Wet op de bescherming van persoonsgegevens van de Volksrepubliek China
(Aangenomen tijdens de 30e vergadering van het Permanent Comité van het Dertiende Nationale Volkscongres op 20 augustus 2021)
Hoofdstuk I
Artikel 1 Deze wet is uitgevaardigd in overeenstemming met de Grondwet met het oog op de bescherming van de rechten en belangen met betrekking tot persoonlijke informatie, het reguleren van activiteiten op het gebied van de verwerking van persoonlijke informatie en het bevorderen van een redelijk gebruik van persoonlijke informatie.
Artikel 2 De persoonsgegevens van natuurlijke personen worden bij wet beschermd. Geen enkele organisatie of persoon mag inbreuk maken op de rechten en belangen van natuurlijke personen met betrekking tot hun persoonlijke informatie.
Artikel 3 Deze wet is van toepassing op de verwerking van persoonsgegevens van natuurlijke personen op het grondgebied van de Volksrepubliek China.
Deze wet is ook van toepassing op de verwerking buiten het grondgebied van de Volksrepubliek China van de persoonlijke informatie van natuurlijke personen op het grondgebied van de Volksrepubliek China, onder een van de volgende omstandigheden:
(1) voor het leveren van producten of diensten aan natuurlijke personen in de Volksrepubliek China;
(2) het analyseren of evalueren van het gedrag van natuurlijke personen op het grondgebied van de Volksrepubliek China; en
(3) elke andere omstandigheid zoals voorzien door een wet of administratief voorschrift.
Artikel 4 "Persoonlijke informatie" verwijst naar verschillende informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon die elektronisch of op andere wijze is vastgelegd, maar omvat geen geanonimiseerde informatie.
De verwerking van persoonlijke informatie omvat onder meer het verzamelen, opslaan, gebruiken, verwerken, verzenden, verstrekken, vrijgeven en verwijderen van persoonlijke informatie.
Artikel 5 Persoonlijke informatie wordt in overeenstemming met de wet verwerkt wanneer dat nodig is, met gegronde redenen en te goeder trouw, en de verwerking mag geen misleiding, fraude, dwang en dergelijke inhouden.
Artikel 6 De verwerking van persoonsgegevens is gebaseerd op expliciete en redelijke doeleinden en houdt rechtstreeks verband met die doeleinden, en heeft zo min mogelijk gevolgen voor de rechten en belangen van personen.
Het verzamelen van persoonlijke informatie wordt beperkt tot de minimale omvang die vereist is voor het doel van de verwerking, en persoonlijke informatie mag niet buitensporig worden verzameld.
Artikel 7 De beginselen van openheid en transparantie worden in acht genomen bij de verwerking van persoonsgegevens, de regels voor de verwerking van persoonsgegevens worden openbaar gemaakt en het doel, de middelen en de omvang van de verwerking worden expliciet vermeld.
Artikel 8 De kwaliteit van persoonsgegevens wordt gegarandeerd bij de verwerking van persoonsgegevens, om te voorkomen dat onnauwkeurige en onvolledige persoonsgegevens nadelige gevolgen hebben voor de rechten en belangen van personen.
Artikel 9 Verwerkers van persoonsgegevens zijn verantwoordelijk voor hun activiteiten op het gebied van de verwerking van persoonsgegevens en nemen de nodige maatregelen om de veiligheid van de persoonsgegevens die zij verwerken te waarborgen.
Artikel 10 Geen enkele organisatie of persoon mag op illegale wijze de persoonlijke informatie van andere personen verzamelen, gebruiken, verwerken of doorgeven, of de persoonlijke informatie van andere personen illegaal verhandelen, verstrekken of openbaar maken, of zich bezighouden met verwerkingsactiviteiten van persoonlijke informatie die de nationale veiligheid in gevaar brengen of schade berokkenen publieke belangen.
Artikel 11 De staat zal het systeem voor de bescherming van persoonsgegevens opzetten en verbeteren om inbreuken op de rechten en belangen met betrekking tot persoonsgegevens te voorkomen en te bestraffen, de publiciteit en voorlichting over de bescherming van persoonsgegevens te versterken en een gunstig klimaat voor de overheid, ondernemingen en relevante brancheorganisaties te bevorderen , en het publiek om gezamenlijk deel te nemen aan de bescherming van persoonsgegevens.
Artikel 12 De staat zal actief betrokken zijn bij de ontwikkeling van internationale regels voor de bescherming van persoonsgegevens, de internationale uitwisseling en samenwerking op het gebied van de bescherming van persoonsgegevens bevorderen en de wederzijdse erkenning van regels en normen voor de bescherming van persoonsgegevens aanmoedigen, onder andere met andere landen, regio's en internationale organisaties.
Hoofdstuk II Regels voor de verwerking van persoonsgegevens
Sectie 1 Algemene regels
Artikel 13 Een verwerker van persoonlijke informatie kan alleen persoonlijke informatie van een persoon verwerken als een van de volgende omstandigheden zich voordoet:
(1) de toestemming van de persoon is verkregen;
(2) de verwerking is noodzakelijk voor het sluiten of uitvoeren van een contract waarin het individu partij is, of noodzakelijk voor het personeelsbeheer in overeenstemming met de arbeidsregels en -voorschriften die zijn vastgesteld in overeenstemming met de wet en de collectieve contracten die zijn ondertekend in overeenstemming met met de wet;
(3) de verwerking is noodzakelijk voor de uitvoering van wettelijke taken of verplichtingen;
(4) de verwerking is noodzakelijk voor de reactie op noodsituaties op het gebied van de volksgezondheid, of voor de bescherming van het leven, de gezondheid en de veiligheid van eigendommen van natuurlijke personen in noodsituaties;
(5) de persoonlijke informatie wordt redelijkerwijs verwerkt voor nieuwsverslaglegging, mediatoezicht en andere activiteiten die in het algemeen belang worden uitgevoerd;
(6) de persoonlijke informatie die door de persoon zelf is bekendgemaakt of andere wettelijk bekendgemaakte persoonlijke informatie van de persoon redelijkerwijs wordt verwerkt in overeenstemming met deze wet; en
(7) andere omstandigheden zoals voorzien door wetten of administratieve voorschriften.
Individuele toestemming zal worden verkregen voor het verwerken van persoonlijke informatie indien andere relevante bepalingen van deze wet hierin voorzien, behalve onder de omstandigheden gespecificeerd in subparagrafen (2) tot (7) van de voorgaande paragraaf.
Artikel 14 Wanneer de verwerking van persoonsgegevens is gebaseerd op individuele toestemming, is de individuele toestemming vrijwillig, expliciet en volledig geïnformeerd. Wanneer een andere wet of administratieve regeling bepaalt dat de afzonderlijke toestemming of schriftelijke toestemming van een persoon moet worden verkregen voor het verwerken van persoonlijke informatie, zijn dergelijke bepalingen van toepassing.
In het geval van een wijziging van het doel of de middelen voor de verwerking van persoonlijke informatie, of de categorie van verwerkte persoonlijke informatie, zal een nieuwe toestemming worden verkregen van de persoon.
Artikel 15 Wanneer de verwerking van persoonsgegevens is gebaseerd op individuele toestemming, heeft een persoon het recht om zijn toestemming in te trekken. Verwerkers van persoonsgegevens zullen personen gemakkelijke manieren bieden om hun toestemmingen in te trekken.
Het intrekken van toestemming heeft geen invloed op de geldigheid van de verwerkingsactiviteiten die zijn uitgevoerd op basis van toestemming voordat deze werd ingetrokken.
Artikel 16 Een verwerker van persoonsgegevens zal niet weigeren producten of diensten aan een persoon te leveren op grond van het feit dat de persoon zijn toestemming voor de verwerking van zijn persoonsgegevens onthoudt of zijn toestemming voor de verwerking van persoonsgegevens heeft ingetrokken, behalve wanneer de verwerking van persoonsgegevens zijn noodzakelijk voor het leveren van producten of diensten.
Artikel 17 Een persoonlijke informatieverwerker zal, alvorens persoonlijke informatie te verwerken, een persoon naar waarheid, nauwkeurig en volledig informeren over de volgende zaken op een gemakkelijk waarneembare manier en in duidelijke en gemakkelijk te begrijpen taal:
(1) de naam en contactgegevens van de verwerker van persoonsgegevens;
(2) de doeleinden en middelen voor de verwerking van persoonsgegevens, en de categorieën en bewaartermijnen van de te verwerken persoonsgegevens;
(3) de methoden en procedures voor het individu om zijn rechten uit te oefenen zoals voorzien in deze wet; en
(4) andere zaken waarvan de persoon op de hoogte moet worden gesteld, zoals bepaald door de wetten en administratieve voorschriften.
Indien een aangelegenheid zoals uiteengezet in de voorgaande paragraaf verandert, wordt de betrokkene op de hoogte gebracht van de wijziging.
Wanneer de verwerker van persoonsgegevens een persoon informeert over de in de eerste alinea genoemde aangelegenheden door regels voor de verwerking van persoonsgegevens op te stellen, worden de verwerkingsregels openbaar gemaakt en zijn ze gemakkelijk te raadplegen en op te slaan.
Artikel 18 Bij de verwerking van persoonsgegevens is het de verwerkers van persoonsgegevens toegestaan om personen niet op de hoogte te stellen van de in het eerste lid van het vorige artikel genoemde zaken, indien de wet- of bestuursrechtelijke voorschriften geheimhouding vereisen of een dergelijke melding niet vereisen.
Wanneer het onmogelijk is om personen tijdig op de hoogte te stellen in een poging om het leven, de gezondheid en de eigendom van natuurlijke personen in noodgevallen te beschermen, stellen de verwerkers van persoonsgegevens hen hiervan onverwijld in kennis nadat de noodsituatie is opgeheven.
Artikel 19 Behoudens andersluidende wettelijke en bestuursrechtelijke bepalingen, is de bewaartermijn van persoonsgegevens de minimale tijd die nodig is om het doel van de verwerking te bereiken.
Artikel 20 Wanneer twee of meer verwerkers van persoonsgegevens gezamenlijk het doel van en de middelen voor de verwerking van bepaalde persoonsgegevens bepalen, komen zij tot overeenstemming over hun respectieve rechten en plichten bij de verwerking van de persoonsgegevens. Deze overeenkomst heeft echter geen invloed op het verzoek van een persoon aan een van hen om zijn rechten zoals bepaald in deze wet uit te oefenen.
Wanneer een verwerker bij het gezamenlijk verwerken van bepaalde persoonsgegevens inbreuk maakt op de rechten en belangen op persoonsgegevens en schade veroorzaakt, zijn andere verwerkers van persoonsgegevens hoofdelijk aansprakelijk in overeenstemming met de wet.
Artikel 21 Een verwerker van persoonsgegevens die de verwerking van bepaalde persoonsgegevens aan een partij toevertrouwt, komt met de partij met de opdracht een overeenkomst overeen over het doel, de termijn en de middelen voor de verwerking, de categorieën van te verwerken persoonsgegevens en de beschermingsmaatregelen, evenals de de rechten en plichten van onder meer beide partijen, en houdt toezicht op de verwerkingen van persoonsgegevens van de toevertrouwde partij.
De toevertrouwde partij zal persoonsgegevens verwerken in overeenstemming met de overeenkomst en mag persoonsgegevens niet verwerken buiten de overeengekomen doeleinden, middelen en andere voorwaarden. Wanneer het toewijzingscontract niet van kracht is geworden, of ongeldig is, of wordt ingetrokken of beëindigd, zal de toevertrouwde partij de persoonlijke informatie in kwestie teruggeven aan de persoonlijke informatieverwerker of deze verwijderen en zal de persoonlijke informatie niet bewaren.
Zonder toestemming van de verwerker van persoonsgegevens mag de toevertrouwde partij de verwerking van persoonsgegevens niet uitbesteden aan een andere partij.
Artikel 22 Wanneer een verwerker van persoonsgegevens persoonsgegevens moet overdragen als gevolg van een fusie, splitsing, ontbinding of faillissement of om andere redenen, stelt de verwerker de personen op de hoogte van de naam en contactgegevens van de ontvanger van de overgedragen persoonsgegevens. De ontvanger blijft de verplichtingen van de genoemde persoonlijke informatieverwerker nakomen. Elke wijziging van de oorspronkelijke doeleinden of middelen van verwerking door de ontvanger is onderworpen aan individuele toestemming in overeenstemming met deze wet.
Artikel 23 Om persoonsgegevens aan een andere verwerker te verstrekken, stelt een verwerker van persoonsgegevens de personen op de hoogte van de naam en contactgegevens van de ontvanger, het doel van en de middelen voor de verwerking en de categorieën persoonsgegevens die moeten worden verwerkt, en verkrijgt hij de afzonderlijke toestemming. De ontvanger zal persoonlijke informatie verwerken in het kader van de hierboven genoemde doeleinden, middelen en categorieën van persoonlijke informatie. Elke wijziging van de doeleinden of middelen van verwerking door de ontvanger is onderworpen aan individuele toestemming in overeenstemming met deze wet.
Artikel 24 Verwerkers van persoonsgegevens die persoonsgegevens gebruiken voor geautomatiseerde besluitvorming, waarborgen de transparantie van de besluitvorming en de eerlijkheid en onpartijdigheid van de resultaten, en mogen personen geen onredelijke verschillende behandeling toepassen op het gebied van transactieprijzen en andere transactievoorwaarden.
Informatiepush en commerciële marketing naar individuen op basis van geautomatiseerde besluitvorming gaan gelijktijdig gepaard met opties die niet specifiek zijn voor hun persoonlijke kenmerken of met gemakkelijke middelen die individuen kunnen weigeren.
Wanneer een besluit dat aanzienlijke gevolgen kan hebben voor de rechten en belangen van een persoon, wordt genomen door middel van geautomatiseerde besluitvorming, heeft de persoon het recht om opheldering te vragen aan de verwerker van persoonsgegevens en het recht om de verwerker te weigeren om de beslissing alleen via geautomatiseerde besluitvorming.
Artikel 25 Verwerkers van persoonsgegevens maken de persoonsgegevens die zij verwerken niet openbaar, tenzij hiervoor afzonderlijke toestemming is verkregen van de personen.
Artikel 26 Apparatuur voor het verzamelen van afbeeldingen en persoonlijke identificatie op openbare plaatsen wordt alleen geïnstalleerd wanneer dit nodig is voor het handhaven van de openbare veiligheid, en wordt geïnstalleerd in overeenstemming met de relevante bepalingen van de staat en met duidelijke herinneringen. De verzamelde persoonlijke afbeeldingen en identificatiegegevens mogen alleen worden gebruikt voor het handhaven van de openbare veiligheid en mogen, tenzij de afzonderlijke toestemmingen van de personen zijn verkregen, niet voor enig ander doel worden gebruikt.
Artikel 27 Een verwerker van persoonlijke informatie kan redelijkerwijs de persoonlijke informatie die door een persoon zelf is vrijgegeven of andere wettelijk verstrekte persoonlijke informatie verwerken, behalve wanneer de persoon dit uitdrukkelijk weigert. Wanneer de verwerking van openbaar gemaakte persoonlijke informatie een aanzienlijke impact kan hebben op de rechten en belangen van een persoon, zullen de verwerkers van persoonlijke informatie eerst de toestemming van de persoon verkrijgen in overeenstemming met de bepalingen van deze wet.
Sectie 2 Regels voor het verwerken van gevoelige persoonlijke informatie
Artikel 28 "Gevoelige persoonlijke informatie" is persoonlijke informatie die, eenmaal gelekt of illegaal gebruikt, gemakkelijk kan leiden tot aantasting van de persoonlijke waardigheid van een natuurlijke persoon of die zijn persoonlijke veiligheid of eigendom in gevaar kan brengen, met inbegrip van informatie zoals biometrische gegevens, religieuze overtuiging, specifieke identiteit, medische gezondheidsstatus, financiële rekeningen en de verblijfplaats van de persoon, evenals de persoonlijke informatie van een minderjarige onder de 14 jaar.
Verwerkers van persoonsgegevens kunnen gevoelige persoonsgegevens alleen verwerken wanneer daar een specifiek doel voor is en wanneer het noodzakelijk is, onder de omstandigheid dat strikte beschermende maatregelen worden genomen.
Artikel 29 Voor de verwerking van gevoelige persoonsgegevens is de afzonderlijke toestemming van de betrokkene vereist. Waar andere wetten of administratieve voorschriften bepalen dat schriftelijke toestemming moet worden verkregen voor de verwerking van gevoelige persoonlijke informatie, prevaleren deze bepalingen.
Artikel 30 Naast de aangelegenheden vermeld in artikel 17, eerste alinea, van deze wet, stelt een verwerker die gevoelige persoonsgegevens verwerkt, een natuurlijke persoon in kennis van de noodzaak om zijn gevoelige persoonsgegevens te verwerken en van de impact die dit heeft op zijn rechten en belangen, behalve indien een dergelijke kennisgeving niet vereist is in overeenstemming met de bepalingen van deze wet.
Artikel 31 Om de persoonsgegevens van minderjarigen onder de 14 jaar te verwerken, hebben verwerkers van persoonsgegevens de toestemming nodig van de ouders of andere voogden van de minderjarigen.
Verwerkers van persoonlijke informatie die de persoonlijke informatie van minderjarigen onder de 14 jaar verwerken, zullen speciale regels ontwikkelen voor de verwerking van dergelijke persoonlijke informatie.
Artikel 32 Waar andere wetten of bestuursrechtelijke voorschriften bepalen dat voor de verwerking van gevoelige persoonsgegevens een relevante bestuursvergunning moet worden verkregen of andere beperkingen opleggen, prevaleren deze bepalingen.
Afdeling 3 Bijzondere bepalingen betreffende de verwerking van persoonsgegevens door staatsorganen
Artikel 33 Deze wet is van toepassing op de verwerking van persoonsgegevens door staatsorganen; waar bijzondere bepalingen in deze afdeling voorkomen, prevaleren de bepalingen van deze afdeling.
Artikel 34 Wanneer staatsorganen persoonsgegevens verwerken om hun wettelijke taken uit te voeren, handelen zij in overeenstemming met het gezag en de procedures die zijn voorgeschreven door wetten en administratieve voorschriften, en gaan zij niet verder dan de reikwijdte en limieten die nodig zijn om hun wettelijke taken uit te voeren.
Artikel 35 Wanneer staatsorganen persoonsgegevens verwerken om hun wettelijke taken uit te voeren, voldoen zij aan de kennisgevingsplicht in overeenstemming met de bepalingen van deze wet, behalve in de gevallen vermeld in artikel 18, eerste alinea, van deze wet of wanneer de kennisgeving zal de staatsorganen hinderen bij het uitvoeren van hun wettelijke taken.
Artikel 36 Persoonlijke informatie die door staatsorganen wordt verwerkt, wordt opgeslagen op het grondgebied van de Volksrepubliek China. Er wordt een veiligheidsbeoordeling uitgevoerd wanneer het echt nodig is om dergelijke informatie te verstrekken aan een partij buiten het grondgebied van de Volksrepubliek China. Bij de veiligheidsbeoordeling zullen de betrokken afdelingen desgevraagd ondersteuning en assistentie verlenen.
Artikel 37 Indien bij wet- of regelgeving gemachtigde organisaties die tot taak hebben openbare aangelegenheden te beheren, persoonsgegevens verwerken om hun wettelijke taken te vervullen, zijn de hierin opgenomen bepalingen betreffende de verwerking van persoonsgegevens door staatsorganen van toepassing.
Hoofdstuk III Regels voor het verstrekken van persoonsgegevens over de grens
Artikel 38 Een verwerker van persoonsgegevens die om zakelijke of andere redenen werkelijk persoonsgegevens moet verstrekken aan een partij buiten het grondgebied van de Volksrepubliek China, moet aan een van de volgende vereisten voldoen:
(1) slagen voor de veiligheidsbeoordeling die is georganiseerd door de nationale cyberspace-afdeling in overeenstemming met artikel 40 van deze wet;
(2) het verkrijgen van een certificering voor de bescherming van persoonlijke informatie van de relevante gespecialiseerde instelling volgens de bepalingen van de nationale cyberspace-afdeling;
(3) het sluiten van een contract waarin de rechten en plichten van beide partijen met de overzeese ontvanger worden vastgelegd in overeenstemming met het standaardcontract dat is opgesteld door de nationale cyberspace-afdeling; en
(4) voldoen aan andere voorwaarden die zijn vastgelegd in wetten en administratieve voorschriften en door de nationale cyberspace-afdeling.
Indien in een internationaal verdrag of overeenkomst die de Volksrepubliek China heeft gesloten of waartoe is toegetreden voorwaarden zijn gesteld voor het verstrekken van persoonlijke informatie aan een partij buiten het grondgebied van de Volksrepubliek China, kunnen dergelijke bepalingen worden nageleefd.
De verwerker van persoonsgegevens neemt de nodige maatregelen om ervoor te zorgen dat de verwerkingsactiviteiten van de buitenlandse ontvanger voldoen aan de normen voor de bescherming van persoonsgegevens zoals uiteengezet in deze wet.
Artikel 39 Wanneer een verwerker van persoonlijke informatie persoonlijke informatie verstrekt aan een partij buiten het grondgebied van de Volksrepubliek China, stelt de processor de personen op de hoogte van de naam en contactgegevens van de overzeese ontvanger, de doeleinden en middelen van verwerking, de categorieën van persoonlijke informatie die moeten worden verwerkt, evenals de methoden en procedures voor de personen om hun rechten zoals bepaald in deze wet uit te oefenen over de overzeese ontvanger, enz., en de afzonderlijke toestemming van de persoon moeten verkrijgen.
Artikel 40 Exploitanten van kritieke informatie-infrastructuur en de verwerkers van persoonsgegevens die persoonsgegevens verwerken tot de hoeveelheid die is voorgeschreven door de nationale cyberspace-afdeling, slaan de persoonsgegevens die op het grondgebied van de Volksrepubliek China zijn verzameld en gegenereerd, in eigen land op. Wanneer het echt nodig is om de informatie te verstrekken aan een partij buiten het grondgebied van de Volksrepubliek China, wordt de zaak onderworpen aan een veiligheidsbeoordeling die wordt georganiseerd door de nationale cyberspace-afdeling. Wanneer wetten, bestuursrechtelijke voorschriften of de bepalingen van de nationale cyberspace-afdeling bepalen dat een veiligheidsbeoordeling niet nodig is, prevaleren dergelijke bepalingen.
Artikel 41 De bevoegde autoriteiten van de Volksrepubliek China behandelen verzoeken van buitenlandse gerechtelijke of rechtshandhavingsautoriteiten om in China opgeslagen persoonlijke informatie in overeenstemming met de relevante wetten en de internationale verdragen en overeenkomsten die zijn gesloten of waartoe de Volksrepubliek China is toegetreden, of volgens het gelijkheids- en wederkerigheidsbeginsel. Zonder de goedkeuring van de bevoegde autoriteiten van de Volksrepubliek China mag geen enkele organisatie of persoon gegevens die op het grondgebied van de Volksrepubliek China zijn opgeslagen, verstrekken aan een buitenlandse gerechtelijke of rechtshandhavingsautoriteit.
Artikel 42 Wanneer overzeese organisaties of personen zich bezighouden met de verwerking van persoonsgegevens, die inbreuk maken op de rechten en belangen van burgers van de Volksrepubliek China met betrekking tot persoonsgegevens of de nationale veiligheid of de openbare belangen van de Volksrepubliek China in gevaar brengen, kan de nationale cyberspace afdeling kan ze opnemen in een lijst van beperkte of verboden ontvangers van persoonlijke informatie, de lijst bekendmaken en maatregelen nemen zoals het beperken of verbieden van het verstrekken van persoonlijke informatie aan dergelijke organisaties en individuen.
Artikel 43 Indien een land of regio enige verbiedende, beperkende of andere soortgelijke discriminerende maatregelen tegen de Volksrepubliek China neemt op het gebied van de bescherming van persoonsgegevens, kan de Volksrepubliek China tegenmaatregelen nemen tegen het voornoemde land of de voornoemde regio op basis van feitelijke situaties.
Hoofdstuk IV Individuele rechten bij de verwerking van persoonsgegevens
Artikel 44 Individuen hebben het recht om geïnformeerd te worden, het recht om beslissingen te nemen over de verwerking van hun persoonlijke informatie, en het recht om de verwerking van hun persoonlijke informatie door anderen te beperken of te weigeren, tenzij anders bepaald door wetten of administratieve voorschriften.
Artikel 45 Individuen hebben het recht om hun persoonlijke informatie van de verwerkers van persoonlijke informatie te raadplegen en te dupliceren, behalve onder de omstandigheden zoals uiteengezet in de eerste alinea van artikel 18 en artikel 35 van deze wet.
Wanneer een persoon verzoekt om raadpleging of verveelvoudiging van zijn persoonsgegevens, verstrekt de aangezochte verwerker van persoonsgegevens deze informatie tijdig.
Wanneer een persoon verzoekt om de overdracht van zijn persoonlijke informatie aan een aangewezen verwerker van persoonlijke informatie, die voldoet aan de vereisten van de nationale cyberspace-afdeling voor de overdracht van persoonlijke informatie, stelt de aangezochte persoonlijke informatieverwerker middelen voor de overdracht ter beschikking.
Artikel 46 Wanneer een persoon ontdekt dat zijn persoonsgegevens onjuist of onvolledig zijn, heeft hij het recht de verwerkers van persoonsgegevens te verzoeken de relevante informatie te corrigeren of aan te vullen.
Wanneer een persoon om rectificatie of aanvulling van zijn persoonlijke informatie verzoekt, zullen de verwerkers van persoonlijke informatie de informatie in kwestie verifiëren en tijdig corrigeren of aanvullen.
Artikel 47 In elk van de volgende omstandigheden neemt een persoonlijke informatieverwerker het initiatief om persoonlijke informatie te wissen, en heeft een persoon het recht om de verwijdering van zijn persoonlijke informatie te vragen als de persoonlijke informatieverwerker nalaat de informatie te wissen:
(1) de doeleinden van verwerking zijn bereikt of kunnen niet worden bereikt, of dergelijke informatie is niet langer nodig om de doeleinden van verwerking te bereiken;
(2) de verwerker van persoonsgegevens stopt met het leveren van producten of diensten, of de bewaartermijn is verstreken;
(3) de persoon trekt zijn toestemming in;
(4) de verwerker van persoonsgegevens verwerkt persoonsgegevens in strijd met wetten, administratieve voorschriften of overeenkomsten; of
(5) andere omstandigheden zoals voorzien door wetten en administratieve voorschriften.
Wanneer de door een wet of bestuursrechtelijke bepaling bepaalde bewaartermijn niet is verstreken, of het technisch moeilijk is om persoonlijke informatie te wissen, staakt de verwerker van persoonlijke informatie de verwerking van persoonlijke informatie anders dan het opslaan en nemen van de nodige beveiligingsmaatregelen voor dergelijke informatie.
Artikel 48 Een natuurlijke persoon heeft het recht om een verwerker van persoonsgegevens te verzoeken de door laatstgenoemde ontwikkelde regels voor de verwerking van persoonsgegevens te interpreteren.
Artikel 49 De naaste familieleden van een overleden natuurlijke persoon kunnen, voor hun eigen wettelijke en legitieme belangen, de rechten uitoefenen om de persoonlijke informatie van de overledene te behandelen, zoals raadpleging, vermenigvuldiging, rectificatie en verwijdering, zoals bepaald in dit hoofdstuk, behalve zoals anders geregeld door de overledene voor het overlijden.
Artikel 50 Een verwerker van persoonsgegevens stelt het mechanisme vast voor het ontvangen en behandelen van verzoeken van personen om hun rechten uit te oefenen. Indien het verzoek van een persoon wordt afgewezen, worden de redenen daarvoor vermeld.
Wanneer het verzoek van een persoon om zijn rechten uit te oefenen wordt afgewezen door een verwerker van persoonlijke informatie, kan de persoon een rechtszaak aanspannen bij de volksrechtbank in overeenstemming met de wet.
Hoofdstuk V Verplichtingen van verwerkers van persoonsgegevens
Artikel 51 Verwerkers van persoonsgegevens nemen de volgende maatregelen om ervoor te zorgen dat hun activiteiten op het gebied van de verwerking van persoonsgegevens in overeenstemming zijn met de wettelijke en bestuursrechtelijke voorschriften op basis van het doel en de middelen van de verwerking, de categorieën van te verwerken persoonsgegevens, de impact op de persoonlijke rechten en belangen, en de potentiële veiligheidsrisico's, en zal ongeoorloofde toegang tot, evenals inbreuk, manipulatie of verlies van persoonlijke informatie voorkomen:
(1) formuleren van intern managementsysteem en operationele procedures;
(2) het implementeren van geclassificeerd beheer van persoonlijke informatie;
(3) het nemen van overeenkomstige technische beveiligingsmaatregelen zoals encryptie en de-identificatie;
(4) redelijkerwijs bepalen van de operationele autoriteit van de verwerking van persoonlijke informatie, en regelmatig veiligheidseducatie en -training voor beoefenaars geven;
(5) het formuleren van noodplannen voor noodsituaties op het gebied van persoonlijke informatiebeveiliging en het organiseren van de uitvoering van dergelijke plannen; en
(6) overige maatregelen zoals voorzien door wetten en bestuursrechtelijke regelingen.
Artikel 52 Een verwerker van persoonsgegevens die persoonsgegevens verwerkt tot het bedrag dat is voorgeschreven door de nationale cyberspace-afdeling, wijst een persoon aan die verantwoordelijk is voor de bescherming van persoonsgegevens, die toezicht houdt op de verwerkingsactiviteiten van de verwerker en op de daarbij genomen beschermende maatregelen , onder andere.
De verwerker van persoonlijke informatie maakt de contactgegevens bekend van de persoon die verantwoordelijk is voor de bescherming van persoonlijke informatie en dient de naam, contactgegevens en andere informatie van de persoon in bij de afdelingen met taken op het gebied van de bescherming van persoonlijke informatie.
Artikel 53 Verwerkers van persoonsgegevens buiten het grondgebied van de Volksrepubliek China, zoals gespecificeerd in artikel 3, tweede alinea, van deze wet, richten op het grondgebied van de Volksrepubliek China gespecialiseerde agentschappen op of wijzen vertegenwoordigers aan die verantwoordelijk zijn voor de behandeling van persoonsgegevens bescherming gerelateerde zaken, en zal de namen, contactgegevens en andere informatie van de agentschappen en vertegenwoordigers indienen bij de afdelingen met taken op het gebied van de bescherming van persoonsgegevens.
Artikel 54 Verwerkers van persoonsgegevens voeren regelmatig audits uit van hun activiteiten op het gebied van de verwerking van persoonsgegevens met de wet- en bestuursvoorschriften.
Artikel 55 In elk van de volgende omstandigheden beoordeelt een verwerker van persoonsgegevens vooraf de impact op de bescherming van persoonsgegevens en houdt hij het verloop van de verwerking bij:
(1) verwerking van gevoelige persoonlijke informatie;
(2) het gebruiken van persoonlijke informatie om geautomatiseerde besluitvorming uit te voeren;
(3) het toevertrouwen van de verwerking van persoonlijke informatie aan een andere partij, het verstrekken van persoonlijke informatie aan een andere partij of het publiceren van persoonlijke informatie;
(4) het verstrekken van persoonlijke informatie aan een partij buiten het grondgebied van de Volksrepubliek China; of
(5) het uitvoeren van andere verwerkingsactiviteiten van persoonsgegevens die aanzienlijke gevolgen kunnen hebben voor personen.
Artikel 56 De beoordeling van het effect op de bescherming van persoonsgegevens omvat de volgende inhoud:
(1) of de doeleinden en middelen voor de verwerking van persoonsgegevens legitiem, gerechtvaardigd en noodzakelijk zijn;
(2) de impact op de rechten en belangen van individuen, en veiligheidsrisico's; en
(3) of de genomen beschermingsmaatregelen legitiem, effectief en verenigbaar zijn met de mate van risico's.
Het verslag van de effectbeoordeling inzake de bescherming van persoonsgegevens en het verwerkingsregister wordt ten minste drie jaar bewaard.
Artikel 57 Wanneer de inbreuk, manipulatie of het verlies van persoonsgegevens plaatsvindt of kan plaatsvinden, neemt een verwerker van persoonsgegevens onmiddellijk corrigerende maatregelen en stelt hij de afdelingen met taken op het gebied van de bescherming van persoonsgegevens en de relevante personen op de hoogte. De kennisgeving bevat de volgende punten:
(1) de categorieën persoonsgegevens die zijn of kunnen worden geschonden, waarmee is geknoeid of verloren zijn gegaan, en de redenen en mogelijke schade van de inbreuk, manipulatie en verlies;
(2) de herstelmaatregelen die zijn genomen door de verwerker van persoonsgegevens en de maatregelen die de personen kunnen nemen om de schade te beperken; en
(3) de contactgegevens van de verwerker van persoonsgegevens.
Wanneer de door de verwerker van persoonsgegevens genomen maatregelen de schade die wordt veroorzaakt door inbreuk, manipulatie of verlies van persoonsgegevens effectief kunnen voorkomen, is de verwerker van persoonsgegevens niet verplicht om personen op de hoogte te stellen; wanneer de afdelingen met taken op het gebied van de bescherming van persoonsgegevens van mening zijn dat er schade kan worden veroorzaakt, hebben zij de bevoegdheid om de verwerker van persoonsgegevens te verzoeken personen op de hoogte te stellen.
Artikel 58 Een verwerker van persoonsgegevens die belangrijke internetplatformdiensten levert waarbij een groot aantal gebruikers en gecompliceerde bedrijfstypes betrokken zijn, komt de volgende verplichtingen na:
(1) het opzetten en verbeteren van het nalevingssysteem voor de bescherming van persoonsgegevens in overeenstemming met de bepalingen van de staat en het opzetten van een onafhankelijke organisatie die hoofdzakelijk bestaat uit externe leden om toezicht te houden op de bescherming van persoonsgegevens;
(2) het volgen van de principes van openheid, eerlijkheid en rechtvaardigheid, het formuleren van platformregels en het verduidelijken van de normen en verplichtingen waaraan product- of serviceproviders binnen het platform moeten voldoen bij het verwerken van persoonlijke informatie;
(3) het stopzetten van het verlenen van diensten aan product- of serviceproviders binnen de platforms die persoonlijke informatie verwerken in ernstige overtreding van wetten en administratieve voorschriften; en
(4) het regelmatig publiceren van rapporten over maatschappelijke verantwoordelijkheid over de bescherming van persoonsgegevens voor openbaar toezicht.
Artikel 59 De partij die met de verwerking van persoonsgegevens is belast, neemt, in overeenstemming met deze wet en de relevante wettelijke en bestuursrechtelijke voorschriften, de nodige maatregelen om de veiligheid van de voor de verwerking toevertrouwde persoonsgegevens te waarborgen, en helpt de verwerker van persoonsgegevens bij het vervullen van de verplichtingen waarin deze wet voorziet.
Hoofdstuk VI Afdelingen met taken ter bescherming van persoonsgegevens
Artikel 60 De nationale cyberspace-afdeling is verantwoordelijk voor de algemene planning en coördinatie van de bescherming van persoonsgegevens en het daarmee verband houdende toezicht en bestuur. De relevante afdelingen van de Staatsraad zijn, in overeenstemming met deze wet en andere relevante wetten en administratieve voorschriften, verantwoordelijk voor de bescherming van persoonsgegevens en het daarmee verband houdende toezicht en beheer in het kader van hun respectieve taken.
De taken van de bescherming van persoonsgegevens en het daarmee verband houdende toezicht en bestuur van de relevante afdelingen van de plaatselijke volksregeringen op of boven het provinciaal niveau zullen worden bepaald in overeenstemming met de relevante bepalingen van de staat.
De afdelingen genoemd in de voorgaande twee paragrafen worden gezamenlijk aangeduid als de afdelingen met taken op het gebied van de bescherming van persoonsgegevens.
Artikel 61 Afdelingen met taken op het gebied van de bescherming van persoonsgegevens voeren de volgende taken op het gebied van de bescherming van persoonsgegevens uit:
(1) het verzorgen van publiciteit en voorlichting over de bescherming van persoonsgegevens, en het begeleiden en begeleiden van verwerkers van persoonsgegevens bij hun bescherming van persoonsgegevens;
(2) het ontvangen en behandelen van klachten en meldingen met betrekking tot de bescherming van persoonsgegevens;
(3) het organiseren van evaluaties van aanvragen, enz. op het gebied van de bescherming van persoonsgegevens en het publiceren van de resultaten van dergelijke evaluaties;
(4) het onderzoeken en afhandelen van illegale activiteiten op het gebied van de verwerking van persoonsgegevens; en
(5) andere taken zoals voorzien door wetten en administratieve voorschriften.
Artikel 62 De nationale cyberspace-afdeling coördineert de relevante afdelingen om de bescherming van persoonsgegevens te bevorderen door de volgende inspanningen in overeenstemming met deze wet:
(1) het formuleren van specifieke regels en normen voor de bescherming van persoonsgegevens;
(2) het ontwikkelen van speciale regels en normen voor de bescherming van persoonsgegevens voor kleine verwerkers van persoonsgegevens, de verwerking van gevoelige persoonsgegevens en nieuwe technologieën en toepassingen zoals gezichtsherkenning en kunstmatige intelligentie;
(3) ondersteuning van onderzoek en ontwikkeling, en bevordering van de toepassing van veilige en gemakkelijke elektronische identiteitsauthenticatietechnologie, en bevordering van de openbare diensten voor authenticatie van netwerkidentiteit;
(4) het bevorderen van de ontwikkeling van een systeem voor de bescherming van persoonlijke informatie met de deelname van verschillende sociale sectoren, en het ondersteunen van relevante instellingen bij het verstrekken van beoordelings- en certificeringsdiensten voor persoonlijke informatie; en
(5) verbetering van het klachten- en rapportagemechanisme met betrekking tot de bescherming van persoonsgegevens.
Artikel 63 Een afdeling met taken op het gebied van de bescherming van persoonsgegevens kan bij het vervullen van daarmee samenhangende taken de volgende maatregelen nemen:
(1) het ondervragen van relevante partijen en het onderzoeken van omstandigheden met betrekking tot de verwerking van persoonsgegevens;
(2) het raadplegen en dupliceren van de contracten, documenten, rekeningboeken en ander relevant materiaal van de partijen met betrekking tot activiteiten op het gebied van de verwerking van persoonsgegevens;
(3) het uitvoeren van inspecties ter plaatse en het onderzoeken van vermoedelijke illegale activiteiten op het gebied van de verwerking van persoonsgegevens; en
(4) het inspecteren van apparatuur en artikelen die verband houden met activiteiten op het gebied van de verwerking van persoonsgegevens; en het verzegelen of in beslag nemen van apparatuur en artikelen die verband houden met illegale activiteiten op het gebied van de verwerking van persoonsgegevens, zoals bewezen door bewijs na het indienen van schriftelijke rapporten aan en het verkrijgen van goedkeuring van de hoofdpersoon die verantwoordelijk is voor de afdelingen met taken op het gebied van de bescherming van persoonsgegevens.
Wanneer afdelingen met taken op het gebied van de bescherming van persoonsgegevens hun taken in overeenstemming met de wet uitvoeren, zullen de betrokken partijen samenwerken en bijstand verlenen, en deze niet afwijzen of belemmeren.
Artikel 64 Indien een afdeling met taken op het gebied van de bescherming van persoonsgegevens bij de uitvoering van haar taken relatief hoge risico's constateert bij de verwerking van persoonsgegevens of het optreden van incidenten op het gebied van de beveiliging van persoonsgegevens, kan de afdeling een onderhoud voeren met de wettelijke vertegenwoordiger of de hoofdverantwoordelijke van de verwerker van persoonsgegevens volgens de verstrekte autoriteit en procedures, of de verwerker verzoeken een professionele instelling toe te vertrouwen om nalevingsaudits van de verwerkingsactiviteiten van persoonsgegevens uit te voeren. De verwerker van persoonsgegevens neemt de nodige maatregelen om rectificatie uit te voeren en mogelijke risico's te elimineren.
Wanneer een afdeling met taken op het gebied van de bescherming van persoonsgegevens bij de uitvoering van haar taken een illegale verwerking van persoonsgegevens constateert die een misdrijf kan inhouden, draagt de afdeling de zaak tijdig over aan het openbare veiligheidsorgaan in overeenstemming met de wet.
Artikel 65 Elke organisatie of persoon heeft het recht om een klacht in te dienen bij een afdeling met taken op het gebied van de bescherming van persoonsgegevens over illegale verwerking van persoonsgegevens. De afdeling die een dergelijke klacht of melding ontvangt, behandelt deze tijdig in overeenstemming met de wet en stelt de klager of informant op de hoogte van de resultaten.
Afdelingen met taken op het gebied van de bescherming van persoonsgegevens publiceren hun contactgegevens voor het ontvangen van klachten en meldingen.
Hoofdstuk VII Wettelijke aansprakelijkheid
Artikel 66 Wanneer persoonsgegevens worden verwerkt in strijd met de bepalingen van deze wet of zonder te voldoen aan de verplichtingen op het gebied van de bescherming van persoonsgegevens zoals bepaald in deze wet, bevelen de diensten met plichten op het gebied van de bescherming van persoonsgegevens de overtreder aan om correcties aan te brengen, een waarschuwing te geven, de onwettige winsten, en de opschorting of beëindiging van de levering van diensten gelasten door de applicaties die op illegale wijze persoonlijke informatie verwerken; indien de overtreder weigert correcties aan te brengen, wordt daarop een boete van niet meer dan RMB één miljoen yuan opgelegd; en de direct aansprakelijke personen die de leiding hebben en andere direct aansprakelijke personen zullen elk een boete krijgen van niet minder dan RMB 10,000 yuan en niet meer dan RMB 100,000 yuan.
In het geval van een onwettige handeling zoals voorgeschreven in het vorige lid en de omstandigheden ernstig zijn, zullen de afdelingen met taken op het gebied van de bescherming van persoonsgegevens op of hoger provinciaal niveau de overtreder gelasten correcties aan te brengen, de onwettige winsten in beslag te nemen, een boete op te leggen van niet meer dan dan RMB 50 miljoen yuan of niet meer dan vijf procent van de omzet van het voorgaande jaar; kan ook de schorsing van relevante bedrijven gelasten, of de schorsing van alle bedrijfsactiviteiten gelasten voor een revisie, en de bevoegde autoriteiten informeren om de relevante bedrijfsvergunningen of licenties in te trekken; zal een boete van niet minder dan RMB 100,000 yuan maar niet meer dan RMB 1 miljoen yuan opleggen aan elk van de direct aansprakelijke verantwoordelijken en andere direct aansprakelijke personen, en kan besluiten de bovengenoemde personen te verbieden om op te treden als bestuurders, toezichthouders, senior managers, of de personen die verantwoordelijk zijn voor relevante bedrijven binnen een bepaalde periode.
Artikel 67 Elke overtreding van de bepalingen van deze wet wordt aangetekend in het desbetreffende kredietdossier en gepubliceerd in overeenstemming met de bepalingen van de relevante wetten en administratieve reglementen.
Artikel 68 Wanneer een staatsorgaan de verplichtingen inzake de bescherming van persoonsgegevens zoals bepaald in deze wet niet nakomt, beveelt het orgaan op het hogere niveau of de afdelingen met taken op het gebied van de bescherming van persoonsgegevens het tot het aanbrengen van correcties, en tucht het de direct aansprakelijke persoon die verantwoordelijk is en andere volgens de wet direct aansprakelijke personen.
Wanneer een personeelslid van een afdeling met taken op het gebied van de bescherming van persoonsgegevens taken verwaarloost, macht misbruikt of vriendjespolitiek beoefent, wat geen misdaad is, wordt het personeelslid onderworpen aan sancties in overeenstemming met de wet.
Artikel 69 Wanneer een verwerker van persoonsgegevens inbreuk maakt op de rechten of belangen met betrekking tot persoonsgegevens als gevolg van enige verwerking van persoonsgegevens en niet kan bewijzen dat de verwerker geen schuld heeft, aanvaardt de verwerker de aansprakelijkheid voor schade en andere aansprakelijkheid voor onrechtmatige daad.
De aansprakelijkheid voor schade zoals voorgeschreven in de voorgaande paragraaf wordt bepaald op basis van de verliezen van personen die daardoor zijn geleden en de voordelen die worden verkregen door de inbreukmakende persoonsgegevensverwerker; en waar het moeilijk is om de bovengenoemde verliezen of voordelen vast te stellen, wordt het bedrag van de schadevergoeding bepaald op basis van de werkelijke omstandigheden.
Artikel 70 Wanneer een verwerker van persoonlijke informatie persoonlijke informatie verwerkt in strijd met de bepalingen van deze wet en inbreuk maakt op de rechten en belangen van veel personen, kunnen het volksparket, de door de wet gespecificeerde consumentenorganisaties en de door de nationale cyberspace-afdeling aangewezen organisatie een rechtszaak aanspannen bij de volksrechtbank in overeenstemming met de wet.
Artikel 71 Elke overtreding van deze wet die een overtreding van de openbare veiligheid vormt, is onderworpen aan een boete van de openbare veiligheid overeenkomstig de wet. Indien de overtreding een misdrijf vormt, wordt de overtreder strafrechtelijk aansprakelijk gesteld in overeenstemming met de wet.
Hoofdstuk VIII Aanvullende bepalingen
Artikel 72 Deze wet is niet van toepassing wanneer een natuurlijke persoon persoonsgegevens verwerkt voor persoonlijke of huishoudelijke aangelegenheden.
Waar andere wetten voorzien in verwerking van persoonlijke informatie in statistische of archiefbeheeractiviteiten die worden georganiseerd en uitgevoerd door de volksregeringen op alle niveaus en hun relevante afdelingen, prevaleren de bepalingen van dergelijke wetten.
Artikel 73 Voor de toepassing van deze wet hebben de volgende termen de volgende betekenis:
(1) "Een verwerker van persoonsgegevens" verwijst naar een organisatie of persoon die autonoom het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt.
(2) "geautomatiseerde besluitvorming" verwijst naar de activiteiten van het automatisch analyseren en evalueren van persoonlijk gedrag, hobby's of economische, gezondheids- en kredietstatus, onder andere door middel van computerprogramma's, en het nemen van beslissingen.
(3) "de-identificatie" verwijst naar het verwerken van persoonlijke informatie om het onmogelijk te maken om specifieke natuurlijke personen te identificeren zonder ondersteuning van aanvullende informatie.
(4) "anonimisering" verwijst naar het proces van verwerking van persoonlijke informatie om het onmogelijk te maken om specifieke natuurlijke personen te identificeren en onmogelijk te herstellen.
Artikel 74 Deze wet treedt in werking met ingang van 1 november 2021.