Закон о защите персональных: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

Содержание

В Китае принят новый закон о защите персональных данных_Russian.news.cn

Пекин, 20 августа /Синьхуа/ -- Высший законодательный орган Китая сегодня проголосовал за принятие нового Закона о защите персональных данных, который вступит в силу с 1 ноября.

Законопроект был утвержден на заключительном заседании очередной сессии Постоянного комитета Всекитайского собрания народных представителей /ПК ВСНП/, которая начала свою работу 17 августа.

Развитие рынка больших данных приносит удобство в нашу жизнь, но также приводит к беспорядку: некоторые платформы злоупотребляют сбором персональных данных, некоторые компании без соответствующего разрешения устанавливают специальные устройства, чтобы тайно фиксировать изображения лиц и биометрические характеристики своих клиентов.

Китай всегда придавал большое значение безопасности личной информации. Новый закон о защите персональных данных регламентирует правила обработки и трансграничной передачи личной информации.

"В настоящее время все общество пристально следит за новыми технологиями, такими как профилирование пользователей и алгоритмы рекомендаций. Однако возникают некоторые проблемы, в том числе и ценовая дискриминация с использованием больших данных", -- отметил официальный представитель Рабочей комиссии по вопросам законодательства ПК ВСНП Цзан Тевэй.

В новом законе содержатся положения, запрещающие чрезмерный сбор личной информации и ценовую дискриминацию с использованием больших данных в отношении существующих клиентов.

При распространении информации и бизнес-маркетинга среди физических лиц посредством автоматизированного принятия решений обработчики личной информации должны одновременно предоставлять варианты, которые не ориентированы на личные характеристики, или предлагать способы отказа, говорится в законе.

Интернет-гиганты, владеющие персональными данными большинства своих пользователей, обязуются создать независимый орган, состоящий в основном из сторонних лиц, для осуществления контроля за процессом обработки информации.

Крупные интернет-платформы, согласно новому закону, также будут обязаны разработать свои собственные правила защиты личной информации в соответствии с принципами открытости, справедливости и беспристрастности.

Кроме того, закон предусматривает установление видимых знаков в общественных местах, где установлено оборудование для сбора изображений и личной идентифицируемой информации, извещающий о том, что собранные сведения могут использоваться только для обеспечения общественной безопасности.

С целью усиления мер по защите несовершеннолетних граждан закон дифференцирует личную информацию лиц младше 14 лет как конфиденциальную, требуя от обработчиков персональных данных разработать для данной категории специальные протоколы обработки.

К концу 2020 года численность жителей Китая, пользующихся интернетом, достигла 989 млн человек, из которых 183 млн -- несовершеннолетние.

Закон Калифорнии о защите персональных данных потребителей (CCPA): вопросы и ответы

Примечание

Эта тема предоставляется "как есть". Данные и мнения, содержащиеся в этой теме, включая URL-адреса, а также ссылки на другие веб-сайты, могут изменяться без предварительного уведомления. Ответственность за использование этих данных несет пользователь. Эта статья была создана для справочных целей, и ее не следует рассматривать как юридическую консультацию. Вам необходимо проконсультироваться со своим юристом. Эта статья не дает пользователям права интеллектуальной собственности на продукты Майкрософт. Разрешается копирование и использование данной статьи для внутренних, справочных целей.

Основные вопросы и ответы

Что такое CCPA?

Закон Калифорнии о защите персональных данных потребителей (CCPA) — это первый комплексный закон о конфиденциальности в США. Он был принят в конце июня 2018 г. и предоставляет различные права на конфиденциальность потребителям Калифорнии. Предприятия, регулируемые CCPA, будут иметь ряд обязательств перед этими потребителями, включая раскрытие информации, общие права на защиту данных (GDPR)-like для потребителей, "отказ" для определенных передачи данных и "отказ" для несовершеннолетних.

Кому необходимо знать о CCPA?

Закон CCPA применим только к компаниям, которые ведут коммерческую деятельность в Калифорнии, если для этих компаний ежегодно выполняется одно или несколько из следующих условий: (1) валовой доход компании составляет свыше 25 млн долларов США; (2) не менее 50 % годового дохода компании получено от продажи личных сведений потребителей; (3) компания покупает, продает или предоставляет доступ к личным сведениям более 50 000 потребителей.

Когда закон CCPA вступает в силу?

CCPA вступает в силу 1 января 2020 г. Тем не менее, Генеральный прокурор начнет осуществлять надзор за его выполнением не ранее 1 июля 2020 г.

Как CCPA повлияет на мою компанию?

Многие права CCPA, предоставленные калифорнийцам, аналогичны правам, которые предоставляет GDPR, включая запросы на раскрытие и запросы потребителей, аналогичные запросам на право субъекта данных (DSR), таким как доступ, удаление и переносимость. Таким образом, потребитель может использовать наши существующие решения GDPR, чтобы соответствовать требованиям CCPA.

Чтобы приступить к применению CCPA, нужно выполнить пять основных шагов:

  • Поиск: определите, какие личные сведения у вас есть и где они хранятся.
  • Сопоставление: определите, каким образом третьим лицам предоставляется общий доступ к личным сведениям и распространяется ли на них исключение из положения CCPA об отказе от передачи данных.
  • Управление: управляйте использованием данных и доступом к ним.
  • Защита: установите элементы управления безопасностью для предотвращения и обнаружения уязвимостей и нарушений безопасности данных, а также реагирования на них.
  • Документирование: документируйте программу реагирования на нарушение безопасности данных и убедитесь в том, что к контрактам с соответствующими третьими лицами применимо исключение из положения об отказе от передачи данных.

Вам необходимо понять, какие конкретные обязательства вашей организации находятся в CCPA и как их выполнять, хотя Корпорация Майкрософт поможет вам в вашем путешествии.

Исчерпывающие вопросы и ответы

Реализацию каких прав компании обязаны обеспечить в соответствии с CCPA?

В соответствии с CCPA регулируемые предприятия, которые собирают, используют, передают и продают личные сведения, должны, помимо прочего:

  • предоставлять потребителям информацию о категориях и целях сбора данных до его осуществления;
  • включать в политику конфиденциальности подробную информацию об источниках, бизнес-целях и категориях личных сведений, которые собираются, в том числе о продаже или передаче этих категорий данных другим юридическим лицам;
  • предоставлять потребителям право на доступ, удаление и переносимость отдельных частей личных сведений, собранных вами;
  • Включить управление, которое позволит потребителям отказаться от "продажи" данных потребителя. Тем не менее, в некоторых случаях передача данных, например поставщику услуг, разрешена.
  • Для несовершеннолетних в возрасте до 16 лет необходимо включить процедуру выбора, чтобы не было возможности продажи персональных данных несовершеннолетнего без активного участия в продаже.
  • Убедитесь, что потребители могут осуществлять все свои права по CCPA.

Какую информацию необходимо предоставить в соответствии с CCPA?

В соответствии с CCPA необходимо предоставить следующую информацию:

  • категории личных сведений потребителя, которые были собраны;
  • категории источников, используемых при сборе;
  • бизнес-цели или коммерческие цели сбора данных;
  • Категории третьих лиц, с которыми "делятся" персональные данные.
  • Категории персональных данных, которые были "проданы", и категории "третьих лиц", которым была продана каждая категория персональных данных.
  • Категории персональных данных, которые были "раскрыты для бизнес-целей" (то есть переданы, но не "продажа") и категории "третьих лиц", которым была передана каждая категория персональных данных.
  • отдельные части личных сведений, которые были собраны о потребителе.

Как продаются данные в рамках CCPA?

Определение "продать" в CCPA является невероятно широким, в том числе "сделать личную информацию доступной" третьей стороне для денежного или другого ценного рассмотрения. Если потребитель решил "отказаться", бизнес должен будет отключить поток персональных данных для любой третьей стороны.

CCPA предоставляет ряд карве-выходов для этого контроля отказа от продажи. Тремя основными карвеями являются передачи (i) поставщику услуг, (II) "освобожденной сущности" или "подрядчика" и (iii) по указанию потребителя. Даже если потребитель решил "отказаться", личные данные могут по-прежнему передаваться третьим лицам, которые вписались в эти карве-выходы.

Чтобы воспользоваться первыми двумя исключениями,компании должны гарантировать, что передача сведений регулируется письменными договорами, содержащими определенные условия, которые требуются законом CCPA.

Что означают "Бизнес" и "Поставщики услуг" в контексте CCPA?

В контексте CCPA предприятия — это физические или юридические лица, определяющие цели и средства обработки персональных данных потребителей, а поставщики услуг — физические или юридические лица, обрабатывающие информацию от имени бизнеса. Это приблизительные синонимы терминов контролер и обработчик, используемых в GDPR.

Какой штраф предусмотрен для компаний за несоблюдение требований?

Частное право на иск в CCPA ограничено нарушением безопасности данных. В соответствии с этим правом убытки могут составлять от 100 до 750 долларов США за каждый инцидент на потребителя. Кроме того, Генеральный прокурор Калифорнии может обеспечить выполнение CCPA в полной мере, наложив гражданско-правовые санкции в размере не более 2 500 долларов США за нарушение и 7 500 долларов США за преднамеренное нарушение закона.

Что предпринимает корпорация Майкрософт, чтобы добиться соответствия требованиям CCPA?

Поскольку корпорация Майкрософт в глобальном масштабе реализовала DSR, связанные с GDPR, сейчас у нас есть отличная база для соответствия требованиям CCPA. Мы также рассмотрели наши сторонние соглашения об обмене данными и приняли меры, чтобы убедиться, что необходимые условия контракта имеются, чтобы гарантировать, что мы не "продаем" персональные данные.

Какие средства можно использовать при подготовке организации к CCPA?

  • Начните использовать оценку GDPR в диспетчере соответствия требованиям в рамках вашей программы конфиденциальности, обеспечивающей выполнение CCPA.
  • Создайте процесс эффективного реагирования на запросы потребителей.
  • Настройте метку и политики, чтобы находить, классифицировать, помечать и защищать конфиденциальные данные с помощью Microsoft Information Protection.
  • Используйте возможности шифрования электронной почты для дополнительного контроля конфиденциальной информации.
  • Дополнительные сведения см. в этой записи блога.

Чем различаются GDPR и CCPA?

Существует много различий. Проще сосредоточиться на сходствах, в том числе:

  • обязательства по прозрачности и предоставлению информации;
  • права потребителей на доступ, удаление и получение копии данных;
  • Определение "поставщиков услуг", аналогичное определению GDPR "обработчиков" с аналогичным договорным обязательством.
  • Определение "бизнеса", которое включает определение GDPR "контроллеров".

Самое большое различие в CCPA — это основное требование, которое позволяет отказаться от продажи данных третьим лицам (с "продажей", широко определенной для использования общего доступа к данным для ценного рассмотрения). Это более узкое и более конкретное обязательство, чем широкое право GDPR возражать против обработки, которое включает этот тип "продажи", но не ограничивается только этим типом общего доступа.

Что такое "Процессоры" и "Контроллеры"?

Контролер — это физическое или юридическое лицо, орган государственной власти, государственное ведомство или другое учреждение, которое самостоятельно или вместе с другими лицами определяет цели и способы обработки персональных данных. Обработчик — это физическое или юридическое лицо, орган государственной власти, государственное ведомство либо другое учреждение, которое обрабатывает персональные данные по поручению контролера.

Что именно считается личными сведениями?

Личные сведения — это любая информация, которая относится к идентифицированному или доступному для идентификации лицу. Нет различия между личными, общественными или рабочими ролями человека. Определенный термин "персональные данные" примерно выровнется с "персональными данными" в GDPR. Кроме того, CCPA также распространяется на данные о семье и домашнем хозяйстве.

Вот некоторые примеры персональных данных.

Идентификация

  • Имя
  • Домашний адрес
  • Рабочий адрес
  • Номер телефона
  • Номер мобильного телефона
  • Адрес электронной почты
  • Номер паспорта
  • Номер национального удостоверения личности
  • Номер социального страхования (или его эквивалент)
  • Водительское удостоверение
  • Физическая, физиологическая или генетическая информация
  • Медицинские сведения
  • Культурная принадлежность

Финансы

  • Банковские реквизиты и номера счетов
  • Номер налогоплательщика
  • Номера кредитных и дебетовых карт
  • Публикации в социальных сетях

Артефакты в сети

  • Публикации в социальных сетях
  • IP-адрес (для региона ЕС)
  • Местоположение и данные GPS
  • Файлы cookie

Как CCPA применяется к детям?

  • CCPA вводит обязательное родительское согласие для детей в возрасте до 13 лет в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA).
  • Для детей в возрасте от 13 до 16 лет CCPA накладывает новое обязательство получать согласие на отказ от ребенка для любой "продажи" их персональных данных.

Как насчет персональных данных сотрудников?

В октябре 2019 г. в закон CCPA было внесено несколько поправок. В одной из них объяснялось, что обязательства по CCPA не относятся к личным сведениям о сотрудниках предприятия. Однако для этой поправки установлен срок действия, равный одному году. Ожидается, что в 2020 г. в Калифорнии будет принят новый закон о защите данных сотрудников.  

Нужно ли мне как пользователю Майкрософт реализовать элемент управления отказом в отношении передачи данных в корпорацию Майкрософт?

Нет. В качестве поставщика онлайн-служб мы примем меры для обеспечения того, чтобы мы могли претендовать на то, чтобы быть "поставщиком услуг" в соответствии с CCPA. Как было указано выше, передача личных сведений поставщикам услуг разрешена, даже если потребитель отказался от передачи данных.

Обзор нового Закона о защите персональных данных

14 мая был опубликован Закон о защите персональных данных. Он вступит в силу через 6 месяцев, то есть 15 ноября 2021 года. В течение 3 месяцев должен быт создан уполномоченный орган по вопросам защиты персональных данных. 

Закон кардинально меняет правила работы с персональными данными в Беларуси, поскольку раньше, как такового законодательства о защите персональных данных в Беларуси не было.

Что поменяется в работе бизнеса со вступлением в силу Закона? Разбираемся вместе с Алёной Поторской, ведущим юристом практики IT/IP REVERA law firm.

Вводится определение персональных данных

Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Это определение очень схоже с определением, закрепленным в GDPR, но оно не привычно для белорусской правовой системы. Раньше в Беларуси был закрытый перечень персональных данных – в него входила только информация, которая вносится в реестр населения (ФИО, дата рождения, пол, адрес регистрации и т.д.). С введением нового определения предполагается, что объем информации, которая будет относиться к персональным данным, будет значительно шире. 

Для IT бизнеса зачастую большую долю данных, с которыми он работает, составляют данные об устройствах пользователей (IP адрес, локация, рекламные идентификаторы (IDFA, Google Advertising ID), информация о пользовательском поведении (на какие разделы сайта пользователь заходил и что просматривал). Закон пока не содержит однозначного ответа, будет ли относиться такая информация к персональным данным, но в соответствии с общемировыми подходами –  должна. 

Детализируются основания для обработки персональных данных

Обработка персональных данных будет возможна при наличии согласия субъекта данных. То есть Закон предусматривает согласие как главное основание для обработки данных (в отличие от GDPR, где к согласию можно обратиться только, если остальные основания такие как жизненный интерес, договор, требования закона, публичный интерес, законный интерес – не применимы). 

Согласие не требуется только в предусмотренных Законом случаях. В частности, в рамках заключения и исполнения договора с субъектом данных, в том числе в рамках трудовых отношений.

Обращаем внимание, что Закон не упоминает такое основание для обработки данных, как законный (легитимный интерес), на которое компании, в частности IT, которые работают на европейский рынок, часто ссылаются, к примеру, для осуществления рассылки. К примеру, вы делаете рассылку для своих клиентов, предлагая им свои услуги, скидки и другие предложения. В этом случае при определенных условиях по GDPR вы можете не получать согласие пользователя, а ссылаться на законный интерес. В Беларуси такие действия могут быть совершены только при наличии согласия субъекта. 

Появляются требования к согласию

Раньше согласие должно было быть получено в письменной форме, что практически невозможно для онлайн-бизнеса. Закон решает эту проблему и предусматривает, что согласие может быть дано в письменной форме, в форме электронного документа или иного документа в электронной форма, в том числе путем проставления галочки.

Закон также говорит о том, что согласие субъекта «представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных». 

У компании появляется ряд обязательств по защите персональных данных: 

1.    Назначить лицо или отдел, ответственные за защиту персональных данных в компании.
2.    Разработать политику компании в отношении обработки персональных данных и сделать ее доступной для неограниченного круга лиц (в том числе посредством сети Интернет).
3.    Провести обучение работников работе с персональными данными.
4.    Установить порядок доступа к персональным данным.
5.    Осуществлять техническую и криптографическую защиту персональных данных.

Закон регламентирует вопросы передачи персональных данных 

Сейчас законодательство Республики Беларусь содержит только положение о том, что передача данных третьим лицам возможна с письменного согласия лица на такую передачу. Закон же регулирует отношения между оператором и уполномоченным лицом, а также вводит правила передачи данных за пределы Республики Беларусь.

Если вы поручаете обработку данных другому лицу от вашего имени (уполномоченное лицо), в договоре между вами и таким лицом должны быть предусмотрены (1) цели обработки данных, (2) действия, совершаемые с данными, (3) обязательство о конфиденциальности, (4) меры по защите данных.

В мировой практике такие уполномоченные лица называются «процессорами» и к ним, в частности, можно при определенных условиях отнести сервисы аналитики, рекламы, платежные сервисы и другие.  

Передача данных за пределы Республики Беларусь в страны, которые не обеспечивают надлежащий уровень защиты данных (списка таких стран пока нет, но должен быть разработан, к примеру, для ЕС такой страной является Беларусь, США и др.) будет возможна только при наличии определённых оснований. К примеру, если получено согласие субъекта данных на такую передачу, при условии, что субъект уведомлён о рисках такой передачи.

У субъектов появляются права распоряжаться своими данными 

Бизнесу нужно будет подготовиться к тому, что Закон даёт пользователям право определённым образом распоряжаться своими данными. У пользователей будет право на отзыв согласия, право на получение информации об обработке данных, право на внесение изменений в персональные данные, право на получение информации о предоставлении данных третьим лицам, право требовать удаления данных или прекращения их обработки.
 
Обращаем внимание, что реализация прав пользователей будет несколько труднее, чем в соответствии с GDPR. К примеру, субъект данных может запрашивать информацию о предоставлении своих персональных данных третьим лицам только 1 раз в год, а само заявление о реализации любого из прав должно подаваться либо в форме письменного документа, либо в форме электронного документа, подписанного ЭЦП. Также Закон устанавливает ряд требований к информации, которую субъект данных должен указать в таком заявлении. Для сравнения: в GDPR требований к такому заявлению нет, субъект может подать его в электронной форме (написать на электронную почту, к примеру), и в свободной форме. 

Компания должна исполнить запрос на реализацию любого из вышеперечисленных прав в течение 15 дней с момента его получения, кроме предоставления информации (на это дается 5 дней). Для сравнения, срок ответа на запрос пользователя по GDPR – 1 месяц, и этот срок может быть продлен. 

Напоминаем, что с 1 марта в Беларуси действует административная ответственность за нарушение законодательства о защите персональных данных, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных.



Компания REVERA готова оказать полный цикл сопровождения приведения ваших процессов в соответствие с новым Законом, а также провести обучение для работников вашей компании новым правилам работы с персональными данными.

Вы можете связаться с нашим специалистом ведущим юристом практики IT/IP компании REVERA Аленой Поторской: [email protected] 

Другие наши обзоры Закона также можно найти по ссылке: https://revera.by/info-centr/news-and-analytical-materials/800-poyavilsya-tekst-proekta-zakona-o-zashhite-personalnyx-dannyx/ 

Также информируем вас о том, что REVERA совместно с Data Privacy Office запустила образовательный проект по персональным данным, в рамках которого предусмотрена серия обучающих мероприятий, а также Telegram-канал с актуальной информацией по теме. 

Ссылка на информацию о проекте: https://revera.by/info-centr/news-and-analytical-materials/810-v-belarusi-zapustili-obrazovatelnyj-proekt-po-rabote-s-personalnymi-dannymi/ 

Подключиться к Telegram-каналу: https://t.me/joinchat/6OmqcQBuokw5MDUy 


 

 

Все публикации

Китайские парламентарии разрабатывают закон о защите персональных данных

На состоявшейся в Пекине сессии Постоянного комитета Всекитайского собрания народных представителей (ПК ВСНП) законодатели в рамках третьего чтения обсудили поправки в законопроект о защите личных данных граждан, сообщает агентство Синьхуа.

Особое внимание в ходе доработки законопроекта было уделено предотвращению незаконного сбора персональной информации о пользователях. В частности, предполагается, что гражданам нельзя будет отказать в предоставлении услуг или продуктов, несмотря на их отказ поделиться личными сведениями. Исключение составят случаи, когда обработка таких данных необходима для качественного оказания услуги, говорится в материале.

При этом ключевой задачей китайские законодатели считают корректное формулирование термина «необходимая информация». Главный принцип — не допустить практику сбора избыточных сведений, отмечается в статье.

Кроме этого, в закон планируется включить положение, запрещающее программному обеспечению, даже если пользователь разрешил доступ к устройству, осуществлять дополнительные операции. Например, ПО не сможет без уведомления собирать, удалять или исправлять хранящуюся в гаджете личную информацию.

В законе предполагается дать более чёткое определение понятию «конфиденциальная личная информация». К таковой будут отнесены биометрические данные граждан, сведения об их религиозных убеждениях, состоянии здоровья, полученных медицинских услугах, финансовых счетах и перемещениях. Кроме того, к конфиденциальным причислят любые персональные данные лиц, не достигших 14-летнего возраста.

Помимо прочего, законодатели хотят разобраться с правилами использования технологии распознавания лиц. Эти сведения также считаются личной информацией, поэтому порядок монтажа соответствующих камер должен быть законодательно урегулирован. Одним из оснований для их установки станет обеспечение общественной безопасности, но этот термин предлагается сделать более конкретным, отмечается в материале.

В Китае принят новый закон о защите персональных данных

Пекин, 20 августа /Синьхуа/ -- Высший законодательный орган Китая сегодня проголосовал за принятие нового Закона о защите персональных данных, который вступит в силу с 1 ноября.

Законопроект был утвержден на заключительном заседании очередной сессии Постоянного комитета Всекитайского собрания народных представителей /ПК ВСНП/, которая начала свою работу 17 августа.

Развитие рынка больших данных приносит удобство в нашу жизнь, но также приводит к беспорядку: некоторые платформы злоупотребляют сбором персональных данных, некоторые компании без соответствующего разрешения устанавливают специальные устройства, чтобы тайно фиксировать изображения лиц и биометрические характеристики своих клиентов.

Китай всегда придавал большое значение безопасности личной информации. Новый закон о защите персональных данных регламентирует правила обработки и трансграничной передачи личной информации.

"В настоящее время все общество пристально следит за новыми технологиями, такими как профилирование пользователей и алгоритмы рекомендаций. Однако возникают некоторые проблемы, в том числе и ценовая дискриминация с использованием больших данных", -- отметил официальный представитель Рабочей комиссии по вопросам законодательства ПК ВСНП Цзан Тевэй.

В новом законе содержатся положения, запрещающие чрезмерный сбор личной информации и ценовую дискриминацию с использованием больших данных в отношении существующих клиентов.

При распространении информации и бизнес-маркетинга среди физических лиц посредством автоматизированного принятия решений обработчики личной информации должны одновременно предоставлять варианты, которые не ориентированы на личные характеристики, или предлагать способы отказа, говорится в законе.

Интернет-гиганты, владеющие персональными данными большинства своих пользователей, обязуются создать независимый орган, состоящий в основном из сторонних лиц, для осуществления контроля за процессом обработки информации.

Крупные интернет-платформы, согласно новому закону, также будут обязаны разработать свои собственные правила защиты личной информации в соответствии с принципами открытости, справедливости и беспристрастности.

Кроме того, закон предусматривает установление видимых знаков в общественных местах, где установлено оборудование для сбора изображений и личной идентифицируемой информации, извещающий о том, что собранные сведения могут использоваться только для обеспечения общественной безопасности.

С целью усиления мер по защите несовершеннолетних граждан закон дифференцирует личную информацию лиц младше 14 лет как конфиденциальную, требуя от обработчиков персональных данных разработать для данной категории специальные протоколы обработки.

К концу 2020 года численность жителей Китая, пользующихся интернетом, достигла 989 млн человек, из которых 183 млн -- несовершеннолетние.

рассказываем, что меняется для бизнеса — OfficeLife

1

Закон о защите персональных данных: рассказываем, что меняется для бизнеса

Опубликованный закон о защите персональных данных кардинально меняет правила работы с такими данными в Беларуси, поскольку раньше как такового законодательства о защите персональных данных в нашей стране не было.

Алена Поторская,

ведущий юрист REVERA

Что поменяется в работе бизнеса со вступлением в силу закона, разбираем вместе с Аленой Поторской, ведущим юристом практики информационных технологий и интеллектуальной собственности юридической компании REVERA.

Изменения внутри компании

Закон предусматривает, что компании должны:

  1. Назначить лицо или отдел, ответственные за защиту персональных данных в компании.
  2. Разработать политику компании в отношении обработки персональных данных и сделать ее доступной для неограниченного круга лиц (в том числе посредством сети Интернет).
  3. Провести обучение работников работе с персональными данными.
  4. Установить порядок доступа к персональным данным.
  5. Осуществлять техническую и криптографическую защиту персональных данных.

Передача данных

Если вы поручаете обработку данных другому лицу от вашего имени, то в договоре между вами и таким лицом должны быть предусмотрены: 1) цели обработки данных; 2) действия, совершаемые с данными; 3) обязательство о конфиденциальности; 4) меры по защите данных.

Передача данных за пределы Беларуси в страны, которые не обеспечивают надлежащий уровень защиты данных (списка таких стран пока нет, но должен быть разработан; к примеру, для ЕС такими странами являются Беларусь, США и др.), будет возможна только при наличии определенных оснований, к примеру, если получено согласие субъекта данных на такую передачу, при условии, что субъект уведомлен о рисках такой передачи.

Приведение продуктов компании в соответствие

Обработка персональных данных будет возможна только при наличии оснований для такой обработки (среди которых: согласие субъекта, договор, либо в рамках трудовых отношений и другие).

При этом закон предусматривает ряд требований к согласию, которые должны быть соблюдены, чтобы оно считалось валидным. В частности, согласие должно быть свободным, однозначным и информированным, может быть получено в том числе путем проставления пользователем галочки в чек-боксе.

Работа с клиентами

Бизнесу также нужно будет подготовиться к тому, что закон дает пользователям право определенным образом распоряжаться своими данными. У пользователей будет право на отзыв согласия, право на получение информации об обработке данных, право на получение информации о предоставлении данных третьим лицам, право требовать удаления данных или прекращения их обработки.

Компания должна исполнить запрос на реализацию любого из вышеперечисленных прав в течение 15 дней с момента его получения.

С 1 марта в Беларуси действует административная ответственность за нарушение законодательства о защите персональных данных, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных.

Закон о защите персональных данных вступит в силу через 6 месяцев, то есть 15 ноября 2021 года. В течение ближайших 3 месяцев должен быть создан уполномоченный орган по вопросам защиты персональных данных.

В Китае приняли новый закон о защите персональных данных. Он заработает с первого ноября

Китайские власти ужесточили требования к защите персональных данных. С ноября в Поднебесной начнет действовать новый закон, который разрешит отслеживать только необходимый минимум информации. После новости о принятии закона акции местных технологических компаний начали дешеветь.

О принятии закона сообщил портал Reuters со ссылкой на китайское государственное новостное агентство Xinhua.

Теперь у интернет-компаний (как, скорее всего, и у разработчиков приложений) должна быть четкая и обоснованная цель для сбора личных данных пользователей. Также они обязаны ограничиваться сбором «минимального объема информации, который нужен для достижения этой цели».

Кроме того, компании должны назначить специального человека, который станет отвечать за сохранение конфиденциальности данных.

Отдельно в законе перечислены условия, на основании которых в целом разрешается отслеживать персональные данные, но Reuters отметил только одно из них. По словам портала, с ноября компаниям придется спрашивать у пользователей, согласны ли они вообще делиться сведениями о себе. Однако подобное условие действует в Китае еще с 2017 года.

Также в законе указано, как компании должны защищать данные при передаче их за границу. Reuters не стал делиться подробностями.

Какие меры применят к тем, кто нарушит закон, — неизвестно. Но отметим, в одном из вариантов законопроекта власти предлагали штрафовать нарушителей на сумму в размере до ¥50 млн ($7,7 млн) или в 5% годового дохода.

Как сообщает издание Financial Times, на фоне новостей о законе в Китае обвалились акции ряда технологических гигантов. Индекс Hang Seng Tech, специализирующийся на таких компаниях, в день принятия закона подешевел на 1,8%. В частности, он отслеживает акции Alibaba и Tencent.

Закон о защите персональный данных — не первая подобная инициатива китайских властей за последний год. Например, с мая в Китае заработали правила, запрещающие разработчикам закрывать доступ к приложениям, если пользователь отказался делиться избыточными данными. Речь об информации, которую приложения собирают в рекламных целях. Но, как отмечает портал TechCrunch, эти правила выглядит, скорее, как рекомендация, поскольку власти не назвали меры наказания для разработчиков, которые нарушат их.

Личная информация | Wex | Закон США

право на неприкосновенность частной жизни: доступ к личной информации

Право на неприкосновенность частной жизни развилось, чтобы защитить способность людей определять, какая информация о себе собирается и как эта информация используется. Большинство коммерческих веб-сайтов используют файлы cookie, а также формы для сбора информации от посетителей, такой как имя, адрес, адрес электронной почты, демографические данные, номер социального страхования, IP-адрес и финансовая информация.Во многих случаях эта информация затем предоставляется третьим лицам в маркетинговых целях. Другие организации, такие как федеральное правительство и финансовые учреждения, также собирают личную информацию. Угрозы мошенничества и кражи личных данных, создаваемые этим потоком личной информации, стали стимулом для законодательства о праве на конфиденциальность, требующего раскрытия методов сбора информации, возможностей отказа, а также внутренней защиты собранной информации. Однако такие требования еще не достигли всех сегментов рынка.

15 U.S.C. В § 45 Федеральная торговая комиссия (FTC) обвиняется в предотвращении «недобросовестных методов конкуренции в сфере торговли или воздействия на нее, а также недобросовестных или обманных действий или практик в торговле или влияющих на нее». В вопросах конфиденциальности роль FTC заключается в обеспечении выполнения обещаний о конфиденциальности, данных на рынке. Несколько дополнительных законов образуют основу, на которой FTC осуществляет это обвинение: Закон о конфиденциальности 1974 года (5 USC § 552a), Закон Грэмма-Лича-Блили (15 USC §§ 6801-6809), Закон о справедливой кредитной отчетности ( 15 U.S.C. § 1681 и последующие) и Закон о защите конфиденциальности детей в Интернете (15 U.S.C. §§ 6501-6506).

Закон о конфиденциальности 1974 года (5 U.S.C. § 552a) защищает личную информацию, находящуюся в распоряжении федерального правительства, предотвращая несанкционированное раскрытие такой информации. Частные лица также имеют право просматривать такую ​​информацию, запрашивать исправления и получать информацию о любых раскрытиях. Закон о свободе информации облегчает эти процессы.

Закон Грэмма-Лича Блайли (также известный как Закон о финансовой модернизации 1999 года) устанавливает руководящие принципы защиты личной финансовой информации.По закону (15 U.S.C. § 6803) финансовые учреждения обязаны предоставлять клиентам политику конфиденциальности, в которой объясняется, какие виды информации собираются и как эта информация используется. От таких организаций также требуется разработать меры безопасности для защиты информации, которую они собирают от клиентов.

Закон о справедливой кредитной отчетности (15 U.S.C. § 1681 и последующие) защищает личную финансовую информацию, собираемую агентствами по предоставлению отчетов о потребителях. Закон ограничивает круг лиц, имеющих доступ к такой информации, а последующие поправки упростили процесс, с помощью которого потребители могут получать и исправлять собранную о себе информацию.FTC также активно применяет запреты на получение личной финансовой информации обманным путем - преступление, известное как «предлог».

Закон о защите конфиденциальности детей в Интернете (15 U.S.C. §§ 6501-6506) позволяет родителям контролировать, какая информация собирается об их ребенке (младше 13 лет) в Интернете. Операторы веб-сайтов, которые либо нацелены на детей, либо сознательно собирают личную информацию от детей, должны публиковать политики конфиденциальности, получать согласие родителей перед сбором информации от детей, позволять родителям определять, как такая информация используется, и предоставлять родителям возможность отказаться будущей коллекции от их ребенка.

Однако, несмотря на права, описанные выше, другие участники рынка не обязаны по закону разрабатывать аналогичные методы защиты и раскрытия информации. Скорее, в остальной части рынка FTC поощряет добровольный режим защиты конфиденциальности потребителей. Тем не менее, в двух отчетах Конгрессу (1998, 2000) FTC обнаружила, что большинство сайтов, не подпадающих под юрисдикцию установленных законов о праве на неприкосновенность частной жизни, не информируют потребителей надлежащим образом о методах сбора, а большинство сайтов не обеспечивают адекватной защиты конфиденциальности личная информация посетителей.Похоже, что добровольный режим недостаточен, и перспектива дальнейшего принятия законодательства о праве на неприкосновенность частной жизни в области доступа к личной информации вполне реальна.

Китай принимает новый закон о конфиденциальности персональных данных, вступающий в силу 1 ноября

ШАНХАЙ, 20 августа (Рейтер) - Всекитайское собрание народных представителей в пятницу приняло закон, предназначенный для защиты конфиденциальности данных пользователей в Интернете, и с 1 ноября будет внедрять его политику. , сообщает государственное СМИ Синьхуа.

Принятие закона завершает еще одну опору в усилиях страны по регулированию киберпространства и, как ожидается, добавит дополнительные требования для компаний в стране.

Китай поручил своим технологическим гигантам обеспечить более безопасное хранение пользовательских данных на фоне публичных жалоб на бесхозяйственность и неправомерное использование, которые привели к нарушениям конфиденциальности пользователей.

Закон гласит, что обработка личной информации должна иметь четкую и разумную цель и ограничиваться «минимальным объемом, необходимым для достижения целей обработки» данных.

В нем также изложены условия, при которых компании могут собирать личные данные, в том числе получение согласия отдельного лица, а также изложены рекомендации по обеспечению защиты данных при передаче данных за пределы страны.

Закон также призывает обработчиков личной информации назначать лицо, отвечающее за защиту личной информации, а обработчиков - проводить периодические проверки для обеспечения соблюдения закона.

Второй проект закона о защите личной информации был обнародован в конце апреля.

Закон о защите личной информации, а также Закон о безопасности данных обозначают два основных постановления, которые будут регулировать Интернет в Китае в будущем.

Закон о безопасности данных вступает в силу с сентября.1, устанавливает основу для классификации данных компаниями на основе их экономической ценности и значимости для национальной безопасности Китая.

Закон о защите личной информации, тем временем, напоминает европейский GDPR при установлении основы для обеспечения конфиденциальности пользователей.

Оба закона потребуют от компаний в Китае изучить свои методы хранения и обработки данных, чтобы убедиться, что они соблюдаются, по мнению экспертов.

ГОРЯЧИЕ КОМПАНИИ

Эти законы были приняты на фоне более широкого ужесточения нормативных требований в отрасли со стороны китайских регулирующих органов, что потрясло как крупные, так и мелкие компании.

В июле Управление киберпространства Китая (CAC), его главный регулятор киберпространства, объявило, что начнет расследование в отношении китайского гиганта, занимающегося вызовом пассажиров, Didi Global Inc (DIDI.N) по обвинению в нарушении конфиденциальности пользователей.

Во вторник Государственная администрация Китая по регулированию рынка (SAMR) приняла обширный набор правил, направленных на улучшение честной конкуренции, запретив такие практики, как фальшивые онлайн-обзоры.

В январе поддерживаемая правительством Китайская ассоциация потребителей выступила с заявлением, в котором критиковала технологические компании за «запугивание» потребителей с целью совершения покупок и проведения рекламных акций.Подробнее .

С тех пор регулирующие органы регулярно ругают компании и приложения за нарушение конфиденциальности пользователей.

В среду Министерство промышленности и информационных технологий обвинило 43 приложения в незаконной передаче пользовательских данных и призвало их внести исправления до 24 августа. Подробнее.

В тот же день, когда «Синьхуа» объявило о принятии закона о конфиденциальности данных, Всекитайское собрание народных представителей опубликовало статью государственного средства массовой информации «Народный суд Daily», в которой хвалят этот закон.Он призвал организации, которые используют алгоритмы для «персонализированного принятия решений», такие как рекомендации, сначала получить согласие пользователя.

«Персонализация является результатом выбора пользователя, и истинные персонализированные рекомендации должны гарантировать свободу выбора пользователя без принуждения», - говорится в статье.

«Следовательно, пользователям должно быть дано право не использовать функции персонализированных рекомендаций».

Отчетность Джоша Хорвица; Под редакцией Майкла Перри и Марка Генриха

Наши стандарты: принципы доверия Thomson Reuters.

Китай принимает Закон о защите личной информации

20 августа 2021 г. Постоянный комитет Всекитайского собрания народных представителей 13 принял Закон о защите личной информации («PIPL»). Как мы уже сообщали, PIPL - это первый в Китае комплексный закон о защите данных. Он частично основан на комплексных режимах защиты данных в других юрисдикциях, включая Общий регламент ЕС по защите данных («GDPR»). PIPL вступит в силу 1 ноября 2021 года.Ниже приведены некоторые из ключевых положений PIPL.

Применение PIPL

PIPL будет регулировать деятельность по обработке личной информации, выполняемую юридическими или физическими лицами в Китае. Кроме того, аналогично GDPR, PIPL будет применяться к деятельности организации по обработке данных, осуществляемой за пределами Китая, и, следовательно, к организациям, не зарегистрированным в Китае, если организация обрабатывает личную информацию о физических лицах, находящихся в Китае, в контексте (1) предложения товары или услуги для людей в Китае, или (2) анализ и оценка поведения людей в Китае.

Структура обработки личной информации

PIPL устанавливает всеобъемлющую структуру, регулирующую обработку личной информации. Как и в случае с GDPR, закон требует, чтобы компании соблюдали определенные принципы защиты данных, включая минимизацию данных и ограничение целей. PIPL также требует, чтобы субъекты данных уведомляли субъектов данных, которые соответствуют установленным законом требованиям к содержанию.

Кроме того, как и GDPR, PIPL требует юридической основы для обработки личной информации, но правовые основы, доступные в рамках PIPL, уже, чем те, которые доступны в соответствии с GDPR.Согласно PIPL, «уведомление и согласие» является основной правовой основой для законной обработки. Таким образом, индивидуальное согласие, вероятно, будет основной правовой основой, на которую полагаются компании. Существуют исключения, когда необходимо уведомление и согласие, в зависимости от сложности и обстоятельств обработки личной информации. Например, организации могут обрабатывать личную информацию без предварительного получения согласия, если это необходимо для заключения или исполнения контракта. Кроме того, организации могут обрабатывать личную информацию без предварительного получения согласия, если это необходимо для целей управления персоналом.

Примечательно, что независимо от доступной правовой основы для обработки отдельное согласие требуется в следующих случаях:

  • раскрытие личной информации третьим лицам;
  • обработка «конфиденциальной» личной информации; и
  • передача личной информации за пределы Китая.

PIPL также определяет правила, регулирующие определенные виды деятельности по обработке ( например, , совместная обработка, обработка данных третьими сторонами, такими как поставщики, совместное использование данных, публикация личной информации и автоматизированное принятие решений), а также правила применимо к различным типам данных, таким как «конфиденциальная» личная информация.Кроме того, PIPL запрещает ценовую дискриминацию с использованием данных в отношении существующих клиентов.

Оценка безопасности и передача личной информации за пределы Китая

В соответствии с PIPL операторы и организации критически важной информационной инфраструктуры («CII»), которые обрабатывают определенный объем личной информации, превышающий объем, определяемый Администрацией киберпространства Китая («CAC»), должны (1) хранить локально в Китае личная информация, которую они собирают и генерируют в Китае, и (2) проходят государственную оценку безопасности в той степени, в которой они стремятся передать личную информацию за пределы Китая.Как отмечалось выше, все организации, включая операторов CII, также должны получить конкретное согласие от физических лиц перед передачей своих данных за пределы Китая.

Права субъектов данных и обязанности обработчика данных

Как мы ранее сообщали относительно более раннего проекта, PIPL предоставляет ряд прав субъектов данных, включая права доступа, исправления и удаления личной информации. Большинство обязательств по обработке данных в окончательной версии PIPL аналогичны тем, которые предусмотрены во втором проекте PIPL.

Органы защиты личной информации

Различные органы власти, включая CAC, соответствующие департаменты Государственного совета и департаменты местного самоуправления на нашем уровне выше уезда, будут иметь надзорные, плановые, координирующие и административные обязанности в соответствии с PIPL. Штрафы за серьезные нарушения PIPL включают штрафы на сумму чуть менее 50 миллионов юаней или 5% от выручки компании за предыдущий год.

Перевод: Закон Китайской Народной Республики о защите личной информации (вступает в силу с ноября 2017 г.)1, 2021)

Этот перевод был подготовлен Rogier Creemers и Graham Webster на основе более раннего перевода DigiChina второго пересмотренного проекта закона, который, в свою очередь, был основан на нашем переводе первого проекта, подготовленного Роджер Кримерс, Мингли Ши, Лорен Дадли и Грэм Вебстер.

[Обновлено 22 августа 2021 г., с рядом незначительных правок. Существенные изменения включают новую интерпретацию определения автоматизированного принятия решений в статье 73 и исправление слова «ответный» на более подходящее слово «ответный» в статье 43.Спасибо Джейми Хорсли за ценные комментарии и исправления. – Ред.]

ПЕРЕВОД

Закон Китайской Народной Республики о защите личной информации

(Принято на 30-м заседании Постоянного комитета 13-го Всекитайского собрания народных представителей 20 августа 2021 г.)

Содержание

Глава I: Общие положения
Глава II: Правила обработки личной информации
Раздел 1: Обычные положения
Раздел 2: Правила обработки конфиденциальной личной информации
Раздел 3: Особые положения по обработке Персональная информация, предоставленная государственными органами
Глава III: Правила трансграничного предоставления личной информации
Глава IV: Права физических лиц при работе с персональной информацией
Глава V: Обязанности лиц, обрабатывающих персональную информацию
Глава VI : Департаменты, выполняющие обязанности и ответственность по защите личной информации
Глава VII: Юридическая ответственность
Глава VIII: Дополнительные положения

Глава I: Общие положения

Статья 1: Настоящий Закон сформулирован на основе Конституции с целью защиты прав и интересов в отношении личной информации, стандартизации действий по обработке личной информации и содействия рациональному использованию личной информации.

Статья 2: Личная информация физических лиц пользуется правовой защитой; никакая организация или физическое лицо не может нарушать права и интересы физических лиц в отношении личной информации.

Статья 3: Настоящий Закон применяется к деятельности по обработке личной информации физических лиц в пределах Китайской Народной Республики.

Настоящий Закон также применяется в случае наличия одного из следующих обстоятельств при работе с персональной информацией физических лиц за пределами Китайской Народной Республики в границах Китайской Народной Республики:

  1. Если целью является предоставление товаров или услуг физическим лицам внутри границ;
  2. При анализе или оценке деятельности физических лиц внутри границ;
  3. Другие обстоятельства, предусмотренные законами или административными постановлениями.

Статья 4: Личная информация - это все виды информации, записанные с помощью электронных или других средств, относящиеся к идентифицированным или идентифицируемым физическим лицам, за исключением информации после обработки анонимности.

Обработка личной информации включает сбор, хранение, использование, обработку, передачу, предоставление, раскрытие, удаление и т. Д. Личной информации.

Статья 5: При обращении с личной информацией должны соблюдаться принципы законности, правомерности, необходимости и искренности.Запрещается обрабатывать личную информацию вводящим в заблуждение, мошенническим, принудительным или другим способом.

Статья 6: Обработка личной информации должна иметь ясную и разумную цель и должна быть напрямую связана с целью обработки с использованием метода, имеющего наименьшее влияние на индивидуальные права и интересы.

Сбор личной информации должен быть ограничен минимальным объемом для реализации цели обработки, а чрезмерный сбор личной информации запрещен.

Статья 7: При обращении с личной информацией должны соблюдаться принципы открытости и прозрачности, при раскрытии правил обращения с личной информацией и четком указании цели, метода и объема обработки.

Статья 8: Обработка личной информации должна обеспечивать качество личной информации и избегать неблагоприятных последствий для индивидуальных прав и интересов из-за неточной или неполной личной информации.

Статья 9: Обработчики личной информации несут ответственность за свои действия по обработке личной информации и принимают необходимые меры для обеспечения безопасности личной информации, которую они обрабатывают.

Статья 10: Ни одна организация или физическое лицо не может незаконно собирать, использовать, обрабатывать или передавать личную информацию других лиц, или незаконно продавать, покупать, предоставлять или раскрывать личную информацию других лиц, или участвовать в деятельности по обработке личной информации, наносящей ущерб национальная безопасность или общественные интересы.

Статья 11: Государство создает структуру защиты личной информации для предотвращения и наказания действий, ущемляющих права и интересы личной информации, усиления пропаганды и просвещения по защите личной информации, а также содействия созданию благоприятных условий для защиты личной информации, с совместными усилиями. участие правительства, предприятий, соответствующих общественных организаций и широкой общественности.

Статья 12: Государство активно участвует в разработке международных правил [или норм] защиты личной информации, стимулирует международный обмен и сотрудничество в области защиты личной информации и способствует взаимному признанию правил [или норм] защиты личной информации. ], стандарты и т. д., с другими странами, регионами и международными организациями.

Глава II: Правила обработки личной информации

Раздел 1: Обычные положения

Статья 13: Обработчики личной информации могут обрабатывать личную информацию только в том случае, если они соответствуют одному из следующих обстоятельств:

  1. Получение согласия физических лиц;
  2. При необходимости заключить или выполнить договор, в котором физическое лицо является заинтересованной стороной, или при необходимости осуществлять управление человеческими ресурсами в соответствии с законно сформулированными трудовыми правилами и структурами и законно заключенными договорами;
  3. Если необходимо для выполнения установленных законом обязанностей и ответственности или установленных законом обязательств;
  4. При необходимости реагировать на внезапные инциденты со здоровьем или защищать жизнь и здоровье физических лиц или безопасность их имущества в чрезвычайных обстоятельствах;
  5. Обработка личной информации в разумных пределах для реализации новостных сообщений, надзора за общественным мнением и других подобных действий в общественных интересах;
  6. При обработке личной информации, раскрытой самими лицами или иным образом уже законно раскрытой, в разумных пределах в соответствии с положениями настоящего Закона.
  7. Прочие обстоятельства, предусмотренные законами и административными постановлениями.

В соответствии с другими соответствующими положениями настоящего Закона при обращении с личной информацией необходимо получить индивидуальное согласие. Однако получение индивидуального согласия не требуется в соответствии с условиями пунктов 2–7 выше.

Статья 14: Если личная информация обрабатывается на основе индивидуального согласия, указанное согласие должно быть дано отдельными лицами при предварительном условии полной осведомленности и в добровольном и явном заявлении.Если законы или административные постановления предусматривают получение отдельного согласия или письменного согласия на обработку личной информации, эти положения должны соблюдаться.

В случае изменения цели обработки личной информации, метода обработки или категорий обрабатываемой личной информации согласие лица должно быть получено повторно.

Статья 15: Если личная информация обрабатывается на основании индивидуального согласия, люди имеют право отозвать свое согласие.Обработчики личной информации должны предоставить удобный способ отозвать согласие.

Если физическое лицо отзывает согласие, это не влияет на эффективность действий по обработке личной информации, предпринятых на основе индивидуального согласия до того, как согласие было отозвано.

Статья 16: Обработчики личной информации не могут отказывать в предоставлении продуктов или услуг на том основании, что физическое лицо не дает согласия на обработку своей личной информации или аннулирует свое согласие, за исключением случаев, когда обработка личной информации необходима для предоставления продуктов. или услуги.

Статья 17: Обработчики личной информации перед обработкой личной информации должны прямо, правдиво, точно и полностью уведомить физических лиц о следующих элементах, используя ясный и легко понимаемый язык:

  1. Имя или личное имя и способ связи обработчика личной информации;
  2. Цель обработки личной информации и методы обработки, категории обрабатываемой личной информации и срок хранения;
  3. Способы и порядок реализации физическими лицами прав, предусмотренных настоящим Законом;
  4. Необходимо уведомлять о других предметах, предусмотренных законами или административными постановлениями.

Если происходит изменение в вопросах, предусмотренных в предыдущем параграфе, физические лица должны быть уведомлены об изменении.

Если обработчики личной информации уведомляют о вопросах, предусмотренных в параграфе 1, посредством метода формулирования правил обработки личной информации, правила обработки должны быть общедоступными [раскрытыми] и удобными для чтения и хранения.

Статья 18: Обработчикам личной информации, работающим с личной информацией, разрешается не уведомлять физических лиц об элементах, предусмотренных в пункте 1 предыдущей статьи, при обстоятельствах, когда законы или административные постановления предусматривают, что конфиденциальность должна сохраняться или уведомление не требуется.

В чрезвычайных обстоятельствах, когда невозможно своевременно уведомить физических лиц в целях защиты жизни, здоровья и безопасности физических лиц, обработчики личной информации должны уведомить их после завершения чрезвычайных обстоятельств.

Статья 19: За исключением случаев, когда законами или административными постановлениями предусмотрено иное, сроками хранения личной информации должен быть самый короткий период, необходимый для реализации цели обработки личной информации.

Статья 20: Если два или более обработчика личной информации совместно принимают решение о цели обработки личной информации и методе обработки, они должны согласовать права и обязанности каждого. Однако указанное соглашение не влияет на права человека требовать от любого обработчика личной информации выполнения положений настоящего Закона.

Если обработчики личной информации, совместно обрабатывающие личную информацию, наносят ущерб правам и интересам в отношении личной информации, что приводит к ущербу, они несут солидарную ответственность в соответствии с законом.

Статья 21: Если обработчики личной информации поручают обработку личной информации, они должны заключить соглашение с доверенным лицом о цели доверенной обработки, сроках, способе обработки, категориях личной информации, мерах защиты, как а также права и обязанности обеих сторон и т. д., а также осуществлять надзор за действиями доверенного лица по обработке личной информации.

Доверенные лица обрабатывают личную информацию в соответствии с соглашением; они не могут обрабатывать личную информацию для целей обработки или методов обработки и т. д., сверх срока соглашения. Если договор о передаче не вступает в силу, является недействительным, был отменен или был прекращен, доверенное лицо должно вернуть личную информацию обработчику личной информации или удалить ее и не может ее сохранить.

Без согласия обработчика личной информации доверенное лицо не может в дальнейшем поручать обработку личной информации другим лицам.

Статья 22: Обработчики личной информации должны, если это необходимо для передачи личной информации в связи с слияниями, разделением, роспуском, объявлением банкротства и другими подобными причинами, уведомлять физических лиц об имени или личном имени принимающей стороны и способе связи.Принимающая сторона должна продолжать выполнять обязанности обработчика личной информации. Если принимающая сторона меняет первоначальную цель обработки или метод обработки, она должна снова уведомить об этом лицо, как это предусмотрено настоящим Законом.

Статья 23: Если обработчики личной информации предоставляют другим обработчикам личной информации личную информацию, которую они обрабатывают, они должны уведомить физических лиц об имени или личном имени получателя, их способе связи, цели обработки, методе обработки и личной информации. категории, и получить отдельное согласие от человека.Получатели должны обрабатывать личную информацию в рамках вышеупомянутых целей обработки, методов обработки, категорий личной информации и т. Д. Если получатели изменяют первоначальную цель обработки или методы обработки, они снова должны получить согласие человека.

Статья 24: Когда обработчики личной информации используют личную информацию для автоматизированного принятия решений, должны быть гарантированы прозрачность принятия решений и справедливость и справедливость результата обработки, и они не могут участвовать в необоснованном дифференцированном обращении с физических лиц в торговых условиях, таких как цена сделки и т. д.

Лица, осуществляющие рассылку информации или коммерческие продажи частным лицам с помощью автоматизированных методов принятия решений, должны одновременно предоставлять возможность не нацеливаться на индивидуальные характеристики или предоставлять этому человеку удобный способ отказаться.

Когда использование автоматизированного принятия решений приводит к принятию решений, которые в значительной степени влияют на права и интересы человека, они имеют право потребовать, чтобы обработчики личной информации объяснили этот вопрос, и они имеют право отказать обработчикам личной информации решения исключительно с помощью автоматизированных методов принятия решений.

Статья 25: Обработчики личной информации не могут раскрывать личную информацию, которую они обрабатывают; кроме случаев, когда они получают отдельное согласие.

Статья 26: Установка оборудования для сбора изображений или распознавания личности в общественных местах должна происходить в соответствии с требованиями обеспечения общественной безопасности и соблюдения соответствующих государственных постановлений, а также должны быть установлены четкие указательные знаки. Собранные личные изображения и личная идентификационная информация могут использоваться только в целях обеспечения общественной безопасности; его нельзя использовать для других целей, кроме случаев получения отдельного согласия отдельных лиц.

Статья 27: Обработчики личной информации могут в разумных пределах обрабатывать личную информацию, которая уже была раскрыта самим лицом или иным образом раскрыта на законных основаниях, за исключением случаев, когда лицо явно отказывается. Обработчики личной информации, обрабатывающие уже разглашенную личную информацию, в случаях, когда это существенно влияет на индивидуальные права и интересы, должны получить личное согласие в соответствии с положениями настоящего Закона.

Раздел II: Правила работы с конфиденциальной личной информацией

Статья 28: Конфиденциальная личная информация означает личную информацию, которая после утечки или незаконного использования может легко нанести ущерб достоинству физических лиц, серьезный ущерб личной или имущественной безопасности, включая информацию о биометрических характеристиках, религиозных убеждениях, специально предназначенных для этого. статус, медицинское состояние, финансовые счета, отслеживание местоположения и т. д., а также персональные данные несовершеннолетних в возрасте до 14 лет.

Обработчики личной информации могут обрабатывать конфиденциальную личную информацию только в случаях, когда есть конкретная цель и необходимость выполнения, и при обстоятельствах строгих мер защиты.

Статья 29: Для обработки конфиденциальной личной информации необходимо отдельное согласие человека. Если законы или административные постановления предусматривают получение письменного согласия на обработку конфиденциальной личной информации, эти положения должны соблюдаться.

Статья 30: Обработчики личной информации, обрабатывающие конфиденциальную личную информацию, в дополнение к пунктам, указанным в части 1 статьи 17 настоящего Закона, должны также уведомлять физических лиц о необходимости и влиянии на права и интересы физических лиц в отношении обработки конфиденциальной информации. конфиденциальная личная информация, за исключением случаев, когда настоящим Законом предусмотрено, что разрешено не уведомлять физических лиц.

Статья 31: Если обработчики личной информации обрабатывают личную информацию несовершеннолетних в возрасте до 14 лет, они должны получить согласие родителя или другого опекуна несовершеннолетнего.

Если обработчики личной информации обрабатывают личную информацию несовершеннолетних в возрасте до 14 лет, они должны сформулировать специальные правила обработки личной информации.

Статья 32: Если законы или административные постановления предусматривают получение соответствующих административных лицензий или применяются другие ограничения на обработку конфиденциальной личной информации, эти положения должны соблюдаться.

Раздел III: Особые положения о государственных органах, работающих с персональной информацией

Статья 33: Действие настоящего Закона распространяется на деятельность государственных органов по обращению с персональной информацией; там, где этот Раздел содержит особые положения, применяются положения настоящего Раздела.

Статья 34: Государственные органы, работающие с персональной информацией для выполнения своих уставных обязанностей и ответственности, осуществляют их в соответствии с полномочиями и процедурами, предусмотренными законами или административными постановлениями; они не могут выходить за рамки или пределы, необходимые для выполнения своих уставных обязанностей и ответственности.

Статья 35: Государственные органы, обрабатывающие личную информацию в целях выполнения установленных законом обязанностей и ответственности, должны выполнять обязанности по уведомлению, за исключением случаев, когда существуют обстоятельства, предусмотренные в пункте I статьи 18 настоящего Закона, или когда уведомление будет препятствовать государственным органам. выполнение своих уставных обязанностей и ответственности.

Статья 36: Личная информация, обрабатываемая государственными органами, хранится на материковой территории Китайской Народной Республики. Если действительно необходимо предоставить его за границу, должна быть проведена оценка безопасности. Соответствующие органы могут быть запрошены для поддержки и помощи в оценке безопасности.

Статья 37: Положения настоящего Закона, касающиеся обработки личной информации государственными органами, применяются к обработке личной информации в целях выполнения установленных законом обязанностей организациями, уполномоченными законами и нормативными актами управлять функциями по связям с общественностью.

Глава III: Правила трансграничного предоставления личной информации

Статья 38: Если обработчикам личной информации действительно необходимо предоставить личную информацию за пределами Китайской Народной Республики для ведения бизнеса или других подобных требований, они должны соответствовать одному из следующих условий:

  1. Прохождение аттестации по безопасности, организованной Управлением государственной кибербезопасности и информатизации в соответствии со статьей 40 настоящего Закона;
  2. Прохождение сертификации защиты персональной информации, проводимой специализированным органом в соответствии с положениями Государственного департамента кибербезопасности и информатизации;
  3. Заключение договора с иностранной принимающей стороной в соответствии со стандартным договором, сформулированным Государственным управлением киберпространства и информатизации, согласование прав и обязанностей обеих сторон;
  4. Прочие условия, предусмотренные законами или административными постановлениями или Государственным департаментом кибербезопасности и информатизации.

Если договоры или международные соглашения, которые Китайская Народная Республика заключила или к которой присоединилась, содержат соответствующие положения, такие как условия предоставления персональных данных за пределами Китайской Народной Республики, эти положения могут выполняться.

Обработчики личной информации должны принимать необходимые меры для обеспечения того, чтобы деятельность иностранных принимающих сторон по обработке личной информации соответствовала стандартам защиты личной информации, предусмотренным настоящим Законом.

Статья 39: Если обработчики личной информации предоставляют личную информацию за пределами Китайской Народной Республики, они должны уведомить физическое лицо об имени или личном имени иностранной принимающей стороны, способе связи, цели обработки, методах обработки и личных данных. категории информации, а также способы или процедуры, позволяющие физическим лицам осуществлять права, предусмотренные настоящим Законом, с иностранной принимающей стороной и другие подобные вопросы, а также получать отдельное согласие физических лиц.

Статья 40: Операторы критически важной информационной инфраструктуры и обработчики личной информации, обрабатывающие личную информацию, достигающую объемов, предоставляемых Государственным департаментом кибербезопасности и информатизации, должны хранить личную информацию, собранную и произведенную в пределах границ Китайской Народной Республики внутри страны. В случае необходимости предоставления за границей они должны пройти аттестацию безопасности, организованную Государственным управлением кибербезопасности и информатизации; если законы или административные постановления, а также положения Государственного департамента кибербезопасности и информатизации позволяют не проводить оценку безопасности, эти положения должны соблюдаться.

Статья 41: Компетентные органы Китайской Народной Республики, согласно соответствующим законам и договорам или международным соглашениям, к которым Китайская Народная Республика заключила или к которым присоединилась, или в соответствии с принципом равенства и взаимной выгоды, должны обращаться запросы иностранных судебных или правоохранительных органов о предоставлении личной информации, хранящейся внутри страны. Без одобрения компетентных органов Китайской Народной Республики обработчики личной информации не могут предоставлять личную информацию, хранящуюся на материковой территории Китайской Народной Республики, иностранным судебным или правоохранительным органам.

Статья 42: В случаях, когда иностранные организации или физические лица участвуют в действиях по обработке личной информации, нарушающих права и интересы граждан Китайской Народной Республики в отношении личной информации или наносящие ущерб национальной безопасности или общественным интересам Китайской Народной Республики, государственная кибербезопасность и отдел информатизации может внести их в список, ограничивающий или запрещающий предоставление личной информации, выносить предупреждение и принимать такие меры, как ограничение или запрещение предоставления им личной информации и т. д.

Статья 43: Если какая-либо страна или регион принимает дискриминационные запреты, ограничения или другие аналогичные меры против Китайской Народной Республики в области защиты личной информации, Китайская Народная Республика может принять ответные меры против указанной страны или региона на исходя из реальных обстоятельств.

Глава IV: Права физических лиц в деятельности по обработке личной информации

Статья 44: Физические лица имеют право знать и принимать решения в отношении их личной информации, а также имеют право ограничивать или отказываться от обработки своей личной информации другими лицами, если иное не предусмотрено законами или административными постановлениями.

Статья 45: Физические лица имеют право консультироваться и копировать свою личную информацию у обработчиков личной информации, за исключением случаев, предусмотренных пунктом 1 статьи 18 или статьей 35 настоящего Закона.

Если люди просят проконсультироваться или скопировать свою личную информацию, обработчики личной информации должны предоставить ее своевременно.

Если физические лица запрашивают передачу их личной информации назначенному ими обработчику личной информации в соответствии с условиями Государственного департамента кибербезопасности и информатизации, обработчики личной информации должны предоставить канал для ее передачи.

Статья 46: Если люди обнаруживают, что их личная информация является неправильной или неполной, они имеют право потребовать от обработчиков личной информации исправить или дополнить их личную информацию. Если люди просят исправить или дополнить свою личную информацию, обработчики личной информации должны проверить личную информацию и исправить или дополнить ее своевременно.

Если люди просят исправить или дополнить свою личную информацию, обработчики личной информации должны проверить личную информацию и своевременно исправить или дополнить ее.

Статья 47: Обработчики личной информации должны заблаговременно удалять личную информацию при возникновении одного из следующих обстоятельств; если обработчик личной информации не удалил ее, физические лица имеют право запросить удаление:

  1. Цель обработки достигнута, достичь невозможно или [личная информация] больше не нужна для достижения цели обработки;
  2. Обработчики личной информации прекращают предоставление продуктов или услуг, или срок хранения истек;
  3. Физическое лицо отказывается от согласия;
  4. Обработчики личной информации обрабатывали личную информацию в нарушение законов, административных правил или соглашений;
  5. Другие обстоятельства, предусмотренные законами или административными постановлениями.

Если период хранения, предусмотренный законами или административными постановлениями, не истек или удаление личной информации технически сложно реализовать, обработчики личной информации должны прекратить обработку личной информации, за исключением хранения и принятия необходимых мер безопасности.

Статья 48: Физические лица имеют право требовать от обработчиков личной информации разъяснений правил обращения с личной информацией.

Статья 49: В случае смерти физического лица его ближайшие родственники могут в интересах своих законных законных интересов пользоваться правами, предусмотренными в настоящей главе, консультироваться, копировать, исправлять, удалять и т. Д., личная информация умершего, за исключением случаев, когда умерший договорился об ином перед своей смертью.

Статья 50: Обработчики личной информации должны создать удобные механизмы для приема и обработки заявлений от физических лиц для реализации своих прав. Если они отклоняют просьбы отдельных лиц об осуществлении своих прав, они должны объяснить причину.

Если обработчики личной информации отклоняют запросы отдельных лиц об осуществлении своих прав, физические лица могут подать иск в Народный суд в соответствии с законом.

Глава V: Обязанности обработчиков личной информации

Статья 51: Обработчики личной информации должны, исходя из цели обработки личной информации, методов обработки, категорий личной информации, а также влияния на права и интересы отдельных лиц, возможных существующих рисков безопасности и т. Д., Принять следующие меры для обеспечения того, чтобы обработка личной информации соответствовала положениям законов и административных постановлений, а также для предотвращения несанкционированного доступа, а также утечки, искажения или потери личной информации:

  1. Разработка внутренних структур управления и правил работы;
  2. Осуществление категорированного управления личной информацией;
  3. Принятие соответствующих технических мер безопасности, таких как шифрование, деидентификация и т. Д.;
  4. Разумное определение операционных ограничений для обработки личной информации и регулярное проведение обучения и тренингов по вопросам безопасности для сотрудников;
  5. Разработка и организация реализации планов реагирования на инциденты, связанные с безопасностью личной информации;
  6. Другие меры, предусмотренные законами или административными постановлениями.

Статья 52: Обработчики личной информации, которые обрабатывают личную информацию, достигающую объемов, предусмотренных Государственным департаментом кибербезопасности и информатизации, должны назначать сотрудников по защите личной информации, которые будут отвечать за надзор за действиями по обработке личной информации, а также за принятые меры защиты и т. Д.

Обработчики личной информации должны раскрывать методы связи с сотрудниками по защите личной информации, а также сообщать личные имена сотрудников и методы связи в отделы, выполняющие обязанности и ответственность по защите личной информации.

Статья 53: Обработчики личной информации за пределами Китайской Народной Республики, как это предусмотрено в пункте 2 статьи 3 настоящего Закона, должны создать специальную организацию или назначить представителя в пределах границ Китайской Народной Республики. нести ответственность за вопросы, связанные с личной информацией, которую они обрабатывают, и сообщать имя соответствующего лица или личное имя представителя, способ связи и т. д., Подразделениям, выполняющим обязанности и ответственность по защите персональной информации.

Статья 54: Обработчики личной информации должны регулярно проводить аудиторские проверки обработки их личной информации и соблюдения законов и административных постановлений.

Статья 55: При наличии одного из следующих обстоятельств обработчики личной информации должны заранее провести оценку воздействия на защиту личной информации и записать ситуацию обработки:

  1. Обработка конфиденциальной личной информации;
  2. Использование личной информации для автоматизированного принятия решений;
  3. Поручение обработки личной информации, предоставление личной информации другим обработчикам личной информации или раскрытие личной информации;
  4. Предоставление личной информации за границу;
  5. Другая деятельность по обработке личной информации, оказывающая значительное влияние на отдельных лиц.

Статья 56: В содержание оценки воздействия на защиту персональной информации включаются:

  1. Являются ли цель обработки личной информации, метод обработки и т. Д. Законными, законными и необходимыми;
  2. Влияние на права и интересы людей и риски безопасности;
  3. Являются ли предпринятые защитные меры законными, эффективными и соответствующими степени риска.

Отчеты об оценке воздействия на защиту личной информации и записи о статусе обращения должны храниться не менее трех лет.

Статья 57: В случае, если утечка, искажение или потеря личной информации произошла или могла произойти, обработчики личной информации должны немедленно принять меры по исправлению положения и уведомить отделы, выполняющие обязанности и ответственность по защите личной информации, а также отдельных лиц. Уведомление должно содержать следующие позиции:

  1. Категории информации, причины и возможный ущерб, причиненный утечкой, искажением или потерей, которые произошли или могли произойти;
  2. Меры по исправлению положения, предпринятые обработчиком личной информации, и меры, которые отдельные лица могут принять для уменьшения вреда;
  3. Способ связи обработчика личной информации.

Если обработчики личной информации принимают меры, которые могут эффективно избежать ущерба, причиненного утечкой, искажением или потерей информации, обработчикам личной информации разрешается не уведомлять отдельных лиц; однако, если отделы, выполняющие обязанности и ответственность по защите личной информации, считают, что может быть причинен вред, они могут потребовать, чтобы обработчики личной информации уведомили людей.

Статья 58: Обработчики личной информации, предоставляющие важные услуги интернет-платформы, которые имеют большое количество пользователей и чьи бизнес-модели являются сложными, должны выполнять следующие обязательства:

  1. Создать и дополнить системы и структуры защиты личной информации в соответствии с государственными постановлениями, а также создать независимый орган, состоящий в основном из внешних членов, для надзора за обстоятельствами защиты личной информации;
  2. Соблюдайте принципы открытости, честности и справедливости; сформулировать правила платформы; и уточнить стандарты обработки личной информации поставщиками внутриплатформенных продуктов или услуг и их обязанности по защите личной информации;
  3. Прекратить предоставление услуг поставщикам продуктов или услуг на платформе, которые серьезно нарушают законы или административные правила при обработке личной информации;
  4. Регулярно выпускайте отчеты о социальной ответственности в области защиты личной информации и соглашайтесь с контролем общества.

Статья 59: Доверенные лица, принимающие на себя доверительную обработку личной информации, должны, в соответствии с положениями настоящего Закона и соответствующими законами и административными постановлениями, принимать необходимые меры для обеспечения безопасности личной информации, которую они обрабатывают, и помогать обработчикам личной информации. при исполнении обязанностей, предусмотренных настоящим Законом.

Глава VI: Департаменты, выполняющие обязанности и ответственность по защите личной информации

Статья 60: Государственный департамент кибербезопасности и информатизации несет ответственность за комплексное планирование и координацию работы по защите личной информации, а также за соответствующий надзор и работу по управлению.Соответствующие департаменты Государственного совета несут ответственность за защиту личной информации, надзор и управление в рамках своих соответствующих обязанностей и ответственности в соответствии с положениями настоящего Закона и соответствующими законами и административными постановлениями.

Обязанности и ответственность соответствующих департаментов правительства округа и выше по защите личной информации, надзору и управлению определяются в соответствии с положениями соответствующих штатов.

Департаменты, указанные в двух предыдущих параграфах, называются отделами, выполняющими обязанности и ответственность по защите личной информации.

Статья 61: Департаменты, выполняющие обязанности и ответственность по защите личной информации, выполняют следующие обязанности и ответственность по защите личной информации:

  1. Проведение пропаганды и просвещения по вопросам защиты личной информации, а также руководство и надзор за проведением обработчиков личной информации работы по защите личной информации;
  2. Прием и обработка жалоб и отчетов, связанных с защитой персональной информации;
  3. Организация оценки ситуации с защитой личной информации, такой как используемые процедуры, и публикация результатов оценки.
  4. Расследование и борьба с незаконными действиями, связанными с обработкой личной информации;
  5. Другие обязанности и ответственность, предусмотренные законами или административными постановлениями.

Статья 62: Государственный департамент кибербезопасности и информатизации в целом координирует следующие работы по защите персональной информации соответствующими ведомствами:

  1. Сформулировать конкретные правила и стандарты защиты персональной информации;
  2. Сформулировать специализированные правила и стандарты защиты личной информации для небольших обработчиков личной информации, а также новые технологии и новые приложения для обработки конфиденциальной личной информации, распознавания лиц, искусственного интеллекта и т. Д.;
  3. Поддерживать исследования, разработку и широкое внедрение безопасной и удобной технологии электронной аутентификации личности, а также способствовать созданию общедоступных онлайн-сервисов аутентификации личности;
  4. Продвигать создание сервисных систем для социализации защиты личной информации и поддерживать соответствующие организации в запуске услуг по оценке и сертификации защиты личной информации;
  5. Совершенные механизмы защиты личной информации, жалоб и отчетности.

Статья 63: Когда отделы, выполняющие обязанности и ответственность по защите личной информации, выполняют обязанности и ответственность по защите личной информации, они могут принимать следующие меры:

  1. Проведение собеседований с соответствующими заинтересованными сторонами и расследование обстоятельств, связанных с деятельностью по обработке личной информации;
  2. Консультации и воспроизведение контрактов, записей и квитанций заинтересованной стороны, а также других соответствующих материалов, относящихся к деятельности по обработке личной информации;
  3. Проведение проверок на местах и ​​расследование подозрений в незаконной работе с личной информацией;
  4. Проверка оборудования и предметов, имеющих отношение к деятельности по обработке личной информации; и при наличии доказательств того, что оборудование или предметы используются для незаконной деятельности по обработке личной информации, после письменного уведомления главного ответственного лица своего отдела и получения разрешения они могут запечатать или конфисковать их.

Если подразделения, выполняющие обязанности и ответственность по защите личной информации, выполняют свои обязанности и ответственность в соответствии с законом, заинтересованные стороны должны оказывать помощь и сотрудничать, и они не могут препятствовать или препятствовать им.

Статья 64: В тех случаях, когда отделы, выполняющие обязанности и ответственность по защите личной информации, обнаруживают относительно большие риски, связанные с деятельностью по обработке личной информации или происходят инциденты, связанные с безопасностью личной информации, они могут провести беседу с законным представителем обработчика личной информации или основным ответственным лицом в соответствии с регулирующие полномочия и процедуры или требуют, чтобы обработчики личной информации поручали специализированным учреждениям проводить аудиты соответствия их деятельности по обработке личной информации.Обработчики личной информации должны принять меры в соответствии с требованиями для исправления ситуации и устранения уязвимости.

Если отделы, выполняющие обязанности и ответственность по защите личной информации, обнаруживают в ходе выполнения своих обязанностей незаконное обращение с личной информацией, которая подозревается в составлении преступления, они должны незамедлительно передать дело в органы общественной безопасности для обработки в соответствии с законом.

Статья 65: Любая организация или физическое лицо имеет право подать жалобу или сообщить о незаконных действиях по обработке личной информации в отделы, выполняющие обязанности и ответственность по защите личной информации.Департаменты, получающие жалобы или отчеты, должны обрабатывать их быстро и в соответствии с законом и уведомлять лицо, подавшее жалобу или сообщающее о результатах рассмотрения.

Департаменты, выполняющие обязанности и ответственность по защите личной информации, должны публиковать методы связи для приема жалоб и отчетов.

Глава VII: Юридическая ответственность

Статья 66: Если обработка личной информации осуществляется в нарушение настоящего Закона или если личная информация обрабатывается без выполнения обязанностей по защите личной информации в соответствии с положениями настоящего Закона, департаменты, выполняющие обязанности и ответственность по защите личной информации, должны потребовать исправления, конфисковывать незаконный доход и отдавать распоряжение о временной приостановке или прекращении предоставления услуг прикладным программам, незаконно обрабатывающим личную информацию; в случае отказа в исправлении дополнительно налагается штраф в размере не более 1 миллиона юаней; непосредственное ответственное лицо и другой непосредственно ответственный персонал должны быть оштрафованы на сумму от 10 000 до 100 000 юаней.

Если обстоятельства противоправных действий, упомянутых в предыдущем параграфе, являются серьезными, отделы провинциального или вышестоящего уровня, выполняющие обязанности и ответственность по защите личной информации, должны отдать приказ об исправлении, конфисковать незаконный доход и наложить штраф в размере не более 50 миллионов. Юаней, или 5% годового дохода. Они также могут приказать приостановить соответствующую коммерческую деятельность или прекратить деятельность для исправления и сообщить в соответствующий компетентный департамент об аннулировании соответствующих административных лицензий или аннулировании бизнес-лицензий.Непосредственно ответственное лицо и другой непосредственно ответственный персонал должны быть оштрафованы на сумму от 100000 до 1 миллиона юаней, а также может быть принято решение запретить им занимать должности директора, руководителя, менеджера высокого уровня или сотрудника по защите личной информации за определенный период.

Статья 67: В случае совершения противоправных действий, предусмотренных настоящим Законом, они будут занесены в кредитные досье, как это предусмотрено соответствующими законами и административными постановлениями, и преданы гласности.

Статья 68: В случае невыполнения государственными органами обязанностей по защите личной информации, предусмотренных настоящим Законом, их вышестоящие органы или подразделения, выполняющие обязанности и ответственность по защите личной информации, выносят постановление об исправлении; непосредственно ответственное лицо и другие непосредственно ответственные лица подлежат наказанию в соответствии с законом.

Если сотрудники отделов, выполняющих обязанности по защите личной информации, нарушают служебные обязанности, злоупотребляют своими полномочиями или занимаются фаворитизмом, но еще не являются преступлением, к ним применяются санкции в соответствии с законом.

Статья 69: Если обработка личной информации нарушает права и интересы в отношении личной информации и приводит к ущербу, и обработчики личной информации не могут доказать, что они не виноваты, они несут компенсацию и другие несут ответственность за нарушение.

В приведенном выше пункте ответственность за компенсацию за нарушение определяется в соответствии с понесенными в результате убытками для физического лица или полученными выгодами обработчика личной информации.В тех случаях, когда потери для лица и выгоды лица, обрабатывающего личную информацию, трудно определить, размер компенсации определяется в соответствии с практическими условиями.

Статья 70: В случаях, когда обработчики личной информации обрабатывают личную информацию в нарушение положений настоящего Закона, ущемляя права и выгоды многих лиц, Народной прокуратуры, установленных законом организаций потребителей и организаций, назначенных Государством кибербезопасности и информатизации. Департамент может подать иск в Народный суд в соответствии с законом.

Статья 71: Если нарушение положений настоящего Закона является нарушением управления общественной безопасностью, наказание в отношении управления общественной безопасностью налагается в соответствии с законом; если это составляет преступление, уголовная ответственность подлежит расследованию в соответствии с законом.

Глава VIII: Дополнительные положения

Статья 72: Действие настоящего Закона не распространяется на физических лиц, обрабатывающих личную информацию в личных или семейных целях.

Если закон содержит положения об обработке личной информации правительствами на всех уровнях и их соответствующими департаментами и организациями, осуществляющими статистическую и архивную деятельность, применяются эти положения.

Статья 73: В настоящем Законе используются следующие термины:

  1. «Обработчик личной информации» относится к организациям и частным лицам, которые в процессе обработки личной информации самостоятельно принимают решение о целях обработки.
  2. «Автоматизированное принятие решений» относится к деятельности по использованию компьютерных программ для автоматического анализа или оценки личного поведения, привычек, интересов или хобби, финансового, медицинского, кредитного или другого статуса и принятия решений [на основе этого].
  3. «Деидентификация» относится к процессу обработки личной информации, чтобы гарантировать невозможность идентификации конкретных физических лиц без поддержки дополнительной информации.
  4. «Анонимизация» относится к процессу обработки личной информации, чтобы сделать невозможным различение конкретных физических лиц и невозможность восстановления.

Статья 74: Настоящий Закон вступает в силу с 1 ноября 2021 года.


КИТАЙСКИЙ ЯЗЫК ОРИГИНАЛ

中华人民共和国 个人 信息 保护 法

(2021 8 月 20 第十 三届 全国 人民 大会 常务委员会 第 三十次 会议 通过)

: 中国 人大 网 2021 08 20 16:53:44

目 录

第一 章 总 则

第二 章 个人 信息 处理 规则

第一节 一般 规定

第二节 敏感 个人 信息 的 处理 规则

第三节 国家 机关 处理 个人 信息 的 特别 规定

第三 章 个人 信息 跨境 提供 的 规则

第四 章 个人 在 个人 信息 处理 活动 中 的 权利

第五 章 个人 信息 处理 者 的 义务

第六 章 履行 个人 信息 保护 职责 的 部门

第七 章 法律 责任

第八 章 附 则

第一 章 总 则

第一 条 为了 保护 个人 信息 权益 , 个人 信息 处理 活动 , 促进 个人 利用 , 根据 宪法 , 制定 本法。

第二 条 的 个人 信息 受 法律 保护 , 任何 组织 、 个人 不得 侵害 的 个人 信息 权益。

第三 条 在 中华人民共和国 境内 处理 自然人 个人 信息 的 活动 , 适用 本法。

中华人民共和国 境外 处理 中华人民共和国 境内 自然人 个人 信息 的 活动 , 有 下列 情形 之一 的 , 也 适用 本法 :

(一) 以 向 境内 自然人 提供 子 或者 服务 为 目的 ;

(二) 分析 、 评估 境内 自然人 的 行为 ;

(三) 法律 、 行政 法规 规定 的 其他 情形。

第四 条 是以 子 或者 其他 记录 的 与 已 识别 可 的 自然人 有关 的 各种 信息 , 不 包括 的 信息。

个人 信息 的 处理 包括 个人 信息 的 收集 、 存储 、 使用 、 加工 、 传输 、 提供 公开 、 删除 等。

第五 条 处理 个人 信息 应当 遵循 合法 正当 、 必要 和 诚信 原则 , 误导 、 欺诈 、 胁迫 等 方式 个人 信息。

第六 条 信息 具有 明确 合理 的 目的 , 并 应当 与 处理 目的 直接 相关 , 采取 对 个人 权益 影响 小 的 方式。

收集 个人 信息 , 应当 实现 处理 目的 的 最小 范围 , 不得 过度 收集 个人 信息。

第七 条 个人 信息 应当 遵循 公开 透明 原则 , 公开 个人 处理 的 目的 、 方式 和 范围。

第八 条 个人 信息 应当 保证 个人 信息 的 质量 , 避免 因 个人 信息 、 不 完整 对 个人 权益 影响。

第九条 个人 信息 者 应当 对其 个人 处理 活动 负责 , 并 必要 处理 的 个人 信息 的 安全。

第十 条 任何 组织 、 个人 不得 非法 、 使用 、 加工 、 他人 信息 不得 、 提供 或者 公开 他人 个人 危害 国 的 个人 信息000 处理 9000

第十一条 家 建立 健全 个人 制度 预防 和 惩治 侵害 个人 的 的 行为 , 加强 个人 信息 保护 宣传 教育 , 政府 、 企业 、 相关 参与 个人环境。

第十二 条 家 积极 参与 个人 保护 规则 的 制定 , 促进 个人 信息 方面 的 国际 交流 与 合作 , 推动 的 家 、 地区 、 国际

第二 章 个人 信息 处理 规则

第一节 一般 规定

第十三 条 符合 下列 情形 之一 的 , 个人 信息 处理 者 方可 处理 个人 信息 :

(一) 取得 个人 的 同意 ;

(二) 为 订立 、 履行 个人 作为 一方 当事人 的 合同 所 必需 , 或者 按照 制定 的 劳动 规章制度 和 的 集体 合同 人力 资源 管理所 必需 ;

(三) 为 履行 法定 职责 或者 法定 义务 所 必需 ;

(四) 为 应对 突发 公共卫生 事件 , 或者 情况 下 为 保护 自然人 的 生命 健康 财产 安全 所 必需 ;

(五) 为 公共 利益 实施 新闻 报道 、 舆论监督 等 行为 , 在 合理 的 范围 内 处理 个人 信息 ;

(六) 依照 本法 规定 在 合理 的 范围 内 处理 个人 自行 公开 或者 其他 已经 合法 的 个人 信息 ;

(七) 法律 、 行政 法规 规定 的 其他 情形。

本法 其他 有关 规定 , 处理 个人 信息 取得 个人 同意 , 但是 有 前款 第二 项 规定 的 , 不需 取得 个人 同意。

第十四 条 基于 同意 个人 信息 的 , 该 同意 应当 由 的 前提 下 自愿 、 明确 作出。 法律 规定 处理 个人 或者其 规定。

信息 的 处理 目的 、 处理 方式 和 处理 的 个人 信息 种类 发生 变更 的 , 应当 重新 取得 个人 同意。

第十五 条 同意 个人 信息 的 , 个人 有权 撤回 其 同意。 处理 者 应当 提供 的 撤回 同意 的 方式。

撤回 同意 , 不 影响 撤回 前 基于 个人 同意 已 进行 的 个人 信息 处理 活动 的 效力。

第十六 条 处理 不 同意 处理 其 个人 信息 或者 子 或者 ; 属于

第十七 条 信息 处理 者 在 处理 信息 前 , 应当 以 著 易懂 的 语言 真实 、 、 完整 个人 下列 事项 :

(一) 个人 信息 处理 者 的 名称 或者 姓名 和 联系 方式 ;

(二) 个人 信息 的 处理 目的 、 处理 方式 , 处理 的 个人 信息 种类 、 保存 期限 ;

(三) 个人 行使 本法 规定 权利 的 方式 和 程序 ;

(四) 法律 、 行政 法规 规定 应当 告知 的 其他 事项。

前款 规定 事项 发生 变更 的 , 应当 将 变更 部分 告知 个人。

信息 处理 者 通过 制定 个人 信息 处理 规则 的 方式 告知 第一 款 规定 事项 的 , 处理 规则 应当 公开 便于 保存。

第十八 条 处理 者 处理 , 有 法律 、 行政 法规 不需要 告知 的 情形 的 , 可以 不 条 第一 款 规定。

情况 为 保护 的 生命 健康 和 财产 安全 无法 及时 向 个人 告知 的 , 个人 信息 处理 者 应当 在 紧急 情况 后 及时 告知。

第十九 条 法律 、 法规 另有 , 个人 信息 的 保存 期限 处理 目的 所 必要 的 最短 时间。

第二十条 两个.要求 行使 本法 规定 的 权利。

信息 处理 者 共同 处理 个人 信息 , 侵害 个人 信息 权益 造成 损害 的 , 应当 连带 责任。

第二十 一条 个人 信息 处理 者 委托 信息 的 , 应当 与 受托人 的 目的 、 期限 、 处理 方式 、 的 保护受托人 的 个人 信息 处理 活动 进行 监督。

受托人 应当 按照 约定 处理 个人 信息 , 不得 超出 约定 的 处理 目的 、 处理 方式 等 处理 信息 ; 的 的 不 生效 、 无效 终止 者 或者删除 , 不得 保留。

未经 个人 信息 处理 者 同意 , 受托人 不得 转 他人 处理 个人 信息。

第二十 二条 个人 信息 处理 者 因 分立 、 解散 、 被 宣告 破产 转移 个人 信息 的 , 应当 向 个人 方 的 名称 或者 方 应当信息 处理 者 的 义务。 接收 方 变更 原先 的 处理 目的 、 处理 方式 的 , 应当 依照 规定 重新 取得 个人 同意。

第二十 三条 个人 处理 信息 处理 者 提供 其 的 个人 信息 的 , 应当 向 个人 告知 接收 方 的 名称 姓名 、 联系 方式 和 的 的 , 应当 向 接收 方 的 姓名 、 , 并 取得 个人 的 单独 同意。 接收 在 处理 目的 、 处理 方式 和 的 种类 等 的 处理 个人 原先同意。

第二十 四条 个人 处理 者 利用 进行 自动化 决策 , 应当 保证 决策 的 透明度 和 结果 公平 、 公正 , 不得 对 个人 价格 等 交易 条件 待遇。

自动化 决策 方式 向 个人 进行 推送 、 业 针对 的 选项 , 或者 向 个人 提供 的 拒绝 方式。

通过 自动化 决策 方式 作出 对 个人 重大 影响 的 决定 , 个人 有权 个人 者 予以 说明 , 并 有权 拒绝 者 仅 通过 自动化 决策 的 方式 作出 决定。

第二十 五条 个人 处理 者 不得 公开 其 处理 的 个人 信息 , 取得 个人 单独 的 除外。

第二十 六条 在 公共 场所 安装 图像 个人 身份 识别 设备 , 应当 为 公共安全 必需 , 家 有关 规定 , 的 提示 标识 图像 、 身份 信息能 用于 维护 公共安全 的 目的 , 不得 用于 其他 目的 ; 取得 个人 单独 同意 的 除外。

第二 十七 条 个人 信息 处理 者 合理 的 范围 内 处理 自行 已经 公开 的 个人 信息 ; 个人权益 有 重大 影响 的 , 应当 依照 本法 规定 取得 个人 同意。

第二节 敏感 个人 信息 的 处理 规则

第二 十八 条 敏感 个人 信息 是 或者 非法 使用 , 容易 导致 自然人 的 人格 尊严 受到 侵害 或者 人身 、 财产 安全 受到 的 的 , 包括金融 账户 、 行踪 轨迹 等 信息 , 以及 不满 十四 周岁 未成年 人 的 个人 信息。

在 具有 特定 的 目的 和 充分 的 必要性 , 并 采取 严格 保护 措施 的 情形 下 个人 信息 处理 处理 个人 信息。

第二 十九 条 处理 个人 取得 个人 的 单独 同意 ; 法律 、 法规 规定 处理 敏感 个人 信息 取得 书面 同意 的 , 从其 规定。

第三 十条 处理 者 处理 信息 的 , 除 本法 第十七 条 款 的 事项 的 还 应当 向 个人 的; 依照 本法 规定 可以 不 向 个人 告知 的 除外。

第三十一条 个人 信息 处理 者 不满 十四 未成年 人 个人 信息 的 , 应当 取得 未成年 人 的 父母 或者 的 同意。

信息 处理 者 处理 不满 十四 周岁 未成年 人 个人 信息 的 , 应当 制定 专门 的 个人 信息 处理 规则。

第三 十二 条 法律 、 行政 法规 对 敏感 个人 信息 规定 应当 取得 相关 作出 其他 的 , 从其 规定。

第三节 国家 机关 处理 个人 信息 的 特别 规定

第三 十三 条 家 机关 处理 个人 信息 的 活动 , 适用 本法 ; 本 节 特别 规定 的 , 适用 本 节 规定。

十四 条 家 机关 为 履行 法定 职责 处理 个人 信息 , 应当 法律 的 权限 、 程序 进行 , 法定 职责 所 必需 的 范围 和。

第三 十五 条 家 机关 为 履行 法定 处理 个人 信息 , 应当 本法 告知 义务 ; 有 本法 第十八 第一 的 情形 , 或者 告知 家 机关 履行 法定 职责的 除外。

第三 十六 条 家 机关 处理 的 个人 信息 应当 在 中华人民共和国 境内 存储 ; 境外 提供 的 , 应当 进行 安全 评估。 有关部门 提供 支持 与 协助。

第三 十七 条 法律 、 法规 授权 的 具有 管理 公共 事务 职能 的 组织 为 履行 处理 个人 的 的 关于 家 机关 处理 信息 规定。

第三 章 个人 信息 跨境 提供 的 规则

第三 十八 条 个人 处理 者 业务 等 需要 , 确需 向 中华人民共和国 境外 提供 个人 信息 的 , 应当 具备 下列 之一 :

(一) 依照 本法 第四 十条 的 规定 通过 国家 网 信 部门 组织 的 安全 评估 ;

(二) 按照 国家 网 信 部门 的 规定 经 专业 机构 进行 个人 信息 保护 认证 ;

(三) 按照 国家 网 信 部门 制定 的 标准 合同 与 境外 接收 订立 , 约定 双方 的 权利 和 义务 ;

(四) 法律 、 行政 法规 或者 国家 网 信 部门 规定 的 其他 条件。

中华人民共和国 缔结 或者 参加 的 国际 条约 、 协定 对 向 中华人民共和国 境外 提供 个人 信息 的 条件 等 有 规定 的 , 可以 按照 执行。

信息 应当 采取 必要 措施 , 保障 境外 接收 方 处理 个人 信息 的 活动 本法 的 个人 信息 保护 标准。

十九 条 个人 信息 处理 中华人民共和国 境外 提供 个人 信息 的 , 应当 境外 目 的 名称 或者 姓名 向境外 接收 方 行使 本法 规定 权利 的 方式 和 程序 等 事项 , 并 取得 个人 的 单独 同意。

第四 十条 关键 信息 基础 设施 运营 处理 个人 信息 达到 国家 网 信 部门 规定 数量 的 个人 信息 处理 者 , 的 华人民共和国 中华人民共和国 境内 收集 和 的 个人 信息 存储 在 境内。 向境外 提供 的 , 应当 通过 国家 网 信 部门 组织 的 安全 评估 ; 法律 、 行政 法规 和 家 网 信 部门 规定 可以 安全 的 , 从其 规定。

第四十一条 中华人民共和国 主管 机关 有关 法律 和 中华人民共和国 缔结 或者 参加 的 国际 条约 、 协定 , 或者 按照 平等互惠 原则 , 处理 外国 司法 提供 存储 的 请求。 非 经 中华人民共和国 主管 批准 , 个人 信息 处理 者 不得 向 外国 司法 或者 执法 机构 中华人民共和国 境内 的 个人 信息。

第四 十二 条 境外 的 组织 、 个人 从事 侵害 中华人民共和国 公民 的 个人 信息 权益 危害 中华人民共和国 国家 安全 、 公共 的 个人 信息 处理限制 或者 禁止 个人 信息 提供 清单 公告 , 并 采取 限制 或者 禁止 向其 提供 个人 信息 等 措施。

第四 十三 条 家 或者 地区 在 信息 保护 方面 对 中华人民共和国 采取 歧视 性 的 禁止 、 限制 或者 其他 类似 措施 的 , 中华人民共和国 可以 根据 实际 情况 对该 家 或者 地区 对 等。

第四 章 个人 在 个人 信息 处理 活动 中 的 权利

十四 条 个人 信息 的 处理 享有 知情权 、 决定 权 , 有权 拒绝 他人 对其 的 信息 进行 处理 ; 法律 法规 另有 规定

第四 十五 条 个人 向 个人 处理 者 查阅 、 复制 其 个人 信息 有 本法 第十八 第一 款 、 第三 十五 条 的 除外。

个人 请求 查阅 、 复制 其 个人 信息 的 , 个人 信息 处理 者 应当 及时 提供。

请求 信息 转移 至 指定 的 个人 信息 处理 者 , 符合 国家 网 信 部门 规定 条件 的 , 个人 信息 者 转移 的 途径。

第四 十六 条 个人 其 个人 准确 或者 不 完整 的 , 有权 信息 处理 者 更正 、 补充。

请求 更正 、 补充 其 个人 信息 的 , 个人 信息 处理 者 应当 对其 个人 信息 , 并 及时 更正 、 补充。

第四 十七 条 有 情形 之一 的 , 个人 信息 处理 者 应当 主动 删除 信息 个人 信息 处理 者 未 删除 的 , 有权 请求 删除 :

(一) 处理 目的 已 实现 、 无法 实现 或者 为 实现 处理 目的 不再 必要 ;

(二) 个人 信息 处理 者 停止 提供 子 或者 服务 , 或者 保存 期限 已 届满 ;

(三) 个人 撤回 同意 ;

(四) 个人 信息 处理 者 违反 法律 、 行政 法规 或者 违反 约定 处理 个人 信息 ;

(五) 法律 、 行政 法规 规定 的 其他 情形。

、 行政 规定 的 保存 期限 未 届满 或者 删除 个人 信息 从 技术上 难以 实现 的 , 个人 信息 处理 者 应当 停止 的 安全 保护 措施。

第四 十八 条 个人 有权 要求 个人 信息 处理 者 对其 个人 信息 处理 规则 进行 解释 说明。

第四 十九 条 自然人 死亡 的 , 亲属 为了 自身 的 合法 、 的 相关 个人 信息 行使 死者除外。

第五 十条 应当 建立 便捷 的 个人 行使 权利 的 申请 受理 和。 个人 的 请求 的 , 应当 说明 理由。

个人 信息 处理 者 拒绝 个人 行使 权利 的 请求 的 , 个人 可以 依法 向 人民法院 提起 诉讼。

第五 章 个人 信息 处理 者 的 义务

第五十一条 个人 信息 处理 者 应当 根据 信息 的 处理 目的 、 处理 方式 、 信息 的 种类 以及 对 个人 权益 的 影响 的 安全 风险法律 、 行政 法规 的 规定 , 并 防止 未经 授权 的 访问 以及 个人 信息 泄露 、 篡改 丢失 :

(一) 制定 内部 管理 制度 和 操作规程 ;

(二) 对 个人 信息 实行 分类 管理 ;

(三) 采取 相应 的 加密 、 去 标识 化 等 安全 技术 措施 ;

(四) 合理 确定 个人 信息 处理 的 操作 权限 , 并 定期 对 从业人员 进行 安全 教育 和 培训 ;

(五) 制定 并 组织 实施 个人 信息 安全 事件 预案 ;

(六) 法律 、 行政 法规 规定 的 其他 措施。

第五 十二 条 处理 个人 信息 家 网 信 部门 规定 数量 的 个人 信息 处理 应当 指定 个人 信息 保护 负责 人 的 个人 信息 处理 活动 以及 进行 监督

信息 处理 者 应当 公开 个人 信息 保护 负责 人 的 联系 方式 , 并将 个人 信息 负责 人 的 姓名 、 联系 方式 等 报送 履行 部门。

第 五十 三条 本法 第三 条 第二款 的 中华人民共和国 境外 的 个人 信息 处理 者 在 中华人民共和国 境内 设立 专门 机构 或者 指定 处理 个人 信息 保护 , 并将 有关 机构 的 名称 或者 代表 的 姓名 、 联系 方式 等 报送 履行 个人 信息 保护 职责 的 部门。

第 五十 四条 个人 信息 处理 者 应当 定期 对其 处理 个人 信息 遵守 法律 、 的 情况 进行 合 规 审计。

第五 十五 条 有 情形 之一 的 , 个人 信息 处理 者 应当 事前 进行 信息 保护 影响 , 并对 处理 情况 记录 :

(一) 处理 敏感 个人 信息 ;

(二) 利用 个人 信息 进行 自动化 决策 ;

(三) 委托 处理 个人 信息 、 向 其他 个人 信息 处理 者 提供 个人 信息 、 个人 信息 ;

(四) 向 境外 提供 个人 信息 ;

(五) 其他 对 个人 权益 有 重大 影响 的 个人 信息 处理 活动。

第五 十六 条 个人 信息 保护 影响 评估 应当 包括 下列 内容 :

(一) 个人 信息 的 处理 目的 、 处理 方式 等 是否 合法 、 正当 、 必要 ;

(二) 对 个人 权益 的 影响 及 安全 风险 ;

(三) 所 采取 的 保护 措施 是否 合法 、 有效 并 与 风险 程度 相 适应。

个人 信息 保护 影响 评估 报告 和 处理 情况 记录 应当 至少 保存 三年。

第五 十七 条 发生 或者 可能 发生 泄露 、 篡改 、 丢失 的 , 个人 者 立即 采取 补救 措施 的 个人 信息 保护 职责 通知 应当 000 下列

(一) 发生 或者 可能 发生 个人 信息 泄露 、 篡改 、 丢失 的 信息 种类 、 原因 可能 造成 的 危害 ;

(二) 个人 信息 处理 者 采取 的 补救 措施 和 个人 可以 采取 的 减轻 危害 的 措施 ;

(三) 个人 信息 处理 者 的 联系 方式。

信息 者 采取 措施 能够 避免 、 篡改 、 丢失 造成 危害 的 , 个人 信息 处理 者 的 不 个人 ; 部门个人。

第五 十八 条 提供 重要 互联网 平台 用户 数量 大 、 业务 类型 复杂 的 个人 信息 处理 者 , 应当 履行 义务 :

(一) 按照 国家 规定 建立 健全 个人 信息 合 规 制度 体系 , 成立 外部 组成 的 独立 机构 对 个人 信息 情况 进行 监督 ;

(二) 遵循 公开 公平 、 公正 的 原则 , 制定 平台 规则 , 明确 平台 内 子 或者 服务 提供 的 个人 信息 的 规范 保护 信息 义务 ;

(三) 对 严重 违反 法律 、 行政 个人 信息 的 平台 内 的 产子 或者 提供 者 , 停止 服务 ;

(四) 定期 发布 个人 信息 保护 社会 责任 社会 监督。

第五 十九 条 接受 委托 处理 个人 信息 的 受托人 , 应当 依照 本法 有关 行政 法规 的 规定 , 采取 必要 措施 处理 者法 规定 的 义务。

第六 章 履行 个人 信息 保护 职责 的 部门

第六 十条 家 网 信 部门 统筹 协调 个人 信息 保护 工作 和 相关。 国务院 有关部门 依照 本法 和 有关 法律 的 规定 , 在 职责 范围 负责 信息 和 监督管理 工作。

县级 以上 地方 人民政府 有关部门 的 个人 信息 保护 和 监督 管理 职责 , 按照 国家 有关 规定 确定。

前 两款 规定 的 部门 统称 为 履行 个人 信息 保护 职责 的 部门。

第六十一条 个人 信息 保护 职责 的 部门 履行 下列 个人 信息 保护 职责 :

(一) 开展 个人 信息 保护 宣传 教育 , 、 监督 个人 信息 处理 者 开展 个人 保护 工作 ;

(二) 接受 、 处理 与 个人 信息 保护 有关 的 投诉 、 举报 ;

(三) 组织 对 应用 程序 等 个人 信息 保护 情况 进行 测评 , 并 公布 测评 结果 ;

(四) 调查 、 处理 违法 个人 信息 处理 活动 ;

(五) 法律 、 行政 法规 规定 的 其他 职责。

第六 十二 条 家 网 信 部门 统筹 协调 有关部门 依据 本法 推进 下列 个人 信息 保护 工作 :

(一) 制定 个人 信息 保护 具体 规则 、 标准 ;

(二) 针对 小型 个人 信息 处理 者 、 处理 敏感 个人 信息 以及 人脸识别 、 人工智能 技术 应用 , 制定 的 个人 信息 保护 规则 、 标准 ;

(三) 支持 研究 开发 和 推广 应用 安全 、 方便 的 电子 身份 认证 技术 网络 服务 建设 ;

(四) 推进 个人 信息 保护 社会 化 服务 体系 建设 , 支持 有关 机构 开展 认证 服务 ;

(五) 完善 个人 信息 保护 投诉 、 举报 机制。

第六 十三 条 履行 个人 信息 保护 职责 的 部门 履行 个人 信息 保护 职责 , 可以 下列 措施 :

(一) 询问 有关 当事人 , 调查 与 个人 信息 处理 活动 有关 的 情况;

(二) 查阅 、 复制 当事人 与 个人 信息 处理 活动 有关 的 合同 、 记录 、 账簿 以及 其他 有关 资料;

(三) 实施 现场 检查 , 对 涉嫌 违法 的 个人 信息 处理 活动 进行 调查;

(.

履行 个人 信息 保护 职责 的 部门 依法 履行 职责 , 当事人 应当 予以 协助 、 配合 , 、 阻挠。

第六 十四 条 履行 个人 信息 的 部门 在 履行 职责 中 , 发现 个人 信息 处理 活动 存在 大 风险 或者 发生 的 的 , 可以 对该的 负责 人 进行 要求 信息 处理 者 委托 专业 机构 对其 信息 活动 进行 合 规 审计。 个人 应当 按照 要求 采取 , 进行 消除 隐患

信息 保护 的 部门 在 履行 职责 中 , 发现 违法 处理 个人 信息 涉嫌 的 , 应当 及时 移送 公安 机关 依法 处理。

第六 十五 条 任何 组织 、 个人 违法 个人 信息 处理 活动 履行 信息 职责 的 部门 进行 投诉 、 举报。 、 举报 部门 , 处理投诉 、 举报人。

履行 个人 信息 保护 职责 的 部门 应当 公布 接受 投诉 、 举报 的 联系 方式。

第七 章 法律 责任

第六 十六 条 违反 本法 规定 处理 信息 , 或者 处理 个人 信息 未 履行 的 个人 信息 的 义务 的 , 由 履行对 违法 处理 个人 信息 的 应用 程序 , 责令 或者 终止 提供 服务 ; 拒不 改正 的 , 并处 万元 以下 罚款 ; 对 直接 负责 的 主管 和 其他 直接 责任 人员 一 万元 以上 十 万元 以下罚款。

前款 规定 的 违法行为 , 情节 严重 的 , 由 省级 以上 履行 个人 信息 保护 职责 的 部门 责令 改正 , 没收 违法 所得 , 并处 一 年度 营业 额 百分之 以下 罚款, 并 可以 责令 暂停 相关 业务 或者 停业 整顿 通报 有关 主管 ​​部门 吊销 相关 业务 许可 或者 吊销 执照 ; 对 直接 负责 的 主管 人员 直接 责任 人员 处 十 以上 一百 罚款 , 可以禁止 其 在 一定 期限 内 担任 相关 企业 的 董事 、 监事 、 高级 管理 人员 和 个人 负责 人。

十七 条 有 本法 规定 的 违法行为 的 , 依照 有关 法律 、 行政 法规 的 规定 记 入 信用 档案 , 并。

第六 十八 条 家 机关 不 履行 本法 规定 的 个人 信息 保护 义务 的 , 由其 机关 或者 履行 个人 信息 保护 职责 的 ; 对 直接 负责 给予

个人 信息 保护 职责 的 部门 的 工作 人员 玩忽职守 、 滥用职权 、 徇私舞弊 , 尚不 构成 的 , 依法 给予 处分。

第六 十九 条 处理 个人 信息 侵害 权益 造成 损害 , 个人 信息 处理 自己 的 , 应当 承担 损害 赔偿 等 侵权 责任。

规定 的 损害 赔偿 责任 按照 因此 的 损失 或者 个人 信息 处理 因此 的 利益 确定; 个人 因此 受到 的 损失 赔偿.

第七 十条 个人 信息 处理 者 违反 处理 个人 信息 , 侵害 众多 的 权益 的 , 人民 检察院 、 法律 规定 的 消费者 家 网 提起诉讼。

第七十一条 违反 本法 规定 , 违反 治安 管理 行为 的 , 依法 给予 治安 管理 犯罪 的 , 依法 追究 刑事责任。

第八 章 附 则

第七 十二 条 自然人 因 个人 或者 家庭 事务 处理 个人 信息 的 , 不 适用 本法。

对 有关部门 组织 实施 的 统计 、 档案 管理 活动 中 的 个人 信息 规定 的 , 适用 规定。

十三 条 本法 下列 用语 的 含义 :

(一) 个人 信息 处理 者 , 是 指 在 个人 信息 处理 活动 中 自主 决定 处理 目的 、 处理 方式 的 组织 、 个人。

(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。

(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。

(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。

第七十四条  本法自2021年11月1日起施行。

Self-Defense Law: Overview - FindLaw

It's a universally accepted principle that a person may protect themselves from harm under appropriate circumstances, even when that behavior would normally constitute a crime.В правовой системе Соединенных Штатов каждый штат позволяет обвиняемому требовать самообороны, когда он обвиняется в насильственном преступлении, как и федеральное правительство.

Однако конкретные правила, касающиеся самообороны, различаются от юрисдикции к юрисдикции. В этой статье предлагаются объяснения общих понятий, из которых состоит закон о самообороне в США, но вам следует проверить законы вашей конкретной юрисдикции, чтобы понять конкретные требования к заявлению о самообороне.

Что такое самооборона?

Самооборона определяется как право предотвращать страдания с применением силы или насилия посредством использования достаточного уровня противодействия силе или насилию.Это определение достаточно простое на первый взгляд, но вызывает много вопросов в применении к реальным ситуациям.

Например, какой уровень силы или насилия достаточен при защите? Что выходит за рамки этого уровня? Что, если нападение спровоцировала предполагаемая жертва? Должны ли жертвы по возможности избегать насилия? Что происходит, когда жертвы разумно воспринимают угрозу, даже если угрозы на самом деле не существует? Что делать, если опасения жертвы субъективно искренни, но объективно необоснованны?

Как видите, закон о самообороне сложнее, чем кажется на первый взгляд.Чтобы справиться с бесчисленным множеством ситуаций, когда возникает самооборона, государства разработали правила, определяющие, когда самооборона разрешена, и сколько силы жертва может использовать, чтобы защитить себя. Как уже упоминалось, точные правила различаются между штатами, но соображения в основном одинаковы.

Является ли угроза неминуемой?

Как правило, самооборона оправдывает применение силы только тогда, когда она используется в ответ на непосредственную угрозу. Угроза может быть вербальной, если она вызывает у предполагаемой жертвы непосредственный страх физического вреда.Однако оскорбительные слова без сопутствующей угрозы непосредственного физического вреда не оправдывают применения силы в целях самообороны.

Более того, применение силы в целях самообороны обычно теряет оправдание после того, как угроза исчезла. Например, если агрессор нападает на жертву, но затем прекращает нападение и указывает, что угрозы насилия больше нет, то угроза опасности исчезла. Любое применение силы жертвой против нападавшего в этот момент будет считаться ответным, а не самообороной.

Был ли страх причинения вреда разумным?

Иногда самооборона оправдана, даже если предполагаемый агрессор на самом деле не причинял предполагаемой жертве какого-либо вреда. В этих ситуациях важно то, осознал ли «разумный человек» в той же ситуации непосредственную угрозу физического вреда. Концепция «разумного человека» - это юридическое самомнение, которое на практике может толковаться по-разному, но это лучший инструмент правовой системы для определения того, оправдывает ли восприятие человеком неминуемой опасности применение защитной силы.

Для иллюстрации представьте двух незнакомцев, проходящих мимо друг друга в городском парке. Незаметно для одного, над его головой жужжит пчела. Другой человек видит это и, пытаясь быть дружелюбным, быстро тянется к другому, чтобы попытаться отогнать пчелу. Человек с пчелой у головы видит, как чужая рука метнулась к его лицу, и сильно отбивает руку другого человека.

Хотя обычно это было бы равносильно нападению, суд мог легко найти, что внезапное движение руки незнакомца к лицу человека заставило бы разумного человека сделать вывод, что ему угрожает непосредственная физическая опасность, что потребовало бы применения принудить к оправданному осуществлению права на самооборону.И все это несмотря на то, что предполагаемый нападавший не имел в виду никакого вреда; на самом деле он действительно пытался помочь!

Несовершенная самозащита

Иногда человек может искренне бояться неминуемого физического вреда, который объективно необоснован. Если человек использует силу для защиты от предполагаемой угрозы, ситуация известна как «несовершенная самооборона». Несовершенная самооборона не освобождает человека от совершения преступления, связанного с применением насилия, но может уменьшить связанные с этим обвинения и наказания.Однако не каждое государство признает несовершенную самозащиту.

Например, человек ждет друга в кафе. Когда друг приходит, он идет к другому человеку, протягивая руку для рукопожатия. Человек, который ждал, искренне опасается, что его друг собирается напасть на него, хотя этот страх совершенно необоснован. Чтобы избежать предполагаемой угрозы, человек бьет своего друга по лицу. Хотя заявление человека о самообороне не избавит его от каких-либо уголовных обвинений из-за необоснованного характера его восприятия, это может снизить тяжесть обвинений или возможное наказание.

Некоторые штаты также рассматривают случаи, когда лицо, заявляющее о самообороне, спровоцировало нападение, как несовершенную самозащиту. Например, если человек создает конфликт, который перерастает в насилие, а затем непреднамеренно убивает другую сторону, защищаясь, заявление о самообороне может уменьшить обвинения или наказание, но не может полностью оправдать убийство.

Пропорциональный ответ

Закон о самообороне требует, чтобы реакция соответствовала уровню рассматриваемой угрозы.Другими словами, человек может применить столько силы, сколько требуется для устранения угрозы. Если угроза связана с применением смертоносной силы, защищающийся человек может применить смертоносную силу для противодействия угрозе. Однако, если угроза предполагает лишь незначительную силу и лицо, заявляющее о самообороне, применяет силу, которая может причинить тяжкие телесные повреждения или смерть, требование о самообороне будет отклонено.

Обязанность отступить

Первоначальные законы о самообороне требовали, чтобы люди, заявляющие о самообороне, сначала попытались избежать насилия, прежде чем применять силу.Это также известно как «обязанность отступить». Хотя большинство штатов удалили это правило для случаев, связанных с применением несмертельной силы, многие штаты по-прежнему требуют, чтобы человек предпринял попытку избежать ситуации, прежде чем применять смертоносную силу.

Стойте на своем

В отличие от обязанности отступать, многие штаты приняли так называемые законы «стоять на своем». Эти законы отменяют обязанность отступать и позволяют требовать самообороны, даже если истец не сделал ничего, чтобы спастись от угрозы насилия.Как упоминалось выше, это более распространенное правило, когда ситуации связаны с несмертельной силой. Однако в случае применения смертоносной силы законы государства о самообороне разделяются по принципу «стой на своем».

Доктрина Замка

Даже в штатах, которые требуют, чтобы человек отступил от угрозы неминуемого вреда, прежде чем защищать себя, человек может часто использовать смертоносную силу против кого-то, кто незаконно проникает в их дом. Это правило, также известное как «доктрина замка», позволяет людям защищать свои дома от злоумышленников с помощью смертоносной силы.Как и в большинстве этих правил, точный результат будет зависеть от юрисдикции и конкретных обстоятельств дела, поэтому всегда полезно проконсультироваться с юристом, чтобы узнать больше.

Нужна помощь с заявлением о самообороне?

Заявления о самообороне довольно распространены, и правила, касающиеся ситуаций, в которых человек может защитить себя, и количества силы, которое ему разрешено использовать, могут быть сложными. Все можно сделать намного проще, посоветовавшись с компетентным местным юристом.Найдите ближайшего к вам опытного адвоката по уголовным делам одним нажатием кнопки.

Китай принимает закон о защите данных - TechCrunch

Китай принял закон о защите персональных данных, сообщает государственное СМИ Синьхуа (через Reuters).

Закон, называемый Законом о защите личной информации (PIPL), вступает в силу 1 ноября.

Это было предложено в прошлом году - сигнализируя о намерении коммунистических лидеров Китая расправиться со сбором недобросовестных данных в коммерческой сфере путем введения юридических ограничений на сбор данных пользователей.

Новый закон требует, чтобы производители приложений предлагали пользователям варианты того, как их информация используется или не используется, например, возможность не подвергаться таргетингу в маркетинговых целях или проводить маркетинг, основанный на личных характеристиках, сообщает Синьхуа.

Он также требует от обработчиков данных получать согласие от частных лиц, чтобы иметь возможность обрабатывать конфиденциальные типы данных, такие как биометрия, медицинские данные и данные о состоянии здоровья, финансовая информация и данные о местоположении.

Приложения, которые незаконно обрабатывают данные пользователей, рискуют приостановить или прекратить их обслуживание.

Любые западные компании, ведущие бизнес в Китае, связанный с обработкой личных данных граждан, должны бороться с экстерриториальной юрисдикцией закона - это означает, что иностранные компании столкнутся с нормативными требованиями, такими как необходимость назначать местных представителей и отчитываться перед надзорными органами в Китае.

На первый взгляд, основные элементы нового режима защиты данных в Китае отражают требования, давно закрепленные в законодательстве Европейского Союза, где Общий регламент по защите данных (GDPR) предоставляет гражданам полный набор прав на защиту их личных данных, включая установление столь же высокой планки. о согласии на обработку того, что в законодательстве ЕС называется «данными особой категории», например данными о здоровье (хотя в других странах существуют различия в том, какая личная информация считается наиболее конфиденциальной в соответствии с соответствующими законами о данных).

GDPR также носит экстерриториальный характер.

Но контекст, в котором будет действовать китайский закон о защите данных, также, конечно, очень отличается - не в последнюю очередь с учетом того, как китайское государство использует обширную операцию по сбору данных, чтобы следить и контролировать поведение своих собственных граждан.

Любые ограничения, которые PIPL может наложить на возможности китайских правительственных ведомств по сбору данных о гражданах - государственные органы были охвачены проектами закона - могут быть не более чем прикрытием, чтобы обеспечить фольгу для продолжения сбора данных китайскими коммунистами. Аппарат государственной безопасности партии (КПК) при дальнейшем укреплении централизованного контроля над правительством.

Также еще предстоит увидеть, как ЦКА может использовать новые правила защиты данных для дальнейшего регулирования - некоторые могут сказать, что это укрощение - мощи отечественного технологического сектора.

Он предпринимал жесткие меры в этом секторе различными способами, используя изменения в законодательстве в качестве рычага воздействия на таких гигантов, как Tencent. Например, ранее в этом месяце Пекин подал гражданский иск против технологического гиганта, сославшись на утверждения о том, что молодежный режим его приложения для обмена сообщениями WeChat не соответствует законам о защите несовершеннолетних.

PIPL предоставляет китайскому режиму гораздо больше возможностей для атак, чтобы наложить ограничения на местные технологические компании.

И не тратит время зря на атаки на методы интеллектуального анализа данных, которые являются обычным явлением среди западных технологических гигантов, но теперь, похоже, столкнутся с растущими трениями, если они будут развернуты компаниями в Китае.

Reuters отмечает, что Всекитайское собрание народных представителей ознаменовало принятие закона сегодня, опубликовав статью государственного средства массовой информации People's Court Daily, в которой хвалят закон и содержится призыв к организациям, которые используют алгоритмы для «персонализированного принятия решений» - например, системы рекомендаций - сначала получить согласие пользователя.

Цитируя статью, он пишет: «Персонализация - это результат выбора пользователя, и истинные персонализированные рекомендации должны обеспечивать свободу выбора пользователя без принуждения. Следовательно, пользователям должно быть дано право не использовать функции персонализированных рекомендаций ».

Конечно, растет озабоченность по поводу алгоритмического таргетинга и за пределами Китая.

В Европе законодатели и регулирующие органы призывают к более жестким ограничениям на поведенческую рекламу - поскольку блок находится в процессе переговоров по ряду новых цифровых правил, которые расширят его полномочия по регулированию сектора, таких как предлагаемый Закон о цифровых рынках и Закон о цифровых услугах.

Регулирование Интернета, несомненно, является новым геополитическим полем битвы, поскольку регионы соревнуются за формирование будущего потоков данных в соответствии со своими экономическими, политическими и социальными целями.

Закон о защите личной информации в Китае: технические аспекты

Китай недавно опубликовал полный текст долгожданного Закона о защите личной информации. По мере приближения даты вступления в силу мы даем обзор ключевых технических соображений, которые необходимо учитывать компаниям, чтобы соответствовать новому закону, включая возможные подводные камни и советы о том, какие функции должны быть разработаны и применены к существующим ИТ-системам.

20 августа Китай опубликовал полный окончательный текст Закона о защите личной информации (PIPL), первого такого закона, когда-либо принятого в стране. Этот новый закон, вступающий в силу с 1 ноября 2021 года, наряду с Законом о безопасности данных и Законом о кибербезопасности , Китай создал свою собственную обширную правовую сферу безопасности и защиты личной информации.

Мы ожидаем, что эти законы окажут глубокое влияние на бизнес-операции в Китае в отношении управления безопасностью и конфиденциальностью, так же как и общие правила защиты данных Европейского Союза (GDPR) в остальном мире.Это также создаст больше проблем для иностранных компаний, ведущих бизнес в Китае.

В этой статье мы даем техническую перспективу основных концепций и важных положений закона, а также даем некоторые предложения по созданию совместимых ИТ-систем для рассмотрения иностранными компаниями.

Технические аспекты соответствия PIPL

Для людей, знакомых с GDPR, положения PIPL в значительной степени не станут неожиданностью, поскольку основные концепции двух законов в основном одинаковы.Другими словами, PIPL «позаимствовал» некоторые концепции из GDPR, хотя есть еще некоторые незначительные отличия. Чтобы соответствовать требованиям PIPL, компаниям необходимо учитывать множество технических аспектов, особенно в отношении ИТ-инфраструктуры, системных приложений и проектирования. Ниже мы перечисляем несколько важных моментов, которые необходимо учитывать при приведении ИТ-систем в соответствие с законом.

Соображения при проектировании ИТ-инфраструктуры

Многие иностранные компании, ведущие бизнес в Китае, уже создали зрелую и универсальную ИТ-инфраструктуру, локальную или облачную, перед тем, как войти в Китай.Поэтому использование одной и той же платформы для деловых операций Китая часто является естественным выбором.

Однако статья 40 PIPL требует, чтобы личные данные, собранные и созданные «операторами критически важной информационной инфраструктуры (CII) и обработчиками личной информации, которые обрабатывают личную информацию, достигающую объема, установленного Администрацией киберпространства Китая», должны храниться в Китае. Это требование локализации данных означает, что иностранные компании должны рассмотреть возможность развертывания автономной ИТ-инфраструктуры для своего бизнеса в Китае.

Несмотря на то, что PIPL указывает, что прохождение «оценки безопасности, организованной Администрацией киберпространства Китая» может послужить «зеленым светом» для трансграничной передачи личной информации, согласно нашим прочтениям, на практике все равно будут возникать большие проблемы, поскольку нет руководства по эксплуатации. или процедура еще не опубликована. Недавний обзор безопасности Didi , китайского гиганта, приветствующего езду, является первым случаем такой оценки безопасности в Китае, однако этот процесс проверки безопасности не касался исключительно защиты личной информации.

Что касается трансграничной передачи данных, важно отметить, что даже если данные хранятся в Китае в автономной ИТ-инфраструктуре, они все равно будут рассматриваться как трансграничная передача, если пользователь за пределами Китая имеет удаленный доступ к данным. Очень важно, чтобы ИТ-отдел компании учитывал это при проектировании ИТ-инфраструктуры.

Соображения по поводу дизайна приложения

PIPL предоставляет пользователям несколько прав на использование их личной информации, некоторые из которых потребуют от компаний особого внимания при разработке и применении своих ИТ-систем.

Ниже мы приводим некоторые ключевые статьи, на которые следует обратить внимание.

Автоматическое принятие решений и профилирование: Статья 24 требует, чтобы обработчик данных предоставлял пользователям альтернативный вариант или возможность отказаться от использования своих личных характеристик для маркетинга и проталкивать информацию через автоматизированные механизмы принятия решений. Это означает, что система должна иметь возможность получать обратную связь от получателей и исключать определенных пользователей из механизмов автоматического принятия решений, что требует особого внимания при разработке системы.Мы ожидаем, что достижение баланса между сбором огромных объемов личной информации для анализа, внедрением автоматического принятия решений и защитой прав людей станет большой проблемой для крупных маркетинговых услуг, основанных на данных.

Запрос, копирование, исправление и удаление личных данных: Статьи с 45 по 47 предусматривают право физических лиц запрашивать, какие личные данные собираются и хранятся обработчиком данных. Они также позволяют пользователям запрашивать копию своих личных данных, исправлять любую неточную личную информацию и удалять свою личную информацию при отзыве согласия или прекращении использования продукта или услуги.Поэтому компаниям необходимо подумать о том, как быстро найти личную информацию каждого пользователя в ИТ-системе, и заранее определить способ экспорта копии и ее доставки пользователю. Компаниям также необходимо рассмотреть способы сделать запись каждого пользователя «независимой», чтобы гарантировать, что удаление записи одного пользователя не повлияет на другие существующие или используемые данные.

Несколько замечаний:

  • Право на удаление требует, чтобы компания рассмотрела вопрос о развертывании универсальной платформы для сохранения связанных личных данных, чтобы данные можно было легко найти и удалить из любого места.На практике часто возникает проблема, когда данные удаляются только из действующей системы, а другая копия хранится в резервной системе. Следует рассмотреть заранее определенную политику хранения для автоматического удаления данных по истечении срока их действия, что является хорошим способом соблюдения требований статьи 47 (1). Обработчик данных должен заранее удалить данные после истечения согласованного периода хранения или достижения цели обработки данных.
  • Компаниям также необходимо спланировать разумный механизм аутентификации для точного распознавания пользователя, который делает запрос или запрашивает копию, обновление или удаление.«Разумный» означает соблюдение баланса между сбором достаточного количества личной идентификационной информации для аутентификации пользователя и страхованием от повышенных рисков, связанных с ответственностью за большие объемы потенциально конфиденциальных данных. В недавнем случае хакер смог запросить обновление контактной информации другого пользователя, изменив номер телефона пользователя на свой собственный. Затем хакер использовал свой номер телефона для «аутентификации» личности жертвы, сбросил пароль учетной записи и, в конечном итоге, получил полный доступ к данным жертвы.Этот случай иллюстрирует проблему аутентификации человека при получении запроса.
  • Статья 49 также предусматривает, что права физического лица осуществляются его или ее ближайшими родственниками в случае смерти физического лица. Это представляет собой еще большую проблему для обработчиков данных, которым также необходимо уметь распознавать и аутентифицировать ближайших родственников пользователя.

Разделение и маскирование данных: Компаниям следует рассмотреть способы разделения конфиденциальной личной информации по разным системам или базам данных или, по крайней мере, по разным таблицам в одной базе данных.Это сделано для снижения риска того, что полные и полные записи личной информации будут переданы или доступны, когда для цели обработки данных может потребоваться доступ только к части записи.

Например, сотруднику отдела обслуживания клиентов, который отвечает за опрос клиентов, потребуется только доступ к номеру телефона или адресу электронной почты клиента. Им не потребуется доступ ко всей записи клиента, которая может содержать конфиденциальную информацию, такую ​​как домашний адрес и данные кредитной карты.

Маскирование данных - еще один хороший способ скрыть конфиденциальную информацию, при этом позволяя персоналу получать доступ к другим неконфиденциальным данным. Как маскирование данных, так и разделение личной информации - это методы, которые следует учитывать и планировать при проектировании и применении ИТ-системы, поскольку внесение изменений после развертывания системы может быть трудным и дорогостоящим.

Рекомендации по разработке интерфейса конфиденциальности

Дружественный и полезный интерфейс конфиденциальности важен для реализации принципов конфиденциальности и защиты прав пользователей.Интерфейс конфиденциальности делает жизненный цикл данных прозрачным для пользователей, позволяя им контролировать, какие данные используются и как они обрабатываются, а также получать доступ к копии собранных данных. Уникальные положения PIPL требуют от компаний особого внимания при разработке интерфейсов конфиденциальности.

Ниже приведены некоторые из основных требований:

Согласие вместо отказа: Некоторые пункты PIPL требуют, чтобы обработчик данных получил явное согласие пользователя, и даже требует отдельного согласия в особых случаях.Это означает, что интерфейс конфиденциальности должен использовать стратегию подписки и предоставлять выбор и управление для согласия человека. При разработке системы можно рассмотреть всплывающее окно с объяснением и запросом согласия пользователя, если для конкретной услуги требуется отдельное согласие.

Отказ в обслуживании: Статья 16 предусматривает, что, если пользователь не дает согласия на использование своей личной информации или отозвать согласие, обработчики данных не могут отказать в доступе к продукту или услуге, за исключением обработки личной информации необходимо для предоставления товара или услуги.В этой статье рассматривается распространенная практика среди мобильных приложений, которая запрашивает чрезмерные привилегии, такие как доступ к микрофону и камере смартфона, GPS, файлам и адресной книге, и даже сообщениям, даже если для доставки ядра потребуется только одна или две базовые привилегии. service, а другие привилегии только изредка будут использоваться для других неосновных услуг. Согласно новым правилам, мобильные приложения не могут отказать пользователю в доступе к основным услугам, если они не согласны на использование дополнительной личной информации, которая не требуется для выполнения основной услуги.Короче говоря, метод «все или ничего», который используют многие приложения, не соответствует требованиям PIPL. Поэтому при разработке интерфейса конфиденциальности необходимо учитывать включение отдельных уведомлений о конфиденциальности и возможность выбора для пользователей в зависимости от того, какой вид услуги предлагается.

Дизайн для отдельного согласия: Статья 23 требует, чтобы обработчики данных получали «отдельное (несгруппированное) согласие» пользователя, прежде чем он сможет поделиться персональными данными с третьей стороной. Статья 29 требует, чтобы обработчики данных получали отдельное согласие от пользователя при обработке конфиденциальной личной информации.Объем «конфиденциальной личной информации» в PIPL намного шире, чем в GDPR - финансовая информация, записи транзакций и отслеживание местоположения считаются конфиденциальной личной информацией. Отдельное согласие также требуется при передаче личной информации стороне за пределами Китая, как указано в статье 39. Чтобы соответствовать этим юридическим требованиям, компаниям необходимо рассмотреть возможность разработки отдельного варианта согласия или окна в интерфейсе конфиденциальности для вышеупомянутого обстоятельства, в дополнение к общему запросу согласия, необходимому до того, как пользователь начнет использовать службу.

Отзыв согласия : Статья 15 требует, чтобы обработчик данных «предоставлял удобный способ позволить пользователю отозвать свое согласие». Этот пункт не появился в первом проекте PIPL, но позже был добавлен во второй проект и теперь сохранен для окончательной версии. Соответственно, обработчик данных должен рассмотреть возможность разработки четкого и простого способа отзыва согласия пользователей, например, позволяя пользователю легко отменить регистрацию своей учетной записи службы. В последние годы Министерство промышленности и информационных технологий (МИИТ) уделяло этому основное внимание при проверках соответствия мобильных приложений.Многие мобильные приложения попросили внести исправления или даже были вынуждены удалить их из магазинов мобильных приложений из-за несоблюдения требований.

Соображения относительно мер надзора

Биометрические данные, например, используемые для распознавания лиц и отпечатков пальцев, считаются конфиденциальной личной информацией. Поэтому для этого требуются особые процедуры защиты и обработки, включая отдельное согласие, как описано в разделе выше. Обработчик данных должен учитывать особые соображения при реализации мер наблюдения.

Ниже приведены некоторые ключевые аспекты, которые следует учитывать:

Распознавание лиц: Эта область имеет огромное значение для китайских законодателей. 27 июля 2021 года Верховный народный суд опубликовал судебное толкование использования технологий распознавания лиц для обработки личной информации, которое требует от компаний «раскрывать правила обработки информации о лицах и четко указывать цель, метод и объем обработки. ». Судебное толкование также запрещает использование «объединения согласия (для обработки информации о лице пользователя) с любым другим разрешением».Нарушение этого пункта будет рассматриваться как «посягательство на права личности и интересы физического лица». Поэтому обработчики данных должны рассмотреть возможность создания автономных уведомлений о конфиденциальности для раскрытия информации, связанной с распознаванием лиц, и получения отдельного явного согласия на обработку информации о лицах, как ранее описано в разделе о разработке интерфейса конфиденциальности. Кроме того, в систему следует включить альтернативный вариант, если распознавание лиц в настоящее время является единственным вариантом аутентификации.Компании, которые вынуждали пользователей входить в систему, входить в офис или регистрировать посещаемость с помощью распознавания лиц, не предлагая какой-либо альтернативы, в последние годы подверглись критике, и этот пункт направлен на устранение такого неправомерного использования личной информации.

Отпечатки пальцев: По сравнению с распознаванием лиц, использование отпечатков пальцев для аутентификации имеет гораздо более широкую область применения и широко используется для входа в здания и офисы. Как и в случае с распознаванием лиц, информация об отпечатках пальцев относится к категории конфиденциальной личной информации и, следовательно, подлежит тем же мерам и соображениям, что и распознавание лиц.

CCTV: Обычной практикой является развертывание камер видеонаблюдения вокруг или внутри офисных помещений, заводов и других рабочих мест по соображениям безопасности. Данные мониторинга с камер видеонаблюдения должны хорошо управляться, а разрешение на доступ предоставляется только ограниченному количеству людей. Что еще более важно, данные, собранные с камер видеонаблюдения, должны использоваться только в явных целях, таких как безопасность, и не могут использоваться для других целей, таких как маркетинговые услуги. Обработчики данных должны принять заранее определенные политики для регулирования использования и доступа к данным видеонаблюдения, особенно для систем видеонаблюдения, которые загружают данные внешнему поставщику по беспроводной сети.

Рекомендации по сбору данных от третьих лиц

Закон о безопасности данных (DSL), вступающий в силу 1 сентября 2021 г., требует, чтобы обработчики данных несли ответственность за законность данных, полученных от третьей стороны.

Существует обычная практика для компаний «вызывать» или интегрировать существующие SDK от других сторон в свое собственное мобильное приложение для Android, чтобы предоставлять пользователям более качественные услуги, например, использование сторонних SDK для аутентификации для включения единого входа (SSO). .

Это простой способ получить новые функции или улучшить функции приложения, не тратя больше времени и денег на внутреннюю разработку. Однако такая практика также оставляет открытым риск того, что сторонний SDK собирает личную информацию и передает ее, иногда без ведома пользователя или оператора мобильного приложения.

Обработчик данных должен провести тщательную проверку стороннего SDK, чтобы гарантировать его безопасность и соответствие требованиям, прежде чем принимать его.Информация о стороннем SDK, цели его использования и объеме собираемой личной информации также должна быть раскрыта пользователям.

Защита прав пользователей с помощью соответствующих ИТ-систем

PIPL значительно ограничивает многие из злоупотреблений данными, которые преследуют китайских потребителей в течение многих лет, и делает все возможное, чтобы защитить права пользователей на конфиденциальность и контроль над их личной информацией.

Как мы видели из недавних репрессий в отношении мобильных приложений и поставщиков онлайн-услуг, PIPL, вероятно, будет строго выполняться.

Таким образом, соблюдение требований имеет решающее значение, чтобы оставаться на правильной стороне закона. Учитывая негативную реакцию общественности на неправомерное использование данных в Китае, справедливые и прозрачные методы обработки данных также важны для поддержания здоровых отношений с вашими пользователями и клиентами.

Обеспечение соответствия ИТ-инфраструктуры и систем является ключом к достижению этой цели. Мы надеемся, что перечисление некоторых общих проблем, с которыми компании могут столкнуться во время работы, поможет повысить осведомленность о требованиях, и что компании примут незамедлительные меры для защиты личной информации своих пользователей.

В ближайшие месяцы мы продолжим публиковать новые статьи с предложениями о процессах и передовых методах соблюдения PIPL и других законов о безопасности данных.


О нас

China Briefing написано и произведено Dezan Shira & Associates. Эта практика помогает иностранным инвесторам в Китае и делает это с 1992 года через офисы в Пекине, Тяньцзине, Даляне, Циндао, Шанхае, Ханчжоу, Нинбо, Сучжоу, Гуанчжоу, Дунгуане, Чжуншане, Шэньчжэне и Гонконге.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *