| 网络数据安全管理条例 |
ネットワークデータセキュリティの管理に関する条例 |
| (征求意见稿) |
(意見募集用草案) |
| 第一章 总则 |
第1章 総則 |
| 第一条 为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。 |
第1条 ネットワークデータ処理活動を規制し、データセキュリティを保護し、サイバー空間における個人および組織の正当な権利および利益を保護し、国家の安全および公共の利益を守るために、ネットワークセキュリティに関する中華人民共和国法、データセキュリティに関する中華人民共和国法、個人情報の保護に関する中華人民共和国法およびその他の法律に基づき、本条例を制定する。 |
| 第二条 在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。 |
第2条 本条例は、中華人民共和国の領域内におけるデータ処理活動のためのネットワークの使用、およびネットワークデータセキュリティの監督・管理に適用される。 |
| 在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例: |
本条例は、以下のいずれかの状況下で中華人民共和国内の個人および組織のデータを処理する中華人民共和国外の活動に適用される。 |
| (一)以向境内提供产品或者服务为目的; |
(1) 領域に製品またはサービスを提供する目的 |
| (二)分析、评估境内个人、组织的行为; |
(2) 領域内の個人および組織の分析と評価 |
| (三)涉及境内重要数据处理; |
(3) 領土内での重要なデータの処理に関わる場合 |
| (四)法律、行政法规规定的其他情形。 |
(4)その他、法律や行政法規で定められている場合。 |
| 自然人因个人或者家庭事务开展数据处理活动,不适用本条例。 |
本条例は、自然人が個人的または家族的事項のために行うデータ処理活動には適用されない。 |
| 第三条 国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。 |
第3条 国は、開発と安全を調整し、データの開発・利用の促進とデータセキュリティの保護を同等に重視する原則を堅持し、データセキュリティ保護能力の構築を強化し、法に基づきデータの秩序ある自由な流れを保護し、法に基づきデータの合理的かつ効果的な利用を促進する。 |
| 第四条 国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。 |
第4条 国は、データの活用とセキュリティ保護に関連する技術、製品、サービスの革新と人材の育成を支援する。 |
| 国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作,开展数据安全宣传教育和培训。 |
国は、国家機関、産業組織、企業、教育・科学研究機関、関連する専門機関がデータの活用とセキュリティ保護に協力し、データセキュリティの広報、教育・訓練を実施することを奨励する。 |
| 第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。 |
第5条 国は、データの分類・等級付け保護システムを確立する。 国家安全保障、公共の利益、または個人や組織の正当な権利や利益に対するデータの影響や重要性に応じて、データを一般データ、重要データ、コアデータに分類し、異なるレベルのデータには異なる保護手段を採用しなければならない。 |
| 国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。 |
国は、個人情報や重要なデータを重点的に保護し、コア・データについては厳格な保護を実施する。 |
| 各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。 |
すべての地域および部門は、国のデータ分類・等級付けの要件に従い、自らの地域および部門、ならびに関連する産業および分野のデータを分類・等級付けをする。 |
| 第六条 数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。 |
第6条 データ処理者は、処理するデータのセキュリティに責任を負い、データセキュリティ保護の義務を果たし、政府や社会の監督を受け入れ、社会的責任を負う。 |
| 数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。 |
データ処理者は、関連する法律および行政法規の規定、ならびに国内規格の必須要件に従い、データセキュリティ管理システムおよび技術的保護メカニズムを構築し、改善しなければならない。 |
| 第七条 国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。 |
第7条 国は、公共データの公開と共有を促進し、データの開発と利用を容易にし、法律に基づいて公共データの監督と管理を実施しなければならない。 |
| 国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。 |
国は、データ取引の管理システムを構築・改善し、データ取引機関の設立・運営基準を規定し、データの流通・取引の行為を規制し、法律に基づいてデータの秩序ある流通を確保する。 |
| 第二章 一般规定 |
第2章 総則 |
| 第八条 任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动: |
第8条 データ処理活動を行う個人および組織は、法律および行政法規を遵守し、社会的道徳および倫理を尊重し、以下の行為を行ってはならない。 |
| (一)危害国家安全、荣誉和利益,泄露国家秘密和工作秘密; |
(1) 国家の安全、名誉、利益を危険にさらし、国家機密や業務上の秘密を漏らすこと |
| (二)侵害他人名誉权、隐私权、著作权和其他合法权益等; |
(2) 他人の名誉、プライバシー、著作権、その他の正当な権利・利益等を侵害すること |
| (三)通过窃取或者以其他非法方式获取数据; |
(3) 盗難その他の不正な手段によりデータを取得すること |
| (四)非法出售或者非法向他人提供数据; |
(4) データを違法に販売したり、違法に他人に提供すること |
| (五)制作、发布、复制、传播违法信息; |
(5) 違法な情報を作成、出版、複製、または流布すること |
| (六)法律、行政法规禁止的其他行为。 |
(6)その他、法律や行政法規で禁止されている行為 |
| 任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。 |
他人が前項の行為を行っていることを知り、または知るべきである個人または組織は、その人のために技術的支援、ツール、広告・宣伝などのプログラムやサービス、支払い・決済などを行ってはならない。 |
| 第九条 数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。 |
第9条 データ処理者は、データの漏洩、盗難、改ざん、破壊、紛失、不正使用からの保護、データセキュリティインシデントへの対応、データを対象とした違法行為や犯罪行為の防止、データの完全性、機密性、可用性の維持のために、バックアップ、暗号化、アクセスコントロール等の必要な措置を講じなければならない。 |
| 数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。 |
データ処理者は、ネットワークセキュリティ等級保護の要求に基づき、データ処理システム、データ伝送ネットワーク、データ保管環境のセキュリティ保護を強化し、重要なデータを取り扱うシステムは、原則としてネットワークセキュリティ等級保護および重要情報インフラセキュリティ保護のレベル3以上の要求を満たし、コアデータを取り扱うシステムは、関連法規に基づき厳重に保護する。 |
| 数据处理者应当使用密码对重要数据和核心数据进行保护。 |
データ処理者は、重要データおよびコアデータの保護のためにパスワードを使用しなければならない。 |
| 第十条 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。 |
第10条 データ処理者は、自らが使用または提供するネットワーク製品やサービスにセキュリティ上の欠陥や抜け穴があり、国家の安全を脅かしたり、公共の利益を危険にさらしたりすることを発見した場合には、直ちに改善策を講じなければならない。 |
| 第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。 |
第11条 データ処理者は、データセキュリティの緊急対応メカニズムを確立し、データセキュリティ事故が発生した場合には、速やかに緊急対応メカニズムを発動させ、被害の拡大を防止し、セキュリティ上の危険性を排除するための措置を講じなければならない。 セキュリティインシデントにより個人または組織に被害が発生した場合、データ処理者は、3営業日以内に、セキュリティインシデントとリスク状況、被害の結果、および講じられた改善策を電話、SMS、インスタントメッセンジャー、電子メールなどの手段で関係者に通知しなければならない。それが不可能な場合は、関係者に通知するためのアナウンスという形をとることができ、通知ができないと規定している法律および行政法規はその規定に従わなければならない。 セキュリティインシデントが犯罪であると疑われる場合、データ処理者は必要に応じて公安当局に報告しなければならない。 |
| 发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务: |
データ処理者は、重要なデータまたは10万人以上の個人情報の漏洩、破壊、紛失などのデータセキュリティ事故が発生した場合、以下の義務も果たさなければならない。 |
| (一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等; |
(1) セキュリティインシデントが発生してから8時間以内に、関係するデータの量と種類、考えられる影響、実施したまたは実施予定の処分方法など、インシデントに関する基本的な情報を、当該地区の自治体のネットワーク情報部門および関連する主務部門に報告する。 |
| (二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。 |
(2) 事故処理後5営業日以内に、地区の市レベルのネットワーク情報部門および関連する管轄部門に、事故の原因、被害の結果、処理責任および改善策などを含む調査・評価報告書を報告する。 |
| 第十二条 数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定: |
第12条 データ処理者は、個人情報を第三者に提供する場合、または重要なデータを共有、取引、委託する場合には、以下の規定を遵守しなければならない。 |
| (一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外; |
(1) 提供された個人情報の目的、種類、方法、範囲、保存期間、保存先を本人に通知し、法令や行政法規により本人の同意が不要な場合や匿名化した後の場合を除き、本人の個別の同意を得ること |
| (二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督; |
(2) データ処理の目的、範囲および方法、データ・セキュリティ保護対策などについてデータ受領者と合意し、契約書などを通じて双方のデータ・セキュリティ責任および義務を明確にし、データ受領者のデータ処理活動を監督すること |
| (三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。 |
(3) 本人の同意の記録と個人情報の提供のログ記録、および重要なデータの共有、取引、処理の委託の承認の記録とログ記録を少なくとも5年間保存すること |
| 数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。 |
データ受領者は、合意された義務を果たし、合意された目的、範囲および処理方法を超えて個人情報および重要データを処理しなければならない。 |
| 第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查: |
第13条 データ処理者は、関連する国の規制に従って、以下の活動のためのネットワークセキュリティレビューを申告しなければならない。 |
| (一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的; |
(1) 国家安全保障、経済発展、公共の利益に関わるデータ資源を大量に保有するインターネット・プラットフォーム事業者を集め、国家安全保障に影響を与える、または影響を与える可能性のある合併、再編、分割を実施する |
| (二)处理一百万人以上个人信息的数据处理者赴国外上市的; |
(2) 海外で公開される100万人以上の個人情報を取り扱う情報処理業者 |
| (三)数据处理者赴香港上市,影响或者可能影响国家安全的; |
(3) データ処理者が香港で公開され、国家安全保障に影響を与える、または与える可能性がある場合 |
| (四)其他影响或者可能影响国家安全的数据处理活动。 |
(4) 国家安全保障に影響する、または影響する可能性のあるその他のデータ処理活動 |
| 大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。 |
大規模なインターネット・プラットフォーム事業者が中国国外に本社やオペレーションセンター、R&Dセンターを設立した場合、国のネットワーク情報部門と管轄当局に報告しなければならない。 |
| 第十四条 数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。 |
第14条 データ処理者が合併、再編または分離した場合、データ受領者は引き続きデータセキュリティ保護義務を果たし、重要なデータおよび100万人以上の個人情報が含まれる地区の市レベルの所轄部門に報告するものとし、データ処理者が解散または破産宣告を受けた場合、地区の市町村レベルの所轄部門に報告し、関連する要求に従ってデータを移転または削除するものとする。 管轄部門が不明な場合は、地区の市レベルのネットワーク情報部門に報告するものとする。 |
| 第十五条 数据处理者从其他途径获取的数据,应当按照本条例的规定履行数据安全保护义务。 |
第15条 データ処理者は、本条例の規定に従い、他の情報源から取得したデータに関して、データセキュリティ保護の義務を履行しなければならない。 |
| 第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。 |
第16条 国家機関は、法律及び行政法規の規定並びに国家基準の必須要件に従い、健全なデータ・セキュリティ管理システムを構築し、データ・セキュリティ保護の責任を履行し、政府事務データのセキュリティを保護しなければならない。 |
| 第十七条 数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。 |
第17条 データ処理者は、データへのアクセスおよび収集のために自動化されたツールを採用する場合、ネットワークサービスの性能および機能への影響を評価し、ネットワークサービスの正常な機能を妨げてはならない。 |
| 自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。 |
自動化されたツールが、法律、行政規制または業界の自主規制公約に違反してデータにアクセスまたは収集したり、ネットワークサービスの正常な機能に影響を与えたり、知的財産権などの他者の正当な権利や利益を侵害したりした場合、データ処理者はデータへのアクセスまたは収集を中止し、対応する是正措置を講じなければならない。 |
| 第十八条 数据处理者应当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。 |
第18条 データ処理者は、データセキュリティに関する苦情および報告のための便利なルートを確立し、データセキュリティに関する苦情および報告をタイムリーに受け取り、対処しなければならない。 |
| 数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。 |
データ処理者は、苦情及び報告を受け付けるための連絡先及び責任者情報を公表するとともに、個人情報セキュリティに関する苦情の受付件数及び受理件数、苦情の処理状況、社会的監督を受け付けるまでの各年の平均処理時間を公表しなければならない。 |
| 第三章 个人信息保护 |
第3章 個人情報の保護 |
| 第十九条 数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求: |
第19条 データ処理者は、個人情報を取り扱うための明確かつ合理的な目的を持ち、合法性、正当性、必要性の原則に従わなければならない。 個人情報の処理が本人の同意に基づく場合は、以下の要件を満たさなければならない。 |
| (一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的; |
(1) 処理される個人情報は、サービスの提供または法律や行政法規に基づく義務の履行のために必要なものであること |
| (二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式; |
(2) 処理の目的を達成するために最も短い期間と最も低い頻度に限定されており、個人の権利と利益への影響が最も少ない方法であること |
| (三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。 |
(3) サービスに必要な個人情報以外の情報の提供を拒否したことを理由に、サービスの提供を拒否したり、個人によるサービスの正常な利用を妨げたりしないこと |
| 第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。 |
第20条 個人データ処理者は、個人情報取扱規則を策定し、これを厳守しなければならない。 個人情報処理規則は、集中的かつ公的に表示され、容易にアクセスでき、目立つように配置され、明確、具体的、簡潔かつ一般的な内容で、個人に対して個人情報処理の状況を体系的かつ包括的に説明しなければならない。 |
| 个人信息处理规则应当包括但不限于以下内容: |
個人情報取扱規則には、以下の項目が含まれるが、これに限定されるものではない。 |
| (一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响; |
(1) 製品やサービスの機能に応じて必要な個人情報を明示し、機能ごとに個人情報を取り扱う目的、用途、方法、種類、頻度や時期、保管場所などを列挙し、個人情報の取り扱いを拒否した場合の本人への影響を記載したもの |
| (二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式; |
(2) 個人情報の保存期間、または個人情報の保存期間を決定する方法、および保存期間満了時の個人情報の取り扱い方法 |
| (三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法; |
(3) 個人が、個人情報へのアクセス、コピー、訂正、削除、取り扱いの制限、転送、アカウントの取り消し、個人情報の取り扱いへの同意の撤回をするための方法と手段 |
| (四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则; |
(4) 集中表示など、ユーザーがアクセスしやすい方法で製品サービスに組み込まれた個人情報を収集するすべての第三者コードおよびプラグインの名称と、各第三者コードまたはプラグインが個人情報を収集する目的、方法、種類、頻度またはタイミング、およびその個人情報取扱規則 |
| (五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等; |
(5) 個人情報を第三者に提供する場合、その目的、方法、種類、提供先に関する情報等 |
| (六)个人信息安全风险及保护措施; |
(6) 個人情報セキュリティのリスクと保護対策 |
| (七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。 |
(7) 個人情報保護に関する苦情・相談窓口とその解決方法、個人情報保護担当者の連絡先 |
| 第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定: |
第21条 個人情報の処理が本人の同意を得なければならない場合、データ処理者は以下の規定に従わなければならない。 |
| (一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意; |
(1) 個人情報の処理に対する同意を、サービスの種類に応じて個別に申請し、一般的な用語を用いて同意を得てはならない |
| (二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意; |
(2) 個人のバイオメトリクス、宗教的信条、特定のアイデンティティ、医療および健康管理、金融口座、所在および痕跡などのセンシティブな個人情報の処理については、個人から個別に同意を得なければならない |
| (三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意; |
(3) 14歳未満の未成年者の個人情報の処理については、その保護者から同意を得なければならない |
| (四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息; |
(4) サービス品質の向上、ユーザーエクスペリエンスの向上、新製品の開発などを理由に、個人が自分の個人情報の処理に同意することを強制してはならない |
| (五)不得通过误导、欺诈、胁迫等方式获得个人的同意; |
(5) 個人の同意は、誤解を招くような方法、詐欺的な方法、強制的な方法で得てはならない |
| (六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意; |
(6) 異なる種類のサービスをバンドルしたり、一括して同意を申請するなどして、個人情報を一括して同意するように誘導したり強制してはならない |
| (七)不得超出个人授权同意的范围处理个人信息; |
(7) 本人の承認された同意の範囲を超えて個人情報を処理してはならない |
| (八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。 |
(8) 本人が同意しないことを明示した後に、頻繁に同意を求めたり、サービスの正常な利用を妨害してはならない |
| 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。 |
個人情報の処理目的、処理方法、および処理される個人情報の種類に変更があった場合、データ処理者は再度本人の同意を得て、個人情報取扱規則を並行して修正しなければならない。 |
| 对个人同意行为有效性存在争议的,数据处理者负有举证责任。 |
個人的同意の行為の有効性について紛争が生じた場合、証明責任はデータ処理者にある。 |
| 第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理: |
第22条 データ処理者は、以下のいずれかの状況に該当する場合、15営業日以内に個人情報を削除または匿名化しなければならない。 |
| (一)已实现个人信息处理目的或者实现处理目的不再必要; |
(1) 個人情報の処理目的が達成されたか、または処理目的を達成するための必要性がなくなった場合 |
| (二)达到与用户约定或者个人信息处理规则明确的存储期限; |
(2) ユーザーと合意した、または個人情報取扱規則に定められた保存期間に達した場合 |
| (三)终止服务或者个人注销账号; |
(3) サービスの終了、または個人のアカウントを解約した場合 |
| (四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。 |
(4) 自動化された収集技術等の使用により、必要のない個人情報や本人の同意のない個人情報の収集を避けることができない場合 |
| 删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。 |
個人情報の削除が技術的に困難な場合、または業務の複雑さなどの理由で15営業日以内に個人情報を削除することが困難な場合、データ処理者は、保存と必要な安全保護措置以外の処理を行ってはならず、本人に合理的な説明を行なければならない。 |
| 法律、行政法规另有规定的从其规定。 |
法律または行政法規に別段の定めがある場合は、その定めに従わなければならない。 |
| 第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务: |
第23条 個人が自分の個人情報へのアクセス、コピー、訂正、補足、処理の制限、または削除を合理的に要求する場合、データ処理者は以下の義務を果たさなければならない。 |
| (一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制; |
(1) 個人が、収集されている個人情報の種類と量について構造的に問い合わせることを支援するための便利な方法と手段を提供し、個人の合理的な要求を時間、場所、その他の要素に基づいて制限しないこと |
| (二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件; |
(2) 個人が自分の個人情報のコピー、訂正、補足、処理の制限、削除、承認された同意の撤回、アカウントの取り消しを行うための便利なサポートを提供し、不合理な条件を課差ないこと |
| (三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。 |
(3) 個人から、個人情報のコピー、訂正、補足、処理の制限、削除、承認された同意の撤回、アカウントの取り消しの要請を受けた場合、15営業日以内に処理し、フィードバックを提供すること |
| 法律、行政法规另有规定的从其规定。 |
法律または行政法規に別段の定めがある場合は、その定めに従わなければならない。 |
| 第二十四条 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务: |
第24条 データ処理者は、個人情報の移転要求が以下の条件を満たす場合、本人が指定する他のデータ処理者が自分の個人情報にアクセスして取得するための移転サービスを提供しなければならない。 |
| (一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息; |
(1) 譲渡を要求された個人情報が、同意に基づいて収集された個人情報、または契約の締結もしくは履行のために必要な個人情報である場合 |
| (二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息; |
(2) 転送を要求された個人情報が、本人または他人に関する情報で、要求者が合法的に入手したものであり、他人の意思に反していない場合 |
| (三)能够验证请求人的合法身份。 |
(3) 依頼者の合法的な身元が確認できる場合 |
| 数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。 |
データ処理者は、個人情報を受け取る他のデータ処理者が個人情報を違法に処理しているリスクがあることを発見した場合、個人情報の移転要求に関連するリスクについて合理的な警告を提供しなければならない。 |
| 请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。 |
個人情報の移転要求の数が明らかに合理的な範囲を超えている場合、情報処理業者は合理的な手数料を請求することができる。 |
| 第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。 |
第25条 データ処理者は、個人識別のためにバイオメトリクス機能を使用する場合、その必要性と安全性についてリスクアセスメントを行い、個人のバイオメトリクス情報の収集に同意することを個人に強制するために、顔、歩行、指紋、虹彩、声紋などのバイオメトリクス機能を個人識別の唯一の手段として使用してはならない。 |
| 法律、行政法规另有规定的从其规定。 |
法律または行政法規に別段の定めがある場合は、その定めに従わなければならない。 |
| 第二十六条 数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。 |
第26条 データ処理者は、100万人以上の個人情報を処理する場合、重要なデータの処理者に関する本条例の第4章の規定も遵守しなければならない。 |
| 第四章 重要数据安全 |
第4章 重要データのセキュリティ |
| 第二十七条 各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。 |
第27条 すべての地域と部門は、国の関連する要求と基準に従って、自地域と部門および関連する産業と分野のデータ処理者を組織して重要データとコアデータを特定し、自地域と部門および関連する産業と分野の重要データとコアデータのカタログを作成し、国のネットワーク情報部門に報告しなければならない。 |
| 第二十八条 重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责: |
第28条 重要データの処理者は、データセキュリティの責任者を特定し、データセキュリティ管理機関を設置しなければならない。 データセキュリティ担当者の指導の下、データセキュリティ管理機関は、以下の職務を行う。 |
| (一)研究提出数据安全相关重大决策建议; |
(1) データセキュリティに関連する主要な決定事項の検討・提案 |
| (二)制定实施数据安全保护计划和数据安全事件应急预案; |
(2) データ・セキュリティ保護計画およびデータ・セキュリティ・インシデントに対するコンティンジェンシー・プランの策定および実施 |
| (三)开展数据安全风险监测,及时处置数据安全风险和事件; |
(3) データ・セキュリティ・リスクを監視し、データ・セキュリティ・リスクおよびインシデントを適時に処理すること |
| (四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动; |
(4) データセキュリティに関する広報、教育訓練、リスクアセスメント、緊急時の訓練などの定期的な活動の実施 |
| (五)受理、处置数据安全投诉、举报; |
(5) データセキュリティに関する苦情や報告の受付と対応 |
| (六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。 |
(6) 必要に応じて、データセキュリティをネットワーク情報部門および管轄・規制部門に対する適時な報告 |
| 数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。 |
データセキュリティの担当者は、データセキュリティの専門知識と関連する管理経験を持ち、データ処理者の意思決定階層のメンバーが就任し、データセキュリティをサイバーセキュリティ部門や管轄・規制当局に直接反映させる権限を持つことが望ましい。 |
| 第二十九条 重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括: |
第29条 重要なデータの処理者は、その重要なデータを特定した後、15営業日以内に、地区の自治体レベルのネットワーク情報部門に、以下を含む記録を提出しなければならない。 |
| (一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等; |
(1) データ処理者の基本情報、データセキュリティ管理機関の情報、データセキュリティ担当者の氏名および連絡先等 |
| (二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身; |
(2) データ自体の内容を除く、処理されるデータの目的、規模、方法、範囲、種類、保存期間、保存場所などの情報 |
| (三)国家网信部门和主管、监管部门规定的其他备案内容。 |
(3) 国のネットワーク情報部門および管轄・規制部門が規定するその他の申告内容 |
| 处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。 |
データ処理の目的、範囲、種類、データセキュリティ保護手段に大きな変更があった場合は、再提出しなければならない。 |
| 依据部门职责分工,网信部门与有关部门共享备案信息。 |
部門の責任分担に従い、ネットワーク情報部門は記録情報を関連部門と共有する。 |
| 第三十条 重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。 |
第30条 重要データ処理者は、データセキュリティ教育計画を策定し、すべてのスタッフに対する年次のデータセキュリティ教育・訓練を組織しなければならず、データセキュリティに関連する技術者および管理者の年次の教育・訓練時間は20時間を下回ってはならない。 |
| 第三十一条 重要数据的处理者,应当优先采购安全可信的网络产品和服务。 |
第31条 重要なデータの処理者は、安全で信頼性の高いネットワーク製品およびサービスの調達を優先しなければならない。 |
| 第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括: |
第32条 重要なデータを扱うデータ処理者または中国国外に記載されているデータ処理者は、年に一度、自らまたはデータセキュリティサービス機関に委託してデータセキュリティ評価を行い、毎年1月31日までに前年のデータセキュリティ評価報告書を区の市ネットワーク情報部門に報告しなければならない。 |
| (一)处理重要数据的情况; |
(1) 重要なデータの取り扱いに関する情報 |
| (二)发现的数据安全风险及处置措施; |
(2) データ・セキュリティ・リスクの特定とその処理方法 |
| (三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性; |
(3) データセキュリティ管理システム、データのバックアップ、暗号化、アクセス制御、その他のセキュリティ保護手段、ならびに管理システムの実施状況と保護手段の有効性 |
| (四)落实国家数据安全法律、行政法规和标准情况; |
(4) 国内のデータセキュリティに関する法律、行政規制、基準の実施 |
| (五)发生的数据安全事件及其处置情况; |
(5) データセキュリティインシデントの発生とその処理 |
| (六)共享、交易、委托处理、向境外提供重要数据的安全评估情况; |
(6) 国外で共有、取引、処理の委託、提供される重要なデータのセキュリティ評価 |
| (七)数据安全相关的投诉及处理情况; |
(7) データセキュリティに関する苦情とその対応 |
| (八)国家网信部门和主管、监管部门明确的其他数据安全情况。 |
(8) 国のネットワーク情報部門および管轄・規制当局が指定するその他のデータセキュリティ状況 |
| 数据处理者应当保留风险评估报告至少三年。 |
データ処理者は、リスクアセスメントの報告書を少なくとも3年間保存しなければならない。 |
| 依据部门职责分工,网信部门与有关部门共享报告信息。 |
部門間の役割分担に基づき、ネットワーク情報部門は報告情報を関連部門と共有する。 |
| 数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容: |
国外で重要なデータを共有、取引、委託、提供するためのセキュリティ評価を実施するデータ処理者は、以下の評価に重点を置くべきである。 |
| (一)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要; |
(1) 国外でのデータの共有、取引、処理の委託および提供の目的、方法および範囲、ならびにデータ受領者によるデータ処理の目的、方法および範囲が、合法的、正当かつ必要なものであるかどうか |
| (二)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险; |
(2) 国外で共有、取引、処理の委託、提供されたデータの漏洩、破壊、改ざん、誤用のリスクと、国家安全保障、経済発展、公共の利益にもたらされるリスク |
| (三)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全; |
(3) データ受信者の背景情報(誠実さの状況、遵法精神の状況、海外の政府機関との協力関係、中国政府による制裁の有無、データセキュリティを効果的に保護できるかどうかの引き受けた責任とその責任を果たす能力など) |
| (四)与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务; |
(4) データ受領者との間で締結された関連契約におけるデータ・セキュリティに関する要件が、データ受領者にデータ・セキュリティ保護に関する義務の履行を効果的に拘束できるかどうか |
| (五)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。 |
(5) データ処理の過程における管理および技術的措置等により、データの漏洩や破壊等のリスクを防止できるかどうか。 |
| 评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。 |
データ処理者は、国家安全保障、経済発展、または公共の利益を危うくする可能性があると評価された場合、国外でデータを共有、取引、委託、または提供してはならない。 |
| 第三十三条 数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。 |
第33条 データ処理者は、重要なデータを共有、取引または委託する場合、地区の市町村レベル以上の管轄部門の同意を得なければならず、管轄部門が明確でない場合は、地区の市町村レベル以上のネットワーク情報部門の同意を得なければならない。 |
| 第三十四条 国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。 |
第34条 国家機関および重要な情報インフラの運営者が調達するクラウド・コンピューティング・サービスは、国のネットワーク情報部門が国務院の関連部門と共同で組織するセキュリティ・アセスメントに合格しなければならない。 |
| 第五章 数据跨境安全管理 |
第5章 データ越境についてのセキュリティ管理 |
| 第三十五条 数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一: |
第35条 データ処理者が業務上その他の理由で中華人民共和国外にデータを提供する真の必要性がある場合は、以下のいずれかの条件を備えなければならない。 |
| (一)通过国家网信部门组织的数据出境安全评估; |
(1) 国のネットワーク情報部門が実施するデータ越境のセキュリティ評価に合格すること |
| (二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证; |
(2) データ処理者およびデータ受領者の双方が、国のネットワーク情報部門が認めた専門機関が実施する個人情報保護認定に合格していること |
| (三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务; |
(3) 国のネットワーク情報部門が作成した標準契約書の規定に従って、海外のデータ受領者と契約を締結し、両当事者の権利と義務に同意すること |
| (四)法律、行政法规或者国家网信部门规定的其他条件。 |
(4) 法律、行政法規、または国のネットワーク情報部門が定めるその他の条件 |
| 数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。 |
ただし、データ処理者が、本人が当事者である契約の締結または履行のために当事者の個人情報を国外に提供する場合、または本人の生命、健康、財産を保護するために個人情報を国外に提供する必要がある場合を除く。 |
| 第三十六条 数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。 |
第36条 データ処理者は、中華人民共和国外で個人情報を提供する場合、国外のデータ受領者の名称、連絡先、処理の目的、処理の方法、個人情報の種類、および個人情報に関する権利を行使する方法を本人に通知し、本人の個別の同意を得なければならない。 |
| 收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。 |
個人情報の収集時に個人情報の輸出について別途同意を得ており、同意を得た事項に従って個人情報の輸出を行う場合には、改めて別途同意を得る必要はない。 |
| 第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估: |
第37条 データ処理者が中華人民共和国の領域内で収集・生成されたデータを国外に提供する場合、以下の状況に該当する場合は、国のネットワーク情報部門が実施するデータ越境セキュリティ評価に合格しなければならない。 |
| (一)出境数据中包含重要数据; |
(1) 送信データには重要なデータが含まれている場合 |
| (二)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息; |
(2) 100万人以上の個人情報を取り扱う重要情報インフラ事業者および情報処理事業者が、個人情報を国外に提供する場合 |
| (三)国家网信部门规定的其它情形。 |
(3) 国のネットワーク情報部門が規定するその他の状況に該当する場合 |
| 法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。 |
法律、行政法規および国のネットワーク情報部門が、セキュリティ評価を実施してはならないと規定している場合は、その規定を適用する。 |
| 第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。 |
第38条 中華人民共和国が締結し、又は加盟している国際条約又は協定において、中華人民共和国の領域外における個人情報の提供等に関する条件が定められている場合には、その規定に従って実施することができる。 |
| 第三十九条 数据处理者向境外提供数据应当履行以下义务: |
第39条 国外でデータを提供するデータ処理者は、以下の義務を果たさなければならない。 |
| (一)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息; |
(1) ネットワーク情報部門に提出された個人情報保護影響評価報告書に明記された目的、範囲、方法およびデータの種類と規模を超えて、個人情報を国外に提供しないこと |
| (二)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据; |
(2) ネットワーク情報部門のセキュリティ評価で指定された目的、範囲、方法、データの種類や規模などを超えて、個人情報や重要なデータを国外に提供しないこと |
| (三)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全; |
(3) データ受領者が、両者の間で合意された目的、範囲および方法に従ってデータを使用し、データ・セキュリティ保護義務を果たし、データ・セキュリティを確保するよう監督するための契約などの効果的な措置を講じること |
| (四)接受和处理数据出境所涉及的用户投诉; |
(4) データの出口に関わるユーザーからの苦情の受付と対応 |
| (五)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任; |
(5) データ出口が個人または組織の合法的な権利および利益または公共の利益に損害を与える場合、データ処理者は法律に基づいて責任を負うこと |
| (六)存留相关日志记录和数据出境审批记录三年以上; |
(6) 関連するログ記録およびデータ出口の承認記録を3年以上保管すること |
| (七)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示; |
(7) 国のネットワーク情報部門が、国務院の関連部門と共同で、国外で提供された個人情報および重要データの種類と範囲を確認した場合、データ処理者はそれらを明確かつ読みやすい方法で表示すること |
| (八)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救; |
(8) 国のネットワーク情報部門がデータを輸出してはならないと判断した場合、データ処理者はデータの輸出を中止し、輸出されたデータのセキュリティを改善するための有効な手段を講じること |
| (九)个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。 |
(9) 終了後に個人情報を再提供する必要がある場合は、事前に本人と再提供の条件を合意し、データ受領者が果たすべきセキュリティ保護の義務を明確にすること |
| 非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 |
領域内の個人および組織は、中華人民共和国の管轄当局の承認を得ることなく、中華人民共和国の領域内に保存されているデータを外国の司法機関または法執行機関に提供してはならない。 |
| 第四十条 向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况: |
第40条 個人情報や重要なデータを外国に提供するデータ処理者は、毎年1月31日までにデータ出口安全報告書を作成し、前年の以下のデータ越境情報を地区の市レベルのネットワーク情報部門に報告しなければならない。 |
| (一)全部数据接收方名称、联系方式; |
(1) すべてのデータ受領者の名前と連絡先 |
| (二)出境数据的类型、数量及目的; |
(2) 国外に出るデータの種類、量、目的 |
| (三)数据在境外的存放地点、存储期限、使用范围和方式; |
(3) 国外におけるデータの所在、保管期間、利用範囲および利用方法 |
| (四)涉及向境外提供数据的用户投诉及处理情况; |
(4) 国外へのデータ提供に関するユーザーからの苦情とその対応 |
| (五)发生的数据安全事件及其处置情况; |
(5) 発生したデータセキュリティインシデントとその処理 |
| (六)数据出境后再转移的情况; |
(6) データが国外に流出した後の再転送に関する情報 |
| (七)国家网信部门明确向境外提供数据需要报告的其他事项。 |
(7) その他、国のネットワーク情報部門が国外でのデータ提供に関する報告が必要と指定した事項 |
| 第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。 |
第41条 国は、中華人民共和国外から発信された情報のうち、法律や行政法規で公表や送信が禁止されている情報の流布を阻止するために、データ越境セキュリティ・ゲートウェイを設置する。 |
| 任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。 |
いかなる個人または組織も、データの越境セキュリティ・ゲートウェイを侵入または回避するためのプログラム、ツール、回線等を提供したり、データの越境セキュリティ・ゲートウェイを侵入または回避するためのインターネットアクセス、サーバーホスティング、技術サポート、普及促進、決済、アプリケーションダウンロード等のサービスを提供したりしてはならない。 |
| 境内用户访问境内网络的,其流量不得被路由至境外。 |
国内のユーザーが国内のネットワークにアクセスする場合、そのトラフィックが国外にルーティングしてはならない。 |
| 第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。 |
第42条 国境を越えたデータ活動に従事するデータ処理者は、国のデータ越境セキュリティ監督要件に従い、関連する技術的および管理的手段を確立し、改善しなければならない。 |
| 第六章 互联网平台运营者义务 |
第6章 インターネット・プラットフォーム事業者の義務 |
| 第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。 |
第43条 インターネット・プラットフォーム事業者は、データに関するプラットフォーム・ルール、プライバシー・ポリシー、アルゴリズム戦略を開示するシステムを構築し、プラットフォーム・ルール、プライバシー・ポリシー、アルゴリズムが公正かつ公平であることを保証するために、策定手順および裁定手順を適時に開示しなければならない。 |
| 平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。 |
インターネット・プラットフォーム事業者は、利用者の権益に重大な影響を与えるプラットフォーム規則、プライバシーポリシーまたは改定を策定する場合、利用者が便利かつ適切に意見を述べることができるように、公式ウェブサイトおよび個人情報保護に関連する業界団体のインターネット・プラットフォーム上で一般から意見を募集し、その期間は30営業日以上とするものとする。 インターネット・プラットフォーム事業者は、パブリック・オピニオンを全面的に採用し、プラットフォームのルールやプライバシー・ポリシーを改訂・改善するとともに、意見の受け入れをユーザーが容易にアクセスできる方法で公表し、受け入れない理由を説明し、社会的な監督を受け入れなければならない。 |
| 日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。 |
1日のアクティブユーザー数が1億人以上の大規模インターネット・プラットフォームの運営者のプラットフォーム規則やプライバシーポリシーの改正、またはユーザーの権益に重大な影響を与える改正は、国のネットワーク情報部門が特定した第三者機関によって評価され、同意を得るために省以上のネットワーク情報部門と電気通信局に報告されなければならない。 |
| 第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。 |
第44条 インターネット・プラットフォームの運営者は、そのプラットフォームにアクセスする第三者の製品・サービスのデータ・セキュリティ管理に責任を負い、契約等により第三者のデータ・セキュリティに関する責任・義務を明確にし、データ・セキュリティ管理を強化し、必要なデータ・セキュリティ保護措置を講じるよう第三者に働きかけなければならない。 |
| 第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。 |
第三者の製品やサービスがユーザーに損害を与えた場合、ユーザーはまずインターネット・プラットフォーム運営者に補償を求めることができる。 |
| 移动通信终端预装第三方产品适用本条前两款规定。 |
前2項の規定は、移動体通信端末に他社製品をプリインストールする場合にも適用される。 |
| 第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理。 |
第45条 国は、インスタントメッセージングサービスを提供するインターネット・プラットフォーム事業者に対し、機能設計上、個人的な通信と非個人的な通信との選択をユーザーに提供することを奨励する。 個人的な通信に関する情報は、個人情報保護の要件に従って厳格に保護され、非個人的な通信に関する情報は、公共情報に関する関連規定に従って管理される。 |
| 第四十六条 互联网平台运营者不得利用数据以及平台规则等从事以下活动: |
第46条 インターネット・プラットフォームの運営者は、データだけでなく、プラットフォーム・ルールなどを利用して、以下の行為を行ってはならない。 |
| (一)利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为; |
(1) 正当な理由なく、同一取引条件のユーザーに対して商品・サービスの価格差をつけるなど、ユーザーの正当な利益を害する行為を実施するために、プラットフォームが収集・把握したユーザーデータを利用する行為 |
| (二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为; |
(2) プラットフォームが収集した事業者のデータを利用して、商品プロモーションにおいて最安値販売を実施するなど、公正な競争を阻害する行為 |
| (三)利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据; |
(3) データを利用してユーザーを誤解させたり、欺いたり、強要したり、ユーザーのデータ処理に関する決定権を損なったり、ユーザーの意思に反してユーザーのデータを処理すること |
| (四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。 |
(4) プラットフォームのルール、アルゴリズム、技術、トラフィックの配分などに不合理な制限や障壁を設け、プラットフォームに参加する中小企業がプラットフォームで生成された産業・市場データなどに公平にアクセスすることを制限し、市場のイノベーションを妨げること |
| 第四十七条 提供应用程序分发服务的互联网平台运营者,应当按照有关法律、行政法规和国家网信部门的规定,建立、披露应用程序审核规则,并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序,应当采取拒绝上架、督促整改、下架处置等措施。 |
第47条 アプリケーション配信サービスを提供するインターネット・プラットフォーム事業者は、関連する法律および行政法規、国のネットワーク情報部門の規定に基づき、アプリケーション監査規則を制定・公開し、アプリケーションのセキュリティ監査を実施しなければならない。法律・行政法規の規定および国家規格の必須要件を満たさないアプリケーションについては、棚入れ拒否、監督・是正、棚落ち処分などの措置をとる。 |
| 第四十八条 互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。 |
第48条 インターネット・プラットフォーム事業者が公衆にインスタントメッセージングサービスを提供する場合、国務院の電気通信主管部門の規定に従い、他のインターネット・プラットフォーム事業者のインスタントメッセージングサービスのためのデータインターフェースを提供し、異なるインスタントメッセージングサービス間のユーザーデータの相互運用性をサポートしなければならず、正当な理由なくユーザーの他のインターネット・プラットフォームへのアクセスおよび他のインターネット・プラットフォームへのファイルの送信を制限してはならない。 |
| 第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求: |
第49条 インターネット・プラットフォーム事業者は、個人情報やパーソナライズされたプッシュアルゴリズムを利用してユーザーに情報を提供する場合、プッシュされた情報の出所の信憑性、正確性、適法性について責任を負うとともに、以下の要件を満たさなければならない。 |
| (一)收集个人信息用于个性化推荐时,应当取得个人单独同意; |
(1) 個人的な推薦のために個人情報を収集する場合は、本人の同意を得を得ること |
| (二)设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数; |
(2) わかりやすく、アクセスしやすく、操作しやすいワンクリックのオプションを設定して、パーソナライズドレコメンデーションをオフにしたり、ユーザーがターゲットプッシュ情報を拒否できるようにしたり、ユーザーが個人の特性に合わせてターゲットプッシュのパラメータをリセット、修正、調整できるようにすること |
| (三)允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。 |
(3) 法律や行政法規で定められている場合やユーザーとの合意がある場合を除き、ダイレクトプッシュ情報サービスで収集した個人情報を個人が削除できるようにすること |
| 第五十条 国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。 |
第50条 国は、政府の指導とネットワーク利用者の自発的参加の原則に基づき、ネットワークID認証のための公共サービスインフラを構築し、個人ID認証のための公共サービスを提供する。 |
| 互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。 |
インターネット・プラットフォーム事業者は、ネットワーク・アイデンティティ認証のための国家公共サービス・インフラストラクチャが提供する個人のアイデンティティ認証サービスをサポートし、優先的に使用しなければならない。 |
| 第五十一条 互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。 |
第51条 国家機関へのサービス提供、公共インフラや公共サービスシステムの構築・運用・保守への参加、サービス提供のための公的資源の利用の過程で、インターネット・プラットフォーム事業者が収集・生成したデータは、他の目的に使用してはならない。 |
| 第五十二条 国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息,应当明确调取或者访问的范围、类型、用途、依据,严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。 |
第52条 国務院の関連部門が法定業務の遂行においてインターネット・プラットフォーム事業者が保有する公共データ及び公共情報を検索又はアクセスする必要がある場合には、検索又はアクセスの範囲、種類、用途及び根拠を特定し、法定業務の遂行に厳格に限定しなければならず、検索又はアクセスした公共データ又は公共情報を法定業務の遂行以外の目的に使用してはならない。 |
| 互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。 |
インターネット・プラットフォームの運営者は、公共のデータや公共の情報を検索したりアクセスしたりする際に、関連部門と協力しなければならない。 |
| 第五十三条 大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。 |
第53条 大規模なインターネット・プラットフォームの運営者は、第三者に監査を委託することにより、プラットフォームのデータ・セキュリティ、プラットフォームの規則や自身のコミットメントの実施、個人情報の保護、データの開発と利用について毎年監査を行い、その結果を開示しなければならない。 |
| 第五十四条 互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。 |
第54条 インターネット・プラットフォームの運営者が、人工知能、バーチャルリアリティ、深層合成などの新技術を使用してデータ処理活動を行う場合、関連する国の規制に従ってセキュリティ評価をしなければならない。 |
| 第七章 监督管理 |
第7章 監督および管理 |
| 第五十五条 国家网信部门负责统筹协调数据安全和相关监督管理工作。 |
第55条 国のネットワーク情報部門は、データセキュリティおよび関連する監督・管理業務の調整に責任を負う。 |
| 公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。 |
公安機関、国家安全保障機関などは、それぞれの責任範囲内でデータセキュリティの監督責任を負う。 |
| 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 |
工業、通信、交通、金融、天然資源、保健、教育、科学技術などの管轄部門は、それぞれの業界や分野におけるデータセキュリティの監督責任を負う。 |
| 主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。 |
管轄部門は、自らの産業及び分野におけるデータ・セキュリティ保護に責任を負う機関及び人員を特定し、自らの産業及び分野におけるデータ・セキュリティ計画及びデータ・セキュリティ・インシデント・コンティンジェンシー・プランの実施を準備・組織する。 |
| 主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。 |
管轄部門は、定期的に自分の業界・分野のデータセキュリティリスクアセスメントを組織して実施し、データ処理者のデータセキュリティ保護義務の履行を監督・検査し、データ処理者に既存のリスクや隠れた危険を適時に是正するよう指導監督する。 |
| 第五十六条 国家建立健全数据安全应急处置机制,完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。 |
第56条 国は、データ・セキュリティ緊急処理メカニズムを確立・改善し、ネットワークセキュリティ・インシデントのための緊急計画およびネットワークセキュリティ情報共有プラットフォームを改善し、データセキュリティ・インシデントをネットワークセキュリティ・インシデントのための国家緊急対応メカニズムに組み込み、データ・セキュリティ情報共有、データ・セキュリティ・リスクおよび脅威の監視と早期警報、ならびにデータ・セキュリティ・インシデントの緊急処理を強化する。 |
| 第五十七条 有关主管、监管部门可以采取以下措施对数据安全进行监督检查: |
第57条 関連する管轄・規制部門は、データセキュリティを監督・検査するために以下の措置を取ることができる。 |
| (一)要求数据处理者相关人员就监督检查事项作出说明; |
(1) 監督及び検査に関する事項について、情報処理業者の関係者に説明を求めること |
| (二)查阅、调取与数据安全有关的文档、记录; |
(2) データセキュリティに関する文書・記録の閲覧・取得 |
| (三)按照规定程序,利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测; |
(3) 所定の手順に従い、テストツールを用いて、または専門機関に委託して、データ・セキュリティ対策の運用に関する技術テストを実施すること |
| (四)核验数据出境类型、范围等; |
(4) データ越境の種類と範囲の確認など |
| (五)法律、行政法规、规章规定的其他必要方式。 |
(5) その他、法律、行政法規、規定に定められた必要な手段 |
| 有关主管、监管部门开展数据安全监督检查,应当客观公正,不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要,不得用于其他用途。 |
関係する管轄および規制当局は、客観的かつ公平な方法でデータセキュリティの監督および検査をし、検査を受けた部門に料金を請求してはならない。 データセキュリティの監督・検査で得られた情報は、データセキュリティを維持するための必要性のみに使用され、他の目的には使用してはならない。 |
| 数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合,包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明,开放安全相关数据访问、提供必要技术支持等。 |
データ処理者は、組織運営、技術システム、アルゴリズムの原理、データ処理手順などについての説明、セキュリティ関連データへのアクセスの開放、必要な技術サポートの提供など、関連する管轄・監督官庁によるデータセキュリティの監督および検査に協力しなければならない。 |
| 第五十八条 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。 |
第58条 国は、データ・セキュリティ監査制度を確立する。 データ処理者は、データセキュリティ監査の専門機関に委託して、個人情報の取扱いに関する法令・行政法規の遵守状況を定期的に監査する。 |
| 主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。 |
主務官庁および監督官庁は、重要な情報処理活動の監査を組織し、データ処理者が法律および行政法規等に基づく義務を果たしているかどうかを重点的に監査する。 |
| 第五十九条 国家支持相关行业组织按照章程,制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。 |
第59条 国は、関連する業界団体がその憲章に基づいてデータ・セキュリティ行動規範を策定し、業界の自主規制を強化し、会員にデータ・セキュリティ保護の強化を指導し、データ・セキュリティ保護のレベルを向上させ、業界の健全な発展を促進することを支援する。 |
| 国家支持成立个人信息保护行业组织,开展以下活动: |
国は、以下の活動を行う個人情報保護業界団体の設立を支援する。 |
| (一)接受个人信息保护投诉举报并进行调查、调解; |
(1) 個人情報保護に関する苦情及び報告を受け、調査及び調停を行うこと |
| (二)向个人提供信息和咨询服务,支持个人依法对损害个人信息权益的行为提起诉讼; |
(2) 個人に対する情報提供および助言、ならびに個人情報の権利・利益を害する行為に対する訴訟を法律に基づいて支援すること |
| (三)曝光损害个人信息权益的行为,对个人信息保护开展社会监督; |
(3)個人情報の権利・利益を害する行為の摘発および個人情報保護の社会的監督の実施 |
| (四)向有关部门反映个人信息保护情况、提供咨询、建议; |
(4)個人情報保護への反映、関連部署への助言・提案 |
| (五)违法处理个人信息、侵害众多个人的权益的行为,依法向人民法院提起诉讼。 |
(5) 個人情報の違法な取り扱いおよび多数の個人の権利・利益の侵害について、法律に基づき人民裁判所に訴訟を提起すること |
| 第八章 法律责任 |
第8章 法的責任 |
| 第六十条 数据处理者不履行第九条、第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十八条的规定,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者导致危害数据安全等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 |
第60条 データ処理者が第9条、第10条、第11条、第12条、第13条、第14条、第15条および第18条の規定を履行しなかった場合、関係主管部門は修正を命じ、警告を発し、5万元以上50万元以下の罰金を科すことができ、直接の責任者およびその他の直接の責任者に1万元以上10万元以下の罰金を科すことができる。修正の拒否またはそのような拒否がデータセキュリティを危険にさらすなどの重大な結果をもたらした場合、50万元以上200万元以下の罰金を科し、責任者およびその他の直接の責任者には、関連事業の停止、是正のための事業の停止、関連事業許可の取り消し、または事業許可の取り消しを命じられる可能性があり、責任者およびその他の直接の責任者には、5万元以上20万元以下の罰金を科す。 |
| 第六十一条 数据处理者不履行第十九条、第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条规定的数据安全保护义务的,由有关部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 |
第61条 データ処理者が第19条、第20条、第21条、第22条、第23条、第24条および第25条に定めるデータセキュリティ保護に関する義務を履行しない場合、関係当局は是正を命じ、警告を発し、違法な収入を没収し、個人情報を違法に処理したアプリケーションのサービス提供の停止または終了を命じ、是正を拒否した場合は100万元以下の罰金を科し、アプリケーションの直接の責任者は100万元以下の罰金を科す。 責任者およびその他の直接の責任者は、1万元以上10万元以下の罰金に科す。 |
| 有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 |
前項の規定に著しく違反した場合、関係当局は是正を命じ、違法所得を没収し、5,000万元以上または前年の売上高の5%以下の罰金を科すとともに、関連事業の停止または事業是正の停止を命じ、関連の営業許可の取り消しまたは営業許可の取り消しを関係主務官庁に通知することができる。担当者およびその他の直接責任を負う者は、10万元以上の罰金を科される。 直接責任を負う担当者およびその他の直接責任を負う者に100万元以下の罰金を課し、一定期間、関連企業の取締役、監督、上級管理者および個人情報保護担当者に就任することを禁止する決定を下すことができる。 |
| 第六十二条 数据处理者不履行第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条规定的数据安全保护义务的,由有关部门责令改正,给予警告,对违法处理重要数据的系统及应用,责令暂停或者终止提供服务;拒不改正的,并处二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 |
第62条 データ処理者が第28条、第29条、第30条、第31条、第32条および第33条に定めるデータセキュリティ保護に関する義務を履行していない場合、関連当局は是正を命じ、警告を発し、法律に違反して重要なデータを扱うシステムおよびアプリケーションのサービス提供の停止または終了を命じ、是正を拒否した場合は200万元以下の罰金を科し、直接の責任者に100万元以下の罰金を科すものとします。 責任者およびその他の直接の責任者は、5万元以上20万元以下の罰金を科す。 |
| 有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处二百万元以上五百万元以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。 |
前項に規定する違法行為があり、その状況が重大である場合、関係当局は是正を命じ、違法所得を没収し、200万元以上500万元以下の罰金を科し、是正のために関連事業の停止または事業の中止を命じ、関連事業免許の取り消しを関係主務官庁に通知し、または事業免許を取り消すことができ、責任者およびその他の直接責任を負う者は20万元以上100万元以下の罰金を科す。 |
| 第六十三条 关键信息基础设施运营者违反第三十四条的规定,由有关部门责令改正,依照有关法律、行政法规的规定予以处罚。 |
第63条 重要な情報インフラの運営者が第34条の規定に違反した場合、関連部門は関連法および行政法規の規定に基づいて是正を命じ、処罰を科す。 |
| 第六十四条 数据处理者违反第三十五条、第三十六条、第三十七条、第三十九条第一款、第四十条、第四十二条的规定,由有关部门责令改正,给予警告,暂停数据出境,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 |
第64条 第35条、第36条、第37条、第39条第1項、第40条および第42条の規定に違反したデータ処理者は、関係当局から修正を命じられ、警告を受け、データ越境から停止され、10万元以上100万元以下の罰金を科せられ、責任者およびその他の直接の責任者は1万元以上10万元以下の罰金を科せられる可能性がある。重大な場合には、100万元以上1,000万元以下の罰金を課し、関連事業の停止、是正のための停止を命じたり、関連事業の許可を取り消したり、事業許可を取り消すことができ、責任者およびその他の直接の責任者は、10万元以上100万元以下の罰金を科す。 |
| 第六十五条 违反本条例第三十九条第二款的规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 |
第65条 本条例第39条第2項の規定に違反して、主務官庁の承認を得ずに外国の司法機関または法執行機関にデータを提供した場合、当該主務官庁は警告を発し、10万元以上100万元以下の罰金を科し、責任者およびその他の直接の責任者は1万元以上10万元以下の罰金を科すことができる。 500万元以下の罰金を科すとともに、関連事業の停止、事業是正の停止、関連事業許可の取り消し、事業許可の取り消しを命じ、責任者およびその他の直接の責任者に5万元以上50万元以下の罰金を科す。 |
| 第六十六条 个人和组织违反第四十一条的规定,由有关主管部门责令改正,给予警告、没收违法所得;拒不改正的,处违法所得一倍以上十倍以下的罚款,没有违法所得的,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。 |
第66条 第41条の規定に違反した個人および組織は、関係当局から是正を命じられ、警告を受け、不法所得を没収され、是正を拒否した場合は、不法所得の2倍以上10倍以下の罰金を科され、不法所得がない場合、責任者およびその他の直接の責任者には、5万元以上50万元以下の罰金を科す。状況が深刻な場合、関係当局は、関連法および行政法規に基づき、関連事業の停止を命じ、事業を停止し、関連事業許可を取り消し、または事業許可を取り消すことができる。状況が深刻な場合、管轄当局は関連法および行政法規に基づき、関連事業の停止、事業是正の停止、関連事業許可の取り消し、または事業許可の取り消しを命じることができる。違反行為が犯罪を構成する場合、関連法および行政法規に基づき罰則を課す。 |
| 第六十七条 互联网平台运营者违反第四十三条、第四十四条、第四十五条、第四十七条、第五十三条的规定,由有关部门责令改正,予以警告;拒不改正,处五十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 |
第67条 インターネット・プラットフォーム事業者が第43条、第44条、第45条、第47条および第53条の規定に違反した場合、関係当局は是正を命じ、警告を発し、是正を拒否した場合は50万元以上500万元以下の罰金を科し、責任者およびその他の直接の責任者は5万元以上50万元以下の罰金を科し、状況が深刻な場合は、当該事業の停止、是正のための事業の停止、ウェブサイトの閉鎖、当該事業の許可の取消し、事業許可の取消しを課すことができる。 |
| 第六十八条 互联网平台运营者违反第四十六条、第四十八条、第五十一条的规定,由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。 |
第68条 インターネット・プラットフォーム事業者が第46条、第48条および第51条の規定に違反した場合、関係当局は是正を命じ、警告を発し、是正を拒否した場合は前年の売上高の1%以上5%以下の罰金を科し、状況が深刻な場合は、関係当局は関連法および行政法規の規定に基づき、関連事業の停止、是正のための事業の停止、関連事業許可の取り消し、事業許可の取り消しを命じることができる。 本件が犯罪に該当する場合は、関連する法律および行政法規の規定に基づいて処罰される。 |
| 第六十九条 互联网平台运营者违反第四十九条、第五十四条的规定,由有关主管部门责令改正,予以警告;拒不改正,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,可由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 |
第69条第49条および第54条の規定に違反したインターネット・プラットフォーム事業者は、所轄官庁から是正命令および警告を受け、是正を拒否した場合は5万元以上50万元以下の罰金、責任者およびその他の直接の責任者は1万元以上10万元以下の罰金を科され、状況が深刻な場合は、所轄官庁から関連事業の停止、営業停止、是正、ウェブサイトの閉鎖、関連する営業許可の取り消し、または営業許可の取消しを命じられることがある。 |
| 第七十条 数据处理者违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 |
第70条 データ処理者が本条例の規定に違反して他人に損害を与えた場合は、法律に基づき民事責任を負い、公安管理の違反に該当する場合は、法律に基づき公安管理上の処罰を受け、犯罪に該当する場合は、法律に基づき刑事責任を追及するものとする。 |
| 第七十一条 国家机关不履行本法规定的数据安全保护义务的,由其上级机关或者履行数据安全管理职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。 |
第71条 国家機関がこの法律に規定されているデータ・セキュリティ保護に関する義務を履行していない場合、その上位機関またはデータ・セキュリティ管理業務を行う部門は修正を命じなければならず、直接責任を負う担当者およびその他の直接責任を負う者は、法律に従って処罰される。 |
| 第七十二条 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。 |
第72条 データ処理活動が中華人民共和国の領域外で行われ、中華人民共和国の国家安全保障もしくは公共の利益、または市民もしくは組織の合法的な権利および利益を害する場合、法的責任は法律に基づいて調査される。 |
| 第九章 附则 |
第9章 規約 |
| 第七十三条 本条例下列用语的含义: |
第73条 本条例における以下の用語の意味。 |
| (一)网络数据(简称数据)是指任何以电子方式对信息的记录。 |
(1) ネットワークデータ(データと呼ぶ)とは、電子形式の情報の記録を意味する |
| (二)数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。 |
(2) データ処理活動とは、データの収集、保管、使用、処理、送信、提供、開示、削除などの活動を指す |
| (三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据: |
(3) 重要なデータとは、改ざん、破損、漏洩、不正アクセス、不正使用された場合に、国の安全や公共の利益を脅かす可能性のあるデータを指します。 以下のデータが含まれる |
| 1.未公开的政务数据、工作秘密、情报数据和执法司法数据; |
1. 非公開の政府データ、仕事上の秘密、情報データ、法執行機関や司法機関のデータ |
| 2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据; |
2. 輸出管理データ、輸出管理品目に関わるコア技術、設計スキーム、生産プロセスに関するデータ、暗号、生物、電子情報、人工知能など、国家安全保障や経済の競争力に直接影響を与える分野の科学技術成果に関するデータ |
| 3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等; |
3. 国家の経済運営データ、重要産業のビジネスデータ、統計データなどで、国の法律、行政法規、部門規定で保護または普及制御が明確に求められているもの |
| 4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据; |
4. 産業、通信、エネルギー、交通、水利、金融、国防科学技術産業、税関、税務などの主要産業・分野の安全な生産・運営に関するデータ、主要なシステムコンポーネントや機器のサプライチェーンデータ |
| 5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据; |
5. 遺伝子、地理、鉱物、気象データなど、人口や健康、天然資源、環境に関する国家基本データで、国家の関連部門が指定する規模や精度に達しているもの |
| 6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据; |
6. 国家インフラ、重要情報インフラの構築・運用とそのセキュリティデータ、国防施設、軍管理区域、国防研究・生産ユニットなどの重要かつ機密性の高いエリアの地理的位置とセキュリティに関するデータ |
| 7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。 |
7. その他、国家の政治、領土、軍事、経済、文化、社会、科学技術、生態、資源、核施設、海外の利益、生物、宇宙、極地、深海などの安全に影響を与える可能性のあるデータ |
| (四)核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。 |
(4) コアデータとは、国家安全保障、国民経済の生命線、重要な国民の生活、主要な公共の利益などに関するデータを指す |
| (五)数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。 |
(5) データ処理者とは、データ処理活動において、処理の目的や方法を自ら決定する個人や組織を指す |
| (六)公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。 |
(6)公共データとは、国の機関や、法律や行政法規によって公務を管理する権限を与えられた組織が、公務管理義務の遂行や公共サービスの提供の過程で収集・生成するあらゆる種類のデータ、および他の組織が公共サービスの提供の過程で収集・生成する公共の利益に関わるあらゆる種類のデータを指す |
| (七)委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。 |
(7) 委託処理 データ処理者が合意された目的および方法で第三者に委託するデータ処理活動を意味する |
| (八)单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。 |
(8)個別の同意とは、データ処理者が特定の情報処理活動を行う際に、個人情報の項目ごとに個別の同意を得ることを意味し、複数の個人情報の項目および複数の情報処理活動を一度に行う場合の同意は含まれない |
| (九)互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。 |
(9) インターネット・プラットフォーム事業者は、情報公開、ソーシャル・ネットワーキング、トランザクション、決済、オーディオ・ビジュアル、その他のインターネット・プラットフォーム・サービスをユーザーに提供するデータ処理者のことをいう |
| (十)大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。 |
(10) 大規模インターネット・プラットフォーム事業者とは、ユーザー数が5,000万人以上で、大量の個人情報や重要なデータを扱い、強い社会的動員力と市場支配力を持つインターネット・プラットフォーム事業者を指す |
| (十一)数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。 |
(11) データ越境セキュリティゲートウェイ 外国の反体制的なウェブサイトや有害情報へのアクセスを遮断し、国外からのサイバー攻撃を防ぎ、越境ネットワークのデータ伝送を制御し、越境サイバー犯罪を防止・捜査する重要なセキュリティインフラを意味する |
| (十二)公共信息是指数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。包括公开发布信息、可转发信息、无明确接收人信息等。 |
(12) 公共情報とは、データ処理者が公共サービスを提供する過程で収集・生成する、公共的な通信特性を持つ情報を指します。 公開された情報、転送可能な情報、受信者が明確でない情報などが含まれる |
| 第七十四条 涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。 |
第74条 国家機密情報、コア・データおよびパスワードの使用に関わるデータ処理活動は、関連する国の規制に従って実施されるものとする。 |
| 第七十五条 本条例自 年 月 日起施行。 |
第75条 この条例は、○年○月○日から施行する。 |
Recent Comments