Закон о защите личной информации Китайской Народной Республики
(Принято на 30-м заседании Постоянного комитета Всекитайского собрания народных представителей 20-го созыва 2021 августа XNUMX г.)
Глава I
Статья 1. Настоящий Закон введен в действие в соответствии с Конституцией в целях защиты прав и интересов на персональные данные, регулирования деятельности по обработке персональных данных и содействия разумному использованию персональных данных.
Статья 2 Личная информация физических лиц охраняется законом. Ни одна организация или физическое лицо не может нарушать права и интересы физических лиц в отношении их личной информации.
Статья 3 Настоящий Закон применяется к обработке личной информации физических лиц на территории Китайской Народной Республики.
Настоящий Закон также применяется к обработке за пределами территории Китайской Народной Республики личной информации физических лиц на территории Китайской Народной Республики при любом из следующих обстоятельств:
(1) с целью предоставления товаров или услуг физическим лицам в Китайской Народной Республике;
(2) анализ или оценка поведения физических лиц на территории Китайской Народной Республики; а также
(3) любые другие обстоятельства, предусмотренные любым законом или административным регламентом.
Статья 4 «Личная информация» относится к различной информации, относящейся к идентифицированному или идентифицируемому физическому лицу, записанной в электронном или ином виде, но не включает анонимную информацию.
Обработка личной информации включает в себя, среди прочего, сбор, хранение, использование, обработку, передачу, предоставление, раскрытие и удаление личной информации.
Статья 5 Персональные данные должны обрабатываться в соответствии с законом, когда это необходимо, по уважительной причине и добросовестно, и обработка не может быть связана с введением в заблуждение, мошенничеством, принуждением и т.п.
Статья 6. Обработка личной информации должна основываться на явных и разумных целях и непосредственно связана с этими целями и оказывать минимальное воздействие на права и интересы физических лиц.
Сбор личной информации должен быть ограничен минимальным объемом, требуемым целью обработки, и личная информация не может собираться в чрезмерных количествах.
Статья 7 При обработке персональных данных соблюдаются принципы открытости и прозрачности, раскрываются правила обработки персональных данных, четко указываются цели, способы и объем обработки.
Статья 8. При обработке персональных данных гарантируется качество персональных данных во избежание неблагоприятного воздействия на права и интересы граждан недостоверных и неполных персональных данных.
Статья 9. Обработчики персональных данных несут ответственность за свою деятельность по обработке персональных данных и принимают необходимые меры для обеспечения безопасности обрабатываемых ими персональных данных.
Статья 10. Никакая организация или физическое лицо не должны незаконно собирать, использовать, обрабатывать или передавать личную информацию других лиц, или незаконно торговать, предоставлять или раскрывать личную информацию других лиц, или участвовать в деятельности по обработке личной информации, которая ставит под угрозу национальную безопасность или наносит ущерб. общественные интересы.
Статья 11. Государство создает и совершенствует систему защиты личной информации для предотвращения и наказания за нарушение прав и интересов в отношении личной информации, усиления пропаганды и просвещения по вопросам защиты личной информации, а также для создания благоприятной среды для правительства, предприятий, соответствующих отраслевых организаций. , и общественность совместно участвовать в защите личной информации.
Статья 12. Государство будет активно участвовать в разработке международных правил защиты личной информации, содействовать международному обмену и сотрудничеству в области защиты личной информации, а также поощрять взаимное признание правил и стандартов защиты личной информации, среди прочего, с другими странами, регионами. и международных организаций.
Глава II Правила обработки персональной информации
Раздел 1 Общие правила
Статья 13. Обработчик личной информации может обрабатывать личную информацию физического лица только при наличии одного из следующих обстоятельств:
(1) получено согласие лица;
(2) обработка необходима для заключения или исполнения договора, стороной которого является физическое лицо, или необходима для управления человеческими ресурсами в соответствии с трудовыми нормами и правилами, установленными в соответствии с законом, и коллективными договорами, заключенными в соответствии с с законом;
(3) обработка необходима для выполнения установленных законом обязанностей или обязательств;
(4) обработка необходима для реагирования на чрезвычайные ситуации в области общественного здравоохранения или для защиты жизни, здоровья и сохранности имущества физических лиц в чрезвычайных ситуациях;
(5) личная информация разумно обрабатывается для репортажей новостей, надзора за СМИ и других действий, проводимых в общественных интересах;
6) личная информация, раскрытая самим физическим лицом, или иная правомерно раскрытая личная информация физического лица, обоснованно обрабатывается в соответствии с настоящим Законом; а также
(7) другие обстоятельства, предусмотренные законами или административными правилами.
Для обработки личной информации необходимо получить индивидуальное согласие, если это предусмотрено любыми другими соответствующими положениями настоящего Закона, за исключением обстоятельств, указанных в подпунктах (2) - (7) предыдущего пункта.
Статья 14 Если обработка личной информации основана на индивидуальном согласии, индивидуальное согласие должно быть добровольным, явным и полностью осознанным. Если какой-либо другой закон или административный регламент предусматривает, что для обработки личной информации необходимо получить отдельное согласие или письменное согласие физического лица, применяются такие положения.
В случае изменения целей или способов обработки персональных данных, категории обрабатываемых персональных данных требуется новое согласие физического лица.
Статья 15 Если обработка личной информации основана на индивидуальном согласии, физическое лицо имеет право отозвать свое согласие. Обработчики личной информации должны предоставить физическим лицам удобные способы отозвать свое согласие.
Отзыв согласия не влияет на действительность действий по обработке данных, осуществляемых на основании согласия до его отзыва.
Статья 16. Обработчик личной информации не должен отказывать в предоставлении товаров или услуг физическому лицу на том основании, что это лицо отказывается от своего согласия на обработку своей личной информации или отозвало свое согласие на обработку личной информации, за исключением случаев, когда обработка личная информация необходима для предоставления продуктов или услуг.
Статья 17. Перед обработкой личной информации лицо, обрабатывающее личную информацию, должно правдиво, точно и полностью информировать лицо о следующих вопросах в понятной форме и на ясном и легком для понимания языке:
(1) имя и контактная информация обработчика личной информации;
(2) цели и средства обработки персональных данных, а также категории и сроки хранения персональных данных, подлежащих обработке;
(3) способы и порядок осуществления физическим лицом своих прав, предусмотренных настоящим Законом; а также
(4) другие вопросы, о которых лицо должно быть уведомлено в соответствии с законами и административными правилами.
В случае изменения любого вопроса, изложенного в предыдущем параграфе, лицо должно быть проинформировано об изменении.
Если обработчик личной информации информирует физическое лицо о вопросах, указанных в первом абзаце, путем формулирования правил обработки личной информации, правила обработки должны быть обнародованы и должны быть легко доступны для ознакомления и сохранения.
Статья 18. При обработке личной информации обработчикам личной информации разрешается не информировать лиц о вопросах, указанных в первом абзаце предыдущей статьи, если законы или административные правила требуют конфиденциальности или не предусматривают такого уведомления.
В случае невозможности своевременного уведомления физических лиц в целях защиты жизни, здоровья и сохранности имущества физических лиц в случае возникновения чрезвычайной ситуации обработчики персональных данных уведомляют их незамедлительно после устранения чрезвычайной ситуации.
Статья 19. Если иное не предусмотрено законами и административными регламентами, периодом хранения личной информации является минимальное время, необходимое для достижения цели обработки.
Статья 20. Если два или более обработчика личной информации совместно определяют цели и средства обработки определенной личной информации, они должны прийти к соглашению о своих соответствующих правах и обязанностях при обработке личной информации. Однако это соглашение не затрагивает просьбу физического лица к любому из них об осуществлении своих прав, предусмотренных настоящим Законом.
Если при совместной обработке определенной личной информации обработчик нарушает права и интересы в отношении личной информации и причиняет ущерб, другие обработчики личной информации несут солидарную ответственность в соответствии с законом.
Статья 21. Обработчик персональных данных, поручающий обработку определенной личной информации стороне, должен прийти к соглашению с доверенной стороной о целях, сроках и средствах обработки, категориях обрабатываемой личной информации и мерах защиты, а также права и обязанности обеих сторон, среди прочего, и должен контролировать деятельность по обработке личной информации доверенной стороны.
Доверенная сторона должна обрабатывать личную информацию в соответствии с соглашением и не может обрабатывать личную информацию за пределами целей, средств и других условий, оговоренных. Если договор о доверительном управлении не вступил в силу, или является недействительным, или отозван или расторгнут, доверенная сторона должна вернуть соответствующую личную информацию обработчику личной информации или удалить ее и не должна сохранять личную информацию.
Без согласия обработчика личной информации доверенная сторона не может передавать обработку личной информации в субподряд какой-либо другой стороне.
Статья 22. Если обработчику личной информации необходимо передать личную информацию в связи с слиянием, разделением, роспуском или банкротством или по другим причинам, обработчик должен сообщить лицам имя и контактную информацию получателя передаваемой личной информации. Получатель продолжает выполнять обязательства указанного обработчика личной информации. Любое изменение первоначальных целей или способов обработки получателем подлежит индивидуальному согласию в соответствии с настоящим Законом.
Статья 23. Чтобы предоставить личную информацию любому другому обработчику, обработчик личной информации должен сообщить лицам имя получателя и контактную информацию, цели и средства обработки и категории обрабатываемой личной информации, а также получить отдельные согласие. Получатель обрабатывает личную информацию в рамках целей, средств и категорий личной информации, упомянутых выше. Любое изменение целей или способов обработки получателем подлежит индивидуальному согласию в соответствии с настоящим Законом.
Статья 24. Обработчики персональных данных, использующие персональные данные для автоматизированного принятия решений, должны обеспечивать прозрачность принятия решений, справедливость и беспристрастность результатов и не могут применять необоснованно дифференцированный подход к отдельным лицам с точки зрения цен сделок и других условий сделок.
Информационное продвижение и коммерческий маркетинг физическим лицам на основе автоматизированного принятия решений должны одновременно сопровождаться вариантами, не специфичными для их личных особенностей, или удобными для физических лиц способами отказа.
Если решение, которое может оказать существенное влияние на права и интересы лица, принимается посредством автоматизированного принятия решения, физическое лицо имеет право запросить разъяснения у обработчика персональных данных и право отказать обработчику в принятии решения только посредством автоматизированного принятия решения. принимать решение.
Статья 25. Обработчики личной информации не должны раскрывать обрабатываемую ими личную информацию, за исключением случаев, когда от отдельных лиц было получено отдельное согласие.
Статья 26. Оборудование для сбора изображений и идентификации личности в общественных местах должно быть установлено только тогда, когда это необходимо в целях поддержания общественной безопасности, и должно быть установлено в соответствии с соответствующими положениями государства и с заметными напоминаниями. Собранные личные изображения и идентификационная информация могут использоваться только в целях обеспечения общественной безопасности и, если не получено отдельное согласие отдельных лиц, не должны использоваться для каких-либо других целей.
Статья 27. Обработчик личной информации может разумно обрабатывать личную информацию, раскрытую самим физическим лицом, или другую личную информацию, раскрытую на законных основаниях, за исключением случаев, когда физическое лицо прямо отказывается. Если обработка разглашенной личной информации может оказать существенное влияние на права и интересы физического лица, обработчики личной информации должны сначала получить согласие физического лица в соответствии с положениями настоящего Закона.
Раздел 2 Правила обработки конфиденциальной личной информации
Статья 28 «Конфиденциальная личная информация» — личная информация, которая в случае утечки или незаконного использования может легко привести к ущемлению личного достоинства физического лица или может поставить под угрозу его личную безопасность или собственность, включая такую информацию, как биометрические данные, религиозные убеждения, конкретные личность, состояние здоровья, финансовые счета и местонахождение человека, а также личную информацию несовершеннолетнего в возрасте до 14 лет.
Обработчики личной информации могут обрабатывать конфиденциальную личную информацию только тогда, когда есть конкретная цель и когда это необходимо, при условии, что приняты строгие меры защиты.
Статья 29. Для обработки конфиденциальной личной информации необходимо получить отдельное согласие человека. Если другие законы или административные правила предусматривают получение письменного согласия на обработку конфиденциальной личной информации, такие положения имеют преимущественную силу.
Статья 30. В дополнение к вопросам, указанным в первом абзаце статьи 17 настоящего Закона, оператор, обрабатывающий конфиденциальную личную информацию, должен уведомить физическое лицо о необходимости обработки его конфиденциальной личной информации и влиянии, которое она оказывает на его права и интересы, за исключением если такое уведомление не требуется в соответствии с положениями настоящего Закона.
Статья 31. Для обработки личной информации несовершеннолетних в возрасте до 14 лет обработчики личной информации должны получить согласие родителей или других опекунов несовершеннолетних.
Операторы персональных данных, осуществляющие обработку персональных данных несовершеннолетних в возрасте до 14 лет, разрабатывают специальные правила обработки таких персональных данных.
Статья 32. Если другие законы или административные правила предусматривают получение соответствующего административного разрешения на обработку конфиденциальной личной информации или налагают другие ограничения, такие положения имеют преимущественную силу.
Раздел 3. Специальные положения об обработке персональных данных государственными органами
Статья 33. Действие настоящего Закона распространяется на обработку персональных данных государственными органами; при наличии специальных положений в настоящем Разделе положения настоящего Раздела имеют преимущественную силу.
Статья 34. Когда государственные органы обрабатывают личную информацию для выполнения своих уставных обязанностей, они должны действовать в соответствии с полномочиями и процедурами, установленными законами и административными регламентами, и не должны выходить за рамки и пределы, необходимые для выполнения их уставных обязанностей.
Статья 35. Когда государственные органы обрабатывают личную информацию для выполнения своих уставных обязанностей, они должны выполнять обязательство по уведомлению в соответствии с положениями настоящего Закона, за исключением обстоятельств, указанных в первом абзаце статьи 18 настоящего Закона, или когда уведомление будет препятствовать государственным органам в выполнении их уставных обязанностей.
Статья 36 Личная информация, обрабатываемая государственными органами, хранится на территории Китайской Народной Республики. Оценка безопасности проводится в тех случаях, когда действительно необходимо предоставить такую информацию какой-либо стороне за пределами территории Китайской Народной Республики. При оценке безопасности соответствующие отделы должны оказывать поддержку и помощь, если это требуется.
Статья 37. В случаях, когда организации, уполномоченные законами или постановлениями на управление общественными делами, обрабатывают личную информацию для выполнения своих уставных обязанностей, применяются положения настоящего документа об обработке личной информации государственными органами.
Глава III Правила предоставления персональных данных за границу
Статья 38. Обработчик личной информации, которому действительно необходимо предоставить личную информацию стороне за пределами территории Китайской Народной Республики в деловых целях или по другим причинам, должен соответствовать одному из следующих требований:
(1) прохождение оценки безопасности, организованной национальным департаментом киберпространства в соответствии со статьей 40 настоящего Закона;
(2) получение сертификата защиты личной информации от соответствующего специализированного учреждения в соответствии с положениями, изданными национальным департаментом киберпространства;
(3) заключение договора, определяющего права и обязанности обеих сторон, с зарубежным получателем в соответствии со стандартным договором, составленным национальным департаментом киберпространства; а также
(4) соблюдение других условий, установленных законами и административными правилами, а также национальным департаментом киберпространства.
Если международный договор или соглашение, которое Китайская Народная Республика заключила или к которому присоединилась, устанавливает условия предоставления личной информации стороне за пределами территории Китайской Народной Республики, такие положения могут соблюдаться.
Обработчик личной информации должен принять необходимые меры для обеспечения того, чтобы деятельность по обработке личной информации иностранного получателя соответствовала стандартам защиты личной информации, установленным в настоящем Законе.
Статья 39. Если обработчик личной информации предоставляет личную информацию какой-либо стороне за пределами территории Китайской Народной Республики, обработчик должен сообщить лицам имя и контактную информацию зарубежного получателя, цели и средства обработки, категории личной информации. для обработки, а также способы и процедуры осуществления физическими лицами своих прав, предусмотренных настоящим Законом, в отношении зарубежного получателя и т. д., и должны получить отдельное согласие физического лица.
Статья 40. Операторы критической информационной инфраструктуры и обработчики личной информации, которые обрабатывают личную информацию в объеме, установленном национальным департаментом киберпространства, должны хранить личную информацию, собранную и созданную на территории Китайской Народной Республики, внутри страны. В тех случаях, когда действительно необходимо предоставить информацию стороне за пределами территории Китайской Народной Республики, вопрос должен быть подвергнут оценке безопасности, организованной национальным департаментом киберпространства. Если законы, административные правила или положения, изданные национальным департаментом киберпространства, предусматривают, что оценка безопасности не требуется, такие положения имеют преимущественную силу.
Статья 41. Компетентные органы Китайской Народной Республики должны рассматривать запросы иностранных судебных или правоохранительных органов на личную информацию, хранящуюся в Китае, в соответствии с применимыми законами и международными договорами и соглашениями, заключенными или к которым присоединилась Китайская Народная Республика, или по принципу равенства и взаимности. Без разрешения компетентных органов Китайской Народной Республики ни одна организация или физическое лицо не может предоставлять данные, хранящиеся на территории Китайской Народной Республики, какому-либо иностранному судебному или правоохранительному органу.
Статья 42. Если иностранные организации или физические лица занимаются обработкой личной информации, которая нарушает права и интересы граждан Китайской Народной Республики в отношении личной информации или ставит под угрозу национальную безопасность или общественные интересы Китайской Народной Республики, национальное киберпространство Департамент может включить их в список ограниченных или запрещенных получателей личной информации, опубликовать этот список и принять такие меры, как ограничение или запрет на предоставление личной информации для таких организаций и частных лиц.
Статья 43. Если какая-либо страна или регион примет какие-либо запретительные, ограничительные или другие подобные дискриминационные меры против Китайской Народной Республики в отношении защиты личной информации, Китайская Народная Республика может принять контрмеры против вышеупомянутой страны или региона, исходя из реальных ситуаций.
Глава IV Права физических лиц в деятельности по обработке персональных данных
Статья 44. Физические лица имеют право на получение информации, право принимать решения об обработке своей личной информации, а также право ограничивать или отказывать в обработке своей личной информации другими лицами, если иное не предусмотрено законами или административными нормативными актами.
Статья 45. Физические лица имеют право просматривать и дублировать свою личную информацию от обработчиков личной информации, за исключением обстоятельств, изложенных в первом абзаце статьи 18 и статье 35 настоящего Закона.
Если физическое лицо запрашивает консультацию или дублирование своей личной информации, запрошенный обработчик личной информации должен своевременно предоставить такую информацию.
Если физическое лицо запрашивает передачу своей личной информации назначенному обработчику личной информации, который отвечает требованиям национального департамента киберпространства в отношении передачи личной информации, запрошенный обработчик личной информации должен предоставить средства для передачи.
Статья 46. Если физическое лицо обнаруживает, что его личная информация неверна или неполна, оно имеет право потребовать от обработчиков личной информации исправить или дополнить соответствующую информацию.
Если физическое лицо запрашивает исправление или дополнение своей личной информации, обработчики личной информации должны проверить соответствующую информацию и своевременно внести исправление или дополнение.
Статья 47. В любом из следующих обстоятельств обработчик личной информации должен взять на себя инициативу по удалению личной информации, и физическое лицо имеет право запросить удаление своей личной информации, если обработчик личной информации не удалит эту информацию:
(1) цели обработки достигнуты или не могут быть достигнуты, или такая информация больше не нужна для достижения целей обработки;
(2) обработчик личной информации прекращает предоставлять продукты или услуги, или срок хранения истек;
(3) физическое лицо отзывает свое согласие;
(4) обработчик персональных данных обрабатывает персональные данные в нарушение законов, административных регламентов или соглашений; или
(5) иные обстоятельства, предусмотренные законами и административными правилами.
Если срок хранения, предусмотренный каким-либо законом или административным регламентом, не истек, или технически трудно удалить личную информацию, обработчик личной информации прекращает обработку личной информации, кроме хранения и принятия необходимых мер защиты такой информации.
Статья 48. Физические лица вправе потребовать от оператора персональных данных толкования разработанных им правил обработки персональных данных.
Статья 49. Близкие родственники умершего физического лица могут в своих собственных законных и законных интересах осуществлять права на обработку личной информации умершего, такие как консультации, дублирование, исправление и удаление, как это предусмотрено в настоящей главе, за исключением как иное устроено умершим перед смертью.
Статья 50. Обработчик личной информации должен установить механизм приема и обработки запросов физических лиц об осуществлении их прав. В случае отклонения просьбы лица должны быть указаны причины.
Если обработчик личной информации отклоняет запрос лица на осуществление его прав, это лицо может подать иск в народный суд в соответствии с законом.
Глава V Обязанности обработчиков персональных данных
Статья 51. Обработчики личной информации должны принимать следующие меры для обеспечения того, чтобы их деятельность по обработке личной информации соответствовала законам и административным положениям, исходя из цели и средств обработки, категорий обрабатываемой личной информации, влияния на личные права и интересы и потенциальные риски безопасности, среди прочего, и должны предотвращать несанкционированный доступ, а также нарушение, фальсификацию или потерю любой личной информации:
(1) разработка внутренней системы управления и операционных процедур;
(2) осуществление секретного управления личной информацией;
(3) принятие соответствующих технических мер безопасности, таких как шифрование и деидентификация;
(4) разумное определение оперативных полномочий по обработке личной информации и регулярное проведение обучения и тренингов по технике безопасности для практиков;
(5) формулирование планов на случай чрезвычайных ситуаций, связанных с безопасностью личной информации, и организация реализации таких планов; а также
(6) другие меры, предусмотренные законами и административными правилами.
Статья 52. Обработчик личной информации, который обрабатывает личную информацию в объеме, установленном национальным департаментом киберпространства, назначает лицо, ответственное за защиту личной информации, которое должно контролировать деятельность обработчика личной информации, а также меры защиты, принимаемые им. , среди прочих.
Обработчик личной информации должен раскрывать контактную информацию лица, отвечающего за защиту личной информации, и передавать имя, контактную информацию и другую информацию указанного лица в отделы, отвечающие за защиту личной информации.
Статья 53 Обработчики личной информации за пределами территории Китайской Народной Республики, как указано во втором абзаце статьи 3 настоящего Закона, должны создать специализированные агентства или назначить представителей на территории Китайской Народной Республики, ответственных за обработку личной информации. вопросы, связанные с защитой, и должны представить имена, контактную информацию и другую информацию об агентствах и представителях в отделы, отвечающие за защиту личной информации.
Статья 54. Обработчики личной информации должны регулярно проводить проверки соответствия своей деятельности по обработке личной информации законам и административным правилам.
Статья 55. В любом из следующих обстоятельств обработчик личной информации должен заранее оценить влияние на защиту личной информации и вести учет хода обработки:
(1) обработка конфиденциальной личной информации;
(2) использование личной информации для автоматизированного принятия решений;
(3) поручение обработки личной информации другой стороне, предоставление личной информации другой стороне или обнародование личной информации;
(4) предоставление личной информации любой стороне за пределами территории Китайской Народной Республики; или
(5) выполнение других действий по обработке личной информации, которые могут оказать существенное влияние на отдельных лиц.
Статья 56 Оценка воздействия на защиту личной информации должна включать следующее содержание:
(1) являются ли цели и средства обработки личной информации законными, обоснованными и необходимыми;
(2) влияние на права и интересы отдельных лиц и риски безопасности; а также
(3) являются ли принятые меры защиты правомерными, эффективными и совместимыми со степенью риска.
Отчет об оценке воздействия на защиту личной информации и протокол обработки должны храниться не менее трех лет.
Статья 57 В случае нарушения, подделки или потери личной информации обработчик личной информации должен немедленно принять меры по исправлению положения и уведомить отделы, отвечающие за защиту личной информации, и соответствующих лиц. Уведомление должно содержать следующие пункты:
(1) категории личной информации, которая была или может быть нарушена, подделана или утеряна, а также причины и возможный ущерб от нарушения, подделки и потери;
(2) меры по исправлению положения, принятые обработчиком личной информации, и меры, которые отдельные лица могут предпринять для уменьшения ущерба; а также
(3) контактная информация обработчика личной информации.
В тех случаях, когда меры, принятые обработчиком личной информации, могут эффективно предотвратить ущерб, причиненный нарушением, фальсификацией или потерей личной информации, обработчик личной информации не обязан уведомлять отдельных лиц; если отделы, отвечающие за защиту личной информации, считают, что может быть причинен вред, они имеют право потребовать от обработчика личной информации уведомить отдельных лиц.
Статья 58. Обработчик личной информации, предоставляющий важные услуги интернет-платформы с участием большого количества пользователей и сложных видов бизнеса, должен выполнять следующие обязательства:
(1) создание и совершенствование системы соблюдения требований защиты личной информации в соответствии с положениями государства и создание независимой организации, состоящей в основном из внешних членов, для надзора за защитой личной информации;
(2) следуя принципам открытости, честности и справедливости, формулируя правила платформы и разъясняя нормы и обязательства, которым должны соответствовать поставщики продуктов или услуг в рамках платформы при обработке личной информации;
(3) прекращение предоставления услуг поставщикам продуктов или услуг на платформах, которые обрабатывают личную информацию с серьезным нарушением законов и административных правил; а также
(4) регулярная публикация отчетов о социальной ответственности по защите личной информации для общественного контроля.
Статья 59. Сторона, которой поручена обработка личной информации, должна в соответствии с настоящим Законом и соответствующими законами и административными постановлениями принять необходимые меры для обеспечения безопасности личной информации, доверенной для обработки, и помочь доверительному обработчику личной информации в выполнении обязанности, предусмотренные настоящим Законом.
Глава VI Департаменты с обязанностями по защите личной информации
Статья 60. Национальный департамент киберпространства несет ответственность за общее планирование и координацию защиты личной информации, а также за соответствующий надзор и управление. Соответствующие отделы Государственного совета в соответствии с настоящим Законом и другими соответствующими законами и административными постановлениями несут ответственность за защиту личной информации и соответствующий надзор и управление в рамках своих соответствующих обязанностей.
Обязанности по защите личной информации и соответствующему надзору и управлению соответствующими отделами местных народных правительств уровня уезда или выше определяются в соответствии с соответствующими положениями штата.
Отделы, указанные в предыдущих двух абзацах, вместе именуются отделами, отвечающими за защиту личной информации.
Статья 61. Департаменты, наделенные обязанностями по защите личной информации, должны выполнять следующие обязанности по защите личной информации:
(1) проведение рекламы и просвещение по вопросам защиты личной информации, а также руководство и контроль обработчиков личной информации в их защите личной информации;
(2) получение и рассмотрение жалоб и отчетов, связанных с защитой личной информации;
(3) организация оценок приложений и т. д. с точки зрения защиты личной информации и публикация результатов таких оценок;
(4) расследование и рассмотрение незаконных действий по обработке личной информации; а также
(5) другие обязанности, предусмотренные законами и административными правилами.
Статья 62. Национальное управление киберпространства должно координировать действия соответствующих отделов для продвижения защиты личной информации посредством следующих усилий в соответствии с настоящим Законом:
(1) формулирование конкретных правил и стандартов защиты личной информации;
(2) разработка специальных правил и стандартов защиты личной информации для небольших процессоров личной информации, обработки конфиденциальной личной информации, а также новых технологий и приложений, таких как распознавание лиц и искусственный интеллект;
(3) поддержка исследований и разработок, продвижение применения безопасных и удобных технологий электронной аутентификации, а также развитие общедоступных услуг сетевой аутентификации;
(4) содействие развитию системы услуг по защите личной информации с участием различных социальных секторов и поддержка соответствующих учреждений в предоставлении услуг по оценке и сертификации защиты личной информации; а также
(5) улучшение механизма подачи жалоб и сообщений, связанных с защитой личной информации.
Статья 63. Отдел с обязанностями по защите личной информации при выполнении соответствующих обязанностей может принимать следующие меры:
(1) допрос соответствующих сторон и расследование обстоятельств, связанных с деятельностью по обработке личной информации;
(2) консультирование и копирование договоров сторон, записей, бухгалтерских книг и других соответствующих материалов, связанных с деятельностью по обработке личной информации;
(3) проведение инспекций на местах и расследование предполагаемых незаконных действий по обработке личной информации; а также
(4) проверка оборудования и предметов, связанных с обработкой личной информации; а также опечатывание или изъятие оборудования и предметов, связанных с незаконной обработкой личной информации, что подтверждается доказательствами, после подачи письменных отчетов и получения одобрения от главного лица, отвечающего за отделы, отвечающие за защиту личной информации.
Когда отделы, наделенные обязанностями по защите личной информации, выполняют свои обязанности в соответствии с законом, заинтересованные стороны должны сотрудничать и оказывать помощь, а не отвергать их или препятствовать им.
Статья 64. Если отдел, отвечающий за защиту личной информации, при выполнении своих обязанностей обнаруживает относительно высокие риски в деятельности по обработке личной информации или возникновение инцидентов безопасности личной информации, отдел может провести собеседование с законным представителем или основным ответственным лицом. обработчика личной информации в соответствии с предоставленными полномочиями и процедурами, или запросить у обработчика поручить профессиональной организации провести аудит соответствия деятельности по обработке личной информации. Обработчик личной информации должен принять меры для исправления и устранения потенциальных рисков по мере необходимости.
Если отдел, отвечающий за защиту личной информации, при выполнении своих обязанностей обнаруживает незаконную деятельность по обработке личной информации, которая может быть сопряжена с преступлением, этот отдел должен своевременно передать дело в орган общественной безопасности в соответствии с законом.
Статья 65 Любая организация или физическое лицо имеет право подать жалобу и сообщить в отдел, отвечающий за защиту личной информации, о незаконной обработке личной информации. Департамент, получивший такую жалобу или отчет, должен своевременно рассмотреть их в соответствии с законом и уведомить заявителя или информатора о результатах.
Департаменты, отвечающие за защиту персональных данных, должны публиковать свои контактные данные для получения жалоб и отчетов.
Глава VII Юридическая ответственность
Статья 66. В случае обработки персональных данных с нарушением положений настоящего Закона или без выполнения обязательств по защите персональных данных, предусмотренных настоящим Законом, органы, отвечающие за защиту персональных данных, должны предписать нарушителю внести исправления, вынести предупреждение, конфисковать незаконные доходов, а также распоряжаться о приостановке или прекращении предоставления услуг приложениями, которые неправомерно обрабатывают личную информацию; если нарушитель отказывается внести исправления, на него налагается штраф в размере не более одного миллиона юаней; и ответственные лица с прямой ответственностью и другие лица с прямой ответственностью должны быть оштрафованы на сумму не менее 10,000 100,000 юаней и не более XNUMX XNUMX юаней каждое.
В случае незаконного действия, как указано в предыдущем параграфе, и серьезных обстоятельств, отделы с обязанностями по защите личной информации на уровне провинции или выше должны приказать нарушителю внести исправления, конфисковать незаконную прибыль, наложить штраф в размере не более чем 50 миллионов юаней или не более пяти процентов от оборота предыдущего года; может также распорядиться о приостановке соответствующего бизнеса или распорядиться о приостановке всех деловых операций для капитального ремонта и уведомить компетентные органы об отзыве соответствующих разрешений или лицензий на ведение бизнеса; налагает штраф в размере не менее 100,000 1 юаней, но не более XNUMX миллиона юаней на каждого непосредственно ответственного лица и других лиц, несущих прямую ответственность, и может принять решение о запрете вышеупомянутым лицам занимать должности директоров, руководителей, старших руководителей или лиц, ответственных за соответствующие компании в течение определенного периода времени.
Статья 67 Любое нарушение положений настоящего Закона должно быть внесено в соответствующую кредитную историю и опубликовано в соответствии с положениями соответствующих законов и административных правил.
Статья 68. В случае невыполнения каким-либо государственным органом обязательств по защите персональных данных, предусмотренных настоящим Законом, вышестоящий орган или ведомства, наделенные обязанностями по защите персональных данных, должны приказать ему внести исправления и наложить дисциплинарное взыскание на непосредственно ответственное лицо и иные лица, несущие прямую ответственность в соответствии с законодательством.
Если сотрудник отдела с обязанностями по защите личной информации пренебрегает своими обязанностями, злоупотребляет властью или практикует фаворитизм, что не является преступлением, сотрудник подлежит наказанию в соответствии с законом.
Статья 69. Если обработчик личной информации нарушает права или интересы в отношении личной информации в связи с какой-либо деятельностью по обработке личной информации и не может доказать, что обработчик не виноват, обработчик принимает на себя ответственность за ущерб и другую деликтную ответственность.
Ответственность за ущерб, указанный в предыдущем параграфе, определяется на основе убытков, понесенных физическими лицами, и выгод, полученных нарушившим обработчиком личной информации; а в случае, когда трудно определить вышеупомянутые убытки или выгоды, размер убытков определяется исходя из фактических обстоятельств.
Статья 70. Если обработчик персональных данных обрабатывает персональные данные в нарушение положений настоящего Закона и ущемляет права и интересы многих лиц, народная прокуратура, организации потребителей, указанные в законе, и организация, назначенная национальным департаментом киберпространства, могут подать иск в народный суд в соответствии с законом.
Статья 71. Любое нарушение настоящего Закона, представляющее собой нарушение администрации общественной безопасности, подлежит наказанию администрацией общественной безопасности в соответствии с законом. Если нарушение представляет собой преступление, нарушитель подлежит уголовной ответственности в соответствии с законом.
Глава VIII Дополнительные положения
Статья 72. Настоящий Закон не применяется, если физическое лицо обрабатывает личную информацию для личных или домашних дел.
В тех случаях, когда другие законы предусматривают обработку персональных данных в деятельности по управлению статистикой или архивами, организуемой и проводимой народными правительствами всех уровней и их соответствующими ведомствами, положения таких законов имеют преимущественную силу.
Статья 73. Для целей настоящего Закона следующие термины имеют следующие значения:
(1) «Обработчик личной информации» относится к организации или физическому лицу, которое самостоятельно определяет цели и средства обработки личной информации.
(2) «автоматизированное принятие решений» относится к действиям по автоматическому анализу и оценке личного поведения, увлечений или экономического положения, состояния здоровья и кредитоспособности, среди прочего, с помощью компьютерных программ и принятию решений.
(3) «деидентификация» относится к обработке личной информации, чтобы сделать невозможным идентификацию конкретных физических лиц при отсутствии поддержки дополнительной информации.
(4) «анонимизация» относится к процессу обработки личной информации, чтобы сделать невозможным идентификацию конкретных физических лиц и невозможность восстановления.
Статья 74. Настоящий Закон вступает в силу с 1 ноября 2021 года.