Portal de leyes de China - CJO

Encuentre las leyes y los documentos públicos oficiales de China en inglés

InglésÁrabeChino (simplificado)HolandésFrancésAlemánHindiItalianoJaponésCoreanoPortuguésRusoEspañolSuecoHebreoIndonesioVietnamitaTailandésTurcoMalay

Ley de protección de información personal de China (2021)

个人 信息 保护 法

Tipo de leyes de derecho criminal

Organismo emisor Comité Permanente de la Asamblea Popular Nacional

Fecha de promulgación 20 de Agosto, 2021

Fecha efectiva Nov 01, 2021

Estado de validez Válido

Aplicación A escala nacional

Tema (s) Protección de datos personales

Editor (es) Yanru Chen 陈彦茹

Ley de Protección de Información Personal de la República Popular China
(Aprobado en la 30ª Reunión del Comité Permanente de la Decimotercera Asamblea Popular Nacional el 20 de agosto de 2021)
Capítulo I
Artículo 1 Esta Ley se promulga de conformidad con la Constitución con el fin de proteger los derechos e intereses sobre la información personal, regular las actividades de procesamiento de información personal y promover el uso razonable de la información personal.
Artículo 2 La información personal de las personas físicas estará protegida por la ley. Ninguna organización o individuo puede infringir los derechos e intereses de las personas físicas sobre su información personal.
Artículo 3 Esta Ley se aplicará al procesamiento de información personal de personas físicas dentro del territorio de la República Popular China.
Esta Ley también se aplicará al procesamiento fuera del territorio de la República Popular China de la información personal de personas naturales dentro del territorio de la República Popular China, bajo cualquiera de las siguientes circunstancias:
(1) con el fin de proporcionar productos o servicios para personas físicas dentro de la República Popular China;
(2) analizar o evaluar los comportamientos de personas físicas dentro del territorio de la República Popular China; y
(3) cualquier otra circunstancia prevista por cualquier ley o reglamento administrativo.
El artículo 4 "Información personal" se refiere a diversa información relacionada con una persona física identificada o identificable registrada electrónicamente o por otros medios, pero no incluye información anonimizada.
El procesamiento de información personal incluye la recopilación, el almacenamiento, el uso, el procesamiento, la transmisión, el suministro, la divulgación y la eliminación de información personal, entre otros.
Artículo 5 Los datos personales serán tratados de conformidad con la ley cuando sea necesario, con causa justificada y de buena fe, y el tratamiento no podrá implicar extravío, fraude, coacción y similares.
Artículo 6 El procesamiento de información personal se basará en fines explícitos y razonables y directamente relacionados con esos fines, y ejercerá los impactos mínimos sobre los derechos e intereses de las personas.
La recopilación de información personal se limitará al alcance mínimo requerido por el propósito del procesamiento, y la información personal no podrá recopilarse en exceso.
Artículo 7 Se observarán los principios de publicidad y transparencia en el tratamiento de los datos personales, se darán a conocer las normas para el tratamiento de los datos personales y se indicarán explícitamente los fines, medios y alcances del tratamiento.
Artículo 8 Se garantizará la calidad de la información personal en el procesamiento de información personal, para evitar impactos adversos en los derechos e intereses de las personas causados ​​por información personal inexacta e incompleta.
Artículo 9 Los procesadores de información personal serán responsables de sus actividades de procesamiento de información personal y tomarán las medidas necesarias para garantizar la seguridad de la información personal que procesan.
Artículo 10 Ninguna organización o individuo podrá recolectar, usar, procesar o transmitir ilegalmente la información personal de otras personas, o comerciar, proporcionar o divulgar ilegalmente la información personal de otras personas, o participar en actividades de procesamiento de información personal que pongan en peligro la seguridad nacional o perjudiquen intereses públicos.
Artículo 11 El estado establecerá y mejorará el sistema de protección de la información personal para prevenir y sancionar las violaciones de los derechos e intereses sobre la información personal, fortalecer la publicidad y la educación sobre la protección de la información personal y promover un entorno favorable para el gobierno, las empresas y las organizaciones industriales relevantes. , y el público a participar conjuntamente en la protección de la información personal.
Artículo 12 El estado participará activamente en el desarrollo de normas internacionales sobre protección de información personal, promoverá los intercambios y la cooperación internacionales en materia de protección de información personal y alentará el reconocimiento mutuo de normas y estándares de protección de información personal, entre otros, con otros países, regiones y organizaciones internacionales.
Capítulo II Normas de Tratamiento de Datos Personales
Sección 1 Reglas Generales
Artículo 13 Un procesador de información personal puede procesar información personal de un individuo solo si existe una de las siguientes circunstancias:
(1) se ha obtenido el consentimiento de la persona;
(2) el procesamiento es necesario para la celebración o ejecución de un contrato en el que el individuo es parte, o necesario para la gestión de recursos humanos de acuerdo con las normas y reglamentos laborales establecidos de conformidad con la ley y los contratos colectivos firmados de conformidad con con la ley;
(3) el procesamiento es necesario para el desempeño de deberes u obligaciones legales;
(4) el procesamiento es necesario para la respuesta a emergencias de salud pública, o para la protección de la vida, la salud y la seguridad de la propiedad de personas físicas en emergencias;
(5) la información personal se procesa razonablemente para reportajes de noticias, supervisión de medios y otras actividades realizadas en interés público;
(6) la información personal divulgada por el propio individuo u otra información personal del individuo divulgada legalmente se procese razonablemente de conformidad con esta Ley; y
(7) otras circunstancias previstas por leyes o reglamentos administrativos.
Se obtendrá el consentimiento individual para el tratamiento de datos personales si así lo prevén otras disposiciones pertinentes de esta Ley, excepto en las circunstancias previstas en los incisos (2) a (7) del párrafo anterior.
Artículo 14 Cuando el procesamiento de información personal se base en el consentimiento individual, el consentimiento individual será voluntario, explícito y plenamente informado. Cuando cualquier otra ley o reglamento administrativo establezca que se debe obtener el consentimiento por separado o por escrito de una persona para procesar información personal, se aplicarán dichas disposiciones.
En el caso de cualquier cambio de los fines o medios del procesamiento de información personal, o la categoría de información personal procesada, se deberá obtener un nuevo consentimiento del individuo.
Artículo 15 Cuando el procesamiento de información personal se base en el consentimiento individual, una persona tendrá derecho a retirar su consentimiento. Los procesadores de información personal proporcionarán formas convenientes para que las personas retiren su consentimiento.
La retirada del consentimiento no afectará a la validez de las actividades de tratamiento realizadas sobre la base del consentimiento antes de su retirada.
Artículo 16 Un procesador de información personal no se negará a proporcionar productos o servicios a una persona sobre la base de que la persona niega su consentimiento para el procesamiento de su información personal o ha retirado su consentimiento para el procesamiento de información personal, excepto cuando el procesamiento de la información personal es necesaria para la provisión de productos o servicios.
Artículo 17 Un procesador de información personal deberá, antes de procesar información personal, informar de manera veraz, precisa y completa a un individuo de los siguientes asuntos de una manera fácil de notar y en un lenguaje claro y fácil de entender:
(1) el nombre y la información de contacto del procesador de información personal;
(2) los propósitos y medios del procesamiento de información personal, y las categorías y períodos de almacenamiento de la información personal a ser procesada;
(3) los métodos y procedimientos para que el individuo ejerza sus derechos conforme a lo dispuesto en esta Ley; y
(4) otros asuntos que el individuo deba ser notificado según lo dispuesto por las leyes y reglamentos administrativos.
Cuando se produzca algún cambio en lo dispuesto en el párrafo anterior, se informará al interesado del cambio.
Cuando el procesador de información personal informe a una persona de los asuntos especificados en el primer párrafo al formular reglas de procesamiento de información personal, las reglas de procesamiento se harán públicas y serán fáciles de consultar y guardar.
Artículo 18 Al procesar información personal, los procesadores de información personal están autorizados a no informar a las personas de los asuntos especificados en el primer párrafo del artículo anterior cuando las leyes o los reglamentos administrativos exijan la confidencialidad o no establezcan ningún requisito para tal notificación.
Cuando sea imposible notificar a las personas de manera oportuna en un intento por proteger la vida, la salud y la seguridad de la propiedad de las personas físicas en caso de emergencia, los procesadores de información personal les notificarán sin demora después de que se elimine la emergencia.
Artículo 19 Salvo que las leyes y los reglamentos administrativos dispongan lo contrario, el período de conservación de los datos personales será el mínimo necesario para lograr el fin del tratamiento.
Artículo 20 Cuando dos o más procesadores de información personal determinen conjuntamente los propósitos y medios del procesamiento de cierta información personal, deberán llegar a un acuerdo sobre sus respectivos derechos y obligaciones en el procesamiento de la información personal. Sin embargo, este acuerdo no afectará la solicitud de un individuo a cualquiera de ellos para ejercer sus derechos conforme a lo dispuesto en esta Ley.
Cuando, en el procesamiento conjunto de cierta información personal, un procesador infrinja los derechos e intereses sobre la información personal y cause daños, otros procesadores de información personal asumirán la responsabilidad solidaria de conformidad con la ley.
Artículo 21 Un procesador de información personal que encomiende el procesamiento de cierta información personal a una parte deberá llegar a un acuerdo con la parte encargada sobre los fines, el período y los medios del procesamiento, las categorías de información personal que se procesará y las medidas de protección, así como los derechos y obligaciones de ambas partes, entre otros, y supervisará las actividades de tratamiento de datos personales del encargado.
El encargado tratará la información personal de conformidad con el contrato y no podrá tratar la información personal más allá de los fines, medios y demás condiciones acordadas. Cuando el contrato de encomienda no surta efecto, sea inválido, sea revocado o rescindido, la parte encomendada devolverá la información personal en cuestión al procesador de información personal o la eliminará y no conservará la información personal.
Sin el consentimiento del encargado del tratamiento de los datos personales, el encargado no podrá subcontratar el tratamiento de los datos personales a ninguna otra parte.
Artículo 22 Cuando un procesador de información personal necesite transferir información personal debido a una fusión, división, disolución o quiebra o por otras razones, el procesador deberá informar a las personas el nombre y la información de contacto del destinatario de la información personal transferida. El destinatario continuará cumpliendo con las obligaciones de dicho procesador de datos personales. Cualquier cambio de los fines o medios originales del tratamiento por parte del destinatario estará sujeto al consentimiento individual de conformidad con esta Ley.
Artículo 23 Para proporcionar información personal a cualquier otro procesador, un procesador de información personal informará a las personas sobre el nombre y la información de contacto del destinatario, los propósitos y medios del procesamiento y las categorías de información personal que se procesará, y obtendrá información separada de las personas. consentimiento. El destinatario procesará la información personal dentro del alcance de los propósitos, medios y categorías de información personal mencionados anteriormente. Cualquier cambio de los fines o medios del tratamiento por parte del destinatario estará sujeto al consentimiento individual de conformidad con esta Ley.
Artículo 24 Los procesadores de información personal que utilicen información personal para la toma de decisiones automatizada garantizarán la transparencia de la toma de decisiones y la equidad e imparcialidad de los resultados, y no podrán aplicar un trato diferencial irrazonable a las personas en términos de precios de transacción y otras condiciones de transacción.
El envío de información y el marketing comercial a personas físicas basado en la toma de decisiones automatizadas deberán ir acompañados simultáneamente de opciones no específicas de sus características personales o con medios convenientes para que las personas rechacen.
Cuando se tome una decisión que pueda tener un impacto significativo en los derechos e intereses de una persona a través de la toma de decisiones automatizada, la persona tendrá derecho a solicitar una aclaración del procesador de información personal y el derecho a rechazar que el procesador tome la decisión solo a través de la toma de decisiones automatizada. Toma de decisiones.
Artículo 25 Los procesadores de información personal no divulgarán la información personal que procesan, excepto cuando se haya obtenido el consentimiento por separado de las personas.
Artículo 26 Los equipos de recolección de imágenes e identificación personal en lugares públicos se instalarán solo cuando sea necesario para mantener la seguridad pública, y se instalarán de conformidad con las disposiciones pertinentes del estado y con recordatorios destacados. Las imágenes personales y la información de identificación recopilada solo se pueden utilizar con el fin de mantener la seguridad pública y, a menos que se obtenga el consentimiento por separado de las personas, no se utilizarán para ningún otro propósito.
Artículo 27 Un procesador de información personal puede procesar razonablemente la información personal revelada por un individuo mismo u otra información personal revelada legalmente, excepto cuando el individuo se niegue expresamente. Cuando el procesamiento de la información personal divulgada pueda tener un impacto significativo en los derechos e intereses de una persona, los procesadores de información personal deberán obtener primero el consentimiento de la persona de conformidad con las disposiciones de esta Ley.
Sección 2 Reglas sobre el procesamiento de información personal confidencial
El artículo 28 "Información personal sensible" es información personal que, una vez filtrada o utilizada ilegalmente, puede conducir fácilmente a la violación de la dignidad personal de una persona física o puede poner en peligro su seguridad personal o su propiedad, incluida información como datos biométricos, creencias religiosas, información específica. identidad, estado de salud, cuentas financieras y paradero de la persona, así como la información personal de un menor de 14 años.
Los procesadores de información personal pueden procesar información personal confidencial solo cuando existe un propósito específico y cuando es necesario, bajo la circunstancia de que se toman medidas de protección estrictas.
Artículo 29 Para el tratamiento de datos personales sensibles, se deberá obtener el consentimiento individual por separado. Cuando otras leyes o reglamentos administrativos establezcan que se debe obtener el consentimiento por escrito para el procesamiento de información personal confidencial, prevalecerán dichas disposiciones.
Artículo 30 Además de las cuestiones previstas en el primer párrafo del artículo 17 de esta Ley, el encargado del tratamiento de datos personales sensibles deberá notificar a la persona física la necesidad de tratar sus datos personales sensibles y la repercusión que tiene en sus derechos e intereses, salvo cuando dicha notificación no sea requerida de conformidad con lo dispuesto en esta Ley.
Artículo 31 Para procesar la información personal de menores de 14 años, los procesadores de información personal deberán obtener el consentimiento de los padres u otros tutores de los menores.
Los procesadores de información personal que procesan la información personal de menores de 14 años desarrollarán reglas especiales para procesar dicha información personal.
Artículo 32 Cuando otras leyes o reglamentos administrativos establezcan que se debe obtener el permiso administrativo correspondiente para el procesamiento de información personal sensible o impongan otras restricciones, prevalecerán dichas disposiciones.
Sección 3 Disposiciones Especiales sobre el Tratamiento de Datos Personales por Órganos del Estado
Artículo 33 La presente Ley se aplicará al tratamiento de datos personales por parte de los órganos del Estado; donde haya disposiciones especiales en esta Sección, prevalecerán las disposiciones de esta Sección.
Artículo 34 Cuando los órganos estatales procesen información personal para el desempeño de sus funciones estatutarias, actuarán de acuerdo con la autoridad y los procedimientos establecidos por las leyes y reglamentos administrativos, y no excederán el alcance y los límites necesarios para cumplir con sus funciones estatutarias.
Artículo 35 Cuando los órganos del Estado traten datos personales para el cumplimiento de sus funciones estatutarias, deberán cumplir con la obligación de notificación de conformidad con lo dispuesto en esta Ley, salvo en los supuestos previstos en el primer párrafo del artículo 18 de esta Ley o cuando la notificación impedirá que los órganos del Estado desempeñen sus funciones estatutarias.
Artículo 36 La información personal procesada por órganos estatales se almacenará dentro del territorio de la República Popular China. Se llevará a cabo una evaluación de la seguridad cuando sea realmente necesario proporcionar dicha información a cualquier parte fuera del territorio de la República Popular China. En la evaluación de la seguridad, los departamentos pertinentes brindarán apoyo y asistencia si así se solicita.
Artículo 37 Cuando los organismos autorizados por leyes o reglamentos con la función de administrar los asuntos públicos traten datos personales para el cumplimiento de sus funciones estatutarias, se aplicará lo dispuesto en la presente Ley sobre el tratamiento de datos personales por parte de los órganos del Estado.
Capítulo III Reglas sobre el suministro de información personal a través de la frontera
Artículo 38 Un procesador de información personal que realmente necesite proporcionar información personal para una parte fuera del territorio de la República Popular China por motivos comerciales u otros, deberá cumplir con uno de los siguientes requisitos:
(1) aprobar la evaluación de seguridad organizada por el departamento nacional del ciberespacio de conformidad con el artículo 40 de esta Ley;
(2) obtener la certificación de protección de datos personales de la institución especializada correspondiente de acuerdo con las disposiciones emitidas por el departamento nacional de ciberespacio;
(3) celebrar un contrato que estipule los derechos y obligaciones de ambas partes con el destinatario en el extranjero de conformidad con el contrato estándar formulado por el departamento nacional de ciberespacio; y
(4) cumplir con otras condiciones establecidas por las leyes y reglamentos administrativos y por el departamento nacional de ciberespacio.
Cuando un tratado o acuerdo internacional que la República Popular de China haya concluido o al que se haya adherido estipule condiciones para proporcionar información personal a una parte fuera del territorio de la República Popular de China, se podrán seguir tales estipulaciones.
El procesador de información personal tomará las medidas necesarias para garantizar que las actividades de procesamiento de información personal del destinatario en el extranjero cumplan con los estándares de protección de información personal establecidos en esta Ley.
Artículo 39 Cuando un procesador de información personal proporcione información personal para cualquier parte fuera del territorio de la República Popular China, el procesador informará a las personas sobre el nombre y la información de contacto del destinatario en el extranjero, los propósitos y medios de procesamiento, las categorías de información personal a ser tratados, así como los medios y procedimientos para que las personas ejerzan los derechos previstos en esta Ley sobre el destinatario en el extranjero, etc., y deberán obtener el consentimiento por separado de la persona.
Artículo 40 Los operadores de infraestructuras de información crítica y los procesadores de información personal que procesan información personal hasta la cantidad prescrita por el departamento nacional del ciberespacio almacenarán a nivel nacional la información personal recopilada y generada dentro del territorio de la República Popular China. Cuando sea realmente necesario proporcionar la información para una parte fuera del territorio de la República Popular China, el asunto estará sujeto a una evaluación de seguridad organizada por el departamento nacional de ciberespacio. Cuando las leyes, los reglamentos administrativos o las disposiciones emitidas por el departamento nacional del ciberespacio dispongan que no es necesaria la evaluación de la seguridad, prevalecerán dichas disposiciones.
Artículo 41 Las autoridades competentes de la República Popular China manejarán las solicitudes de las autoridades judiciales o policiales extranjeras de información personal almacenada en China de conformidad con las leyes pertinentes y los tratados y acuerdos internacionales concluidos o a los que se haya adherido la República Popular China, o bajo el principio de igualdad y reciprocidad. Sin la aprobación de las autoridades competentes de la República Popular China, ninguna organización o individuo proporcionará datos almacenados en el territorio de la República Popular China a ninguna autoridad judicial o policial extranjera.
Artículo 42 Cuando organizaciones o personas extranjeras participen en actividades de procesamiento de información personal que infrinjan los derechos e intereses de los ciudadanos de la República Popular China sobre la información personal o pongan en peligro la seguridad nacional o los intereses públicos de la República Popular China, el ciberespacio nacional El departamento puede incluirlos en una lista de destinatarios restringidos o prohibidos de información personal, publicar la lista y tomar medidas tales como restringir o prohibir el suministro de información personal para dichas organizaciones e individuos.
Artículo 43 Cuando cualquier país o región adopte medidas prohibitivas, restrictivas u otras medidas discriminatorias similares contra la República Popular China en términos de protección de información personal, la República Popular China podrá tomar contramedidas contra dicho país o región basándose en situaciones reales.
Capítulo IV Derechos de las Personas Físicas en las Actividades de Tratamiento de Datos Personales
Artículo 44 Las personas tendrán derecho a ser informadas, a tomar decisiones sobre el tratamiento de su información personal y a restringir o rechazar el tratamiento de su información personal por parte de terceros, salvo que las leyes o los reglamentos administrativos dispongan lo contrario.
Artículo 45 Las personas físicas tendrán derecho a consultar y duplicar sus datos personales de los encargados del tratamiento, salvo en los supuestos previstos en el primer párrafo del artículo 18 y el artículo 35 de esta Ley.
Cuando un individuo solicite la consulta o duplicación de su información personal, el procesador de información personal solicitado deberá proporcionar dicha información de manera oportuna.
Cuando una persona solicite la transferencia de su información personal a un procesador de información personal designado, que cumpla con los requisitos del departamento nacional del ciberespacio para transferir información personal, el procesador de información personal solicitado deberá proporcionar los medios para la transferencia.
Artículo 46 Cuando un individuo descubre que su información personal es incorrecta o está incompleta, tendrá derecho a solicitar a los procesadores de información personal que rectifiquen o complementen la información relevante.
Cuando una persona solicite la rectificación o complementación de su información personal, los procesadores de información personal verificarán la información en cuestión y realizarán la rectificación o complementación de manera oportuna.
Artículo 47 En cualquiera de las siguientes circunstancias, un procesador de información personal tomará la iniciativa de borrar la información personal, y una persona tiene derecho a solicitar la eliminación de su información personal si el procesador de información personal no borra la información:
(1) los fines del procesamiento se han logrado o no se pueden lograr, o dicha información ya no es necesaria para lograr los fines del procesamiento;
(2) el procesador de información personal deja de proporcionar productos o servicios, o el período de almacenamiento ha expirado;
(3) el individuo retira su consentimiento;
(4) el procesador de información personal procesa información personal en violación de leyes, reglamentos administrativos o acuerdos; o
(5) otras circunstancias previstas por las leyes y reglamentos administrativos.
Cuando el período de almacenamiento previsto por cualquier ley o reglamento administrativo no haya vencido, o sea técnicamente difícil borrar la información personal, el procesador de información personal cesará el procesamiento de la información personal que no sea el almacenamiento y la adopción de las medidas de protección de seguridad necesarias para dicha información.
Artículo 48 Una persona tiene derecho a solicitar que un procesador de información personal interprete las reglas de procesamiento de información personal desarrolladas por este último.
Artículo 49 Los parientes cercanos de una persona natural fallecida podrán, por sus propios intereses legales y legítimos, ejercer los derechos de tratamiento de los datos personales de la persona fallecida, tales como la consulta, duplicación, rectificación y supresión, en los términos previstos en este Capítulo, salvo según lo dispuesto por el difunto antes de la muerte.
Artículo 50 Un procesador de datos personales establecerá el mecanismo para recibir y atender las solicitudes de las personas para el ejercicio de sus derechos. Cuando se rechace la solicitud de una persona, se indicarán las razones.
Cuando la solicitud de una persona para ejercer sus derechos es rechazada por un procesador de información personal, la persona puede presentar una demanda ante el tribunal popular de conformidad con la ley.
Capítulo V Obligaciones de los Encargados del Tratamiento de los Datos Personales
Artículo 51 Los procesadores de información personal deberán tomar las siguientes medidas para garantizar que sus actividades de procesamiento de información personal cumplan con las leyes y los reglamentos administrativos basados ​​en el propósito y los medios del procesamiento, las categorías de información personal a ser procesada, el impacto en los derechos personales y intereses y los posibles riesgos de seguridad, entre otros, y evitará el acceso no autorizado, así como la violación, alteración o pérdida de cualquier información personal:
(1) formular un sistema de gestión interno y procedimientos operativos;
(2) implementar la gestión clasificada de información personal;
(3) adoptar las medidas técnicas de seguridad correspondientes, como el cifrado y la desidentificación;
(4) determinar razonablemente la autoridad operativa del procesamiento de información personal y llevar a cabo regularmente educación y capacitación en seguridad para los profesionales;
(5) formular planes contingentes para emergencias de seguridad de la información personal y organizar la implementación de dichos planes; y
(6) otras medidas previstas por leyes y reglamentos administrativos.
Artículo 52 Un procesador de información personal que procese información personal hasta la cantidad prescrita por el departamento nacional del ciberespacio deberá designar a una persona a cargo de la protección de la información personal, quien supervisará las actividades de procesamiento de información personal del procesador, así como las medidas de protección tomadas por este. , entre otros.
El procesador de información personal divulgará la información de contacto de la persona a cargo de la protección de la información personal y enviará el nombre, la información de contacto y otra información de dicha persona a los departamentos con funciones de protección de la información personal.
Artículo 53 Los procesadores de información personal fuera del territorio de la República Popular China, como se especifica en el segundo párrafo del artículo 3 de esta Ley, establecerán agencias especializadas o designarán representantes dentro del territorio de la República Popular China para ser responsables del manejo de la información personal. asuntos relacionados con la protección, y deberá presentar los nombres, información de contacto y otra información de las agencias y representantes a los departamentos con deberes de protección de información personal.
Artículo 54 Los procesadores de información personal deberán realizar periódicamente auditorías de cumplimiento de sus actividades de procesamiento de información personal con las leyes y reglamentos administrativos.
Artículo 55 En cualquiera de las siguientes circunstancias, un procesador de información personal deberá evaluar de antemano el impacto en la protección de la información personal y mantener un registro del curso del procesamiento:
(1) procesar información personal confidencial;
(2) usar información personal para tomar decisiones automatizadas;
(3) confiar el procesamiento de información personal a otra parte, proporcionar información personal a otra parte o publicar información personal;
(4) proporcionar información personal para cualquier parte fuera del territorio de la República Popular China; o
(5) realizar otras actividades de procesamiento de información personal que puedan tener impactos significativos en las personas.
Artículo 56 La evaluación de impacto en la protección de datos personales incluirá los siguientes contenidos:
(1) si los fines y medios del procesamiento de información personal son legítimos, justificados y necesarios;
(2) el impacto sobre los derechos e intereses de las personas y los riesgos de seguridad; y
(3) si las medidas de protección adoptadas son legítimas, eficaces y compatibles con el grado de riesgo.
El informe de la evaluación de impacto sobre la protección de datos personales y el registro del tratamiento se conservarán durante al menos tres años.
Artículo 57 Cuando ocurra o pueda ocurrir la violación, manipulación o pérdida de información personal, un procesador de información personal deberá tomar medidas correctivas de inmediato y notificar a los departamentos con deberes de protección de información personal y a las personas pertinentes. El aviso incluirá los siguientes elementos:
(1) las categorías de información personal que ha sido o puede ser violada, alterada o perdida, y las razones y posibles daños de la violación, alteración y pérdida;
(2) las medidas correctivas adoptadas por el procesador de información personal y las medidas que las personas pueden tomar para mitigar el daño; y
(3) la información de contacto del procesador de información personal.
Cuando las medidas tomadas por el procesador de información personal puedan evitar efectivamente el daño causado por la violación, manipulación o pérdida de información personal, el procesador de información personal no está obligado a notificar a las personas; cuando los departamentos con deberes de protección de información personal consideren que se puede causar un daño, tienen la autoridad para solicitar al procesador de información personal que notifique a las personas.
Artículo 58 Un procesador de información personal que proporcione importantes servicios de plataforma de Internet que involucren una gran cantidad de usuarios y tipos de negocios complicados cumplirá con las siguientes obligaciones:
(1) establecer y mejorar el sistema de cumplimiento de la protección de la información personal de acuerdo con las disposiciones del estado y establecer una organización independiente compuesta principalmente por miembros externos para supervisar la protección de la información personal;
(2) siguiendo los principios de apertura, equidad y justicia, formulando reglas de la plataforma y aclarando las normas y obligaciones que los proveedores de productos o servicios dentro de la plataforma deben cumplir al procesar información personal;
(3) dejar de prestar servicios a los proveedores de productos o servicios dentro de las plataformas que procesan información personal en violación grave de las leyes y reglamentos administrativos; y
(4) publicar periódicamente informes de responsabilidad social sobre protección de datos personales para la supervisión pública.
Artículo 59 La parte encargada del procesamiento de información personal deberá, de conformidad con esta Ley y las leyes y reglamentos administrativos pertinentes, tomar las medidas necesarias para garantizar la seguridad de la información personal encomendada para el procesamiento, y ayudar al procesador de información personal encargado a cumplir las obligaciones previstas en esta Ley.
Capítulo VI Departamentos con Deberes de Protección de Datos Personales
Artículo 60 El departamento nacional de ciberespacio será responsable de la planificación y coordinación general de la protección de la información personal y la supervisión y administración relacionadas. Los departamentos pertinentes del Consejo de Estado, de conformidad con esta Ley y otras leyes y reglamentos administrativos pertinentes, serán responsables de la protección de la información personal y la supervisión y administración correspondientes en el ámbito de sus funciones respectivas.
Los deberes de protección de la información personal y la supervisión y administración relacionadas de los departamentos pertinentes de los gobiernos populares locales a nivel de condado o superior se determinarán de acuerdo con las disposiciones pertinentes del estado.
Los departamentos previstos en los dos párrafos anteriores se denominan colectivamente como los departamentos con funciones de protección de la información personal.
Artículo 61 Los departamentos con deberes de protección de datos personales cumplirán los siguientes deberes de protección de datos personales:
(1) realizar publicidad y educación sobre la protección de la información personal, y orientar y supervisar a los procesadores de información personal en su protección de la información personal;
(2) recibir y manejar quejas y denuncias relacionadas con la protección de datos personales;
(3) organizar evaluaciones de solicitudes, etc. en términos de protección de información personal y publicar los resultados de dichas evaluaciones;
(4) investigar y manejar actividades ilegales de procesamiento de información personal; y
(5) otros deberes según lo dispuesto por las leyes y reglamentos administrativos.
Artículo 62 La dirección nacional del ciberespacio coordinará las dependencias pertinentes para promover la protección de datos personales mediante las siguientes gestiones de conformidad con esta Ley:
(1) formular reglas y normas específicas para la protección de la información personal;
(2) desarrollar reglas y estándares especiales de protección de información personal para pequeños procesadores de información personal, el procesamiento de información personal confidencial y nuevas tecnologías y aplicaciones como el reconocimiento facial y la inteligencia artificial;
(3) apoyar la investigación y el desarrollo, y promover la aplicación de tecnología de autenticación de identidad electrónica segura y conveniente, y promover los servicios públicos para la autenticación de identidad de red;
(4) promover el desarrollo de un sistema de servicio de protección de información personal con la participación de varios sectores sociales, y apoyar a las instituciones relevantes en la prestación de servicios de evaluación y certificación de protección de información personal; y
(5) mejorar el mecanismo de quejas y denuncias relacionado con la protección de la información personal.
Artículo 63 Un departamento con deberes de protección de datos personales en el cumplimiento de deberes relacionados puede tomar las siguientes medidas:
(1) interrogar a las partes relevantes e investigar las circunstancias relacionadas con las actividades de procesamiento de información personal;
(2) consultar y duplicar los contratos, registros, libros de cuentas y otros materiales relevantes de las partes relacionados con las actividades de procesamiento de información personal;
(3) realizar inspecciones in situ e investigar actividades de procesamiento de información personal presuntamente ilegales; y
(4) inspeccionar equipos y artículos relacionados con actividades de procesamiento de información personal; y sellar o incautar equipos y artículos relacionados con actividades ilícitas de tratamiento de datos personales que se demuestren mediante la presentación de informes escritos y la aprobación del responsable principal de los departamentos con funciones de protección de datos personales.
Cuando los departamentos con funciones de protección de datos personales desempeñen sus funciones de conformidad con la ley, las partes interesadas deberán cooperar y prestar asistencia, y no rechazarlas ni obstruirlas.
Artículo 64 Cuando un departamento con funciones de protección de datos personales encuentre, en el desempeño de sus funciones, riesgos relativamente altos en las actividades de procesamiento de datos personales o la ocurrencia de incidentes de seguridad de datos personales, el departamento podrá realizar una entrevista con el representante legal o el responsable principal. del procesador de información personal de acuerdo con la autoridad y los procedimientos proporcionados, o solicitar al procesador que encargue a una institución profesional la realización de auditorías de cumplimiento de las actividades de procesamiento de información personal. El encargado del tratamiento de los datos personales adoptará las medidas necesarias para rectificar y eliminar los posibles riesgos.
Cuando un departamento con deberes de protección de información personal, en el desempeño de sus funciones, encuentre una actividad ilegal de procesamiento de información personal que pueda implicar un delito, el departamento deberá transferir el caso al órgano de seguridad pública de manera oportuna de conformidad con la ley.
Artículo 65 Cualquier organización o individuo tiene derecho a quejarse e informar a un departamento con funciones de protección de datos personales sobre el procesamiento ilegal de datos personales. El departamento que reciba tal denuncia o denuncia deberá tramitarla en tiempo y forma de conformidad con la ley, y notificar los resultados al denunciante o informante.
Los departamentos con funciones de protección de datos personales deberán publicar sus datos de contacto para recibir denuncias y denuncias.
Capítulo VII De la Responsabilidad Jurídica
Artículo 66 Cuando se procesen datos personales en violación de las disposiciones de esta Ley o sin cumplir con las obligaciones de protección de datos personales previstas en esta Ley, los departamentos con deberes de protección de datos personales ordenarán al infractor que realice correcciones, advierta, decomise los datos ilegales. ganancias, y ordenar la suspensión o terminación de la prestación de servicios por parte de las aplicaciones que procesan ilícitamente información personal; cuando el infractor se niegue a hacer las correcciones, se le impondrá una multa de no más de un millón de yuanes RMB; y las personas directamente responsables a cargo y otras personas directamente responsables serán multadas cada una con no menos de 10,000 yuanes RMB ni más de 100,000 yuanes RMB.
En caso de un acto ilegal según lo prescrito en el párrafo anterior y las circunstancias son graves, los departamentos con deberes de protección de datos personales a nivel provincial o superior ordenarán al infractor que realice correcciones, confiscarán las ganancias ilegales, impondrán una multa de no más que RMB 50 millones de yuanes o no más del cinco por ciento de la facturación del año anterior; también puede ordenar la suspensión de negocios relevantes, u ordenar la suspensión de todas las operaciones comerciales para una revisión, y notificar a las autoridades competentes para revocar los permisos o licencias comerciales relevantes; impondrá una multa de no menos de RMB 100,000 yuan pero no más de RMB 1 millón de yuan a cada una de las personas directamente responsables a cargo y otras personas directamente responsables, y podrá decidir prohibir a las personas antes mencionadas que se desempeñen como directores, supervisores, altos cargos gerentes o personas a cargo de empresas relevantes dentro de un período de tiempo específico.
Artículo 67 Toda infracción a las disposiciones de esta Ley deberá ser asentada en el registro de crédito respectivo y publicada de conformidad con lo dispuesto en las leyes y reglamentos administrativos correspondientes.
Artículo 68 Cuando algún órgano del Estado incumpla con las obligaciones de protección de datos personales previstas en esta Ley, el órgano superior o las dependencias con funciones de protección de datos personales ordenarán la corrección y disciplina del responsable directo y demás personas directamente responsables de conformidad con la ley.
Cuando un miembro del personal de un departamento con deberes de protección de datos personales descuide sus deberes, abuse del poder o practique favoritismo, lo que no constituye un delito, el miembro del personal será sancionado de conformidad con la ley.
Artículo 69 Cuando un procesador de información personal infrinja los derechos o intereses sobre la información personal debido a cualquier actividad de procesamiento de información personal y no pueda probar que el procesador no tiene la culpa, el procesador asumirá la responsabilidad por daños y perjuicios y otra responsabilidad extracontractual.
La responsabilidad por los daños previstos en el párrafo anterior se determinará con base en las pérdidas de las personas en que incurra y los beneficios que obtenga el encargado del tratamiento infractor; y cuando sea difícil determinar las referidas pérdidas o los beneficios, el monto de los daños se determinará con base en las circunstancias reales.
Artículo 70 Cuando un procesador de información personal procese información personal en violación de las disposiciones de esta Ley e infrinja los derechos e intereses de muchas personas, la fiscalía popular, las organizaciones de consumidores especificadas por la ley y la organización designada por el departamento nacional del ciberespacio pueden presentar un pleito ante el tribunal popular de conformidad con la ley.
Artículo 71 Toda infracción a la presente Ley que constituya una infracción a la administración de seguridad pública será sancionada por la administración de seguridad pública de conformidad con la ley. Si la infracción constituye un delito, el infractor será responsable penalmente de conformidad con la ley.
Capítulo VIII Disposiciones Complementarias
Artículo 72 Esta Ley no es aplicable cuando una persona natural trata información personal para asuntos personales o del hogar.
Cuando otras leyes prevean el procesamiento de información personal en actividades estadísticas o de gestión de archivos organizadas y realizadas por los gobiernos populares en todos los niveles y sus departamentos pertinentes, prevalecerán las disposiciones de dichas leyes.
Artículo 73 Para los efectos de esta Ley, los siguientes términos tendrán el siguiente significado:
(1) "Un procesador de información personal" se refiere a una organización o individuo que determina de forma autónoma los propósitos y medios del procesamiento de información personal.
(2) "toma de decisiones automatizada" se refiere a las actividades de analizar y evaluar automáticamente comportamientos personales, pasatiempos o estado económico, de salud y crediticio, entre otros, a través de programas de computadora y toma de decisiones.
(3) "desidentificación" se refiere al procesamiento de información personal para que sea imposible identificar a personas físicas específicas en ausencia del respaldo de información adicional.
(4) "anonimización" se refiere al proceso de procesamiento de información personal para que sea imposible identificar a personas físicas específicas e imposible de restaurar.
Artículo 74 La presente Ley entrará en vigor a partir del 1 de noviembre de 2021.

Esta traducción al inglés proviene del sitio web oficial del Congreso Nacional del Pueblo de la República Popular China. En un futuro próximo, una versión en inglés más precisa traducida por nosotros estará disponible en el Portal de leyes de China.