Loi sur la protection des informations personnelles de la République populaire de Chine
(Adoptée lors de la 30e réunion du Comité permanent de la treizième Assemblée populaire nationale le 20 août 2021)
Chapitre I
Article 1 La présente loi est promulguée conformément à la Constitution aux fins de protéger les droits et intérêts sur les informations personnelles, de réglementer les activités de traitement des informations personnelles et de promouvoir l'utilisation raisonnable des informations personnelles.
Article 2 Les informations personnelles des personnes physiques sont protégées par la loi. Aucune organisation ou individu ne peut porter atteinte aux droits et intérêts des personnes physiques sur leurs informations personnelles.
Article 3 La présente loi s'applique au traitement des informations personnelles des personnes physiques sur le territoire de la République populaire de Chine.
La présente loi s'applique également au traitement en dehors du territoire de la République populaire de Chine des informations personnelles des personnes physiques sur le territoire de la République populaire de Chine, dans l'une des circonstances suivantes :
(1) dans le but de fournir des produits ou des services à des personnes physiques à l'intérieur de la République populaire de Chine ;
(2) analyser ou évaluer les comportements des personnes physiques sur le territoire de la République populaire de Chine ; et
(3) toute autre circonstance prévue par une loi ou un règlement administratif.
Article 4 "Informations personnelles" fait référence à diverses informations relatives à une personne physique identifiée ou identifiable enregistrées par voie électronique ou par d'autres moyens, mais n'inclut pas les informations anonymisées.
Le traitement des informations personnelles comprend la collecte, le stockage, l'utilisation, le traitement, la transmission, la fourniture, la divulgation et la suppression des informations personnelles, entre autres.
Article 5 Les informations personnelles seront traitées conformément à la loi lorsque cela est nécessaire, avec une raison justifiée et de bonne foi, et le traitement ne doit pas impliquer d'égarement, de fraude, de coercition, etc.
Article 6 Le traitement des informations personnelles doit être basé sur des finalités explicites et raisonnables et directement lié à ces finalités, et doit avoir le minimum d'impacts sur les droits et les intérêts des personnes.
La collecte d'informations personnelles doit être limitée à la portée minimale requise par la finalité du traitement, et les informations personnelles ne peuvent être collectées de manière excessive.
Article 7 Les principes d'ouverture et de transparence doivent être respectés dans le traitement des informations personnelles, les règles de traitement des informations personnelles doivent être divulguées et les finalités, les moyens et l'étendue du traitement doivent être explicitement indiqués.
Article 8 La qualité des informations personnelles doit être garantie dans le traitement des informations personnelles, afin d'éviter les effets négatifs sur les droits et les intérêts des individus causés par des informations personnelles inexactes et incomplètes.
Article 9 Les responsables du traitement des informations personnelles sont responsables de leurs activités de traitement des informations personnelles et prennent les mesures nécessaires pour assurer la sécurité des informations personnelles qu'ils traitent.
Article 10 Aucune organisation ou personne ne doit collecter, utiliser, traiter ou transmettre illégalement les informations personnelles d'autres personnes, ni échanger, fournir ou divulguer illégalement les informations personnelles d'autres personnes, ou s'engager dans des activités de traitement d'informations personnelles qui mettent en danger la sécurité nationale ou nuisent intérêts publics.
Article 11 L'État doit établir et améliorer le système de protection des informations personnelles pour prévenir et punir les atteintes aux droits et intérêts sur les informations personnelles, renforcer la publicité et l'éducation sur la protection des informations personnelles et promouvoir un environnement favorable pour le gouvernement, les entreprises, les organisations industrielles concernées. , et le public à participer conjointement à la protection des informations personnelles.
Article 12 L'État s'engagera activement dans l'élaboration de règles internationales sur la protection des informations personnelles, favorisera les échanges internationaux et la coopération en matière de protection des informations personnelles et encouragera la reconnaissance mutuelle des règles et normes de protection des informations personnelles, entre autres, avec d'autres pays, régions , et les organisations internationales.
Chapitre II Règles de traitement des informations personnelles
Section 1 Règles générales
Article 13 Un responsable du traitement des informations personnelles ne peut traiter les informations personnelles d'un individu que si l'une des circonstances suivantes existe :
(1) le consentement de la personne a été obtenu ;
(2) le traitement est nécessaire à la conclusion ou à l'exécution d'un contrat auquel la personne est partie, ou nécessaire à la gestion des ressources humaines conformément aux règles et règlements du travail établis conformément à la loi et aux contrats collectifs signés conformément avec la loi;
(3) le traitement est nécessaire à l'exécution de devoirs ou d'obligations statutaires ;
(4) le traitement est nécessaire à la réponse aux urgences de santé publique ou à la protection de la vie, de la santé et de la sécurité des biens des personnes physiques en cas d'urgence ;
(5) les informations personnelles sont raisonnablement traitées pour les reportages, la supervision des médias et d'autres activités menées dans l'intérêt public ;
(6) les informations personnelles divulguées par l'individu lui-même ou d'autres informations personnelles légalement divulguées de l'individu sont raisonnablement traitées conformément à la présente loi ; et
(7) autres circonstances prévues par les lois ou les règlements administratifs.
Le consentement individuel doit être obtenu pour le traitement des informations personnelles si d'autres dispositions pertinentes de la présente loi le prévoient, sauf dans les circonstances spécifiées aux alinéas (2) à (7) du paragraphe précédent.
Article 14 Lorsque le traitement des informations personnelles est basé sur le consentement individuel, le consentement individuel doit être volontaire, explicite et pleinement informé. Lorsqu'une autre loi ou réglementation administrative prévoit qu'un consentement séparé ou un consentement écrit d'un individu doit être obtenu pour le traitement des informations personnelles, ces dispositions s'appliquent.
En cas de changement des finalités ou des moyens de traitement des informations personnelles, ou de la catégorie d'informations personnelles traitées, un nouveau consentement sera obtenu de la personne concernée.
Article 15 Lorsque le traitement des informations personnelles est basé sur le consentement individuel, une personne a le droit de retirer son consentement. Les responsables du traitement des informations personnelles doivent fournir aux individus des moyens pratiques de retirer leur consentement.
Le retrait du consentement n'affecte pas la validité des activités de traitement menées sur la base du consentement avant son retrait.
Article 16 Un responsable du traitement des informations personnelles ne doit pas refuser de fournir des produits ou des services à une personne au motif que celle-ci refuse son consentement au traitement de ses informations personnelles ou a retiré son consentement au traitement de ses informations personnelles, sauf lorsque le traitement de les informations personnelles sont nécessaires à la fourniture de produits ou de services.
Article 17 Un responsable du traitement des informations personnelles doit, avant de traiter des informations personnelles, informer une personne de manière véridique, précise et complète des points suivants, d'une manière facile à remarquer et dans un langage clair et facile à comprendre :
(1) le nom et les coordonnées du responsable du traitement des informations personnelles ;
(2) les finalités et les moyens du traitement des informations personnelles, ainsi que les catégories et les durées de conservation des informations personnelles à traiter ;
(3) les méthodes et procédures permettant à l'individu d'exercer ses droits conformément à la présente loi ; et
(4) d'autres questions dont la personne doit être informée conformément aux lois et règlements administratifs.
Lorsqu'une question telle qu'énoncée dans le paragraphe précédent change, la personne doit être informée du changement.
Lorsque le responsable du traitement des informations personnelles informe une personne des éléments visés au premier alinéa en élaborant des règles de traitement des informations personnelles, les règles de traitement doivent être rendues publiques et être faciles à consulter et à sauvegarder.
Article 18 Lors du traitement des informations personnelles, les processeurs d'informations personnelles sont autorisés à ne pas informer les personnes des questions visées au premier alinéa de l'article précédent lorsque les lois ou les réglementations administratives exigent la confidentialité ou ne prévoient aucune exigence d'une telle notification.
Lorsqu'il est impossible d'aviser les personnes en temps opportun dans le but de protéger la vie, la santé et la sécurité des biens des personnes physiques en cas d'urgence, les responsables du traitement des renseignements personnels doivent les aviser sans délai après la suppression de l'urgence.
Article 19 Sauf disposition contraire des lois et règlements administratifs, la durée de conservation des informations personnelles est la durée minimale nécessaire à la réalisation de la finalité du traitement.
Article 20 Lorsque deux ou plusieurs processeurs d'informations personnelles déterminent conjointement les finalités et les moyens du traitement de certaines informations personnelles, ils doivent parvenir à un accord sur leurs droits et obligations respectifs dans le traitement des informations personnelles. Toutefois, cet accord n'affectera pas la demande d'un individu à l'un d'entre eux d'exercer ses droits tels que prévus dans la présente loi.
Lorsque, dans le cadre du traitement conjoint de certaines informations personnelles, un sous-traitant porte atteinte aux droits et intérêts sur les informations personnelles et cause des dommages, les autres sous-traitants de l'information personnelle assument une responsabilité conjointe et solidaire conformément à la loi.
Article 21 Le responsable du traitement des informations personnelles qui confie le traitement de certaines informations personnelles à une partie doit conclure un accord avec la partie mandatée sur les finalités, la durée et les moyens du traitement, les catégories d'informations personnelles à traiter et les mesures de protection, ainsi que les droits et obligations des deux parties, entre autres, et supervisera les activités de traitement des informations personnelles de la partie mandatée.
La partie mandatée doit traiter les informations personnelles conformément à l'accord et ne peut pas traiter les informations personnelles au-delà des objectifs, moyens et autres conditions convenus. Lorsque le contrat de mandat n'a pas pris effet, ou est invalide, ou est révoqué ou résilié, le mandataire restitue les renseignements personnels en question au responsable du traitement des renseignements personnels ou les supprime et ne conserve pas les renseignements personnels.
Sans le consentement du responsable du traitement des informations personnelles, la partie mandatée ne peut sous-traiter le traitement des informations personnelles à une autre partie.
Article 22 Lorsqu'un processeur d'informations personnelles doit transférer des informations personnelles en raison d'une fusion, d'une scission, d'une dissolution ou d'une faillite ou pour d'autres raisons, le processeur doit informer les personnes du nom et des coordonnées du destinataire des informations personnelles transférées. Le destinataire continuera à exécuter les obligations dudit processeur de données personnelles. Toute modification des finalités initiales ou des moyens de traitement par le destinataire doit faire l'objet d'un consentement individuel conformément à la présente loi.
Article 23 Pour fournir des informations personnelles à tout autre sous-traitant, le sous-traitant informe les personnes du nom et des coordonnées du destinataire, des finalités et des moyens de traitement et des catégories d'informations personnelles à traiter, et obtient les données individuelles consentement. Le destinataire traitera les informations personnelles dans le cadre des finalités, des moyens et des catégories d'informations personnelles mentionnées ci-dessus. Toute modification des finalités ou des moyens de traitement par le destinataire doit faire l'objet d'un consentement individuel conformément à la présente loi.
Article 24 Les processeurs d'informations personnelles utilisant des informations personnelles pour la prise de décision automatisée doivent garantir la transparence de la prise de décision et l'équité et l'impartialité des résultats, et ne peuvent pas appliquer de traitement différentiel déraisonnable aux individus en termes de prix de transaction et d'autres conditions de transaction.
La diffusion d'informations et le marketing commercial auprès des individus sur la base d'une prise de décision automatisée doivent s'accompagner simultanément d'options non spécifiques à leurs caractéristiques personnelles ou de moyens commodes pour les individus de refuser.
Lorsqu'une décision susceptible d'avoir une incidence importante sur les droits et les intérêts d'une personne est prise par le biais d'une prise de décision automatisée, la personne a le droit de demander des éclaircissements au responsable du traitement des informations personnelles et le droit de refuser au responsable du traitement de prendre la décision uniquement par le biais d'une prise de décision automatisée. la prise de décision.
Article 25 Les processeurs d'informations personnelles ne doivent pas divulguer les informations personnelles qu'ils traitent, sauf si des consentements distincts ont été obtenus des individus.
Article 26 Les équipements de collecte d'images et d'identification personnelle dans les lieux publics ne doivent être installés que lorsque cela est nécessaire aux fins du maintien de la sécurité publique, et doivent être installés conformément aux dispositions pertinentes de l'État et avec des rappels bien visibles. Les images personnelles et les informations d'identification collectées ne peuvent être utilisées qu'aux fins du maintien de la sécurité publique et, à moins d'obtenir le consentement séparé des individus, ne doivent être utilisées à aucune autre fin.
Article 27 Un responsable du traitement des informations personnelles peut raisonnablement traiter les informations personnelles divulguées par un individu lui-même ou d'autres informations personnelles légalement divulguées, sauf si l'individu s'y oppose expressément. Lorsque le traitement des informations personnelles divulguées peut avoir un impact significatif sur les droits et intérêts d'un individu, les processeurs d'informations personnelles doivent d'abord obtenir le consentement de l'individu conformément aux dispositions de la présente loi.
Section 2 Règles de traitement des informations personnelles sensibles
Article 28 Les "informations personnelles sensibles" sont des informations personnelles qui, une fois divulguées ou utilisées illégalement, peuvent facilement porter atteinte à la dignité personnelle d'une personne physique ou mettre en danger sa sécurité personnelle ou ses biens, y compris des informations telles que la biométrie, les convictions religieuses, des identité, état de santé, comptes financiers et localisation de la personne, ainsi que les informations personnelles d'un mineur de moins de 14 ans.
Les processeurs d'informations personnelles peuvent traiter des informations personnelles sensibles uniquement lorsqu'il existe un objectif spécifique et lorsque cela est nécessaire, dans les circonstances où des mesures de protection strictes sont prises.
Article 29 Pour le traitement des informations personnelles sensibles, le consentement séparé de la personne doit être obtenu. Lorsque d'autres lois ou réglementations administratives prévoient qu'un consentement écrit doit être obtenu pour le traitement d'informations personnelles sensibles, ces dispositions prévaudront.
Article 30 En plus des questions visées au premier alinéa de l'article 17 de la présente loi, un sous-traitant traitant des informations personnelles sensibles doit informer une personne de la nécessité de traiter ses informations personnelles sensibles et de l'impact que cela a sur ses droits et intérêts, sauf lorsqu'une telle notification n'est pas requise conformément aux dispositions de la présente loi.
Article 31 Pour traiter les informations personnelles des mineurs de moins de 14 ans, les responsables du traitement des informations personnelles doivent obtenir le consentement des parents ou autres tuteurs des mineurs.
Les processeurs d'informations personnelles traitant les informations personnelles des mineurs de moins de 14 ans doivent élaborer des règles spéciales pour le traitement de ces informations personnelles.
Article 32 Lorsque d'autres lois ou réglementations administratives prévoient qu'une autorisation administrative pertinente doit être obtenue pour le traitement d'informations personnelles sensibles ou imposent d'autres restrictions, ces dispositions prévaudront.
Section 3 Dispositions spéciales sur le traitement des informations personnelles par les organes de l'État
Article 33 La présente loi s'applique au traitement des informations personnelles par les organes de l'État ; lorsqu'il existe des dispositions spéciales dans la présente section, les dispositions de la présente section prévaudront.
Article 34 Lorsque les organes de l'État traitent des informations personnelles dans le cadre de l'exercice de leurs fonctions statutaires, ils agissent conformément à l'autorité et aux procédures prescrites par les lois et règlements administratifs, et ne doivent pas dépasser la portée et les limites nécessaires à l'exercice de leurs fonctions statutaires.
Article 35 Lorsque les organes de l'État traitent des informations personnelles dans le cadre de l'exercice de leurs fonctions légales, ils doivent remplir l'obligation de notification conformément aux dispositions de la présente loi, sauf dans les circonstances spécifiées au premier alinéa de l'article 18 de la présente loi ou lorsque la notification empêchera les organes de l'État d'exercer leurs fonctions statutaires.
Article 36 Les informations personnelles traitées par les organes de l'État sont stockées sur le territoire de la République populaire de Chine. Une évaluation de la sécurité doit être menée lorsqu'il est vraiment nécessaire de fournir ces informations pour toute partie en dehors du territoire de la République populaire de Chine. Lors de l'évaluation de la sécurité, les services concernés fourniront un soutien et une assistance si cela est demandé.
Article 37 Lorsque des organisations autorisées par la loi ou la réglementation avec la fonction d'administrer les affaires publiques traitent des informations personnelles afin de remplir leurs obligations légales, les dispositions des présentes sur le traitement des informations personnelles par les organes de l'État s'appliquent.
Chapitre III Règles sur la fourniture d'informations personnelles au-delà des frontières
Article 38 Un responsable du traitement des informations personnelles qui a réellement besoin de fournir des informations personnelles à une partie en dehors du territoire de la République populaire de Chine à des fins commerciales ou pour d'autres raisons, doit satisfaire à l'une des exigences suivantes :
(1) réussir l'évaluation de sécurité organisée par la direction nationale du cyberespace conformément à l'article 40 de la présente loi ;
(2) obtenir une certification de protection des informations personnelles auprès de l'institution spécialisée compétente conformément aux dispositions émises par la direction nationale du cyberespace ;
(3) conclure un contrat stipulant les droits et obligations des deux parties avec le destinataire étranger conformément au contrat type élaboré par la direction nationale du cyberespace ; et
(4) remplir d'autres conditions prévues par les lois et règlements administratifs et par le service national du cyberespace.
Lorsqu'un traité ou accord international que la République populaire de Chine a conclu ou auquel la République populaire de Chine a adhéré stipule des conditions pour fournir des informations personnelles à une partie en dehors du territoire de la République populaire de Chine, ces stipulations peuvent être suivies.
Le responsable du traitement des informations personnelles doit prendre les mesures nécessaires pour garantir que les activités de traitement des informations personnelles du destinataire étranger respectent les normes de protection des informations personnelles énoncées dans la présente loi.
Article 39 Lorsqu'un processeur d'informations personnelles fournit des informations personnelles à une partie en dehors du territoire de la République populaire de Chine, le processeur informe les personnes du nom et des coordonnées du destinataire étranger, des finalités et des moyens de traitement, des catégories d'informations personnelles à traiter, ainsi que les méthodes et procédures permettant aux personnes d'exercer leurs droits, conformément à la présente loi, sur le destinataire étranger, etc., et doivent obtenir le consentement séparé de la personne.
Article 40 Les opérateurs d'infrastructures d'information critiques et les processeurs d'informations personnelles qui traitent les informations personnelles jusqu'à concurrence de la quantité prescrite par le département national du cyberespace stockent au niveau national les informations personnelles collectées et générées sur le territoire de la République populaire de Chine. Lorsqu'il est réellement nécessaire de fournir des informations pour une partie en dehors du territoire de la République populaire de Chine, le dossier fait l'objet d'une évaluation de sécurité organisée par le service national du cyberespace. Lorsque les lois, les règlements administratifs ou les dispositions émises par le service national du cyberespace prévoient qu'une évaluation de la sécurité n'est pas nécessaire, ces dispositions prévaudront.
Article 41 Les autorités compétentes de la République populaire de Chine traitent les demandes des autorités judiciaires ou répressives étrangères concernant les informations personnelles stockées en Chine conformément aux lois pertinentes et aux traités et accords internationaux conclus ou auxquels la République populaire de Chine a adhéré, ou sous le principe d'égalité et de réciprocité. Sans l'approbation des autorités compétentes de la République populaire de Chine, aucune organisation ou personne ne doit fournir des données stockées sur le territoire de la République populaire de Chine à une autorité judiciaire ou répressive étrangère.
Article 42 Lorsque des organisations ou des individus étrangers se livrent à des activités de traitement d'informations personnelles, qui portent atteinte aux droits et intérêts des citoyens de la République populaire de Chine sur les informations personnelles ou mettent en danger la sécurité nationale ou les intérêts publics de la République populaire de Chine, le cyberespace national peut les inclure dans une liste de destinataires restreints ou interdits d'informations personnelles, publier la liste et prendre des mesures telles que restreindre ou interdire la fourniture d'informations personnelles pour ces organisations et individus.
Article 43 Lorsqu'un pays ou une région adopte des mesures prohibitives, restrictives ou autres mesures discriminatoires similaires à l'encontre de la République populaire de Chine en matière de protection des informations personnelles, la République populaire de Chine peut prendre des contre-mesures à l'encontre dudit pays ou de ladite région sur la base de situations réelles.
Chapitre IV Droits des individus dans les activités de traitement des informations personnelles
Article 44 Les personnes ont le droit d'être informées, le droit de prendre des décisions sur le traitement de leurs informations personnelles et le droit de restreindre ou de refuser le traitement de leurs informations personnelles par des tiers, sauf disposition contraire des lois ou des règlements administratifs.
Article 45 Les personnes ont le droit de consulter et de dupliquer leurs informations personnelles auprès des processeurs d'informations personnelles, sauf dans les cas prévus au premier alinéa de l'article 18 et à l'article 35 de la présente loi.
Lorsqu'une personne demande la consultation ou la duplication de ses informations personnelles, le responsable du traitement des informations personnelles requis doit fournir ces informations en temps opportun.
Lorsqu'une personne demande le transfert de ses informations personnelles à un processeur d'informations personnelles désigné, qui répond aux exigences du service national du cyberespace pour le transfert d'informations personnelles, le processeur d'informations personnelles demandé doit fournir les moyens pour le transfert.
Article 46 Lorsqu'une personne découvre que ses informations personnelles sont incorrectes ou incomplètes, elle a le droit de demander aux responsables du traitement des informations personnelles de rectifier ou de compléter les informations pertinentes.
Lorsqu'une personne demande la rectification ou le complément de ses informations personnelles, les responsables du traitement des informations personnelles doivent vérifier les informations en question et effectuer la rectification ou le complément en temps opportun.
Article 47 Dans l'une des circonstances suivantes, un processeur d'informations personnelles doit prendre l'initiative d'effacer des informations personnelles, et une personne a le droit de demander la suppression de ses informations personnelles si le processeur d'informations personnelles ne parvient pas à effacer les informations :
(1) les finalités du traitement ont été atteintes ou ne peuvent pas l'être, ou ces informations ne sont plus nécessaires à la réalisation des finalités du traitement ;
(2) le responsable du traitement des informations personnelles cesse de fournir des produits ou des services, ou la période de stockage a expiré ;
(3) la personne retire son consentement;
(4) le processeur d'informations personnelles traite des informations personnelles en violation des lois, des réglementations administratives ou des accords ; ou
(5) autres circonstances prévues par les lois et règlements administratifs.
Lorsque la période de stockage prévue par une loi ou un règlement administratif n'a pas expiré, ou qu'il est techniquement difficile d'effacer les informations personnelles, le responsable du traitement des informations personnelles doit cesser le traitement des informations personnelles autrement que pour stocker et prendre les mesures de protection de sécurité nécessaires pour ces informations.
Article 48 Une personne a le droit de demander à un responsable du traitement des informations personnelles d'interpréter les règles de traitement des informations personnelles élaborées par ce dernier.
Article 49 Les proches parents d'une personne physique décédée peuvent, pour leurs propres intérêts légaux et légitimes, exercer les droits de traitement des informations personnelles du défunt, tels que la consultation, la duplication, la rectification et la suppression, comme prévu dans le présent chapitre, sauf tel qu'arrangé autrement par le défunt avant son décès.
Article 50 Le responsable du traitement des informations personnelles établit le mécanisme de réception et de traitement des demandes des individus pour l'exercice de leurs droits. Lorsque la demande d'une personne est rejetée, les raisons en sont données.
Lorsque la demande d'un individu d'exercer ses droits est rejetée par un responsable du traitement des informations personnelles, l'individu peut intenter une action en justice auprès du tribunal populaire conformément à la loi.
Chapitre V Obligations des responsables du traitement des informations personnelles
Article 51 Les responsables du traitement des informations personnelles prennent les mesures suivantes pour s'assurer que leurs activités de traitement des informations personnelles sont conformes aux lois et réglementations administratives en fonction de la finalité et des moyens de traitement, des catégories d'informations personnelles à traiter, de l'impact sur les droits et intérêts, et les risques de sécurité potentiels, entre autres, et doit empêcher l'accès non autorisé, ainsi que la violation, la falsification ou la perte de toute information personnelle :
(1) formuler un système de gestion interne et des procédures opérationnelles ;
(2) mettre en œuvre une gestion classifiée des informations personnelles ;
(3) adopter les mesures techniques de sécurité correspondantes telles que le cryptage et l'anonymisation ;
(4) déterminer raisonnablement l'autorité opérationnelle du traitement des informations personnelles et organiser régulièrement une éducation et une formation à la sécurité pour les praticiens ;
(5) formuler des plans d'urgence pour les urgences de sécurité des informations personnelles et organiser la mise en œuvre de ces plans ; et
(6) autres mesures prévues par les lois et règlements administratifs.
Article 52 Un processeur d'informations personnelles qui traite des informations personnelles jusqu'à concurrence de la quantité prescrite par le service national du cyberespace désigne une personne en charge de la protection des informations personnelles, qui supervise les activités de traitement des informations personnelles du processeur ainsi que les mesures de protection prises par celui-ci. , entre autres.
Le responsable du traitement des informations personnelles doit divulguer les coordonnées de la personne en charge de la protection des informations personnelles et soumettre le nom de ladite personne, ses coordonnées et d'autres informations aux services chargés de la protection des informations personnelles.
Article 53 Les processeurs d'informations personnelles en dehors du territoire de la République populaire de Chine, tels que spécifiés au deuxième alinéa de l'article 3 de la présente loi, créent des agences spécialisées ou désignent des représentants sur le territoire de la République populaire de Chine pour être responsables du traitement des informations personnelles. les questions liées à la protection, et doit soumettre les noms, coordonnées et autres informations des agences et des représentants aux départements ayant des devoirs de protection des informations personnelles.
Article 54 Les responsables du traitement des informations personnelles procèdent régulièrement à des audits de conformité de leurs activités de traitement des informations personnelles avec les lois et réglementations administratives.
Article 55 Dans l'une des circonstances suivantes, un responsable du traitement des informations personnelles doit évaluer à l'avance l'impact sur la protection des informations personnelles et conserver un enregistrement du déroulement du traitement :
(1) traiter des informations personnelles sensibles ;
(2) utiliser des informations personnelles pour prendre des décisions automatisées ;
(3) confier le traitement des informations personnelles à une autre partie, fournir des informations personnelles à une autre partie ou publier des informations personnelles ;
(4) fournir des informations personnelles à toute partie située en dehors du territoire de la République populaire de Chine ; ou
(5) mener d'autres activités de traitement des informations personnelles qui peuvent avoir des impacts significatifs sur les individus.
Article 56 L'évaluation de l'impact sur la protection des informations personnelles comprendra le contenu suivant :
(1) si les finalités et les moyens du traitement des informations personnelles sont légitimes, justifiés et nécessaires ;
(2) l'impact sur les droits et intérêts des individus, et les risques de sécurité ; et
(3) si les mesures de protection prises sont légitimes, efficaces et compatibles avec le degré de risque.
Le rapport d'analyse d'impact sur la protection des informations personnelles et le dossier de traitement sont conservés pendant au moins trois ans.
Article 57 Lorsque la violation, la falsification ou la perte d'informations personnelles se produit ou peut se produire, un responsable du traitement des informations personnelles doit immédiatement prendre des mesures correctives et informer les services chargés de la protection des informations personnelles et les personnes concernées. L'avis comprendra les éléments suivants :
(1) les catégories d'informations personnelles qui ont été ou peuvent être violées, falsifiées ou perdues, et les raisons et les dommages possibles de la violation, de la falsification et de la perte ;
(2) les mesures correctives adoptées par le responsable du traitement des renseignements personnels et les mesures que les personnes peuvent prendre pour atténuer le préjudice ; et
(3) les coordonnées du responsable du traitement des informations personnelles.
Lorsque les mesures prises par le processeur de renseignements personnels peuvent effectivement éviter le préjudice causé par la violation, la falsification ou la perte de renseignements personnels, le processeur de renseignements personnels n'est pas tenu d'informer les personnes ; lorsque les services chargés de la protection des renseignements personnels estiment qu'un préjudice peut être causé, ils ont le pouvoir de demander au responsable du traitement des renseignements personnels d'en aviser les personnes.
Article 58 Un processeur d'informations personnelles qui fournit des services de plate-forme Internet importants impliquant un grand nombre d'utilisateurs et des types d'entreprises complexes doit remplir les obligations suivantes :
(1) établir et améliorer le système de conformité en matière de protection des renseignements personnels conformément aux dispositions de l'État et établir un organisme indépendant composé principalement de membres externes pour superviser la protection des renseignements personnels ;
(2) en suivant les principes d'ouverture, d'équité et de justice, en formulant des règles de plate-forme et en clarifiant les normes et les obligations que les fournisseurs de produits ou de services au sein de la plate-forme doivent respecter lors du traitement des informations personnelles ;
(3) cesser de fournir des services aux fournisseurs de produits ou de services au sein des plateformes qui traitent des informations personnelles en violation grave des lois et réglementations administratives ; et
(4) publier régulièrement des rapports de responsabilité sociale sur la protection des renseignements personnels pour la surveillance publique.
Article 59 La partie chargée du traitement des informations personnelles doit, conformément à la présente loi et aux lois et réglementations administratives pertinentes, prendre les mesures nécessaires pour assurer la sécurité des informations personnelles confiées au traitement et aider le responsable du traitement des informations personnelles à remplir les obligations prévues par la présente loi.
Chapitre VI Départements ayant des devoirs de protection des informations personnelles
Article 60 Le service national du cyberespace est responsable de la planification et de la coordination globales de la protection des informations personnelles ainsi que de la supervision et de l'administration connexes. Les services compétents du Conseil d'État sont, conformément à la présente loi et aux autres lois et règlements administratifs pertinents, responsables de la protection des renseignements personnels et de la supervision et de l'administration connexes dans le cadre de leurs fonctions respectives.
Les devoirs de protection des informations personnelles et de supervision et d'administration connexes des départements concernés des gouvernements populaires locaux au niveau du comté ou au-dessus doivent être déterminés conformément aux dispositions pertinentes de l'État.
Les services prévus dans les deux paragraphes précédents sont collectivement appelés les services ayant des devoirs de protection des informations personnelles.
Article 61 Les services chargés de la protection des informations personnelles s'acquittent des obligations suivantes en matière de protection des informations personnelles :
(1) faire de la publicité et de l'éducation sur la protection des renseignements personnels, et guider et superviser les processeurs de renseignements personnels dans leur protection des renseignements personnels ;
(2) recevoir et traiter les plaintes et les rapports liés à la protection des renseignements personnels ;
(3) organiser des évaluations des candidatures, etc. en matière de protection des informations personnelles et publier les résultats de ces évaluations ;
(4) enquêter et gérer les activités illégales de traitement des informations personnelles ; et
(5) autres fonctions prévues par les lois et règlements administratifs.
Article 62 Le service national du cyberespace coordonne les services compétents pour promouvoir la protection des informations personnelles par les efforts suivants conformément à la présente loi :
(1) formuler des règles et des normes spécifiques pour la protection des informations personnelles ;
(2) élaborer des règles et des normes spéciales de protection des informations personnelles pour les petits processeurs d'informations personnelles, le traitement des informations personnelles sensibles et les nouvelles technologies et applications telles que la reconnaissance faciale et l'intelligence artificielle ;
(3) soutenir la recherche et le développement et promouvoir l'application d'une technologie d'authentification d'identité électronique sécurisée et pratique, et faire progresser les services publics d'authentification d'identité de réseau ;
(4) promouvoir le développement d'un système de services de protection des informations personnelles avec la participation de divers secteurs sociaux et soutenir les institutions concernées dans la fourniture de services d'évaluation et de certification de la protection des informations personnelles ; et
(5) améliorer le mécanisme de plainte et de signalement lié à la protection des renseignements personnels .
Article 63 Un service chargé de la protection des renseignements personnels lorsqu'il exerce des fonctions connexes peut prendre les mesures suivantes :
(1) interroger les parties concernées et enquêter sur les circonstances liées aux activités de traitement des informations personnelles ;
(2) consulter et dupliquer les contrats, registres, livres de comptes et autres documents pertinents des parties liés aux activités de traitement des informations personnelles ;
(3) mener des inspections sur place et enquêter sur des activités présumées illégales de traitement des informations personnelles ; et
(4) inspecter l'équipement et les articles liés aux activités de traitement des informations personnelles ; et de sceller ou de saisir les équipements et articles liés aux activités illégales de traitement des informations personnelles prouvées par des preuves après avoir soumis des rapports écrits et obtenu l'approbation du responsable principal des services chargés de la protection des informations personnelles.
Lorsque les services chargés de la protection des informations personnelles exercent leurs fonctions conformément à la loi, les parties concernées doivent coopérer et fournir une assistance, et ne doivent pas les rejeter ou les entraver.
Article 64 Lorsqu'un service chargé de la protection des renseignements personnels constate, dans l'exercice de ses fonctions, des risques relativement élevés dans les activités de traitement des renseignements personnels ou la survenance d'incidents de sécurité des renseignements personnels, le service peut s'entretenir avec le représentant légal ou le principal responsable du responsable du traitement des informations personnelles conformément à l'autorité et aux procédures prévues, ou demander au responsable du traitement de confier à une institution professionnelle la réalisation d'audits de conformité des activités de traitement des informations personnelles. Le responsable du traitement des informations personnelles doit adopter des mesures pour apporter des rectifications et éliminer les risques potentiels selon les besoins.
Lorsqu'un service chargé de la protection des informations personnelles, dans l'exercice de ses fonctions, découvre une activité illégale de traitement des informations personnelles pouvant impliquer un crime, le service transmet l'affaire à l'organe de sécurité publique en temps opportun conformément à la loi.
Article 65 Toute organisation ou individu a le droit de porter plainte et de signaler à un service chargé de la protection des informations personnelles le traitement illégal des informations personnelles. Le service qui reçoit une telle plainte ou un tel rapport doit le traiter en temps opportun conformément à la loi et informer le plaignant ou le dénonciateur des résultats.
Les services chargés de la protection des informations personnelles doivent publier leurs coordonnées pour recevoir les plaintes et les signalements.
Chapitre VII Responsabilité Juridique
Article 66 Lorsque des informations personnelles sont traitées en violation des dispositions de la présente loi ou sans remplir les obligations de protection des informations personnelles prévues par la présente loi, les services chargés de la protection des informations personnelles ordonnent au contrevenant de procéder à des corrections, de donner un avertissement, de confisquer les gains, et ordonner la suspension ou la résiliation de la fourniture de services par les applications qui traitent illégalement des informations personnelles ; si le contrevenant refuse d'apporter des corrections, une amende ne dépassant pas un million de yuans RMB sera infligée ; et les responsables directement responsables et les autres personnes directement responsables seront chacun passibles d'une amende d'au moins 10,000 100,000 yuans RMB et d'au plus XNUMX XNUMX yuans RMB.
En cas d'acte illégal tel que prescrit au paragraphe précédent et si les circonstances sont graves, les départements ayant des devoirs de protection des renseignements personnels au niveau provincial ou supérieur ordonnent au contrevenant de faire des corrections, de confisquer les gains illégaux, d'imposer une amende d'au plus de RMB 50 millions de yuans ou pas plus de cinq pour cent du chiffre d'affaires de l'année précédente ; peut également ordonner la suspension des entreprises concernées, ou ordonner la suspension de toutes les opérations commerciales pour une révision, et notifier aux autorités compétentes de révoquer les permis ou licences commerciaux concernés ; infligera une amende d'au moins 100,000 1 yuans RMB mais d'au plus XNUMX million de yuans RMB à chacun des responsables directement responsables et aux autres personnes directement responsables, et pourra décider d'interdire aux personnes susmentionnées d'exercer les fonctions d'administrateurs, de superviseurs, de cadres supérieurs les dirigeants, ou les responsables des sociétés concernées dans un délai déterminé.
Article 67 Toute infraction aux dispositions de la présente loi est inscrite au dossier de crédit correspondant et publiée conformément aux dispositions des lois et règlements administratifs pertinents.
Article 68 Lorsqu'un organe de l'État ne remplit pas les obligations de protection des informations personnelles prévues par la présente loi, l'organe de niveau supérieur ou les départements chargés de la protection des informations personnelles lui ordonnent de procéder à des corrections et de sanctionner le responsable directement responsable et autres personnes directement responsables conformément à la loi.
Lorsqu'un membre du personnel d'un service chargé de la protection des informations personnelles néglige ses devoirs, abuse de son pouvoir ou pratique du favoritisme, ce qui ne constitue pas un crime, le membre du personnel est passible de sanctions conformément à la loi.
Article 69 Lorsqu'un processeur d'informations personnelles porte atteinte aux droits ou intérêts sur les informations personnelles en raison d'une activité de traitement d'informations personnelles et ne peut pas prouver que le processeur n'est pas en faute, le processeur assume la responsabilité des dommages et autres responsabilités délictuelles.
La responsabilité pour les dommages prévus à l'alinéa précédent est déterminée en fonction des pertes des personnes encourues et des avantages acquis par le processeur de renseignements personnels contrevenant ; et lorsqu'il est difficile de déterminer les pertes ou les avantages susmentionnés, le montant des dommages-intérêts sera déterminé en fonction des circonstances réelles.
Article 70 Lorsqu'un processeur d'informations personnelles traite des informations personnelles en violation des dispositions de la présente loi et porte atteinte aux droits et intérêts de nombreuses personnes, le parquet populaire, les organisations de consommateurs désignées par la loi et l'organisation désignée par le service national du cyberespace peuvent déposer un procès devant le tribunal populaire conformément à la loi.
Article 71 Toute violation de la présente loi qui constitue une violation de l'administration de la sécurité publique est passible d'une sanction de l'administration de la sécurité publique conformément à la loi. Si la violation constitue un crime, le contrevenant sera tenu pénalement responsable conformément à la loi.
Chapitre VIII Dispositions supplémentaires
Article 72 La présente loi n'est pas applicable lorsqu'une personne physique traite des informations personnelles pour les affaires personnelles ou domestiques.
Lorsque d'autres lois prévoient le traitement des informations personnelles dans le cadre d'activités statistiques ou de gestion d'archives organisées et menées par les gouvernements populaires à tous les niveaux et leurs départements compétents, les dispositions de ces lois prévaudront.
Article 73 Aux fins de la présente loi, les termes suivants ont les significations suivantes :
(1) "Un processeur d'informations personnelles" fait référence à une organisation ou à un individu qui détermine de manière autonome les finalités et les moyens du traitement des informations personnelles.
(2) "prise de décision automatisée" fait référence aux activités d'analyse et d'évaluation automatiques des comportements personnels, des passe-temps ou de l'état économique, de la santé et du crédit, entre autres, par le biais de programmes informatiques, et de la prise de décisions.
(3) "anonymisation" fait référence au traitement des informations personnelles pour rendre impossible l'identification de personnes physiques spécifiques en l'absence de l'appui d'informations supplémentaires.
(4) "anonymisation" fait référence au processus de traitement des informations personnelles pour rendre impossible l'identification de personnes physiques spécifiques et impossible à restaurer.
Article 74 La présente loi entre en vigueur le 1er novembre 2021.