Se promulgó por primera vez la "Ley de Protección de Información Personal de la República Popular China"
(Aprobada en la 30.ª reunión del Comité Permanente del 13.º Congreso Nacional Popular de la APN el 20 de agosto de 2021)
Mu Lu
Capítulo 1 Disposiciones Generales
Capítulo 2 Reglas de Procesamiento de Información Personal
Sección 1 Disposiciones Generales
Sección 2 Reglas para el Manejo de Información Personal Sensible Información
p>Sección 3 Disposiciones especiales sobre el procesamiento de información personal por parte de agencias estatales
Capítulo 3 Reglas para el suministro transfronterizo de información personal
Capítulo 4 Derechos personales en las actividades de procesamiento de información personal
Capítulo 5 Obligaciones de los procesadores de información personal
Capítulo 6 Departamentos que desempeñan responsabilidades de protección de información personal
Capítulo 7 Responsabilidades legales
Capítulo 8 Disposiciones Complementarias
Capítulo 1 Disposiciones Generales
Artículo 1 Con el fin de proteger los derechos e intereses de la información personal, regular las actividades de procesamiento de información personal y promover el uso razonable uso de información personal, esta disposición se formula de conformidad con la Ley Constitucional.
Artículo 2 La información personal de las personas físicas está protegida por la ley, y ninguna organización o individuo podrá infringir los derechos de información personal de las personas físicas.
Artículo 3 Esta Ley se aplica al procesamiento de información personal de personas físicas dentro del territorio de la República Popular China.
Esta Ley también se aplica al procesamiento de información personal de ciudadanos chinos y personas físicas dentro de China fuera de China bajo cualquiera de las siguientes circunstancias:
(1) Para proporcionar productos a personas físicas dentro de China o con el propósito de servir;
(2) Analizar y evaluar el comportamiento de personas físicas chinas;
(3) Otras situaciones estipuladas por leyes y regulaciones administrativas.
Artículo 4 La información personal se refiere a diversos tipos de información relacionada con personas físicas reconocidas o identificables registradas electrónicamente o por otros medios, excluida la información anónima.
El procesamiento de información personal incluye la recopilación, almacenamiento, uso, procesamiento, transmisión, suministro, divulgación y eliminación de información personal.
Artículo 5 La información personal seguirá los principios de legalidad, equidad, necesidad y buena fe, y no será procesada de manera engañosa, engañosa o coercitiva.
Artículo 6 El propósito del procesamiento de información personal debe ser claro, razonable y directamente relacionado con el propósito del procesamiento, y se deben utilizar métodos que tengan el menor impacto en los derechos e intereses personales.
La recopilación de información personal con fines de procesamiento debe limitarse al mínimo y no se permite la recopilación excesiva de información personal.
Artículo 7 El procesamiento de información personal seguirá el principio de apertura y transparencia, divulgará las reglas de procesamiento de información personal y establecerá claramente el propósito, método y alcance del procesamiento.
Artículo 8 Al procesar información personal, se debe garantizar la calidad de la información personal para evitar cualquier impacto adverso en los derechos e intereses personales debido a información personal inexacta o incompleta.
Artículo 9 Los procesadores de información personal serán responsables de sus actividades de procesamiento de información personal y tomarán las medidas necesarias para garantizar la seguridad de la información personal que procesan.
Artículo 10: Ninguna organización o individuo podrá recopilar, utilizar, procesar o transmitir ilegalmente información personal de otras personas; no podrá comprar, vender, proporcionar o filtrar ilegalmente información personal de otras personas; participar en el procesamiento de información personal que ponga en peligro la seguridad nacional y los intereses públicos.
Artículo 11: El estado establece y mejora el sistema de protección de la información personal, previene y sanciona las infracciones a los derechos de la información personal, fortalece la publicidad y educación sobre la protección de la información personal y promueve la formación de participación conjunta del gobierno. empresas, organizaciones sociales relevantes y el público en la protección de la información personal. Un buen ambiente para la protección de la información.
Artículo 12: El Estado participa activamente en la formulación de reglas internacionales para la protección de la información personal, promueve los intercambios y la cooperación internacionales en materia de protección de la información personal y promueve el reconocimiento mutuo de las reglas y estándares de protección de la información personal con otros países. regiones y organizaciones internacionales.
Capítulo 2 Reglas de procesamiento de información personal
Sección 1 Disposiciones generales
Artículo 13 Los procesadores de información personal deberán cumplir con lo siguiente antes de procesar información personal Escenario uno:
(a) Obtener el consentimiento individual;
(2) Celebrar y ejecutar un contrato con un individuo como parte, o cuando su cumplimiento sea necesario.
Artículo 14 El tratamiento de datos personales sobre la base del consentimiento individual requerirá que el individuo manifieste su consentimiento de forma voluntaria y plenamente informada. Si las leyes y reglamentos administrativos estipulan que el procesamiento de información personal requiere el consentimiento del individuo o un consentimiento por escrito, dichas disposiciones prevalecerán.
Si el propósito, método o tipo de información personal cambia, se debe obtener nuevamente el consentimiento del individuo.
Artículo 15 El procesamiento de información personal se basa en el consentimiento individual, y los individuos tienen derecho a retirar el consentimiento. Los procesadores de información personal deben proporcionar formas convenientes de retirar su consentimiento.
La retirada del consentimiento de una persona no afectará la eficacia de las actividades de procesamiento de información personal que se hayan llevado a cabo con base en el consentimiento de la persona antes de la retirada.
Artículo 16 Los procesadores de información personal no se negarán a proporcionar productos o servicios basándose en que las personas no estén de acuerdo con el procesamiento de su información personal o retiren su consentimiento; sin embargo, para proporcionar productos o servicios, La información personal debe ser procesada.
Artículo 17 Antes de procesar información personal, los procesadores de información personal deberán informar a las personas de los siguientes asuntos de manera visible y en un lenguaje claro y comprensible:
(a) Procesamiento de información personal El nombre e información de contacto de la persona;
(2) El propósito y método del procesamiento de la información personal, el tipo de información personal procesada y el período de retención;
(3) Ejercicio personal estipulado en esta ley Métodos y procedimientos para la obtención de derechos;
(4) Las demás materias que deban notificarse conforme a las leyes y reglamentos administrativos.
Si se modifica alguna de las materias especificadas en el párrafo anterior, se informará al particular de los cambios.
Si el procesador de información personal notifica los asuntos especificados en el párrafo 1 mediante la formulación de reglas de procesamiento de información personal, las reglas de procesamiento se harán públicas para facilitar su revisión y almacenamiento.
Artículo 18 Cuando un procesador de información personal maneje información personal y necesite mantenerla confidencial o no informarla de conformidad con las leyes y reglamentos administrativos, no podrá informar a las personas sobre los asuntos especificados en el párrafo 1 del artículo anterior.
Si es imposible notificar a las personas de manera oportuna en una emergencia para proteger la vida, la salud y la seguridad de la propiedad de las personas físicas, el procesador de información personal deberá notificar a la persona de manera oportuna después de la situación de emergencia. es eliminado.
Artículo 19 Salvo disposición en contrario de las leyes y reglamentos administrativos, el período de conservación de los datos personales será el tiempo mínimo necesario para lograr el fin del tratamiento.
Artículo 20 Si dos o más procesadores de información personal acuerdan el propósito y el método de procesamiento de la información personal, acordarán sus respectivos derechos y obligaciones. Sin embargo, este Acuerdo no afecta el derecho de un individuo a solicitar a cualquier procesador de información personal que ejerza sus derechos bajo esta Ley.
Los procesadores de información personal * * * que procesen información personal e infrinjan los derechos e intereses de la información personal serán responsables solidariamente de acuerdo con la ley.
Artículo 21 Si un procesador de información personal encomienda a otros el procesamiento de información personal, deberá acordar con el administrador el propósito, período, métodos de procesamiento, tipos de información personal, medidas de protección, derechos y obligaciones de ambas partes. , etc., y deberá Supervisar las actividades de procesamiento de información personal.
El fideicomisario procesará información personal de acuerdo con el acuerdo y no procesará información personal más allá del propósito y método acordados. Si el contrato de encomienda no es efectivo, inválido, revocado o rescindido, el fiduciario deberá devolver la información personal; La información personal a la persona que procesa la información personal o la elimina no se conservará.
El fiduciario no confiará a otros el procesamiento de información personal sin el consentimiento del procesador de información personal.
Artículo 22 Si un procesador de información personal necesita transferir información personal debido a fusión, escisión, disolución, quiebra u otros motivos, deberá informar al destinatario individual del nombre o información de contacto. La parte receptora seguirá cumpliendo con sus obligaciones como procesador de información personal. Si el receptor cambia la finalidad y el método de tratamiento originales, deberá obtener nuevamente el consentimiento del interesado de conformidad con lo dispuesto en esta Ley.
Artículo 23 Si un procesador de información personal proporciona la información personal que procesa a otros procesadores de información personal, deberá informar al individuo del nombre del destinatario, la información de contacto, el propósito del procesamiento, el método de procesamiento y el tipo de información. y con el consentimiento por separado de ese individuo. La parte receptora procesará información personal dentro del alcance de los fines de procesamiento, métodos de procesamiento y tipos de información personal mencionados anteriormente. Si el receptor cambia la finalidad y el método de tratamiento originales, deberá obtener nuevamente el consentimiento del interesado de conformidad con lo dispuesto en esta Ley.
Artículo 24 Los procesadores de información personal utilizarán información personal para tomar decisiones automáticas y garantizarán la transparencia de las decisiones y la justicia e imparcialidad de los resultados, y no darán a las personas ventajas irrazonables en términos de precios de transacción y otros. condiciones de transacción.
Cuando se utilizan métodos automatizados de toma de decisiones para enviar información y marketing comercial a las personas, se deben proporcionar opciones que no estén dirigidas a sus características personales, o se debe brindar a las personas una forma conveniente de rechazarlas.
Cuando las decisiones que tienen un impacto significativo en los derechos e intereses personales se toman a través de la toma de decisiones automatizada, las personas tienen derecho a solicitar una explicación al procesador de información personal y tienen derecho a rechazar la información personal. procesador para tomar decisiones únicamente a través de la toma de decisiones automatizada.
Artículo 25 Los procesadores de información personal no divulgarán la información personal que procesan, excepto con el consentimiento por separado del individuo.
Artículo 26 La instalación de equipos de recolección de imágenes e identificación personal en lugares públicos será necesaria para mantener la seguridad de los lugares públicos, cumplir con las regulaciones nacionales pertinentes y colocar señales de advertencia obvias. Las imágenes personales y la información identificable recopiladas solo pueden usarse con el fin de mantener la seguridad pública y no pueden usarse para otros fines a menos que se obtenga el consentimiento del individuo.
Artículo 27 Los procesadores de información personal podrán procesar información personal divulgada por los propios individuos u otra información personal que haya sido divulgada legalmente dentro de un alcance razonable a menos que el individuo se niegue explícitamente; Si el procesamiento de información personal disponible públicamente por parte de un procesador de información personal tiene un impacto significativo en los derechos e intereses de un individuo, deberá obtener el consentimiento del individuo de conformidad con las disposiciones de esta Ley.
Sección 2 Reglas para el manejo de información personal sensible
Artículo 28 La información personal sensible se refiere a información que, una vez filtrada o utilizada ilegalmente, fácilmente conducirá a la infracción de la dignidad humana de una persona física o Dañar Información personal para la seguridad personal y de la propiedad, incluida la identificación biométrica, creencias religiosas, identidades específicas, atención médica y de salud, cuentas financieras, paradero y otra información, así como información personal de menores de 14 años.
Los procesadores de información personal pueden procesar información personal sensible solo si existe un propósito específico y una necesidad suficiente, y se toman medidas de protección estrictas.
Artículo 29: Se debe obtener el consentimiento individual para el procesamiento de información personal sensible; si las leyes y reglamentos administrativos estipulan que se debe obtener el consentimiento por escrito para el procesamiento de información personal sensible, tales disposiciones prevalecerán.
Artículo 30 Al procesar información personal sensible, además de informar a las personas sobre los asuntos especificados en el párrafo 1 del artículo 17 de esta Ley, los procesadores de información personal también deben informar a las personas sobre la necesidad de procesar información personal sensible. y la afectación a los derechos e intereses personales; no será necesario notificar a los particulares salvo lo dispuesto en esta ley;
Artículo 31 Al procesar datos personales de menores de catorce años, los encargados del tratamiento de datos personales deberán obtener el consentimiento de los padres u otros tutores del menor.
Los procesadores de información personal deben formular reglas especiales para el procesamiento de la información personal de menores de catorce años.
Artículo 32 Si las leyes y reglamentos administrativos estipulan que el procesamiento de información personal sensible requiere la obtención de licencias administrativas pertinentes u otras restricciones, dichas disposiciones prevalecerán.
Sección 3 Disposiciones Especiales sobre el Tratamiento de Información Personal por parte de Agencias Estatales
Artículo 33 Esta Ley se aplicará a las actividades de las agencias estatales en el procesamiento de información personal si existen disposiciones especiales en ella; esta sección, se aplicará lo mismo que establece esta sección.
Artículo 34: Para cumplir con sus deberes legales, las agencias estatales procesarán la información personal de acuerdo con las facultades y procedimientos especificados en las leyes y reglamentos administrativos, y no excederán el alcance y los límites necesarios para cumplir con sus deberes legales. .
Artículo 35: Los organismos estatales que manejen información personal para el desempeño de sus funciones legales deberán cumplir con sus obligaciones de divulgación de conformidad con lo dispuesto en esta ley. Existen circunstancias especificadas en el párrafo 1 del artículo 18 de esta Ley, o la notificación obstaculizará el desempeño de las funciones legales por parte de los organismos estatales.
Artículo 36 La información personal procesada por agencias estatales se almacenará dentro del territorio de la República Popular China; si realmente es necesario proporcionarla en el extranjero, se realizará una evaluación de seguridad. Las evaluaciones de seguridad pueden requerir apoyo y asistencia de las autoridades pertinentes.
Artículo 37: Cuando los organismos autorizados por las leyes y reglamentos con la función de gestionar los asuntos públicos desempeñen sus funciones estatutarias, se aplicarán las disposiciones de esta Ley sobre el tratamiento de datos personales por parte de organismos estatales.
Capítulo 3 Reglas para el suministro transfronterizo de información personal
Artículo 38 Si un procesador de información personal realmente necesita proporcionar información personal dentro o fuera de la República Popular China debido a necesidades comerciales , deberá cumplir con una de las siguientes condiciones:
(1) Pasar la evaluación de seguridad organizada por la autoridad nacional de información de redes de conformidad con lo dispuesto en el artículo 40 de esta Ley;
(2) De acuerdo con la administración de información de la red nacional, la certificación de protección de información personal será realizada por instituciones profesionales de acuerdo con las regulaciones del Ministerio;
(3) Firmar un contrato con el destinatario extranjero de acuerdo con el contrato estándar formulado por el departamento nacional de ciberespacio para estipular los derechos y obligaciones de ambas partes;
(4) Otras condiciones estipuladas por leyes, reglamentos administrativos o departamentos nacionales de ciberseguridad e informatización.
Si los tratados o acuerdos internacionales celebrados o a los que se ha adherido la República Popular China estipulan las condiciones para proporcionar información personal dentro y fuera del territorio de la República Popular China, se podrán seguir dichas disposiciones.
Los procesadores de información personal tomarán las medidas necesarias para garantizar que las actividades de los destinatarios en el extranjero que procesan información personal cumplan con los estándares de protección de información personal estipulados en esta Ley.
Artículo 39 Si un procesador de información personal proporciona información personal a chinos o al extranjero, informará al destinatario extranjero del nombre del individuo, información de contacto, propósito del procesamiento, método de procesamiento, tipo de información personal, y La manera y procedimiento mediante el cual los individuos pueden ejercer sus derechos bajo esta Ley y con el consentimiento por separado del individuo.
Artículo 40: Los operadores de infraestructura de información crítica y los procesadores de información personal que manejan la cantidad de información personal requerida por el departamento nacional de ciberseguridad e informatización almacenarán la información personal recopilada y generada dentro del territorio de la República Popular de China. . Si realmente es necesario proporcionarlo en el extranjero, debe pasar una evaluación de seguridad organizada por el departamento nacional de ciberespacio; si las leyes, los reglamentos administrativos y las disposiciones del departamento nacional de ciberespacio no requieren una evaluación de seguridad, esas disposiciones prevalecerán.
Artículo 41 Las autoridades competentes de la República Popular China, de conformidad con las leyes pertinentes y los tratados y acuerdos internacionales celebrados o a los que se haya adherido la República Popular China, o de conformidad con el principio de igualdad y reciprocidad, manejar solicitudes de almacenamiento proporcionadas por agencias judiciales o policiales extranjeras Solicitudes de información personal dentro de China. Los procesadores de información personal no proporcionarán información personal almacenada en el territorio de la República Popular China a agencias judiciales o policiales extranjeras sin la aprobación de las autoridades competentes de la República Popular China.
Artículo 42 Si cualquier organización o individuo extranjero participa en actividades de procesamiento de información personal que infringe los derechos de información personal del pueblo chino y de los ciudadanos chinos, o pone en peligro al pueblo chino y la seguridad nacional y los intereses públicos de China, el departamento nacional de ciberseguridad e informatización Se pueden incluir en la lista de quienes tienen restringido o prohibido proporcionar información personal, se anuncia y se pueden tomar medidas como restringir o prohibir el suministro de información personal.
Artículo 43 Si cualquier país o región adopta prohibiciones, restricciones u otras medidas similares discriminatorias contra la República Popular China en términos de protección de información personal, la República Popular China podrá, según la situación real, imponer restricciones en el país o región. Tomar medidas recíprocas.
Capítulo 4 Derechos individuales en las actividades de procesamiento de información personal
Artículo 44 Las personas tienen derecho a conocer y tomar decisiones sobre el procesamiento de su información personal, y tienen derecho a restringir o rechazar Otros procesan su información personal a menos que las leyes y reglamentos administrativos dispongan lo contrario.
Artículo 45: Las personas físicas tienen derecho a acceder y copiar sus datos personales de los encargados del tratamiento de datos personales, salvo las circunstancias señaladas en el artículo 18, numeral 1 y el artículo 35 de esta Ley;
Si un individuo solicita acceder o copiar su información personal, el procesador de información personal deberá proporcionarla de manera oportuna.
Si un individuo solicita la transferencia de información personal a un procesador de información personal designado por él o ella que cumpla con las condiciones especificadas por el departamento nacional de ciberseguridad e informatización, el procesador de información personal deberá proporcionar un método de transferencia.
Artículo 46 Si una persona descubre que su información personal es inexacta o está incompleta, tiene derecho a solicitar al procesador de información personal que la corrija o complemente.
Si un individuo solicita corregir o complementar información personal, el responsable del tratamiento de la información personal deberá verificar la información personal y corregirla y complementarla de manera oportuna.
Artículo 47 Bajo cualquiera de las siguientes circunstancias, el procesador de información personal debe eliminar proactivamente la información personal, si el procesador de información personal no la elimina, el individuo tiene derecho a solicitar la eliminación:
(1) El propósito del procesamiento se ha logrado, no se puede lograr o ya no es necesario para lograr el propósito del procesamiento;
(2) El procesador de información personal deja de proporcionar productos o servicios, o el período de almacenamiento ha expirado;
(3) El individuo retira su consentimiento;
(4) El procesador de información personal viola leyes, regulaciones administrativas o viola el acuerdo para procesar información personal;
(5) Legales, administrativas Otras circunstancias que reglamentariamente se determinen.
Si el período de retención estipulado en las leyes y reglamentos administrativos no ha expirado, o es técnicamente difícil eliminar la información personal, el procesador de la información personal dejará de procesarla, excepto para almacenarla y tomar las medidas de protección de seguridad necesarias.
Artículo 48: Las personas físicas tienen derecho a solicitar a los encargados del tratamiento de datos personales que les expliquen sus normas de tratamiento de datos personales.
Artículo 49: Cuando una persona natural fallece, sus familiares cercanos podrán ejercer el derecho de acceder, copiar, rectificar o suprimir la información personal relacionada con la causante para sus intereses legítimos y legítimos. A menos que el fallecido tuviera otros planes antes de su muerte.
Artículo 50 Los procesadores de información personal deben establecer un mecanismo conveniente para aceptar y procesar las solicitudes de los individuos para ejercer sus derechos. Si se rechaza la solicitud de un particular para ejercer sus derechos, deberán expresarse los motivos.
Si el encargado del tratamiento de la información personal rechaza la solicitud del individuo de ejercer sus derechos, éste podrá presentar una demanda ante el Tribunal Popular de conformidad con la ley.
Capítulo 5 Obligaciones de los Procesadores de Información Personal
Artículo 51 Los procesadores de información personal procesarán la información personal con base en el propósito, el método de procesamiento, el tipo y el impacto en los derechos e intereses personales y posibles. riesgos de seguridad, se tomarán las siguientes medidas para garantizar que las actividades de procesamiento de información personal cumplan con las leyes y regulaciones administrativas, y para evitar que la información personal se obtenga, se filtre, se altere y se pierda sin autorización:
( 1) Desarrollar sistemas de gestión internos y procedimientos operativos;
(2) Implementar la gestión clasificada de información personal;
(3) Adoptar cifrado, desmarcación y otras medidas técnicas de seguridad adecuadas;
(4) Determinar razonablemente la autoridad operativa para el procesamiento de información personal y llevar a cabo educación y capacitación en seguridad para los empleados de manera regular;
(5) Formular y organizar la implementación de medidas de emergencia. planes para incidentes de seguridad de la información personal;
(6) Otras medidas prescritas por las leyes y reglamentos administrativos.
Artículo 52: Los encargados del procesamiento de información personal que manejen la cantidad de información personal requerida por el departamento nacional de ciberseguridad e informatización designarán un responsable de protección de la información personal, quien será responsable de supervisar las actividades de procesamiento de información personal y de protección. medidas tomadas.
Los procesadores de información personal deberán revelar la información de contacto de la persona a cargo de la protección de la información personal y enviar el nombre y la información de contacto de la persona a cargo de la protección de la información personal al departamento que desempeña las responsabilidades de protección de la información personal. .
Artículo 53 Los procesadores de información personal nacionales y extranjeros, según lo especificado en el párrafo 2 del artículo 3 de esta Ley, establecerán agencias especializadas o representantes designados dentro del país para manejar asuntos de protección de información personal y presentarlos a las agencias o representantes pertinentes. nombre, información de contacto, etc. Departamentos que desempeñan responsabilidades de protección de información personal.
Artículo 54 Los procesadores de información personal deberán realizar periódicamente auditorías de cumplimiento para determinar si su procesamiento de información personal cumple con las leyes y regulaciones administrativas.
Artículo 55 Si se produce alguna de las siguientes circunstancias, el procesador de información personal deberá realizar una evaluación de impacto sobre la protección de la información personal con anticipación y registrar la situación del procesamiento:
(1) Procesamiento de información sensible Información personal;
(2) Usar información personal para la toma de decisiones automatizada;
(3) Encomendar el procesamiento de información personal, proporcionar información personal a otros procesadores de información personal, y filtración de información personal;
(4) Proporcionar información personal en el extranjero;
(5) Otras actividades de procesamiento de información personal que tienen un impacto significativo en los derechos e intereses personales.
Artículo 56 La evaluación del impacto de la protección de la información personal incluirá los siguientes contenidos:
(1) Si el propósito y el método de procesamiento de la información personal son legales, justos y necesarios;
(2) Impacto en los derechos personales y riesgos de seguridad;
(3) Si las medidas de protección tomadas son legales, efectivas y proporcionales al grado de riesgo.
Los informes de evaluación del impacto de la protección de la información personal y los registros de procesamiento deben conservarse durante al menos tres años.
Artículo 57 Si se filtra, manipula o pierde información personal, el procesador de información personal deberá tomar medidas correctivas de inmediato y notificar a los departamentos y personas que desempeñan responsabilidades de protección de información personal. La notificación debe incluir el siguiente contenido:
(1) Tipos, causas y posibles daños de la filtración, manipulación y pérdida de información personal;
(2) Soluciones adoptadas por el personal procesador de información Medidas y medidas que los individuos pueden tomar para reducir el daño;
(3) Información de contacto del procesador de información personal.
Si las medidas tomadas por el procesador de información personal pueden evitar efectivamente el daño causado por la fuga, manipulación y pérdida de información, el procesador de información personal no necesita notificar al individuo si el departamento que realiza la protección de la información personal; responsabilidades cree que se puede causar daño, El derecho a exigir que los procesadores de información personal notifiquen a las personas.
Artículo 58 Los encargados del tratamiento de información personal que presten importantes servicios de plataformas de Internet, tengan un gran número de usuarios y tengan modalidades de negocio complejas, deberán cumplir las siguientes obligaciones:
(1) Establecidas de conformidad con las regulaciones nacionales Mejorar el sistema de cumplimiento de la protección de la información personal y establecer una agencia independiente compuesta principalmente por miembros externos para supervisar el trabajo de protección de la información personal;
(2) Seguir los principios de apertura, justicia e imparcialidad, formular reglas de la plataforma , y aclarar las reglas internas de la plataforma Estándares para que los proveedores de productos o servicios procesen información personal y sus obligaciones de proteger la información personal;
(3) Dejar de brindar servicios a proveedores de productos o servicios en plataformas de procesamiento de información personal que violen gravemente leyes y reglamentos administrativos;
(4) Publicar periódicamente informes de responsabilidad social sobre protección de datos personales y aceptar la supervisión social.
Artículo 59 Cuando un fideicomisario acepte el encargo de procesar información personal, deberá tomar las medidas necesarias para garantizar la seguridad de la información personal procesada y ayudar en el procesamiento de la información personal de conformidad con las disposiciones de esta Ley y las leyes y reglamentos administrativos pertinentes cumplan con sus obligaciones conforme a esta ley.
Capítulo 6 Departamentos que Desempeñan Responsabilidades de Protección de Información Personal
Artículo 60: El departamento nacional de ciberseguridad e informatización es responsable de coordinar la protección de la información personal y las labores de supervisión y gestión relacionadas. Los departamentos pertinentes del Consejo de Estado son responsables de la protección, supervisión y gestión de la información personal dentro del alcance de sus respectivas responsabilidades y de conformidad con esta Ley y las leyes y reglamentos administrativos pertinentes.
La protección de la información personal y las responsabilidades de supervisión y gestión de los departamentos pertinentes de los gobiernos populares locales a nivel de condado o superior se determinan de acuerdo con las regulaciones nacionales pertinentes.
Los departamentos especificados en los dos primeros párrafos se denominan colectivamente departamentos que desempeñan responsabilidades de protección de la información personal.
Artículo 61: Los departamentos que desempeñan responsabilidades de protección de información personal deberán desempeñar las siguientes responsabilidades de protección de información personal:
(1) Realizar publicidad y educación sobre protección de información personal, orientar y supervisar el procesamiento de información personal Para llevar a cabo trabajos de protección de información personal;
(2) Aceptar y manejar quejas e informes relacionados con la protección de información personal;
(3) Organizar la evaluación de la protección de información personal utilizar procedimientos, etc., y publicar los resultados de la evaluación;
(4) Investigar y abordar actividades ilegales de procesamiento de información personal;
(5) Otras responsabilidades prescritas por las leyes y reglamentos administrativos .
Artículo 62: El departamento nacional de ciberseguridad e informatización deberá, de conformidad con esta Ley, coordinar con los departamentos correspondientes para promover las siguientes labores de protección de la información personal:
(1) Formular normas específicas y estándares para la protección de la información personal;
(2) Formular reglas y estándares especiales para la protección de la información personal para pequeños procesadores de información personal, procesamiento de información personal sensible y nuevas tecnologías y aplicaciones como el reconocimiento facial y la tecnología artificial. inteligencia;
(3) Apoyar la investigación, el desarrollo y la promoción de tecnología de autenticación electrónica segura y conveniente, y promover la construcción de servicios de autenticación de identidad en línea;
(4) Promover la construcción de un sistema de servicio socializado para la protección de la información personal, y apoyar a las instituciones relevantes en la realización de servicios de evaluación y certificación de la protección de la información personal;
(5) Mejorar el mecanismo de quejas y reportes sobre la protección de la información personal.
Artículo 63: Los departamentos que desempeñan responsabilidades de protección de información personal podrán tomar las siguientes medidas para cumplir con sus responsabilidades de protección de información personal:
(1) Consulta de las partes relevantes e investigación relacionada con el procesamiento de información personal circunstancias de las actividades;
(2) Revisar y copiar contratos, registros, libros de cuentas y otros materiales relevantes relacionados con las actividades de procesamiento de información personal de las partes;
(3) Información personal sospechosa de violar la ley Realizar inspecciones e investigaciones in situ de las actividades de procesamiento;
(4) Inspeccionar los equipos y elementos relacionados con las actividades de procesamiento de información personal en busca de equipos y elementos que se demuestre que se utilizan para información personal ilegal; actividades de procesamiento, un informe escrito con la aprobación del responsable principal del departamento, puede ser sellado o detenido.
Los departamentos que desempeñan responsabilidades de protección de información personal deberán desempeñar sus funciones de acuerdo con la ley, y las partes interesadas brindarán asistencia y cooperación y no se negarán ni obstruirán.
Artículo 64: Si el departamento que desempeña responsabilidades de protección de información personal descubre que existen riesgos importantes en las actividades de procesamiento de información personal o ocurre un incidente de seguridad de la información personal, podrá entrevistar al representante legal del procesador de información personal de conformidad con la autoridad y los procedimientos prescritos, o exigir que los procesadores de información personal confíen a una organización profesional la realización de auditorías de cumplimiento de sus actividades de procesamiento de información personal. Los procesadores de información personal deben tomar medidas para eliminar los peligros ocultos según sea necesario.
Si el departamento que desempeña las responsabilidades de protección de la información personal descubre que se sospecha que el procesamiento ilegal de información personal comete un delito, lo transferirá de inmediato a la agencia de seguridad pública para que lo maneje de acuerdo con la ley.
Artículo 65 Cualquier organización o individuo tiene derecho a quejarse y denunciar actividades ilegales de procesamiento de información personal al departamento que desempeña funciones de protección de información personal. El departamento que recibe una queja o informe lo manejará con prontitud de acuerdo con la ley y notificará al denunciante o denunciante sobre los resultados del manejo.
Los departamentos que desempeñan responsabilidades de protección de información personal deben publicar información de contacto para aceptar quejas e informes.
Capítulo 7 Responsabilidades Legales
Artículo 66: Quien maneje datos personales en violación de lo dispuesto en esta Ley, o incumpla con las obligaciones de protección de datos personales previstas en esta Ley, deberá ser responsable de la protección de la información personal, el departamento responsable ordenará correcciones, emitirá advertencias, confiscará ganancias ilegales y ordenará la suspensión o terminación de servicios por procesamiento ilegal de información personal y aquellos que se nieguen a realizar correcciones serán multados con un millón de yuanes; ; la persona directamente responsable a cargo y otro personal directamente responsable serán multados con 1 millón de yuanes. Se impondrá una multa de no menos de 10.000 yuanes pero no más de 100.000 yuanes.
Si hay un acto ilegal especificado en el párrafo anterior y las circunstancias son graves, el departamento que desempeña responsabilidades de protección de información personal a nivel provincial o superior ordenará la corrección, confiscará las ganancias ilegales e impondrá una multa. multa de no más de 50 millones de yuanes o una facturación de 5 yuanes en el año anterior%, y se le puede ordenar que suspenda el negocio o suspenda el negocio para su rectificación, y notifique a los departamentos competentes pertinentes para que revoquen las licencias comerciales pertinentes o revoquen las licencias comerciales; la persona directamente responsable a cargo y otro personal directamente responsable serán multados con no menos de 100.000 yuanes pero no más de 1 millón de yuanes, y se podrá decidir prohibirles desempeñarse como directores, supervisores, altos directivos y personas a cargo de personal. protección de la información de las empresas relevantes dentro de un cierto período de tiempo.
Artículo 67 Los actos ilícitos previstos en esta Ley deberán registrarse en los expedientes de crédito y hacerse públicos de conformidad con lo dispuesto en las leyes y reglamentos administrativos correspondientes.
Artículo 68 Si un organismo estatal incumple con sus obligaciones de protección de datos personales previstas en esta Ley, su organismo superior o el departamento que desempeñe las responsabilidades de protección de datos personales le ordenará que realice las correcciones al responsable directo en; Los encargados y demás personas directamente responsables serán ordenados a realizar correcciones. El personal responsable será sancionado de conformidad con la ley.
Si el personal del departamento que desempeña tareas de protección de información personal descuida sus deberes, abusa de su poder, incurre en malas prácticas para beneficio personal, y esto no constituye un delito, será sancionado de acuerdo con la ley.
La responsabilidad por los daños especificados en el párrafo anterior se determinará con base en las pérdidas sufridas por el individuo o los beneficios obtenidos por el procesador de información personal si es difícil determinar las pérdidas sufridas por el individuo y; los beneficios obtenidos por el procesador de información personal, se determinarán con base en las pérdidas sufridas por el individuo y los beneficios obtenidos por el procesador de información personal. El monto de la compensación se determinará con base en las circunstancias reales.
Artículo 70: Si un encargado del tratamiento de información personal viola las disposiciones de esta Ley y lesiona los derechos e intereses de numerosas personas, la Fiscalía Popular, las organizaciones de consumidores determinadas por la ley y las organizaciones que determine el Servicio Nacional de Ciberseguridad y El departamento de informatización puede presentar una demanda ante el Tribunal Popular de conformidad con la ley.
Artículo 71 El que viole las disposiciones de esta Ley y constituya una violación a la gestión de la seguridad pública, será sancionado conforme a la ley si constituye delito, se perseguirá responsabilidad penal; de conformidad con la ley.
Capítulo 8 Disposiciones Complementarias
Artículo 72 Esta ley no se aplica a las personas naturales que manejen información personal para asuntos personales o familiares.
En las actividades de gestión de archivos y estadísticas organizadas e implementadas por los gobiernos populares en todos los niveles y sus departamentos pertinentes, si la ley tiene disposiciones sobre el procesamiento de información personal, esas disposiciones se aplicarán.
Artículo 73 El significado de los siguientes términos en esta Ley:
(1) Procesador de información personal se refiere a organizaciones e individuos que deciden independientemente el propósito y método de procesamiento de información personal.
(2) La toma de decisiones automatizada se refiere a actividades que analizan y evalúan automáticamente los hábitos de comportamiento personal, pasatiempos o el estado económico, de salud y crediticio a través de programas informáticos, y toman decisiones.
(3) La desidentificación se refiere al proceso de procesamiento de información personal para que no pueda identificar a una persona física específica sin información adicional.
(4) La anonimización se refiere al proceso en el que la información personal no puede identificar a una persona física específica y no puede recuperarse después del procesamiento.
Artículo 74: La presente ley entrará en vigor el 1 de noviembre de 2021.
Preguntas y respuestas relacionadas: ¿Cómo mejora la plataforma de registro WeDoctor la información personal? Cómo completar información personal mediante el registro de citas Si se registra en WeDoctor, la información personal más completa es completar su número de identificación y número de teléfono móvil. Simplemente complete toda la información personal. Preguntas y respuestas relacionadas: ¿Cómo verificar la información personal de una persona? Primero, ¿qué derechos tienes para investigar la información personal? La información personal de los ciudadanos está protegida por la ley. Sólo los organismos encargados de hacer cumplir la ley, como las agencias de seguridad pública, pueden investigar información personal completa de conformidad con la ley.
Pero siempre que tenga la información de la tarjeta de identificación de una persona y otra información, básicamente podrá obtenerla con claridad. Porque ahora necesitas mostrar tu DNI para ir al banco, hacer negocios, comprar billetes de tren, billetes de avión, etc. En cuanto a agregar licencia de conducir, certificado de propiedad inmobiliaria, etc. , también dependen de los documentos de identidad. Se puede decir que sin cédula de identidad es difícil avanzar. Se puede encontrar diversa información a través del documento de identidad de una persona. También hay un teléfono móvil, que también es una ventana para exponer información personal. Puede registrar sus actividades, comunicación con personas, consumo personal y mucha otra información.