Undang-undang Perlindungan Maklumat Peribadi Republik Rakyat China
(Diterima pada Mesyuarat Jawatankuasa Tetap Kongres Rakyat Kebangsaan Ketiga Belas ke-30 pada 20 Ogos 2021)
Bab I
Perkara 1 Undang-undang ini digubal mengikut Perlembagaan bagi tujuan melindungi hak dan kepentingan ke atas maklumat peribadi, mengawal selia aktiviti pemprosesan maklumat peribadi, dan menggalakkan penggunaan maklumat peribadi yang munasabah.
Perkara 2 Maklumat peribadi orang asli hendaklah dilindungi oleh undang-undang. Tiada organisasi atau individu boleh melanggar hak dan kepentingan orang asli ke atas maklumat peribadi mereka.
Perkara 3 Undang-undang ini hendaklah digunakan untuk pemprosesan maklumat peribadi orang asli dalam wilayah Republik Rakyat China.
Undang-undang ini juga akan terpakai pada pemprosesan di luar wilayah Republik Rakyat China maklumat peribadi orang asli dalam wilayah Republik Rakyat China, di bawah mana-mana keadaan berikut:
(1) untuk tujuan menyediakan produk atau perkhidmatan untuk orang asli di dalam Republik Rakyat China;
(2) menganalisis atau menilai tingkah laku orang asli dalam wilayah Republik Rakyat China; dan
(3) apa-apa keadaan lain sebagaimana yang diperuntukkan oleh mana-mana undang-undang atau peraturan pentadbiran.
Artikel 4 "Maklumat peribadi" merujuk kepada pelbagai maklumat yang berkaitan dengan orang asli yang dikenal pasti atau boleh dikenal pasti yang direkodkan secara elektronik atau melalui cara lain, tetapi tidak termasuk maklumat tanpa nama.
Pemprosesan maklumat peribadi termasuk pengumpulan maklumat peribadi, penyimpanan, penggunaan, pemprosesan, penghantaran, peruntukan, pendedahan dan pemadaman, antara lain.
Perkara 5 Maklumat peribadi hendaklah diproses mengikut undang-undang apabila perlu, dengan alasan yang wajar, dan dengan suci hati, dan pemprosesan mungkin tidak melibatkan penyelewengan, penipuan, paksaan, dan seumpamanya.
Perkara 6 Pemprosesan maklumat peribadi hendaklah berdasarkan tujuan yang jelas dan munasabah serta berkaitan secara langsung dengan tujuan tersebut, dan hendaklah memberikan kesan minimum terhadap hak dan kepentingan individu.
Pengumpulan maklumat peribadi hendaklah dihadkan kepada skop minimum yang diperlukan untuk tujuan pemprosesan, dan maklumat peribadi tidak boleh dikumpul secara berlebihan.
Perkara 7 Prinsip keterbukaan dan ketelusan hendaklah dipatuhi dalam pemprosesan maklumat peribadi, peraturan untuk memproses maklumat peribadi hendaklah didedahkan, dan tujuan, cara, dan skop pemprosesan hendaklah dinyatakan dengan jelas.
Perkara 8 Kualiti maklumat peribadi hendaklah dijamin dalam pemprosesan maklumat peribadi, untuk mengelakkan kesan buruk terhadap hak dan kepentingan individu yang disebabkan oleh maklumat peribadi yang tidak tepat dan tidak lengkap.
Perkara 9 Pemproses maklumat peribadi hendaklah bertanggungjawab ke atas aktiviti pemprosesan maklumat peribadi mereka dan mengambil langkah yang perlu untuk memastikan keselamatan maklumat peribadi yang mereka proses.
Perkara 10 Tiada organisasi atau individu boleh mengumpul, menggunakan, memproses, atau menghantar maklumat peribadi orang lain secara haram, atau berdagang secara haram, memberikan atau mendedahkan maklumat peribadi orang lain, atau terlibat dalam aktiviti pemprosesan maklumat peribadi yang membahayakan keselamatan atau bahaya negara. kepentingan awam.
Perkara 11 Negara hendaklah menubuhkan dan menambah baik sistem perlindungan maklumat peribadi untuk mencegah dan menghukum pelanggaran hak dan kepentingan maklumat peribadi, mengukuhkan publisiti dan pendidikan mengenai perlindungan maklumat peribadi, dan menggalakkan persekitaran yang menggalakkan untuk kerajaan, perusahaan, organisasi industri yang berkaitan , dan orang ramai untuk bersama-sama mengambil bahagian dalam perlindungan maklumat peribadi.
Perkara 12 Negara akan terlibat secara aktif dalam pembangunan peraturan antarabangsa mengenai perlindungan maklumat peribadi, menggalakkan pertukaran antarabangsa dan kerjasama dalam perlindungan maklumat peribadi, dan menggalakkan pengiktirafan bersama peraturan dan piawaian perlindungan maklumat peribadi, antara lain, dengan negara, wilayah lain. , dan organisasi antarabangsa.
Bab II Peraturan Pemprosesan Maklumat Peribadi
Seksyen 1 Peraturan Am
Perkara 13 Pemproses maklumat peribadi boleh memproses maklumat peribadi individu hanya jika satu daripada keadaan berikut wujud:
(1) persetujuan individu telah diperolehi;
(2) pemprosesan adalah perlu untuk kesimpulan atau pelaksanaan kontrak di mana individu itu adalah pihak, atau perlu untuk pengurusan sumber manusia mengikut peraturan dan peraturan buruh yang ditetapkan mengikut undang-undang dan kontrak kolektif yang ditandatangani mengikut dengan undang-undang;
(3) pemprosesan adalah perlu untuk melaksanakan tugas atau kewajipan berkanun;
(4) pemprosesan adalah perlu untuk tindak balas kepada kecemasan kesihatan awam, atau untuk perlindungan nyawa, kesihatan, dan keselamatan harta benda orang asli dalam kecemasan;
(5) maklumat peribadi diproses secara munasabah untuk pelaporan berita, penyeliaan media, dan aktiviti lain yang dijalankan demi kepentingan awam;
(6) maklumat peribadi yang didedahkan oleh individu itu sendiri atau maklumat peribadi individu lain yang didedahkan secara sah diproses secara munasabah mengikut Undang-undang ini; dan
(7) keadaan lain seperti yang diperuntukkan oleh undang-undang atau peraturan pentadbiran.
Persetujuan individu hendaklah diperolehi untuk memproses maklumat peribadi jika mana-mana peruntukan lain yang berkaitan dalam Undang-undang ini memperuntukkan sedemikian, kecuali di bawah keadaan yang dinyatakan dalam Subperenggan (2) hingga (7) perenggan sebelumnya.
Perkara 14 Jika pemprosesan maklumat peribadi adalah berdasarkan persetujuan individu, persetujuan individu hendaklah secara sukarela, jelas dan dimaklumkan sepenuhnya. Jika mana-mana undang-undang atau peraturan pentadbiran lain memperuntukkan bahawa persetujuan berasingan atau persetujuan bertulis individu mesti diperolehi untuk memproses maklumat peribadi, peruntukan tersebut hendaklah terpakai.
Dalam kes apa-apa perubahan tujuan atau cara pemprosesan maklumat peribadi, atau kategori maklumat peribadi yang diproses, persetujuan baharu hendaklah diperoleh daripada individu tersebut.
Perkara 15 Jika pemprosesan maklumat peribadi adalah berdasarkan persetujuan individu, seseorang individu berhak untuk menarik balik kebenarannya. Pemproses maklumat peribadi hendaklah menyediakan cara mudah untuk individu menarik balik persetujuan mereka.
Penarikan balik persetujuan tidak akan menjejaskan kesahihan aktiviti pemprosesan yang dijalankan berdasarkan persetujuan sebelum ia ditarik balik.
Perkara 16 Pemproses maklumat peribadi tidak boleh menolak untuk menyediakan produk atau perkhidmatan untuk individu atas alasan individu itu menahan persetujuannya untuk pemprosesan maklumat peribadinya atau telah menarik balik persetujuannya untuk pemprosesan maklumat peribadi, kecuali apabila pemprosesan maklumat peribadi maklumat peribadi adalah perlu untuk penyediaan produk atau perkhidmatan.
Perkara 17 Pemproses maklumat peribadi hendaklah, sebelum memproses maklumat peribadi, dengan jujur, tepat dan sepenuhnya memberitahu seseorang individu tentang perkara berikut dengan cara yang mudah untuk diperhatikan dan dalam bahasa yang jelas dan mudah difahami:
(1) nama dan maklumat hubungan pemproses maklumat peribadi;
(2) tujuan dan cara pemprosesan maklumat peribadi, dan kategori dan tempoh penyimpanan maklumat peribadi yang akan diproses;
(3) kaedah dan tatacara untuk individu itu melaksanakan haknya sebagaimana yang diperuntukkan dalam Undang-undang ini; dan
(4) perkara-perkara lain yang perlu dimaklumkan oleh individu tersebut sebagaimana yang diperuntukkan oleh undang-undang dan peraturan pentadbiran.
Jika mana-mana perkara seperti yang dinyatakan dalam perenggan sebelumnya berubah, individu itu hendaklah dimaklumkan tentang perubahan itu.
Jika pemproses maklumat peribadi memberitahu individu tentang perkara yang dinyatakan dalam perenggan pertama dengan merumuskan peraturan pemprosesan maklumat peribadi, peraturan pemprosesan hendaklah didedahkan kepada umum dan mudah untuk dirujuk dan disimpan.
Perkara 18 Apabila memproses maklumat peribadi, pemproses maklumat peribadi dibenarkan untuk tidak memberitahu individu tentang perkara yang dinyatakan dalam perenggan pertama artikel sebelumnya di mana undang-undang atau peraturan pentadbiran memerlukan kerahsiaan atau tidak menyediakan keperluan untuk pemberitahuan tersebut.
Jika adalah mustahil untuk memberitahu individu tepat pada masanya dalam usaha untuk melindungi nyawa, kesihatan dan keselamatan harta benda orang asli sekiranya berlaku kecemasan, pemproses maklumat peribadi hendaklah memberitahu mereka tanpa berlengah-lengah selepas kecemasan dikeluarkan.
Perkara 19 Kecuali diperuntukkan sebaliknya oleh undang-undang dan peraturan pentadbiran, tempoh penyimpanan maklumat peribadi adalah masa minimum yang diperlukan untuk mencapai tujuan pemprosesan.
Perkara 20 Apabila dua atau lebih pemproses maklumat peribadi bersama-sama menentukan tujuan dan cara memproses maklumat peribadi tertentu, mereka hendaklah mencapai persetujuan mengenai hak dan kewajipan masing-masing dalam memproses maklumat peribadi. Walau bagaimanapun, perjanjian ini tidak akan menjejaskan permintaan individu kepada mana-mana daripada mereka untuk melaksanakan haknya seperti yang diperuntukkan dalam Undang-undang ini.
Jika, dalam memproses maklumat peribadi tertentu secara bersama, pemproses melanggar hak dan kepentingan ke atas maklumat peribadi dan menyebabkan kerosakan, pemproses maklumat peribadi lain hendaklah menanggung liabiliti bersama dan beberapa mengikut undang-undang.
Perkara 21 Pemproses maklumat peribadi yang mempercayakan pemprosesan maklumat peribadi tertentu kepada pihak hendaklah mencapai persetujuan dengan pihak yang diamanahkan mengenai tujuan, tempoh dan cara pemprosesan, kategori maklumat peribadi yang akan diproses dan langkah-langkah perlindungan, serta hak dan kewajipan kedua-dua pihak, antara lain, dan hendaklah menyelia aktiviti pemprosesan maklumat peribadi pihak yang diamanahkan.
Pihak yang diamanahkan hendaklah memproses maklumat peribadi mengikut perjanjian dan tidak boleh memproses maklumat peribadi di luar tujuan, cara dan syarat lain seperti yang dipersetujui. Jika kontrak amanah tidak berkuat kuasa, atau tidak sah, atau dibatalkan atau ditamatkan, pihak yang diamanahkan hendaklah mengembalikan maklumat peribadi yang dipersoalkan kepada pemproses maklumat peribadi atau memadamkannya dan tidak akan menyimpan maklumat peribadi tersebut.
Tanpa persetujuan pemproses maklumat peribadi, pihak yang diamanahkan tidak boleh mensubkontrakkan pemprosesan maklumat peribadi kepada mana-mana pihak lain.
Perkara 22 Jika pemproses maklumat peribadi perlu memindahkan maklumat peribadi disebabkan penggabungan, pembahagian, pembubaran, atau kebankrapan atau atas sebab lain, pemproses hendaklah memaklumkan individu tentang nama dan maklumat hubungan penerima maklumat peribadi yang dipindahkan. Penerima hendaklah terus melaksanakan kewajipan pemproses maklumat peribadi tersebut. Sebarang perubahan tujuan asal atau cara pemprosesan oleh penerima hendaklah tertakluk kepada persetujuan individu mengikut Undang-undang ini.
Perkara 23 Untuk memberikan maklumat peribadi bagi mana-mana pemproses lain, pemproses maklumat peribadi hendaklah memaklumkan individu tentang nama penerima dan maklumat hubungan, tujuan dan cara pemprosesan dan kategori maklumat peribadi yang akan diproses, dan hendaklah mendapatkan individu yang berasingan. persetujuan. Penerima hendaklah memproses maklumat peribadi dalam skop tujuan, cara dan kategori maklumat peribadi yang dinyatakan di atas. Sebarang perubahan tujuan atau cara pemprosesan oleh penerima hendaklah tertakluk kepada persetujuan individu mengikut Undang-undang ini.
Perkara 24 Pemproses maklumat peribadi yang menggunakan maklumat peribadi untuk membuat keputusan automatik hendaklah memastikan ketelusan dalam membuat keputusan dan keadilan dan kesaksamaan keputusan, dan tidak boleh menggunakan layanan pembezaan yang tidak munasabah kepada individu dari segi harga transaksi dan syarat transaksi lain.
Tolakan maklumat dan pemasaran komersial kepada individu berdasarkan pembuatan keputusan automatik hendaklah disertakan serentak dengan pilihan yang tidak khusus untuk ciri peribadi mereka atau dengan cara yang mudah untuk ditolak oleh individu.
Jika keputusan yang mungkin mempunyai kesan yang ketara ke atas hak dan kepentingan individu dibuat melalui pembuatan keputusan automatik, individu itu berhak untuk meminta penjelasan daripada pemproses maklumat peribadi dan hak untuk menolak pemproses untuk membuat keputusan hanya melalui automatik. membuat keputusan.
Perkara 25 Pemproses maklumat peribadi tidak boleh mendedahkan maklumat peribadi yang mereka proses, kecuali jika persetujuan berasingan telah diperoleh daripada individu tersebut.
Perkara 26 Pengumpulan imej dan peralatan pengenalan diri di tempat awam hendaklah dipasang hanya apabila ia perlu bagi tujuan mengekalkan keselamatan awam, dan hendaklah dipasang dengan mematuhi peruntukan berkaitan negeri dan dengan peringatan penting. Imej peribadi dan maklumat pengenalan yang dikumpul hanya boleh digunakan untuk tujuan mengekalkan keselamatan awam dan, melainkan persetujuan individu individu diperolehi, tidak boleh digunakan untuk sebarang tujuan lain.
Perkara 27 Pemproses maklumat peribadi boleh memproses secara munasabah maklumat peribadi yang didedahkan oleh individu itu sendiri atau maklumat peribadi lain yang didedahkan secara sah, kecuali jika individu itu dengan nyata menolak. Jika pemprosesan maklumat peribadi yang didedahkan mungkin mempunyai kesan yang ketara ke atas hak dan kepentingan individu, pemproses maklumat peribadi hendaklah terlebih dahulu mendapatkan persetujuan individu itu mengikut peruntukan Undang-undang ini.
Peraturan Seksyen 2 tentang Memproses Maklumat Peribadi Sensitif
Perkara 28 "Maklumat peribadi sensitif" ialah maklumat peribadi yang pernah dibocorkan atau digunakan secara tidak sah, dengan mudah boleh membawa kepada pelanggaran maruah peribadi orang sebenar atau boleh membahayakan keselamatan atau harta peribadinya, termasuk maklumat seperti biometrik, kepercayaan agama, khusus. identiti, status kesihatan perubatan, akaun kewangan, dan lokasi orang itu, serta maklumat peribadi kanak-kanak di bawah umur 14 tahun.
Pemproses maklumat peribadi boleh memproses maklumat peribadi yang sensitif hanya apabila terdapat tujuan tertentu dan apabila ia adalah keperluan, di bawah keadaan di mana langkah perlindungan yang ketat diambil.
Perkara 29 Untuk pemprosesan maklumat peribadi yang sensitif, persetujuan berasingan individu hendaklah diperolehi. Jika undang-undang atau peraturan pentadbiran lain memperuntukkan bahawa persetujuan bertulis akan diperolehi untuk pemprosesan maklumat peribadi yang sensitif, peruntukan tersebut akan diguna pakai.
Perkara 30 Sebagai tambahan kepada perkara yang dinyatakan dalam perenggan pertama Perkara 17 Undang-undang ini, pemproses yang memproses maklumat peribadi sensitif hendaklah memberitahu seseorang individu tentang keperluan memproses maklumat peribadi sensitifnya dan kesannya terhadap hak dan kepentingannya, kecuali jika pemberitahuan sedemikian tidak diperlukan menurut peruntukan Undang-undang ini.
Perkara 31 Untuk memproses maklumat peribadi kanak-kanak di bawah umur 14 tahun, pemproses maklumat peribadi hendaklah mendapatkan kebenaran ibu bapa atau penjaga lain kanak-kanak itu.
Pemproses maklumat peribadi yang memproses maklumat peribadi kanak-kanak di bawah umur 14 tahun hendaklah membangunkan peraturan khas untuk memproses maklumat peribadi tersebut.
Perkara 32 Jika undang-undang atau peraturan pentadbiran lain memperuntukkan bahawa permit pentadbiran yang berkaitan hendaklah diperolehi untuk pemprosesan maklumat peribadi yang sensitif atau mengenakan sekatan lain, peruntukan tersebut akan diguna pakai.
Seksyen 3 Peruntukan Khas Mengenai Pemprosesan Maklumat Peribadi oleh Organ Negeri
Perkara 33 Undang-undang ini hendaklah terpakai bagi pemprosesan maklumat peribadi oleh organ negara; jika terdapat peruntukan khas dalam Seksyen ini, peruntukan Seksyen ini hendaklah mengatasi.
Perkara 34 Apabila organ negara memproses maklumat peribadi untuk melaksanakan tugas berkanun mereka, mereka hendaklah bertindak mengikut kuasa dan prosedur yang ditetapkan oleh undang-undang dan peraturan pentadbiran, dan tidak boleh melebihi skop dan had yang diperlukan untuk melaksanakan tugas berkanun mereka.
Perkara 35 Apabila organ negara memproses maklumat peribadi untuk melaksanakan tugas berkanun mereka, mereka hendaklah memenuhi kewajipan pemberitahuan mengikut peruntukan Undang-undang ini, kecuali di bawah keadaan yang dinyatakan dalam perenggan pertama Perkara 18 Undang-undang ini atau apabila pemberitahuan akan menghalang badan-badan negeri daripada melaksanakan tugas berkanun mereka.
Perkara 36 Maklumat peribadi yang diproses oleh organ negara hendaklah disimpan di dalam wilayah Republik Rakyat China. Penilaian keselamatan hendaklah dijalankan di mana ia benar-benar perlu untuk memberikan maklumat sedemikian untuk mana-mana pihak di luar wilayah Republik Rakyat China. Dalam penilaian keselamatan jabatan yang berkaitan hendaklah memberikan sokongan dan bantuan jika diminta.
Perkara 37 Jika organisasi yang diberi kuasa oleh undang-undang atau peraturan dengan fungsi mentadbir hal ehwal awam memproses maklumat peribadi untuk memenuhi tugas berkanun mereka, peruntukan di sini mengenai pemprosesan maklumat peribadi oleh organ negara hendaklah terpakai.
Bab III Peraturan Mengenai Penyediaan Maklumat Peribadi Merentasi Sempadan
Perkara 38 Pemproses maklumat peribadi yang benar-benar perlu memberikan maklumat peribadi untuk pihak di luar wilayah Republik Rakyat China untuk tujuan perniagaan atau sebab lain, hendaklah memenuhi salah satu daripada keperluan berikut:
(1) lulus penilaian keselamatan yang dianjurkan oleh jabatan ruang siber negara mengikut Perkara 40 Undang-undang ini;
(2) mendapatkan pensijilan perlindungan maklumat peribadi daripada institusi khusus yang berkaitan mengikut peruntukan yang dikeluarkan oleh jabatan ruang siber negara;
(3) membuat kontrak yang menetapkan hak dan kewajipan kedua-dua pihak dengan penerima di luar negara mengikut kontrak standard yang dirumuskan oleh jabatan ruang siber negara; dan
(4) memenuhi syarat lain yang ditetapkan oleh undang-undang dan peraturan pentadbiran dan oleh jabatan ruang siber negara.
Apabila perjanjian atau perjanjian antarabangsa yang telah dibuat atau dipersetujui oleh Republik Rakyat China menetapkan syarat untuk memberikan maklumat peribadi untuk pihak di luar wilayah Republik Rakyat China, ketetapan tersebut boleh dipatuhi.
Pemproses maklumat peribadi hendaklah mengambil langkah yang perlu untuk memastikan bahawa aktiviti pemprosesan maklumat peribadi penerima luar negara memenuhi piawaian perlindungan maklumat peribadi yang ditetapkan dalam Undang-undang ini.
Perkara 39 Jika pemproses maklumat peribadi memberikan maklumat peribadi untuk mana-mana pihak di luar wilayah Republik Rakyat China, pemproses hendaklah memaklumkan individu mengenai nama dan maklumat hubungan penerima di luar negara, tujuan dan cara pemprosesan, kategori maklumat peribadi untuk diproses, serta kaedah dan prosedur bagi individu untuk melaksanakan hak mereka seperti yang diperuntukkan dalam Undang-undang ini ke atas penerima di luar negara, dsb., dan hendaklah mendapatkan persetujuan berasingan individu.
Perkara 40 Pengendali infrastruktur maklumat kritikal dan pemproses maklumat peribadi yang memproses maklumat peribadi sehingga jumlah yang ditetapkan oleh jabatan ruang siber negara hendaklah menyimpan secara domestik maklumat peribadi yang dikumpul dan dijana di dalam wilayah Republik Rakyat China. Jika benar-benar perlu untuk memberikan maklumat untuk pihak di luar wilayah Republik Rakyat China, perkara itu akan tertakluk kepada penilaian keselamatan yang dianjurkan oleh jabatan ruang siber negara. Jika undang-undang, peraturan pentadbiran, atau peruntukan yang dikeluarkan oleh jabatan ruang siber negara memperuntukkan bahawa penilaian keselamatan tidak diperlukan, peruntukan tersebut akan diguna pakai.
Perkara 41 Pihak berkuasa Republik Rakyat China yang berwibawa hendaklah mengendalikan permintaan pihak berkuasa kehakiman atau penguatkuasaan undang-undang asing untuk maklumat peribadi yang disimpan di dalam China mengikut undang-undang yang berkaitan dan perjanjian dan perjanjian antarabangsa yang dibuat atau dipersetujui oleh Republik Rakyat China, atau di bawah prinsip kesaksamaan dan timbal balik. Tanpa kelulusan pihak berkuasa kompeten Republik Rakyat China, tiada organisasi atau individu boleh memberikan data yang disimpan di wilayah Republik Rakyat China untuk mana-mana pihak berkuasa kehakiman atau penguatkuasaan undang-undang asing.
Perkara 42 Apabila organisasi atau individu luar negara terlibat dalam aktiviti pemprosesan maklumat peribadi, yang melanggar hak dan kepentingan warganegara Republik Rakyat China mengenai maklumat peribadi atau membahayakan keselamatan negara atau kepentingan awam Republik Rakyat China, ruang siber negara. jabatan boleh memasukkan mereka ke dalam senarai penerima maklumat peribadi yang terhad atau dilarang, menghebahkan senarai tersebut, dan mengambil langkah seperti menyekat atau melarang pemberian maklumat peribadi untuk organisasi dan individu tersebut.
Perkara 43 Jika mana-mana negara atau wilayah mengamalkan apa-apa langkah diskriminasi yang melarang, menyekat atau lain-lain yang serupa terhadap Republik Rakyat China dari segi perlindungan maklumat peribadi, Republik Rakyat China boleh mengambil tindakan balas terhadap negara atau wilayah tersebut berdasarkan situasi sebenar.
Bab IV Hak Individu dalam Aktiviti Pemprosesan Maklumat Peribadi
Perkara 44 Individu hendaklah mempunyai hak untuk dimaklumkan, hak untuk membuat keputusan mengenai pemprosesan maklumat peribadi mereka, dan hak untuk menyekat atau menolak pemprosesan maklumat peribadi mereka oleh orang lain, kecuali sebagaimana yang diperuntukkan sebaliknya oleh undang-undang atau peraturan pentadbiran.
Perkara 45 Individu berhak untuk merujuk dan menduplikasi maklumat peribadi mereka daripada pemproses maklumat peribadi, kecuali dalam keadaan seperti yang dinyatakan dalam perenggan pertama Perkara 18 dan Perkara 35 Undang-undang ini.
Jika seseorang individu meminta perundingan atau pertindihan maklumat peribadinya, pemproses maklumat peribadi yang diminta hendaklah memberikan maklumat tersebut tepat pada masanya.
Jika seseorang individu meminta pemindahan maklumat peribadinya kepada pemproses maklumat peribadi yang ditetapkan, yang memenuhi keperluan jabatan ruang siber kebangsaan untuk memindahkan maklumat peribadi , pemproses maklumat peribadi yang diminta hendaklah menyediakan cara untuk pemindahan itu.
Perkara 46 Jika seseorang individu mendapati bahawa maklumat peribadinya tidak betul atau tidak lengkap, dia berhak meminta pemproses maklumat peribadi untuk membetulkan atau menambah maklumat yang berkaitan.
Jika seseorang individu meminta pembetulan atau penambahan maklumat peribadinya, pemproses maklumat peribadi hendaklah mengesahkan maklumat berkenaan, dan membuat pembetulan atau penambahan tepat pada masanya.
Perkara 47 Dalam mana-mana keadaan berikut, pemproses maklumat peribadi hendaklah mengambil inisiatif untuk memadam maklumat peribadi, dan individu berhak meminta pemadaman maklumat peribadinya jika pemproses maklumat peribadi gagal memadamkan maklumat:
(1) tujuan pemprosesan telah dicapai atau tidak dapat dicapai, atau maklumat sedemikian tidak lagi diperlukan untuk mencapai tujuan pemprosesan;
(2) pemproses maklumat peribadi berhenti menyediakan produk atau perkhidmatan, atau tempoh penyimpanan telah tamat;
(3) individu itu menarik balik persetujuannya;
(4) pemproses maklumat peribadi memproses maklumat peribadi yang melanggar undang-undang, peraturan pentadbiran atau perjanjian; atau
(5) keadaan lain seperti yang diperuntukkan oleh undang-undang dan peraturan pentadbiran.
Jika tempoh penyimpanan yang diperuntukkan oleh mana-mana undang-undang atau peraturan pentadbiran belum tamat, atau sukar untuk memadam maklumat peribadi secara teknikal, pemproses maklumat peribadi hendaklah menghentikan pemprosesan maklumat peribadi selain daripada menyimpan dan mengambil langkah perlindungan keselamatan yang diperlukan untuk maklumat tersebut.
Perkara 48 Seseorang individu mempunyai hak untuk meminta pemproses maklumat peribadi untuk mentafsir peraturan pemprosesan maklumat peribadi yang dibangunkan oleh mereka.
Perkara 49 Saudara-mara dekat orang sebenar yang mati boleh, untuk kepentingan undang-undang dan sah mereka sendiri, menggunakan hak untuk mengendalikan maklumat peribadi si mati, seperti perundingan, pertindihan, pembetulan, dan pemadaman, seperti yang diperuntukkan dalam Bab ini, kecuali sebagaimana yang diaturkan oleh si mati sebelum kematian.
Perkara 50 Pemproses maklumat peribadi hendaklah mewujudkan mekanisme untuk menerima dan mengendalikan permintaan individu untuk melaksanakan hak mereka. Jika permintaan individu ditolak, alasannya hendaklah diberikan.
Jika permintaan individu untuk melaksanakan haknya ditolak oleh pemproses maklumat peribadi, individu itu boleh memfailkan tuntutan mahkamah dengan mahkamah rakyat mengikut undang-undang.
Bab V Kewajipan Pemproses Maklumat Peribadi
Perkara 51 Pemproses maklumat peribadi hendaklah mengambil langkah berikut untuk memastikan aktiviti pemprosesan maklumat peribadi mereka mematuhi undang-undang dan peraturan pentadbiran berdasarkan tujuan dan cara pemprosesan, kategori maklumat peribadi yang akan diproses, kesan ke atas hak peribadi dan kepentingan, dan potensi risiko keselamatan, antara lain, dan hendaklah menghalang akses tanpa kebenaran kepada, serta pelanggaran, pengubahan atau kehilangan sebarang maklumat peribadi:
(1) membentuk sistem pengurusan dalaman dan prosedur operasi;
(2) melaksanakan pengurusan terperingkat maklumat peribadi;
(3) mengguna pakai langkah teknikal keselamatan yang sepadan seperti penyulitan dan nyahpengenalpastian;
(4) dengan munasabah menentukan pihak berkuasa operasi pemprosesan maklumat peribadi, dan kerap menjalankan pendidikan dan latihan keselamatan untuk pengamal;
(5) merumuskan pelan luar jangka untuk kecemasan keselamatan maklumat peribadi dan mengatur pelaksanaan rancangan tersebut; dan
(6) langkah-langkah lain seperti yang diperuntukkan oleh undang-undang dan peraturan pentadbiran.
Perkara 52 Pemproses maklumat peribadi yang memproses maklumat peribadi sehingga jumlah yang ditetapkan oleh jabatan ruang siber negara hendaklah melantik seseorang yang bertanggungjawab ke atas perlindungan maklumat peribadi, yang hendaklah menyelia aktiviti pemprosesan maklumat peribadi pemproses serta langkah perlindungan yang diambil olehnya. , dalam kalangan yang lain.
Pemproses maklumat peribadi hendaklah mendedahkan maklumat hubungan orang yang bertanggungjawab ke atas perlindungan maklumat peribadi, dan menyerahkan nama orang tersebut, maklumat hubungan dan maklumat lain kepada jabatan yang mempunyai tugas perlindungan maklumat peribadi.
Perkara 53 Pemproses maklumat peribadi di luar wilayah Republik Rakyat China seperti yang dinyatakan dalam perenggan kedua Perkara 3 Undang-undang ini hendaklah menubuhkan agensi khusus atau melantik wakil dalam wilayah Republik Rakyat China untuk bertanggungjawab mengendalikan maklumat peribadi perkara berkaitan perlindungan, dan hendaklah menyerahkan nama, maklumat hubungan, dan maklumat lain agensi dan wakil kepada jabatan yang mempunyai tugas perlindungan maklumat peribadi.
Perkara 54 Pemproses maklumat peribadi hendaklah kerap menjalankan audit pematuhan aktiviti pemprosesan maklumat peribadi mereka dengan undang-undang dan peraturan pentadbiran.
Perkara 55 Dalam mana-mana keadaan berikut, pemproses maklumat peribadi hendaklah menilai terlebih dahulu kesan ke atas perlindungan maklumat peribadi dan menyimpan rekod perjalanan pemprosesan:
(1) memproses maklumat peribadi yang sensitif;
(2) menggunakan maklumat peribadi untuk menjalankan pembuatan keputusan automatik;
(3) mempercayakan pemprosesan maklumat peribadi kepada pihak lain, menyediakan maklumat peribadi untuk pihak lain, atau menghebahkan maklumat peribadi;
(4) menyediakan maklumat peribadi untuk mana-mana pihak di luar wilayah Republik Rakyat China; atau
(5) menjalankan aktiviti pemprosesan maklumat peribadi lain yang mungkin mempunyai kesan yang besar kepada individu.
Perkara 56 Penilaian kesan ke atas perlindungan maklumat peribadi hendaklah termasuk kandungan berikut:
(1) sama ada tujuan dan cara pemprosesan maklumat peribadi, adalah sah, wajar dan perlu;
(2) kesan ke atas hak dan kepentingan individu, dan risiko keselamatan; dan
(3) sama ada langkah perlindungan yang diambil adalah sah, berkesan, dan serasi dengan tahap risiko.
Laporan penilaian impak ke atas perlindungan maklumat peribadi dan rekod pemprosesan hendaklah disimpan sekurang-kurangnya tiga tahun.
Perkara 57 Jika pelanggaran, pengubahan atau kehilangan maklumat peribadi berlaku atau mungkin berlaku, pemproses maklumat peribadi hendaklah segera mengambil langkah-langkah pembaikan dan memaklumkan jabatan dengan tugas perlindungan maklumat peribadi dan individu yang berkaitan. Notis itu hendaklah mengandungi perkara-perkara berikut:
(1) kategori maklumat peribadi yang telah atau mungkin dilanggar, diusik atau hilang, dan sebab dan kemungkinan bahaya pelanggaran, gangguan dan kehilangan;
(2) langkah-langkah pemulihan yang diterima pakai oleh pemproses maklumat peribadi dan langkah-langkah yang boleh diambil oleh individu untuk mengurangkan bahaya; dan
(3) maklumat hubungan pemproses maklumat peribadi.
Di mana langkah-langkah yang diambil oleh pemproses maklumat peribadi boleh mengelakkan kemudaratan yang disebabkan oleh pelanggaran, gangguan atau kehilangan maklumat peribadi dengan berkesan, pemproses maklumat peribadi tidak perlu memberitahu individu; di mana jabatan yang mempunyai tugas perlindungan maklumat peribadi menganggap bahawa bahaya mungkin disebabkan, mereka mempunyai kuasa untuk meminta pemproses maklumat peribadi untuk memberitahu individu.
Perkara 58 Pemproses maklumat peribadi yang menyediakan perkhidmatan platform internet yang penting melibatkan sejumlah besar pengguna dan jenis perniagaan yang rumit hendaklah melaksanakan kewajipan berikut:
(1) mewujudkan dan menambah baik sistem pematuhan perlindungan maklumat peribadi selaras dengan peruntukan negara dan menubuhkan organisasi bebas yang terutamanya terdiri daripada ahli luar untuk menyelia perlindungan maklumat peribadi;
(2) mengikut prinsip keterbukaan, keadilan dan keadilan, merumuskan peraturan platform, dan menjelaskan norma dan kewajipan yang harus dipenuhi oleh penyedia produk atau perkhidmatan dalam platform apabila memproses maklumat peribadi;
(3) berhenti menyediakan perkhidmatan untuk penyedia produk atau perkhidmatan dalam platform yang memproses maklumat peribadi yang melanggar undang-undang dan peraturan pentadbiran yang serius; dan
(4) kerap menerbitkan laporan tanggungjawab sosial mengenai perlindungan maklumat peribadi untuk pengawasan awam.
Perkara 59 Pihak yang diamanahkan dengan pemprosesan maklumat peribadi hendaklah, mengikut Undang-undang ini dan undang-undang dan peraturan pentadbiran yang berkaitan, mengambil langkah-langkah yang perlu untuk memastikan keselamatan maklumat peribadi yang diamanahkan untuk pemprosesan, dan membantu pemproses maklumat peribadi yang mengamanahkan dalam memenuhi kewajipan yang diperuntukkan oleh Undang-undang ini.
Bab VI Jabatan dengan Tugas Perlindungan Maklumat Peribadi
Perkara 60 Jabatan ruang siber negara hendaklah bertanggungjawab untuk keseluruhan perancangan dan penyelarasan perlindungan maklumat peribadi dan penyeliaan dan pentadbiran yang berkaitan. Jabatan-jabatan Majlis Negeri yang berkaitan hendaklah, mengikut Undang-undang ini dan undang-undang dan peraturan pentadbiran lain yang berkaitan, bertanggungjawab untuk perlindungan maklumat peribadi dan penyeliaan serta pentadbiran yang berkaitan dalam skop tugas masing-masing.
Kewajipan perlindungan maklumat peribadi dan penyeliaan serta pentadbiran berkaitan jabatan berkaitan kerajaan rakyat tempatan di atau di atas peringkat daerah hendaklah ditentukan mengikut peruntukan berkaitan negeri.
Jabatan yang disediakan dalam dua perenggan sebelumnya secara kolektif dirujuk sebagai jabatan yang mempunyai tugas perlindungan maklumat peribadi.
Perkara 61 Jabatan yang mempunyai tugas perlindungan maklumat peribadi hendaklah melaksanakan tugas perlindungan maklumat peribadi berikut:
(1) menjalankan publisiti dan pendidikan mengenai perlindungan maklumat peribadi, dan membimbing dan menyelia pemproses maklumat peribadi dalam perlindungan maklumat peribadi mereka;
(2) menerima dan mengendalikan aduan dan laporan yang berkaitan dengan perlindungan maklumat peribadi;
(3) menganjurkan penilaian ke atas permohonan, dsb. dari segi perlindungan maklumat peribadi dan menerbitkan keputusan penilaian tersebut;
(4) menyiasat dan mengendalikan aktiviti pemprosesan maklumat peribadi yang menyalahi undang-undang; dan
(5) tugas-tugas lain yang diperuntukkan oleh undang-undang dan peraturan pentadbiran.
Perkara 62 Jabatan ruang siber negara hendaklah menyelaraskan jabatan yang berkaitan untuk mempromosikan perlindungan maklumat peribadi melalui usaha berikut mengikut Undang-undang ini:
(1) merumuskan peraturan dan piawaian khusus untuk perlindungan maklumat peribadi;
(2) membangunkan peraturan dan piawaian perlindungan maklumat peribadi khas untuk pemproses maklumat peribadi yang kecil, pemprosesan maklumat peribadi yang sensitif, dan teknologi dan aplikasi baharu seperti pengecaman muka dan kecerdasan buatan;
(3) menyokong penyelidikan dan pembangunan, dan menggalakkan penggunaan teknologi pengesahan identiti elektronik yang selamat dan mudah, dan memajukan perkhidmatan awam untuk pengesahan identiti rangkaian;
(4) menggalakkan pembangunan sistem perkhidmatan perlindungan maklumat peribadi dengan penyertaan pelbagai sektor sosial, dan menyokong institusi berkaitan dalam menyediakan perkhidmatan penilaian dan pensijilan perlindungan maklumat peribadi; dan
(5) menambah baik mekanisme aduan dan pelaporan yang berkaitan dengan perlindungan maklumat peribadi.
Perkara 63 Jabatan yang mempunyai tugas perlindungan maklumat peribadi apabila memenuhi tugas berkaitan boleh mengambil langkah-langkah berikut:
(1) menyoal pihak yang berkaitan, dan menyiasat keadaan yang berkaitan dengan aktiviti pemprosesan maklumat peribadi;
(2) berunding dan menduplikasi kontrak, rekod, buku akaun dan bahan lain yang berkaitan yang berkaitan dengan aktiviti pemprosesan maklumat peribadi;
(3) menjalankan pemeriksaan di tapak, dan menyiasat aktiviti pemprosesan maklumat peribadi yang disyaki secara haram; dan
(4) memeriksa peralatan dan artikel yang berkaitan dengan aktiviti pemprosesan maklumat peribadi; dan menutup atau merampas peralatan dan artikel yang berkaitan dengan aktiviti pemprosesan maklumat peribadi yang menyalahi undang-undang seperti yang dibuktikan oleh bukti selepas menyerahkan laporan bertulis kepada dan mendapat kelulusan daripada orang utama yang bertanggungjawab ke atas jabatan-jabatan dengan tugas perlindungan maklumat peribadi.
Apabila jabatan yang mempunyai tugas perlindungan maklumat peribadi menjalankan tugas mereka mengikut undang-undang, pihak berkenaan hendaklah bekerjasama dan memberikan bantuan, dan tidak boleh menolak atau menghalang mereka.
Perkara 64 Sekiranya jabatan yang mempunyai tugas perlindungan maklumat peribadi mendapati, semasa menjalankan tugasnya, risiko yang agak tinggi dalam aktiviti pemprosesan maklumat peribadi atau kejadian insiden keselamatan maklumat peribadi, jabatan itu boleh mengadakan temu bual dengan wakil sah atau orang utama yang bertanggungjawab. pemproses maklumat peribadi mengikut kuasa dan prosedur yang disediakan, atau meminta pemproses untuk mengamanahkan institusi profesional untuk menjalankan audit pematuhan aktiviti pemprosesan maklumat peribadi. Pemproses maklumat peribadi hendaklah menggunakan langkah-langkah untuk membuat pembetulan dan menghapuskan potensi risiko seperti yang diperlukan.
Jika jabatan yang mempunyai tugas perlindungan maklumat peribadi, dalam melaksanakan tugasnya, mendapati aktiviti pemprosesan maklumat peribadi yang menyalahi undang-undang yang mungkin melibatkan jenayah, jabatan itu hendaklah memindahkan kes itu kepada organ keselamatan awam tepat pada masanya mengikut undang-undang.
Perkara 65 Mana-mana organisasi atau individu mempunyai hak untuk mengadu dan melaporkan kepada jabatan yang mempunyai tugas perlindungan maklumat peribadi tentang pemprosesan maklumat peribadi yang tidak sah. Jabatan yang menerima aduan atau laporan sedemikian hendaklah mengendalikannya tepat pada masanya mengikut undang-undang, dan memberitahu pengadu atau pemberi maklumat tentang keputusannya.
Jabatan yang mempunyai tugas perlindungan maklumat peribadi hendaklah menerbitkan maklumat hubungan mereka untuk menerima aduan dan laporan.
Bab VII Liabiliti Undang-undang
Perkara 66 Jika maklumat peribadi diproses dengan melanggar peruntukan Undang-undang ini atau tanpa memenuhi kewajipan perlindungan maklumat peribadi yang diperuntukkan dalam Undang-undang ini, jabatan-jabatan yang mempunyai tugas perlindungan maklumat peribadi hendaklah memerintahkan pelanggar untuk membuat pembetulan, memberi amaran, merampas yang menyalahi undang-undang. keuntungan, dan memerintahkan penggantungan atau penamatan penyediaan perkhidmatan oleh aplikasi yang memproses maklumat peribadi secara haram; jika pelanggar enggan membuat pembetulan, denda tidak lebih daripada RMB satu juta yuan akan dikenakan ke atasnya; dan orang yang bertanggungjawab secara langsung dan orang lain yang bertanggungjawab secara langsung hendaklah masing-masing didenda tidak kurang daripada RMB 10,000 yuan atau lebih daripada RMB 100,000 yuan.
Sekiranya berlaku perbuatan yang menyalahi undang-undang seperti yang ditetapkan dalam perenggan sebelumnya dan keadaannya adalah serius, jabatan yang mempunyai tugas perlindungan maklumat peribadi di atau di atas peringkat wilayah hendaklah memerintahkan pelanggar untuk membuat pembetulan, merampas keuntungan haram, mengenakan denda tidak lebih. daripada RMB 50 juta yuan atau tidak lebih daripada lima peratus daripada perolehan tahun sebelumnya; boleh juga memerintahkan penggantungan perniagaan yang berkaitan, atau mengarahkan penggantungan semua operasi perniagaan untuk baik pulih, dan memberitahu pihak berkuasa yang berwibawa untuk membatalkan permit atau lesen perniagaan yang berkaitan; akan mengenakan denda tidak kurang daripada RMB 100,000 yuan tetapi tidak lebih daripada RMB 1 juta yuan ke atas setiap orang yang bertanggungjawab secara langsung dan orang lain yang bertanggungjawab secara langsung, dan boleh memutuskan untuk melarang orang yang disebutkan di atas daripada berkhidmat sebagai pengarah, penyelia, kanan. pengurus, atau orang yang bertanggungjawab ke atas syarikat yang berkaitan dalam tempoh masa tertentu.
Perkara 67 Sebarang pelanggaran peruntukan Undang-undang ini hendaklah dimasukkan dalam rekod kredit yang berkaitan dan diterbitkan mengikut peruntukan undang-undang dan peraturan pentadbiran yang berkaitan.
Perkara 68 Jika mana-mana organ negara gagal memenuhi kewajipan perlindungan maklumat peribadi seperti yang diperuntukkan dalam Undang-undang ini, organ di peringkat yang lebih tinggi atau jabatan yang mempunyai tugas perlindungan maklumat peribadi hendaklah memerintahkannya untuk membuat pembetulan, dan mendisiplinkan orang yang bertanggungjawab secara langsung dan orang lain yang bertanggungjawab secara langsung mengikut undang-undang.
Jika seorang kakitangan jabatan yang mempunyai tugas perlindungan maklumat peribadi mengabaikan tugas, menyalahgunakan kuasa, atau mengamalkan pilih kasih, yang tidak merupakan jenayah, kakitangan itu hendaklah dikenakan sekatan mengikut undang-undang.
Perkara 69 Jika pemproses maklumat peribadi melanggar hak atau kepentingan ke atas maklumat peribadi disebabkan oleh sebarang aktiviti pemprosesan maklumat peribadi dan tidak dapat membuktikan bahawa pemproses tidak bersalah, pemproses hendaklah menanggung liabiliti untuk ganti rugi dan liabiliti tort lain.
Liabiliti untuk ganti rugi yang ditetapkan dalam perenggan sebelumnya hendaklah ditentukan berdasarkan kerugian individu yang ditanggung olehnya dan faedah yang diperoleh oleh pemproses maklumat peribadi yang melanggar; dan jika sukar untuk menentukan kerugian atau faedah yang disebutkan di atas, jumlah ganti rugi hendaklah ditentukan berdasarkan keadaan sebenar.
Perkara 70 Apabila pemproses maklumat peribadi memproses maklumat peribadi yang melanggar peruntukan Undang-undang ini dan melanggar hak dan kepentingan ramai individu, prokurator rakyat, organisasi pengguna yang ditentukan oleh undang-undang, dan organisasi yang ditetapkan oleh jabatan ruang siber negara boleh memfailkan saman dengan mahkamah rakyat mengikut undang-undang.
Perkara 71 Sebarang pelanggaran Undang-undang ini yang merupakan pelanggaran pentadbiran keselamatan awam akan dikenakan penalti pentadbiran keselamatan awam mengikut undang-undang. Jika pelanggaran itu merupakan jenayah, pelanggar hendaklah dipertanggungjawabkan secara jenayah mengikut undang-undang.
Bab VIII Peruntukan Tambahan
Perkara 72 Undang-undang ini tidak terpakai jika orang asli memproses maklumat peribadi untuk urusan peribadi atau rumah tangga.
Jika undang-undang lain menyediakan pemprosesan maklumat peribadi dalam aktiviti pengurusan statistik atau arkib yang dianjurkan dan dijalankan oleh kerajaan rakyat di semua peringkat dan jabatan berkaitan mereka, peruntukan undang-undang tersebut akan diguna pakai.
Perkara 73 Bagi maksud Undang-undang ini, istilah-istilah berikut hendaklah mempunyai pengertian berikut:
(1) "Pemproses maklumat peribadi" merujuk kepada organisasi atau individu yang secara autonomi menentukan tujuan dan cara pemprosesan maklumat peribadi.
(2) "membuat keputusan automatik" merujuk kepada aktiviti menganalisis dan menilai secara automatik tingkah laku, hobi, atau status ekonomi, kesihatan dan kredit, antara lain, melalui program komputer dan membuat keputusan.
(3) "nyah pengenalan" merujuk kepada pemprosesan maklumat peribadi untuk menjadikannya mustahil untuk mengenal pasti orang asli tertentu tanpa adanya sokongan maklumat tambahan.
(4) "anonimisasi" merujuk kepada proses pemprosesan maklumat peribadi untuk menjadikannya mustahil untuk mengenal pasti orang asli tertentu dan mustahil untuk dipulihkan.
Perkara 74 Undang-undang ini mulai berlaku pada 1 November 2021.