กฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งสาธารณรัฐประชาชนจีน
(นำมาใช้ในการประชุมคณะกรรมการประจำสภาประชาชนแห่งชาติครั้งที่สิบสาม เมื่อวันที่ 30 สิงหาคม พ.ศ. 20)
บทที่ 1
มาตรา 1 กฎหมายนี้ตราขึ้นตามรัฐธรรมนูญเพื่อวัตถุประสงค์ในการปกป้องสิทธิและผลประโยชน์ในข้อมูลส่วนบุคคล ควบคุมกิจกรรมการประมวลผลข้อมูลส่วนบุคคล และส่งเสริมการใช้ข้อมูลส่วนบุคคลอย่างเหมาะสม
ข้อ 2 ข้อมูลส่วนบุคคลของบุคคลธรรมดาจะได้รับการคุ้มครองตามกฎหมาย ไม่มีองค์กรหรือบุคคลใดที่อาจละเมิดสิทธิ์และผลประโยชน์ของบุคคลธรรมดาในข้อมูลส่วนบุคคลของตน
มาตรา 3 กฎหมายฉบับนี้จะใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลของบุคคลธรรมดาภายในอาณาเขตของสาธารณรัฐประชาชนจีน
กฎหมายนี้จะใช้บังคับกับการประมวลผลนอกอาณาเขตของสาธารณรัฐประชาชนจีนของข้อมูลส่วนบุคคลของบุคคลธรรมดาภายในอาณาเขตของสาธารณรัฐประชาชนจีนภายใต้สถานการณ์ใด ๆ ต่อไปนี้:
(1) เพื่อวัตถุประสงค์ในการจัดหาผลิตภัณฑ์หรือบริการแก่บุคคลธรรมดาในสาธารณรัฐประชาชนจีน
(2) วิเคราะห์หรือประเมินพฤติกรรมของบุคคลธรรมดาในอาณาเขตของสาธารณรัฐประชาชนจีน และ
(3) กรณีอื่นใดตามที่กฎหมายหรือระเบียบทางปกครองกำหนด
บทความ 4 "ข้อมูลส่วนบุคคล" หมายถึงข้อมูลต่าง ๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุหรือระบุตัวได้ซึ่งบันทึกทางอิเล็กทรอนิกส์หรือโดยวิธีการอื่น ๆ แต่ไม่รวมถึงข้อมูลที่ไม่ระบุชื่อ
การประมวลผลข้อมูลส่วนบุคคลประกอบด้วยการรวบรวม การจัดเก็บ การใช้ การประมวลผล การส่ง การจัดหา การเปิดเผยและการลบข้อมูลส่วนบุคคล เป็นต้น
ข้อ 5 ข้อมูลส่วนบุคคลจะได้รับการประมวลผลตามกฎหมายเมื่อมีความจำเป็น ด้วยเหตุผลอันสมควร และโดยสุจริต และการประมวลผลอาจไม่เกี่ยวข้องกับการหลอกลวง การฉ้อฉล การบีบบังคับ และอื่นๆ
ข้อ 6 การประมวลผลข้อมูลส่วนบุคคลจะขึ้นอยู่กับวัตถุประสงค์ที่ชัดเจนและสมเหตุสมผล และเกี่ยวข้องโดยตรงกับวัตถุประสงค์เหล่านั้น และจะต้องใช้ผลกระทบขั้นต่ำต่อสิทธิและผลประโยชน์ของบุคคล
การรวบรวมข้อมูลส่วนบุคคลจะถูกจำกัดให้อยู่ในขอบเขตขั้นต่ำที่กำหนดโดยวัตถุประสงค์ในการประมวลผล และข้อมูลส่วนบุคคลอาจไม่ถูกรวบรวมมากเกินไป
ข้อ 7 จะต้องปฏิบัติตามหลักการของการเปิดกว้างและความโปร่งใสในการประมวลผลข้อมูลส่วนบุคคล กฎสำหรับการประมวลผลข้อมูลส่วนบุคคลจะต้องเปิดเผย และต้องระบุวัตถุประสงค์ วิธีการ และขอบเขตของการประมวลผลไว้อย่างชัดเจน
ข้อ 8 รับประกันคุณภาพของข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคล เพื่อหลีกเลี่ยงผลกระทบด้านลบต่อสิทธิและผลประโยชน์ของบุคคลที่เกิดจากข้อมูลส่วนบุคคลที่ไม่ถูกต้องและไม่ครบถ้วน
ข้อ 9 ผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับผิดชอบต่อกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของตน และใช้มาตรการที่จำเป็นเพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลที่พวกเขาดำเนินการ
ข้อ 10 ห้ามมิให้องค์กรหรือบุคคลใดรวบรวม ใช้ ประมวลผล หรือส่งข้อมูลส่วนบุคคลของบุคคลอื่นอย่างผิดกฎหมาย หรือค้าขาย จัดหาหรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลอื่นอย่างผิดกฎหมาย หรือมีส่วนร่วมในกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่เป็นอันตรายต่อความมั่นคงของชาติหรือเป็นอันตราย ผลประโยชน์สาธารณะ
มาตรา 11 รัฐต้องจัดตั้งและปรับปรุงระบบการคุ้มครองข้อมูลส่วนบุคคลเพื่อป้องกันและลงโทษการละเมิดสิทธิและผลประโยชน์ของข้อมูลส่วนบุคคล ส่งเสริมการประชาสัมพันธ์และการศึกษาเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และส่งเสริมสภาพแวดล้อมที่เอื้ออำนวยต่อรัฐบาล วิสาหกิจ องค์กรอุตสาหกรรมที่เกี่ยวข้อง และประชาชนทั่วไปได้ร่วมกันมีส่วนร่วมในการปกป้องข้อมูลส่วนบุคคล
มาตรา 12 รัฐจะมีส่วนร่วมอย่างแข็งขันในการพัฒนากฎเกณฑ์ระหว่างประเทศว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ส่งเสริมการแลกเปลี่ยนระหว่างประเทศและความร่วมมือในการปกป้องข้อมูลส่วนบุคคล และส่งเสริมการยอมรับร่วมกันของกฎและมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล ร่วมกับประเทศและภูมิภาคอื่น ๆ และองค์กรระหว่างประเทศ
บทที่ II กฎการประมวลผลข้อมูลส่วนบุคคล
ส่วนที่ 1 กฎทั่วไป
มาตรา 13 ผู้ประมวลผลข้อมูลส่วนบุคคลสามารถประมวลผลข้อมูลส่วนบุคคลของบุคคลได้ก็ต่อเมื่อเกิดกรณีใดกรณีหนึ่งดังต่อไปนี้:
(1) ได้รับความยินยอมจากบุคคลแล้ว
(2) การประมวลผลจำเป็นสำหรับการสรุปหรือการปฏิบัติตามสัญญาที่บุคคลนั้นเป็นคู่สัญญาหรือจำเป็นสำหรับการจัดการทรัพยากรมนุษย์ตามกฎและข้อบังคับด้านแรงงานที่กำหนดไว้ตามกฎหมายและสัญญาร่วมที่ลงนามตาม กับกฎหมาย;
(3) การประมวลผลจำเป็นสำหรับการปฏิบัติหน้าที่ตามกฎหมายหรือภาระผูกพัน
(4) การประมวลผลมีความจำเป็นสำหรับการตอบสนองต่อภาวะฉุกเฉินด้านสาธารณสุข หรือเพื่อคุ้มครองชีวิต สุขภาพ และความปลอดภัยในทรัพย์สินของบุคคลธรรมดาในกรณีฉุกเฉิน
(5) ข้อมูลส่วนบุคคลได้รับการประมวลผลอย่างสมเหตุสมผลสำหรับการรายงานข่าว การกำกับดูแลของสื่อ และกิจกรรมอื่น ๆ ที่ดำเนินการเพื่อสาธารณประโยชน์
(6) ข้อมูลส่วนบุคคลที่เปิดเผยโดยตัวบุคคลเองหรือข้อมูลส่วนบุคคลอื่นๆ ที่เปิดเผยตามกฎหมายของบุคคลนั้นได้รับการประมวลผลอย่างสมเหตุสมผลตามกฎหมายนี้ และ
(7) พฤติการณ์อื่นตามที่กฎหมายหรือระเบียบทางปกครองกำหนด
จะต้องได้รับความยินยอมส่วนบุคคลสำหรับการประมวลผลข้อมูลส่วนบุคคลหากมีบทบัญญัติอื่นที่เกี่ยวข้องของกฎหมายนี้ ยกเว้นภายใต้สถานการณ์ที่ระบุไว้ในอนุวรรค (2) ถึง (7) ของวรรคก่อนหน้า
ข้อ 14 ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลขึ้นอยู่กับความยินยอมของแต่ละบุคคล ความยินยอมของบุคคลนั้นจะต้องเป็นไปตามความสมัครใจ ชัดเจน และได้รับการแจ้งอย่างครบถ้วน ในกรณีที่กฎหมายหรือระเบียบข้อบังคับอื่นใดกำหนดให้ต้องได้รับความยินยอมเป็นลายลักษณ์อักษรหรือได้รับความยินยอมเป็นลายลักษณ์อักษรจากบุคคลเพื่อการประมวลผลข้อมูลส่วนบุคคล บทบัญญัติดังกล่าวจะมีผลบังคับใช้
ในกรณีที่มีการเปลี่ยนแปลงวัตถุประสงค์หรือวิธีการประมวลผลข้อมูลส่วนบุคคล หรือประเภทของข้อมูลส่วนบุคคลที่ประมวลผล จะต้องได้รับความยินยอมใหม่จากบุคคลดังกล่าว
ข้อ 15 ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลขึ้นอยู่กับความยินยอมของแต่ละบุคคล บุคคลมีสิทธิที่จะเพิกถอนความยินยอมได้ ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดเตรียมวิธีที่สะดวกสำหรับบุคคลในการเพิกถอนความยินยอม
การเพิกถอนความยินยอมจะไม่ส่งผลต่อความถูกต้องของกิจกรรมการประมวลผลที่ดำเนินการตามความยินยอมก่อนที่จะเพิกถอน
ข้อ 16 ผู้ประมวลผลข้อมูลส่วนบุคคลต้องไม่ปฏิเสธที่จะจัดหาผลิตภัณฑ์หรือบริการสำหรับบุคคลโดยอ้างว่าบุคคลนั้นไม่ยินยอมให้ดำเนินการกับข้อมูลส่วนบุคคลของตนหรือเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล ยกเว้นในกรณีที่การประมวลผลของ ข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับการจัดหาผลิตภัณฑ์หรือบริการ
มาตรา 17 ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องแจ้งให้บุคคลทราบในเรื่องต่อไปนี้ตามความจริง ถูกต้อง และครบถ้วนก่อนที่จะดำเนินการกับข้อมูลส่วนบุคคลในลักษณะที่สังเกตได้ง่ายและด้วยภาษาที่ชัดเจนและเข้าใจง่ายก่อนดำเนินการ
(1) ชื่อและข้อมูลติดต่อของผู้ประมวลผลข้อมูลส่วนบุคคล
(2) วัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล และประเภทและระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลที่จะประมวลผล
(3) วิธีการและขั้นตอนสำหรับบุคคลในการใช้สิทธิของตนตามที่บัญญัติไว้ในกฎหมายนี้ และ
(4) เรื่องอื่น ๆ ที่บุคคลควรได้รับแจ้งตามที่กฎหมายและระเบียบทางปกครองกำหนด
หากเรื่องใดตามที่กำหนดไว้ในวรรคก่อนมีการเปลี่ยนแปลง บุคคลจะได้รับแจ้งการเปลี่ยนแปลงนั้น
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งให้บุคคลทราบถึงเรื่องที่ระบุไว้ในวรรคแรกโดยกำหนดกฎการประมวลผลข้อมูลส่วนบุคคล กฎการประมวลผลจะต้องเปิดเผยต่อสาธารณะและง่ายต่อการปรึกษาและบันทึก
มาตรา 18 เมื่อประมวลผลข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะได้รับอนุญาตให้ไม่แจ้งให้บุคคลทราบถึงเรื่องที่ระบุไว้ในวรรคแรกของบทความก่อนหน้านี้ ซึ่งกฎหมายหรือระเบียบทางปกครองกำหนดให้มีการรักษาความลับ หรือไม่กำหนดข้อกำหนดสำหรับการแจ้งดังกล่าว
ในกรณีที่ไม่สามารถแจ้งให้บุคคลทราบได้ทันท่วงทีเพื่อปกป้องชีวิต สุขภาพ และความปลอดภัยของทรัพย์สินของบุคคลธรรมดาในกรณีฉุกเฉิน ผู้ประมวลผลข้อมูลส่วนบุคคลจะแจ้งให้ทราบโดยไม่ชักช้าหลังจากเหตุฉุกเฉินถูกลบออกไป
มาตรา 19 เว้นแต่จะกำหนดไว้เป็นอย่างอื่นโดยกฎหมายและระเบียบข้อบังคับ ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลจะต้องเป็นเวลาขั้นต่ำที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ในการประมวลผล
ข้อ 20 ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลตั้งแต่สองคนขึ้นไปร่วมกันกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลบางอย่าง พวกเขาจะต้องบรรลุข้อตกลงเกี่ยวกับสิทธิ์และภาระผูกพันของตนในการประมวลผลข้อมูลส่วนบุคคล อย่างไรก็ตาม ข้อตกลงนี้จะไม่กระทบต่อคำขอของบุคคลใดในพวกเขาเพื่อใช้สิทธิ์ของตนตามที่บัญญัติไว้ในกฎหมายนี้
ในกรณีที่ในการประมวลผลข้อมูลส่วนบุคคลบางอย่างร่วมกัน ผู้ประมวลผลละเมิดสิทธิ์และผลประโยชน์ในข้อมูลส่วนบุคคลและทำให้เกิดความเสียหาย ผู้ประมวลผลข้อมูลส่วนบุคคลอื่น ๆ จะต้องรับผิดร่วมกันและความรับผิดหลายประการตามกฎหมาย
ข้อ 21 ผู้ประมวลผลข้อมูลส่วนบุคคลที่มอบหมายให้ประมวลผลข้อมูลส่วนบุคคลบางอย่างแก่ฝ่ายใดฝ่ายหนึ่งจะต้องบรรลุข้อตกลงกับฝ่ายที่ได้รับมอบหมายเกี่ยวกับวัตถุประสงค์ ระยะเวลาและวิธีการในการประมวลผล ประเภทของข้อมูลส่วนบุคคลที่จะประมวลผลและมาตรการป้องกันตลอดจน สิทธิและภาระผูกพันของทั้งสองฝ่าย และอื่นๆ และจะดูแลกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของฝ่ายที่ได้รับมอบหมาย
ฝ่ายที่ได้รับมอบหมายจะต้องประมวลผลข้อมูลส่วนบุคคลตามข้อตกลงและต้องไม่ประมวลผลข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ วิธีการ และเงื่อนไขอื่น ๆ ตามที่ตกลงกัน ในกรณีที่สัญญามอบอำนาจไม่มีผลบังคับใช้ หรือเป็นโมฆะ หรือถูกเพิกถอนหรือยกเลิก ฝ่ายที่ได้รับมอบหมายจะต้องส่งคืนข้อมูลส่วนบุคคลที่เป็นปัญหาไปยังผู้ประมวลผลข้อมูลส่วนบุคคลหรือลบทิ้ง และจะไม่เก็บข้อมูลส่วนบุคคลไว้
หากไม่ได้รับความยินยอมจากผู้ประมวลผลข้อมูลส่วนบุคคล บุคคลที่ได้รับความไว้วางใจไม่สามารถทำสัญญาช่วงการประมวลผลข้อมูลส่วนบุคคลให้กับบุคคลอื่น
ข้อ 22 ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลจำเป็นต้องโอนข้อมูลส่วนบุคคลเนื่องจากการควบรวมกิจการ การแบ่งแยก การสลายตัว หรือการล้มละลาย หรือด้วยเหตุผลอื่น ๆ ผู้ประมวลผลจะต้องแจ้งให้บุคคลทราบถึงชื่อและข้อมูลติดต่อของผู้รับข้อมูลส่วนบุคคลที่โอน ผู้รับจะต้องปฏิบัติตามภาระผูกพันของผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวต่อไป การเปลี่ยนแปลงใด ๆ ของวัตถุประสงค์เดิมหรือวิธีการประมวลผลโดยผู้รับจะต้องได้รับความยินยอมเป็นรายบุคคลตามกฎหมายนี้
ข้อ 23 ในการให้ข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลรายอื่น ผู้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งให้บุคคลทราบถึงชื่อผู้รับและข้อมูลติดต่อ วัตถุประสงค์และวิธีการในการประมวลผลและประเภทของข้อมูลส่วนบุคคลที่จะประมวลผล และจะต้องแยกบุคคลออกจากกัน ยินยอม. ผู้รับจะต้องประมวลผลข้อมูลส่วนบุคคลภายในขอบเขตของวัตถุประสงค์ วิธีการ และประเภทของข้อมูลส่วนบุคคลที่กล่าวถึงข้างต้น การเปลี่ยนแปลงวัตถุประสงค์หรือวิธีการดำเนินการใดๆ โดยผู้รับจะต้องได้รับความยินยอมเป็นรายบุคคลตามกฎหมายนี้
มาตรา 24 ผู้ประมวลผลข้อมูลส่วนบุคคลที่ใช้ข้อมูลส่วนบุคคลในการตัดสินใจโดยอัตโนมัติจะต้องรับรองความโปร่งใสของการตัดสินใจ ความยุติธรรม และความเป็นกลางของผลลัพธ์ และอาจไม่ใช้การปฏิบัติที่แตกต่างอย่างไม่สมเหตุสมผลกับบุคคลในแง่ของราคาธุรกรรมและเงื่อนไขธุรกรรมอื่นๆ
การผลักดันข้อมูลและการตลาดเชิงพาณิชย์ให้กับบุคคลโดยอิงจากการตัดสินใจอัตโนมัติจะต้องมาพร้อมกับตัวเลือกที่ไม่เฉพาะเจาะจงกับลักษณะส่วนบุคคลของพวกเขาหรือด้วยวิธีการที่สะดวกสำหรับบุคคลที่จะปฏิเสธ
ในกรณีที่การตัดสินใจที่อาจมีผลกระทบอย่างมีนัยสำคัญต่อสิทธิ์และผลประโยชน์ของแต่ละบุคคลผ่านการตัดสินใจโดยอัตโนมัติ บุคคลนั้นมีสิทธิที่จะขอคำชี้แจงจากผู้ประมวลผลข้อมูลส่วนบุคคลและสิทธิที่จะปฏิเสธผู้ประมวลผลสำหรับการตัดสินใจผ่านระบบอัตโนมัติเท่านั้น การตัดสินใจ
มาตรา 25 ผู้ประมวลผลข้อมูลส่วนบุคคลจะไม่เปิดเผยข้อมูลส่วนบุคคลที่พวกเขาดำเนินการ ยกเว้นในกรณีที่ได้รับความยินยอมแยกต่างหากจากบุคคล
มาตรา 26 อุปกรณ์เก็บภาพและระบุตัวบุคคลในที่สาธารณะ จะต้องติดตั้งเมื่อจำเป็นเพื่อวัตถุประสงค์ในการรักษาความมั่นคงปลอดภัยสาธารณะเท่านั้น และต้องติดตั้งตามข้อกำหนดที่เกี่ยวข้องของรัฐและมีข้อเตือนใจที่เด่นชัด รูปภาพส่วนบุคคลและข้อมูลระบุตัวตนที่รวบรวมสามารถใช้ได้เพื่อวัตถุประสงค์ในการรักษาความปลอดภัยสาธารณะเท่านั้น และจะไม่นำไปใช้เพื่อวัตถุประสงค์อื่นใด เว้นแต่จะได้รับความยินยอมแยกจากกัน
ข้อ 27 ผู้ประมวลผลข้อมูลส่วนบุคคลอาจประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยโดยบุคคลหรือข้อมูลส่วนบุคคลอื่นๆ ที่เปิดเผยตามกฎหมายอย่างสมเหตุสมผล ยกเว้นในกรณีที่บุคคลปฏิเสธโดยชัดแจ้ง ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยอาจมีผลกระทบอย่างมีนัยสำคัญต่อสิทธิ์และผลประโยชน์ของแต่ละบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากบุคคลก่อนตามบทบัญญัติของกฎหมายนี้
ส่วนที่ 2 กฎในการประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อน
มาตรา 28 “ข้อมูลส่วนบุคคลที่ละเอียดอ่อน” คือข้อมูลส่วนบุคคลที่ครั้งหนึ่งเคยรั่วไหลหรือใช้อย่างผิดกฎหมาย อาจนำไปสู่การละเมิดศักดิ์ศรีส่วนตัวของบุคคลธรรมดาได้ง่าย หรืออาจเป็นอันตรายต่อความปลอดภัยหรือทรัพย์สินส่วนบุคคลของเขา รวมถึงข้อมูลเช่น ไบโอเมตริก ความเชื่อทางศาสนา เฉพาะ ข้อมูลประจำตัว สถานะสุขภาพทางการแพทย์ บัญชีการเงิน และที่อยู่ของบุคคล ตลอดจนข้อมูลส่วนบุคคลของผู้เยาว์ที่มีอายุต่ำกว่า 14 ปี
ผู้ประมวลผลข้อมูลส่วนบุคคลสามารถประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนได้ก็ต่อเมื่อมีวัตถุประสงค์เฉพาะและเมื่อมีความจำเป็นเท่านั้น ภายใต้สถานการณ์ที่มีการใช้มาตรการป้องกันที่เข้มงวด
มาตรา 29 สำหรับการประมวลผลข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน จะต้องได้รับความยินยอมแยกต่างหากจากบุคคล ในกรณีที่กฎหมายหรือระเบียบข้อบังคับอื่น ๆ ให้ความยินยอมเป็นลายลักษณ์อักษรสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อน บทบัญญัติดังกล่าวจะมีผลเหนือกว่า
มาตรา 30 นอกเหนือจากเรื่องที่ระบุไว้ในวรรคแรกของมาตรา 17 ของกฎหมายนี้แล้ว ผู้ประมวลผลที่ประมวลผลข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนจะต้องแจ้งให้บุคคลทราบถึงความจำเป็นในการประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนของตนและผลกระทบที่มีต่อสิทธิและผลประโยชน์ของตน ยกเว้น โดยที่ไม่ต้องมีการแจ้งดังกล่าวตามบทบัญญัติของกฎหมายนี้
ข้อ 31 ในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ที่มีอายุต่ำกว่า 14 ปี ผู้ประมวลผลข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากผู้ปกครองหรือผู้ปกครองคนอื่นๆ ของผู้เยาว์
ผู้ประมวลผลข้อมูลส่วนบุคคลที่ประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ที่มีอายุต่ำกว่า 14 ปีจะต้องพัฒนากฎเกณฑ์พิเศษสำหรับการประมวลผลข้อมูลส่วนบุคคลดังกล่าว
ข้อ 32 ในกรณีที่กฎหมายหรือระเบียบข้อบังคับอื่น ๆ กำหนดให้ต้องได้รับใบอนุญาตการบริหารที่เกี่ยวข้องสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนหรือกำหนดข้อจำกัดอื่น ๆ บทบัญญัติดังกล่าวจะมีผลเหนือกว่า
ส่วนที่ 3 บทบัญญัติพิเศษเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลโดยหน่วยงานของรัฐ
มาตรา 33 กฎหมายฉบับนี้จะใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลโดยหน่วยงานของรัฐ หากมีบทบัญญัติพิเศษในมาตรานี้ ให้ถือเอาบทบัญญัติมาตรานี้เป็นหลัก
มาตรา 34 เมื่อหน่วยงานของรัฐประมวลผลข้อมูลส่วนบุคคลเพื่อปฏิบัติหน้าที่ตามกฎหมาย ให้ดำเนินการตามอำนาจหน้าที่และวิธีการที่กฎหมายและระเบียบทางปกครองกำหนด และต้องไม่เกินขอบเขตและข้อจำกัดที่จำเป็นในการปฏิบัติหน้าที่ตามกฎหมาย
มาตรา 35 เมื่อหน่วยงานของรัฐประมวลผลข้อมูลส่วนบุคคลเพื่อปฏิบัติหน้าที่ตามกฎหมาย จะต้องปฏิบัติตามภาระหน้าที่ในการแจ้งตามบทบัญญัติของกฎหมายนี้ เว้นแต่ในกรณีที่ระบุไว้ในวรรคแรกของมาตรา 18 ของกฎหมายนี้หรือเมื่อมีการแจ้ง จะขัดขวางไม่ให้หน่วยงานของรัฐปฏิบัติหน้าที่ตามกฎหมาย
มาตรา 36 ข้อมูลส่วนบุคคลที่ประมวลผลโดยหน่วยงานของรัฐจะถูกเก็บไว้ภายในอาณาเขตของสาธารณรัฐประชาชนจีน การประเมินความปลอดภัยจะต้องดำเนินการในกรณีที่จำเป็นต้องให้ข้อมูลดังกล่าวแก่ฝ่ายใดฝ่ายหนึ่งที่อยู่นอกอาณาเขตของสาธารณรัฐประชาชนจีนอย่างแท้จริง ในการประเมินความปลอดภัย หน่วยงานที่เกี่ยวข้องจะต้องให้การสนับสนุนและช่วยเหลือหากมีการร้องขอ
มาตรา 37 ในกรณีที่องค์กรที่ได้รับอนุญาตตามกฎหมายหรือระเบียบที่มีหน้าที่ในการบริหารงานสาธารณะ ประมวลผลข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามหน้าที่ตามกฎหมาย ให้ใช้บทบัญญัติในที่นี้เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลโดยหน่วยงานของรัฐ
หมวด ๓ ระเบียบว่าด้วยการให้ข้อมูลส่วนบุคคลข้ามพรมแดน
มาตรา 38 ผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องการให้ข้อมูลส่วนบุคคลอย่างแท้จริงแก่บุคคลภายนอกอาณาเขตของสาธารณรัฐประชาชนจีนเพื่อธุรกิจหรือเหตุผลอื่น ต้องปฏิบัติตามข้อกำหนดข้อใดข้อหนึ่งดังต่อไปนี้
(1) ผ่านการประเมินความปลอดภัยที่จัดโดยกรมไซเบอร์สเปซแห่งชาติตามมาตรา 40 ของกฎหมายนี้
(2) ได้รับใบรับรองการคุ้มครองข้อมูลส่วนบุคคลจากสถาบันเฉพาะทางที่เกี่ยวข้องตามข้อกำหนดของกรมไซเบอร์สเปซแห่งชาติ
(3) ทำสัญญากำหนดสิทธิและภาระผูกพันของทั้งสองฝ่ายกับผู้รับในต่างประเทศตามสัญญามาตรฐานที่กำหนดโดยกรมไซเบอร์สเปซแห่งชาติ และ
(๔) เป็นไปตามเงื่อนไขอื่นตามที่กฎหมายและระเบียบทางปกครองและกรมไซเบอร์สเปซแห่งชาติกำหนด
ในกรณีที่สนธิสัญญาหรือข้อตกลงระหว่างประเทศที่สาธารณรัฐประชาชนจีนได้สรุปหรือลงนามเพื่อกำหนดเงื่อนไขในการให้ข้อมูลส่วนบุคคลแก่ฝ่ายใดฝ่ายหนึ่งนอกอาณาเขตของสาธารณรัฐประชาชนจีน ให้ปฏิบัติตามข้อกำหนดดังกล่าว
ผู้ประมวลผลข้อมูลส่วนบุคคลต้องใช้มาตรการที่จำเป็นเพื่อให้แน่ใจว่ากิจกรรมการประมวลผลข้อมูลส่วนบุคคลของผู้รับในต่างประเทศเป็นไปตามมาตรฐานการปกป้องข้อมูลส่วนบุคคลที่กำหนดไว้ในกฎหมายนี้
มาตรา 39 ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลให้ข้อมูลส่วนบุคคลแก่ฝ่ายใดฝ่ายหนึ่งนอกอาณาเขตของสาธารณรัฐประชาชนจีน ผู้ประมวลผลจะต้องแจ้งให้บุคคลทราบถึงชื่อและข้อมูลติดต่อของผู้รับในต่างประเทศ วัตถุประสงค์และวิธีการในการประมวลผล ประเภทของข้อมูลส่วนบุคคล ที่จะดำเนินการ เช่นเดียวกับวิธีการและขั้นตอนสำหรับบุคคลในการใช้สิทธิ์ของตนตามที่บัญญัติไว้ในกฎหมายนี้เหนือผู้รับในต่างประเทศ ฯลฯ และจะต้องได้รับความยินยอมแยกต่างหากจากบุคคล
มาตรา 40 ผู้ดำเนินการโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญและผู้ประมวลผลข้อมูลส่วนบุคคลที่ประมวลผลข้อมูลส่วนบุคคลตามจำนวนที่กำหนดโดยแผนกไซเบอร์สเปซแห่งชาติจะจัดเก็บข้อมูลส่วนบุคคลที่รวบรวมและสร้างไว้ภายในประเทศภายในอาณาเขตของสาธารณรัฐประชาชนจีน ในกรณีที่จำเป็นต้องให้ข้อมูลแก่ฝ่ายนอกอาณาเขตของสาธารณรัฐประชาชนจีนอย่างแท้จริง เรื่องดังกล่าวจะต้องได้รับการประเมินด้านความปลอดภัยที่จัดโดยแผนกไซเบอร์สเปซแห่งชาติ ในกรณีที่กฎหมาย ระเบียบทางปกครอง หรือบทบัญญัติที่ออกโดยหน่วยงานไซเบอร์สเปซแห่งชาติระบุว่าการประเมินความปลอดภัยนั้นไม่จำเป็น ให้ถือเอาบทบัญญัติดังกล่าวเป็นหลัก
มาตรา 41 เจ้าหน้าที่ผู้มีอำนาจของสาธารณรัฐประชาชนจีนจะจัดการคำขอของหน่วยงานตุลาการต่างประเทศหรือหน่วยงานบังคับใช้กฎหมายสำหรับข้อมูลส่วนบุคคลที่จัดเก็บไว้ในประเทศจีนตามกฎหมายที่เกี่ยวข้องและสนธิสัญญาและข้อตกลงระหว่างประเทศที่ทำขึ้นหรือลงนามโดยสาธารณรัฐประชาชนจีน หรือ ภายใต้หลักความเสมอภาคและการตอบแทนซึ่งกันและกัน หากไม่ได้รับการอนุมัติจากหน่วยงานผู้มีอำนาจของสาธารณรัฐประชาชนจีน จะไม่มีองค์กรหรือบุคคลใดที่จะให้ข้อมูลที่จัดเก็บไว้ในอาณาเขตของสาธารณรัฐประชาชนจีนสำหรับหน่วยงานตุลาการต่างประเทศหรือหน่วยงานบังคับใช้กฎหมาย
มาตรา 42 ในกรณีที่องค์กรหรือบุคคลในต่างประเทศมีส่วนร่วมในกิจกรรมการประมวลผลข้อมูลส่วนบุคคลซึ่งละเมิดสิทธิและผลประโยชน์ของพลเมืองแห่งสาธารณรัฐประชาชนจีนเกี่ยวกับข้อมูลส่วนบุคคลหรือเป็นอันตรายต่อความมั่นคงของชาติหรือผลประโยชน์สาธารณะของสาธารณรัฐประชาชนจีน ไซเบอร์สเปซแห่งชาติ แผนกอาจรวมพวกเขาไว้ในรายชื่อผู้รับข้อมูลส่วนบุคคลที่ถูกจำกัดหรือต้องห้าม เผยแพร่รายการ และใช้มาตรการต่างๆ เช่น การจำกัดหรือห้ามการจัดหาข้อมูลส่วนบุคคลสำหรับองค์กรและบุคคลดังกล่าว
มาตรา 43 ในกรณีที่ประเทศหรือภูมิภาคใดใช้มาตรการกีดกัน กีดกัน หรือเลือกปฏิบัติที่คล้ายคลึงกันกับสาธารณรัฐประชาชนจีนในแง่ของการปกป้องข้อมูลส่วนบุคคล สาธารณรัฐประชาชนจีนอาจใช้มาตรการตอบโต้กับประเทศหรือภูมิภาคดังกล่าวตามสถานการณ์จริง
บทที่ XNUMX สิทธิส่วนบุคคลในกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
มาตรา 44 บุคคลมีสิทธิที่จะได้รับแจ้ง สิทธิในการตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของตน และสิทธิในการจำกัดหรือปฏิเสธการประมวลผลข้อมูลส่วนบุคคลของตนโดยผู้อื่น เว้นแต่จะกำหนดไว้เป็นอย่างอื่นโดยกฎหมายหรือข้อบังคับทางปกครอง
ข้อ 45 บุคคลมีสิทธิที่จะปรึกษาและทำซ้ำข้อมูลส่วนบุคคลของตนจากผู้ประมวลผลข้อมูลส่วนบุคคล ยกเว้นภายใต้สถานการณ์ที่กำหนดไว้ในวรรคแรกของมาตรา 18 และมาตรา 35 ของกฎหมายนี้
ในกรณีที่บุคคลร้องขอคำปรึกษาหรือทำซ้ำข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลที่ร้องขอจะต้องให้ข้อมูลดังกล่าวในเวลาที่เหมาะสม
ในกรณีที่บุคคลร้องขอการถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลข้อมูลส่วนบุคคลที่กำหนด ซึ่งตรงตามข้อกำหนดของแผนกไซเบอร์สเปซแห่งชาติสำหรับการถ่ายโอนข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลที่ร้องขอจะต้องจัดเตรียมวิธีการสำหรับการถ่ายโอน
ข้อ 46 ในกรณีที่บุคคลพบว่าข้อมูลส่วนบุคคลของตนไม่ถูกต้องหรือไม่สมบูรณ์ เขามีสิทธิที่จะขอให้ผู้ประมวลผลข้อมูลส่วนบุคคลแก้ไขหรือเพิ่มเติมข้อมูลที่เกี่ยวข้อง
ในกรณีที่บุคคลร้องขอการแก้ไขหรือเพิ่มเติมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องตรวจสอบข้อมูลที่เป็นปัญหา และทำการแก้ไขหรือเพิ่มเติมในเวลาที่เหมาะสม
ข้อ 47 ในกรณีใด ๆ ต่อไปนี้ ผู้ประมวลผลข้อมูลส่วนบุคคลจะใช้ความคิดริเริ่มในการลบข้อมูลส่วนบุคคล และบุคคลมีสิทธิที่จะขอให้ลบข้อมูลส่วนบุคคลของตนหากผู้ประมวลผลข้อมูลส่วนบุคคลไม่สามารถลบข้อมูลได้:
(1) บรรลุวัตถุประสงค์ของการประมวลผลหรือไม่สามารถทำได้ หรือข้อมูลดังกล่าวไม่จำเป็นสำหรับการบรรลุวัตถุประสงค์ของการประมวลผลอีกต่อไป
(2) ผู้ประมวลผลข้อมูลส่วนบุคคลยุติการจัดหาผลิตภัณฑ์หรือบริการ หรือหมดเวลาการจัดเก็บแล้ว
(3) บุคคลนั้นถอนความยินยอม
(4) ผู้ประมวลผลข้อมูลส่วนบุคคลประมวลผลข้อมูลส่วนบุคคลที่ละเมิดกฎหมาย ระเบียบการบริหาร หรือข้อตกลง หรือ
(5) พฤติการณ์อื่นตามที่กฎหมายและระเบียบทางปกครองกำหนด
ในกรณีที่ระยะเวลาการจัดเก็บที่กำหนดโดยกฎหมายหรือข้อบังคับด้านการบริหารใด ๆ ยังไม่หมดอายุ หรือเป็นการยากที่จะลบข้อมูลส่วนบุคคลในทางเทคนิค ผู้ประมวลผลข้อมูลส่วนบุคคลจะยุติการประมวลผลข้อมูลส่วนบุคคลนอกเหนือจากการจัดเก็บและใช้มาตรการป้องกันความปลอดภัยที่จำเป็นสำหรับข้อมูลดังกล่าว
มาตรา 48 บุคคลมีสิทธิที่จะขอให้ผู้ประมวลผลข้อมูลส่วนบุคคลตีความกฎการประมวลผลข้อมูลส่วนบุคคลที่พัฒนาขึ้นโดยคนหลัง
มาตรา 49 ญาติสนิทของบุคคลธรรมดาที่เสียชีวิตอาจใช้สิทธิ์ในการจัดการข้อมูลส่วนบุคคลของผู้ตายเพื่อผลประโยชน์ทางกฎหมายและชอบด้วยกฎหมายของตน เช่น การปรึกษาหารือ การทำซ้ำ การแก้ไข และการลบตามที่บัญญัติไว้ในบทนี้ ยกเว้น ตามที่ผู้ตายกำหนดไว้เป็นอย่างอื่นก่อนตาย
มาตรา 50 ผู้ประมวลผลข้อมูลส่วนบุคคลต้องสร้างกลไกในการรับและจัดการคำขอของบุคคลในการใช้สิทธิของตน ในกรณีที่คำขอของบุคคลถูกปฏิเสธ จะต้องระบุเหตุผล
ในกรณีที่คำขอใช้สิทธิของบุคคลถูกปฏิเสธโดยผู้ประมวลผลข้อมูลส่วนบุคคล บุคคลนั้นอาจยื่นฟ้องต่อศาลประชาชนตามกฎหมายได้
บทที่ XNUMX ภาระผูกพันของผู้ประมวลผลข้อมูลส่วนบุคคล
มาตรา 51 ผู้ประมวลผลข้อมูลส่วนบุคคลต้องใช้มาตรการดังต่อไปนี้เพื่อให้แน่ใจว่ากิจกรรมการประมวลผลข้อมูลส่วนบุคคลของพวกเขาเป็นไปตามกฎหมายและระเบียบข้อบังคับด้านการบริหารตามวัตถุประสงค์และวิธีการในการประมวลผล ประเภทของข้อมูลส่วนบุคคลที่จะประมวลผล ผลกระทบต่อสิทธิส่วนบุคคลและ ผลประโยชน์ และความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น และอื่นๆ และจะต้องป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต เช่นเดียวกับการละเมิด การปลอมแปลง หรือการสูญเสียข้อมูลส่วนบุคคลใด ๆ:
(1) กำหนดระบบการจัดการภายในและขั้นตอนการปฏิบัติงาน
(2) การดำเนินการจัดการข้อมูลส่วนบุคคลที่เป็นความลับ
(3) การนำมาตรการทางเทคนิคด้านความปลอดภัยที่เกี่ยวข้องมาใช้ เช่น การเข้ารหัสและการไม่ระบุตัวตน
(4) กำหนดอำนาจในการประมวลผลข้อมูลส่วนบุคคลอย่างสมเหตุสมผล และดำเนินการให้ความรู้และฝึกอบรมด้านความปลอดภัยแก่ผู้ปฏิบัติงานอย่างสม่ำเสมอ
(5) จัดทำแผนสำรองสำหรับกรณีฉุกเฉินด้านความปลอดภัยของข้อมูลส่วนบุคคลและดำเนินการตามแผนดังกล่าว และ
(๖) มาตรการอื่นตามที่กฎหมายและระเบียบทางปกครองกำหนด
มาตรา 52 ผู้ประมวลผลข้อมูลส่วนบุคคลที่ประมวลผลข้อมูลส่วนบุคคลตามจำนวนที่กำหนดโดยแผนกไซเบอร์สเปซแห่งชาติจะต้องแต่งตั้งผู้รับผิดชอบในการปกป้องข้อมูลส่วนบุคคลซึ่งจะดูแลกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของผู้ประมวลผลตลอดจนมาตรการป้องกันที่ใช้ , ท่ามกลางคนอื่น ๆ.
ผู้ประมวลผลข้อมูลส่วนบุคคลจะเปิดเผยข้อมูลติดต่อของผู้รับผิดชอบในการปกป้องข้อมูลส่วนบุคคล และส่งชื่อของบุคคลดังกล่าว ข้อมูลติดต่อ และข้อมูลอื่นๆ ไปยังแผนกที่มีหน้าที่ในการปกป้องข้อมูลส่วนบุคคล
มาตรา 53 ผู้ประมวลผลข้อมูลส่วนบุคคลนอกอาณาเขตของสาธารณรัฐประชาชนจีนตามที่ระบุไว้ในวรรคสองของมาตรา 3 ของกฎหมายนี้ จะจัดตั้งหน่วยงานเฉพาะทางหรือแต่งตั้งผู้แทนภายในอาณาเขตของสาธารณรัฐประชาชนจีนเพื่อรับผิดชอบในการจัดการข้อมูลส่วนบุคคล การคุ้มครองเรื่องที่เกี่ยวข้อง และต้องส่งชื่อ ข้อมูลติดต่อ และข้อมูลอื่น ๆ ของหน่วยงานและตัวแทนไปยังหน่วยงานที่มีหน้าที่ปกป้องข้อมูลส่วนบุคคล
มาตรา 54 ผู้ประมวลผลข้อมูลส่วนบุคคลต้องดำเนินการตรวจสอบการปฏิบัติตามข้อกำหนดของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของตนอย่างสม่ำเสมอด้วยกฎหมายและระเบียบข้อบังคับด้านการบริหาร
มาตรา 55 ในกรณีใดกรณีหนึ่งดังต่อไปนี้ ผู้ประมวลผลข้อมูลส่วนบุคคลต้องประเมินล่วงหน้าถึงผลกระทบต่อการปกป้องข้อมูลส่วนบุคคลและเก็บบันทึกการดำเนินการ:
(1) การประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อน;
(2) การใช้ข้อมูลส่วนบุคคลเพื่อดำเนินการตัดสินใจโดยอัตโนมัติ
(3) มอบหมายการประมวลผลข้อมูลส่วนบุคคลให้กับบุคคลอื่น ให้ข้อมูลส่วนบุคคลแก่บุคคลอื่น หรือเผยแพร่ข้อมูลส่วนบุคคล
(4) ให้ข้อมูลส่วนบุคคลแก่ฝ่ายใดฝ่ายหนึ่งนอกอาณาเขตของสาธารณรัฐประชาชนจีน หรือ
(5) ดำเนินกิจกรรมการประมวลผลข้อมูลส่วนบุคคลอื่น ๆ ที่อาจมีผลกระทบอย่างมีนัยสำคัญต่อบุคคล
มาตรา 56 การประเมินผลกระทบต่อการคุ้มครองข้อมูลส่วนบุคคลต้องประกอบด้วยเนื้อหาดังต่อไปนี้
(1) วัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลนั้นชอบด้วยกฎหมาย สมเหตุสมผล และจำเป็นหรือไม่
(2) ผลกระทบต่อสิทธิและผลประโยชน์ของบุคคล และความเสี่ยงด้านความปลอดภัย และ
(3) มาตรการป้องกันที่ดำเนินการถูกต้องตามกฎหมาย มีประสิทธิผล และสอดคล้องกับระดับความเสี่ยงหรือไม่
รายงานการประเมินผลกระทบต่อการปกป้องข้อมูลส่วนบุคคลและบันทึกการประมวลผลจะถูกเก็บไว้เป็นเวลาอย่างน้อยสามปี
มาตรา 57 ในกรณีที่มีการละเมิด การปลอมแปลง หรือการสูญเสียข้อมูลส่วนบุคคลเกิดขึ้นหรืออาจเกิดขึ้น ผู้ประมวลผลข้อมูลส่วนบุคคลจะใช้มาตรการแก้ไขโดยทันที และแจ้งให้หน่วยงานทราบถึงหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลและบุคคลที่เกี่ยวข้อง ประกาศจะรวมถึงรายการต่อไปนี้:
(1) ประเภทของข้อมูลส่วนบุคคลที่ได้รับหรืออาจถูกละเมิด ดัดแปลงหรือสูญหาย และสาเหตุและอันตรายที่อาจเกิดขึ้นจากการฝ่าฝืน การปลอมแปลง และการสูญหาย
(2) มาตรการแก้ไขที่นำมาใช้โดยผู้ประมวลผลข้อมูลส่วนบุคคลและมาตรการที่บุคคลอาจใช้เพื่อลดอันตราย และ
(3) ข้อมูลติดต่อของผู้ประมวลผลข้อมูลส่วนบุคคล
ในกรณีที่มาตรการที่ดำเนินการโดยผู้ประมวลผลข้อมูลส่วนบุคคลสามารถหลีกเลี่ยงอันตรายที่เกิดจากการละเมิด การปลอมแปลง หรือการสูญเสียข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ ผู้ประมวลผลข้อมูลส่วนบุคคลไม่จำเป็นต้องแจ้งให้บุคคลทราบ ในกรณีที่หน่วยงานที่มีหน้าที่ปกป้องข้อมูลส่วนบุคคลพิจารณาว่าอาจมีอันตราย หน่วยงานมีอำนาจขอให้ผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งให้บุคคลทราบได้
มาตรา 58 ผู้ประมวลผลข้อมูลส่วนบุคคลที่ให้บริการแพลตฟอร์มอินเทอร์เน็ตที่สำคัญซึ่งมีผู้ใช้จำนวนมากและประเภทธุรกิจที่ซับซ้อนต้องปฏิบัติตามภาระผูกพันดังต่อไปนี้
(1) การจัดตั้งและปรับปรุงระบบการปฏิบัติตามการคุ้มครองข้อมูลส่วนบุคคลตามบทบัญญัติของรัฐและการจัดตั้งองค์กรอิสระที่ประกอบด้วยสมาชิกภายนอกเป็นหลักเพื่อกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล
(2) ปฏิบัติตามหลักการของการเปิดกว้าง ยุติธรรม และยุติธรรม กำหนดกฎของแพลตฟอร์ม และชี้แจงบรรทัดฐานและภาระผูกพันที่ผลิตภัณฑ์หรือผู้ให้บริการภายในแพลตฟอร์มควรปฏิบัติตามเมื่อประมวลผลข้อมูลส่วนบุคคล
(3) หยุดให้บริการสำหรับผลิตภัณฑ์หรือผู้ให้บริการภายในแพลตฟอร์มที่ประมวลผลข้อมูลส่วนบุคคลโดยฝ่าฝืนกฎหมายและระเบียบข้อบังคับอย่างร้ายแรง และ
(4) เผยแพร่รายงานความรับผิดชอบต่อสังคมเรื่องการคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอเพื่อการควบคุมดูแลของสาธารณชน
มาตรา 59 ฝ่ายที่ได้รับความไว้วางใจในการประมวลผลข้อมูลส่วนบุคคลจะต้องปฏิบัติตามกฎหมายนี้และกฎหมายที่เกี่ยวข้องและระเบียบข้อบังคับด้านการบริหาร ดำเนินมาตรการที่จำเป็นเพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลที่ได้รับมอบหมายให้ดำเนินการ และช่วยเหลือผู้ประมวลผลข้อมูลส่วนบุคคลที่มอบหมายให้ปฏิบัติตาม ภาระผูกพันที่กำหนดโดยกฎหมายนี้
บทที่ XNUMX หน่วยงานที่มีหน้าที่คุ้มครองข้อมูลส่วนบุคคล
มาตรา 60 กรมไซเบอร์สเปซแห่งชาติมีหน้าที่รับผิดชอบในการวางแผนและประสานงานโดยรวมในการปกป้องข้อมูลส่วนบุคคลและการกำกับดูแลและการบริหารที่เกี่ยวข้อง หน่วยงานที่เกี่ยวข้องของสภาแห่งรัฐจะต้องรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคลและการกำกับดูแลและการบริหารที่เกี่ยวข้องภายใต้ขอบเขตหน้าที่ของตนตามกฎหมายนี้และกฎหมายที่เกี่ยวข้องอื่น ๆ
หน้าที่ในการปกป้องข้อมูลส่วนบุคคลและการกำกับดูแลที่เกี่ยวข้องและการบริหารงานของหน่วยงานที่เกี่ยวข้องของรัฐบาลท้องถิ่นที่ระดับเคาน์ตีหรือสูงกว่านั้นจะถูกกำหนดตามบทบัญญัติที่เกี่ยวข้องของรัฐ
หน่วยงานที่ให้ไว้ในสองย่อหน้าก่อนหน้านี้เรียกรวมกันว่าหน่วยงานที่มีหน้าที่ปกป้องข้อมูลส่วนบุคคล
มาตรา 61 หน่วยงานที่มีหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ปกป้องข้อมูลส่วนบุคคลดังต่อไปนี้
(1) ดำเนินการเผยแพร่และให้ความรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ให้คำแนะนำและดูแลผู้ประมวลผลข้อมูลส่วนบุคคลในการคุ้มครองข้อมูลส่วนบุคคล
(2) รับและจัดการข้อร้องเรียนและรายงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
(3) การจัดการประเมินผลการใช้งาน ฯลฯ ในแง่ของการปกป้องข้อมูลส่วนบุคคลและเผยแพร่ผลการประเมินดังกล่าว
(4) สืบสวนและจัดการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่ผิดกฎหมาย และ
(5) หน้าที่อื่นตามที่กฎหมายและระเบียบทางปกครองกำหนด
มาตรา 62 กรมไซเบอร์สเปซแห่งชาติต้องประสานงานหน่วยงานที่เกี่ยวข้องเพื่อส่งเสริมการปกป้องข้อมูลส่วนบุคคลผ่านความพยายามดังต่อไปนี้ตามกฎหมายนี้:
(1) กำหนดหลักเกณฑ์และมาตรฐานเฉพาะสำหรับการคุ้มครองข้อมูลส่วนบุคคล
(2) การพัฒนากฎและมาตรฐานการปกป้องข้อมูลส่วนบุคคลเป็นพิเศษสำหรับผู้ประมวลผลข้อมูลส่วนบุคคลขนาดเล็ก การประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อน และเทคโนโลยีและแอปพลิเคชันใหม่ เช่น การจดจำใบหน้าและปัญญาประดิษฐ์
(3) สนับสนุนการวิจัยและพัฒนา และส่งเสริมการประยุกต์ใช้เทคโนโลยีการตรวจสอบตัวตนทางอิเล็กทรอนิกส์ที่ปลอดภัยและสะดวกสบาย และการพัฒนาบริการสาธารณะสำหรับการตรวจสอบเอกลักษณ์เครือข่าย
(๔) ส่งเสริมการพัฒนาระบบบริการคุ้มครองข้อมูลส่วนบุคคลโดยมีส่วนร่วมของภาคสังคมต่างๆ และสนับสนุนสถาบันที่เกี่ยวข้องในการให้บริการประเมินและรับรองการคุ้มครองข้อมูลส่วนบุคคล และ
(5) ปรับปรุงกลไกการร้องเรียนและการรายงานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
มาตรา 63 หน่วยงานที่มีหน้าที่คุ้มครองข้อมูลส่วนบุคคลในการปฏิบัติหน้าที่ที่เกี่ยวข้องอาจใช้มาตรการดังต่อไปนี้
(1) ซักถามผู้ที่เกี่ยวข้อง และตรวจสอบสถานการณ์ที่เกี่ยวข้องกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
(2) ให้คำปรึกษาและทำสำเนาสัญญา บันทึก สมุดบัญชี และเอกสารที่เกี่ยวข้องอื่นๆ ที่เกี่ยวข้องกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของคู่สัญญา
(3) ดำเนินการตรวจสอบในสถานที่และสอบสวนกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่สงสัยว่าผิดกฎหมาย และ
(4) การตรวจสอบอุปกรณ์และสิ่งของที่เกี่ยวข้องกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคล และการปิดผนึกหรือยึดอุปกรณ์และสิ่งของที่เกี่ยวข้องกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่ผิดกฎหมายตามที่พิสูจน์โดยหลักฐานหลังจากส่งรายงานเป็นลายลักษณ์อักษรไปยังและได้รับการอนุมัติจากผู้รับผิดชอบหลักในหน่วยงานที่มีหน้าที่ปกป้องข้อมูลส่วนบุคคล
เมื่อหน่วยงานที่มีหน้าที่ปกป้องข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามกฎหมาย ฝ่ายที่เกี่ยวข้องจะต้องให้ความร่วมมือและให้ความช่วยเหลือ และจะไม่ปฏิเสธหรือขัดขวางพวกเขา
มาตรา 64 ในกรณีที่หน่วยงานที่มีหน้าที่ปกป้องข้อมูลส่วนบุคคลพบว่าเมื่อปฏิบัติหน้าที่นั้นมีความเสี่ยงค่อนข้างสูงในกิจกรรมการประมวลผลข้อมูลส่วนบุคคลหรือเหตุการณ์ความปลอดภัยของข้อมูลส่วนบุคคลแผนกอาจจัดให้มีการสัมภาษณ์ตัวแทนทางกฎหมายหรือผู้รับผิดชอบหลัก ของผู้ประมวลผลข้อมูลส่วนบุคคลตามอำนาจและขั้นตอนที่จัดให้ หรือขอให้ผู้ประมวลผลมอบหมายให้สถาบันวิชาชีพดำเนินการตรวจสอบการปฏิบัติตามกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลต้องใช้มาตรการเพื่อแก้ไขและขจัดความเสี่ยงที่อาจเกิดขึ้นตามที่กำหนด
ในกรณีที่หน่วยงานที่มีหน้าที่ปกป้องข้อมูลส่วนบุคคล ในการปฏิบัติหน้าที่ พบกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่ผิดกฎหมายที่อาจเกี่ยวข้องกับอาชญากรรม หน่วยงานจะโอนคดีไปยังหน่วยงานรักษาความปลอดภัยสาธารณะในเวลาที่เหมาะสมตามกฎหมาย
มาตรา 65 องค์กรหรือบุคคลใดมีสิทธิร้องเรียนและรายงานไปยังหน่วยงานที่มีหน้าที่คุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่ผิดกฎหมาย ฝ่ายที่รับเรื่องร้องเรียนหรือรายงานดังกล่าวจะต้องดำเนินการตามกำหนดเวลาตามกฎหมาย และแจ้งผลให้ผู้ร้องเรียนหรือผู้แจ้งทราบ
หน่วยงานที่มีหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องเผยแพร่ข้อมูลติดต่อเพื่อรับเรื่องร้องเรียนและรายงาน
บทที่ XNUMX ความรับผิดทางกฎหมาย
มาตรา 66 ในกรณีที่ข้อมูลส่วนบุคคลได้รับการประมวลผลโดยฝ่าฝืนบทบัญญัติของกฎหมายนี้ หรือไม่ปฏิบัติตามพันธกรณีในการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้ในกฎหมายนี้ หน่วยงานที่มีหน้าที่ปกป้องข้อมูลส่วนบุคคลจะสั่งให้ผู้ฝ่าฝืนทำการแก้ไข ตักเตือน ยึดสิ่งผิดกฎหมาย ได้รับและสั่งระงับหรือยุติการให้บริการโดยแอปพลิเคชันที่ประมวลผลข้อมูลส่วนบุคคลอย่างผิดกฎหมาย หากผู้ฝ่าฝืนปฏิเสธที่จะทำการแก้ไข ค่าปรับไม่เกินหนึ่งล้านหยวนจะถูกปรับ และผู้รับผิดชอบโดยตรงและผู้รับผิดชอบโดยตรงอื่น ๆ จะถูกปรับไม่น้อยกว่า 10,000 หยวนหยวนหรือไม่เกิน 100,000 หยวน
กรณีการกระทำผิดกฎหมายตามวรรคก่อนและมีพฤติการณ์ร้ายแรง หน่วยงานที่มีหน้าที่คุ้มครองข้อมูลส่วนบุคคลในระดับจังหวัดหรือสูงกว่าระดับจังหวัดจะสั่งให้ผู้ฝ่าฝืนดำเนินการแก้ไข ยึดทรัพย์โดยมิชอบ กำหนดโทษปรับไม่เกิน มากกว่า 50 ล้านหยวนหรือไม่เกินร้อยละห้าของมูลค่าการซื้อขายปีก่อนหน้า อาจสั่งระงับการประกอบธุรกิจที่เกี่ยวข้อง หรือสั่งระงับการประกอบธุรกิจทั้งหมดเพื่อยกเครื่อง และแจ้งผู้มีอำนาจสั่งเพิกถอนใบอนุญาตประกอบธุรกิจหรือใบอนุญาตที่เกี่ยวข้อง จะกำหนดปรับไม่น้อยกว่า 100,000 หยวนหยวน แต่ไม่เกิน 1 ล้านหยวนสำหรับผู้รับผิดชอบโดยตรงที่รับผิดชอบและผู้รับผิดชอบโดยตรงอื่น ๆ และอาจตัดสินใจห้ามบุคคลดังกล่าวทำหน้าที่เป็นกรรมการ ผู้บังคับบัญชา ผู้อาวุโส ผู้จัดการหรือผู้รับผิดชอบในบริษัทที่เกี่ยวข้องภายในระยะเวลาที่กำหนด
ข้อ 67 การละเมิดบทบัญญัติของกฎหมายนี้จะถูกป้อนในบันทึกเครดิตที่เกี่ยวข้องและเผยแพร่ตามบทบัญญัติของกฎหมายที่เกี่ยวข้องและระเบียบการบริหาร
มาตรา 68 ในกรณีที่หน่วยงานของรัฐใดไม่ปฏิบัติตามพันธกรณีในการคุ้มครองข้อมูลส่วนบุคคลตามที่บัญญัติไว้ในกฎหมายนี้ ให้หน่วยงานระดับสูงกว่าหรือหน่วยงานที่มีหน้าที่ปกป้องข้อมูลส่วนบุคคลมีคำสั่งให้แก้ไขและลงโทษผู้รับผิดชอบโดยตรงที่รับผิดชอบและ ผู้รับผิดชอบโดยตรงอื่น ๆ ตามกฎหมาย
ในกรณีที่พนักงานของหน่วยงานที่มีหน้าที่ปกป้องข้อมูลส่วนบุคคลละเลยหน้าที่ ใช้อำนาจในทางที่ผิด หรือเล่นพรรคเล่นพวกซึ่งไม่ถือเป็นอาชญากรรม พนักงานจะต้องถูกลงโทษตามกฎหมาย
มาตรา 69 ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลละเมิดสิทธิ์หรือผลประโยชน์ในข้อมูลส่วนบุคคลเนื่องจากกิจกรรมการประมวลผลข้อมูลส่วนบุคคลใด ๆ และไม่สามารถพิสูจน์ได้ว่าผู้ประมวลผลไม่มีความผิด ผู้ประมวลผลจะต้องรับผิดต่อความเสียหายและความรับผิดในการละเมิดอื่น ๆ
ความรับผิดสำหรับความเสียหายที่กำหนดไว้ในวรรคก่อนจะพิจารณาจากความสูญเสียของบุคคลที่เกิดขึ้นและผลประโยชน์ที่ได้รับจากผู้ประมวลผลข้อมูลส่วนบุคคลที่ละเมิด และในกรณีที่เป็นการยากที่จะระบุความสูญเสียหรือผลประโยชน์ดังกล่าวข้างต้น จำนวนเงินเสียหายจะถูกกำหนดตามสถานการณ์จริง
มาตรา 70 ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลประมวลผลข้อมูลส่วนบุคคลโดยฝ่าฝืนบทบัญญัติของกฎหมายนี้และละเมิดสิทธิและผลประโยชน์ของบุคคลจำนวนมาก ผู้แทนราษฎร องค์กรผู้บริโภคตามกฎหมายกำหนด และองค์กรที่กำหนดโดยกรมไซเบอร์สเปซแห่งชาติอาจยื่นฟ้อง ดำเนินคดีกับศาลประชาชนตามกฎหมาย
มาตรา 71 การฝ่าฝืนกฎหมายนี้อันเป็นการละเมิดการบริหารความมั่นคงสาธารณะ จะต้องได้รับโทษด้านการบริหารความมั่นคงสาธารณะตามกฎหมาย หากการฝ่าฝืนถือเป็นอาชญากรรม ผู้ฝ่าฝืนจะต้องรับผิดทางอาญาตามกฎหมาย
บทที่ VIII บทบัญญัติเพิ่มเติม
มาตรา 72 กฎหมายนี้ใช้ไม่ได้ในกรณีที่บุคคลธรรมดาประมวลผลข้อมูลส่วนบุคคลสำหรับเรื่องส่วนตัวหรืองานบ้าน
ในกรณีที่กฎหมายอื่นให้การประมวลผลข้อมูลส่วนบุคคลในกิจกรรมการจัดการทางสถิติหรือเอกสารสำคัญที่จัดและดำเนินการโดยรัฐบาลของประชาชนทุกระดับและหน่วยงานที่เกี่ยวข้อง บทบัญญัติของกฎหมายดังกล่าวจะมีผลเหนือกว่า
มาตรา 73 เพื่อความมุ่งประสงค์ของกฎหมายนี้ ข้อกำหนดต่อไปนี้จะมีความหมายดังต่อไปนี้:
(1) "ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายถึงองค์กรหรือบุคคลที่กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลด้วยตนเอง
(2) "การตัดสินใจโดยอัตโนมัติ" หมายถึงกิจกรรมของการวิเคราะห์และประเมินพฤติกรรมส่วนบุคคล งานอดิเรก หรือเศรษฐกิจ สุขภาพ และสถานะเครดิตโดยอัตโนมัติ ผ่านโปรแกรมคอมพิวเตอร์ และการตัดสินใจ
(3) "การไม่ระบุตัวตน" หมายถึงการประมวลผลข้อมูลส่วนบุคคลที่ทำให้ไม่สามารถระบุบุคคลธรรมดาที่เฉพาะเจาะจงได้ในกรณีที่ไม่ได้รับการสนับสนุนข้อมูลเพิ่มเติม
(4) "การไม่เปิดเผยชื่อ" หมายถึงกระบวนการในการประมวลผลข้อมูลส่วนบุคคลที่ทำให้ไม่สามารถระบุบุคคลธรรมดาที่เฉพาะเจาะจงได้ และไม่สามารถกู้คืนได้
มาตรา 74 กฎหมายนี้มีผลบังคับใช้ตั้งแต่วันที่ 1 พฤศจิกายน พ.ศ. 2021