Lagen om skydd av personuppgifter i Folkrepubliken Kina
(Antogs vid det 30:e mötet i den ständiga kommittén för den trettonde nationella folkkongressen den 20 augusti 2021)
Kapitel I
Artikel 1 Denna lag antas i enlighet med konstitutionen i syfte att skydda rättigheterna och intressena för personlig information, reglera behandling av personuppgifter och främja rimlig användning av personlig information.
Artikel 2 Personuppgifter om fysiska personer ska skyddas enligt lag. Ingen organisation eller individ får göra intrång i fysiska personers rättigheter och intressen på deras personliga information.
Artikel 3 Denna lag ska tillämpas på behandling av personlig information om fysiska personer inom Folkrepubliken Kinas territorium.
Denna lag ska också tillämpas på behandling utanför Folkrepubliken Kinas territorium av personlig information om fysiska personer inom Folkrepubliken Kinas territorium, under någon av följande omständigheter:
(1) i syfte att tillhandahålla produkter eller tjänster för fysiska personer i Folkrepubliken Kina;
(2) analysera eller utvärdera beteenden hos fysiska personer inom Folkrepubliken Kinas territorium; och
(3) alla andra omständigheter som föreskrivs i någon lag eller administrativ föreskrift.
Artikel 4 "Personlig information" avser olika uppgifter relaterade till en identifierad eller identifierbar fysisk person som registreras elektroniskt eller på annat sätt, men inkluderar inte anonymiserad information.
Behandling av personuppgifter inkluderar bland annat insamling, lagring, användning, bearbetning, överföring, tillhandahållande, avslöjande och radering av personuppgifter.
5 § Personuppgifter ska behandlas enligt lag när det är nödvändigt, med motiverade skäl och i god tro, och behandlingen får inte innebära vilseledande, bedrägeri, tvång och liknande.
Artikel 6 Behandling av personuppgifter ska baseras på uttryckliga och rimliga syften och är direkt relaterade till dessa ändamål, och ska utöva minsta möjliga inverkan på individers rättigheter och intressen.
Insamlingen av personuppgifter ska begränsas till den minsta omfattning som krävs av ändamålet med behandlingen, och personuppgifter får inte samlas in i alltför stor utsträckning.
Artikel 7 Principerna om öppenhet och transparens ska iakttas vid behandling av personuppgifter, reglerna för behandling av personuppgifter ska lämnas ut och behandlingens syften, medel och omfattning ska uttryckligen anges.
Artikel 8 Personuppgifternas kvalitet ska garanteras vid behandling av personuppgifter för att undvika negativa effekter på individers rättigheter och intressen till följd av felaktiga och ofullständiga personuppgifter.
Artikel 9 Behandlare av personuppgifter ska ansvara för sin behandling av personuppgifter och vidta nödvändiga åtgärder för att säkerställa säkerheten för de personuppgifter som de behandlar.
Artikel 10 Ingen organisation eller individ får olagligt samla in, använda, bearbeta eller överföra andra personers personliga information, eller olagligt handla, tillhandahålla eller avslöja andra personers personliga information, eller delta i behandling av personuppgifter som äventyrar nationell säkerhet eller skada. allmänna intressen.
Artikel 11 Staten ska inrätta och förbättra systemet för skydd av personuppgifter för att förebygga och bestraffa intrång i rättigheter och intressen för personuppgifter, stärka publicitet och utbildning om skydd av personuppgifter och främja en gynnsam miljö för regeringen, företag, berörda branschorganisationer , och allmänheten att gemensamt delta i skyddet av personlig information.
Artikel 12 Staten kommer att aktivt engagera sig i utvecklingen av internationella regler för skydd av personuppgifter, främja internationellt utbyte och samarbete inom skydd av personuppgifter och uppmuntra ömsesidigt erkännande av regler och standarder för skydd av personuppgifter, bland annat med andra länder, regioner och internationella organisationer.
Kapitel II Regler för behandling av personuppgifter
1 § Allmänna regler
Artikel 13 En personuppgiftsbiträde kan behandla personuppgifter om en individ endast om en av följande omständigheter föreligger:
(1) individens samtycke har erhållits;
(2) behandlingen är nödvändig för ingående eller fullgörande av ett avtal där den enskilde är part, eller nödvändig för personalförvaltning i enlighet med arbetslagstiftningen och -föreskrifter som fastställts i enlighet med lagen och de kollektivavtal som tecknats i enlighet med med lagen;
(3) behandlingen är nödvändig för att utföra lagstadgade uppgifter eller skyldigheter;
(4) Behandlingen är nödvändig för att bemöta folkhälsosituationer eller för att skydda fysiska personers liv, hälsa och säkerhet i nödsituationer;
(5) den personliga informationen behandlas rimligen för nyhetsrapportering, medieövervakning och andra aktiviteter som bedrivs i allmänhetens intresse;
(6) den personliga information som avslöjas av individen själv eller annan lagligt avslöjad personlig information om individen behandlas rimligen i enlighet med denna lag; och
(7) andra omständigheter enligt lagar eller administrativa föreskrifter.
Individuellt samtycke ska erhållas för behandling av personuppgifter om andra relevanta bestämmelser i denna lag föreskriver det, utom under de omständigheter som anges i styckena (2) till (7) i föregående stycke.
Artikel 14 Om behandling av personuppgifter baseras på individuellt samtycke, ska det individuella samtycket vara frivilligt, uttryckligt och fullt informerat. Om någon annan lag eller administrativ föreskrift föreskriver att en individs separata samtycke eller skriftliga samtycke måste erhållas för behandling av personuppgifter, ska sådana bestämmelser gälla.
Vid eventuell ändring av ändamålen eller medlen för personuppgiftsbehandlingen, eller kategorin behandlade personuppgifter, ska ett nytt samtycke inhämtas från den enskilde.
Artikel 15 Om behandling av personuppgifter baseras på individuellt samtycke, ska en individ ha rätt att återkalla sitt samtycke. Behandlare av personuppgifter ska tillhandahålla bekväma sätt för individer att dra tillbaka sina samtycke.
Återkallande av samtycke ska inte påverka giltigheten av de behandlingsaktiviteter som bedrivs baserat på samtycke innan det återkallas.
Artikel 16 En personuppgiftsbiträde ska inte vägra att tillhandahålla produkter eller tjänster för en enskild person på grund av att den enskilde vägrar sitt samtycke till behandlingen av hans personuppgifter eller har återkallat sitt samtycke till behandlingen av personuppgifter, utom när behandlingen av personuppgifter personlig information är nödvändig för tillhandahållande av produkter eller tjänster.
Artikel 17 En personuppgiftsbehandlare ska, innan han behandlar personuppgifter, sanningsenligt, korrekt och fullständigt informera en individ om följande ärenden på ett sätt som är lätt att märka och på ett tydligt och lättförståeligt språk:
(1) namn och kontaktinformation för personuppgiftsbehandlaren;
(2) syftena och medlen för behandling av personuppgifter, och kategorierna och lagringsperioderna för de personuppgifter som ska behandlas;
(3) metoderna och förfarandena för individen att utöva sina rättigheter enligt denna lag; och
(4) andra ärenden som den enskilde bör underrättas om enligt lagar och administrativa föreskrifter.
Om något som anges i föregående stycke ändras, ska individen informeras om ändringen.
Där personuppgiftsbiträdet informerar en enskild om de förhållanden som anges i första stycket genom att utforma regler för behandling av personuppgifter, ska behandlingsreglerna offentliggöras och vara lätta att ta del av och spara.
Artikel 18 Vid behandling av personuppgifter får personuppgiftsbiträdena inte informera enskilda personer om de frågor som anges i första stycket i föregående artikel där lagar eller administrativa föreskrifter kräver sekretess eller inte ger något krav på sådan underrättelse.
Om det är omöjligt att underrätta individer i tid för att skydda fysiska personers liv, hälsa och egendomssäkerhet i en nödsituation, ska personuppgiftsbehandlare meddela dem utan dröjsmål efter att nödsituationen har avlägsnats.
Artikel 19 Om inte annat föreskrivs i lagar och administrativa föreskrifter, ska lagringstiden för personuppgifter vara den minsta tid som krävs för att uppnå syftet med behandlingen.
Artikel 20 Om två eller flera personuppgiftsbehandlare gemensamt bestämmer ändamålen och medlen för behandlingen av vissa personuppgifter, ska de träffa en överenskommelse om sina respektive rättigheter och skyldigheter vid behandlingen av personuppgifterna. Detta avtal ska dock inte påverka en individs begäran till någon av dem att utöva sina rättigheter enligt denna lag.
Om en personuppgiftsbiträde vid gemensam behandling av vissa personuppgifter gör intrång i rättigheterna och intressen för personuppgifter och orsakar skada, ska andra personuppgiftsbiträden bära solidariskt ansvar enligt lag.
Artikel 21 En personuppgiftsbiträde som anförtror behandlingen av vissa personuppgifter till en part ska träffa en överenskommelse med den betrodda parten om ändamålen, tidsperioden och medlen för behandlingen, de kategorier av personuppgifter som ska behandlas och skyddsåtgärderna, samt rättigheter och skyldigheter för båda parter, bland annat, och ska övervaka den anförtrodda partens behandling av personuppgifter.
Den betrodda parten ska behandla personuppgifter i enlighet med avtalet och får inte behandla personuppgifter utöver de syften, medel och andra villkor som överenskommits. Om uppdragsavtalet inte har trätt i kraft, eller är ogiltigt, eller återkallas eller sägs upp, ska den betrodda parten lämna tillbaka de aktuella personuppgifterna till personuppgiftsbiträdet eller radera dem och ska inte behålla personuppgifterna.
Utan samtycke från personuppgiftsbehandlaren får den anförtrodda parten inte lägga ut behandlingen av personuppgifter på underentreprenad till någon annan part.
Artikel 22 Om en personuppgiftsbiträde behöver överföra personuppgifter på grund av en fusion, delning, upplösning eller konkurs eller av andra skäl, ska personuppgiftsbiträdet informera individerna om namn och kontaktuppgifter för mottagaren av de överförda personuppgifterna. Mottagaren ska fortsätta att fullgöra skyldigheterna för nämnda personuppgiftsbehandlare. Varje ändring av mottagarens ursprungliga syften eller behandlingsmetoder ska vara föremål för individuellt samtycke i enlighet med denna lag.
Artikel 23 För att tillhandahålla personuppgifter till annan personuppgiftsbiträde ska en personuppgiftsbiträde informera individerna om mottagarens namn och kontaktuppgifter, ändamålen och medlen för behandlingen och de kategorier av personuppgifter som ska behandlas, och ska erhålla de enskildas separata uppgifter. samtycke. Mottagaren ska behandla personuppgifter inom ramen för de ändamål, medel och kategorier av personuppgifter som nämns ovan. Varje ändring av mottagarens syften eller medel för behandling ska vara föremål för individuellt samtycke i enlighet med denna lag.
Artikel 24 Personuppgiftsbehandlare som använder personuppgifter för automatiserat beslutsfattande ska säkerställa öppenhet i beslutsfattandet och rättvisa och opartiska resultat och får inte tillämpa orimlig särbehandling av individer när det gäller transaktionspriser och andra transaktionsvillkor.
Informationspress och kommersiell marknadsföring till individer baserad på automatiserat beslutsfattande ska samtidigt åtföljas av alternativ som inte är specifika för deras personliga egenskaper eller med praktiska medel för individer att vägra.
Om ett beslut som kan ha en betydande inverkan på en individs rättigheter och intressen fattas genom automatiserat beslutsfattande, ska den enskilde ha rätt att begära förtydligande från personuppgiftsbiträdet och rätt att vägra registerföraren att fatta beslutet endast genom automatiserad beslutsfattande.
Artikel 25 Personuppgiftsbehandlare ska inte lämna ut de personuppgifter som de behandlar, utom när separata samtycke har erhållits från individerna.
Artikel 26 Utrustning för bildinsamling och personlig identifiering på offentliga platser ska installeras endast när det är nödvändigt för att upprätthålla allmän säkerhet, och ska installeras i enlighet med tillämpliga bestämmelser i staten och med framträdande påminnelser. De insamlade personliga bilderna och identifieringsuppgifterna får endast användas i syfte att upprätthålla allmän säkerhet och ska, om inte individernas separata samtycke erhålls, inte användas för något annat ändamål.
Artikel 27 En personuppgiftsbiträde får rimligen behandla den personliga information som lämnats ut av en individ själv eller annan lagligt lämnad personlig information, utom när den enskilde uttryckligen vägrar. Om behandlingen av lämnade personuppgifter kan ha en betydande inverkan på en individs rättigheter och intressen, ska personuppgiftsbehandlare först inhämta individens samtycke i enlighet med bestämmelserna i denna lag.
Avsnitt 2 Regler om behandling av känsliga personuppgifter
Artikel 28 "Känslig personlig information" är personlig information som när den väl har läckt ut eller använts illegalt, lätt kan leda till intrång i en fysisk persons personliga värdighet eller kan äventyra dennes personliga säkerhet eller egendom, inklusive information som biometri, religiös övertygelse, specifik identitet, medicinsk hälsostatus, ekonomiska konton och var personen befinner sig, samt personuppgifter om en minderårig under 14 år.
Personuppgiftsbehandlare kan behandla känsliga personuppgifter endast när det finns ett specifikt syfte och när det är av nödvändighet, under de omständigheter då strikta skyddsåtgärder vidtas.
Artikel 29 För behandling av känsliga personuppgifter ska individens separata samtycke erhållas. Där andra lagar eller administrativa föreskrifter föreskriver att skriftligt samtycke ska inhämtas för behandling av känsliga personuppgifter, ska sådana bestämmelser ha företräde.
30 § Utöver vad som anges i 17 § första stycket i denna lag ska en personuppgiftsbiträde som behandlar känsliga personuppgifter underrätta en enskild om nödvändigheten av att behandla hans känsliga personuppgifter och vilken inverkan det har på hans rättigheter och intressen, utom där sådan anmälan inte krävs i enlighet med bestämmelserna i denna lag.
Artikel 31 För att behandla personuppgifter om minderåriga under 14 år ska personuppgiftsbehandlare inhämta samtycke från de minderårigas föräldrar eller andra vårdnadshavare.
Personuppgiftsbiträden som behandlar personuppgifter om minderåriga under 14 år ska ta fram särskilda regler för behandling av sådana personuppgifter.
Artikel 32 Om andra lagar eller administrativa föreskrifter föreskriver att relevant administrativt tillstånd ska erhållas för behandling av känsliga personuppgifter eller införa andra begränsningar, ska sådana bestämmelser ha företräde.
3 § Särskilda bestämmelser om statliga organs behandling av personuppgifter
Artikel 33 Denna lag ska tillämpas på behandling av personuppgifter av statliga organ; om det finns särskilda bestämmelser i denna paragraf, ska bestämmelserna i denna paragraf ha företräde.
Artikel 34 När statliga organ behandlar personuppgifter för att utföra sina lagstadgade uppgifter ska de agera i enlighet med de befogenheter och förfaranden som föreskrivs i lagar och administrativa föreskrifter, och får inte överskrida den omfattning och gränser som är nödvändiga för att utföra sina lagstadgade uppgifter.
Artikel 35 När statliga organ behandlar personuppgifter för att fullgöra sina lagstadgade uppgifter, ska de fullgöra anmälningsskyldigheten i enlighet med bestämmelserna i denna lag, utom under de omständigheter som anges i artikel 18 första stycket i denna lag eller då underrättelse kommer att hindra de statliga organen från att utföra sina lagstadgade uppgifter.
Artikel 36 Personuppgifter som behandlas av statliga organ ska lagras inom Folkrepubliken Kinas territorium. En säkerhetsbedömning ska utföras där det verkligen är nödvändigt att tillhandahålla sådan information för någon part utanför Folkrepubliken Kinas territorium. I säkerhetsbedömningen ska berörda avdelningar ge stöd och hjälp om så begärs.
Artikel 37 Om organisationer som är auktoriserade enligt lagar eller förordningar med uppgift att administrera offentliga angelägenheter behandlar personuppgifter för att fullgöra sina lagstadgade skyldigheter, ska bestämmelserna häri om behandling av personuppgifter av statliga organ tillämpas.
Kapitel III Regler om tillhandahållande av personlig information över gränserna
Artikel 38 En personuppgiftsbehandlare som verkligen behöver tillhandahålla personlig information för en part utanför Folkrepubliken Kinas territorium av affärsskäl eller andra skäl, ska uppfylla något av följande krav:
(1) klara säkerhetsbedömningen som organiserats av den nationella cyberrymdenavdelningen i enlighet med artikel 40 i denna lag;
(2) erhålla certifiering av personlig informationsskydd från den relevanta specialiserade institutionen i enlighet med bestämmelserna utfärdade av den nationella cyberrymdenavdelningen;
(3) ingående av ett kontrakt som anger båda parters rättigheter och skyldigheter med den utomeuropeiska mottagaren i enlighet med standardkontraktet som formulerats av den nationella cyberrymdenavdelningen; och
(4) uppfylla andra villkor som anges i lagar och administrativa bestämmelser och av den nationella cyberrymdenavdelningen.
Om ett internationellt fördrag eller avtal som Folkrepubliken Kina har ingått eller anslutit sig till anger villkor för tillhandahållande av personuppgifter för en part utanför Folkrepubliken Kinas territorium, får sådana bestämmelser följas.
Personuppgiftsbiträdet ska vidta nödvändiga åtgärder för att säkerställa att den utländska mottagarens behandling av personuppgifter uppfyller de standarder för skydd av personuppgifter som anges i denna lag.
Artikel 39 Om en personuppgiftsbehandlare tillhandahåller personuppgifter för någon part utanför Folkrepubliken Kinas territorium, ska databehandlaren informera individerna om den utomeuropeiska mottagarens namn och kontaktinformation, ändamålen och medlen för behandlingen, kategorierna av personuppgifter som ska behandlas, samt metoderna och förfarandena för individerna att utöva sina rättigheter enligt denna lag gentemot den utomeuropeiska mottagaren etc., och ska inhämta individens separata samtycke.
Artikel 40 Operatörer av kritisk informationsinfrastruktur och de personuppgiftsbehandlare som behandlar personuppgifter upp till det belopp som föreskrivs av den nationella cyberrymdenavdelningen ska lagra den personliga information som samlas in och genereras inom Folkrepubliken Kinas territorium. Om det verkligen är nödvändigt att tillhandahålla informationen för en part utanför Folkrepubliken Kinas territorium, ska ärendet underkastas en säkerhetsbedömning som organiseras av den nationella cyberrymdenavdelningen. Om lagar, administrativa föreskrifter eller bestämmelser utfärdade av den nationella cyberrymdenavdelningen föreskriver att säkerhetsbedömning inte är nödvändig, ska sådana bestämmelser ha företräde.
Artikel 41 De behöriga myndigheterna i Folkrepubliken Kina ska hantera utländska rättsliga eller brottsbekämpande myndigheters förfrågningar om personlig information som lagras i Kina i enlighet med relevanta lagar och de internationella fördrag och överenskommelser som ingåtts eller anslutits till av Folkrepubliken Kina, eller enligt principen om jämlikhet och ömsesidighet. Utan godkännande av de behöriga myndigheterna i Folkrepubliken Kina får ingen organisation eller individ tillhandahålla data som lagras på Folkrepubliken Kinas territorium för någon utländsk rättslig eller brottsbekämpande myndighet.
Artikel 42 Om utländska organisationer eller individer ägnar sig åt behandling av personuppgifter, som gör intrång i rättigheter och intressen för medborgare i Folkrepubliken Kina när det gäller personlig information eller äventyrar Folkrepubliken Kinas nationella säkerhet eller allmänna intressen, det nationella cyberrymden avdelningen kan inkludera dem i en lista över begränsade eller förbjudna mottagare av personlig information, publicera listan och vidta åtgärder som att begränsa eller förbjuda tillhandahållande av personlig information för sådana organisationer och individer.
Artikel 43 Om något land eller någon region vidtar några förbjudande, restriktiva eller andra liknande diskriminerande åtgärder mot Folkrepubliken Kina när det gäller skydd av personuppgifter, får Folkrepubliken Kina vidta motåtgärder mot ovannämnda land eller region baserat på faktiska situationer.
Kapitel IV Individers rättigheter vid behandling av personuppgifter
Artikel 44 Enskilda personer ska ha rätt att bli informerade, rätt att fatta beslut om behandlingen av sina personuppgifter och rätt att begränsa eller vägra andras behandling av sina personuppgifter, om inte annat följer av lagar eller administrativa föreskrifter.
Artikel 45 Enskilda personer ska ha rätt att konsultera och kopiera sina personuppgifter från personuppgiftsbehandlare, utom under de omständigheter som anges i artikel 18 första stycket och artikel 35 i denna lag.
Om en individ begär konsultation eller kopiering av sina personuppgifter, ska den begärda personuppgiftsbehandlaren tillhandahålla sådan information i tid.
Om en individ begär överföring av sin personliga information till en utsedd personuppgiftsbehandlare, som uppfyller kraven från den nationella cyberrymdenavdelningen för överföring av personlig information, ska den begärda personuppgiftsbehandlaren tillhandahålla medel för överföringen.
Artikel 46 Om en individ upptäcker att hans personuppgifter är felaktiga eller ofullständiga, ska han ha rätt att begära att personuppgiftsbiträdena korrigerar eller kompletterar relevant information.
Om en individ begär rättelse eller komplettering av sina personuppgifter, ska personuppgiftsbiträdena verifiera informationen i fråga och göra rättelse eller komplettering i tid.
Artikel 47 Under någon av följande omständigheter ska en personuppgiftsbiträde ta initiativ till att radera personuppgifter, och en individ har rätt att begära radering av sina personuppgifter om personuppgiftsbiträdet underlåter att radera informationen:
(1) ändamålen med behandlingen har uppnåtts eller inte kan uppnås, eller sådan information inte längre är nödvändig för att uppnå ändamålen med behandlingen;
(2) personuppgiftsbehandlaren upphör att tillhandahålla produkter eller tjänster eller lagringsperioden har löpt ut;
(3) individen drar tillbaka sitt samtycke;
(4) personuppgiftsbehandlaren behandlar personuppgifter i strid med lagar, administrativa föreskrifter eller avtal; eller
(5) andra omständigheter enligt lagar och administrativa föreskrifter.
Om den lagringsperiod som föreskrivs i någon lag eller administrativ föreskrift inte har löpt ut, eller det är svårt att radera personuppgifter tekniskt, ska personuppgiftsbiträdet upphöra med behandlingen av personuppgifter annat än att lagra och vidta nödvändiga säkerhetsskyddsåtgärder för sådan information.
Artikel 48 En individ har rätt att begära att en personuppgiftsbiträde tolkar de regler för behandling av personuppgifter som utarbetats av denne.
Artikel 49 Nära släktingar till en avliden fysisk person får, för sina egna juridiska och legitima intressen, utöva rätten att hantera den avlidnes personuppgifter, såsom konsultation, dubblering, rättelse och radering, i enlighet med detta kapitel, utom som i annat fall av den avlidne före dödsfallet ordnat.
Artikel 50 En personuppgiftsbiträde ska upprätta mekanismen för att ta emot och hantera enskildas förfrågningar om att utöva sina rättigheter. Om en enskilds begäran avslås, ska skälen till detta anges.
Om en persons begäran om att utöva sina rättigheter avslås av en personuppgiftsbiträde kan den enskilde lämna in en stämningsansökan till folkdomstolen i enlighet med lagen.
Kapitel V Skyldigheter för personuppgiftsbehandlare
Artikel 51 Personuppgiftsbiträden ska vidta följande åtgärder för att säkerställa att deras behandling av personuppgifter är i överensstämmelse med lagar och administrativa föreskrifter baserade på ändamålet och medlen för behandlingen, de kategorier av personuppgifter som ska behandlas, inverkan på personliga rättigheter och intressen och potentiella säkerhetsrisker, bland annat, och ska förhindra obehörig åtkomst till, såväl som intrång, manipulering eller förlust av personlig information:
(1) utforma interna ledningssystem och operativa procedurer;
(2) implementera sekretessbelagd hantering av personlig information;
(3) anta motsvarande säkerhetstekniska åtgärder såsom kryptering och avidentifiering;
(4) rimligtvis fastställa den operativa auktoriteten för behandling av personuppgifter och regelbundet genomföra säkerhetsutbildning och utbildning för utövare;
(5) utarbeta betingade planer för nödsituationer för personlig informationssäkerhet och organisera genomförandet av sådana planer; och
(6) andra åtgärder enligt lagar och administrativa föreskrifter.
Artikel 52 En personuppgiftsbiträde som behandlar personuppgifter upp till det belopp som föreskrivs av den nationella cyberrymdenavdelningen ska utse en person som ansvarar för skyddet av personuppgifter, som ska övervaka personuppgiftsbehandlingsverksamheten hos databehandlaren samt de skyddsåtgärder som vidtas genom denna. , bland andra.
Personuppgiftsbiträdet ska lämna ut kontaktuppgifterna till den personuppgiftsansvarige samt lämna denna persons namn, kontaktuppgifter och andra uppgifter till de avdelningar som har personuppgiftsskydd.
Artikel 53 Personuppgiftsbehandlare utanför Folkrepubliken Kinas territorium enligt vad som anges i artikel 3 andra stycket i denna lag ska inrätta specialiserade organ eller utse representanter inom Folkrepubliken Kinas territorium för att ansvara för hanteringen av personuppgifter skyddsrelaterade frågor, och ska lämna in namn, kontaktinformation och annan information om myndigheter och representanter till avdelningarna med personuppgiftsskydd.
Artikel 54 Personuppgiftsbehandlare ska regelbundet genomföra granskningar av efterlevnad av sin personuppgiftsbehandlingsverksamhet i enlighet med lagar och administrativa föreskrifter.
Artikel 55 Under någon av följande omständigheter ska en personuppgiftsbiträde i förväg bedöma effekten på skyddet av personuppgifter och föra ett register över behandlingens gång:
(1) behandling av känslig personlig information;
(2) använda personlig information för att genomföra automatiserat beslutsfattande;
(3) att anförtro behandling av personuppgifter till en annan part, tillhandahålla personlig information för en annan part eller offentliggöra personlig information;
(4) tillhandahålla personlig information för någon part utanför Folkrepubliken Kinas territorium; eller
(5) bedriva annan behandling av personuppgifter som kan ha betydande inverkan på individer.
Artikel 56 Bedömningen av inverkan på skyddet av personuppgifter ska omfatta följande innehåll:
(1) om syftena och medlen för behandling av personuppgifter är legitima, motiverade och nödvändiga;
(2) inverkan på individers rättigheter och intressen och säkerhetsrisker; och
(3) om de skyddsåtgärder som vidtagits är legitima, effektiva och förenliga med graden av risker.
Redovisningen av konsekvensutredningen om skyddet av personuppgifter och behandlingsprotokollet ska bevaras i minst tre år.
Artikel 57 Om intrång, manipulering eller förlust av personlig information inträffar eller kan inträffa, ska en personuppgiftsbiträde omedelbart vidta korrigerande åtgärder och underrätta avdelningarna med uppgifter om skydd av personuppgifter och relevanta personer. Meddelandet ska innehålla följande punkter:
(1) kategorierna av personlig information som har blivit eller kan komma att kränkas, manipuleras eller förloras, och orsakerna till och eventuell skada av intrånget, manipuleringen och förlusten;
(2) de korrigerande åtgärder som vidtagits av personuppgiftsbehandlaren och de åtgärder som individerna kan vidta för att mildra skadan; och
(3) kontaktinformationen för personuppgiftsbehandlaren.
Om de åtgärder som vidtagits av personuppgiftsbehandlaren effektivt kan undvika skada som orsakas av intrång, manipulering eller förlust av personlig information, är personuppgiftsbehandlaren inte skyldig att meddela individer; där avdelningarna med personuppgiftsskydd anser att skada kan orsakas har de befogenhet att begära att personuppgiftsbiträdet underrättar enskilda.
Artikel 58 En personuppgiftsbehandlare som tillhandahåller viktiga internetplattformstjänster som involverar ett stort antal användare och komplicerade affärstyper ska utföra följande skyldigheter:
(1) upprätta och förbättra systemet för efterlevnad av personlig informationsskydd i enlighet med statens bestämmelser och upprättande av en oberoende organisation som huvudsakligen består av externa medlemmar för att övervaka skyddet av personlig information;
(2) följa principerna om öppenhet, rättvisa och rättvisa, formulera plattformsregler och förtydliga de normer och skyldigheter som produkt- eller tjänsteleverantörer inom plattformen ska uppfylla när de behandlar personlig information;
(3) sluta tillhandahålla tjänster för produkt- eller tjänsteleverantörer inom de plattformar som behandlar personlig information i allvarlig överträdelse av lagar och administrativa bestämmelser; och
(4) regelbundet publicera rapporter om socialt ansvar om skydd av personuppgifter för offentlig tillsyn.
Artikel 59 Den part som anförtrotts behandlingen av personuppgifter ska, i enlighet med denna lag och relevanta lagar och administrativa föreskrifter, vidta nödvändiga åtgärder för att säkerställa säkerheten för de personuppgifter som anförtros för behandling, och bistå den personuppgiftsbiträdande personuppgiftsbiträdet att fullgöra skyldigheterna enligt denna lag.
Kapitel VI Avdelningar med uppgifter om skydd av personuppgifter
Artikel 60 Den nationella cyberrymdenavdelningen ska ansvara för den övergripande planeringen och samordningen av skyddet av personuppgifter och tillhörande övervakning och administration. De berörda avdelningarna i statsrådet ska, i enlighet med denna lag och andra relevanta lagar och administrativa föreskrifter, ansvara för skyddet av personuppgifter och tillhörande tillsyn och administration inom ramen för sina respektive uppgifter.
Skyldigheterna för skydd av personuppgifter och tillhörande tillsyn och administration av de relevanta avdelningarna i de lokala folkstyrelserna på eller över länsnivån ska bestämmas i enlighet med de relevanta bestämmelserna i staten.
De avdelningar som föreskrivs i de två föregående styckena benämns tillsammans avdelningarna med personuppgiftsskyddsuppgifter.
Artikel 61 Avdelningar med uppgifter om skydd av personuppgifter ska utföra följande uppgifter om skydd av personuppgifter:
(1) bedriva publicitet och utbildning om skydd av personuppgifter och vägleda och övervaka personuppgiftsbehandlare i deras skydd av personlig information;
(2) ta emot och hantera klagomål och rapporter relaterade till skydd av personlig information;
(3) organisera utvärderingar av ansökningar etc. när det gäller skydd av personuppgifter och publicera resultaten av sådana utvärderingar;
(4) utreda och hantera olaglig behandling av personuppgifter; och
(5) andra skyldigheter enligt lagar och administrativa föreskrifter.
Artikel 62 Den nationella cyberrymdenavdelningen ska samordna relevanta avdelningar för att främja skydd av personuppgifter genom följande insatser i enlighet med denna lag:
(1) formulera specifika regler och standarder för skydd av personuppgifter;
(2) utveckla särskilda regler och standarder för skydd av personuppgifter för små personuppgiftsbehandlare, behandling av känslig personlig information och ny teknik och applikationer såsom ansiktsigenkänning och artificiell intelligens;
(3) stödja forskning och utveckling och främja tillämpningen av säker och bekväm teknologi för elektronisk identitetsautentisering, och främja de offentliga tjänsterna för autentisering av nätverksidentitet;
(4) främja utvecklingen av ett tjänstesystem för skydd av personlig information med deltagande av olika sociala sektorer, och stödja relevanta institutioner med att tillhandahålla tjänster för bedömning och certifiering av skydd av personlig information; och
(5) förbättra klagomåls- och rapporteringsmekanismen för skydd av personuppgifter.
Artikel 63 En avdelning med uppgifter om skydd av personuppgifter vid fullgörande av relaterade uppgifter får vidta följande åtgärder:
(1) att förhöra relevanta parter och undersöka omständigheter relaterade till behandling av personuppgifter;
(2) konsultation och duplicering av parternas kontrakt, register, kontoböcker och annat relevant material relaterat till behandling av personlig information;
(3) genomföra inspektioner på plats och utreda misstänkt olaglig behandling av personuppgifter; och
(4) inspektion av utrustning och artiklar relaterade till behandling av personlig information; och att försegla eller beslagta utrustning och artiklar relaterade till olaglig behandling av personuppgifter, vilket styrkts av bevis efter att ha lämnat in skriftliga rapporter till och erhållit godkännande från den huvudansvarige för avdelningarna med uppgifter om skydd av personuppgifter.
När avdelningar med personuppgiftsskyddsuppgifter utför sina uppgifter i enlighet med lagen ska berörda parter samarbeta och ge bistånd och ska inte avvisa eller hindra dem.
Artikel 64 Om en avdelning med personuppgiftsskyddsuppdrag vid fullgörandet av sina uppgifter finner relativt höga risker vid behandling av personuppgifter eller förekomsten av incidenter med personlig informationssäkerhet, får avdelningen hålla en intervju med det juridiska ombudet eller den huvudansvarige. av personuppgiftsbiträdet enligt tillhandahållen befogenhet och rutiner, eller begära att registerföraren anförtror en professionell institution att utföra efterlevnadsrevisioner av personuppgiftsbehandlingsverksamheten. Personuppgiftsbiträdet ska vidta åtgärder för att göra rättelse och eliminera potentiella risker efter behov.
Om en avdelning med personuppgiftsskyddsuppgifter vid fullgörandet av sina uppgifter finner en olaglig personuppgiftsbehandlingsverksamhet som kan innebära brott, ska avdelningen i rätt tid i enlighet med lagen överföra ärendet till det allmänna säkerhetsorganet.
Artikel 65 Varje organisation eller individ har rätt att klaga och rapportera till en avdelning med personuppgiftsskyddsskyldighet om olaglig behandling av personuppgifter. Den avdelning som tar emot ett sådant klagomål eller en sådan anmälan ska hantera det i rätt tid i enlighet med lagen och meddela den klagande eller uppgiftslämnaren resultatet.
Avdelningar med personuppgiftsskydd ska publicera sina kontaktuppgifter för att ta emot klagomål och rapporter.
Kapitel VII Rättsligt ansvar
Artikel 66 Om personuppgifter behandlas i strid med bestämmelserna i denna lag eller utan att uppfylla skyldigheterna om skydd av personuppgifter som föreskrivs i denna lag, ska avdelningarna med personuppgiftsskydd beordra överträdaren att göra korrigeringar, ge en varning, konfiskera den olagliga vinster och beordra avstängning eller uppsägning av tillhandahållande av tjänster av applikationer som olagligt behandlar personlig information; om överträdaren vägrar att göra rättelse, ska böter på högst en miljon RMB dömas ut på detta; och de direkt ansvariga personerna som ansvarar och andra direkt ansvariga personer ska var och en bötfällas med minst 10,000 100,000 RMB yuan och inte mer än XNUMX XNUMX RMB yuan.
Vid en olaglig handling som föreskrivs i föregående stycke och omständigheterna är allvarliga, ska de avdelningar med personuppgiftsskyddsuppgifter på eller över provinsnivå förelägga överträdaren att göra rättelse, förverka den olagliga vinsten, döma ut böter på högst än RMB 50 miljoner yuan eller inte mer än fem procent av föregående års omsättning; kan också beordra avstängning av relevanta verksamheter, eller beordra avstängning av all affärsverksamhet för en översyn, och meddela de behöriga myndigheterna att återkalla relevanta affärstillstånd eller licenser; ska utdöma böter på minst 100,000 1 RMB men högst XNUMX miljon RMB yuan för var och en av de direkt ansvariga personerna och andra direkt ansvariga personer, och kan besluta att förbjuda de ovan nämnda personerna att tjänstgöra som styrelseledamöter, arbetsledare, ledande befattningshavare chefer, eller de personer som ansvarar för relevanta företag inom en viss tidsperiod.
Artikel 67 Varje överträdelse av bestämmelserna i denna lag ska föras in i relevant kreditupplysning och offentliggöras i enlighet med bestämmelserna i relevanta lagar och administrativa föreskrifter.
Artikel 68 Om ett statligt organ underlåter att fullgöra skyldigheterna för skydd av personuppgifter enligt denna lag, ska organet på högre nivå eller de avdelningar som har uppgifter om skydd av personuppgifter beordra det att göra korrigeringar och disciplinera den direkt ansvariga personen som ansvarar och andra direkt ansvariga personer i enlighet med lagen.
Om en anställd på en avdelning med personuppgiftsskydd försummar sina uppgifter, missbrukar makt eller utövar favorisering, vilket inte utgör ett brott, ska den anställde bli föremål för sanktioner i enlighet med lagen.
Artikel 69 Om en personuppgiftsbiträde gör intrång i rättigheterna eller intressen för personlig information på grund av någon personuppgiftsbehandlingsaktivitet och inte kan bevisa att registerföraren inte har något fel, ska registerföraren ta på sig skadeståndsansvaret och annat skadeståndsansvar.
Skadeståndsansvaret som föreskrivs i föregående stycke ska bestämmas baserat på förluster för enskilda som åsamkats därigenom och de fördelar som förvärvats av den intrångande personuppgiftsbehandlaren; och där det är svårt att fastställa de tidigare nämnda förlusterna eller förmånerna, ska skadeståndsbeloppet bestämmas utifrån de faktiska omständigheterna.
Artikel 70 Om en personuppgiftsbehandlare behandlar personuppgifter i strid med bestämmelserna i denna lag och kränker många individers rättigheter och intressen, kan åklagarmyndigheten, de konsumentorganisationer som anges i lag och den organisation som utsetts av den nationella cyberrymdens avdelning ansöka en rättegång med folkdomstolen i enlighet med lagen.
Artikel 71 Varje överträdelse av denna lag som utgör en kränkning av förvaltningen av den allmänna säkerheten ska vara föremål för straff för förvaltningen av den allmänna säkerheten i enlighet med lagen. Om kränkningen utgör ett brott ska överträdaren hållas straffrättsligt ansvarig enligt lagen.
Kapitel VIII Kompletterande bestämmelser
Artikel 72 Denna lag är inte tillämplig när en fysisk person behandlar personuppgifter för personliga angelägenheter eller hushållsaffärer.
Där andra lagar tillhandahåller behandling av personuppgifter i statistik- eller arkivhanteringsaktiviteter som organiseras och genomförs av folkets regeringar på alla nivåer och deras relevanta avdelningar, ska bestämmelserna i sådana lagar ha företräde.
Artikel 73 För tillämpningen av denna lag ska följande termer ha följande betydelser:
(1) "En personuppgiftsbehandlare" avser en organisation eller individ som självständigt bestämmer ändamålen och medlen för behandling av personuppgifter.
(2) "automatiserat beslutsfattande" hänvisar till aktiviteterna att automatiskt analysera och utvärdera personliga beteenden, hobbyer eller ekonomisk, hälso- och kreditstatus, bland annat, genom datorprogram, och fatta beslut.
(3) "avidentifiering" avser behandling av personuppgifter för att göra det omöjligt att identifiera specifika fysiska personer i avsaknad av stöd för ytterligare information.
(4) "anonymisering" avser processen att behandla personuppgifter för att göra det omöjligt att identifiera specifika fysiska personer och omöjligt att återställa.
Artikel 74 Denna lag träder i kraft den 1 november 2021.