Legge sulla protezione dei dati personali della Repubblica popolare cinese
(Adottato alla 30a Riunione del Comitato Permanente del Tredicesimo Congresso Nazionale del Popolo il 20 agosto 2021)
Capitolo I
Articolo 1 Questa legge è emanata in conformità con la Costituzione allo scopo di proteggere i diritti e gli interessi sui dati personali, regolamentare le attività di trattamento dei dati personali e promuovere un uso ragionevole delle informazioni personali.
Articolo 2 I dati personali delle persone fisiche sono protetti dalla legge. Nessuna organizzazione o individuo può violare i diritti e gli interessi delle persone fisiche sulle loro informazioni personali.
Articolo 3 La presente legge si applica al trattamento dei dati personali delle persone fisiche nel territorio della Repubblica popolare cinese.
La presente legge si applica anche al trattamento al di fuori del territorio della Repubblica popolare cinese dei dati personali di persone fisiche all'interno del territorio della Repubblica popolare cinese, in una delle seguenti circostanze:
(1) allo scopo di fornire prodotti o servizi a persone fisiche all'interno della Repubblica popolare cinese;
(2) analizzare o valutare i comportamenti delle persone fisiche nel territorio della Repubblica popolare cinese; e
(3) ogni altra circostanza prevista da qualsiasi legge o regolamento amministrativo.
L'articolo 4 "Informazioni personali" si riferisce a varie informazioni relative a una persona fisica identificata o identificabile registrate elettronicamente o con altri mezzi, ma non include informazioni anonime.
L'elaborazione delle informazioni personali include la raccolta, l'archiviazione, l'uso, l'elaborazione, la trasmissione, la fornitura, la divulgazione e la cancellazione delle informazioni personali, tra gli altri.
Articolo 5 I dati personali sono trattati a norma di legge quando necessario, con giustificato motivo e in buona fede, e il trattamento non può comportare inganno, frode, coercizione e simili.
Articolo 6 Il trattamento dei dati personali si basa su finalità esplicite e ragionevoli e direttamente correlate a tali finalità ed esercita il minimo impatto sui diritti e sugli interessi delle persone.
La raccolta di informazioni personali è limitata all'ambito minimo richiesto dalla finalità del trattamento e le informazioni personali non possono essere raccolte in modo eccessivo.
Articolo 7 Nel trattamento dei dati personali sono osservati i principi di trasparenza e trasparenza, sono comunicate le regole per il trattamento dei dati personali, sono esplicitamente indicate le finalità, i mezzi e l'ambito del trattamento.
Articolo 8 La qualità delle informazioni personali è garantita nel trattamento delle informazioni personali, per evitare ripercussioni negative sui diritti e sugli interessi delle persone a causa di informazioni personali inesatte e incomplete.
Articolo 9 I responsabili del trattamento dei dati personali sono responsabili delle loro attività di trattamento dei dati personali e adottano le misure necessarie per garantire la sicurezza dei dati personali che trattano.
Articolo 10 Nessuna organizzazione o individuo può raccogliere, utilizzare, elaborare o trasmettere illegalmente le informazioni personali di altre persone, o commerciare illegalmente, fornire o divulgare informazioni personali di altre persone, o impegnarsi in attività di trattamento delle informazioni personali che mettono in pericolo la sicurezza nazionale o danneggiano interessi pubblici.
Articolo 11 Lo Stato istituisce e migliora il sistema di protezione delle informazioni personali per prevenire e punire le violazioni dei diritti e degli interessi sulle informazioni personali, rafforzare la pubblicità e l'educazione sulla protezione delle informazioni personali e promuovere un ambiente favorevole per il governo, le imprese, le organizzazioni industriali pertinenti e il pubblico a partecipare congiuntamente alla protezione delle informazioni personali.
Articolo 12 Lo stato si impegnerà attivamente nello sviluppo di norme internazionali sulla protezione delle informazioni personali, promuoverà gli scambi internazionali e la cooperazione nella protezione delle informazioni personali e incoraggerà il riconoscimento reciproco delle norme e degli standard di protezione delle informazioni personali, tra l'altro, con altri paesi, regioni e organizzazioni internazionali.
Capitolo II Regole sul trattamento dei dati personali
Sezione 1 Regole generali
Articolo 13 Un responsabile del trattamento dei dati personali può trattare le informazioni personali di un individuo solo se sussiste una delle seguenti circostanze:
(1) è stato ottenuto il consenso dell'individuo;
(2) il trattamento è necessario per la conclusione o l'esecuzione di un contratto di cui la persona fisica è parte, o necessario per la gestione delle risorse umane in conformità alle norme e ai regolamenti del lavoro stabiliti in conformità alla legge e ai contratti collettivi stipulati in conformità con la legge;
(3) il trattamento è necessario per l'adempimento di obblighi od obblighi di legge;
(4) il trattamento è necessario per la risposta a emergenze sanitarie o per la tutela della vita, della salute e dell'incolumità delle persone fisiche in situazioni di emergenza;
(5) le informazioni personali sono trattate in modo ragionevole per la segnalazione di notizie, la supervisione dei media e altre attività condotte nell'interesse pubblico;
(6) le informazioni personali divulgate dall'individuo stesso o altre informazioni personali dell'individuo divulgate legalmente sono ragionevolmente trattate in conformità con la presente legge; e
(7) altre circostanze previste da leggi o regolamenti amministrativi.
Il consenso individuale deve essere ottenuto per il trattamento delle informazioni personali se qualsiasi altra disposizione pertinente della presente legge lo prevede, tranne nelle circostanze specificate nei sottoparagrafi da (2) a (7) del paragrafo precedente.
Articolo 14 Laddove il trattamento dei dati personali si basi sul consenso individuale, il consenso individuale è volontario, esplicito e pienamente informato. Laddove qualsiasi altra legge o regolamento amministrativo preveda che sia necessario ottenere il consenso separato o il consenso scritto di un individuo per il trattamento delle informazioni personali, tali disposizioni si applicano.
In caso di modifica delle finalità o dei mezzi del trattamento dei dati personali, o della categoria dei dati personali trattati, è necessario ottenere un nuovo consenso dall'interessato.
Articolo 15 Laddove il trattamento dei dati personali si basi sul consenso individuale, l'interessato ha il diritto di revocare il proprio consenso. I responsabili del trattamento delle informazioni personali forniranno modi convenienti alle persone per revocare i loro consensi.
La revoca del consenso non pregiudica la validità delle attività di trattamento svolte sulla base del consenso prima della revoca.
Articolo 16 Un responsabile del trattamento dei dati personali non può rifiutarsi di fornire prodotti o servizi a un individuo per il motivo che l'individuo nega il suo consenso al trattamento dei suoi dati personali o ha revocato il suo consenso al trattamento dei dati personali, tranne nel caso in cui il trattamento di le informazioni personali sono necessarie per la fornitura di prodotti o servizi.
Articolo 17 Un responsabile del trattamento delle informazioni personali, prima del trattamento delle informazioni personali, informa una persona in modo veritiero, accurato e completo delle seguenti questioni in modo facile da notare e in un linguaggio chiaro e di facile comprensione:
(1) il nome e le informazioni di contatto del responsabile del trattamento dei dati personali;
(2) le finalità e i mezzi del trattamento dei dati personali e le categorie e i periodi di conservazione dei dati personali da trattare;
(3) le modalità e le procedure per l'esercizio dei diritti da parte dell'interessato secondo quanto previsto dalla presente Legge; e
(4) altre materie di cui la persona fisica deve essere informata secondo quanto previsto da leggi e regolamenti amministrativi.
In caso di modifica di qualsiasi questione di cui al paragrafo precedente, l'individuo deve essere informato della modifica.
Laddove il responsabile del trattamento dei dati personali informi un soggetto delle questioni specificate nel primo comma formulando regole per il trattamento dei dati personali, le regole del trattamento sono rese pubbliche e facilmente consultabili e salvabili.
Articolo 18 Nel trattamento dei dati personali, i responsabili del trattamento dei dati personali sono autorizzati a non informare gli interessati delle materie di cui al primo comma dell'articolo precedente, laddove leggi o regolamenti amministrativi richiedano riservatezza o non prevedano tale notifica.
Qualora sia impossibile informare tempestivamente le persone al fine di tutelare la vita, la salute e l'incolumità delle persone fisiche in caso di emergenza, i responsabili del trattamento dei dati personali le informano senza indugio dopo che l'emergenza è stata rimossa.
Articolo 19 Salvo quanto diversamente previsto da leggi e regolamenti amministrativi, il periodo di conservazione dei dati personali è il tempo minimo necessario al raggiungimento della finalità del trattamento.
Articolo 20 Quando due o più responsabili del trattamento dei dati personali determinano congiuntamente le finalità ei mezzi del trattamento di determinate informazioni personali, raggiungono un accordo sui rispettivi diritti e obblighi nel trattamento dei dati personali. Tuttavia, questo accordo non pregiudica la richiesta di un individuo a uno di loro di esercitare i propri diritti come previsto nella presente legge.
Laddove, nel trattamento congiunto di determinate informazioni personali, un responsabile del trattamento violi i diritti e gli interessi sulle informazioni personali e causi danni, altri responsabili del trattamento dei dati personali saranno responsabili in solido in conformità con la legge.
Articolo 21 Un responsabile del trattamento dei dati personali che affida il trattamento di determinate informazioni personali a una parte raggiunge un accordo con la parte incaricata sulle finalità, il periodo e i mezzi del trattamento, le categorie di informazioni personali da trattare e le misure di protezione, nonché i diritti e gli obblighi di entrambe le parti, tra gli altri, e sovrintende alle attività di trattamento dei dati personali della parte incaricata.
La parte incaricata tratterà le informazioni personali in conformità con l'accordo e non può elaborare le informazioni personali oltre le finalità, i mezzi e le altre condizioni concordate. Qualora il contratto di incarico non abbia avuto efficacia, non sia valido, sia revocato o risolto, l'incaricato restituirà i dati personali in questione al responsabile del trattamento dei dati personali o li cancellerà e non conserva i dati personali.
Senza il consenso del responsabile del trattamento dei dati personali, la parte incaricata non può subappaltare il trattamento dei dati personali a terzi.
Articolo 22 Qualora un responsabile del trattamento dei dati personali debba trasferire informazioni personali a causa di una fusione, scissione, scioglimento o fallimento o per altri motivi, il responsabile del trattamento informa le persone fisiche del nome e delle informazioni di contatto del destinatario delle informazioni personali trasferite. Il destinatario continuerà ad adempiere agli obblighi di detto responsabile del trattamento dei dati personali. Qualsiasi modifica delle finalità o dei mezzi di trattamento originari da parte del destinatario è subordinata al consenso individuale ai sensi della presente legge.
Articolo 23 Per fornire informazioni personali a qualsiasi altro responsabile del trattamento, un responsabile del trattamento dei dati personali comunica alle persone fisiche il nome e le informazioni di contatto del destinatario, le finalità e i mezzi del trattamento e le categorie di informazioni personali da trattare e ottiene le informazioni separate delle persone consenso. Il destinatario tratterà le informazioni personali nell'ambito delle finalità, dei mezzi e delle categorie di informazioni personali sopra menzionate. Qualsiasi modifica delle finalità o dei mezzi di trattamento da parte del destinatario è subordinata al consenso individuale ai sensi della presente legge.
Articolo 24 I responsabili del trattamento dei dati personali che utilizzano le informazioni personali per il processo decisionale automatizzato garantiscono la trasparenza del processo decisionale, l'equità e l'imparzialità dei risultati e non possono applicare un trattamento differenziato irragionevole alle persone in termini di prezzi delle transazioni e altre condizioni delle transazioni.
La spinta informativa e il marketing commerciale ai privati sulla base di processi decisionali automatizzati devono essere simultaneamente accompagnati da opzioni non specifiche per le loro caratteristiche personali o con mezzi convenienti per il rifiuto delle persone.
Laddove una decisione che possa avere un impatto significativo sui diritti e gli interessi di una persona è presa attraverso un processo decisionale automatizzato, l'individuo ha il diritto di richiedere chiarimenti al responsabile del trattamento dei dati personali e il diritto di rifiutare al responsabile del trattamento di prendere la decisione solo attraverso il processo automatizzato il processo decisionale.
Articolo 25 I responsabili del trattamento dei dati personali non divulgano i dati personali che trattano, a meno che non siano stati ottenuti consensi separati dalle persone fisiche.
Articolo 26 Gli apparati per la raccolta delle immagini e l'identificazione personale nei luoghi pubblici devono essere installati solo quando è necessario ai fini del mantenimento della sicurezza pubblica, e devono essere installati in conformità con le pertinenti disposizioni dello Stato e con importanti solleciti. Le immagini personali e le informazioni identificative raccolte possono essere utilizzate solo allo scopo di mantenere la sicurezza pubblica e, a meno che non siano ottenuti i consensi separati delle persone, non possono essere utilizzate per nessun altro scopo.
Articolo 27 Un responsabile del trattamento dei dati personali può ragionevolmente elaborare le informazioni personali divulgate da un individuo stesso o altre informazioni personali divulgate legalmente, salvo il caso in cui l'individuo si rifiuti espressamente. Laddove il trattamento delle informazioni personali divulgate possa avere un impatto significativo sui diritti e gli interessi di una persona, i responsabili del trattamento delle informazioni personali devono prima ottenere il consenso della persona in conformità con le disposizioni della presente legge.
Sezione 2 Regole sul trattamento delle informazioni personali sensibili
Articolo 28 "Informazioni personali sensibili" sono informazioni personali che, una volta trapelate o utilizzate illecitamente, possono facilmente portare alla violazione della dignità personale di una persona fisica o possono mettere in pericolo la sua sicurezza personale o proprietà, comprese informazioni quali dati biometrici, credo religioso, l'identità, lo stato di salute, i conti finanziari e il luogo in cui si trova la persona, nonché le informazioni personali di un minore di età inferiore ai 14 anni.
I responsabili del trattamento delle informazioni personali possono trattare le informazioni personali sensibili solo quando esiste uno scopo specifico e quando è necessario, nella circostanza in cui vengono adottate misure di protezione rigorose.
Articolo 29 Per il trattamento dei dati personali sensibili è richiesto il consenso separato dell'interessato. Laddove altre leggi o regolamenti amministrativi prevedano l'ottenimento del consenso scritto per il trattamento dei dati personali sensibili, prevarranno tali disposizioni.
Articolo 30 In aggiunta a quanto specificato nell'articolo 17, primo comma, della presente legge, il responsabile del trattamento di informazioni personali sensibili notifica all'interessato la necessità di trattare le sue informazioni personali sensibili e l'impatto che ha sui suoi diritti e interessi, salvo ove tale notifica non sia richiesta ai sensi delle disposizioni della presente legge.
Articolo 31 Per trattare i dati personali dei minori di età inferiore ai 14 anni, i responsabili del trattamento dei dati personali devono ottenere il consenso dei genitori o di altri tutori dei minori.
I responsabili del trattamento dei dati personali che trattano i dati personali dei minori di età inferiore ai 14 anni elaborano regole speciali per il trattamento di tali dati personali.
Articolo 32 Laddove altre leggi o regolamenti amministrativi prevedano l'ottenimento del relativo permesso amministrativo per il trattamento di informazioni personali sensibili o impongano altre restrizioni, tali disposizioni prevalgono.
Sezione 3 Disposizioni speciali sul trattamento dei dati personali da parte degli organi statali
Articolo 33 La presente legge si applica al trattamento dei dati personali da parte degli organi statali; ove vi siano disposizioni speciali nella presente Sezione, prevarranno le disposizioni della presente Sezione.
Articolo 34 Quando gli organi statali trattano informazioni personali per l'esercizio dei loro doveri statutari, agiscono secondo l'autorità e le procedure prescritte dalle leggi e dai regolamenti amministrativi e non devono eccedere la portata ei limiti necessari per l'assolvimento dei loro compiti statutari.
Articolo 35 Quando gli organi statali trattano informazioni personali al fine di adempiere ai loro doveri statutari, adempiono all'obbligo di notifica in conformità con le disposizioni della presente legge, salvo nei casi specificati nell'articolo 18, primo comma, della presente legge o laddove la notifica impedirà agli organi statali di svolgere le loro funzioni statutarie.
Articolo 36 Le informazioni personali trattate dagli organi statali sono conservate nel territorio della Repubblica popolare cinese. Sarà condotta una valutazione della sicurezza laddove sia veramente necessario fornire tali informazioni a qualsiasi parte al di fuori del territorio della Repubblica popolare cinese. Nella valutazione della sicurezza i servizi competenti forniscono supporto e assistenza se richiesto.
Articolo 37 Laddove gli organismi autorizzati da leggi o regolamenti con funzione di amministrazione della cosa pubblica trattino informazioni personali per adempiere ai loro doveri statutari, si applicano le disposizioni del presente documento sul trattamento dei dati personali da parte degli organi statali.
Capo III Regole sulla fornitura di informazioni personali a livello transfrontaliero
Articolo 38 Un responsabile del trattamento delle informazioni personali che ha veramente bisogno di fornire informazioni personali a una parte al di fuori del territorio della Repubblica popolare cinese per motivi di lavoro o altri motivi, deve soddisfare uno dei seguenti requisiti:
(1) superamento della valutazione della sicurezza organizzata dal dipartimento nazionale del ciberspazio ai sensi dell'articolo 40 della presente legge;
(2) ottenere la certificazione in materia di protezione dei dati personali dall'istituto specializzato competente secondo le disposizioni emanate dal dipartimento nazionale del ciberspazio;
(3) concludere un contratto che stabilisca i diritti e gli obblighi di entrambe le parti con il destinatario estero in conformità con il contratto standard formulato dal dipartimento nazionale del cyberspazio; e
(4) il rispetto delle altre condizioni previste da leggi e regolamenti amministrativi e dal dipartimento nazionale del cyberspazio.
Qualora un trattato o un accordo internazionale che la Repubblica popolare cinese abbia concluso o a cui abbia aderito stabilisca condizioni per fornire informazioni personali a una parte al di fuori del territorio della Repubblica popolare cinese, tali disposizioni possono essere seguite.
Il responsabile del trattamento dei dati personali adotterà le misure necessarie per garantire che le attività di trattamento dei dati personali del destinatario all'estero soddisfino gli standard di protezione dei dati personali stabiliti nella presente legge.
Articolo 39 Se un responsabile del trattamento dei dati personali fornisce informazioni personali a qualsiasi parte al di fuori del territorio della Repubblica popolare cinese, il responsabile del trattamento informa le persone del nome e delle informazioni di contatto del destinatario all'estero, delle finalità e dei mezzi del trattamento, delle categorie di informazioni personali da trattare, nonché le modalità e le procedure con cui i soggetti possono esercitare i propri diritti come previsto dalla presente legge nei confronti del destinatario estero, ecc., e dovranno ottenere il consenso separato del soggetto.
Articolo 40 Gli operatori delle infrastrutture informatiche critiche e gli incaricati del trattamento dei dati personali che trattano le informazioni personali fino all'importo prescritto dal dipartimento nazionale del ciberspazio conservano a livello nazionale le informazioni personali raccolte e generate all'interno del territorio della Repubblica popolare cinese. Laddove sia veramente necessario fornire le informazioni per un soggetto al di fuori del territorio della Repubblica popolare cinese, la questione è sottoposta a valutazione di sicurezza organizzata dal dipartimento nazionale del ciberspazio. Laddove leggi, regolamenti amministrativi o disposizioni emanate dal dipartimento nazionale del cyberspazio prevedano che non sia necessaria una valutazione della sicurezza, tali disposizioni prevalgono.
Articolo 41 Le autorità competenti della Repubblica popolare cinese trattano le richieste delle autorità giudiziarie o dell'applicazione della legge estere in merito alle informazioni personali archiviate in Cina in conformità con le leggi pertinenti e i trattati e gli accordi internazionali conclusi o ai quali la Repubblica popolare cinese ha aderito, oppure secondo il principio di uguaglianza e reciprocità. Senza l'approvazione delle autorità competenti della Repubblica popolare cinese, nessuna organizzazione o individuo può fornire i dati archiviati nel territorio della Repubblica popolare cinese a qualsiasi autorità giudiziaria o di contrasto straniera.
Articolo 42 Laddove organizzazioni o individui all'estero intraprendano attività di trattamento delle informazioni personali che violano i diritti e gli interessi dei cittadini della Repubblica popolare cinese sulle informazioni personali o mettono in pericolo la sicurezza nazionale o gli interessi pubblici della Repubblica popolare cinese, il ciberspazio nazionale il dipartimento può includerli in un elenco di destinatari limitati o vietati di informazioni personali, pubblicizzare l'elenco e adottare misure come limitare o vietare la fornitura di informazioni personali a tali organizzazioni e individui.
Articolo 43 Laddove un paese o una regione adotti misure proibitive, restrittive o altre misure discriminatorie simili nei confronti della Repubblica popolare cinese in termini di protezione dei dati personali, la Repubblica popolare cinese può adottare contromisure nei confronti del suddetto paese o regione sulla base di situazioni reali.
Capo IV Diritti delle persone nelle attività di trattamento dei dati personali
Articolo 44 Le persone fisiche hanno il diritto di essere informate, il diritto di prendere decisioni sul trattamento dei propri dati personali e il diritto di limitare o rifiutare il trattamento dei propri dati personali da parte di altri, salvo quanto diversamente previsto da leggi o regolamenti amministrativi.
Articolo 45 Le persone fisiche hanno il diritto di consultare e duplicare le loro informazioni personali da responsabili del trattamento di informazioni personali, salvo nei casi previsti dall'articolo 18, primo comma, e dall'articolo 35 della presente legge.
Laddove un individuo richieda la consultazione o la duplicazione delle sue informazioni personali, il responsabile del trattamento delle informazioni personali richiesto fornisce tali informazioni in modo tempestivo.
Se una persona richiede il trasferimento delle sue informazioni personali a un responsabile del trattamento dei dati personali designato, che soddisfa i requisiti del dipartimento nazionale del ciberspazio per il trasferimento di informazioni personali, il responsabile del trattamento dei dati personali richiesto fornisce i mezzi per il trasferimento.
Articolo 46 Se una persona scopre che i suoi dati personali sono inesatti o incompleti, ha il diritto di chiedere ai responsabili del trattamento dei dati personali di rettificare o integrare le informazioni pertinenti.
Qualora un individuo richieda la rettifica o l'integrazione delle proprie informazioni personali, i responsabili del trattamento delle informazioni personali devono verificare le informazioni in questione e apportare tempestivamente la rettifica o l'integrazione.
Articolo 47 In una delle seguenti circostanze, un responsabile del trattamento dei dati personali prende l'iniziativa di cancellare le informazioni personali e un individuo ha il diritto di richiedere la cancellazione dei propri dati personali se il responsabile del trattamento dei dati personali non riesce a cancellare le informazioni:
(1) le finalità del trattamento sono state raggiunte o non possono essere raggiunte, ovvero tali informazioni non sono più necessarie per il raggiungimento delle finalità del trattamento;
(2) il responsabile del trattamento dei dati personali cessa di fornire prodotti o servizi o il periodo di conservazione è scaduto;
(3) l'individuo revoca il proprio consenso;
(4) il responsabile del trattamento dei dati personali tratta i dati personali in violazione di leggi, regolamenti amministrativi o accordi; o
(5) altre circostanze previste da leggi e regolamenti amministrativi.
Se il periodo di conservazione previsto da qualsiasi legge o regolamento amministrativo non è scaduto, o è difficile cancellare tecnicamente le informazioni personali, il responsabile del trattamento delle informazioni personali interrompe il trattamento delle informazioni personali diverso dalla conservazione e dall'adozione delle misure di protezione della sicurezza necessarie per tali informazioni.
Articolo 48 Una persona fisica ha il diritto di chiedere a un responsabile del trattamento dei dati personali di interpretare le norme sul trattamento dei dati personali sviluppate da quest'ultimo.
Articolo 49 I parenti stretti di una persona fisica deceduta possono, per i propri interessi legittimi e legittimi, esercitare i diritti di trattamento dei dati personali del defunto, quali la consultazione, la duplicazione, la rettifica e la cancellazione, come previsto nel presente capo, salvo come diversamente disposto dal defunto prima della morte.
Articolo 50 Un responsabile del trattamento dei dati personali stabilisce il meccanismo per ricevere e gestire le richieste delle persone per l'esercizio dei propri diritti. In caso di rigetto della richiesta di una persona, devono essere motivate.
Se la richiesta di un individuo di esercitare i propri diritti viene respinta da un responsabile del trattamento dei dati personali, l'individuo può intentare un'azione legale presso il tribunale del popolo in conformità con la legge.
Capo V Obblighi dei Responsabili del trattamento dei dati personali
Articolo 51 I responsabili del trattamento dei dati personali adottano le seguenti misure per garantire che le loro attività di trattamento dei dati personali siano conformi alle leggi e ai regolamenti amministrativi in base alla finalità e ai mezzi del trattamento, alle categorie di dati personali da trattare, all'impatto sui diritti personali e interessi e i potenziali rischi per la sicurezza, tra gli altri, e impedirà l'accesso non autorizzato, nonché la violazione, la manomissione o la perdita di qualsiasi informazione personale:
(1) formulazione del sistema di gestione interno e delle procedure operative;
(2) implementare la gestione classificata delle informazioni personali;
(3) adottare le misure tecniche di sicurezza corrispondenti, come la crittografia e l'anonimizzazione;
(4) determinare ragionevolmente l'autorità operativa del trattamento delle informazioni personali e condurre regolarmente istruzione e formazione sulla sicurezza per i professionisti;
(5) formulare piani contingenti per emergenze relative alla sicurezza delle informazioni personali e organizzare l'attuazione di tali piani; e
(6) altri provvedimenti previsti da leggi e regolamenti amministrativi.
Articolo 52 Il responsabile del trattamento dei dati personali che tratta i dati personali fino all'importo prescritto dal dipartimento nazionale del ciberspazio designa un responsabile della protezione dei dati personali, che vigila sulle attività di trattamento dei dati personali del responsabile del trattamento nonché sulle misure di protezione in tal modo adottate , tra gli altri.
Il responsabile del trattamento dei dati personali comunicherà le informazioni di contatto del responsabile della protezione dei dati personali e trasmetterà il nome, le informazioni di contatto e altre informazioni di tale persona ai dipartimenti con compiti di protezione dei dati personali.
Articolo 53 I responsabili del trattamento dei dati personali al di fuori del territorio della Repubblica popolare cinese, come specificato nell'articolo 3, secondo comma, della presente legge istituiscono agenzie specializzate o designano rappresentanti nel territorio della Repubblica popolare cinese responsabili del trattamento delle informazioni personali questioni relative alla protezione e trasmette i nomi, le informazioni di contatto e altre informazioni delle agenzie e dei rappresentanti ai dipartimenti con compiti di protezione delle informazioni personali.
Articolo 54 I responsabili del trattamento dei dati personali effettuano regolarmente verifiche di conformità delle loro attività di trattamento dei dati personali alle leggi e ai regolamenti amministrativi.
Articolo 55 In una delle seguenti circostanze, un responsabile del trattamento dei dati personali valuta in anticipo l'impatto sulla protezione dei dati personali e conserva un registro del corso del trattamento:
(1) trattamento di informazioni personali sensibili;
(2) utilizzare le informazioni personali per condurre processi decisionali automatizzati;
(3) affidare l'elaborazione delle informazioni personali a un'altra parte, fornire informazioni personali per un'altra parte o pubblicizzare le informazioni personali;
(4) fornire informazioni personali a qualsiasi soggetto al di fuori del territorio della Repubblica popolare cinese; o
(5) condurre altre attività di trattamento dei dati personali che possono avere un impatto significativo sulle persone.
Articolo 56 La valutazione dell'impatto sulla protezione dei dati personali comprende i seguenti contenuti:
(1) se le finalità e i mezzi del trattamento dei dati personali sono legittimi, giustificati e necessari;
(2) l'impatto sui diritti e gli interessi delle persone e sui rischi per la sicurezza; e
(3) se le misure di protezione adottate sono legittime, efficaci e compatibili con il grado di rischio.
La relazione della valutazione d'impatto sulla protezione dei dati personali e il registro del trattamento sono conservati per almeno tre anni.
Articolo 57 Laddove si verifichi o possa verificarsi la violazione, la manomissione o la perdita di informazioni personali, un responsabile del trattamento dei dati personali adotta immediatamente misure correttive e notifica i servizi con compiti di protezione delle informazioni personali e le persone interessate. L'avviso deve contenere i seguenti elementi:
(1) le categorie di informazioni personali che sono state o potrebbero essere violate, manomesse o perse e le ragioni e il possibile danno della violazione, manomissione e perdita;
(2) le misure correttive adottate dal responsabile del trattamento dei dati personali e le misure che le persone possono adottare per mitigare il danno; e
(3) le informazioni di contatto del responsabile del trattamento dei dati personali.
Laddove le misure adottate dal responsabile del trattamento dei dati personali possano effettivamente evitare il danno causato da violazione, manomissione o perdita di informazioni personali, il responsabile del trattamento dei dati personali non è tenuto a informare le persone; laddove i dipartimenti con compiti di protezione delle informazioni personali ritengano che possa essere causato un danno, hanno l'autorità di richiedere al responsabile del trattamento delle informazioni personali di informare le persone.
Articolo 58 Un elaboratore di informazioni personali che fornisce importanti servizi di piattaforma Internet che coinvolgono un numero enorme di utenti e tipi di attività complicati deve adempiere ai seguenti obblighi:
(1) stabilire e migliorare il sistema di conformità alla protezione delle informazioni personali in conformità con le disposizioni dello stato e istituire un'organizzazione indipendente composta principalmente da membri esterni per supervisionare la protezione delle informazioni personali;
(2) seguire i principi di apertura, equità e giustizia, formulare regole della piattaforma e chiarire le norme e gli obblighi che i fornitori di prodotti o servizi all'interno della piattaforma dovrebbero rispettare quando trattano le informazioni personali;
(3) interrompere la fornitura di servizi a fornitori di prodotti o servizi all'interno delle piattaforme che trattano informazioni personali in violazione grave di leggi e regolamenti amministrativi; e
(4) pubblicare regolarmente relazioni sulla responsabilità sociale sulla protezione delle informazioni personali per la vigilanza pubblica.
Articolo 59 Il soggetto incaricato del trattamento dei dati personali, in conformità alla presente legge e alle leggi e ai regolamenti amministrativi pertinenti, adotta le misure necessarie per garantire la sicurezza dei dati personali affidati al trattamento e assiste il responsabile del trattamento incaricato nell'adempimento gli obblighi previsti dalla presente legge.
Capo VI Dipartimenti con doveri di protezione dei dati personali
Articolo 60 Il dipartimento nazionale del ciberspazio è responsabile della pianificazione generale e del coordinamento della protezione delle informazioni personali e della relativa supervisione e amministrazione. I servizi competenti del Consiglio di Stato, in conformità con la presente legge e altre leggi e regolamenti amministrativi pertinenti, sono responsabili della protezione delle informazioni personali e della relativa supervisione e amministrazione nell'ambito delle rispettive funzioni.
I doveri di protezione delle informazioni personali e la relativa supervisione e amministrazione dei dipartimenti competenti dei governi locali del popolo a livello di contea o superiore sono determinati in conformità con le pertinenti disposizioni dello stato.
Le funzioni previste nei due paragrafi precedenti sono collettivamente indicate come le funzioni con compiti di protezione delle informazioni personali.
Articolo 61 I dipartimenti con compiti di protezione dei dati personali svolgono i seguenti compiti di protezione dei dati personali:
(1) condurre pubblicità e istruzione sulla protezione delle informazioni personali e guidare e supervisionare i responsabili del trattamento delle informazioni personali nella loro protezione delle informazioni personali;
(2) ricevere e gestire reclami e segnalazioni relative alla protezione delle informazioni personali;
(3) organizzare valutazioni sulle domande, ecc. in termini di protezione dei dati personali e pubblicare i risultati di tali valutazioni;
(4) indagare e gestire attività di trattamento illegale di informazioni personali; e
(5) altri doveri previsti da leggi e regolamenti amministrativi.
Articolo 62 Il dipartimento nazionale del ciberspazio coordina i servizi competenti per promuovere la protezione delle informazioni personali attraverso i seguenti sforzi in conformità con la presente legge:
(1) formulare regole e standard specifici per la protezione delle informazioni personali;
(2) lo sviluppo di norme e standard speciali in materia di protezione delle informazioni personali per i piccoli responsabili del trattamento di informazioni personali, il trattamento di informazioni personali sensibili e nuove tecnologie e applicazioni come il riconoscimento facciale e l'intelligenza artificiale;
(3) sostenere la ricerca e lo sviluppo e promuovere l'applicazione di una tecnologia di autenticazione dell'identità elettronica sicura e conveniente e promuovere i servizi pubblici per l'autenticazione dell'identità di rete;
(4) promuovere lo sviluppo di un sistema di servizi di protezione delle informazioni personali con la partecipazione di vari settori sociali e supportare le istituzioni competenti nella fornitura di servizi di valutazione e certificazione della protezione delle informazioni personali; e
(5) miglioramento del meccanismo di denuncia e segnalazione relativo alla protezione delle informazioni personali.
Articolo 63 Un dipartimento con compiti di protezione dei dati personali nell'adempimento di compiti correlati può adottare le seguenti misure:
(1) interrogare le parti rilevanti e indagare sulle circostanze relative alle attività di trattamento delle informazioni personali;
(2) consultare e duplicare i contratti, i registri, i libri contabili e altri materiali pertinenti delle parti relativi alle attività di trattamento delle informazioni personali;
(3) condurre ispezioni in loco e indagare su sospette attività di trattamento illegale di informazioni personali; e
(4) ispezionare apparecchiature e articoli relativi alle attività di trattamento dei dati personali; e sigillare o sequestrare attrezzature e oggetti relativi ad attività di trattamento illecito di informazioni personali comprovate da prove dopo aver presentato segnalazioni scritte e ottenuto l'approvazione dal principale responsabile dei servizi con compiti di protezione dei dati personali.
Quando le funzioni con compiti di protezione dei dati personali svolgono i propri compiti in conformità con la legge, le parti interessate collaborano e forniscono assistenza, e non le rifiutano o ostacolano.
Articolo 64 Laddove un dipartimento con compiti di protezione dei dati personali riscontra, nell'esercizio delle sue funzioni, rischi relativamente elevati nelle attività di trattamento dei dati personali o il verificarsi di incidenti relativi alla sicurezza dei dati personali, il dipartimento può tenere un colloquio con il rappresentante legale o il responsabile principale del responsabile del trattamento dei dati personali secondo l'autorità e le procedure fornite, o richiedere al responsabile del trattamento di affidare a un istituto professionale lo svolgimento di audit di conformità delle attività di trattamento dei dati personali. Il responsabile del trattamento dei dati personali adotta misure per apportare la rettifica ed eliminare potenziali rischi, se necessario.
Qualora un servizio con funzioni di protezione dei dati personali, nell'esercizio delle proprie funzioni, riscontri un'attività di trattamento illecito di informazioni personali che possa costituire un reato, il servizio provvede tempestivamente a deferire la pratica all'organo di pubblica sicurezza ai sensi di legge.
Articolo 65 Qualsiasi organizzazione o individuo ha il diritto di sporgere denuncia e di riferire a un dipartimento con compiti di protezione delle informazioni personali in merito al trattamento illegale delle informazioni personali. Il dipartimento che riceve tale reclamo o rapporto lo gestirà in modo tempestivo in conformità con la legge e informerà il denunciante o l'informatore dei risultati.
I dipartimenti con compiti di protezione delle informazioni personali pubblicano le proprie informazioni di contatto per ricevere reclami e segnalazioni.
Capo VII Responsabilità legale
Articolo 66 Laddove i dati personali siano trattati in violazione delle disposizioni della presente Legge o senza adempiere agli obblighi di protezione dei dati personali previsti dalla presente Legge, i dipartimenti con compiti di protezione dei dati personali ordinano al trasgressore di apportare correzioni, avvisare, confiscare l'illecito guadagni, e ordinare la sospensione o la cessazione della prestazione dei servizi da parte delle applicazioni che trattano illegalmente informazioni personali; se il trasgressore si rifiuta di apportare correzioni, sarà inflitta una multa non superiore a un milione di yuan RMB; e le persone direttamente responsabili in carica e le altre persone direttamente responsabili devono essere multate ciascuna non inferiore a 10,000 yuan RMB né superiore a 100,000 yuan RMB.
In caso di fatto illecito di cui al comma precedente e le circostanze sono gravi, gli uffici competenti in materia di protezione dei dati personali a livello provinciale o superiore, ordinano al trasgressore le correzioni, confiscano gli illeciti, comminano la sanzione pecuniaria non superiore a di RMB 50 milioni di yuan o non più del cinque per cento del fatturato dell'anno precedente; può anche ordinare la sospensione delle attività commerciali rilevanti, o ordinare la sospensione di tutte le attività commerciali per una revisione, e notificare alle autorità competenti la revoca dei permessi o delle licenze commerciali pertinenti; infliggerà una multa non inferiore a RMB 100,000 yuan ma non superiore a RMB 1 milione di yuan a ciascuno dei responsabili diretti incaricati e ad altri soggetti direttamente responsabili, e potrà decidere di vietare alle suddette persone di servire come amministratori, supervisori, dirigenti o incaricati di società rilevanti entro un determinato periodo di tempo.
Articolo 67 Ogni violazione delle disposizioni della presente Legge è iscritta nell'apposito registro e pubblicata secondo quanto previsto dalle leggi e dai regolamenti amministrativi in materia.
Articolo 68 Qualora un organo statale non adempia agli obblighi in materia di protezione dei dati personali previsti dalla presente legge, l'organo di livello superiore o i servizi con compiti di protezione dei dati personali lo ordinano di apportare correzioni e disciplinano il responsabile diretto e altri soggetti direttamente responsabili ai sensi di legge.
Se un membro del personale di un dipartimento con compiti di protezione delle informazioni personali trascura i doveri, abusa di potere o pratica favoritismi, il che non costituisce reato, il membro del personale è soggetto a sanzione secondo la legge.
Articolo 69 Se un responsabile del trattamento dei dati personali viola i diritti o gli interessi sui dati personali a causa di qualsiasi attività di trattamento dei dati personali e non può provare che il responsabile del trattamento non sia colpevole, il responsabile del trattamento si assume la responsabilità per danni e altre responsabilità illecite.
La responsabilità risarcitoria di cui al comma precedente è determinata sulla base delle perdite subite dalle persone fisiche e dei benefici acquisiti dal responsabile del trattamento dei dati personali in violazione; e ove sia difficile determinare le predette perdite oi benefici, l'ammontare del danno è determinato in base alle circostanze effettive.
Articolo 70 Laddove un responsabile del trattamento dei dati personali tratti dati personali in violazione delle disposizioni della presente legge e violi i diritti e gli interessi di molte persone, la procura del popolo, le organizzazioni dei consumatori specificate dalla legge e l'organizzazione designata dal dipartimento nazionale del cyberspazio possono presentare una causa con il tribunale del popolo a norma di legge.
Articolo 71 Ogni violazione della presente legge che costituisca violazione dell'amministrazione di pubblica sicurezza è soggetta alla sanzione dell'amministrazione di pubblica sicurezza a norma di legge. Se la violazione costituisce reato, il trasgressore è ritenuto penalmente responsabile a norma di legge.
Capo VIII Disposizioni complementari
Articolo 72 Questa legge non si applica quando una persona fisica tratta informazioni personali per affari personali o domestici.
Laddove altre leggi prevedano il trattamento delle informazioni personali nell'ambito di attività statistiche o di gestione di archivi organizzate e condotte dai governi del popolo a tutti i livelli e dai loro dipartimenti competenti, prevarranno le disposizioni di tali leggi.
Articolo 73 Ai fini della presente legge, i seguenti termini hanno i seguenti significati:
(1) "Un responsabile del trattamento dei dati personali" si riferisce a un'organizzazione o individuo che determina autonomamente le finalità e i mezzi del trattamento dei dati personali.
(2) "processo decisionale automatizzato" si riferisce alle attività di analisi e valutazione automatica dei comportamenti personali, degli hobby o dello stato economico, sanitario e del credito, tra l'altro, attraverso programmi per computer e prendere decisioni.
(3) "de-identificazione" si riferisce al trattamento di dati personali volto a rendere impossibile l'identificazione di determinate persone fisiche in assenza del supporto di ulteriori informazioni.
(4) "anonimizzazione" si riferisce al processo di trattamento di dati personali volto a rendere impossibile l'identificazione di determinate persone fisiche e l'impossibilità di ripristinarne il ripristino.
Articolo 74 La presente legge entra in vigore a partire dal 1 novembre 2021.