חוק הגנת מידע אישי של הרפובליקה העממית של סין
(אומץ בישיבה ה-30 של הוועדה המתמדת של הקונגרס הלאומי השלושה עשר העממי ב-20 באוגוסט 2021)
פרק א '
סעיף 1 חוק זה נחקק בהתאם לחוקה למטרות הגנה על הזכויות והאינטרסים במידע אישי, הסדרת פעילות עיבוד מידע אישי וקידום שימוש סביר במידע אישי.
סעיף 2 המידע האישי של אנשים טבעיים יהיה מוגן בחוק. אף ארגון או אדם אינם רשאים להפר את הזכויות והאינטרסים של אנשים טבעיים במידע האישי שלהם.
סעיף 3 חוק זה יחול על עיבוד מידע אישי של אנשים טבעיים בשטחה של הרפובליקה העממית של סין.
חוק זה יחול גם על עיבוד מחוץ לטריטוריה של הרפובליקה העממית של סין של מידע אישי של אנשים טבעיים בשטח הרפובליקה העממית של סין, בכל אחת מהנסיבות הבאות:
(1) לצורך אספקת מוצרים או שירותים עבור אנשים טבעיים בתוך הרפובליקה העממית של סין;
(2) ניתוח או הערכה של התנהגויות של אנשים טבעיים בשטחה של הרפובליקה העממית של סין; ו
(3) כל נסיבה אחרת כפי שנקבעה בכל דין או תקנה מנהלית.
סעיף 4 "מידע אישי" מתייחס למידע שונה הקשור לאדם טבעי מזוהה או מזוהה שנרשם באופן אלקטרוני או באמצעים אחרים, אך אינו כולל מידע אנונימי.
עיבוד מידע אישי כולל איסוף מידע אישי, אחסון, שימוש, עיבוד, שידור, מסירה, חשיפה ומחיקה, בין היתר.
סעיף 5 מידע אישי יעובד על פי דין כאשר הדבר נחוץ, בנימוק מוצדק ובתום לב, והעיבוד לא יהיה כרוך בהטעיה, הונאה, כפייה וכדומה.
סעיף 6 עיבוד מידע אישי יתבסס על מטרות מפורשות והגיוניות וקשורות ישירות למטרות אלו, ויפעיל את המינימום ההשפעות על הזכויות והאינטרסים של יחידים.
איסוף המידע האישי יוגבל להיקף המינימלי הנדרש על ידי מטרת העיבוד, ואין לאסוף מידע אישי בצורה מוגזמת.
סעיף 7 יישמרו עקרונות הפתיחות והשקיפות בעיבוד מידע אישי, ייחשפו כללי עיבוד המידע האישי ויצוינו במפורש מטרות, אמצעי והיקף העיבוד.
סעיף 8 איכות המידע האישי תובטח בעיבוד מידע אישי, כדי למנוע השפעות שליליות על הזכויות והאינטרסים של אנשים שנגרמו ממידע אישי לא מדויק ולא שלם.
סעיף 9 מעבדי מידע אישי יהיו אחראים לפעילויות עיבוד המידע האישי שלהם וינקטו באמצעים הדרושים כדי להבטיח את אבטחת המידע האישי שהם מעבדים.
סעיף 10 אף ארגון או אדם לא יאסוף, ישתמש, יעבד או יעביר באופן בלתי חוקי את המידע האישי של אנשים אחרים, או יסחר, יספק או יחשוף את המידע האישי של אנשים אחרים באופן בלתי חוקי, או יעסוק בפעילויות עיבוד מידע אישי המסכנות את הביטחון הלאומי או נזק. אינטרסים ציבוריים.
סעיף 11 המדינה תקים ותשפר את מערך הגנת המידע האישי כדי למנוע ולהעניש פגיעה בזכויות ובאינטרסים במידע אישי, לחזק את הפרסום והחינוך בנושא הגנת מידע אישי ולקדם סביבה נוחה לממשלה, למפעלים ולארגוני התעשייה הרלוונטיים. , והציבור להשתתף במשותף בהגנה על מידע אישי.
סעיף 12 המדינה תעסוק באופן פעיל בפיתוח כללים בינלאומיים בנושא הגנת מידע אישי, תקדם חילופים ושיתוף פעולה בינלאומיים בהגנת מידע אישי, ותעודד הכרה הדדית בכללים ותקנים להגנת מידע אישי, בין היתר, עם מדינות אחרות, אזורים אחרים. , וארגונים בינלאומיים.
פרק ב' כללי עיבוד מידע אישי
סעיף 1 כללים כלליים
סעיף 13 מעבד מידע אישי יכול לעבד מידע אישי של יחיד רק אם מתקיימת אחת מהנסיבות הבאות:
(1) התקבלה הסכמת היחיד;
(2) העיבוד דרוש לכריתת או ביצוע חוזה בו הפרט צד, או הכרחי לניהול משאבי אנוש בהתאם לכללי ותקנות העבודה שנקבעו על פי דין והחוזים הקיבוציים הנחתמים בהתאם. עם החוק;
(3) העיבוד הכרחי לביצוע חובות או חובות סטטוטוריות;
(4) העיבוד דרוש למענה למצבי חירום בבריאות הציבור, או להגנה על בטיחות חייהם, בריאותם ורכושם של אנשים טבעיים בשעת חירום;
(5) המידע האישי מעובד באופן סביר לצורך דיווח חדשותי, פיקוח תקשורתי ופעילויות אחרות המתנהלות למען האינטרס הציבורי;
(6) המידע האישי שחושף היחיד עצמו או מידע אישי אחר שנחשף כדין של היחיד מעובד באופן סביר לפי חוק זה; ו
(7) נסיבות אחרות כפי שנקבעו בדינים או בתקנות מנהליות.
הסכמה פרטנית תתקבל לעיבוד מידע אישי אם נקבעה זאת הוראות רלוונטיות אחרות בחוק זה, למעט בנסיבות המפורטות בפסקאות משנה (2) עד (7) בפסקה הקודמת.
סעיף 14 כאשר עיבוד מידע אישי מבוסס על הסכמה אישית, ההסכמה האישית תהיה וולונטרית, מפורשת ומלאת מידע. כאשר כל חוק או תקנה מנהלית אחרת קובעת כי יש לקבל הסכמה נפרדת או הסכמה בכתב של אדם לעיבוד מידע אישי, הוראות אלו יחולו.
במקרה של שינוי כלשהו במטרות או באמצעי עיבוד המידע האישי, או בקטגוריית המידע האישי המעובד, תתקבל הסכמה חדשה מהפרט.
סעיף 15 כאשר עיבוד מידע אישי מבוסס על הסכמת יחיד, לפרט תהיה הזכות לחזור בה מהסכמתו. מעבדי מידע אישי יספקו דרכים נוחות לאנשים לבטל את הסכמתם.
ביטול ההסכמה לא ישפיע על תוקף פעולות העיבוד שבוצעו על סמך הסכמה לפני ביטולה.
סעיף 16 מעבד מידע אישי לא יסרב לספק מוצרים או שירותים ליחיד בטענה שהיחיד מנע את הסכמתו לעיבוד המידע האישי שלו או חזר בו מהסכמתו לעיבוד מידע אישי, אלא אם עיבוד המידע האישי שלו. מידע אישי הכרחי לאספקת מוצרים או שירותים.
סעיף 17 מעבד מידע אישי יידע, בטרם יעבד מידע אישי, באופן אמיתי, מדויק ומלא לאדם בדברים הבאים בצורה קלה לתשומת לב ובשפה ברורה וקלה להבנה:
(1) שמו ופרטי הקשר של מעבד המידע האישי;
(2) המטרות והאמצעים של עיבוד מידע אישי, והקטגוריות ותקופות האחסון של המידע האישי שיש לעבד;
(3) הדרכים והנהלים למימוש זכויותיו של היחיד כאמור בחוק זה; ו
(4) עניינים אחרים שעליהם יש להודיע ליחיד כפי שנקבע בחוק ובתקנות מנהליות.
אם ישתנה עניין כמפורט בפסקה הקודמת, יודיע לאדם על השינוי.
מקום שמעבד המידע האישי מודיע לאדם על העניינים המפורטים בפסקה הראשונה על ידי גיבוש כללי עיבוד מידע אישי, כללי העיבוד יפורסמו ברבים ויהיו קלים לעיון ולשמירה.
סעיף 18 בעת עיבוד מידע אישי, מעבדי מידע אישי רשאים שלא ליידע אנשים על העניינים המפורטים בפסקה הראשונה של המאמר הקודם, כאשר חוקים או תקנות מנהליות מחייבות סודיות או אינם מספקים דרישה להודעה כזו.
כאשר אי אפשר להודיע ליחידים במועד במטרה להגן על חייהם, בריאותם ובטיחותם של אנשים טבעיים במקרה חירום, מעבדי המידע האישי יודיעו להם ללא דיחוי לאחר הסרת החירום.
סעיף 19 למעט אם נקבע אחרת בחוקים ובתקנות מנהליות, תקופת האחסון של מידע אישי תהיה הזמן המינימלי הדרוש להשגת מטרת העיבוד.
סעיף 20 כאשר שני מעבדי מידע אישי או יותר קובעים במשותף את המטרות והאמצעים לעיבוד מידע אישי מסוים, הם יגיעו להסכמה על זכויותיהם וחובותיהם בהתאמה בעיבוד המידע האישי. אולם אין בהסכם זה כדי לפגוע בבקשתו של יחיד למי מהם לממש את זכויותיו כאמור בחוק זה.
מקום בו, בעיבוד משותף של מידע אישי מסוים, מעבד מפר את הזכויות והאינטרסים במידע אישי וגורם לנזקים, מעבדי מידע אישי אחרים ישאו באחריות ביחד ולחוד בהתאם לחוק.
סעיף 21 מעבד מידע אישי המפקיד את העיבוד של מידע אישי מסוים בידי צד יגיע להסכמה עם הגורם המופקד על המטרות, תקופת ואמצעי העיבוד, קטגוריות המידע האישי שיש לעבד ואמצעי ההגנה, וכן הזכויות והחובות של שני הצדדים, בין היתר, ויפקח על פעילות עיבוד המידע האישי של הצד המופקד.
הגורם המופקד יעבד מידע אישי בהתאם להסכם ואינו רשאי לעבד מידע אישי מעבר למטרות, לאמצעים ולתנאים אחרים כפי שהוסכם עליהם. כאשר חוזה ההפקדה לא נכנס לתוקף, או אינו תקף, או בוטל או בוטל, הגורם המופקד יחזיר את המידע האישי הנדון למעבד המידע האישי או ימחק אותו ולא ישמור את המידע האישי.
ללא הסכמת מעבד המידע האישי, הגורם המופקד אינו רשאי לתת קבלן משנה לעיבוד המידע האישי לכל גורם אחר.
סעיף 22 כאשר מעבד מידע אישי צריך להעביר מידע אישי עקב מיזוג, חלוקה, פירוק או פשיטת רגל או מסיבות אחרות, המעבד יודיע ליחידים על שמו ופרטי הקשר של מקבל המידע האישי המועבר. הנמען ימשיך למלא את התחייבויותיו של מעבד המידע האישי האמור. כל שינוי במטרות המקוריות או באמצעי העיבוד על ידי הנמען יהיה כפוף להסכמה אישית בהתאם לחוק זה.
סעיף 23 למסור מידע אישי לכל מעבד אחר, מעבד מידע אישי יודיע ליחידים על שם הנמען ופרטי הקשר, המטרות ואמצעי העיבוד וקטגוריות המידע האישי שיש לעבד, ויקבל את הפרטים בנפרד. הַסכָּמָה. הנמען יעבד מידע אישי במסגרת המטרות, האמצעים והקטגוריות של המידע האישי הנזכר לעיל. כל שינוי במטרות או באמצעי העיבוד על ידי הנמען יהיה כפוף להסכמה אישית בהתאם לחוק זה.
סעיף 24 מעבדי מידע אישי המשתמשים במידע אישי לצורך קבלת החלטות אוטומטיות יבטיחו את השקיפות של קבלת ההחלטות ואת ההוגנות וחוסר משוא פנים של התוצאות, ואינם רשאים להחיל יחס שונה בלתי סביר ליחידים מבחינת מחירי העסקה ותנאי העסקה האחרים.
דחיפה של מידע ושיווק מסחרי ליחידים על בסיס קבלת החלטות אוטומטיות ילוו בו זמנית באפשרויות שאינן ספציפיות למאפיינים האישיים שלהם או באמצעים נוחים לסירוב לאנשים.
כאשר החלטה שעשויה להשפיע באופן משמעותי על זכויות ואינטרסים של אדם מתקבלת באמצעות קבלת החלטות אוטומטית, תהיה ליחיד הזכות לבקש הבהרה ממעבד המידע האישי וזכות לסרב למעבד לקבל את ההחלטה רק באמצעות אוטומטית. קבלת החלטות.
סעיף 25 מעבדי מידע אישי לא יחשפו את המידע האישי שהם מעבדים, אלא אם התקבלו הסכמות נפרדות מהיחידים.
סעיף 26 ציוד לאיסוף תמונות וזיהוי אישי במקומות ציבוריים יותקן רק כאשר הדבר נחוץ לצורך שמירה על ביטחון הציבור, ויותקן בהתאם להוראות המדינה הרלוונטיות ובתזכורות בולטות. התמונות האישיות ופרטי הזיהוי שנאספו יכולים לשמש רק למטרת שמירה על ביטחון הציבור, אלא אם התקבלו הסכמות נפרדות של האנשים, לא ישמשו לכל מטרה אחרת.
סעיף 27 מעבד מידע אישי רשאי לעבד באופן סביר את המידע האישי שנחשף על ידי אדם בעצמו או מידע אישי אחר שנחשף על פי חוק, למעט אם היחיד מסרב במפורש. מקום בו לעיבוד מידע אישי שנחשף עשויה להיות השפעה מהותית על זכויות ואינטרסים של אדם, מעבדי המידע האישי יקבלו תחילה את הסכמתו של הפרט בהתאם להוראות חוק זה.
סעיף 2 כללים על עיבוד מידע אישי רגיש
סעיף 28 "מידע אישי רגיש" הוא מידע אישי שברגע שדלף או נעשה בו שימוש בלתי חוקי, עלול להוביל בקלות לפגיעה בכבודו האישי של אדם טבעי או עלול לסכן את ביטחונו האישי או רכושו, לרבות מידע כגון ביומטריה, אמונה דתית, ספציפי. זהות, מצב בריאותי רפואי, חשבונות פיננסיים ומקום הימצאו של האדם, כמו גם מידע אישי של קטין מתחת לגיל 14 שנים.
מעבדי מידע אישי יכולים לעבד מידע אישי רגיש רק כאשר ישנה מטרה מסוימת וכאשר יש בכך צורך, בנסיבות בהן ננקטים אמצעי הגנה מחמירים.
סעיף 29 לעיבוד מידע אישי רגיש, תתקבל הסכמה נפרדת של הפרט. כאשר חוקים או תקנות מנהליות אחרות קובעות כי תתקבל הסכמה בכתב לעיבוד מידע אישי רגיש, הוראות אלו יגברו.
סעיף 30 בנוסף לעניינים המפורטים בפסקה הראשונה של סעיף 17 לחוק זה, מעבד המעבד מידע אישי רגיש יודיע לאדם על הצורך בעיבוד פרטיו האישיים הרגישים ועל ההשפעה שיש לו על זכויותיו ועניינו, למעט מקום שלא נדרשת הודעה כאמור לפי הוראות חוק זה.
סעיף 31 לעיבוד מידע אישי של קטינים מתחת לגיל 14, מעבדי מידע אישי יקבלו את הסכמת ההורים או האפוטרופוסים האחרים של הקטינים.
מעבדי מידע אישי המעבדים מידע אישי של קטינים מתחת לגיל 14 יפתחו כללים מיוחדים לעיבוד מידע אישי כאמור.
סעיף 32 כאשר חוקים או תקנות מנהליות אחרות קובעות כי יתקבל היתר מינהלי רלוונטי לעיבוד מידע אישי רגיש או מטילים הגבלות אחרות, הוראות אלו יגברו.
סעיף 3 הוראות מיוחדות על עיבוד מידע אישי על ידי איברי מדינה
סעיף 33 חוק זה יחול על עיבוד מידע אישי על ידי גופי מדינה; כאשר יש הוראות מיוחדות בסעיף זה, יגברו הוראות סעיף זה.
סעיף 34 כאשר אורגני המדינה מעבדים מידע אישי על מנת לבצע את חובותיהם הסטטוטוריות, הם יפעלו בהתאם לסמכות ולנהלים הקבועים בחוקים ובתקנות מינהליות, ולא יחרגו מההיקף והגבולות הדרושים לביצוע חובותיהם הסטטוטוריות.
סעיף 35 כאשר אורגני המדינה מעבדים מידע אישי לשם מילוי תפקידם הסטטוטורי, הם ימלאו את חובת ההודעה בהתאם להוראות חוק זה, למעט בנסיבות המפורטות בפסקה הראשונה של סעיף 18 לחוק זה או מקום בו הודעה. ימנע מרשויות המדינה למלא את תפקידם הסטטוטורי.
סעיף 36 מידע אישי המעובד על ידי גופי מדינה יישמר בשטחה של הרפובליקה העממית של סין. הערכת אבטחה תיערך כאשר יש צורך באמת לספק מידע כזה עבור כל צד מחוץ לטריטוריה של הרפובליקה העממית של סין. בהערכת האבטחה המחלקות הרלוונטיות יספקו תמיכה וסיוע אם יתבקשו זאת.
סעיף 37 כאשר ארגונים המוסמכים על פי חוקים או תקנות לתפקידם של ניהול ענייני ציבור מעבדים מידע אישי על מנת למלא את חובותיהם הסטטוטוריות, יחולו ההוראות כאן על עיבוד מידע אישי על ידי אורגני מדינה.
פרק ג' כללים על מסירת מידע אישי מעבר לגבול
סעיף 38 מעבד מידע אישי שבאמת צריך לספק מידע אישי לגורם מחוץ לטריטוריה של הרפובליקה העממית של סין למטרות עסקיות או מסיבות אחרות, יעמוד באחת מהדרישות הבאות:
(1) עמידה בהערכה הביטחונית שמארגנת מחלקת הסייבר הלאומית לפי סעיף 40 לחוק זה;
(2) קבלת אישור הגנת מידע אישי מהמוסד המתמחה הרלוונטי לפי הוראות מחלקת הסייבר הלאומית;
(3) כריתת חוזה הקובע את זכויותיהם וחובותיהם של שני הצדדים עם הנמען בחו"ל בהתאם לחוזה האחיד שגיבש מחלקת הסייבר הלאומית; ו
(4) עמידה בתנאים אחרים הקבועים בחוקים ובתקנות מינהליות ועל ידי מחלקת הסייבר הלאומית.
כאשר אמנה או הסכם בינלאומי שהרפובליקה העממית של סין חתמה או הסכימה אליו קובעים תנאים למסירת מידע אישי עבור צד מחוץ לטריטוריה של הרפובליקה העממית של סין, ניתן לעקוב אחר התניות כאמור.
מעבד המידע האישי ינקוט באמצעים הנדרשים על מנת להבטיח שפעילות עיבוד המידע האישי של הנמען בחו"ל עומדת בתקני הגנת המידע האישי הקבועים בחוק זה.
סעיף 39 כאשר מעבד מידע אישי מספק מידע אישי עבור כל גורם מחוץ לטריטוריה של הרפובליקה העממית של סין, המעבד יודיע ליחידים על שמו ופרטי הקשר של הנמען בחו"ל, המטרות והאמצעים לעיבוד, קטגוריות המידע האישי לעיבוד, וכן הדרכים והנהלים למימוש זכויותיהם כאמור בחוק זה על הנמען שמעבר לים וכד', ויקבלו הסכמה נפרדת של יחיד.
סעיף 40 מפעילי תשתית מידע קריטי ומעבדי המידע האישי המעבדים מידע אישי עד לכמות שנקבעה על ידי מחלקת הסייבר הלאומית יאחסנו באופן מקומי את המידע האישי שנאסף ומופק בשטחה של הרפובליקה העממית של סין. כאשר יש צורך באמת לספק את המידע עבור גורם מחוץ לשטח הרפובליקה העממית של סין, הנושא יהיה נתון להערכת אבטחה מאורגנת על ידי מחלקת הסייבר הלאומית. כאשר חוקים, תקנות מנהליות או הוראות שהונפקו על ידי מחלקת הסייבר הלאומית קובעות שאין צורך בהערכת אבטחה, הוראות אלו יגברו.
סעיף 41 הרשויות המוסמכות של הרפובליקה העממית של סין יטפלו בבקשות של רשויות משפט או רשויות אכיפת חוק זרות למידע אישי המאוחסן בתוך סין בהתאם לחוקים הרלוונטיים והאמנות וההסכמים הבינלאומיים שנחתם או הצטרפו אליהם הרפובליקה העממית של סין, או תחת עקרון השוויון וההדדיות. ללא אישור הרשויות המוסמכות של הרפובליקה העממית של סין, אף ארגון או אדם לא יספקו נתונים המאוחסנים בשטחה של הרפובליקה העממית של סין עבור כל רשות שיפוטית או אכיפת חוק זרה.
סעיף 42 כאשר ארגונים או יחידים בחו"ל עוסקים בפעילויות עיבוד מידע אישי, המפרות את הזכויות והאינטרסים של אזרחי הרפובליקה העממית של סין במידע אישי או מסכנים את הביטחון הלאומי או האינטרסים הציבוריים של הרפובליקה העממית של סין, מרחב הסייבר הלאומי המחלקה רשאית לכלול אותם ברשימה של נמענים מוגבלים או אסורים של מידע אישי, לפרסם את הרשימה ולנקוט צעדים כגון הגבלת או איסור מסירת מידע אישי עבור ארגונים ואנשים כאלה.
סעיף 43 כאשר מדינה או אזור כלשהם נוקטים באמצעי אפליה אוסרים, מגבילים או אחרים דומים נגד הרפובליקה העממית של סין במונחים של הגנה על מידע אישי, הרפובליקה העממית של סין רשאית לנקוט באמצעי נגד נגד המדינה או האזור האמורים על סמך מצבים בפועל.
פרק IV זכויות של יחידים בפעילויות עיבוד מידע אישי
סעיף 44 ליחידים תהיה הזכות לקבל מידע, הזכות לקבל החלטות על עיבוד המידע האישי שלהם, והזכות להגביל או לסרב לעיבוד המידע האישי שלהם על ידי אחרים, אלא אם נקבע אחרת בחוקים או בתקנות מנהליות.
סעיף 45 ליחידים תהיה הזכות לעיין ולשכפל את המידע האישי שלהם ממעבדי מידע אישי, למעט בנסיבות המפורטות בפסקה הראשונה של סעיף 18 ובסעיף 35 לחוק זה.
כאשר אדם מבקש להתייעץ או לשכפל את המידע האישי שלו, מעבד המידע האישי המבוקש ימסור מידע זה במועד.
כאשר אדם מבקש להעביר את המידע האישי שלו למעבד מידע אישי ייעודי, העומד בדרישות מחלקת הסייבר הלאומית להעברת מידע אישי, מעבד המידע האישי המבוקש יספק אמצעים להעברה.
סעיף 46 כאשר אדם מגלה שהמידע האישי שלו שגוי או לא שלם, תהיה לו הזכות לבקש ממעבדי המידע האישי לתקן או להשלים מידע רלוונטי.
כאשר אדם מבקש לתקן או להשלים את המידע האישי שלו, מעבדי המידע האישי יאמתו את המידע הנדון, ויבצעו תיקון או השלמה במועד.
סעיף 47 בכל אחת מהנסיבות הבאות, מעבד מידע אישי ייקח יוזמה למחיקת מידע אישי, ולפרט יש את הזכות לבקש את מחיקת המידע האישי שלו אם מעבד המידע האישי לא יצליח למחוק את המידע:
(1) מטרות העיבוד הושגו או לא ניתן להשיגן, או שמידע כאמור אינו נחוץ עוד להשגת מטרות העיבוד;
(2) מעבד המידע האישי מפסיק לספק מוצרים או שירותים, או שתמה תקופת האחסון;
(3) היחיד חוזר בו מהסכמתו;
(4) מעבד המידע האישי מעבד מידע אישי בניגוד לחוקים, תקנות מנהליות או הסכמים; אוֹ
(5) נסיבות אחרות הקבועות בדינים ובתקנות מנהליות.
כאשר תקופת האחסון הקבועה בחוק או תקנה מנהלית כלשהי לא תמה, או שקשה למחוק מידע אישי מבחינה טכנית, מעבד המידע האישי יפסיק את העיבוד של מידע אישי מלבד אחסון ונקיטת אמצעי הגנה אבטחה הדרושים למידע זה.
סעיף 48 ליחיד יש הזכות לבקש ממעבד מידע אישי לפרש את כללי עיבוד המידע האישי שפותחו על ידי האחרון.
סעיף 49 קרובי משפחה של אדם טבעי שנפטר רשאים, למען האינטרסים החוקיים והלגיטימיים שלהם, לממש את הזכויות לטיפול במידע האישי של הנפטר, כגון התייעצות, שכפול, תיקון ומחיקה, כמפורט בפרק זה, למעט כפי שנקבע אחרת על ידי המנוח לפני המוות.
סעיף 50 מעבד מידע אישי יקבע את מנגנון הקבלה והטיפול בבקשות של יחידים למימוש זכויותיהם. כאשר בקשתו של אדם נדחית, יינתנו הנימוקים לכך.
מקום בו בקשתו של אדם לממש את זכויותיו נדחתה על ידי מעבד מידע אישי, רשאי היחיד להגיש תביעה לבית המשפט העממי בהתאם לחוק.
פרק ה' חובות של מעבדי מידע אישי
סעיף 51 מעבדי מידע אישי ינקטו את האמצעים הבאים כדי להבטיח שפעילויות עיבוד המידע האישי שלהם עומדות בדרישות החוקים והתקנות המנהליות המבוססות על מטרת ואמצעי העיבוד, קטגוריות המידע האישי שיש לעבד, ההשפעה על זכויות אישיות ו אינטרסים, וסיכוני האבטחה הפוטנציאליים, בין היתר, וימנעו גישה בלתי מורשית, כמו גם הפרה, שיבוש או אובדן של כל מידע אישי:
(1) גיבוש מערכת ניהול פנימית ונהלים תפעוליים;
(2) יישום ניהול מסווג של מידע אישי;
(3) אימוץ אמצעי אבטחה טכניים מתאימים כגון הצפנה וביטול זיהוי;
(4) קביעה סבירה של הסמכות התפעולית של עיבוד מידע אישי, ועריכת חינוך והכשרה בטיחותית למתרגלים באופן שוטף;
(5) גיבוש תוכניות מותנות למצבי חירום של אבטחת מידע אישי וארגון ביצוע תוכניות כאמור; ו
(6) אמצעים אחרים כפי שנקבעו בחוקים ובתקנות מנהליות.
סעיף 52 מעבד מידע אישי המעבד מידע אישי עד לסכום שנקבע על ידי מחלקת הסייבר הלאומית ימנה אחראי על הגנת המידע האישי, אשר יפקח על פעילות עיבוד המידע האישי של המעבד וכן על אמצעי ההגנה הננקטים על ידה. , בין היתר.
מעבד המידע האישי ימסור את פרטי ההתקשרות של האחראי על הגנת המידע האישי, וימסור את שמו, פרטי ההתקשרות ופרטים נוספים של אותו אדם למחלקות המוטלות על חובות הגנת המידע האישי.
סעיף 53 מעבדי מידע אישי מחוץ לטריטוריה של הרפובליקה העממית של סין כמפורט בפסקה השנייה של סעיף 3 לחוק זה יקימו סוכנויות מיוחדות או יקבעו נציגים בתוך שטח הרפובליקה העממית של סין להיות אחראים לטיפול במידע אישי עניינים הקשורים להגנה, וימסור את השמות, פרטי ההתקשרות ומידע אחר של הסוכנויות והנציגים למחלקות עם חובות הגנת מידע אישי.
סעיף 54 מעבדי מידע אישי יבצעו בקביעות ביקורות ציות של פעילות עיבוד המידע האישי שלהם עם חוקים ותקנות מנהליות.
סעיף 55 בכל אחת מהנסיבות הבאות, מעבד מידע אישי יעריך מראש את ההשפעה על הגנת המידע האישי ויערוך רישום של מהלך העיבוד:
(1) עיבוד מידע אישי רגיש;
(2) שימוש במידע אישי לביצוע קבלת החלטות אוטומטית;
(3) הפקדת עיבוד מידע אישי לגורם אחר, מסירת מידע אישי עבור גורם אחר, או פרסום מידע אישי;
(4) מתן מידע אישי לכל צד מחוץ לשטח הרפובליקה העממית של סין; אוֹ
(5) ביצוע פעילויות אחרות של עיבוד מידע אישי אשר עשויות להשפיע באופן משמעותי על אנשים.
סעיף 56 הערכת ההשפעה על הגנת מידע אישי תכלול את התכנים הבאים:
(1) האם המטרות והאמצעים של עיבוד מידע אישי הן לגיטימיות, מוצדקות והכרחיות;
(2) ההשפעה על זכויות ואינטרסים של יחידים וסיכונים ביטחוניים; ו
(3) האם אמצעי ההגנה שננקטו הם לגיטימיים, יעילים ומתאימים למידת הסיכונים.
דוח הערכת ההשפעה על הגנת מידע אישי ורישום העיבוד יישמר למשך שלוש שנים לפחות.
סעיף 57 כאשר מתרחשת או עשויה להתרחש הפרה, שיבוש או אובדן של מידע אישי, מעבד מידע אישי ינקוט מיד באמצעי תיקון ויודיע למחלקות עם חובות ההגנה על מידע אישי ולאנשים הרלוונטיים. ההודעה תכלול את הפריטים הבאים:
(1) הקטגוריות של מידע אישי שנפר או עלול להופר, להתעסק או לאבד, והסיבות והנזק האפשרי של ההפרה, השיבול והאובדן;
(2) אמצעי התיקון שנקט מעבד המידע האישי והאמצעים שהיחידים עשויים לנקוט כדי להפחית את הנזק; ו
(3) פרטי הקשר של מעבד המידע האישי.
כאשר האמצעים שננקטו על ידי מעבד המידע האישי יכולים למנוע למעשה את הנזק הנגרם כתוצאה מהפרה, שיבוש או אובדן של מידע אישי, מעבד המידע האישי אינו נדרש להודיע על כך לאנשים; כאשר המחלקות עם חובות הגנת מידע אישי סבורות כי עלול להיגרם נזק, יש להן הסמכות לבקש ממעבד המידע האישי להודיע על כך לאנשים.
סעיף 58 מעבד מידע אישי המספק שירותי פלטפורמת אינטרנט חשובים המערבים מספר עצום של משתמשים וסוגי עסקים מסובכים ימלא את החובות הבאות:
(1) הקמת ושיפור מערך הציות להגנה על מידע אישי בהתאם להוראות המדינה והקמת ארגון עצמאי המורכב בעיקרו מחברים חיצוניים לפיקוח על הגנת המידע האישי;
(2) שמירה על עקרונות הפתיחות, ההגינות והצדק, גיבוש כללי הפלטפורמה והבהרת הנורמות והחובות שעליהם לעמוד על ספקי מוצרים או שירותים בתוך הפלטפורמה בעת עיבוד מידע אישי;
(3) הפסקת מתן שירותים לספקי מוצרים או שירותים בתוך הפלטפורמות המעבדות מידע אישי תוך הפרה חמורה של חוקים ותקנות מנהליות; ו
(4) פרסום שוטף של דוחות אחריות חברתית בנושא הגנת מידע אישי לפיקוח ציבורי.
סעיף 59 הגורם האמון על עיבוד המידע האישי ינקוט, בהתאם לחוק זה ולחוקים ותקנות מנהליות רלוונטיות, את האמצעים הנדרשים להבטחת אבטחת המידע האישי המופקד על העיבוד, ויסייע למעבד המידע האישי המונה במילויו. החובות הקבועות בחוק זה.
פרק ו' מחלקות עם חובות הגנת מידע אישי
סעיף 60 מחלקת הסייבר הלאומית תהיה אחראית על התכנון והתיאום הכוללים של הגנת מידע אישי ופיקוח וניהול נלווים. המחלקות הרלוונטיות של מועצת המדינה יהיו אחראיות, בהתאם לחוק זה ולחוקים ותקנות מנהליות רלוונטיות אחרות, להגנת המידע האישי ולפיקוח ומינהל בנושא במסגרת תפקידן.
חובות ההגנה על מידע אישי ופיקוח וניהול קשורים של המחלקות הרלוונטיות של ממשלות העם המקומי ברמת המחוז או מעליה ייקבעו בהתאם להוראות הרלוונטיות של המדינה.
המחלקות הניתנות בשתי הפסקאות הקודמות מכונות ביחד המחלקות עם חובות הגנת מידע אישי.
סעיף 61 מחלקות עם חובות הגנת מידע אישי יבצעו את חובות ההגנה על המידע האישי הבאות:
(1) עריכת פרסום וחינוך בנושא הגנת מידע אישי, והדרכה ופיקוח על מעבדי מידע אישי בהגנתם על מידע אישי;
(2) קבלה וטיפול בתלונות ודוחות הקשורים להגנת מידע אישי;
(3) ארגון הערכות על פניות וכדומה בכל הנוגע להגנה על מידע אישי ולפרסם את תוצאות ההערכות כאמור;
(4) חקירה וטיפול בפעילויות לא חוקיות של עיבוד מידע אישי; ו
(5) חובות אחרות כפי שנקבעו בדינים ובתקנות מנהליות.
סעיף 62 מחלקת הסייבר הלאומית תתאם מחלקות רלוונטיות לקידום הגנת מידע אישי באמצעות המאמצים הבאים בהתאם לחוק זה:
(1) גיבוש כללים וסטנדרטים ספציפיים להגנה על מידע אישי;
(2) פיתוח כללי ותקנים מיוחדים להגנה על מידע אישי עבור מעבדי מידע אישי קטנים, עיבוד מידע אישי רגיש וטכנולוגיות ויישומים חדשים כגון זיהוי פנים ובינה מלאכותית;
(3) תמיכה במחקר ובפיתוח, וקידום היישום של טכנולוגיית אימות זהות אלקטרונית מאובטחת ונוחה, וקידום השירותים הציבוריים לאימות זהות רשת;
(4) קידום פיתוח מערך שירות להגנת מידע אישי בהשתתפות מגזרים חברתיים שונים, ותמיכה במוסדות הרלוונטיים במתן שירותי הערכה והסמכה להגנת מידע אישי; ו
(5) שיפור מנגנון התלונות והדיווח הקשור להגנה על מידע אישי.
סעיף 63 מחלקה עם חובות הגנת מידע אישי בעת מילוי חובות קשורות רשאית לנקוט באמצעים הבאים:
(1) תשאול גורמים רלוונטיים, וחקירת נסיבות הקשורות לפעילויות עיבוד מידע אישי;
(2) ייעוץ ושכפול החוזים, הרישומים, ספרי החשבונות וחומרים רלוונטיים אחרים של הצדדים הקשורים לפעילויות עיבוד מידע אישי;
(3) עריכת בדיקות במקום, וחקירת חשד לפעילות עיבוד מידע אישי בלתי חוקי; ו
(4) בדיקת ציוד וחפצים הקשורים לפעילויות עיבוד מידע אישי; וכן איטום או תפיסה של ציוד וחפצים הקשורים לפעילויות בלתי חוקיות של עיבוד מידע אישי כפי שהוכחו בראיות לאחר הגשת דוחות כתובים וקבלת אישור מהאחראי הראשי על המחלקות עם חובות הגנת המידע האישי.
כאשר מחלקות עם חובות הגנת מידע אישי ממלאות את תפקידן בהתאם לחוק, הצדדים הנוגעים בדבר ישתפו פעולה ויעניקו סיוע, ולא ידחו או ימנעו אותם.
סעיף 64 כאשר מחלקה בעלת חובות הגנת מידע אישי מוצאת, בעת ביצוע תפקידיה, סיכונים גבוהים יחסית בפעילות עיבוד מידע אישי או התרחשות של אירועי אבטחת מידע אישי, רשאית המחלקה לקיים ראיון עם הנציג המשפטי או עם האחראי הראשי. של מעבד המידע האישי לפי הסמכות והנהלים הניתנים, או לבקש מהמעבד להפקיד במוסד מקצועי לערוך ביקורות ציות של פעולות עיבוד המידע האישי. מעבד המידע האישי ינקוט אמצעים לתיקון ולסילוק סיכונים פוטנציאליים כנדרש.
מקום בו מחלקה בעלת חובות הגנת מידע אישי, במילוי תפקידה, מצאה פעילות בלתי חוקית של עיבוד מידע אישי שעלולה להיות כרוכה בפשע, תעביר המחלקה את התיק לגוף הביטחון הציבורי במועד בהתאם לחוק.
סעיף 65 לכל ארגון או אדם יש את הזכות להתלונן ולדווח למחלקה בעלת חובות הגנת מידע אישי על עיבוד מידע אישי בלתי חוקי. המחלקה המקבלת תלונה או דיווח כאמור תטפל בה במועד בהתאם לחוק, ותודיע למתלונן או למודיע על התוצאות.
מחלקות עם חובות הגנת מידע אישי יפרסמו את פרטי הקשר שלהן לקבלת תלונות ודיווחים.
פרק ז' אחריות משפטית
סעיף 66 מעובד מידע אישי בניגוד להוראות חוק זה או ללא מילוי חובות ההגנה על המידע האישי הקבועות בחוק זה, יצוו המחלקות המוטלות על הגנת המידע האישי על המפר לערוך תיקונים, לתת אזהרה, לחלט את הבלתי חוקי. להרוויח ולהורות על השעיה או הפסקה של מתן שירותים על ידי אפליקציות המעבדות מידע אישי שלא כדין; מקום שהמפר מסרב לבצע תיקונים, יוטל על כך קנס של לא יותר ממיליון יואן של יואן; והאחראים הישירים האחראים ובעלי האחריות הישירה האחרים ייקנסו כל אחד בלא פחות מ- RMB 10,000 יואן ולא יותר מ- RMB 100,000 יואן.
במקרה של מעשה בלתי חוקי כקבוע בפסקה הקודמת והנסיבות חמורות, המחלקות עם חובות הגנת מידע אישי ברמה המחוזית או מעליה יצוו על המפר לבצע תיקונים, להחרים את הרווחים הבלתי חוקיים, להטיל קנס של לא יותר מ-50 מיליון יואן יואן או לא יותר מחמישה אחוזים מהמחזור של השנה הקודמת; רשאית גם להורות על השעיית עסקים רלוונטיים, או להורות על השעיית כל פעולות העסק לצורך שיפוץ, ולהודיע לרשויות המוסמכות לבטל היתרים או רישיון עסקי רלוונטי; תטיל קנס של לא פחות מ- RMB 100,000 יואן אך לא יותר מ- RMB 1 מיליון יואן על כל אחד מהאחראים במישרין ובעלי אחריות ישירה אחרים, ורשאי להחליט לאסור על האנשים הנ"ל לכהן כדירקטורים, מפקחים, בכירים מנהלים, או האחראים על חברות רלוונטיות בתוך פרק זמן מסוים.
סעיף 67 כל הפרה של הוראות חוק זה תירשם בפנקס האשראי הרלוונטי ותפורסם בהתאם להוראות החוקים והתקנות המנהליות הרלוונטיות.
סעיף 68 לא ימלא אורגן ממלכתי כלשהו בחובות הגנת המידע האישי הקבועות בחוק זה, האורגן בדרג הגבוה או המחלקות המוטלות על הגנת המידע האישי יצווה עליו לבצע תיקונים, ולהטיל משמעת את האחראי הישיר בעלי אחריות ישירה אחרים בהתאם לחוק.
כאשר איש צוות במחלקה עם חובות הגנת מידע אישי מזניח חובות, משתמש לרעה בסמכות או נוהג בהעדפה, שאינה מהווה פשע, יוטל על איש הצוות סנקציות בהתאם לחוק.
סעיף 69 כאשר מעבד מידע אישי מפר את הזכויות או האינטרסים במידע אישי עקב כל פעילות עיבוד מידע אישי ואינו יכול להוכיח כי המעבד אינו אשם, המעבד יישא באחריות לנזקים ואחריות נזיקית אחרת.
האחריות לנזקים הקבועה בפסקה הקודמת תיקבע על סמך ההפסדים של יחידים שנגרמו בכך וההטבות שרכש מעבד המידע האישי המפר; ובמקום שקשה לקבוע את ההפסדים או התגמולים האמורים, ייקבע גובה הנזק בהתבסס על הנסיבות בפועל.
סעיף 70 מקום שבו מעבד מידע אישי מעבד מידע אישי בניגוד להוראות חוק זה ופוגע בזכויות ובאינטרסים של אנשים רבים, רשאים להגיש עורך דין העם, ארגוני הצרכנים הקבועים בחוק והארגון שיועד על ידי מחלקת הסייבר הלאומית. תביעה בבית המשפט העממי בהתאם לחוק.
סעיף 71 כל הפרה של חוק זה המהווה פגיעה במינהל ביטחון הציבור, דינה בעונש של מינהל ביטחון הציבור על פי דין. אם ההפרה מהווה פשע, יישא המפר באחריות פלילית בהתאם לחוק.
פרק ח' הוראות משלימות
סעיף 72 חוק זה אינו חל כאשר אדם טבעי מעבד מידע אישי לענייני בית או אישיים.
כאשר חוקים אחרים מספקים עיבוד מידע אישי בפעילויות סטטיסטיות או ניהול ארכיונים המאורגנות ומבוצעות על ידי ממשלות העם בכל הרמות והמחלקות הרלוונטיות שלהן, הוראות החוקים הללו יגברו.
סעיף 73 לענין חוק זה, יהיו למונחים הבאים את המשמעויות הבאות:
(1) "מעבד מידע אישי" מתייחס לארגון או יחיד הקובע באופן אוטונומי את המטרות והאמצעים לעיבוד מידע אישי.
(2) "קבלת החלטות אוטומטית" מתייחסת לפעילויות של ניתוח והערכה אוטומטית של התנהגויות אישיות, תחביבים או מצב כלכלי, בריאותי ואשראי, בין היתר, באמצעות תוכנות מחשב וקבלת החלטות.
(3) "ביטול זיהוי" מתייחס לעיבוד מידע אישי על מנת שלא ניתן לזהות אנשים טבעיים ספציפיים בהיעדר תמיכה במידע נוסף.
(4) "אנונימיזציה" מתייחסת לתהליך של עיבוד מידע אישי כדי לאפשר לזהות אנשים טבעיים ספציפיים ולא לשחזר.
סעיף 74 חוק זה ייכנס לתוקף החל מה-1 בנובמבר 2021.