China Justice Observer

中司观察

EngelskaarabiskaFörenklad kinesiska)DutchfranskatyskahindiitalienskajapanskakoreanskaportugisiskaryskaspanskasvenskaHebreiskaindonesiskavietnamesiskathailändskaturkiskaMalay

15 poäng du behöver veta om Kinas lag för skydd av personuppgifter

Lör, 28 Aug 2021
Kategorier: Insikter
Medverkande: CJO Team för medarbetare
Redaktör: Yanru Chen 陈彦茹
Spara som PDF

Avatar

 

Det kan vara en av de strängaste lagstiftningen om skydd av personuppgifter i världen.

Kinas första lag för skydd av personuppgifter (“PIPL”) utfärdades den 21 augusti 2021 och kommer att gälla sedan 1 november 2021.

Lagen har totalt 74 artiklar. De 15 viktigaste punkterna i lagen som är mest värda att uppmärksamma är följande.

1. Gäller Kinas PIPA utländska företag?

Så länge du hanterar personuppgifter om fysiska personer i Kina måste du följa PIPA. (Artikel 3)

Lagen gäller även aktiviteter utanför Kina som hanterar personuppgifter om fysiska personer som befinner sig i Kina under någon av följande omständigheter

(1) verksamheten är att tillhandahålla produkter eller tjänster till fysiska personer i Kina.

(2) aktiviteterna är att analysera och utvärdera fysiska personers beteende i Kina.

(3) andra omständigheter som anges i andra kinesiska lagar och administrativa föreskrifter.

2. Kan personuppgifter i Kina överföras utanför Kina?

Ja, förutsatt att följande två förutsättningar är uppfyllda.

För det första har överföringen godkänts av de kinesiska tillsynsmyndigheterna. (Artikel 38)

För det andra har personuppgiftsbehandlaren erhållit den personens separata samtycke för detta ändamål. (Artikel 39)

3. Kan personlig information som samlas in och genereras i Kina lagras utanför Kina?

I princip nej. (Artikel 40)

För det första kan operatörer av kritisk informationsinfrastruktur bara lagra personlig information i Kina.

För det andra, om en personuppgiftsbehandlare hanterar personuppgifter upp till det belopp som tillsynsmyndigheterna har angett, kan den bara lagra personlig information inom Kina.

4. Kommer utländska enheter att straffas för brott mot Kinas PIPA?

Ja.

De kinesiska tillsynsmyndigheterna kan inkludera dem i listan över begränsade eller förbjudna personuppgifter och begränsa eller förbjuda andra ämnen att lämna personlig information till dem. (Artikel 42)

5. Kan utländska rättsorgan och brottsbekämpande organ begära tillgång till personlig information som lagras i Kina?

Utländska rättsliga organ kan endast få sådan personlig information genom rättsligt bistånd. (Artikel 41)

Behandlaren av personuppgifter ska inte lämna sådan personlig information till utländska rättsliga eller brottsbekämpande organ utan godkännande av de behöriga kinesiska myndigheterna.

6. Hur löser Kina konflikter med utländska regler för skydd av personuppgifter?

Om något land eller en region vidtar diskriminerande förbud, restriktioner eller andra liknande åtgärder mot Kina för att skydda personuppgifter, kan Kina vidta ömsesidiga åtgärder mot sådant land eller en sådan region i enlighet med den faktiska situationen. (Artikel 43)

7. Vilken typ av information reglerar Kinas PIPA?

Personlig information. Om informationen kan identifieras som relaterad till en specifik fysisk person, så är det personlig information. (Artikel 4)

8. Vilken typ av verksamhet reglerar Kinas PIPA?

Hanteringen av personlig information omfattar insamling, återställning, användning, bearbetning, överföring, tillhandahållande, avslöjande och radering av personlig information. (Artikel 4)

9. Under vilka omständigheter kan personuppgifter behandlas?

Behandlaren av personuppgifter kan behandla personuppgifter i två fall: om den berörda individens samtycke har inhämtats; eller där individens samtycke inte krävs för behandling av informationen.

Fall, där individuellt samtycke inte krävs, inkluderar:

(1) Behandlaren av personuppgifter ingår ett kontrakt med en fysisk person och insamling av personlig information är nödvändig för att ett kontrakt ska kunna fullgöras.

(2) Ett företag samlar in nödvändig personalinformation för personalhantering.

(3) Personlig information samlas in för att hantera en nödsituation.

(4) Personlig information samlas in för pressbevakning för allmänintresset.

(5) Personlig information som har offentliggjorts (begränsad till ett specifikt syfte).

10. Hur får en personuppgiftsbehandlare samtycke från en individ?

Innan hanterar personuppgifter ska personuppgiftsbehandlaren informera individen om följande information troget, korrekt och fullständigt, på ett framträdande sätt och på ett tydligt och begripligt språk:

(1) Personuppgiftsbehandlarens identitet.

(2) Hur personuppgifterna kommer att behandlas.

(3) Hur individen kommer att utöva sina rättigheter med avseende på personlig information.

11. Vilka rättigheter har en individ med avseende på sin personliga information?

Individer har rätt att få veta och besluta om hanteringen av sina personuppgifter. (Artikel 44)

Att vara specifik,

(1) Individer har rätt att inspektera och kopiera sina personuppgifter från den person som hanterar sina personuppgifter; (Artikel 45)

(2) Individer har rätt att begära att personuppgiftsbehandlaren rättar eller kompletterar sin personliga information om de finner informationen felaktig eller ofullständig; (Artikel 46)

(3) Individerna har rätt att när som helst återkalla sitt samtycke (artikel 15)

(4) Individerna har rätt att begära att personuppgiftsbehandlaren förklarar och förtydligar reglerna för hantering av sina personuppgifter. (Artikel 48)

12. Hur hanterar statliga organ personlig information?

Statliga organ kan hantera personuppgifter i syfte att utföra sina juridiska uppgifter, men de måste göra det i enlighet med lagstadgad myndighet och förfaranden. (Artikel 34)

Statliga organ ska informera individer om hanteringen av deras personuppgifter. Statens organ får dock inte informera individerna om lagen föreskriver att sådan hantering ska hållas konfidentiell. (Artikel 35, artikel 18)

13. Kan personuppgiftsbehandlare samla in personlig information på offentliga platser?

Ja, de kan, förutsatt att följande krav måste uppfyllas (artikel 26):

(1) insamlingen är nödvändig för allmän säkerhet.

(2) samlingen överensstämmer med relevanta lagbestämmelser;

(3) samlingen skapar en framträdande påminnelse.

14. Kan en personuppgiftsbiträde använda personlig information för att fatta affärsbeslut?

Ja, men de ska säkerställa beslutets insyn och resultatens rättvisa och opartiskhet. (Artikel 24)

Att vara specifik:

(1) Personuppgiftsbiträden ska inte erbjuda personliga handelsvillkor till enskilda, till exempel prisdiskriminering.

(2) Individer kan vägra personlig information och kommersiell marknadsföring av personuppgiftsbiträden till dem.

(3) Individer kan vägra automatiserade beslut som tas av personuppgiftsbehandlare till dem.

15. vem är tillsynsmyndigheten för skydd av personuppgifter i Kina? 

Cyberspace Administration i Kina och dess motsvarigheter i lokala regeringar är tillsynsmyndigheter på detta område.

 

Foto: Isaac Chou on Unsplash

 

Medverkande: CJO Team för medarbetare

Spara som PDF

Insikt: Kinas lagstiftning
Skydd av personuppgifter

Relaterade lagar på China Laws Portal

Lag för skydd av personuppgifter i Kina (2021)

Du kanske också gillar

Således talade kinesiska domare om erkännande och verkställighet av utländska domar: Insikter från kinesiska högsta domstolens domare om 2023 års civilprocessrättsändring (4)

2023 års civilprocesslag inför systematiska bestämmelser för att förbättra erkännandet och verkställigheten av utländska domar, främja transparens, standardisering och processuell rättvisa, samtidigt som man antar en hybrid metod för att fastställa indirekt jurisdiktion och införa ett omprövningsförfarande som ett rättsmedel.

Således talade kinesiska domare om bevisupptagning utomlands: Insikter från kinesiska högsta domstolens domare om 2023 års civilprocessrättsändring (3)

2023 års civilprocesslag introducerar ett systematiskt ramverk för bevisupptagning utomlands, som tar itu med långvariga utmaningar i civilrättsliga och kommersiella rättstvister, samtidigt som den omfattar innovativa metoder som att använda enheter för snabbmeddelanden, vilket förbättrar effektiviteten och anpassningsförmågan i rättsliga förfaranden.

Således talade kinesiska domare om gränsöverskridande delgivning av processer: Insikter från kinesiska högsta domstolens domare om 2023 års civilprocessrättsändring (2)

Civilprocesslagen från 2023 antar ett problemorienterat tillvägagångssätt som tar itu med svårigheter i processen för utrikesrelaterade ärenden genom att utöka kanalerna och förkorta tjänsten med publiceringsperiod till 60 dagar för icke-hemvist parter, vilket återspeglar ett bredare initiativ för att öka effektiviteten och anpassa rättsliga förfaranden till komplexiteten i internationella rättstvister.

Domstol i Peking släpper rapport om kränkning av medborgarnas personliga information

Genom att kartlägga utvecklingen av Kinas dataskyddslandskap från 2009 års straffrättsändring till 2016 års cybersäkerhetslag och till 2021 års lag om skydd av personuppgifter, en avgörande vitbok som utfärdades av Beijing High People's Court i november 2023 understryker de kinesiska domstolarnas roll när det gäller att verkställa stränga regler för nätoperatörer och skydd av medborgarnas personuppgifter.

Kina utfärdar riktlinjer för utgående överföring av personlig information

I maj 2023 utfärdade Cyberspace Administration of China (CAC) "Riktlinjer för arkivering av standardkontrakt för utgående överföring av personlig information (första upplagan)", som tillhandahåller specifika krav för metoder, förfaranden och material för arkivering av standardkontrakt för utgående överföring av personuppgifter.

Förseglingssystem för ungdomskriminalregister i Kina

Enligt kinesiska strafflagar, där en ungdom har fyllt 18 år när han begår ett brott och döms till tidsbestämt fängelse på fem år eller ett lindrigare straff, ska de berörda brottsregistren förseglas för bevarande.