제1조 이 법은 개인정보의 권리와 이익을 보호하고, 개인정보 처리활동을 규제하며, 개인정보의 합리적인 이용을 촉진하기 위해 헌법에 따라 제정된다.
제2조 자연인의 개인정보는 법률의 보호를 받으며, 어떠한 단체나 개인도 자연인의 개인정보권리를 침해할 수 없습니다.
제3조 이 법은 중화인민공화국 영토 내에서 자연인의 개인정보를 처리하는 활동에 적용됩니다.
이 법은 중화인민공화국 영토 내에서 자연인의 개인정보를 처리하는 중화인민공화국 외부 활동 및 다음 상황에도 적용됩니다.
(1) 국내 자연인에게 제품 또는 서비스를 제공할 목적으로,
(2) 국내 자연인의 행동을 분석 및 평가하는 경우,
(3) 다음에 규정된 기타 상황 법률 및 행정 규정.
제4조 개인정보는 익명화된 정보를 제외하고 전자적 또는 기타 수단으로 기록된 식별되거나 식별 가능한 자연인과 관련된 다양한 정보를 의미합니다.
개인정보의 처리에는 개인정보의 수집, 보관, 이용, 처리, 전송, 제공, 공개, 삭제 등이 포함됩니다.
제5조 개인정보의 처리는 적법성, 적법성, 필요성 및 신의성실의 원칙을 따라야 하며, 오해, 사기, 강압 또는 기타 수단을 통해 개인정보를 처리해서는 안 됩니다.
제6조 개인정보 처리에는 명확하고 합리적인 목적이 있어야 하며, 처리 목적과 직접적으로 관련되어야 하며, 개인의 권리와 이익에 최소한의 영향을 미치는 방법을 채택해야 합니다.
개인정보의 수집은 처리 목적을 달성하기 위한 최소한의 범위로 제한되어야 하며, 과도한 개인정보 수집은 허용되지 않습니다.
제7조 개인정보를 처리할 때는 공개성과 투명성의 원칙을 준수해야 하며, 개인정보 처리 규칙을 공개하고, 처리 목적, 방법, 범위를 명확히 명시해야 합니다.
제8조 개인정보를 처리할 때에는 개인정보의 부정확, 불완전성으로 인해 개인의 권익이 침해되지 않도록 개인정보의 품질을 보장해야 합니다.
제9조 개인정보 처리자는 자신의 개인정보 처리 활동에 대한 책임을 지며, 처리되는 개인정보의 보안을 보장하기 위해 필요한 조치를 취해야 합니다.
제10조: 어떠한 조직이나 개인도 타인의 개인정보를 불법적으로 수집, 사용, 처리 또는 전송할 수 없으며, 자신이 관여하지 않는 타인의 개인정보를 불법적으로 구매, 판매, 제공 또는 공개할 수 없습니다. 국가 안보나 공익을 위협하는 활동.
제11조: 국가는 개인정보 보호 시스템을 구축 및 개선하고, 개인정보 권익 침해를 예방 및 처벌하며, 개인정보 보호에 대한 홍보 및 교육을 강화하고, 개인정보 보호에 대한 종합적인 시스템 구축을 촉진합니다. 정부, 기업, 관련 사회단체, 국민 모두가 좋은 개인정보 보호 환경에 참여합니다.
제12조: 국가는 개인 정보 보호에 관한 국제 규칙 제정에 적극적으로 참여하고 개인 정보 보호에 대한 국제 교류와 협력을 촉진하며 다른 국가, 지역 및 기타 국가와의 개인 정보 보호 규칙 및 규정을 장려합니다. 국제기구 표준 등의 상호인정
제2장 개인정보 처리 규칙
제1절 일반 조항
제13조 개인정보 처리자만이 다음 상황 중 하나를 충족할 수 있습니다. 개인정보 처리:
(1) 개인의 동의를 얻습니다.
(2) 개인이 당사자인 계약의 체결 및 이행을 위해 필요하거나 노동 규정에 따라 법률에 따라 제정된 법률에 따라 체결된 단체 계약에 따라 인사 관리를 이행해야 하는 경우
(3) 법적 의무 또는 법적 의무를 수행하기 위해 필요한 경우
(4) 예상치 못한 공개 사건에 대응하기 위해** *건강 사고 또는 긴급 상황에서 자연인의 생명, 건강 및 재산 안전을 보호하기 위해 필요한 경우
(5) 뉴스 보도를 실시하고 대중에게 공개 합리적인 범위 내에서 대중의 이익을 위한 의견 감독 및 기타 행위 개인 정보 처리
(6) 개인이 직접 공개하거나 기타 법적으로 공개된 개인 정보를 합리적인 범위 내에서 처리합니다. 본 법의 규정
(7) 법률 및 행정 규정 기타 명시된 상황.
본 법의 기타 관련 조항에 따라 개인정보 처리에 대해서는 개별 동의를 받아야 합니다. 그러나 전항의 2~7항에 명시된 상황에서는 개별 동의가 필요하지 않습니다.
제14조 개인의 동의에 따라 개인정보를 처리하는 경우, 해당 동의는 개인이 충분한 지식을 가지고 자발적이고 명확하게 이루어져야 합니다. 법률, 행정법규에서 개인정보 처리에 개인 동의 또는 서면 동의가 필요하다고 규정한 경우 해당 규정이 우선 적용됩니다.
개인정보의 처리목적, 처리방법, 처리하는 개인정보의 종류가 변경될 경우에는 다시 본인의 동의를 받아야 합니다.
제15조: 개인의 동의에 따라 개인정보를 처리하는 경우, 개인은 동의를 철회할 권리가 있습니다. 개인정보 처리자는 동의를 철회할 수 있는 편리한 방법을 제공해야 합니다.
개인의 동의 철회는 철회 전의 개인정보 처리 활동의 효율성에는 영향을 미치지 않습니다.
제16조 개인정보 처리자는 개인정보 제공을 위해 개인정보 처리가 필요한 경우를 제외하고 개인이 자신의 개인정보 처리에 동의하지 않는다는 이유로 제품 또는 서비스 제공을 거부하거나 동의를 철회해서는 안 됩니다. 제품이나 서비스.
제17조 개인정보 처리자는 개인정보를 처리하기 전에 다음 사항을 명확하고 이해하기 쉬운 언어로 진실되고 정확하며 완전하게 개인에게 알려야 합니다.
(1) 개인정보 처리자의 이름 및 연락처
(2) 개인정보 처리 목적 및 방법, 처리하는 개인정보의 종류 및 보유 기간
(3) 방법 개인이 이 법에 규정된 권리를 행사하는 절차 및 절차
(4) 기타 법률 및 행정법규에 따라 통지해야 하는 사항.
전항의 사항이 변경된 경우에는 변경사항을 개인에게 알려야 합니다.
개인정보처리자가 제1항 각 호의 사항을 개인정보 처리규정을 마련하여 통지하는 경우에는 처리규정을 공개하고 쉽게 열람 및 보관할 수 있도록 하여야 합니다.
제18조 개인정보 처리자가 개인정보를 처리하는 경우, 비밀유지가 필요하거나 법률, 행정법규에서 공개를 요구하지 않는 경우에는 개인정보 처리자는 제1항에 명시된 사항을 개인에게 알리지 않을 수 있습니다. 이전 기사의.
개인정보처리자는 긴급상황에서 자연인의 생명, 건강, 재산의 안전을 보호하기 위해 개인에게 적시에 통지하는 것이 불가능할 경우에는 개인정보 처리자에게 적시에 통지해야 합니다. 긴급상황이 해소됩니다.
제19조 법률, 행정법규에 달리 규정하지 않는 한, 개인정보의 보유 기간은 처리 목적을 달성하는 데 필요한 최단 기간이어야 합니다.
제20조 2개 이상의 개인정보처리자***가 개인정보 처리 목적 및 방법을 공동으로 정하는 경우에는 각자의 권리와 의무에 대하여 합의하여야 합니다. 다만, 이 약관은 개인정보처리자에게 이 법에 따른 권리 행사를 요청할 수 있는 개인의 권리에는 영향을 미치지 않습니다.
개인정보 처리자가 공동으로 개인정보를 처리하여 개인정보 권익을 침해하여 손해를 입힌 경우에는 관련법이 정하는 바에 따라 연대책임을 집니다.
제21조 개인정보처리자가 개인정보의 처리를 위탁하는 경우에는 그 목적, 기간, 처리방법, 개인정보의 종류, 보호조치 및 수탁자의 권리와 의무에 관하여 수탁자와 동의하여야 한다. 등을 관리하고 수탁자의 개인정보 처리 활동을 감독합니다.
수탁자는 동의한 바에 따라 개인정보를 처리해야 하며, 위탁계약이 유효하지 않거나 무효이거나 철회 또는 해지된 경우에는 동의된 처리목적 및 처리방법을 초과하여 개인정보를 처리해서는 안 됩니다. 개인정보의 반환 개인정보처리자는 해당 개인정보를 삭제할 수 있으며, 보유하지 않습니다.
수탁자는 개인정보처리자의 동의 없이 개인정보의 처리를 타인에게 위탁하여서는 아니 된다.
제22조 개인정보처리자는 합병, 분할, 해산, 파산선고 등으로 개인정보를 이전할 필요가 있는 경우에는 수령인의 성명 또는 성명 및 연락처를 개인에게 알려야 한다. . 제공받는자는 개인정보처리자로서의 의무를 계속해서 수행하여야 합니다. 수신 당사자가 처리의 원래 목적이나 방법을 변경하는 경우 본 법의 규정에 따라 다시 개인의 동의를 얻어야 합니다.
제23조 개인정보처리자가 처리한 개인정보를 다른 개인정보처리자에게 제공하는 경우에는 제공받는 자의 성명, 연락처, 처리 목적, 처리 방법 및 개인정보 항목을 개인정보 처리자에게 알려야 합니다. 정보를 제공하고, 해당 개인의 별도 동의를 받습니다. 제공받는 당사자는 위에서 명시한 처리 목적, 처리 방법 및 유형 내에서 개인정보를 처리해야 합니다. 수신 당사자가 처리의 원래 목적이나 방법을 변경하는 경우 본 법의 규정에 따라 다시 개인의 동의를 얻어야 합니다.
제24조 개인정보처리자는 자동화된 의사결정을 위해 개인정보를 이용하는 경우 의사결정의 투명성과 결과의 공정성과 정의를 보장해야 하며, 개인에 대해 불합리한 차별 대우를 해서는 안 된다. 거래 가격 및 기타 거래 조건.
자동화된 의사결정 방식을 활용해 개인에게 정보를 푸시하고 상업적인 마케팅을 할 때는 개인의 특성을 타깃으로 하지 않는 옵션을 제공하거나 개인에게 편리한 거부 방법을 제공해야 한다.
자동화된 의사결정을 통해 개인의 권익에 중대한 영향을 미치는 결정이 내려지는 경우, 개인은 개인정보처리자에게 설명을 요구할 권리와 개인정보 제공을 거부할 권리가 있습니다. 프로세서는 자동화된 의사결정을 통해서만 결정을 내립니다.
제25조 개인정보처리자는 개인의 별도 동의가 있는 경우를 제외하고는 자신이 처리하는 개인정보를 공개하여서는 아니 된다.
제26조 공공 안전을 유지하고 관련 국가 규정을 준수하며 눈에 띄는 알림 표지판을 설치하려면 공공 장소에 이미지 수집 및 개인 식별 장비를 설치해야 합니다. 수집된 개인영상 및 식별정보는 공공의 안전을 유지하기 위한 목적으로만 사용될 수 있으며, 본인의 별도 동의가 있는 경우 외에는 다른 목적으로 사용될 수 없습니다.
제27조 개인정보 처리자는 개인이 명시적으로 거부하는 경우를 제외하고 개인이 공개했거나 타인이 합법적으로 공개한 개인정보를 합리적인 범위 내에서 처리할 수 있습니다. 개인정보처리자가 공개된 개인정보를 처리하여 개인의 권익에 중대한 영향을 미치는 경우에는 이 법에서 정하는 바에 따라 당해 개인의 동의를 받아야 합니다.
민감한 개인정보 처리 규칙 제2조
제28조 민감한 개인정보란 유출되거나 불법적으로 사용될 경우 자연인의 인격적 존엄성이나 인격을 쉽게 침해할 수 있는 정보를 말합니다. 보안이 침해된 개인정보에는 생체 인식, 종교적 신념, 특정 신원, 의료 건강, 금융 계좌, 소재 및 기타 정보뿐만 아니라 14세 미만의 미성년자의 개인 정보도 포함됩니다.
개인정보 처리자는 특정한 목적과 충분한 필요성이 있고 엄격한 보호조치를 취하는 경우에만 민감한 개인정보를 처리할 수 있습니다.
제29조: 민감한 개인 정보를 처리하려면 개별 동의를 받아야 하며, 법률 및 행정 규정에 민감한 개인 정보를 처리하려면 서면 동의를 받아야 한다고 규정한 경우 해당 조항이 우선 적용됩니다.
제30조: 개인정보 처리자가 민감한 개인정보를 처리하는 경우, 본 법 제17조 1항에 규정된 사항 외에도 개인에게 민감한 개인정보 처리의 필요성을 알려야 하며, 그러한 처리의 결과 개인의 권리와 이익에 미치는 영향, 본 법의 조항에 따라 개인에게 통지할 필요가 없는 경우는 제외됩니다.
제31조 개인정보처리자가 만 14세 미만 미성년자의 개인정보를 처리하는 경우에는 해당 미성년자의 부모 또는 기타 보호자의 동의를 받아야 합니다.
개인정보처리자가 만 14세 미만 미성년자의 개인정보를 처리하는 경우에는 특별한 개인정보 처리규정을 마련해야 합니다.
제32조 법률 또는 행정 규정에 관련 행정 허가를 취득해야 하거나 민감한 개인 정보 처리에 대해 기타 제한 사항이 부과되도록 규정한 경우 해당 조항이 우선 적용됩니다.
국가 기관의 개인 정보 처리에 관한 제3절 특별 조항
제33조 본 법은 다음 조항에 특별 조항이 있는 경우 국가 기관의 개인 정보 처리 활동에 적용됩니다. 이 섹션에서도 동일하게 적용됩니다. 이 섹션에서는 다음과 같이 규정합니다.
제34조: 국가기관은 법적 의무를 이행하기 위해 개인정보를 처리할 때 법률, 행정법규에서 규정한 권한과 절차를 준수해야 하며, 법적 의무를 이행하는 데 필요한 범위와 한도를 초과해서는 안 됩니다. 직장.
제35조: 법적 의무를 수행하기 위해 개인 정보를 처리하는 국가 기관은 본 법 제18조 1항에 명시된 상황이 있는 경우 본 법의 규정에 따라 통지 의무를 이행해야 합니다. 법률 또는 통지는 해당 기관이 법적 의무를 수행하는 경우를 제외하고 주의 업무를 방해합니다.
제36조 국가 기관이 처리하는 개인 정보는 중화인민공화국 영토 내에 보관되어야 하며, 해외에 제공할 필요가 있는 경우 보안 평가를 실시해야 합니다. 보안 평가에는 관련 부서의 지원과 지원이 필요할 수 있습니다.
제37조: 법령에 의해 권한을 부여받은 공무 관리 기능을 갖춘 조직이 법적 의무를 수행하기 위해 개인 정보를 처리하는 경우 국가 기관의 개인 정보 처리에 관한 이 법의 규정이 적용됩니다.
개인 정보의 국경 간 제공 규칙 3장
제38조 개인 정보 처리자는 업무 및 기타 필요로 인해 중화인민공화국 외부에서 개인 정보를 제공해야 합니다. 다음 조건 중 하나를 충족해야 합니다.
(1) 본 법 제40조의 규정에 따라 국가 사이버 보안 및 정보화 부서가 주관하는 보안 평가를 통과해야 합니다.
(2 ) 개인정보 보호 인증은 국가사이버공간부 규정에 따라 전문기관이 실시합니다.
(3) 국외 수신자와는 국가사이버공간부에서 정한 표준계약에 따라 계약을 체결합니다. 국가 사이버 공간 부서에 동의하고 양 당사자의 권리와 의무에 동의합니다.
(4) 법률, 행정 규정 또는 국가 사이버 공간 부서에서 규정한 기타 조건.
중화인민공화국이 체결하거나 승인한 국제 조약이나 협약에 중화인민공화국 영토 외부에서 개인정보를 제공하는 조건이 규정되어 있는 경우 해당 규정을 따를 수 있습니다.
개인정보 처리자는 해외 수신자의 개인정보 처리 활동이 이 법에 규정된 개인정보 보호 기준을 충족하도록 필요한 조치를 취해야 합니다.
제39조 개인정보 처리자가 개인정보를 중화인민공화국 외부에 제공하는 경우 해당 개인에게 해외 수신자의 이름, 연락처, 처리 목적 및 처리 방법을 알려야 합니다. 개인정보의 종류, 개인이 해외 수신자 등에 대해 이 법에 따른 권리를 행사하는 방법 및 절차에 대해 설명하고, 별도의 동의를 받습니다.
제40조 국가 사이버 공간 부서가 규정한 개인정보의 양을 처리하는 중요 정보 인프라 운영자 및 개인 정보 처리자는 중화인민공화국 및 중화인민공화국 영토 내에서 수집 및 생성된 개인정보를 전송해야 합니다. 정보는 중국 영토 내에 저장됩니다. 해외에 제공할 필요가 있는 경우 국가 사이버 공간 부서가 주관하는 보안 평가를 통과해야 하며, 법률, 행정 규정 및 국가 사이버 공간 부서에서 보안 평가가 필요하지 않다고 규정한 경우 해당 규정이 우선합니다.
제41조 중화인민공화국 주관기관은 중화인민공화국이 체결 또는 참가한 관련 법률, 국제조약, 협정 또는 원칙에 따라 외국사법사무를 처리한다. 평등과 상호주의를 존중하거나 국가 내에 저장된 개인정보 제공을 위한 법 집행 기관의 요청. 개인정보 처리자는 중화인민공화국 주관기관의 승인 없이 중화인민공화국 영토 내에 저장된 개인정보를 외국 사법기관 또는 법집행기관에 제공해서는 안 됩니다.
제42조 해외 조직 및 개인이 중화인민공화국 공민의 개인정보 권리와 이익을 침해하거나 중화인민공화국의 국가안보와 공공이익을 위협하는 경우 개인정보 처리 활동에 대해 국가 사이버보안정보화부는 이를 개인정보 제공 제한 또는 금지 목록에 포함시켜 공표하고, 해당 개인정보 제공을 제한 또는 금지하는 등의 조치를 취할 수 있습니다.
제43조 어떤 국가나 지역이 개인정보 보호와 관련하여 중화인민공화국과 중화인민공화국에 대해 차별적인 금지, 제한 또는 기타 유사한 조치를 취하는 경우, 중화인민공화국과 중화인민공화국은 중화민국은 실제 상황에 근거하여 해당 국가 또는 지역에 대해 상호 조치를 취할 수 있습니다.
제4장 개인정보 처리 활동에 대한 개인의 권리
제44조 개인은 자신의 개인정보 처리에 대해 알고 결정할 권리가 있으며 이를 제한하거나 거부할 권리가 있습니다. 기타 법률 및 행정 규정에서 달리 규정하지 않는 한 개인정보를 처리합니다.
제45조: 개인은 본 법 제18조 1항 및 제35조에 명시된 상황을 제외하고 개인정보 처리자로부터 자신의 개인정보를 조회하고 복사할 권리가 있습니다.
개인정보 처리자는 개인이 자신의 개인정보에 대한 열람 또는 복사를 요청하는 경우 적시에 이를 제공하여야 합니다.
개인이 자신이 지정한 개인정보 처리자에게 개인정보 이전을 요청하고 국가 사이버보안 및 정보화 부서가 지정한 조건을 충족하는 경우 개인정보 처리자는 이전 방법을 제공해야 합니다.
제46조 개인은 자신의 개인정보가 부정확하거나 불완전함을 발견한 경우, 개인정보처리자에게 그 정정 또는 보완을 요청할 권리가 있습니다.
개인이 자신의 개인정보에 대한 정정 또는 보완을 요청한 경우, 개인정보처리자는 개인정보를 확인하고 적시에 정정 또는 보완하여야 합니다.
제47조 다음 각 호의 어느 하나에 해당하는 경우, 개인정보 처리자는 개인정보를 적극적으로 삭제해야 하며, 개인정보 처리자가 개인정보를 삭제하지 않은 경우 개인정보는 삭제를 요청할 권리가 있습니다.
(1) 처리 목적이 달성되었거나, 달성할 수 없거나 처리 목적 달성에 더 이상 필요하지 않은 경우,
(2) 개인정보 처리자가 제품 또는 서비스 제공을 중단한 경우 , 또는 보유 기간이 만료된 경우
(3) 개인이 동의를 철회하는 경우
(4) 개인정보 처리자가 법령, 행정 규정을 위반하거나 개인정보 처리에 관한 계약을 위반한 경우 ;
(5) 법률 및 행정 규정 기타 상황.
법률 및 행정법규에서 규정한 보유 기간이 지나지 않았거나 개인정보의 삭제가 기술적으로 어려운 경우, 개인정보 처리자는 보관 이외의 처리를 중단하고 필요한 보안 보호 조치를 취해야 합니다.
제48조: 개인은 개인정보 처리자에게 자신의 개인정보 처리규칙에 대한 설명을 요청할 권리가 있습니다.
제49조 자연인이 사망한 경우 그의 가까운 친족은 자신의 정당하고 정당한 이익을 위해 해당 개인에 대해 이 장에 규정된 접근, 복사, 수정, 삭제 등의 권리를 행사할 수 있습니다. 달리 정하지 않는 한 고인의 정보.
제50조 개인정보 처리자는 개인이 자신의 권리를 행사할 수 있도록 편리한 신청 접수 및 처리 메커니즘을 구축해야 합니다. 개인의 권리 행사 요청이 거부되는 경우에는 그 이유를 명시해야 합니다.
개인정보처리자가 개인의 권리 행사 요구를 거부하는 경우, 개인은 법에 따라 인민법원에 소송을 제기할 수 있습니다.