(Принят на 30-м заседании Постоянного комитета Всекитайского собрания народных представителей 13-го созыва 20 августа 2021 г.)

Глава I. Общие положения.

Статья 1. Настоящий Закон принят в соответствии с Конституцией для защиты прав и интересов в отношении персональной информации, регулирования обработки персональной информации и содействия разумному использованию персональной информации.

Статья 2. Персональная информация любого физического лица охраняется законом, и никакая организация или физическое лицо не может нарушать права на защиту персональной информации любого физического лица.

Статья 3. Настоящий Закон применяется к процессу обработки персональной информации физических лиц на территории Китайской Народной Республики. Настоящий Закон также применяется к деятельности, осуществляемой за пределами территории Китайской Народной Республики для обработки персональной информации физических лиц на территории Китайской Народной Республики при любом из следующих обстоятельств: (I) если целью является предоставление товаров или услуг местным физическим лицам; (II) когда целью является анализ и оценка деятельности местных физических лиц; а также (III) иные обстоятельства, предусмотренные законами и административными регламентами.

Статья 4. Персональная информация относится к различным видам информации, относящейся к идентифицированным или идентифицируемым физическим лицам, записанной с помощью электронных или других средств, за исключением информации, обрабатываемой анонимно. Обработка персональной информации включает в себя сбор, хранение, использование, обработку, передачу, предоставление, публикацию и удаление персональной информации.

Статья 5. Персональные данные должны обрабатываться в соответствии с принципами законности, необходимости и добросовестности и не должны обрабатываться путем введения в заблуждение, мошенничества, принуждения или иными способами.

Статья 6. Обработка персональной информации должна осуществляться с определенной и разумной целью, должна быть непосредственно связана с целью обработки и должна обрабатываться таким образом, который оказывает наименьшее влияние на права и интересы личности. Сбор персональной информации должен быть ограничен минимальным объемом, необходимым для целей обработки данного вида информации.

Статья 7. При обработке персональных данных должны соблюдаться принципы открытости и прозрачности, раскрываться правила обработки персональных данных, а также прямо указываться цель, способ и объем обработки.

Статья 8. При обработке персональных данных должно быть обеспечено качество персональных данных во избежание неблагоприятного воздействия на права и интересы личности, вызванного неточными и неполными персональными данными.

Статья 9. Операторы персональной информации несут ответственность за обработку персональной информации и принимают необходимые меры для обеспечения безопасности обрабатываемой персональной информации.

Статья 10. Никакая организация или физическое лицо не может незаконно собирать, использовать, обрабатывать или передавать персональную информацию других людей, или незаконно торговать, предоставлять или раскрывать персональную информацию других людей, или заниматься обработкой персональной информации, которая ставит под угрозу национальную безопасность или общественные интересы.

Статья 11. Государство создает надежную систему защиты персональной информации, предотвращает и наказывает за нарушение прав на персональную информацию, укрепляет гласность и образование в области защиты персональной информации, а также способствует формированию благоприятных условий для правительства, предприятий, соответствующих социальных организаций и общественности, совместно участвующих в защите персональной информации.

Статья 12. Государство активно участвует в разработке международных правил защиты персональной информации, содействует международному обмену и сотрудничеству в области защиты персональной информации, а также способствует взаимному признанию правил и стандартов защиты персональной информации с другими странами, регионами и международными организациями.

Глава II. Правила обработки персональной информации.

Раздел 1. Общие положения.

Статья 13. Только при любом из следующих обстоятельств оператор персональной информации может обрабатывать персональную информацию: (I) если получено согласие заинтересованного лица; (II) когда это необходимо для заключения или выполнения контракта, стороной которого является заинтересованное лицо, или для осуществления управления человеческими ресурсами в соответствии с трудовыми нормами и правилами, сформулированными в соответствии с законом, и коллективными договорами, заключенными в соответствии с законом; (III) когда это необходимо для выполнения уставных обязательств; (IV) когда это необходимо для преодоления чрезвычайных ситуаций в области общественного здравоохранения или для защиты жизни, здоровья и сохранности имущества физического лица; (V) когда такие действия, как сообщение новостей и надзор со стороны общественного мнения, осуществляются в общественных интересах, и обработка персональной информации осуществляется в разумных пределах; (VI) когда персональная информация, раскрытая самими физическими лицами, или другая законно раскрытая персональная информация обрабатывается в разумных пределах в соответствии с положениями настоящего Закона; а также (VII) в иных обстоятельствах, предусмотренных законами и административными актами. Для обработки персональных данных, предусмотренных иными пунктами настоящего Закона, требуется согласие физического лица, но при обстоятельствах, указанных в предыдущем абзаце с (II) по (VII), согласие физического лица не требуется.

Статья 14. Если обработка персональной информации основана на согласии заинтересованного лица, такое согласие должно быть дано заинтересованным лицом добровольным и явным образом при условии полного информирования. Если законы и административные правила предусматривают, что обработка персональной информации осуществляется с согласия или, в отдельных случаях, письменного согласия лица, такие положения имеют преимущественную силу. В случае изменения цели или способа обработки персональных данных или вида обрабатываемых персональных данных согласие физического лица должно быть получено повторно.

Если оператор персональной информации знает или должен знать, что обрабатываемая им персональная информация является персональной информацией несовершеннолетнего в возрасте до 14 лет, он должен получить согласие родителя несовершеннолетнего или других опекунов. Операторы персональных данных должны разработать специальные правила обработки персональных данных для обработки персональных данных несовершеннолетних в возрасте до 14 лет.

Статья 15. Если обработка персональной информации основана на согласии заинтересованного лица, лицо имеет право отозвать свое согласие. Оператор персональной информации должен предоставить удобные средства для отзыва согласия. Отзыв согласия физического лица не влияет на действительность обработки персональных данных, которая проводилась до отзыва согласия физического лица.

Статья 16. Оператор персональной информации не должен отказывать в предоставлении продуктов или услуг на том основании, что физическое лицо не соглашается на обработку своей персональной информации или отзывает свое согласие, за исключением случаев, когда обработка персональной информации необходима для предоставления продуктов или услуг.

Статья 17. Перед обработкой персональной информации оператор персональной информации должен правдиво, точно и полностью информировать лицо о следующих вопросах в открытой форме и понятным языком: (I) имя и контактная информация оператора персональной информации; (II) цель и метод обработки персональной информации, а также тип и срок хранения обработанной персональной информации; (III) способ и порядок осуществления физическим лицом прав, предусмотренных настоящим документом; а также (IV) другие вопросы, которые должны быть уведомлены в соответствии с положениями законов и административных правил. Если какой-либо из вопросов, предусмотренных в предыдущем параграфе, изменяется, физическое лицо должно быть уведомлено о таком изменении.

Статья 18. При обработке персональных данных оператор персональных данных не может уведомлять физическое лицо о вопросах, предусмотренных законами и административными нормативными актами, в которых должна соблюдаться конфиденциальность, либо уведомлять физическое лицо о вопросах, предусмотренных в пункте 1 предыдущей статьи. В случае возникновения чрезвычайной ситуации и отсутствия возможности своевременно информировать физическое лицо в целях защиты жизни, здоровья и сохранности имущества физических лиц, оператор персональных данных должен своевременно информировать об этом физическое лицо после устранения чрезвычайной ситуации.

Статья 19. Срок хранения персональных данных – это минимальный срок, необходимый для достижения цели обработки, за исключением случаев, когда срок хранения персональных данных предусмотрен законами и административными нормативными актами.

Статья 20 Если более двух операторов персональной информации совместно определяют цель и метод обработки персональной информации, их соответствующие права и обязанности должны быть согласованы. Однако такое соглашение не затрагивает право физического лица на осуществление прав, предусмотренных настоящим Законом, в отношении любого из операторов персональной информации. Если операторы персональной информации, совместно обрабатывающие персональную информацию, нарушают права и интересы в отношении персональной информации и причиняют ущерб, они несут солидарную ответственность в соответствии с законом.

Статья 21. Если оператор персональной информации поручает обработку персональной информации другим лицам, он согласовывает с доверенной стороной цель, продолжительность и метод доверенной обработки, тип и меры защиты персональной информации, а также права и обязанности обеих сторон, а также принимает на себя обязанности контролировать действия по обработке персональной информации доверенной стороны. Доверенная сторона должна обрабатывать персональную информацию в соответствии с договоренностью и не должна обрабатывать персональную информацию сверх согласованной цели и метода обработки. Если договор признан недействительным, отозван или расторгнут, доверенная сторона должна вернуть персональную информацию оператору персональной информации или удалить персональную информацию, но не должна сохранять персональную информацию. Без согласия оператора персональной информации доверенная сторона не должна повторно поручать другим обрабатывать персональную информацию.

Статья 22. Если оператору персональной информации необходимо передать персональную информацию по таким причинам, как слияние, разделение, роспуск или объявление банкротом, он должен сообщить лицу имя и контактную информацию получателя. Получатель должен продолжать выполнять свои обязательства в качестве оператора персональной информации. Если получатель изменяет первоначальную цель и способ обработки, он должен заново получить согласие физического лица в соответствии с настоящим Законом.

Статья 23. Если оператор персональной информации предоставляет другим операторам персональной информации обрабатываемую им персональную информацию, он должен сообщить физическому лицу имя и контактную информацию третьего лица, цель и метод обработки и тип персональной информации, а также получить его /ее отдельное согласие. Сторона, получающая персональную информацию, обрабатывает персональную информацию в рамках вышеуказанных целей и методов обработки и типа персональной информации. Если сторона, получающая персональную информацию, изменяет первоначальную цель и способ обработки, она должна информировать об этом физическое лицо и вновь получить его согласие в соответствии с настоящим Законом.

Статья 24. В тех случаях, когда операторы персональной информации используют персональную информацию для принятия автоматических решений, должны быть обеспечены прозрачность принятия решений и справедливость результатов, а также не должно применяться необоснованное дифференцированное отношение к отдельным лицам с точки зрения цены сделки и других условий сделки. Если маркетинг и информационное продвижение осуществляются посредством автоматического принятия решений, одновременно должны быть предоставлены варианты, не основанные на его / ее личных характеристиках, или должен быть предоставлен удобный способ отказа физических лиц. Если автоматическое принятие решения оказывает существенное влияние на права и интересы лица, оно вправе потребовать от оператора персональных данных объяснений и отклонить решение, принятое оператором персональных данных, только путем автоматического принятия решения.

Статья 25. Оператор персональных данных не должен разглашать персональные данные, которые он обрабатывает, за исключением случаев, когда получено согласие физического лица или иное требуется в соответствии с законами и административными правилами.

Статья 26. Оборудование для фиксации изображения и идентификации личности, установленное в общественных местах, необходимо для обеспечения общественной безопасности, должно соответствовать законодательным положениям, при установке подобного рода оборудования должны быть установлены заметные предупреждающие знаки. Личные изображения и собранная персональная информация могут использоваться только в целях обеспечения общественной безопасности и не должны использоваться для других целей, если не получено согласие человека.

Статья 27. Операторы персональной информации могут в разумных пределах обрабатывать персональную информацию, которая была раскрыта самими лицами, или другую персональную информацию, раскрытую на законных основаниях, за исключением случаев, когда физическое лицо явно отказывается. Операторы персональной информации должны получить согласие физических лиц в соответствии с положениями настоящего Закона, если обработка раскрытой персональной информации оказывает существенное влияние на права и интересы физических лиц.

Раздел 2. Правила обработки конфиденциальной персональной информации.

Статья 28. Конфиденциальная персональная информация относится к персональной информации, которая может легко привести к унижению личного достоинства или физического лица или нанести ущерб персональной или имущественной безопасности в случае утечки или незаконного использования, включая такую информацию, как биометрические данные, религиозные убеждения, идентичность, медицинское состояние, финансовые счета и местонахождение, а также персональную информацию о несовершеннолетних в возрасте до 14 лет. Операторы персональной информации могут обрабатывать конфиденциальную персональную информацию только тогда, когда у них есть конкретная цель и достаточная необходимость, и они принимают строгие меры защиты.

Статья 29. Для обработки конфиденциальной персональной информации необходимо получить индивидуальное согласие. Если законы и административные правила предусматривают, что обработка конфиденциальной персональной информации осуществляется с письменного согласия, такие положения имеют преимущественную силу.

Статья 30. Для обработки конфиденциальной персональной информации лица оператор персональной информации должен информировать физическое лицо о необходимости обработки конфиденциальной персональной информации и влиянии на права и интересы человека, в дополнение к случаям, предусмотренным пунктом 1 статьи 17 настоящего Закона, за исключением тех случаях, в которых информация не может быть доведена до сведения физических лиц в соответствии с положениями настоящего Закона.

Статья 31. Если оператор персональной информации знает или должен знать, что обрабатываемая им персональная информация является персональной информацией несовершеннолетнего в возрасте до 14 лет, он должен получить согласие родителя несовершеннолетнего или других опекунов. Операторы персональных данных должны разработать специальные правила обработки персональных данных для обработки персональных данных несовершеннолетних в возрасте до 14 лет.

Статья 32. Если законы и административные правила предусматривают, что обработка конфиденциальной персональной информации подлежит соответствующему административному разрешению или другим ограничениям, такие положения имеют преимущественную силу.

Раздел 3. Специальные положения об обработке персональных данных государственными органами.

Статья 33. Настоящий Закон распространяется на деятельность государственных органов по обработке персональных данных; если в настоящем Разделе имеются специальные положения, то применяются положения настоящего Раздела.

Статья 34. Обработка персональной информации государственным органом в целях выполнения его уставных обязанностей осуществляется в соответствии с полномочиями и процедурами, установленными законами и административными постановлениями, и не должна превышать объема и пределов, необходимых для выполнения его уставных обязанностей.

Статья 35. Государственный орган, осуществляющий обработку персональных данных в целях выполнения своих уставных обязанностей, обязан выполнять обязанность по уведомлению в соответствии с настоящим Законом, за исключением обстоятельств, предусмотренных пунктом 1 статьи 18, или если уведомление будет препятствовать выполнению государственным органом своих обязанностей.

Статья 36. Персональная информация, обрабатываемая государственным органом, хранится на территории Китайской Народной Республики; если необходимо предоставить такую информацию иностранной стороне, то должна быть проведена оценка безопасности. От соответствующих отделов может потребоваться определенная помощь в оценке безопасности.

Статья 37. Положения настоящего Закона о персональных данных, обрабатываемых государственными органами, применяются к обработке персональных данных организациями, уполномоченными законами и нормативными актами с функцией управления государственными делами для выполнения уставных обязанностей.

Глава III. Правила трансграничного предоставления персональных данных.

Статья 38. Если оператору персональной информации необходимо предоставить персональную информацию за пределами территории Китайской Народной Республики по деловым или иным причинам, то оператор должен соответствовать любому из следующих условий: (I) если он прошел оценку безопасности, организованную Государственной администрацией по киберпространству в соответствии со статьей 40 настоящего Закона; (II) если он был сертифицирован специалистом в соответствии с положениями Государственной администрации по киберпространству в отношении защиты персональной информации; (III) если он заключил договор с зарубежным получателем в соответствии со стандартным договором, составленным государственной администрацией киберпространства, с указанием прав и обязанностей обеих сторон; или же (IV) если он выполнил другие условия, установленные законами, административными правилами или Государственной администрацией по киберпространству. Если международные договоры и соглашения, которые Китайская Народная Республика заключила или в которых участвовала, содержат положения об условиях предоставления персональной информации за пределами территории Китайской Народной Республики, такие положения могут соблюдаться. Операторы персональной информации должны принять необходимые меры для обеспечения того, чтобы обработка персональной информации зарубежными получателями соответствовала стандартам защиты персональной информации, предусмотренным настоящим законом.

Статья 39. Если оператор персональной информации предоставляет персональную информацию лица стороне за пределами территории Китайской Народной Республики, он должен информировать лицо о таких данных, как имя иностранного получателя, контактная информация, цель и способ передачи, тип персональной информации, а также способ и порядок осуществления физическим лицом прав, предусмотренных настоящим документом, в отношении иностранного получателя, кроме того, оператор должен получить отдельное согласие физического лица.

Статья 40. Операторы критической информационной инфраструктуры и операторы персональной информации, обработка персональной информации которых достигает количества, установленного Государственной администрацией по киберпространству, должны хранить персональную информацию, собранную и созданную на территории Китайской Народной Республики, на территории Китая. Если действительно необходимо предоставить такую информацию и данные зарубежным сторонам, они подлежат оценке безопасности, организованной Государственной администрацией по киберпространству; если законы, административные правила или положения Государственной администрации по киберпространству предусматривают, что оценка безопасности не требуется, такие положения имеют преимущественную силу.

Статья 41 Компетентные органы власти Китайской Народной Республики в соответствии с соответствующими законами, международными договорами и соглашениями, заключенными или в которых участвовала Китайская Народная Республика, а также в соответствии с принципом равенства и взаимности, рассматривают запросы иностранных судебных или правоохранительных органов, агентств по предоставлению персональной информации, хранящейся в Китае. Без разрешения компетентного органа Китайской Народной Республики оператор персональной информации не должен предоставлять персональную информацию, хранящуюся на территории Китайской Народной Республики, судебным или правоохранительным органам за пределами территории Китайской Народной Республики.

Статья 42 Любую зарубежную организацию или физическое лицо, чья деятельность по обработке персональной информации наносит ущерб правам на персональную информацию и интересам граждан Китайской Народной Республики или ставит под угрозу национальную безопасность или общественные интересы Китайской Народной Республики, Государственная администрация по киберпространству может включать в списки ограниченного или запрещенного предоставления персональной информации, объявить об этом и принять такие меры, как ограничение или запрет на предоставление персональной информации такой иностранной организации или физическому лицу.

Статья 43. Если какая-либо страна или регион принимает дискриминационные запретительные, ограничительные или иные подобные меры в отношении Китайской Народной Республики в области защиты персональной информации, Китайская Народная Республика может, в зависимости от обстоятельств, принять ответные меры против такой страны или региона.

Глава IV. Права физических лиц в деятельности по обработке персональных данных.

Статья 44. Физическое лицо имеет право знать и принимать решения об обработке своих персональных данных, а также право ограничивать или отказывать другим в обработке его персональных данных, если иное не предусмотрено законами и административными актами.

Статья 45. Физическое лицо имеет право просматривать или копировать свою персональную информацию из данных оператора персональной информации, за исключением обстоятельств, предусмотренных в пункте 1 статьи 18 и статье 35 настоящего документа. Если физическое лицо запрашивает просмотр или копирование своей персональной информации, оператор персональной информации должен своевременно предоставить такую информацию. Если физическое лицо запрашивает передачу своей персональной информации назначенному им оператору персональной информации, оператор персональной информации должен предоставить средства для такой передачи, если соблюдены условия, установленные Государственной администрацией по киберпространству.

Статья 46. Если физическое лицо считает, что его персональные данные неточны или неполны, оно имеет право потребовать от оператора персональных данных внесения исправлений или дополнений. Если физическое лицо запрашивает исправления или дополнения к своей персональной информации, оператор персональной информации должен своевременно провести проверку и внести исправления или дополнения в такую информацию.

Статья 47. При любом из следующих обстоятельств оператор персональной информации должен удалить персональную информацию по собственной инициативе; если оператор персональной информации не удалил ее, заинтересованное лицо имеет право потребовать удаления: (I) когда цель обработки достигнута, не может быть достигнута или в ее достижении больше нет необходимости; (II) когда оператор персональной информации прекращает предоставлять продукты или услуги или истек согласованный срок хранения; (III) когда физическое лицо отзывает свое согласие; (IV) когда оператор персональных данных обрабатывает персональные данные в нарушение законов, административных правил или соглашения; или же (V) любые другие обстоятельства, предусмотренные законами и административными правилами. Если срок хранения, установленный законами и административными правилами, не истекает, или удаление персональной информации трудно осуществить технически, оператор персональной информации прекращает обработку персональной информации, кроме хранения, и принимает необходимые меры безопасности.

Статья 48. Физическое лицо имеет право запросить у оператора персональной информации разъяснение правил обработки персональной информации.

Статья 49. В случае смерти физического лица его близкие родственники могут в своих законных интересах осуществлять права на ознакомление, копирование, исправление и удаление соответствующих личных данных умершего, как это предусмотрено в настоящей главе, если умерший не договорился об ином перед своей смертью.

Статья 50. Оператор персональных данных должен установить удобный механизм приема и обработки заявлений об осуществлении личных прав физическими лицами. Если ходатайство лица об осуществлении личных прав отклонено, должны быть указаны причины. В случаях отказа оператора в просьбе физического лица осуществить свои права, физическое лицо может подать иск в народный суд в соответствии с законом.

Глава V. Обязанности операторов персональных данных.

Статья 51. Оператор персональной информации должен, в зависимости от цели и метода обработки персональной информации, типа персональной информации, влияния на права и интересы человека, возможного риска безопасности и т. д., принять следующие меры для обеспечения соответствия персональной информации действиям по обработке в соответствии с положениями законов и административных правил, а также предотвращать несанкционированное посещение или утечку, фальсификацию и потерю персональной информации: (I) разработка внутренней системы управления и операционных процедур; (II) управление и классификация персональной информации; (III) принятие соответствующих технических мер безопасности, таких как шифрование и деидентификация; (IV) разумное определение полномочий для обработки персональной информации и регулярного проведения обучения и тренингов по безопасности для сотрудников; (V) формулирование и организация реализации планов действий в случае инцидентов, связанных с безопасностью персональной информации; а также (VI) другие меры, предусмотренные законами и административными правилами.

Статья 52. Если объем персональной информации, обрабатываемой оператором, достигает объема, установленного Государственной администрацией по киберпространству, оператор назначает лицо, ответственное за защиту персональной информации, ответственным за надзор за обработкой персональной информации и принятыми мерами защиты. Оператор персональных данных обнародует контактную информацию лица, ответственного за защиту персональных данных, и передает имя и контактные данные лица, ответственного за защиту персональных данных, в отдел, выполняющий функции по защите персональных данных.

Статья 53. Любой оператор персональной информации за пределами территории Китайской Народной Республики, как это предусмотрено в параграфе 2 статьи 3 настоящего документа, должен учредить специальное агентство или назначить представителя на территории Китайской Народной Республики, который будет отвечать за соответствующие вопросы личного характера, а также предоставить имя и контактную информацию соответствующего учреждения или представителя в отдел, выполняющий обязанности по защите персональной информации.

Статья 54. Оператор персональной информации должен регулярно проверять, соответствует ли обработка персональной информации положениям законов и административных правил.

Статья 55. Оператор персональных данных должен заранее провести оценку воздействия на защиту персональных данных следующих обстоятельств и вести учет обработки: (I) обработка конфиденциальной персональной информации; (II) использование персональной информации для принятия автоматических решений; (III) поручение другим лицам обрабатывать персональную информацию, предоставление персональной информации другим операторам персональной информации и раскрытие персональной информации; (IV) предоставление персональной информации зарубежным сторонам; а также (V) другие действия по обработке персональной информации, которые оказывают существенное влияние на права и интересы физических лиц.

Статья 56. Оценка воздействия на защиту персональной информации должна включать следующее: (I) являются ли цель и метод обработки персональной информации законными, оправданными и необходимыми; (II) воздействие на права и интересы отдельных лиц и риски безопасности; а также (III) являются ли принятые меры защиты законными, эффективными и соответствующими степени риска. Отчет об оценке защиты персональной информации и протокол обработки должны храниться не менее трех лет.

Статья 57. В случае утечки, фальсификации или утери персональной информации оператор персональной информации должен немедленно принять меры по исправлению положения и сообщить об этом в отдел, выполняющий обязанности по защите персональной информации, и заинтересованным лицам. Уведомление должно содержать следующие сведения: (I) типы и причины утечки, фальсификации и потери персональной информации, которые произошли или могут произойти, и возможный причиненный ущерб; (II) меры по исправлению положения, предпринимаемые операторами персональной информации, и меры, принимаемые отдельными лицами для уменьшения вреда; (III) контактная информация оператора персональной информации. Если оператор персональной информации принял меры для эффективного предотвращения вреда, причиненного утечкой, фальсификацией или потерей информации, он может не уведомлять отдельных лиц; однако, если отдел, выполняющий обязанности по защите персональной информации, считает, что вред будет причинен, он может потребовать, чтобы оператор персональной информации уведомил об этом отдельных лиц.

Статья 58. Операторы персональной информации, которые предоставляют услуги интернет-платформы с большим количеством пользователей и сложными видами деятельности, должны выполнять следующие обязательства: (I) создать, а затем постоянно улучшать систему соблюдения требований по защите персональной информации в соответствии с государственными нормами и создать независимую организацию, состоящую в основном из внешних членов, для защиты персональной информации; (II) сформулировать правила платформы в соответствии с принципами открытости, честности и справедливости, уточнить нормы обработки персональной информации и обязательства поставщиков продуктов или услуг в рамках платформы по защите персональной информации; (III) прекратить предоставлять услуги поставщикам продуктов или услуг на платформе, которые серьезно нарушают законы и административные правила при обработке персональной информации; (IV) обеспечить регулярный выпуск отчета о социальной ответственности в отношении защиты персональной информации и при условии общественного контроля.

Статья 59. Сторона, которой поручена обработка персональной информации, должна выполнять соответствующие обязательства, предусмотренные настоящим Законом и другими соответствующими законами, и административными постановлениями, принимать необходимые меры для обеспечения безопасности обрабатываемой персональной информации и помогать операторам персональной информации выполнять свои обязательства в соответствии с настоящим Законом.

Глава VI. Государственные органы, осуществляющие функции по защите персональных данных.

Статья 60. Государственная администрация по киберпространству несет ответственность за координацию защиты персональной информации и соответствующей надзорной и административной работы; соответствующие отделы при Государственном совете несут ответственность за защиту, надзор и управление персональной информацией в рамках своих соответствующих обязанностей в соответствии с положениями настоящего Закона и соответствующих законов, административных правил. Обязанности соответствующих отделов местных народных правительств уровня уезда или выше по защите, надзору и управлению персональной информацией определяются в соответствии с соответствующими государственными положениями. Отделы, упомянутые в предыдущих двух абзацах, вместе именуются отделами, выполняющими обязанности по защите персональной информации.

Статья 61. Департаменты, осуществляющие функции по защите персональных данных, выполняют следующие функции по защите персональных данных: (I) проведение рекламы и просвещение по вопросам защиты персональной информации, а также руководство и надзор за операторами персональной информации для защиты персональной информации; (II) прием и обработка жалоб и отчетов, касающихся защиты персональной информации; (III) организация оценки защиты персональной информации, такой как приложения, и публикация результатов оценки; (IV) расследование и обработка незаконных действий по обработке персональной информации; а также (V) другие обязанности, предусмотренные законами и административными регламентами.

Статья 62. Государственная администрация по киберпространству координирует свои действия с соответствующими ведомствами в обеспечении защиты персональной информации и в соответствии с настоящим Законом следующим образом: (I) формулирование конкретных правил и стандартов защиты персональной информации; (II) формулирование специальных правил и стандартов защиты персональной информации для небольших процессоров персональной информации, обработки конфиденциальной персональной информации, а также новых технологий и приложений, таких как распознавание лиц и искусственный интеллект; (III) поддержка исследования, разработки и продвижения безопасной и удобной технологии электронной аутентификации личности, а также способствование созданию общедоступных услуг для онлайн-аутентификации личности; (IV) способствование развитию социальной системы услуг по защите персональной информации и поддержка соответствующих организаций в проведении оценки и сертификации услуг в отношении защиты персональной информации. (V) улучшение механизма подачи жалоб и сообщений о нарушениях в отношении защиты персональной информации.

Статья 63. Государственные органы, осуществляющие функции по защите персональных данных, могут принимать следующие меры при выполнении функций по защите персональных данных: (I) допрос заинтересованных сторон и расследование обстоятельств, связанных с деятельностью по обработке персональной информации; (II) консультирование и копирование контрактов, записей, бухгалтерских книг и других соответствующих материалов, касающихся деятельности по обработке персональной информации заинтересованных сторон; (III) проведение инспекций на местах и расследований, связанных с обработкой персональной информации, подозреваемой в нарушении законодательства; а также (IV) проверка оборудования и предметов, связанных с обработкой персональной информации, и возможное опечатывание или изъятие оборудования и предметов, которые, как доказано, являются подтверждением незаконных действий по обработке персональной информации, после письменного сообщения начальнику отдела и получения одобрения. Когда подразделения, выполняющие обязанности по защите персональной информации, выполняют обязанности в соответствии с законом, заинтересованные стороны должны оказывать помощь и сотрудничество, а также не должны отказываться или препятствовать такому выполнению обязанностей.

Статья 64. Если отделы, выполняющие обязанности по защите персональной информации, обнаруживают при выполнении своих обязанностей по защите персональной информации, что существуют относительно высокие риски в деятельности по обработке персональной информации или имели место инциденты, связанные с безопасностью персональной информации, они могут провести собеседование с законным представителем или лицом, ответственным за обработку персональной информации в соответствии с установленными полномочиями и процедурами, или потребовать, чтобы оператор персональной информации поручил профессиональным учреждениям провести аудит соответствия своей деятельности по обработке персональной информации. Оператор персональной информации должен принять меры по исправлению и устранению скрытых опасностей по мере необходимости. Отдел, который выполняет обязанности по защите персональной информации и обнаруживает, что незаконная обработка персональной информации подозревается в совершении преступления в ходе выполнения своих обязанностей, должен незамедлительно передать дело в орган общественной безопасности для рассмотрения в соответствии с законом.

Статья 65 Любая организация или физическое лицо имеет право подать жалобу или сообщить о незаконной обработке персональной информации в отделы, выполняющие обязанности по защите персональной информации. Департаменты, получающие такие жалобы или отчеты, должны незамедлительно рассматривать их в соответствии с законодательством и уведомлять заявителей или докладчиков о результатах. Отделы, выполняющие функции по защите персональной информации, должны обнародовать контактную информацию для приема жалоб или сообщений.

Глава VII. Юридическая ответственность.

Статья 66. В случае обработки персональных данных с нарушением положений настоящего Закона или обработки персональных данных без выполнения обязательств по защите персональных данных, предусмотренных настоящим Законом, органы, исполняющие обязанности по защите персональных данных, должны предписать оператору внести исправления, вынести предупреждение и конфисковать его незаконные доходы или приказать приложению, которое незаконно обрабатывает персональную информацию, приостановить или прекратить предоставление услуг; если в исправлении отказано, на оператора одновременно налагается штраф в размере не более 1 миллиона юаней; и штраф в размере не менее 10 000 юаней, но не более 100 000 юаней, налагается на лицо, непосредственно ответственное за обработку, и других лиц, несущих прямую ответственность.

В случае совершения противоправного действия, указанного в предыдущем абзаце, и наличия других серьезных обстоятельств, отделы, выполняющие обязанности по защите персональной информации на уровне провинции или выше, должны приказать оператору внести исправления, конфисковать его незаконные доходы и наложить штраф в размере не более 50 миллионов юаней или не более 5% от оборота оператора за предыдущий год, а также может приказать оператору приостановить соответствующую деятельность или приостановить деятельность для исправления, а также уведомить соответствующие компетентные отделы об отзыве соответствующего разрешения на ведение бизнеса; штраф в размере не менее 100 000 юаней, но не более 1 миллиона юаней должен быть наложен на лиц, непосредственно ответственных и других лиц, несущих прямую ответственность, таким лицам также может быть запрещено занимать должности директоров, руководителей, старших менеджеров и лиц, отвечающих за защиту персональной информации соответствующих предприятий в течение определенного периода времени.

Статья 67 Любое противоправное действие, указанное в настоящем Законе, должно быть зарегистрировано в кредитных архивах в соответствии с положениями соответствующих законов и административных правил и должно быть обнародовано.

Статья 68. В случае невыполнения государственным органом своих обязательств по защите персональных данных, предусмотренных настоящим Законом, его вышестоящий орган или ведомство, выполняющее обязанности по защите персональных данных, отдает ему приказ об исправлении и налагает санкции на непосредственно ответственное лицо и другие лица, несущие прямую ответственность в соответствии с законом. Если сотрудники подразделений, отвечающих за защиту персональной информации, виновны в неисполнении служебных обязанностей, злоупотреблении служебными полномочиями или злоупотреблении служебным положением в личных целях, но еще не составивших преступления, они подлежат наказанию в соответствии с законом.

Статья 69. Если права и интересы персональной информации нарушаются в результате обработки персональной информации и причиняют ущерб, и оператор персональной информации не может доказать, что он не виновен, он несет деликтную ответственность за причинение вреда. Ответственность за ущерб, указанный в предыдущем абзаце, возлагается в свете убытков, причиненных таким образом заинтересованным лицам, или выгод, полученных таким образом оператором персональной информации; если убытки, причиненные таким образом заинтересованным лицам, или выгоды, полученные таким образом от персональной информации оператором трудно определить, народный суд должен определить размер компенсации в соответствии с фактическими обстоятельствами.

Статья 70. Если оператор персональных данных обрабатывает персональные данные с нарушением положений настоящего Закона, что ущемляет права и интересы большого круга лиц, народной прокуратуры, организаций потребителей, определенных законом, и организаций, определенных государством, Государственная администрация по киберпространству может подать иск в народный суд в соответствии с законом.

Статья 71. Если нарушение положений настоящего Закона представляет собой нарушение принципов управления общественной безопасностью, на нарушителя должно быть наложено соответствующее взыскание за нарушение общественного порядка; в случае состава преступления уголовная ответственность подлежит расследованию в соответствии с законом.

Глава VIII Дополнительные положения

Статья 72. Настоящий Закон не распространяется на обработку персональных данных физическим лицом в силу его/ее личных или семейных обстоятельств. При наличии правовых положений об обработке персональных данных в статистическом и архивном управлении, организованном и осуществляемом народными правительствами всех уровней и их соответствующими ведомствами, применяются такие положения.

Статья 73. Для целей настоящего Закона следующие термины определяются следующим образом: (I) под оператором персональной информации понимается любая организация или физическое лицо, которое самостоятельно определяет цель и метод обработки в деятельности по обработке персональной информации. (II) Под автоматическим принятием решений понимается деятельность по автоматическому анализу и оценке поведенческих привычек, увлечений или экономического положения, состояния здоровья или кредитоспособности человека с помощью компьютерных программ. (III) Деидентификация относится к процессу, в котором персональная информация обрабатывается таким образом, что невозможно идентифицировать определенных физических лиц без использования дополнительной информации. (IV) Анонимизация относится к процессу, в котором персональная информация обрабатывается таким образом, что невозможно идентифицировать определенное физическое лицо и данные о нем невозможно восстановить.

Статья 74. Настоящий Закон вступает в силу с 1 ноября 2021 года.