La “Ley de Protección de Información Personal” entrará en vigor el 1 de noviembre de 2021.
Artículo 2 La información personal de las personas físicas está protegida por la ley, y ninguna organización o individuo podrá infringir los derechos de información personal de las personas físicas.
Artículo 3 Esta Ley se aplicará a las actividades que procesen información personal de personas físicas dentro del territorio de la República Popular China.
Bajo cualquiera de las siguientes circunstancias, esta Ley también se aplica a las actividades que procesan la información personal de ciudadanos chinos y personas físicas dentro de China:
(1) Para proporcionar productos o servicios a personas físicas dentro del territorio de China Para el propósito;
(2) Analizar y evaluar el comportamiento de las personas físicas chinas;
(3) Otras situaciones estipuladas por leyes y reglamentos administrativos.
Artículo 4 La información personal se refiere a diversos tipos de información relacionada con personas físicas identificadas o identificables registradas electrónicamente o por otros medios, excluida la información anónima.
El procesamiento de información personal incluye la recopilación, almacenamiento, uso, procesamiento, transmisión, suministro, divulgación y eliminación de información personal.
Artículo 5 La información personal seguirá los principios de licitud, equidad, necesidad y buena fe, y no será procesada de manera engañosa, engañosa o coercitiva.
Artículo 6 El procesamiento de información personal tendrá un propósito claro y razonable, estará directamente relacionado con el propósito del procesamiento y se llevará a cabo de una manera que tenga el menor impacto en los derechos e intereses personales. .
La recopilación de información personal debe tener fines de procesamiento, limitarse al alcance mínimo y no debe permitirse la recopilación excesiva de información personal.
Artículo 7 El procesamiento de información personal seguirá el principio de apertura y transparencia, divulgará las reglas de procesamiento de información personal y establecerá claramente el propósito, método y alcance del procesamiento.
Artículo 8 Se garantizará la calidad de la información personal al procesar la información personal y se evitarán los efectos adversos sobre los derechos e intereses personales causados por información personal inexacta e incompleta.
Artículo 9 Los procesadores de información personal serán responsables de sus actividades de procesamiento de información personal y tomarán las medidas necesarias para garantizar la seguridad de la información personal que procesan.
Artículo 10: Ninguna organización o individuo podrá recopilar, utilizar, procesar o transmitir ilegalmente información personal de otras personas; no podrá comprar, vender, proporcionar o filtrar ilegalmente información personal de otras personas; participar en el procesamiento de información personal que ponga en peligro la seguridad nacional y los intereses públicos.
Artículo 11: El Estado establece y mejora el sistema de protección de la información personal, previene y sanciona la infracción de los derechos e intereses de la información personal, fortalece la publicidad y educación sobre la protección de la información personal, y promueve la formación de participación conjunta de los gobierno, empresas, organizaciones sociales relevantes y el público en la protección de la información personal. Un buen ambiente para la protección de la información.
Artículo 12: El Estado participa activamente en la formulación de reglas internacionales para la protección de la información personal, promueve los intercambios y la cooperación internacionales en materia de protección de la información personal y promueve el reconocimiento mutuo de las reglas y estándares de protección de la información personal con otros países. regiones y organizaciones internacionales.
Capítulo 2 Reglas de procesamiento de información personal
Sección 1 Disposiciones generales
Artículo 13 Si se cumple una de las siguientes circunstancias, el procesador de información personal podrá procesar información personal :
(a) Obtener el consentimiento del individuo;
(2) Es necesario firmar y ejecutar un contrato en el que el individuo es parte, o es necesario cumplir con las normas y reglamentos laborales formulados de conformidad con la ley. El contrato colectivo firmado implementa la gestión de recursos humanos;
(3) Es necesario realizar deberes u obligaciones legales;
(4) En respuesta a emergencias de salud pública o en emergencias necesarias para proteger la vida, la salud y la seguridad de la propiedad de las personas físicas;
(5) Realizar reportajes informativos, supervisión de la opinión pública y otras actividades que sean beneficiosas al público, y procesar información personal dentro de un alcance razonable;
(6) De conformidad con las disposiciones de esta Ley, procesar información personal divulgada por individuos por iniciativa propia u otra información personal divulgada de conformidad con la ley dentro de un alcance razonable;
(7) Otras circunstancias estipuladas por las leyes y reglamentos administrativos.
De conformidad con otras disposiciones pertinentes de esta Ley, se debe obtener el consentimiento individual para el procesamiento de información personal, pero en las circunstancias especificadas en los puntos 2 a 7 del párrafo anterior, no se requiere el consentimiento individual.
Artículo 14 El tratamiento de información personal basado en el consentimiento individual se basará en el pleno conocimiento y el consentimiento voluntario y claro del individuo. Si las leyes y regulaciones administrativas estipulan que se debe obtener consentimiento personal o consentimiento por escrito para procesar información personal, dichas disposiciones prevalecerán.
Si el propósito, método o tipo de información personal cambia, se debe obtener nuevamente el consentimiento del individuo.
Artículo 15 El procesamiento de información personal se basa en el consentimiento individual, y los individuos tienen derecho a retirar su consentimiento. Los procesadores de información personal deben proporcionar formas convenientes de retirar su consentimiento.
Retirar el consentimiento personal no afectará la efectividad de las actividades de procesamiento de información personal basadas en el consentimiento personal antes de la retirada.
Artículo 16 Los procesadores de información personal no se negarán a proporcionar productos o servicios basándose en que las personas no estén de acuerdo con el procesamiento de su información personal o retiren su consentimiento. El procesamiento de información personal no es necesario para proporcionar productos o; servicios.
Artículo 17 Antes de procesar información personal, los manejadores de información personal deberán informar de manera veraz, precisa y completa a las personas de los siguientes asuntos de manera visible y en un lenguaje claro y comprensible:
( 1) Nombre e información de contacto del procesador de información personal;
(2) Propósito y método del procesamiento de información personal, tipos de información personal procesada y período de retención;
(3) Los métodos y procedimientos para que las personas ejerzan los derechos previstos en esta ley;
(4) Otros asuntos que deban ser notificados conforme a las leyes y reglamentos administrativos.
Si se modifican las materias señaladas en el párrafo anterior, se informará de los cambios al particular.
Si el procesador de información personal notifica los asuntos especificados en el párrafo 1 mediante la formulación de reglas de procesamiento de información personal, las reglas de procesamiento se harán públicas para facilitar su revisión y almacenamiento.
Artículo 18 El responsable del tratamiento de datos personales no informará a los particulares de las cuestiones previstas en el apartado 1 del artículo anterior si existen circunstancias que requieran confidencialidad o no se requiera notificación por leyes o reglamentos administrativos.
Si no se puede notificar al individuo a tiempo en una emergencia para proteger la vida, la salud y la seguridad de la propiedad de las personas físicas, el procesador de información personal deberá notificar al individuo de manera oportuna después de que se elimine la emergencia.
Artículo 19 Salvo disposición en contrario de las leyes y reglamentos administrativos, el período de conservación de los datos personales será el tiempo mínimo necesario para lograr el fin del tratamiento.
Artículo 20 Si dos o más procesadores de información personal acuerdan el propósito y el método de procesamiento de la información personal, acordarán sus respectivos derechos y obligaciones. Sin embargo, este Acuerdo no afecta el derecho de un individuo a solicitar a cualquier procesador de información personal que ejerza sus derechos bajo esta Ley.
Los procesadores de información personal * * * que procesen información personal e infrinjan los derechos e intereses de la información personal serán responsables solidariamente de acuerdo con la ley.
Artículo 21 Si un procesador de información personal encomienda a otros el procesamiento de información personal, deberá acordar con el administrador el propósito, período, métodos de procesamiento, tipos de información personal, medidas de protección, derechos y obligaciones de ambas partes. , etc., y deberá Supervisar las actividades de procesamiento de información personal.
El fideicomisario procesará información personal de acuerdo con el acuerdo y no procesará información personal más allá del propósito y método acordados. Si el contrato de encomienda no es efectivo, inválido, revocado o rescindido, el fiduciario deberá devolver la información personal; La información personal a la persona que procesa la información personal o la elimina no se conservará.
El fiduciario no confiará a otros el procesamiento de información personal sin el consentimiento del procesador de información personal.
Artículo 22 Si un procesador de información personal necesita transferir información personal debido a fusión, escisión, disolución, quiebra u otros motivos, deberá informar al destinatario individual del nombre o información de contacto. La parte receptora seguirá cumpliendo con sus obligaciones como procesador de información personal. Si el receptor cambia la finalidad y el método de tratamiento originales, deberá obtener nuevamente el consentimiento del interesado de conformidad con lo dispuesto en esta Ley.
Artículo 23 Si un procesador de información personal proporciona la información personal que procesa a otros procesadores de información personal, deberá informar al individuo del nombre del destinatario, la información de contacto, el propósito del procesamiento, el método de procesamiento y el tipo de información. y con el consentimiento por separado de ese individuo. La parte receptora procesará información personal dentro del alcance de los fines de procesamiento, métodos de procesamiento y tipos de información personal mencionados anteriormente. Si el receptor cambia la finalidad y el método de tratamiento originales, deberá obtener nuevamente el consentimiento del interesado de conformidad con lo dispuesto en esta Ley.
Artículo 24 Los procesadores de información personal utilizarán información personal para tomar decisiones automáticas y garantizarán la transparencia de las decisiones y la justicia e imparcialidad de los resultados, y no darán a las personas ventajas irrazonables en términos de precios de transacción y otros. condiciones de transacción.
Cuando se utilizan métodos automatizados de toma de decisiones para enviar información y marketing comercial a las personas, se deben proporcionar opciones que no estén dirigidas a sus características personales, o se debe proporcionar a las personas una forma conveniente de rechazarlas.
Cuando las decisiones que tienen un impacto significativo en los derechos e intereses personales se toman a través de la toma de decisiones automatizada, las personas tienen derecho a solicitar una explicación al procesador de información personal y tienen derecho a rechazar la información personal. procesador para tomar decisiones únicamente a través de la toma de decisiones automatizada.
Artículo 25 Los procesadores de información personal no divulgarán la información personal que procesan, excepto con el consentimiento por separado del individuo.
Artículo 26 La instalación de equipos de recolección de imágenes e identificación personal en lugares públicos será necesaria para mantener la seguridad de los lugares públicos, cumplir con las regulaciones nacionales pertinentes y colocar señales de advertencia obvias. Las imágenes personales y la información identificable recopiladas solo se pueden utilizar con el fin de mantener la seguridad pública y no se pueden utilizar para otros fines a menos que se obtenga el consentimiento del individuo.
Artículo 27 Los procesadores de información personal podrán procesar información personal divulgada por los propios individuos u otra información personal que haya sido divulgada legalmente dentro de un alcance razonable a menos que el individuo se niegue explícitamente; Si el procesamiento de información personal disponible públicamente por parte de un procesador de información personal tiene un impacto significativo en los derechos e intereses de un individuo, deberá obtener el consentimiento del individuo de conformidad con las disposiciones de esta Ley.
Sección 2 Reglas para el manejo de información personal confidencial
Artículo 28 La información personal confidencial se refiere a información que, una vez filtrada o utilizada ilegalmente, fácilmente conducirá a la infracción de la dignidad de una persona física o al daño. Información personal para seguridad personal y de propiedad, incluida identificación biométrica, creencias religiosas, identidades específicas, atención médica y de salud, cuentas financieras, paradero y otra información, así como información personal de menores de 14 años.
Los procesadores de información personal pueden procesar información personal sensible solo si existe un propósito específico y una necesidad suficiente, y se toman medidas de protección estrictas.
Artículo 29: Se debe obtener el consentimiento individual para el procesamiento de información personal sensible; si las leyes y reglamentos administrativos estipulan que se debe obtener el consentimiento por escrito para el procesamiento de información personal sensible, tales disposiciones prevalecerán.
Artículo 30 Al procesar información personal sensible, además de informar a las personas sobre los asuntos especificados en el párrafo 1 del artículo 17 de esta Ley, los procesadores de información personal también deben informar a las personas sobre la necesidad de procesar información personal sensible. y su incidencia en los derechos e intereses personales; no es necesario notificar a los particulares salvo lo dispuesto en esta ley;
Artículo 31 Al procesar datos personales de menores de catorce años, los encargados del tratamiento de datos personales deberán obtener el consentimiento de los padres u otros tutores del menor.
Los procesadores de información personal deben formular reglas especiales para el procesamiento de la información personal de menores de catorce años.
Artículo 32 Si las leyes y reglamentos administrativos estipulan que el procesamiento de información personal sensible requiere la obtención de licencias administrativas pertinentes u otras restricciones, dichas disposiciones prevalecerán.
Sección 3 Disposiciones Especiales sobre el Tratamiento de Información Personal por Agencias Estatales
Artículo 33 Esta Ley se aplicará a las actividades de las agencias estatales en el procesamiento de información personal si existen disposiciones especiales en ella; esta sección, se aplicará lo mismo que establece esta sección.
Artículo 34: Para cumplir con sus deberes legales, las agencias estatales procesarán la información personal de acuerdo con la autoridad y los procedimientos prescritos por las leyes y reglamentos administrativos, y no excederán el alcance y los límites necesarios para cumplir con sus deberes legales. .
Artículo 35: Los organismos estatales que manejen información personal para el desempeño de sus funciones legales deberán cumplir con sus obligaciones de divulgación de conformidad con lo dispuesto en esta ley. Existen circunstancias especificadas en el párrafo 1 del artículo 18 de esta Ley, o la notificación obstaculizará el desempeño de las funciones legales por parte de los organismos estatales.
Artículo 36 La información personal procesada por agencias estatales se almacenará dentro del territorio de la República Popular China; si realmente es necesario proporcionarla en el extranjero, se realizará una evaluación de seguridad. Las evaluaciones de seguridad pueden requerir apoyo y asistencia de las autoridades pertinentes.
Artículo 37: Cuando los organismos autorizados por las leyes y reglamentos con la función de gestionar los asuntos públicos desempeñen sus funciones estatutarias, se aplicarán las disposiciones de esta Ley sobre el tratamiento de datos personales por parte de organismos estatales.
Capítulo 3 Reglas para el suministro transfronterizo de información personal
Artículo 38 Si un procesador de información personal realmente necesita proporcionar información personal dentro o fuera de la República Popular China debido a necesidades comerciales , deberá cumplir con una de las siguientes condiciones:
(1) De conformidad con lo dispuesto en el artículo 40 de esta Ley, aprobar la evaluación de seguridad organizada por el departamento nacional de administración de información de la red;
(2) De acuerdo con el departamento nacional de gestión de información de la red, la certificación de protección de información personal será realizada por instituciones profesionales de acuerdo con las regulaciones del Ministerio;
(3) Firmar un contrato con el extranjero destinatario de conformidad con el contrato estándar formulado por el departamento nacional de ciberespacio para estipular los derechos y obligaciones de ambas partes;
(4) Otras condiciones estipuladas por leyes, reglamentos administrativos o departamentos nacionales de ciberseguridad e informatización.
Si los tratados o acuerdos internacionales celebrados o a los que se ha adherido la República Popular China estipulan las condiciones para proporcionar información personal dentro y fuera del territorio de la República Popular China, se podrán seguir dichas disposiciones.
Los procesadores de información personal tomarán las medidas necesarias para garantizar que las actividades de los destinatarios en el extranjero que procesan información personal cumplan con los estándares de protección de información personal estipulados en esta Ley.
Artículo 39 Si un procesador de información personal proporciona información personal a chinos o al extranjero, deberá informar al destinatario extranjero del nombre del individuo, información de contacto, propósito del procesamiento, método de procesamiento, tipo de información personal, y La manera y procedimiento mediante el cual los individuos pueden ejercer sus derechos bajo esta Ley y con el consentimiento por separado del individuo.
Artículo 40: Los operadores de infraestructura de información crítica y los procesadores de información personal que manejan la cantidad de información personal requerida por el departamento nacional de ciberseguridad e informatización almacenarán la información personal recopilada y generada dentro del territorio de la República Popular de China. . Si realmente es necesario proporcionarlo en el extranjero, debe pasar una evaluación de seguridad organizada por el departamento nacional de ciberespacio; si las leyes, los reglamentos administrativos y las disposiciones del departamento nacional de ciberespacio no requieren una evaluación de seguridad, esas disposiciones prevalecerán.
Artículo 41 Las autoridades competentes de la República Popular China, de conformidad con las leyes pertinentes y los tratados y acuerdos internacionales celebrados o a los que se haya adherido la República Popular China, o de conformidad con el principio de igualdad y reciprocidad, manejar solicitudes de almacenamiento proporcionadas por agencias judiciales o policiales extranjeras Solicitudes de información personal dentro de China. Los procesadores de información personal no proporcionarán información personal almacenada en el territorio de la República Popular China a agencias judiciales o policiales extranjeras sin la aprobación de las autoridades competentes de la República Popular China.
Artículo 42 Si cualquier organización o individuo extranjero participa en actividades de procesamiento de información personal que infringe los derechos de información personal del pueblo chino y de los ciudadanos chinos, o pone en peligro al pueblo chino y la seguridad nacional y los intereses públicos de China, el departamento nacional de ciberseguridad e informatización Se pueden incluir en la lista de quienes tienen restringido o prohibido proporcionar información personal, se anuncia y se pueden tomar medidas como restringir o prohibir el suministro de información personal.
Artículo 43 Si cualquier país o región adopta prohibiciones, restricciones u otras medidas similares discriminatorias contra la República Popular China en términos de protección de información personal, la República Popular China podrá, según la situación real, imponer restricciones en el país o región. Tomar medidas recíprocas.
Capítulo 4 Derechos individuales en las actividades de procesamiento de información personal
Artículo 44 Las personas tienen derecho a conocer y tomar decisiones sobre el procesamiento de su información personal, y tienen derecho a restringir o rechazar Otros procesan su información personal a menos que las leyes y reglamentos administrativos dispongan lo contrario.
Artículo 45: Las personas físicas tienen derecho a acceder y copiar sus datos personales de los encargados del tratamiento de datos personales, salvo las circunstancias señaladas en el artículo 18, numeral 1 y el artículo 35 de esta Ley;
Si un individuo solicita acceder o copiar su información personal, el procesador de información personal deberá proporcionarla de manera oportuna.
Si un individuo solicita la transferencia de información personal a un procesador de información personal designado por él o ella que cumpla con las condiciones estipuladas por el departamento nacional de ciberseguridad e informatización, el procesador de información personal deberá proporcionar un método de transferencia.
Artículo 46 Si una persona descubre que su información personal es inexacta o está incompleta, tiene derecho a solicitar al procesador de información personal que la corrija o complemente.
Si un individuo solicita corregir o complementar información personal, el responsable del tratamiento de la información personal deberá verificar la información personal y corregirla y complementarla de manera oportuna.
Artículo 47 Bajo cualquiera de las siguientes circunstancias, el procesador de información personal debe eliminar proactivamente la información personal; si el procesador de información personal no la elimina, el individuo tiene derecho a solicitar la eliminación:
(1) El propósito del procesamiento se ha logrado, no se puede lograr o ya no es necesario (2) El procesador de información personal deja de proporcionar productos o servicios, o el período de almacenamiento ha expirado;
(3) El individuo retira su consentimiento;
(4) El procesador de información personal viola leyes, regulaciones administrativas o viola el acuerdo para procesar información personal;
(5) Legal, administrativo Otras circunstancias que determine la normativa.
Si el período de retención estipulado en las leyes y reglamentos administrativos no ha expirado, o es técnicamente difícil eliminar la información personal, el procesador de la información personal dejará de procesarla, excepto para almacenarla y tomar las medidas de protección de seguridad necesarias.
Artículo 48: Las personas físicas tienen derecho a solicitar a los encargados del tratamiento de datos personales que les expliquen sus normas de tratamiento de datos personales.
Artículo 49 Cuando una persona física fallezca, sus familiares cercanos podrán ejercer el derecho de acceder, copiar, rectificar o suprimir la información personal relevante del fallecido para sus intereses legítimos y legítimos. A menos que el fallecido tuviera otros planes antes de su muerte.
Artículo 50 Los procesadores de información personal deben establecer un mecanismo conveniente para aceptar y procesar las solicitudes de los individuos para ejercer sus derechos. Si se rechaza la solicitud de un particular para ejercer sus derechos, deberán expresarse los motivos.
Si el encargado del tratamiento de la información personal rechaza la solicitud del individuo de ejercer sus derechos, éste podrá presentar una demanda ante el Tribunal Popular de conformidad con la ley.