로 하거나 고지할 필요가 없다고 하는 정황이 있는 때에는, 개인에게 전조 제1관에 규정한 사항을 고지하지 않아도 된다.
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。긴급한 정황 하에 자연인의 생명건강과 재산안전을 보호하기 위하여 즉시 개인에게 고지할 방법이 없는 때에는, 개인정보처리자는 응당, 긴급정황이 소멸한 후, 즉시 고지하여야 한다.
第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。법률, 행정법규가 별도로 규정하는 때를 제외하고, 개인정보의 보존기한은 응당, 처리목적을 실현하기 위하여 필요로 하는 최단 시간이어야 한다.
第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。둘 이상의 개인정보처리자가 공동으로 개인정보의 처리 목적과 처리 방식을 결정하는 때에는, 응당, 각자의 권리와 의무를 약정하여야 한다. 단, 그 약정은 개인이 그 중 임의의 개인정보처리자에게 본법이 규정하는 권리를 요구, 행사함에 영향을 주지 아니한다.
个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。개인정보처리자가 공동으로 개인정보를 처리하여, 개인정보의 권익을 침해하여 손해를 일으킨 때에는, 응당 법에 따라 연대책임을 부담한다.
第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。개인정보처리자가 개인정보처리를 위탁하는 때에는, 응당 수탁자와 위탁처리의 목적, 기한, 처리방식, 개인정보의 종류, 보호조치 및 쌍방의 권리와 의무 등을 약정하여야 하고, 또한, 수탁자의 개인정보처리활동에 대하여 감독을 진행하여야 한다.
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。수탁자는 응당 약정에 따라 개인정보를 처리하여야 하고, 약정한 처리 목적, 처리방식 등을 초과하여 개인정보를 처리할 수 없다. 위탁계약이 효력을 발생하지 않거나, 무효이거나, 취소되거나 또는 종료된 때에는, 수탁자는 응당 개인정보를 개인정보처리자에게 반환하거나 삭제하여야 하고, 보유할 수 없다.
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。개인정보처리자의 동의를 얻지 않고는, 수탁자는 타인에게 개인정보의 처리를 위탁할 수 없다.
第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。개인정보처리자가 합병, 분립, 해산, 파산선고 받음 등의 원인으로 개인정보를 이전할 필요가 있는 때에는, 응당, 개인에게 개인정보를 접수하는 자의 명칭 또는 성명과 연락 방법을 고지하여야 한다. 접수하는 자는 응당 개인정보리차자의 의무를 계속 이행하여야 한다. 접수하는 자가 원래의 처리목적, 처리방식에 변경이 있는 때에는, 응당, 본법 규정에 따라 개인의 동의를 다시 취득하여야 한다.
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。개인정보처리자가 다른 개인정보처리자에게 그가 처리하는 개인정보를 제공하는 때에는, 응당 개인에게 접수자의 명칭 또는 성명, 연락 방법, 처리 목적, 처리방식 및 개인정보의 종류를 고지하여야 하고 또한 개인 단독의 동의를 취득하여야 한다. 접수자는 응당 상술한 개인정보의 목적, 처리방식 및 개인정보의 종류 등의 범위 내에서 개인정보를 처리하여야 한다. 접수자가 원래의 처리 목적, 처리 방식에 변경이 있는 때에는, 응당, 본법의 규정에 따라, 개인의 동의를 다시 취득하여야 한다.
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。개인정보처리자가 개인정보를 이용하여 자동화 정책을 진행할 때에는, 응당, 정책의 투명도와 결과의 공평, 공정함을 보증하여야 하고, 개인에게 대하여 거래가격 등 거래 조건 상 불합리한 차별대우를 실행하여서는 아니된다.
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。자동화정책의 방식을 통하여 개인에 대하여 정보의 전송, 상업적 마케팅을 결정할 때에는, 응당 동시에, 개인의 특징을 겨누지 않는 선택항목을 제공하거나 개인에게 간편하게 거절하는 방법을 제공하여야 한다.
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。자동화정책의 방식을 통하여 개인권익에 대하여 중대한 영향을 미치는 결정이 행해지는 경우, 개인인 개인정보처리자에게 설명을 행할 것을 요구할 권리가 있고, 또한 개인정보처리자가 단지 자동화정책의 방식을 통하여 결정을 행하는 것을 거절할 권리가 있다.
第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。개인정보처리자는 그 처리하는 개인정보를 공개하여서는 아니되며, 개인단독의 동의를 취득한 때는 제외한다.
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。공공장소에 설치된 이미지 수집, 개인 신분 식별 설비는 응당, 공공안전을 보호하기 위하여 필요로 하는 바이어야 하고, 국가의 유관규정을 준수하여야 하며, 또한 분명한 게시 표지를 설치하여야 한다. 수집된 개인의 이미, 신분식별정보는 오로지 공공안전의 보호 목적으로만 이용될 수 있고, 기타 목적으로 이용되어서는 아니된다. 개인단독의 동의를 취득한 때에는 제외한다.
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。개인정보처리자는 합리적인 범위 내에서 개인 스스로 공개하거나 기타 이미 합법적으로 공개된 개인정보를 처리할 수 있다. 개인이 명확하게 거절한 때에는 제외한다. 개인정보처리자가 이미 공개된 개인정보를 처리하여, 개인 권익에 대하여 중대한 영향을 미치는 때에는, 응당, 본법 규정에 따라 개인의 동의를 취득하여야 한다.
第二节敏感个人信息的处理规则 민감개인정보의 처리규칙
편집第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。민감개인정보는 일단, 누설되거나 불법적으로 사용하면 용이하게 자연인의 인격 존엄에 침해를 일으키거나 인체와 재산안전에 위해를 일으키는 개인정보로서, 생물식별, 종교신앙, 특정신분, 의료건강, 금융계좌, 행적 및 14세 미만의 미성년자의 개인정보를 포함한다.
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。오로지, 구체적으로 특정된 목적과 충분한 필요성을 갖추고, 또한 엄격한 보호조치를 채택한 정황하에서, 개인정보처리자는 비로소 민감개인정보를 처리할 수 있다.
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。민감개인정보의 처리는 응당, 개인의 단독 동의를 취득하여야 한다. 법률, 행정법규가 민감개인정보의 처리에 응당, 서면 동의의 취득이 필요하다고 규정하는 때에는 그 규정에 따른다.
第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。개인정보처리자가 민감개인정보를 처리할 때에는, 본법 제17조 제1관에 규정한 사항을 제외하고는, 또한 응당 개인에게 민감개인정보의 처리의 필요성 및 그 개인의 권익에의 영향을 고지하여야 한다. 본법 규정에 의하여 개인에게 고지하지 않아도 된다고 하는 때에는 제외한다.
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。개인정보처리자가 만14세 미만의 미성년자의 개인정보를 처리할 때에는, 응당, 미성년자의 부모 또는 기타 감호인의 동의를 취득하여야 한다.
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。개인정보처리자가 만14세 미만의 미성년자의 정보를 처리할 때에는 응당, 전문적인 개인정보처리규칙을 제정하여야 한다.
第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。법률, 행정법규가 민감개인정보처리에 대하여 유관 행정허가를 취득하여야 한다거나 기타 제한을 둔다고 규정한 때에는, 그 규정에 따른다.
第三节 国家机关处理个人信息的特别规定 국가기관이 처리하는 개인정보의 특별규정
편집第三十三条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。국가기관이 처리하는 개인정보 활동은 본법을 적용한다. 본절에 특별규정이 있는 때에는, 본절의 규정을 적용한다.
第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。국가기관이 법정직책을 이행하기 위하여 개인정보를 처리함에는 응당, 법률, 행정법규가 규정하는 권한, 절차에 따라 진행하여야 하고, 법정직책을 이행하는 데에 필요로 하는 범위와 한도를 초과할 수 없다.
第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。국가기관이 법정직책을 이행하기 위하여 개인정보를 처리함에는 응당, 본법의 규정에 따라, 고지의무를 이행하여야 한다. 본법 제18조 제1관이 규정하는 정황이 있거나 또는, 고지가 국가기관이 법정직책을 이행함에 장애가 되는 때에는 제외한다.
第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。국가기관이 처리하는 개인정보는 응당, 중화인민공화국 국경내에 보관하여 한다. 확실히 국경외에 제공할 필요가 있는 때에는, 응당, 안전평가를 진행하여야 한다. 안전평가는 유관부문에 지지와 협조를 제공할 것을 요구할 수 있다.
第三十七条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。법률, 법규의 권한 위임을 보유한 관리 공공 사무 직능의 조직이 법정책임을 위하여 개인정보를 처리할 때에는, 본법의 국가기관이 개인정보를 처리함에 관한 규정을 적용한다.
第三章个人信息跨境提供的规则 개인정보의 역외 제공의 규칙
편집第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:개인정보처리자가 업무 등의 수요로 인하여, 확실히 중화인민공화국 경외로 개인정보의 제공이 필요한 때에는, 응당 아래 열거하는 조건의 어느 하나를 구비하여야 한다.
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;본법 제40조의 규정에 따라, 국가네트워크부문이 마련한 안전 평가를 통과
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;국가네트워크부문의 규정에 따라 전문기구를 거쳐 개인정보보호인증을 진행
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;국가네트워크부문이 제정한 표준 계약에 의하여, 경외의 접수자와 계약을 체결하고, 쌍방의 권리와 의무를 약정
(四)法律、行政法规或者国家网信部门规定的其他条件。법률, 행정법규 또는 국가네트워크부문이 규정한 기타 조건
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。중화인민공화국이 체결하거나 참가하는 국제조약, 협정이 중화인민공화국의 경외로 개인정보를 제공하는 조건 등에 관하여 규정이 있는 때에는, 그 규정에 따라 집행한다.
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。개인정보처리자는 응당 필요한 조치를 채택하여, 경외의 접수자가 처리하는 개인정보의 활동이 본법이 규정하는 개인정보보호표준에 이르도록 보장하여야 한다.
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。개인정보처리자가 중화인민공화국 경외로 개인정보를 제공할 때에는, 응당, 개인에게 경외의 접수자의 명칭 또는 성명, 연락 방법, 처리목적, 처리방식, 개인정보의 종류 및 개인이 경외 접수자에게 대하여 본법이 규정하는 권리를 행사하는 방식과 절차 등의 사항을 고지하여야 하며, 또한, 개인의 단독 동의를 취득하여야 한다.
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。키워드 정보 기반 설비의 운영자와 개인정보가 국가네트워트 부문이 규정하는 수량에 도달하는 개인정보처리자는 응당, 중화인민공화국 경내에서 수집하고 생산한 개인정보를 경내에 보관하여야 한다. 확실히, 국경외로 제공하여야 할 때에는, 응당, 국가네트워크 부문이 마련한 안전 평가를 통과하여야 한다. 법률, 행정법규와 국가네트워크부문의 규정이 안전평가를 진행하지 않아도 좋다고 한 때에는, 그 규정에 따른다.
第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。중화인민공화국의 주관기관은 유관 법률과 중화인민공화국이 체결하거나 참가한 국제조약, 협정에 근거하여, 또는 평등호계 원칙에 의하여, 외국사법 또는 집행기관이 국경내에 저장딘 개인정보의 제공에 대한 청구를 처리한다.중화인민공화구구의 주관기관의 비준을 거치지 않고는, 개인정보처리자는 외국사법 또는 집행기구에게 중화인민공화국 국경내에 저장된 개인정보를 제공하여서는 아니된다.
第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。경외의 조직, 개인이 업무 상, 중화인민공화국 국민의 개인정보 권익을 침해하거나, 중화인민공화국 국가안전, 공공이익에 위해를 가하는 개인정보처리활동을 한 때에는, 국가네트워크부문은 개인정보 제공 목록을 규제에 넣거나 금지할 수 있고, 공고를 하며, 또는 그 개인정보의 제공에 대하여 제한 또는 금지 조치를 할 수 있다.
第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。어떠한 국가 또는 지역도, 개인정보보호 측면에 있어서, 중화인민공화국에 대하여, 차별적인 금지, 제한 또는 기타 유사한 조치를 채택한 때에는, 중화인민공화국은 실제 정황에 근거하여 해당 국가 또는 지역에 대해 대등하게 조치를 취할 수 있다.
第四章 个人在个人信息处理活动中的权利 개인의, 개인정보처리활동 중의 권리
편집第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。개인은 그 개인정보의 처리에 대하여 알권리, 결정권을 향유하고, 타인이 그 개인정보에 대하여 처리를 진행함을 제한하거나 거절할 권리를 갖는다. 법률, 행정법규가 별도로 규정한 때에는 제외한다.
第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。개인은 개인정보처리자에게 그의 개인정보를 열람, 복제할 권리를 가진다. 본법 제18조 제1관, 제35조가 규정하는 정황이 있는 때에는 제외한다.
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。개인이 그 개인정보의 열람, 복제를 청구한 때에는, 개인정보처리자는 응당 즉시 제공하여야 한다.
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。개인이 개인정보를 지정된 개인정보처리자에게 이전할 것을 청구하고, 국가네트워크부문이 규정하는 조건에 부합하는 때에는, 개인정보처리자는 응당, 이전할 경로를 제공하여야 한다.
第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。개인이 그 개인정보가 불명확하거나 불완전함을 발견한 때에는, 개인정보처리자에게 경정, 보충을 청구할 권리가 있다.
个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。개인이 그 개인정보의 경정, 보충을 청구한 때에는, 개인정보처리자는 응당, 그 개인정보에 대하여 심사를 하고, 즉시 경정, 보충하여야 한다.
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:아래 열거하는 정황의 어느 하나가 있는 때에는, 개인정보처리자는 응당, 주동적으로 개인정보를 삭제하여야 한다. 개인정보처리자가 이를 삭제하지 아니하는 때에는, 개인은 삭제를 청구할 권리가 있다.
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;처리목적이 이미 실현되거나, 실현할 수 없거나, 또는 목적을 실현하기 위해서 다시 필요하지 아니한 때
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;개인정보처리자가 제품이나 용역의 제공을 정지하거나, 보존기한이 이미 만료한 때
(三)个人撤回同意;개인이 동의를 철회한 때
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;개인정보처리자가 법률, 행정법규를 위반하거나 개인정보처리 약정을 위반한 때,
(五)法律、行政法规规定的其他情形。법률, 행정법규가 규정하는 기타 정황
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。법률, 행정법규가 규정하는 보존기한이 만료되지 않거나, 또는 개인정보를 삭제함이 기술상 실현하기가 어려울 때에는, 개인정보처리자는 응당, 보존 및 필요한 안전보호조치를 채택하는 것을 제외한 다른 처리는 정지하여야 한다.
第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。개인은 개인정보처리자에게 그 개인정보처리규칙에 대하여 해석 설명을 진행할 것을 요구할 권리를 가진다.
第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。자연인이 사망한 때에는, 그 가까운 친척이 자신의 합법, 정당한 이익을 위하여 사망자의 관련 개인정보에 대하여 본장에 규정한 열람, 복제, 경정, 삭제 등 권리를 행사할 수 있다. 사망자가 생전에 별도로 처리한 때는 제외한다.
第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。개인정보처리자는 응당, 간편한 개인행사권리의 신청 수리와 처리 시스템을 마련하여야 한다. 개인행사권리의 청구를 거절할 때에는, 응당 이유를 설명하여야 한다.
个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。개인정보처리자가 개인행사권리의 청구를 거절한 때에는, 개인은 법에 따라 인민법원에 소송을 제기할 수 있다.
第五章个人信息处理者的义务 개인정보처리자의 의무
편집第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失: 개인정보처리자는 응당, 개인정보의 처리목적, 처리방식, 개인정보의 종류 및 개인권익에 대한 영향, 존재 가능한 안전 위험 등에 근거하여, 아래 열거하는 조치를 채택하여 개인정보처리활동이 법률, 행정법규의 규정에 부합하도록 확보하고, 또한, 권한을 받지 않은 방문 및 개인정보의 누설, 변조, 분실을 방지하여야 한다.
(一)制定内部管理制度和操作规程;내부관리제도 및 운영규정을 제정
(二)对个人信息实行分类管理;개인정보에 대하여 분류관리를 실행
(三)采取相应的加密、去标识化等安全技术措施;상응하는 암호화, 표식제거화 등 안전기술조치의 채택
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;개인정보처리운영권한의 합리적인 확정 및 정기적으로 업무종사에 대하여 안전교육 및 훈련의 진행
(五)制定并组织实施个人信息安全事件应急预案;개인정보의 안전사건 응급 예방책을 제정하고 실시를 조직화함
(六)法律、行政法规规定的其他措施。법률, 행정법규가 규정하는 기타 조치
第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。처리하는 개인정보가 국가네트워크부문이 규정하는 수량에 도달하는 개인정보를 처리하는 자는 응당 개인정보 보호책임자를 지정하여야 한다. 그는 개인정보의 처리 활동 및 보호조치의 채택 등에 대하여 감독의 진행을 책임진다.
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。개인정보처리자는 응당, 개인정보호보책임자의 연락 방법을 공개하여야 하고 또한, 개인정보호책임자의 성명, 연락 방법 등을 개인정보보호직책을 이행하는 부문에 보고하여야 한다.
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。본법 제3조 제2관이 규정하는 중화인민공화국 경외의 개인정보처리자는 응당, 중화인민공화국 경내에 전문기구를 설립하거나 대표를 지정하여야 하며, 개인정보보호에 관련된 사무를 책임지게 하여야 하고, 또한 유관 기구의 명칭 또는 대표의 성명, 연락 방법 등을 개인정보보호직책을 이행하는 부문에 보고하여야 한다.
第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。개인정보처리자는 응당, 정기적으로 그 개인정보처리가 법률, 행정법규를 준수하는 정황에 대하여 내부 이행 감사를 진행하여야 한다.
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:아래 열거하는 정황의 어느 하나가 있는 때에는, 개인정보처리자는 응당, 사전에 개인정보보호 영향평가를 진행하여야 하고, 또한 처리 정황에 대하여 기록을 진행하여야 한다.
(一)处理敏感个人信息;민감개인정보를 처리함
(二)利用个人信息进行自动化决策;개인정보를 이용하여 자동화 정책 결정을 진행함
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;개인정보치리를 위탁함, 다른 개인정보처리자에 대하여 개인정보를 제공함, 개인정보를 공개함
(四)向境外提供个人信息;역외로 개인정보를 제공함
(五)其他对个人权益有重大影响的个人信息处理活动。기타 개인권익에 대하여 중대한 영향을 갖는 개인정보 처리 활동
第五十六条 个人信息保护影响评估应当包括下列内容:개인정보보호 영향평가는 응당 아래 내용을 포함하여야 한다.
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;개인정보의 처리목적, 처리방식 등이 합법, 정당, 필요한지 여부
(二)对个人权益的影响及安全风险;개인권익에 대한 영향 및 안전 위험
(三)所采取的保护措施是否合法、有效并与风险程度相适应。채택된 보호조치가 합법, 유효한지, 및 위험 정도에 부합하는지 여부
个人信息保护影响评估报告和处理情况记录应当至少保存三年。개인정보보호 영향평가의 보고 및 처리 정황 기록은 응당 최소한 3년 보존하여야 한다.
第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:개인정보의 누설, 변조, 분실이 발생하였거나 발생할 가능성이 있는 때에는, 개인정보처리자는 응당 즉시, 보완 조치를 채택하여야 하고,또한 개인정보보호직책을 이행하는 부문과 개인에게 통지하여야 한다. 통지는 응당, 아래 열거하는 사항을 포함하여야 한다.
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;발생 또는 발생 가능성이 있는 개인정보의 누설, 변조, 분실의 정보 정류, 원인 및 발생 가능한 위해
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;개인정보처리자가 채택한 보완 조치 및 개인이 채택할 수 있는 위해를 경감할 수 있는 조치
(三)个人信息处理者的联系方式。개인정보처리자의 연락 방법
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。개인정보처리자가 조치를 채택하여, 정보의 누설, 변조, 분실이 위해를 발생함을 유효하게 피할 수 있는 때에는, 개인정보처리자는 개인에게 통지하지 않아도 된다. 그러나, 개인정보보호직책을 이행하는 부문이 위해가 발생할 가능성이 있다고 인정하는 때에는, 개인정보처리자에게 개인에게 통지하도록 요구할 권한이 있다.
第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:중요 인터넷플랫폼 서비스를 제공하거나, 데이터수량이 거대하거나, 업무유형이 복잡한 개인정보처리자는 응당 아래 열거하는 의무를 이행하여야 한다.
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;국가규정에 따라, 건전한 개인정보보호의, 규정에 부합하는 제도 체계를 수립하고, 외부 구성원으로 구성된 독립적인 기구가 개인정보보호 정황에 관하여 감독을 진행하도록 주요사항을 수립.
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;공개, 공평, 공정의 원칙을 준수하고, 플랫폼 규칙을 제정하며, 플랫폼 내의 제품 또는 서비스를 제공하는자가 처리하는 개인정보의 규범과 개인정보의 보호 의무를 명확히 함.
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;엄중하게 법률, 행정법규를 위반하는 개인정보를 처리하는 플랫폼 내 제품 또는 서비스 제공자에 대하여 서비스 제공을 정지함.
(四)定期发布个人信息保护社会责任报告,接受社会监督。정기적으로 개인정보보호의 사회책임 보고를 발표하고 사회의 감독을 받음.
第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。개인정보의 처리를 위탁받은 수탁인은 응당, 본법과 유관 법률, 행정법규의 규정에 따라, 필요한 조치를 하여, 처리되는 개인정보의 안전을 보장하여야 하고, 개인정보처리자에게 협조하여 본법이 규정하는 의무를 이행하여야 한다.
第六章履行个人信息保护职责的部门 개인정보보호의 직책을 이행하는 부문
편집第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。국가네트워크부문은 개인정보호보 업무 및 관련된 감독관리 업무를 총괄하고 협조한다. 국무원 유관 부문은 본법과 유관 법률, 행정법규의 규정에 의하여, 각자 직책 범위 내에서 개인정보보호 및 감독관리업무를 책임진다.
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。현급 이상의 지방인민정부 유관 부문의 개인정보보호 및 감독관리직책은 국가유관규정에 따라 확정한다.
前两款规定的部门统称为履行个人信息保护职责的部门。전 2항의 규정의 부문은 개인정보보호책무를 이행하는 부문이라고 통칭한다.
第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责:개인정보 보호 직책을 이행하는 부문은 아래 열거하는 개인정보보호 직책을 이행한다.
(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;개인정보보호 선전 교육, 지도를 전개하고 개인정보처리자를 감독하며, 개인정보 보호업무를 전개한다.
(二)接受、处理与个人信息保护有关的投诉、举报;개인정보보호와 관련된 제소 및 제보를 접수한다.
(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;응용 프로그램 등 개인정보 보호 정황에 대하여 평가를 진행하고 평가결과를 공표한다.
(四)调查、处理违法个人信息处理活动;위법한 개인정보 처리활동을 조사하고 처리한다.
(五)法律、行政法规规定的其他职责。법률, 행정법규가 규정한 기타 직책
第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:국가네트워크부문은 유관부문을 총괄하고 조율하며, 본법에 의거하여 아래 열걸하는 개인정보보호 업무를 진행한다.
(一)制定个人信息保护具体规则、标准;개인정보 보호의 구체적인 규칙과 표준의 제정
(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;소규모 개인정보처리자, 민감개인정보 및 안면식별, 인공지능 등 신기술, 신응용에 대하여, 전문적인 개인정보 보호 규칙, 표준의 제정
(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;안전하고 편리한 전자 신분증 기술의 개발을 지원하고 사용을 일반화하며, 인터넷 신분인증의 공공 서비스 구축을 추진
(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;개인정보보호의 사회화 서비스 체계 구축을 추진하고, 유관기관이 개인정보보호 평가, 인증 서비스를 전개함을 지원
(五)完善个人信息保护投诉、举报工作机制。개인정보보호 신고, 제보 업무 시스템을 완비
第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:개인정보보호직책을 이행하는 부문이 개인정보보호직책을 이행할 때에, 아래 열거하는 조치를 채택할 수 있다.
(一)询问有关当事人,调查与个人信息处理活动有关的情况; 유관 당사자에게 자문하고, 개인정보처리활동과 관련된 정황을 조사
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料; 당사자와 개인정보처리자활동에 관련된 계약, 기록, 장부 및 기타 유관 자료를 검토하고 복사
(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查; 현장 검사를 실시하고, 위법한 개인정보처리활동 혐의에 대하여 조사를 진행
(四)检查与个人信息处理活动有关的设备、物品; 对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。개인정보처리활동과 관련한 설비, 물품을 검사. 위법한 개인정보처리활동에 사용된다는 증거로서 증명되는 설비, 물품에 대하여 본 부문의 주요 책임자에 대하여 서면 보고 및 비준을 거쳐, 봉인 또는 압류.
履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。개인정보보호 직책을 이행하는 부문은 법에 따라 직책을 이행하며, 당사자는 응당 협조, 협력하여야 하고, 거절하거나 방해하여서는 아니된다.
第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。개인정보보호 직책을 이행하는 부문이 직책을 이행하는 도중, 개인정보처리활동에 비교적 큰 위험을 발견하거나, 개인정보호안전사고가 발생한 때에는, 규정된 권한과 절차에 따라 해당 개인정보처리자의 법정대리인 또는 주요 책임자에 대하여 회담을 진행하거나, 개인정보처리자에게, 전문기구에 위탁하여 그 개인정보처리활동에 대하여 법에 부합하는 심사를 진행할 것을 요구할 수 있다. 개인정보처리자는 응당, 요구에 따라 조치를 취하여 개선을 진행하며 잠복한 위험을 제거하여야 한다.
履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。개인정보보호 직책을 이행하는 부문이 직책을 이행하는 도중, 개인정보를 위법하게 처리하는 혐의의 범죄를 발견한 때에는 응당, 즉시 경찰기관에 이송하여 법에 따라 처리하여야 한다.
第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。어떠한 조직, 개인도 위법한 개인정보처리활동에 대하여 개인정보보호직책을 이행하는 부문에 대하여 고소, 제보를 진행할 권리를 가진다. 고소, 제보를 접수한 부문은 응당, 법에 따라 즉시 처리하고, 또한 처리결과를 고소, 제보자에게 고지하여야 한다.
履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。개인정보보호직책을 이행하는 부문은 접수한 고소, 제보의 관련 연락처를 공개하여야 한다.
第七章法律责任 법률책임
편집第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。본법의 규정을 위반하여 개인정보를 처리하거나, 또는 개인정보의 처리가 본법이 규정하는 개인정보보호 의무를 이행하지 않은 때에는, 개인정보보호직책을 이행하는 부문은 명령을 내려 개선하거나, 경고를 내리거나, 위법소득을 몰수하거나, 위법하게 개인정보를 처리하는 어플리케이션에 대하여는 서비스 제공을 잠정중지 또는 종료하도록 명령을 내린다. 개선을 거부하는 때에는 또한 100만 위안 이하의 벌금에 처한다. 직접적으로 책임을 지는 주관인원과 기타 직접 책임 인원에 대하여 별도로 1만위안 이상 10만 위안 이하의 벌금에 처한다.
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。전관에 규정한 위법행위가 있고, 정황이 엄중한 때에는, 성급 이상 개인정보보호직책을 이행하는 부문은 개선을 명령하거나 위법소득을 몰수하고 또한, 5000만 위안 이하 또는 전년도 1년의 영업액의 100분의5 이하의 벌금에 처하고, 관련 업무의 정지 또는 업무정지 및 정돈을 명할 수 있고, 유관 주관부문에 관련 업무 허가의 취소 또는 영업허가증의 취소하도록 통보할 수 있다. 직접적으로 책임을 지는 주관인원 및 기타 직접적인 책임자에 대해서는 10만 위안 이상 100만 위안 이하의 벌금에 처하고 또한, 일정 기한 내에 관련된 기업의 이사, 감사, 고급관리인원 및 개인정보책임자를 담당하는 것을 금지할 수 있다.
第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。본법이 규정하는 위법행위가 있는 때에는, 유관 법률, 행정법규에 따라 신용파일에 기입하고 또한 공시한다.
第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。국가기관이 본법규정의 개인정보보호 의무를 불이행한 때에는, 그 상급 기관 또는 개인정보보호직책을 이행하는 부문은 개선을 명한다. 직접 책임을 지는 주관 인원과 기타 직접 책임을 지는 인원에 대해서는 법에 따라 처분한다.
履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。개인정보보호직책을 이행하는 부문의 업무 인원이 직무소흘, 직권 남용, 사욕에 따른 불법행위를 행하면, 비록 범죄를 구성하지 않더라도, 법에 따라 처분한다.
第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。개인정보의 처리가 개인정보권익을 침해하여 손해를 입히고, 개인정보처리자가 자기에게 과실이 없음을 입증하지 못하는 때에는, 응당, 손해배상책임 등 불법행위책임을 부담한다.
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。전관이 규정한 손해배상책임은 개인이 이로 인하여 입은 손실 또는 개인정보처리자가 이로 인하여 획득한 이익에 따라 확정한다. 개인이 이로 인하여 입은 손실과 개인정보처리자가 이로 인하여 획득한 이익이 확정되기 어려운 때에는, 실제 정황에 근거하여 배상액수를 확정한다.
第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。개인정보처리자가 본법규정을 위반하여 개인정보를 처리하고, 다중의 개인의 권익을 침해한 때에는, 인민검찰원, 법률이 규정한 소비자조직과 국가네트워크가 확정한 조직은 법에 따라 인민법원에 소송을 제기할 수 있다.
第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。본법의 규정을 위반하여 치안관리행위의 위반을 구성하는 때에는, 법에 따라 치안관리 처벌을 하고, 범죄를 구성하는 때에는 법에 따라 형사책임을 추궁한다.
第八章附则 부칙
편집第七十二条 自然人因个人或者家庭事务处理个人信息的,不适用本法。자연인이 개인 또는 가정 사무를 위하여 개인정보를 처리하는 때에는, 본 법을 적용하지 아니한다.
法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。법률이 각급 인민정부 및 그 유관부분조직에 대하여 실시하는 통계, 파일 관리 활동 중의 개인정보처리에 관하여 규정을 한 때에는, 그 규정을 적용한다.
第七十三条 本法下列用语的含义:본법의 아래 열거하는 용어의 의미
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。개인정보처리자란, 개인정보처리활동 중에 자주적으로 처리목적과 처리방법을 결정하는 조직, 개인을 지칭한다.
(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。자동화 정책결정이란 계산기 과정을 통하여 자동으로 개인의 행위습관, 취향, 애호 또는 경제, 건강, 신용상황등을 분석, 평가하여, 정책결정을 진행하는 활동을 지칭한다.
(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。탈표식화란 개인정보가 처리를 거쳐, 초과적인 개인정보의 도움을 받지 않는 정황 하에서, 특정한 자연인을 식별할 방법이 없도록 하는 과정을 지칭한다.
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。익명화란 개인정보가 처리를 통하여 특정 자연인을 식별할 수 없고 또한 원상복구 과정이 불가능한 것을 지칭한다.
第七十四条 本法自2021年11月1日起施行。본법은 2021년 11월 1일부터 시행한다.