Закон о защите персональных: Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (последняя редакция)

Содержание

В Китае принят новый закон о защите персональных данных_Russian.news.cn

Пекин, 20 августа /Синьхуа/ — Высший законодательный орган Китая сегодня проголосовал за принятие нового Закона о защите персональных данных, который вступит в силу с 1 ноября.

Законопроект был утвержден на заключительном заседании очередной сессии Постоянного комитета Всекитайского собрания народных представителей /ПК ВСНП/, которая начала свою работу 17 августа.

Развитие рынка больших данных приносит удобство в нашу жизнь, но также приводит к беспорядку: некоторые платформы злоупотребляют сбором персональных данных, некоторые компании без соответствующего разрешения устанавливают специальные устройства, чтобы тайно фиксировать изображения лиц и биометрические характеристики своих клиентов.

Китай всегда придавал большое значение безопасности личной информации. Новый закон о защите персональных данных регламентирует правила обработки и трансграничной передачи личной информации.

«В настоящее время все общество пристально следит за новыми технологиями, такими как профилирование пользователей и алгоритмы рекомендаций. Однако возникают некоторые проблемы, в том числе и ценовая дискриминация с использованием больших данных», — отметил официальный представитель Рабочей комиссии по вопросам законодательства ПК ВСНП Цзан Тевэй.

В новом законе содержатся положения, запрещающие чрезмерный сбор личной информации и ценовую дискриминацию с использованием больших данных в отношении существующих клиентов.

При распространении информации и бизнес-маркетинга среди физических лиц посредством автоматизированного принятия решений обработчики личной информации должны одновременно предоставлять варианты, которые не ориентированы на личные характеристики, или предлагать способы отказа, говорится в законе.

Интернет-гиганты, владеющие персональными данными большинства своих пользователей, обязуются создать независимый орган, состоящий в основном из сторонних лиц, для осуществления контроля за процессом обработки информации.

Крупные интернет-платформы, согласно новому закону, также будут обязаны разработать свои собственные правила защиты личной информации в соответствии с принципами открытости, справедливости и беспристрастности.

Кроме того, закон предусматривает установление видимых знаков в общественных местах, где установлено оборудование для сбора изображений и личной идентифицируемой информации, извещающий о том, что собранные сведения могут использоваться только для обеспечения общественной безопасности.

С целью усиления мер по защите несовершеннолетних граждан закон дифференцирует личную информацию лиц младше 14 лет как конфиденциальную, требуя от обработчиков персональных данных разработать для данной категории специальные протоколы обработки.

К концу 2020 года численность жителей Китая, пользующихся интернетом, достигла 989 млн человек, из которых 183 млн — несовершеннолетние.

Закон Калифорнии о защите персональных данных потребителей (CCPA): вопросы и ответы

Примечание

Эта тема предоставляется «как есть». Данные и мнения, содержащиеся в этой теме, включая URL-адреса, а также ссылки на другие веб-сайты, могут изменяться без предварительного уведомления. Ответственность за использование этих данных несет пользователь. Эта статья была создана для справочных целей, и ее не следует рассматривать как юридическую консультацию. Вам необходимо проконсультироваться со своим юристом. Эта статья не дает пользователям права интеллектуальной собственности на продукты Майкрософт. Разрешается копирование и использование данной статьи для внутренних, справочных целей.

Основные вопросы и ответы

Что такое CCPA?

Закон Калифорнии о защите персональных данных потребителей (CCPA) — это первый комплексный закон о конфиденциальности в США. Он был принят в конце июня 2018 г. и предоставляет различные права на конфиденциальность потребителям Калифорнии. Предприятия, регулируемые CCPA, будут иметь ряд обязательств перед этими потребителями, включая раскрытие информации, общие права на защиту данных (GDPR)-like для потребителей, «отказ» для определенных передачи данных и «отказ» для несовершеннолетних.

Кому необходимо знать о CCPA?

Закон CCPA применим только к компаниям, которые ведут коммерческую деятельность в Калифорнии, если для этих компаний ежегодно выполняется одно или несколько из следующих условий: (1) валовой доход компании составляет свыше 25 млн долларов США; (2) не менее 50 % годового дохода компании получено от продажи личных сведений потребителей; (3) компания покупает, продает или предоставляет доступ к личным сведениям более 50 000 потребителей.

Когда закон CCPA вступает в силу?

CCPA вступает в силу 1 января 2020 г. Тем не менее, Генеральный прокурор начнет осуществлять надзор за его выполнением не ранее 1 июля 2020 г.

Как CCPA повлияет на мою компанию?

Многие права CCPA, предоставленные калифорнийцам, аналогичны правам, которые предоставляет GDPR, включая запросы на раскрытие и запросы потребителей, аналогичные запросам на право субъекта данных (DSR), таким как доступ, удаление и переносимость. Таким образом, потребитель может использовать наши существующие решения GDPR, чтобы соответствовать требованиям CCPA.

Чтобы приступить к применению CCPA, нужно выполнить пять основных шагов:

Поиск: определите, какие личные сведения у вас есть и где они хранятся.
Сопоставление: определите, каким образом третьим лицам предоставляется общий доступ к личным сведениям и распространяется ли на них исключение из положения CCPA об отказе от передачи данных.
Управление: управляйте использованием данных и доступом к ним.
Защита: установите элементы управления безопасностью для предотвращения и обнаружения уязвимостей и нарушений безопасности данных, а также реагирования на них.
Документирование: документируйте программу реагирования на нарушение безопасности данных и убедитесь в том, что к контрактам с соответствующими третьими лицами применимо исключение из положения об отказе от передачи данных.

Вам необходимо понять, какие конкретные обязательства вашей организации находятся в CCPA и как их выполнять, хотя Корпорация Майкрософт поможет вам в вашем путешествии.

Исчерпывающие вопросы и ответы

Реализацию каких прав компании обязаны обеспечить в соответствии с CCPA?

В соответствии с CCPA регулируемые предприятия, которые собирают, используют, передают и продают личные сведения, должны, помимо прочего:

предоставлять потребителям информацию о категориях и целях сбора данных до его осуществления;
включать в политику конфиденциальности подробную информацию об источниках, бизнес-целях и категориях личных сведений, которые собираются, в том числе о продаже или передаче этих категорий данных другим юридическим лицам;
предоставлять потребителям право на доступ, удаление и переносимость отдельных частей личных сведений, собранных вами;

Включить управление, которое позволит потребителям отказаться от «продажи» данных потребителя. Тем не менее, в некоторых случаях передача данных, например поставщику услуг, разрешена.
Для несовершеннолетних в возрасте до 16 лет необходимо включить процедуру выбора, чтобы не было возможности продажи персональных данных несовершеннолетнего без активного участия в продаже.
Убедитесь, что потребители могут осуществлять все свои права по CCPA.

Какую информацию необходимо предоставить в соответствии с CCPA?

В соответствии с CCPA необходимо предоставить следующую информацию:

категории личных сведений потребителя, которые были собраны;
категории источников, используемых при сборе;
бизнес-цели или коммерческие цели сбора данных;
Категории третьих лиц, с которыми «делятся» персональные данные.
Категории персональных данных, которые были «проданы», и категории «третьих лиц», которым была продана каждая категория персональных данных.

Категории персональных данных, которые были «раскрыты для бизнес-целей» (то есть переданы, но не «продажа») и категории «третьих лиц», которым была передана каждая категория персональных данных.
отдельные части личных сведений, которые были собраны о потребителе.

Как продаются данные в рамках CCPA?

Определение «продать» в CCPA является невероятно широким, в том числе «сделать личную информацию доступной» третьей стороне для денежного или другого ценного рассмотрения. Если потребитель решил «отказаться», бизнес должен будет отключить поток персональных данных для любой третьей стороны.

CCPA предоставляет ряд карве-выходов для этого контроля отказа от продажи. Тремя основными карвеями являются передачи (i) поставщику услуг, (II) «освобожденной сущности» или «подрядчика» и (iii) по указанию потребителя. Даже если потребитель решил «отказаться», личные данные могут по-прежнему передаваться третьим лицам, которые вписались в эти карве-выходы.

Чтобы воспользоваться первыми двумя исключениями,компании должны гарантировать, что передача сведений регулируется письменными договорами, содержащими определенные условия, которые требуются законом CCPA.

Что означают «Бизнес» и «Поставщики услуг» в контексте CCPA?

В контексте CCPA предприятия — это физические или юридические лица, определяющие цели и средства обработки персональных данных потребителей, а поставщики услуг — физические или юридические лица, обрабатывающие информацию от имени бизнеса. Это приблизительные синонимы терминов контролер и обработчик, используемых в GDPR.

Какой штраф предусмотрен для компаний за несоблюдение требований?

Частное право на иск в CCPA ограничено нарушением безопасности данных. В соответствии с этим правом убытки могут составлять от 100 до 750 долларов США за каждый инцидент на потребителя. Кроме того, Генеральный прокурор Калифорнии может обеспечить выполнение CCPA в полной мере, наложив гражданско-правовые санкции в размере не более 2 500 долларов США за нарушение и 7 500 долларов США за преднамеренное нарушение закона.

Что предпринимает корпорация Майкрософт, чтобы добиться соответствия требованиям CCPA?

Поскольку корпорация Майкрософт в глобальном масштабе реализовала DSR, связанные с GDPR, сейчас у нас есть отличная база для соответствия требованиям CCPA. Мы также рассмотрели наши сторонние соглашения об обмене данными и приняли меры, чтобы убедиться, что необходимые условия контракта имеются, чтобы гарантировать, что мы не «продаем» персональные данные.

Какие средства можно использовать при подготовке организации к CCPA?

Начните использовать оценку GDPR в диспетчере соответствия требованиям в рамках вашей программы конфиденциальности, обеспечивающей выполнение CCPA.
Создайте процесс эффективного реагирования на запросы потребителей.

Настройте метку и политики, чтобы находить, классифицировать, помечать и защищать конфиденциальные данные с помощью Microsoft Information Protection.
Используйте возможности шифрования электронной почты для дополнительного контроля конфиденциальной информации.
Дополнительные сведения см. в этой записи блога.

Чем различаются GDPR и CCPA?

Существует много различий. Проще сосредоточиться на сходствах, в том числе:

обязательства по прозрачности и предоставлению информации;
права потребителей на доступ, удаление и получение копии данных;
Определение «поставщиков услуг», аналогичное определению GDPR «обработчиков» с аналогичным договорным обязательством.
Определение «бизнеса», которое включает определение GDPR «контроллеров».

Самое большое различие в CCPA — это основное требование, которое позволяет отказаться от продажи данных третьим лицам (с «продажей», широко определенной для использования общего доступа к данным для ценного рассмотрения). Это более узкое и более конкретное обязательство, чем широкое право GDPR возражать против обработки, которое включает этот тип «продажи», но не ограничивается только этим типом общего доступа.

Что такое «Процессоры» и «Контроллеры»?

Контролер — это физическое или юридическое лицо, орган государственной власти, государственное ведомство или другое учреждение, которое самостоятельно или вместе с другими лицами определяет цели и способы обработки персональных данных. Обработчик — это физическое или юридическое лицо, орган государственной власти, государственное ведомство либо другое учреждение, которое обрабатывает персональные данные по поручению контролера.

Что именно считается личными сведениями?

Личные сведения — это любая информация, которая относится к идентифицированному или доступному для идентификации лицу. Нет различия между личными, общественными или рабочими ролями человека. Определенный термин «персональные данные» примерно выровнется с «персональными данными» в GDPR. Кроме того, CCPA также распространяется на данные о семье и домашнем хозяйстве.

Вот некоторые примеры персональных данных.

Идентификация

Имя
Домашний адрес
Рабочий адрес
Номер телефона
Номер мобильного телефона
Адрес электронной почты
Номер паспорта
Номер национального удостоверения личности
Номер социального страхования (или его эквивалент)
Водительское удостоверение
Физическая, физиологическая или генетическая информация
Медицинские сведения
Культурная принадлежность

Финансы

Банковские реквизиты и номера счетов
Номер налогоплательщика
Номера кредитных и дебетовых карт
Публикации в социальных сетях

Артефакты в сети

Публикации в социальных сетях
IP-адрес (для региона ЕС)
Местоположение и данные GPS
Файлы cookie

Как CCPA применяется к детям?

CCPA вводит обязательное родительское согласие для детей в возрасте до 13 лет в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA).
Для детей в возрасте от 13 до 16 лет CCPA накладывает новое обязательство получать согласие на отказ от ребенка для любой «продажи» их персональных данных.

Как насчет персональных данных сотрудников?

В октябре 2019 г. в закон CCPA было внесено несколько поправок. В одной из них объяснялось, что обязательства по CCPA не относятся к личным сведениям о сотрудниках предприятия. Однако для этой поправки установлен срок действия, равный одному году. Ожидается, что в 2020 г. в Калифорнии будет принят новый закон о защите данных сотрудников.

Нужно ли мне как пользователю Майкрософт реализовать элемент управления отказом в отношении передачи данных в корпорацию Майкрософт?

Нет. В качестве поставщика онлайн-служб мы примем меры для обеспечения того, чтобы мы могли претендовать на то, чтобы быть «поставщиком услуг» в соответствии с CCPA. Как было указано выше, передача личных сведений поставщикам услуг разрешена, даже если потребитель отказался от передачи данных.

Обзор нового Закона о защите персональных данных

18.05.2021

14 мая был опубликован Закон о защите персональных данных. Он вступит в силу через 6 месяцев, то есть 15 ноября 2021 года. В течение 3 месяцев должен быт создан уполномоченный орган по вопросам защиты персональных данных.

Закон кардинально меняет правила работы с персональными данными в Беларуси, поскольку раньше, как такового законодательства о защите персональных данных в Беларуси не было.

Что поменяется в работе бизнеса со вступлением в силу Закона? Разбираемся вместе с Алёной Поторской, ведущим юристом практики IT/IP REVERA law firm.

Вводится определение персональных данных

Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Это определение очень схоже с определением, закрепленным в GDPR, но оно не привычно для белорусской правовой системы. Раньше в Беларуси был закрытый перечень персональных данных – в него входила только информация, которая вносится в реестр населения (ФИО, дата рождения, пол, адрес регистрации и т.д.). С введением нового определения предполагается, что объем информации, которая будет относиться к персональным данным, будет значительно шире.

Для IT бизнеса зачастую большую долю данных, с которыми он работает, составляют данные об устройствах пользователей (IP адрес, локация, рекламные идентификаторы (IDFA, Google Advertising ID), информация о пользовательском поведении (на какие разделы сайта пользователь заходил и что просматривал). Закон пока не содержит однозначного ответа, будет ли относиться такая информация к персональным данным, но в соответствии с общемировыми подходами – должна.

Детализируются основания для обработки персональных данных

Обработка персональных данных будет возможна при наличии согласия субъекта данных. То есть Закон предусматривает согласие как главное основание для обработки данных (в отличие от GDPR, где к согласию можно обратиться только, если остальные основания такие как жизненный интерес, договор, требования закона, публичный интерес, законный интерес – не применимы).

Согласие не требуется только в предусмотренных Законом случаях. В частности, в рамках заключения и исполнения договора с субъектом данных, в том числе в рамках трудовых отношений.

Обращаем внимание, что Закон не упоминает такое основание для обработки данных, как законный (легитимный интерес), на которое компании, в частности IT, которые работают на европейский рынок, часто ссылаются, к примеру, для осуществления рассылки. К примеру, вы делаете рассылку для своих клиентов, предлагая им свои услуги, скидки и другие предложения. В этом случае при определенных условиях по GDPR вы можете не получать согласие пользователя, а ссылаться на законный интерес. В Беларуси такие действия могут быть совершены только при наличии согласия субъекта.

Появляются требования к согласию

Раньше согласие должно было быть получено в письменной форме, что практически невозможно для онлайн-бизнеса. Закон решает эту проблему и предусматривает, что согласие может быть дано в письменной форме, в форме электронного документа или иного документа в электронной форма, в том числе путем проставления галочки.

Закон также говорит о том, что согласие субъекта «представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных».

У компании появляется ряд обязательств по защите персональных данных:

1.   Назначить лицо или отдел, ответственные за защиту персональных данных в компании.
2.   Разработать политику компании в отношении обработки персональных данных и сделать ее доступной для неограниченного круга лиц (в том числе посредством сети Интернет).
3.   Провести обучение работников работе с персональными данными.
4.   Установить порядок доступа к персональным данным.
5.   Осуществлять техническую и криптографическую защиту персональных данных.

Закон регламентирует вопросы передачи персональных данных

Сейчас законодательство Республики Беларусь содержит только положение о том, что передача данных третьим лицам возможна с письменного согласия лица на такую передачу. Закон же регулирует отношения между оператором и уполномоченным лицом, а также вводит правила передачи данных за пределы Республики Беларусь.

Если вы поручаете обработку данных другому лицу от вашего имени (уполномоченное лицо), в договоре между вами и таким лицом должны быть предусмотрены (1) цели обработки данных, (2) действия, совершаемые с данными, (3) обязательство о конфиденциальности, (4) меры по защите данных.

В мировой практике такие уполномоченные лица называются «процессорами» и к ним, в частности, можно при определенных условиях отнести сервисы аналитики, рекламы, платежные сервисы и другие.

Передача данных за пределы Республики Беларусь в страны, которые не обеспечивают надлежащий уровень защиты данных (списка таких стран пока нет, но должен быть разработан, к примеру, для ЕС такой страной является Беларусь, США и др.) будет возможна только при наличии определённых оснований. К примеру, если получено согласие субъекта данных на такую передачу, при условии, что субъект уведомлён о рисках такой передачи.

У субъектов появляются права распоряжаться своими данными

Бизнесу нужно будет подготовиться к тому, что Закон даёт пользователям право определённым образом распоряжаться своими данными. У пользователей будет право на отзыв согласия, право на получение информации об обработке данных, право на внесение изменений в персональные данные, право на получение информации о предоставлении данных третьим лицам, право требовать удаления данных или прекращения их обработки.

Обращаем внимание, что реализация прав пользователей будет несколько труднее, чем в соответствии с GDPR. К примеру, субъект данных может запрашивать информацию о предоставлении своих персональных данных третьим лицам только 1 раз в год, а само заявление о реализации любого из прав должно подаваться либо в форме письменного документа, либо в форме электронного документа, подписанного ЭЦП. Также Закон устанавливает ряд требований к информации, которую субъект данных должен указать в таком заявлении. Для сравнения: в GDPR требований к такому заявлению нет, субъект может подать его в электронной форме (написать на электронную почту, к примеру), и в свободной форме.

Компания должна исполнить запрос на реализацию любого из вышеперечисленных прав в течение 15 дней с момента его получения, кроме предоставления информации (на это дается 5 дней). Для сравнения, срок ответа на запрос пользователя по GDPR – 1 месяц, и этот срок может быть продлен.

Напоминаем, что с 1 марта в Беларуси действует административная ответственность за нарушение законодательства о защите персональных данных, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных.

Компания REVERA готова оказать полный цикл сопровождения приведения ваших процессов в соответствие с новым Законом, а также провести обучение для работников вашей компании новым правилам работы с персональными данными.

Вы можете связаться с нашим специалистом ведущим юристом практики IT/IP компании REVERA Аленой Поторской: [email protected].

Другие наши обзоры Закона также можно найти по ссылке: https://revera.by/info-centr/news-and-analytical-materials/800-poyavilsya-tekst-proekta-zakona-o-zashhite-personalnyx-dannyx/

Также информируем вас о том, что REVERA совместно с Data Privacy Office запустила образовательный проект по персональным данным, в рамках которого предусмотрена серия обучающих мероприятий, а также Telegram-канал с актуальной информацией по теме.

Ссылка на информацию о проекте: https://revera.by/info-centr/news-and-analytical-materials/810-v-belarusi-zapustili-obrazovatelnyj-proekt-po-rabote-s-personalnymi-dannymi/

Подключиться к Telegram-каналу: https://t.me/joinchat/6OmqcQBuokw5MDUy

Все публикации

Китайские парламентарии разрабатывают закон о защите персональных данных

На состоявшейся в Пекине сессии Постоянного комитета Всекитайского собрания народных представителей (ПК ВСНП) законодатели в рамках третьего чтения обсудили поправки в законопроект о защите личных данных граждан, сообщает агентство Синьхуа.

Особое внимание в ходе доработки законопроекта было уделено предотвращению незаконного сбора персональной информации о пользователях. В частности, предполагается, что гражданам нельзя будет отказать в предоставлении услуг или продуктов, несмотря на их отказ поделиться личными сведениями. Исключение составят случаи, когда обработка таких данных необходима для качественного оказания услуги, говорится в материале.

При этом ключевой задачей китайские законодатели считают корректное формулирование термина «необходимая информация». Главный принцип — не допустить практику сбора избыточных сведений, отмечается в статье.

Кроме этого, в закон планируется включить положение, запрещающее программному обеспечению, даже если пользователь разрешил доступ к устройству, осуществлять дополнительные операции. Например, ПО не сможет без уведомления собирать, удалять или исправлять хранящуюся в гаджете личную информацию.

В законе предполагается дать более чёткое определение понятию «конфиденциальная личная информация». К таковой будут отнесены биометрические данные граждан, сведения об их религиозных убеждениях, состоянии здоровья, полученных медицинских услугах, финансовых счетах и перемещениях. Кроме того, к конфиденциальным причислят любые персональные данные лиц, не достигших 14-летнего возраста.

Помимо прочего, законодатели хотят разобраться с правилами использования технологии распознавания лиц. Эти сведения также считаются личной информацией, поэтому порядок монтажа соответствующих камер должен быть законодательно урегулирован. Одним из оснований для их установки станет обеспечение общественной безопасности, но этот термин предлагается сделать более конкретным, отмечается в материале.

В Китае принят новый закон о защите персональных данных

рассказываем, что меняется для бизнеса — OfficeLife

Закон о защите персональных данных: рассказываем, что меняется для бизнеса

Опубликованный закон о защите персональных данных кардинально меняет правила работы с такими данными в Беларуси, поскольку раньше как такового законодательства о защите персональных данных в нашей стране не было.

Алена Поторская,

ведущий юрист REVERA

Что поменяется в работе бизнеса со вступлением в силу закона, разбираем вместе с Аленой Поторской, ведущим юристом практики информационных технологий и интеллектуальной собственности юридической компании REVERA.

Изменения внутри компании

Закон предусматривает, что компании должны:

Назначить лицо или отдел, ответственные за защиту персональных данных в компании.
Разработать политику компании в отношении обработки персональных данных и сделать ее доступной для неограниченного круга лиц (в том числе посредством сети Интернет).
Провести обучение работников работе с персональными данными.
Установить порядок доступа к персональным данным.
Осуществлять техническую и криптографическую защиту персональных данных.

Передача данных

Если вы поручаете обработку данных другому лицу от вашего имени, то в договоре между вами и таким лицом должны быть предусмотрены: 1) цели обработки данных; 2) действия, совершаемые с данными; 3) обязательство о конфиденциальности; 4) меры по защите данных.

Передача данных за пределы Беларуси в страны, которые не обеспечивают надлежащий уровень защиты данных (списка таких стран пока нет, но должен быть разработан; к примеру, для ЕС такими странами являются Беларусь, США и др.), будет возможна только при наличии определенных оснований, к примеру, если получено согласие субъекта данных на такую передачу, при условии, что субъект уведомлен о рисках такой передачи.

Приведение продуктов компании в соответствие

Обработка персональных данных будет возможна только при наличии оснований для такой обработки (среди которых: согласие субъекта, договор, либо в рамках трудовых отношений и другие).

При этом закон предусматривает ряд требований к согласию, которые должны быть соблюдены, чтобы оно считалось валидным. В частности, согласие должно быть свободным, однозначным и информированным, может быть получено в том числе путем проставления пользователем галочки в чек-боксе.

Работа с клиентами

Бизнесу также нужно будет подготовиться к тому, что закон дает пользователям право определенным образом распоряжаться своими данными. У пользователей будет право на отзыв согласия, право на получение информации об обработке данных, право на получение информации о предоставлении данных третьим лицам, право требовать удаления данных или прекращения их обработки.

Компания должна исполнить запрос на реализацию любого из вышеперечисленных прав в течение 15 дней с момента его получения.

С 1 марта в Беларуси действует административная ответственность за нарушение законодательства о защите персональных данных, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных.

Закон о защите персональных данных вступит в силу через 6 месяцев, то есть 15 ноября 2021 года. В течение ближайших 3 месяцев должен быть создан уполномоченный орган по вопросам защиты персональных данных.

В Китае приняли новый закон о защите персональных данных. Он заработает с первого ноября

Китайские власти ужесточили требования к защите персональных данных. С ноября в Поднебесной начнет действовать новый закон, который разрешит отслеживать только необходимый минимум информации. После новости о принятии закона акции местных технологических компаний начали дешеветь.

О принятии закона сообщил портал Reuters со ссылкой на китайское государственное новостное агентство Xinhua.

Теперь у интернет-компаний (как, скорее всего, и у разработчиков приложений) должна быть четкая и обоснованная цель для сбора личных данных пользователей. Также они обязаны ограничиваться сбором «минимального объема информации, который нужен для достижения этой цели».

Кроме того, компании должны назначить специального человека, который станет отвечать за сохранение конфиденциальности данных.

Отдельно в законе перечислены условия, на основании которых в целом разрешается отслеживать персональные данные, но Reuters отметил только одно из них. По словам портала, с ноября компаниям придется спрашивать у пользователей, согласны ли они вообще делиться сведениями о себе. Однако подобное условие действует в Китае еще с 2017 года.

Также в законе указано, как компании должны защищать данные при передаче их за границу. Reuters не стал делиться подробностями.

Какие меры применят к тем, кто нарушит закон, — неизвестно. Но отметим, в одном из вариантов законопроекта власти предлагали штрафовать нарушителей на сумму в размере до ¥50 млн ($7,7 млн) или в 5% годового дохода.

Как сообщает издание Financial Times, на фоне новостей о законе в Китае обвалились акции ряда технологических гигантов. Индекс Hang Seng Tech, специализирующийся на таких компаниях, в день принятия закона подешевел на 1,8%. В частности, он отслеживает акции Alibaba и Tencent.

Закон о защите персональный данных — не первая подобная инициатива китайских властей за последний год. Например, с мая в Китае заработали правила, запрещающие разработчикам закрывать доступ к приложениям, если пользователь отказался делиться избыточными данными. Речь об информации, которую приложения собирают в рекламных целях. Но, как отмечает портал TechCrunch, эти правила выглядит, скорее, как рекомендация, поскольку власти не назвали меры наказания для разработчиков, которые нарушат их.

Личная информация | Wex | Закон США

право на неприкосновенность частной жизни: доступ к личной информации

Право на неприкосновенность частной жизни развилось, чтобы защитить способность людей определять, какая информация о себе собирается и как эта информация используется. Большинство коммерческих веб-сайтов используют файлы cookie, а также формы для сбора информации от посетителей, такой как имя, адрес, адрес электронной почты, демографические данные, номер социального страхования, IP-адрес и финансовая информация.Во многих случаях эта информация затем предоставляется третьим лицам в маркетинговых целях. Другие организации, такие как федеральное правительство и финансовые учреждения, также собирают личную информацию. Угрозы мошенничества и кражи личных данных, создаваемые этим потоком личной информации, стали стимулом для законодательства о праве на конфиденциальность, требующего раскрытия методов сбора информации, возможностей отказа, а также внутренней защиты собранной информации. Однако такие требования еще не достигли всех сегментов рынка.

15 U.S.C. В § 45 Федеральная торговая комиссия (FTC) обвиняется в предотвращении «недобросовестных методов конкуренции в сфере торговли или воздействия на нее, а также недобросовестных или обманных действий или практик в торговле или влияющих на нее». В вопросах конфиденциальности роль FTC заключается в обеспечении выполнения обещаний о конфиденциальности, данных на рынке. Несколько дополнительных законов образуют основу, на которой FTC осуществляет это обвинение: Закон о конфиденциальности 1974 года (5 USC § 552a), Закон Грэмма-Лича-Блили (15 USC §§ 6801-6809), Закон о справедливой кредитной отчетности ( 15 U.S.C. § 1681 и последующие) и Закон о защите конфиденциальности детей в Интернете (15 U.S.C. §§ 6501-6506).

Закон о конфиденциальности 1974 года (5 U.S.C. § 552a) защищает личную информацию, находящуюся в распоряжении федерального правительства, предотвращая несанкционированное раскрытие такой информации. Частные лица также имеют право просматривать такую информацию, запрашивать исправления и получать информацию о любых раскрытиях. Закон о свободе информации облегчает эти процессы.

Закон Грэмма-Лича Блайли (также известный как Закон о финансовой модернизации 1999 года) устанавливает руководящие принципы защиты личной финансовой информации.По закону (15 U.S.C. § 6803) финансовые учреждения обязаны предоставлять клиентам политику конфиденциальности, в которой объясняется, какие виды информации собираются и как эта информация используется. От таких организаций также требуется разработать меры безопасности для защиты информации, которую они собирают от клиентов.

Закон о справедливой кредитной отчетности (15 U.S.C. § 1681 и последующие) защищает личную финансовую информацию, собираемую агентствами по предоставлению отчетов о потребителях. Закон ограничивает круг лиц, имеющих доступ к такой информации, а последующие поправки упростили процесс, с помощью которого потребители могут получать и исправлять собранную о себе информацию.FTC также активно применяет запреты на получение личной финансовой информации обманным путем — преступление, известное как «предлог».

Закон о защите конфиденциальности детей в Интернете (15 U.S.C. §§ 6501-6506) позволяет родителям контролировать, какая информация собирается об их ребенке (младше 13 лет) в Интернете. Операторы веб-сайтов, которые либо нацелены на детей, либо сознательно собирают личную информацию от детей, должны публиковать политики конфиденциальности, получать согласие родителей перед сбором информации от детей, позволять родителям определять, как такая информация используется, и предоставлять родителям возможность отказаться будущей коллекции от их ребенка.

Однако, несмотря на права, описанные выше, другие участники рынка не обязаны по закону разрабатывать аналогичные методы защиты и раскрытия информации. Скорее, в остальной части рынка FTC поощряет добровольный режим защиты конфиденциальности потребителей. Тем не менее, в двух отчетах Конгрессу (1998, 2000) FTC обнаружила, что большинство сайтов, не подпадающих под юрисдикцию установленных законов о праве на неприкосновенность частной жизни, не информируют потребителей надлежащим образом о методах сбора, а большинство сайтов не обеспечивают адекватной защиты конфиденциальности личная информация посетителей.Похоже, что добровольный режим недостаточен, и перспектива дальнейшего принятия законодательства о праве на неприкосновенность частной жизни в области доступа к личной информации вполне реальна.

Китай принимает новый закон о конфиденциальности персональных данных, вступающий в силу 1 ноября

ШАНХАЙ, 20 августа (Рейтер) — Всекитайское собрание народных представителей в пятницу приняло закон, предназначенный для защиты конфиденциальности данных пользователей в Интернете, и с 1 ноября будет внедрять его политику. , сообщает государственное СМИ Синьхуа.

Принятие закона завершает еще одну опору в усилиях страны по регулированию киберпространства и, как ожидается, добавит дополнительные требования для компаний в стране.

Китай поручил своим технологическим гигантам обеспечить более безопасное хранение пользовательских данных на фоне публичных жалоб на бесхозяйственность и неправомерное использование, которые привели к нарушениям конфиденциальности пользователей.

Закон гласит, что обработка личной информации должна иметь четкую и разумную цель и ограничиваться «минимальным объемом, необходимым для достижения целей обработки» данных.

В нем также изложены условия, при которых компании могут собирать личные данные, в том числе получение согласия отдельного лица, а также изложены рекомендации по обеспечению защиты данных при передаче данных за пределы страны.

Закон также призывает обработчиков личной информации назначать лицо, отвечающее за защиту личной информации, а обработчиков — проводить периодические проверки для обеспечения соблюдения закона.

Второй проект закона о защите личной информации был обнародован в конце апреля.

Закон о защите личной информации, а также Закон о безопасности данных обозначают два основных постановления, которые будут регулировать Интернет в Китае в будущем.

Закон о безопасности данных вступает в силу с сентября.1, устанавливает основу для классификации данных компаниями на основе их экономической ценности и значимости для национальной безопасности Китая.

Закон о защите личной информации, тем временем, напоминает европейский GDPR при установлении основы для обеспечения конфиденциальности пользователей.

Оба закона потребуют от компаний в Китае изучить свои методы хранения и обработки данных, чтобы убедиться, что они соблюдаются, по мнению экспертов.

ГОРЯЧИЕ КОМПАНИИ

Эти законы были приняты на фоне более широкого ужесточения нормативных требований в отрасли со стороны китайских регулирующих органов, что потрясло как крупные, так и мелкие компании.

В июле Управление киберпространства Китая (CAC), его главный регулятор киберпространства, объявило, что начнет расследование в отношении китайского гиганта, занимающегося вызовом пассажиров, Didi Global Inc (DIDI.N) по обвинению в нарушении конфиденциальности пользователей.

Во вторник Государственная администрация Китая по регулированию рынка (SAMR) приняла обширный набор правил, направленных на улучшение честной конкуренции, запретив такие практики, как фальшивые онлайн-обзоры.

В январе поддерживаемая правительством Китайская ассоциация потребителей выступила с заявлением, в котором критиковала технологические компании за «запугивание» потребителей с целью совершения покупок и проведения рекламных акций.Подробнее .

С тех пор регулирующие органы регулярно ругают компании и приложения за нарушение конфиденциальности пользователей.

В среду Министерство промышленности и информационных технологий обвинило 43 приложения в незаконной передаче пользовательских данных и призвало их внести исправления до 24 августа. Подробнее.

В тот же день, когда «Синьхуа» объявило о принятии закона о конфиденциальности данных, Всекитайское собрание народных представителей опубликовало статью государственного средства массовой информации «Народный суд Daily», в которой хвалят этот закон.Он призвал организации, которые используют алгоритмы для «персонализированного принятия решений», такие как рекомендации, сначала получить согласие пользователя.

«Персонализация является результатом выбора пользователя, и истинные персонализированные рекомендации должны гарантировать свободу выбора пользователя без принуждения», — говорится в статье.

«Следовательно, пользователям должно быть дано право не использовать функции персонализированных рекомендаций».

Отчетность Джоша Хорвица; Под редакцией Майкла Перри и Марка Генриха

Наши стандарты: принципы доверия Thomson Reuters.

Китай принимает Закон о защите личной информации

20 августа 2021 г. Постоянный комитет Всекитайского собрания народных представителей 13 ^-й принял Закон о защите личной информации («PIPL»). Как мы уже сообщали, PIPL — это первый в Китае комплексный закон о защите данных. Он частично основан на комплексных режимах защиты данных в других юрисдикциях, включая Общий регламент ЕС по защите данных («GDPR»). PIPL вступит в силу 1 ноября 2021 года.Ниже приведены некоторые из ключевых положений PIPL.

Применение PIPL

PIPL будет регулировать деятельность по обработке личной информации, выполняемую юридическими или физическими лицами в Китае. Кроме того, аналогично GDPR, PIPL будет применяться к деятельности организации по обработке данных, осуществляемой за пределами Китая, и, следовательно, к организациям, не зарегистрированным в Китае, если организация обрабатывает личную информацию о физических лицах, находящихся в Китае, в контексте (1) предложения товары или услуги для людей в Китае, или (2) анализ и оценка поведения людей в Китае.

Структура обработки личной информации

PIPL устанавливает всеобъемлющую структуру, регулирующую обработку личной информации. Как и в случае с GDPR, закон требует, чтобы компании соблюдали определенные принципы защиты данных, включая минимизацию данных и ограничение целей. PIPL также требует, чтобы субъекты данных уведомляли субъектов данных, которые соответствуют установленным законом требованиям к содержанию.

Кроме того, как и GDPR, PIPL требует юридической основы для обработки личной информации, но правовые основы, доступные в рамках PIPL, уже, чем те, которые доступны в соответствии с GDPR.Согласно PIPL, «уведомление и согласие» является основной правовой основой для законной обработки. Таким образом, индивидуальное согласие, вероятно, будет основной правовой основой, на которую полагаются компании. Существуют исключения, когда необходимо уведомление и согласие, в зависимости от сложности и обстоятельств обработки личной информации. Например, организации могут обрабатывать личную информацию без предварительного получения согласия, если это необходимо для заключения или исполнения контракта. Кроме того, организации могут обрабатывать личную информацию без предварительного получения согласия, если это необходимо для целей управления персоналом.

Примечательно, что независимо от доступной правовой основы для обработки отдельное согласие требуется в следующих случаях:

раскрытие личной информации третьим лицам;
обработка «конфиденциальной» личной информации; и
передача личной информации за пределы Китая.

PIPL также определяет правила, регулирующие определенные виды деятельности по обработке ( например, , совместная обработка, обработка данных третьими сторонами, такими как поставщики, совместное использование данных, публикация личной информации и автоматизированное принятие решений), а также правила применимо к различным типам данных, таким как «конфиденциальная» личная информация.Кроме того, PIPL запрещает ценовую дискриминацию с использованием данных в отношении существующих клиентов.

Оценка безопасности и передача личной информации за пределы Китая

В соответствии с PIPL операторы и организации критически важной информационной инфраструктуры («CII»), которые обрабатывают определенный объем личной информации, превышающий объем, определяемый Администрацией киберпространства Китая («CAC»), должны (1) хранить локально в Китае личная информация, которую они собирают и генерируют в Китае, и (2) проходят государственную оценку безопасности в той степени, в которой они стремятся передать личную информацию за пределы Китая.Как отмечалось выше, все организации, включая операторов CII, также должны получить конкретное согласие от физических лиц перед передачей своих данных за пределы Китая.

Права субъектов данных и обязанности обработчика данных

Как мы ранее сообщали относительно более раннего проекта, PIPL предоставляет ряд прав субъектов данных, включая права доступа, исправления и удаления личной информации. Большинство обязательств по обработке данных в окончательной версии PIPL аналогичны тем, которые предусмотрены во втором проекте PIPL.

Органы защиты личной информации

Различные органы власти, включая CAC, соответствующие департаменты Государственного совета и департаменты местного самоуправления на нашем уровне выше уезда, будут иметь надзорные, плановые, координирующие и административные обязанности в соответствии с PIPL. Штрафы за серьезные нарушения PIPL включают штрафы на сумму чуть менее 50 миллионов юаней или 5% от выручки компании за предыдущий год.

Перевод: Закон Китайской Народной Республики о защите личной информации (вступает в силу с ноября 2017 г.)1, 2021)

Этот перевод был подготовлен Rogier Creemers и Graham Webster на основе более раннего перевода DigiChina второго пересмотренного проекта закона, который, в свою очередь, был основан на нашем переводе первого проекта, подготовленного Роджер Кримерс, Мингли Ши, Лорен Дадли и Грэм Вебстер.

[Обновлено 22 августа 2021 г., с рядом незначительных правок. Существенные изменения включают новую интерпретацию определения автоматизированного принятия решений в статье 73 и исправление слова «ответный» на более подходящее слово «ответный» в статье 43.Спасибо Джейми Хорсли за ценные комментарии и исправления. – Ред.]

ПЕРЕВОД

Закон Китайской Народной Республики о защите личной информации

(Принято на 30-м заседании Постоянного комитета 13-го Всекитайского собрания народных представителей 20 августа 2021 г.)

Содержание

Глава I: Общие положения
Глава II: Правила обработки личной информации
Раздел 1: Обычные положения
Раздел 2: Правила обработки конфиденциальной личной информации
Раздел 3: Особые положения по обработке Персональная информация, предоставленная государственными органами
Глава III: Правила трансграничного предоставления личной информации
Глава IV: Права физических лиц при работе с персональной информацией
Глава V: Обязанности лиц, обрабатывающих персональную информацию
Глава VI : Департаменты, выполняющие обязанности и ответственность по защите личной информации
Глава VII: Юридическая ответственность
Глава VIII: Дополнительные положения

Глава I: Общие положения

Статья 1: Настоящий Закон сформулирован на основе Конституции с целью защиты прав и интересов в отношении личной информации, стандартизации действий по обработке личной информации и содействия рациональному использованию личной информации.

Статья 2: Личная информация физических лиц пользуется правовой защитой; никакая организация или физическое лицо не может нарушать права и интересы физических лиц в отношении личной информации.

Статья 3: Настоящий Закон применяется к деятельности по обработке личной информации физических лиц в пределах Китайской Народной Республики.

Настоящий Закон также применяется в случае наличия одного из следующих обстоятельств при работе с персональной информацией физических лиц за пределами Китайской Народной Республики в границах Китайской Народной Республики:

Если целью является предоставление товаров или услуг физическим лицам внутри границ;
При анализе или оценке деятельности физических лиц внутри границ;
Другие обстоятельства, предусмотренные законами или административными постановлениями.

Статья 4: Личная информация — это все виды информации, записанные с помощью электронных или других средств, относящиеся к идентифицированным или идентифицируемым физическим лицам, за исключением информации после обработки анонимности.

Обработка личной информации включает сбор, хранение, использование, обработку, передачу, предоставление, раскрытие, удаление и т. Д. Личной информации.

Статья 5: При обращении с личной информацией должны соблюдаться принципы законности, правомерности, необходимости и искренности.Запрещается обрабатывать личную информацию вводящим в заблуждение, мошенническим, принудительным или другим способом.

Статья 6: Обработка личной информации должна иметь ясную и разумную цель и должна быть напрямую связана с целью обработки с использованием метода, имеющего наименьшее влияние на индивидуальные права и интересы.

Сбор личной информации должен быть ограничен минимальным объемом для реализации цели обработки, а чрезмерный сбор личной информации запрещен.

Статья 7: При обращении с личной информацией должны соблюдаться принципы открытости и прозрачности, при раскрытии правил обращения с личной информацией и четком указании цели, метода и объема обработки.

Статья 8: Обработка личной информации должна обеспечивать качество личной информации и избегать неблагоприятных последствий для индивидуальных прав и интересов из-за неточной или неполной личной информации.

Статья 9: Обработчики личной информации несут ответственность за свои действия по обработке личной информации и принимают необходимые меры для обеспечения безопасности личной информации, которую они обрабатывают.

Статья 10: Ни одна организация или физическое лицо не может незаконно собирать, использовать, обрабатывать или передавать личную информацию других лиц, или незаконно продавать, покупать, предоставлять или раскрывать личную информацию других лиц, или участвовать в деятельности по обработке личной информации, наносящей ущерб национальная безопасность или общественные интересы.

Статья 11: Государство создает структуру защиты личной информации для предотвращения и наказания действий, ущемляющих права и интересы личной информации, усиления пропаганды и просвещения по защите личной информации, а также содействия созданию благоприятных условий для защиты личной информации, с совместными усилиями. участие правительства, предприятий, соответствующих общественных организаций и широкой общественности.

Статья 12: Государство активно участвует в разработке международных правил [или норм] защиты личной информации, стимулирует международный обмен и сотрудничество в области защиты личной информации и способствует взаимному признанию правил [или норм] защиты личной информации. ], стандарты и т. д., с другими странами, регионами и международными организациями.

Глава II: Правила обработки личной информации

Раздел 1: Обычные положения

Статья 13: Обработчики личной информации могут обрабатывать личную информацию только в том случае, если они соответствуют одному из следующих обстоятельств:

Получение согласия физических лиц;
При необходимости заключить или выполнить договор, в котором физическое лицо является заинтересованной стороной, или при необходимости осуществлять управление человеческими ресурсами в соответствии с законно сформулированными трудовыми правилами и структурами и законно заключенными договорами;
Если необходимо для выполнения установленных законом обязанностей и ответственности или установленных законом обязательств;
При необходимости реагировать на внезапные инциденты со здоровьем или защищать жизнь и здоровье физических лиц или безопасность их имущества в чрезвычайных обстоятельствах;
Обработка личной информации в разумных пределах для реализации новостных сообщений, надзора за общественным мнением и других подобных действий в общественных интересах;
При обработке личной информации, раскрытой самими лицами или иным образом уже законно раскрытой, в разумных пределах в соответствии с положениями настоящего Закона.
Прочие обстоятельства, предусмотренные законами и административными постановлениями.

В соответствии с другими соответствующими положениями настоящего Закона при обращении с личной информацией необходимо получить индивидуальное согласие. Однако получение индивидуального согласия не требуется в соответствии с условиями пунктов 2–7 выше.

Статья 14: Если личная информация обрабатывается на основе индивидуального согласия, указанное согласие должно быть дано отдельными лицами при предварительном условии полной осведомленности и в добровольном и явном заявлении.Если законы или административные постановления предусматривают получение отдельного согласия или письменного согласия на обработку личной информации, эти положения должны соблюдаться.

В случае изменения цели обработки личной информации, метода обработки или категорий обрабатываемой личной информации согласие лица должно быть получено повторно.

Статья 15: Если личная информация обрабатывается на основании индивидуального согласия, люди имеют право отозвать свое согласие.Обработчики личной информации должны предоставить удобный способ отозвать согласие.

Если физическое лицо отзывает согласие, это не влияет на эффективность действий по обработке личной информации, предпринятых на основе индивидуального согласия до того, как согласие было отозвано.

Статья 16: Обработчики личной информации не могут отказывать в предоставлении продуктов или услуг на том основании, что физическое лицо не дает согласия на обработку своей личной информации или аннулирует свое согласие, за исключением случаев, когда обработка личной информации необходима для предоставления продуктов. или услуги.

Статья 17: Обработчики личной информации перед обработкой личной информации должны прямо, правдиво, точно и полностью уведомить физических лиц о следующих элементах, используя ясный и легко понимаемый язык:

Имя или личное имя и способ связи обработчика личной информации;
Цель обработки личной информации и методы обработки, категории обрабатываемой личной информации и срок хранения;
Способы и порядок реализации физическими лицами прав, предусмотренных настоящим Законом;
Необходимо уведомлять о других предметах, предусмотренных законами или административными постановлениями.

Если происходит изменение в вопросах, предусмотренных в предыдущем параграфе, физические лица должны быть уведомлены об изменении.

Если обработчики личной информации уведомляют о вопросах, предусмотренных в параграфе 1, посредством метода формулирования правил обработки личной информации, правила обработки должны быть общедоступными [раскрытыми] и удобными для чтения и хранения.

Статья 18: Обработчикам личной информации, работающим с личной информацией, разрешается не уведомлять физических лиц об элементах, предусмотренных в пункте 1 предыдущей статьи, при обстоятельствах, когда законы или административные постановления предусматривают, что конфиденциальность должна сохраняться или уведомление не требуется.

В чрезвычайных обстоятельствах, когда невозможно своевременно уведомить физических лиц в целях защиты жизни, здоровья и безопасности физических лиц, обработчики личной информации должны уведомить их после завершения чрезвычайных обстоятельств.

Статья 19: За исключением случаев, когда законами или административными постановлениями предусмотрено иное, сроками хранения личной информации должен быть самый короткий период, необходимый для реализации цели обработки личной информации.

Статья 20: Если два или более обработчика личной информации совместно принимают решение о цели обработки личной информации и методе обработки, они должны согласовать права и обязанности каждого. Однако указанное соглашение не влияет на права человека требовать от любого обработчика личной информации выполнения положений настоящего Закона.

Если обработчики личной информации, совместно обрабатывающие личную информацию, наносят ущерб правам и интересам в отношении личной информации, что приводит к ущербу, они несут солидарную ответственность в соответствии с законом.

Статья 21: Если обработчики личной информации поручают обработку личной информации, они должны заключить соглашение с доверенным лицом о цели доверенной обработки, сроках, способе обработки, категориях личной информации, мерах защиты, как а также права и обязанности обеих сторон и т. д., а также осуществлять надзор за действиями доверенного лица по обработке личной информации.

Доверенные лица обрабатывают личную информацию в соответствии с соглашением; они не могут обрабатывать личную информацию для целей обработки или методов обработки и т. д., сверх срока соглашения. Если договор о передаче не вступает в силу, является недействительным, был отменен или был прекращен, доверенное лицо должно вернуть личную информацию обработчику личной информации или удалить ее и не может ее сохранить.

Без согласия обработчика личной информации доверенное лицо не может в дальнейшем поручать обработку личной информации другим лицам.

Статья 22: Обработчики личной информации должны, если это необходимо для передачи личной информации в связи с слияниями, разделением, роспуском, объявлением банкротства и другими подобными причинами, уведомлять физических лиц об имени или личном имени принимающей стороны и способе связи.Принимающая сторона должна продолжать выполнять обязанности обработчика личной информации. Если принимающая сторона меняет первоначальную цель обработки или метод обработки, она должна снова уведомить об этом лицо, как это предусмотрено настоящим Законом.

Статья 23: Если обработчики личной информации предоставляют другим обработчикам личной информации личную информацию, которую они обрабатывают, они должны уведомить физических лиц об имени или личном имени получателя, их способе связи, цели обработки, методе обработки и личной информации. категории, и получить отдельное согласие от человека.Получатели должны обрабатывать личную информацию в рамках вышеупомянутых целей обработки, методов обработки, категорий личной информации и т. Д. Если получатели изменяют первоначальную цель обработки или методы обработки, они снова должны получить согласие человека.

Статья 24: Когда обработчики личной информации используют личную информацию для автоматизированного принятия решений, должны быть гарантированы прозрачность принятия решений и справедливость и справедливость результата обработки, и они не могут участвовать в необоснованном дифференцированном обращении с физических лиц в торговых условиях, таких как цена сделки и т. д.

Лица, осуществляющие рассылку информации или коммерческие продажи частным лицам с помощью автоматизированных методов принятия решений, должны одновременно предоставлять возможность не нацеливаться на индивидуальные характеристики или предоставлять этому человеку удобный способ отказаться.

Когда использование автоматизированного принятия решений приводит к принятию решений, которые в значительной степени влияют на права и интересы человека, они имеют право потребовать, чтобы обработчики личной информации объяснили этот вопрос, и они имеют право отказать обработчикам личной информации решения исключительно с помощью автоматизированных методов принятия решений.

Статья 25: Обработчики личной информации не могут раскрывать личную информацию, которую они обрабатывают; кроме случаев, когда они получают отдельное согласие.

Статья 26: Установка оборудования для сбора изображений или распознавания личности в общественных местах должна происходить в соответствии с требованиями обеспечения общественной безопасности и соблюдения соответствующих государственных постановлений, а также должны быть установлены четкие указательные знаки. Собранные личные изображения и личная идентификационная информация могут использоваться только в целях обеспечения общественной безопасности; его нельзя использовать для других целей, кроме случаев получения отдельного согласия отдельных лиц.

Статья 27: Обработчики личной информации могут в разумных пределах обрабатывать личную информацию, которая уже была раскрыта самим лицом или иным образом раскрыта на законных основаниях, за исключением случаев, когда лицо явно отказывается. Обработчики личной информации, обрабатывающие уже разглашенную личную информацию, в случаях, когда это существенно влияет на индивидуальные права и интересы, должны получить личное согласие в соответствии с положениями настоящего Закона.

Раздел II: Правила работы с конфиденциальной личной информацией

Статья 28: Конфиденциальная личная информация означает личную информацию, которая после утечки или незаконного использования может легко нанести ущерб достоинству физических лиц, серьезный ущерб личной или имущественной безопасности, включая информацию о биометрических характеристиках, религиозных убеждениях, специально предназначенных для этого. статус, медицинское состояние, финансовые счета, отслеживание местоположения и т. д., а также персональные данные несовершеннолетних в возрасте до 14 лет.

Обработчики личной информации могут обрабатывать конфиденциальную личную информацию только в случаях, когда есть конкретная цель и необходимость выполнения, и при обстоятельствах строгих мер защиты.

Статья 29: Для обработки конфиденциальной личной информации необходимо отдельное согласие человека. Если законы или административные постановления предусматривают получение письменного согласия на обработку конфиденциальной личной информации, эти положения должны соблюдаться.

Статья 30: Обработчики личной информации, обрабатывающие конфиденциальную личную информацию, в дополнение к пунктам, указанным в части 1 статьи 17 настоящего Закона, должны также уведомлять физических лиц о необходимости и влиянии на права и интересы физических лиц в отношении обработки конфиденциальной информации. конфиденциальная личная информация, за исключением случаев, когда настоящим Законом предусмотрено, что разрешено не уведомлять физических лиц.

Статья 31: Если обработчики личной информации обрабатывают личную информацию несовершеннолетних в возрасте до 14 лет, они должны получить согласие родителя или другого опекуна несовершеннолетнего.

Если обработчики личной информации обрабатывают личную информацию несовершеннолетних в возрасте до 14 лет, они должны сформулировать специальные правила обработки личной информации.

Статья 32: Если законы или административные постановления предусматривают получение соответствующих административных лицензий или применяются другие ограничения на обработку конфиденциальной личной информации, эти положения должны соблюдаться.

Раздел III: Особые положения о государственных органах, работающих с персональной информацией

Статья 33: Действие настоящего Закона распространяется на деятельность государственных органов по обращению с персональной информацией; там, где этот Раздел содержит особые положения, применяются положения настоящего Раздела.

Статья 34: Государственные органы, работающие с персональной информацией для выполнения своих уставных обязанностей и ответственности, осуществляют их в соответствии с полномочиями и процедурами, предусмотренными законами или административными постановлениями; они не могут выходить за рамки или пределы, необходимые для выполнения своих уставных обязанностей и ответственности.

Статья 35: Государственные органы, обрабатывающие личную информацию в целях выполнения установленных законом обязанностей и ответственности, должны выполнять обязанности по уведомлению, за исключением случаев, когда существуют обстоятельства, предусмотренные в пункте I статьи 18 настоящего Закона, или когда уведомление будет препятствовать государственным органам. выполнение своих уставных обязанностей и ответственности.

Статья 36: Личная информация, обрабатываемая государственными органами, хранится на материковой территории Китайской Народной Республики. Если действительно необходимо предоставить его за границу, должна быть проведена оценка безопасности. Соответствующие органы могут быть запрошены для поддержки и помощи в оценке безопасности.

Статья 37: Положения настоящего Закона, касающиеся обработки личной информации государственными органами, применяются к обработке личной информации в целях выполнения установленных законом обязанностей организациями, уполномоченными законами и нормативными актами управлять функциями по связям с общественностью.

Глава III: Правила трансграничного предоставления личной информации

Статья 38: Если обработчикам личной информации действительно необходимо предоставить личную информацию за пределами Китайской Народной Республики для ведения бизнеса или других подобных требований, они должны соответствовать одному из следующих условий:

Прохождение аттестации по безопасности, организованной Управлением государственной кибербезопасности и информатизации в соответствии со статьей 40 настоящего Закона;
Прохождение сертификации защиты персональной информации, проводимой специализированным органом в соответствии с положениями Государственного департамента кибербезопасности и информатизации;
Заключение договора с иностранной принимающей стороной в соответствии со стандартным договором, сформулированным Государственным управлением киберпространства и информатизации, согласование прав и обязанностей обеих сторон;
Прочие условия, предусмотренные законами или административными постановлениями или Государственным департаментом кибербезопасности и информатизации.

Если договоры или международные соглашения, которые Китайская Народная Республика заключила или к которой присоединилась, содержат соответствующие положения, такие как условия предоставления персональных данных за пределами Китайской Народной Республики, эти положения могут выполняться.

Обработчики личной информации должны принимать необходимые меры для обеспечения того, чтобы деятельность иностранных принимающих сторон по обработке личной информации соответствовала стандартам защиты личной информации, предусмотренным настоящим Законом.

Статья 39: Если обработчики личной информации предоставляют личную информацию за пределами Китайской Народной Республики, они должны уведомить физическое лицо об имени или личном имени иностранной принимающей стороны, способе связи, цели обработки, методах обработки и личных данных. категории информации, а также способы или процедуры, позволяющие физическим лицам осуществлять права, предусмотренные настоящим Законом, с иностранной принимающей стороной и другие подобные вопросы, а также получать отдельное согласие физических лиц.

Статья 40: Операторы критически важной информационной инфраструктуры и обработчики личной информации, обрабатывающие личную информацию, достигающую объемов, предоставляемых Государственным департаментом кибербезопасности и информатизации, должны хранить личную информацию, собранную и произведенную в пределах границ Китайской Народной Республики внутри страны. В случае необходимости предоставления за границей они должны пройти аттестацию безопасности, организованную Государственным управлением кибербезопасности и информатизации; если законы или административные постановления, а также положения Государственного департамента кибербезопасности и информатизации позволяют не проводить оценку безопасности, эти положения должны соблюдаться.

Статья 41: Компетентные органы Китайской Народной Республики, согласно соответствующим законам и договорам или международным соглашениям, к которым Китайская Народная Республика заключила или к которым присоединилась, или в соответствии с принципом равенства и взаимной выгоды, должны обращаться запросы иностранных судебных или правоохранительных органов о предоставлении личной информации, хранящейся внутри страны. Без одобрения компетентных органов Китайской Народной Республики обработчики личной информации не могут предоставлять личную информацию, хранящуюся на материковой территории Китайской Народной Республики, иностранным судебным или правоохранительным органам.

Статья 42: В случаях, когда иностранные организации или физические лица участвуют в действиях по обработке личной информации, нарушающих права и интересы граждан Китайской Народной Республики в отношении личной информации или наносящие ущерб национальной безопасности или общественным интересам Китайской Народной Республики, государственная кибербезопасность и отдел информатизации может внести их в список, ограничивающий или запрещающий предоставление личной информации, выносить предупреждение и принимать такие меры, как ограничение или запрещение предоставления им личной информации и т. д.

Статья 43: Если какая-либо страна или регион принимает дискриминационные запреты, ограничения или другие аналогичные меры против Китайской Народной Республики в области защиты личной информации, Китайская Народная Республика может принять ответные меры против указанной страны или региона на исходя из реальных обстоятельств.

Глава IV: Права физических лиц в деятельности по обработке личной информации

Статья 44: Физические лица имеют право знать и принимать решения в отношении их личной информации, а также имеют право ограничивать или отказываться от обработки своей личной информации другими лицами, если иное не предусмотрено законами или административными постановлениями.

Статья 45: Физические лица имеют право консультироваться и копировать свою личную информацию у обработчиков личной информации, за исключением случаев, предусмотренных пунктом 1 статьи 18 или статьей 35 настоящего Закона.

Если люди просят проконсультироваться или скопировать свою личную информацию, обработчики личной информации должны предоставить ее своевременно.

Если физические лица запрашивают передачу их личной информации назначенному ими обработчику личной информации в соответствии с условиями Государственного департамента кибербезопасности и информатизации, обработчики личной информации должны предоставить канал для ее передачи.

Статья 46: Если люди обнаруживают, что их личная информация является неправильной или неполной, они имеют право потребовать от обработчиков личной информации исправить или дополнить их личную информацию. Если люди просят исправить или дополнить свою личную информацию, обработчики личной информации должны проверить личную информацию и исправить или дополнить ее своевременно.

Если люди просят исправить или дополнить свою личную информацию, обработчики личной информации должны проверить личную информацию и своевременно исправить или дополнить ее.

Статья 47: Обработчики личной информации должны заблаговременно удалять личную информацию при возникновении одного из следующих обстоятельств; если обработчик личной информации не удалил ее, физические лица имеют право запросить удаление:

Цель обработки достигнута, достичь невозможно или [личная информация] больше не нужна для достижения цели обработки;
Обработчики личной информации прекращают предоставление продуктов или услуг, или срок хранения истек;
Физическое лицо отказывается от согласия;
Обработчики личной информации обрабатывали личную информацию в нарушение законов, административных правил или соглашений;
Другие обстоятельства, предусмотренные законами или административными постановлениями.

Если период хранения, предусмотренный законами или административными постановлениями, не истек или удаление личной информации технически сложно реализовать, обработчики личной информации должны прекратить обработку личной информации, за исключением хранения и принятия необходимых мер безопасности.

Статья 48: Физические лица имеют право требовать от обработчиков личной информации разъяснений правил обращения с личной информацией.

Статья 49: В случае смерти физического лица его ближайшие родственники могут в интересах своих законных законных интересов пользоваться правами, предусмотренными в настоящей главе, консультироваться, копировать, исправлять, удалять и т. Д., личная информация умершего, за исключением случаев, когда умерший договорился об ином перед своей смертью.

Статья 50: Обработчики личной информации должны создать удобные механизмы для приема и обработки заявлений от физических лиц для реализации своих прав. Если они отклоняют просьбы отдельных лиц об осуществлении своих прав, они должны объяснить причину.

Если обработчики личной информации отклоняют запросы отдельных лиц об осуществлении своих прав, физические лица могут подать иск в Народный суд в соответствии с законом.

Глава V: Обязанности обработчиков личной информации

Статья 51: Обработчики личной информации должны, исходя из цели обработки личной информации, методов обработки, категорий личной информации, а также влияния на права и интересы отдельных лиц, возможных существующих рисков безопасности и т. Д., Принять следующие меры для обеспечения того, чтобы обработка личной информации соответствовала положениям законов и административных постановлений, а также для предотвращения несанкционированного доступа, а также утечки, искажения или потери личной информации:

Разработка внутренних структур управления и правил работы;
Осуществление категорированного управления личной информацией;
Принятие соответствующих технических мер безопасности, таких как шифрование, деидентификация и т. Д.;
Разумное определение операционных ограничений для обработки личной информации и регулярное проведение обучения и тренингов по вопросам безопасности для сотрудников;
Разработка и организация реализации планов реагирования на инциденты, связанные с безопасностью личной информации;
Другие меры, предусмотренные законами или административными постановлениями.

Статья 52: Обработчики личной информации, которые обрабатывают личную информацию, достигающую объемов, предусмотренных Государственным департаментом кибербезопасности и информатизации, должны назначать сотрудников по защите личной информации, которые будут отвечать за надзор за действиями по обработке личной информации, а также за принятые меры защиты и т. Д.

Обработчики личной информации должны раскрывать методы связи с сотрудниками по защите личной информации, а также сообщать личные имена сотрудников и методы связи в отделы, выполняющие обязанности и ответственность по защите личной информации.

Статья 53: Обработчики личной информации за пределами Китайской Народной Республики, как это предусмотрено в пункте 2 статьи 3 настоящего Закона, должны создать специальную организацию или назначить представителя в пределах границ Китайской Народной Республики. нести ответственность за вопросы, связанные с личной информацией, которую они обрабатывают, и сообщать имя соответствующего лица или личное имя представителя, способ связи и т. д., Подразделениям, выполняющим обязанности и ответственность по защите персональной информации.

Статья 54: Обработчики личной информации должны регулярно проводить аудиторские проверки обработки их личной информации и соблюдения законов и административных постановлений.

Статья 55: При наличии одного из следующих обстоятельств обработчики личной информации должны заранее провести оценку воздействия на защиту личной информации и записать ситуацию обработки:

Обработка конфиденциальной личной информации;
Использование личной информации для автоматизированного принятия решений;
Поручение обработки личной информации, предоставление личной информации другим обработчикам личной информации или раскрытие личной информации;
Предоставление личной информации за границу;
Другая деятельность по обработке личной информации, оказывающая значительное влияние на отдельных лиц.

Статья 56: В содержание оценки воздействия на защиту персональной информации включаются:

Являются ли цель обработки личной информации, метод обработки и т. Д. Законными, законными и необходимыми;
Влияние на права и интересы людей и риски безопасности;
Являются ли предпринятые защитные меры законными, эффективными и соответствующими степени риска.

Отчеты об оценке воздействия на защиту личной информации и записи о статусе обращения должны храниться не менее трех лет.

Статья 57: В случае, если утечка, искажение или потеря личной информации произошла или могла произойти, обработчики личной информации должны немедленно принять меры по исправлению положения и уведомить отделы, выполняющие обязанности и ответственность по защите личной информации, а также отдельных лиц. Уведомление должно содержать следующие позиции:

Категории информации, причины и возможный ущерб, причиненный утечкой, искажением или потерей, которые произошли или могли произойти;
Меры по исправлению положения, предпринятые обработчиком личной информации, и меры, которые отдельные лица могут принять для уменьшения вреда;
Способ связи обработчика личной информации.

Если обработчики личной информации принимают меры, которые могут эффективно избежать ущерба, причиненного утечкой, искажением или потерей информации, обработчикам личной информации разрешается не уведомлять отдельных лиц; однако, если отделы, выполняющие обязанности и ответственность по защите личной информации, считают, что может быть причинен вред, они могут потребовать, чтобы обработчики личной информации уведомили людей.

Статья 58: Обработчики личной информации, предоставляющие важные услуги интернет-платформы, которые имеют большое количество пользователей и чьи бизнес-модели являются сложными, должны выполнять следующие обязательства:

Создать и дополнить системы и структуры защиты личной информации в соответствии с государственными постановлениями, а также создать независимый орган, состоящий в основном из внешних членов, для надзора за обстоятельствами защиты личной информации;
Соблюдайте принципы открытости, честности и справедливости; сформулировать правила платформы; и уточнить стандарты обработки личной информации поставщиками внутриплатформенных продуктов или услуг и их обязанности по защите личной информации;
Прекратить предоставление услуг поставщикам продуктов или услуг на платформе, которые серьезно нарушают законы или административные правила при обработке личной информации;
Регулярно выпускайте отчеты о социальной ответственности в области защиты личной информации и соглашайтесь с контролем общества.

Статья 59: Доверенные лица, принимающие на себя доверительную обработку личной информации, должны, в соответствии с положениями настоящего Закона и соответствующими законами и административными постановлениями, принимать необходимые меры для обеспечения безопасности личной информации, которую они обрабатывают, и помогать обработчикам личной информации. при исполнении обязанностей, предусмотренных настоящим Законом.

Глава VI: Департаменты, выполняющие обязанности и ответственность по защите личной информации

Статья 60: Государственный департамент кибербезопасности и информатизации несет ответственность за комплексное планирование и координацию работы по защите личной информации, а также за соответствующий надзор и работу по управлению.Соответствующие департаменты Государственного совета несут ответственность за защиту личной информации, надзор и управление в рамках своих соответствующих обязанностей и ответственности в соответствии с положениями настоящего Закона и соответствующими законами и административными постановлениями.

Обязанности и ответственность соответствующих департаментов правительства округа и выше по защите личной информации, надзору и управлению определяются в соответствии с положениями соответствующих штатов.

Департаменты, указанные в двух предыдущих параграфах, называются отделами, выполняющими обязанности и ответственность по защите личной информации.

Статья 61: Департаменты, выполняющие обязанности и ответственность по защите личной информации, выполняют следующие обязанности и ответственность по защите личной информации:

Проведение пропаганды и просвещения по вопросам защиты личной информации, а также руководство и надзор за проведением обработчиков личной информации работы по защите личной информации;
Прием и обработка жалоб и отчетов, связанных с защитой персональной информации;
Организация оценки ситуации с защитой личной информации, такой как используемые процедуры, и публикация результатов оценки.
Расследование и борьба с незаконными действиями, связанными с обработкой личной информации;
Другие обязанности и ответственность, предусмотренные законами или административными постановлениями.

Статья 62: Государственный департамент кибербезопасности и информатизации в целом координирует следующие работы по защите персональной информации соответствующими ведомствами:

Сформулировать конкретные правила и стандарты защиты персональной информации;
Сформулировать специализированные правила и стандарты защиты личной информации для небольших обработчиков личной информации, а также новые технологии и новые приложения для обработки конфиденциальной личной информации, распознавания лиц, искусственного интеллекта и т. Д.;
Поддерживать исследования, разработку и широкое внедрение безопасной и удобной технологии электронной аутентификации личности, а также способствовать созданию общедоступных онлайн-сервисов аутентификации личности;
Продвигать создание сервисных систем для социализации защиты личной информации и поддерживать соответствующие организации в запуске услуг по оценке и сертификации защиты личной информации;
Совершенные механизмы защиты личной информации, жалоб и отчетности.

Статья 63: Когда отделы, выполняющие обязанности и ответственность по защите личной информации, выполняют обязанности и ответственность по защите личной информации, они могут принимать следующие меры:

Проведение собеседований с соответствующими заинтересованными сторонами и расследование обстоятельств, связанных с деятельностью по обработке личной информации;
Консультации и воспроизведение контрактов, записей и квитанций заинтересованной стороны, а также других соответствующих материалов, относящихся к деятельности по обработке личной информации;
Проведение проверок на местах и расследование подозрений в незаконной работе с личной информацией;
Проверка оборудования и предметов, имеющих отношение к деятельности по обработке личной информации; и при наличии доказательств того, что оборудование или предметы используются для незаконной деятельности по обработке личной информации, после письменного уведомления главного ответственного лица своего отдела и получения разрешения они могут запечатать или конфисковать их.

Если подразделения, выполняющие обязанности и ответственность по защите личной информации, выполняют свои обязанности и ответственность в соответствии с законом, заинтересованные стороны должны оказывать помощь и сотрудничать, и они не могут препятствовать или препятствовать им.

Статья 64: В тех случаях, когда отделы, выполняющие обязанности и ответственность по защите личной информации, обнаруживают относительно большие риски, связанные с деятельностью по обработке личной информации или происходят инциденты, связанные с безопасностью личной информации, они могут провести беседу с законным представителем обработчика личной информации или основным ответственным лицом в соответствии с регулирующие полномочия и процедуры или требуют, чтобы обработчики личной информации поручали специализированным учреждениям проводить аудиты соответствия их деятельности по обработке личной информации.Обработчики личной информации должны принять меры в соответствии с требованиями для исправления ситуации и устранения уязвимости.

Если отделы, выполняющие обязанности и ответственность по защите личной информации, обнаруживают в ходе выполнения своих обязанностей незаконное обращение с личной информацией, которая подозревается в составлении преступления, они должны незамедлительно передать дело в органы общественной безопасности для обработки в соответствии с законом.

Статья 65: Любая организация или физическое лицо имеет право подать жалобу или сообщить о незаконных действиях по обработке личной информации в отделы, выполняющие обязанности и ответственность по защите личной информации.Департаменты, получающие жалобы или отчеты, должны обрабатывать их быстро и в соответствии с законом и уведомлять лицо, подавшее жалобу или сообщающее о результатах рассмотрения.

Департаменты, выполняющие обязанности и ответственность по защите личной информации, должны публиковать методы связи для приема жалоб и отчетов.

Глава VII: Юридическая ответственность

Статья 66: Если обработка личной информации осуществляется в нарушение настоящего Закона или если личная информация обрабатывается без выполнения обязанностей по защите личной информации в соответствии с положениями настоящего Закона, департаменты, выполняющие обязанности и ответственность по защите личной информации, должны потребовать исправления, конфисковывать незаконный доход и отдавать распоряжение о временной приостановке или прекращении предоставления услуг прикладным программам, незаконно обрабатывающим личную информацию; в случае отказа в исправлении дополнительно налагается штраф в размере не более 1 миллиона юаней; непосредственное ответственное лицо и другой непосредственно ответственный персонал должны быть оштрафованы на сумму от 10 000 до 100 000 юаней.

Если обстоятельства противоправных действий, упомянутых в предыдущем параграфе, являются серьезными, отделы провинциального или вышестоящего уровня, выполняющие обязанности и ответственность по защите личной информации, должны отдать приказ об исправлении, конфисковать незаконный доход и наложить штраф в размере не более 50 миллионов. Юаней, или 5% годового дохода. Они также могут приказать приостановить соответствующую коммерческую деятельность или прекратить деятельность для исправления и сообщить в соответствующий компетентный департамент об аннулировании соответствующих административных лицензий или аннулировании бизнес-лицензий.Непосредственно ответственное лицо и другой непосредственно ответственный персонал должны быть оштрафованы на сумму от 100000 до 1 миллиона юаней, а также может быть принято решение запретить им занимать должности директора, руководителя, менеджера высокого уровня или сотрудника по защите личной информации за определенный период.

Статья 67: В случае совершения противоправных действий, предусмотренных настоящим Законом, они будут занесены в кредитные досье, как это предусмотрено соответствующими законами и административными постановлениями, и преданы гласности.

Статья 68: В случае невыполнения государственными органами обязанностей по защите личной информации, предусмотренных настоящим Законом, их вышестоящие органы или подразделения, выполняющие обязанности и ответственность по защите личной информации, выносят постановление об исправлении; непосредственно ответственное лицо и другие непосредственно ответственные лица подлежат наказанию в соответствии с законом.

Если сотрудники отделов, выполняющих обязанности по защите личной информации, нарушают служебные обязанности, злоупотребляют своими полномочиями или занимаются фаворитизмом, но еще не являются преступлением, к ним применяются санкции в соответствии с законом.

Статья 69: Если обработка личной информации нарушает права и интересы в отношении личной информации и приводит к ущербу, и обработчики личной информации не могут доказать, что они не виноваты, они несут компенсацию и другие несут ответственность за нарушение.

В приведенном выше пункте ответственность за компенсацию за нарушение определяется в соответствии с понесенными в результате убытками для физического лица или полученными выгодами обработчика личной информации.В тех случаях, когда потери для лица и выгоды лица, обрабатывающего личную информацию, трудно определить, размер компенсации определяется в соответствии с практическими условиями.

Статья 70: В случаях, когда обработчики личной информации обрабатывают личную информацию в нарушение положений настоящего Закона, ущемляя права и выгоды многих лиц, Народной прокуратуры, установленных законом организаций потребителей и организаций, назначенных Государством кибербезопасности и информатизации. Департамент может подать иск в Народный суд в соответствии с законом.

Статья 71: Если нарушение положений настоящего Закона является нарушением управления общественной безопасностью, наказание в отношении управления общественной безопасностью налагается в соответствии с законом; если это составляет преступление, уголовная ответственность подлежит расследованию в соответствии с законом.

Глава VIII: Дополнительные положения

Статья 72: Действие настоящего Закона не распространяется на физических лиц, обрабатывающих личную информацию в личных или семейных целях.

Если закон содержит положения об обработке личной информации правительствами на всех уровнях и их соответствующими департаментами и организациями, осуществляющими статистическую и архивную деятельность, применяются эти положения.

Статья 73: В настоящем Законе используются следующие термины:

«Обработчик личной информации» относится к организациям и частным лицам, которые в процессе обработки личной информации самостоятельно принимают решение о целях обработки.
«Автоматизированное принятие решений» относится к деятельности по использованию компьютерных программ для автоматического анализа или оценки личного поведения, привычек, интересов или хобби, финансового, медицинского, кредитного или другого статуса и принятия решений [на основе этого].
«Деидентификация» относится к процессу обработки личной информации, чтобы гарантировать невозможность идентификации конкретных физических лиц без поддержки дополнительной информации.
«Анонимизация» относится к процессу обработки личной информации, чтобы сделать невозможным различение конкретных физических лиц и невозможность восстановления.

Статья 74: Настоящий Закон вступает в силу с 1 ноября 2021 года.

КИТАЙСКИЙ ЯЗЫК ОРИГИНАЛ

中华人民共和国个人信息保护法

（2021 8 月 20 第十三届全国人民大会常务委员会第三十次会议通过）

：中国人大网 2021 08 20 16:53:44

第一章总则

第一条 为了保护个人信息权益，个人信息处理活动，促进个人利用，根据宪法，制定本法。

第二条 的个人信息受法律保护，任何组织、个人不得侵害的个人信息权益。

第三条 在中华人民共和国境内处理自然人个人信息的活动，适用本法。

中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

（一）以向境内自然人提供子或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。

第四条 是以子或者其他记录的与已识别可的自然人有关的各种信息，不包括的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供公开、删除等。

第五条 处理个人信息应当遵循合法正当、必要和诚信原则，误导、欺诈、胁迫等方式个人信息。

第六条 信息具有明确合理的目的，并应当与处理目的直接相关，采取对个人权益影响小的方式。

收集个人信息，应当实现处理目的的最小范围，不得过度收集个人信息。

第七条 个人信息应当遵循公开透明原则，公开个人处理的目的、方式和范围。

第八条 个人信息应当保证个人信息的质量，避免因个人信息、不完整对个人权益影响。

第九条 个人信息者应当对其个人处理活动负责，并必要处理的个人信息的安全。

第十条 任何组织、个人不得非法、使用、加工、他人信息不得、提供或者公开他人个人危害国的个人信息000 处理 9000

第十一条 家建立健全个人制度预防和惩治侵害个人的的行为，加强个人信息保护宣传教育，政府、企业、相关参与个人环境。

第十二条 家积极参与个人保护规则的制定，促进个人信息方面的国际交流与合作，推动的家、地区、国际

第二章个人信息处理规则

第一节一般规定

第十三条 符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照制定的劳动规章制度和的集体合同人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者情况下为保护自然人的生命健康财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法的个人信息；

（七）法律、行政法规规定的其他情形。

本法其他有关规定，处理个人信息取得个人同意，但是有前款第二项规定的，不需取得个人同意。

第十四条 基于同意个人信息的，该同意应当由的前提下自愿、明确作出。法律规定处理个人或者其规定。

信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

第十五条 同意个人信息的，个人有权撤回其同意。处理者应当提供的撤回同意的方式。

撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第十六条 处理不同意处理其个人信息或者子或者；属于

第十七条 信息处理者在处理信息前，应当以著易懂的语言真实、、完整个人下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开便于保存。

第十八条 处理者处理，有法律、行政法规不需要告知的情形的，可以不条第一款规定。

情况为保护的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况后及时告知。

第十九条 法律、法规另有，个人信息的保存期限处理目的所必要的最短时间。

第二十条 两个.要求行使本法规定的权利。

信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当连带责任。

第二十一条 个人信息处理者委托信息的，应当与受托人的目的、期限、处理方式、的保护受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理信息；的的不生效、无效终止者或者删除，不得保留。

未经个人信息处理者同意，受托人不得转他人处理个人信息。

第二十二条 个人信息处理者因分立、解散、被宣告破产转移个人信息的，应当向个人方的名称或者方应当信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照规定重新取得个人同意。

第二十三条 个人处理信息处理者提供其的个人信息的，应当向个人告知接收方的名称姓名、联系方式和的的，应当向接收方的姓名、，并取得个人的单独同意。接收在处理目的、处理方式和的种类等的处理个人原先同意。

第二十四条 个人处理者利用进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人价格等交易条件待遇。

自动化决策方式向个人进行推送、业针对的选项，或者向个人提供的拒绝方式。

通过自动化决策方式作出对个人重大影响的决定，个人有权个人者予以说明，并有权拒绝者仅通过自动化决策的方式作出决定。

第二十五条 个人处理者不得公开其处理的个人信息，取得个人单独的除外。

第二十六条 在公共场所安装图像个人身份识别设备，应当为公共安全必需，家有关规定，的提示标识图像、身份信息能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

第二十七条 个人信息处理者合理的范围内处理自行已经公开的个人信息；个人权益有重大影响的，应当依照本法规定取得个人同意。

第二节敏感个人信息的处理规则

第二十八条 敏感个人信息是或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到的的，包括金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

在具有特定的目的和充分的必要性，并采取严格保护措施的情形下个人信息处理处理个人信息。

第二十九条 处理个人取得个人的单独同意；法律、法规规定处理敏感个人信息取得书面同意的，从其规定。

第三十条 处理者处理信息的，除本法第十七条款的事项的还应当向个人的；依照本法规定可以不向个人告知的除外。

第三十一条 个人信息处理者不满十四未成年人个人信息的，应当取得未成年人的父母或者的同意。

信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

第三十二条 法律、行政法规对敏感个人信息规定应当取得相关作出其他的，从其规定。

第三节国家机关处理个人信息的特别规定

第三十三条 家机关处理个人信息的活动，适用本法；本节特别规定的，适用本节规定。

十四条 家机关为履行法定职责处理个人信息，应当法律的权限、程序进行，法定职责所必需的范围和。

第三十五条 家机关为履行法定处理个人信息，应当本法告知义务；有本法第十八第一的情形，或者告知家机关履行法定职责的除外。

第三十六条 家机关处理的个人信息应当在中华人民共和国境内存储；境外提供的，应当进行安全评估。有关部门提供支持与协助。

第三十七条 法律、法规授权的具有管理公共事务职能的组织为履行处理个人的的关于家机关处理信息规定。

第三章个人信息跨境提供的规则

第三十八条 个人处理者业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收订立，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照执行。

信息应当采取必要措施，保障境外接收方处理个人信息的活动本法的个人信息保护标准。

十九条 个人信息处理中华人民共和国境外提供个人信息的，应当境外目的名称或者姓名向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

第四十条 关键信息基础设施运营处理个人信息达到国家网信部门规定数量的个人信息处理者，的华人民共和国中华人民共和国境内收集和的个人信息存储在境内。向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和家网信部门规定可以安全的，从其规定。

第四十一条 中华人民共和国主管机关有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法提供存储的请求。非经中华人民共和国主管批准，个人信息处理者不得向外国司法或者执法机构中华人民共和国境内的个人信息。

第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益危害中华人民共和国国家安全、公共的个人信息处理限制或者禁止个人信息提供清单公告，并采取限制或者禁止向其提供个人信息等措施。

第四十三条 家或者地区在信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该家或者地区对等。

第四章个人在个人信息处理活动中的权利

十四条 个人信息的处理享有知情权、决定权，有权拒绝他人对其的信息进行处理；法律法规另有规定

第四十五条 个人向个人处理者查阅、复制其个人信息有本法第十八第一款、第三十五条的除外。

个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。

请求信息转移至指定的个人信息处理者，符合国家网信部门规定条件的，个人信息者转移的途径。

第四十六条 个人其个人准确或者不完整的，有权信息处理者更正、补充。

请求更正、补充其个人信息的，个人信息处理者应当对其个人信息，并及时更正、补充。

第四十七条 有情形之一的，个人信息处理者应当主动删除信息个人信息处理者未删除的，有权请求删除：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；

（二）个人信息处理者停止提供子或者服务，或者保存期限已届满；

（三）个人撤回同意；

（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

（五）法律、行政法规规定的其他情形。

、行政规定的保存期限未届满或者删除个人信息从技术上难以实现的，个人信息处理者应当停止的安全保护措施。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

第四十九条 自然人死亡的，亲属为了自身的合法、的相关个人信息行使死者除外。

第五十条 应当建立便捷的个人行使权利的申请受理和。个人的请求的，应当说明理由。

个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

第五章个人信息处理者的义务

第五十一条 个人信息处理者应当根据信息的处理目的、处理方式、信息的种类以及对个人权益的影响的安全风险法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件预案；

（六）法律、行政法规规定的其他措施。

第五十二条 处理个人信息家网信部门规定数量的个人信息处理应当指定个人信息保护负责人的个人信息处理活动以及进行监督

信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息负责人的姓名、联系方式等报送履行部门。

第五十三条 本法第三条第二款的中华人民共和国境外的个人信息处理者在中华人民共和国境内设立专门机构或者指定处理个人信息保护，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、的情况进行合规审计。

第五十五条 有情形之一的，个人信息处理者应当事前进行信息保护影响，并对处理情况记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

第五十六条 个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第五十七条 发生或者可能发生泄露、篡改、丢失的，个人者立即采取补救措施的个人信息保护职责通知应当 000 下列

（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因可能造成的危害；

（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；

（三）个人信息处理者的联系方式。

信息者采取措施能够避免、篡改、丢失造成危害的，个人信息处理者的不个人；部门个人。

第五十八条 提供重要互联网平台用户数量大、业务类型复杂的个人信息处理者，应当履行义务：

（一）按照国家规定建立健全个人信息合规制度体系，成立外部组成的独立机构对个人信息情况进行监督；

（二）遵循公开公平、公正的原则，制定平台规则，明确平台内子或者服务提供的个人信息的规范保护信息义务；

（三）对严重违反法律、行政个人信息的平台内的产子或者提供者，停止服务；

（四）定期发布个人信息保护社会责任社会监督。

第五十九条 接受委托处理个人信息的受托人，应当依照本法有关行政法规的规定，采取必要措施处理者法规定的义务。

第六章履行个人信息保护职责的部门

第六十条 家网信部门统筹协调个人信息保护工作和相关。国务院有关部门依照本法和有关法律的规定，在职责范围负责信息和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

第六十一条 个人信息保护职责的部门履行下列个人信息保护职责：

（一）开展个人信息保护宣传教育，、监督个人信息处理者开展个人保护工作；

（二）接受、处理与个人信息保护有关的投诉、举报；

（三）组织对应用程序等个人信息保护情况进行测评，并公布测评结果；

（四）调查、处理违法个人信息处理活动；

（五）法律、行政法规规定的其他职责。

第六十二条 家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：

（一）制定个人信息保护具体规则、标准；

（二）针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能技术应用，制定的个人信息保护规则、标准；

（三）支持研究开发和推广应用安全、方便的电子身份认证技术网络服务建设；

（四）推进个人信息保护社会化服务体系建设，支持有关机构开展认证服务；

（五）完善个人信息保护投诉、举报机制。

第六十三条 履行个人信息保护职责的部门履行个人信息保护职责，可以下列措施：

（一）询问有关当事人，调查与个人信息处理活动有关的情况;

（二）查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;

（三）实施现场检查，对涉嫌违法的个人信息处理活动进行调查;

（.

履行个人信息保护职责的部门依法履行职责，当事人应当予以协助、配合，、阻挠。

第六十四条 履行个人信息的部门在履行职责中，发现个人信息处理活动存在大风险或者发生的的，可以对该的负责人进行要求信息处理者委托专业机构对其信息活动进行合规审计。个人应当按照要求采取，进行消除隐患

信息保护的部门在履行职责中，发现违法处理个人信息涉嫌的，应当及时移送公安机关依法处理。

第六十五条 任何组织、个人违法个人信息处理活动履行信息职责的部门进行投诉、举报。、举报部门，处理投诉、举报人。

履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。

第七章法律责任

第六十六条 违反本法规定处理信息，或者处理个人信息未履行的个人信息的义务的，由履行对违法处理个人信息的应用程序，责令或者终止提供服务；拒不改正的，并处万元以下罚款；对直接负责的主管和其他直接责任人员一万元以上十万元以下罚款。

前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处一年度营业额百分之以下罚款，并可以责令暂停相关业务或者停业整顿通报有关主管部门吊销相关业务许可或者吊销执照；对直接负责的主管人员直接责任人员处十以上一百罚款，可以禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人负责人。

十七条 有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并。

第六十八条 家机关不履行本法规定的个人信息保护义务的，由其机关或者履行个人信息保护职责的；对直接负责给予

个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成的，依法给予处分。

第六十九条 处理个人信息侵害权益造成损害，个人信息处理自己的，应当承担损害赔偿等侵权责任。

规定的损害赔偿责任按照因此的损失或者个人信息处理因此的利益确定; 个人因此受到的损失赔偿.

第七十条 个人信息处理者违反处理个人信息，侵害众多的权益的，人民检察院、法律规定的消费者家网提起诉讼。

第七十一条 违反本法规定，违反治安管理行为的，依法给予治安管理犯罪的，依法追究刑事责任。

第八章附则

第七十二条 自然人因个人或者家庭事务处理个人信息的，不适用本法。

对有关部门组织实施的统计、档案管理活动中的个人信息规定的，适用规定。

十三条 本法下列用语的含义：

（一）个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

（二）自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

（三）去标识化，是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

（四）匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。

第七十四条 　本法自2021年11月1日起施行。

Self-Defense Law: Overview — FindLaw

It’s a universally accepted principle that a person may protect themselves from harm under appropriate circumstances, even when that behavior would normally constitute a crime.В правовой системе Соединенных Штатов каждый штат позволяет обвиняемому требовать самообороны, когда он обвиняется в насильственном преступлении, как и федеральное правительство.

Однако конкретные правила, касающиеся самообороны, различаются от юрисдикции к юрисдикции. В этой статье предлагаются объяснения общих понятий, из которых состоит закон о самообороне в США, но вам следует проверить законы вашей конкретной юрисдикции, чтобы понять конкретные требования к заявлению о самообороне.

Что такое самооборона?

Самооборона определяется как право предотвращать страдания с применением силы или насилия посредством использования достаточного уровня противодействия силе или насилию.Это определение достаточно простое на первый взгляд, но вызывает много вопросов в применении к реальным ситуациям.

Например, какой уровень силы или насилия достаточен при защите? Что выходит за рамки этого уровня? Что, если нападение спровоцировала предполагаемая жертва? Должны ли жертвы по возможности избегать насилия? Что происходит, когда жертвы разумно воспринимают угрозу, даже если угрозы на самом деле не существует? Что делать, если опасения жертвы субъективно искренни, но объективно необоснованны?

Как видите, закон о самообороне сложнее, чем кажется на первый взгляд.Чтобы справиться с бесчисленным множеством ситуаций, когда возникает самооборона, государства разработали правила, определяющие, когда самооборона разрешена, и сколько силы жертва может использовать, чтобы защитить себя. Как уже упоминалось, точные правила различаются между штатами, но соображения в основном одинаковы.

Является ли угроза неминуемой?

Как правило, самооборона оправдывает применение силы только тогда, когда она используется в ответ на непосредственную угрозу. Угроза может быть вербальной, если она вызывает у предполагаемой жертвы непосредственный страх физического вреда.Однако оскорбительные слова без сопутствующей угрозы непосредственного физического вреда не оправдывают применения силы в целях самообороны.

Более того, применение силы в целях самообороны обычно теряет оправдание после того, как угроза исчезла. Например, если агрессор нападает на жертву, но затем прекращает нападение и указывает, что угрозы насилия больше нет, то угроза опасности исчезла. Любое применение силы жертвой против нападавшего в этот момент будет считаться ответным, а не самообороной.

Был ли страх причинения вреда разумным?

Иногда самооборона оправдана, даже если предполагаемый агрессор на самом деле не причинял предполагаемой жертве какого-либо вреда. В этих ситуациях важно то, осознал ли «разумный человек» в той же ситуации непосредственную угрозу физического вреда. Концепция «разумного человека» — это юридическое самомнение, которое на практике может толковаться по-разному, но это лучший инструмент правовой системы для определения того, оправдывает ли восприятие человеком неминуемой опасности применение защитной силы.

Для иллюстрации представьте двух незнакомцев, проходящих мимо друг друга в городском парке. Незаметно для одного, над его головой жужжит пчела. Другой человек видит это и, пытаясь быть дружелюбным, быстро тянется к другому, чтобы попытаться отогнать пчелу. Человек с пчелой у головы видит, как чужая рука метнулась к его лицу, и сильно отбивает руку другого человека.

Хотя обычно это было бы равносильно нападению, суд мог легко найти, что внезапное движение руки незнакомца к лицу человека заставило бы разумного человека сделать вывод, что ему угрожает непосредственная физическая опасность, что потребовало бы применения принудить к оправданному осуществлению права на самооборону.И все это несмотря на то, что предполагаемый нападавший не имел в виду никакого вреда; на самом деле он действительно пытался помочь!

Несовершенная самозащита

Иногда человек может искренне бояться неминуемого физического вреда, который объективно необоснован. Если человек использует силу для защиты от предполагаемой угрозы, ситуация известна как «несовершенная самооборона». Несовершенная самооборона не освобождает человека от совершения преступления, связанного с применением насилия, но может уменьшить связанные с этим обвинения и наказания.Однако не каждое государство признает несовершенную самозащиту.

Например, человек ждет друга в кафе. Когда друг приходит, он идет к другому человеку, протягивая руку для рукопожатия. Человек, который ждал, искренне опасается, что его друг собирается напасть на него, хотя этот страх совершенно необоснован. Чтобы избежать предполагаемой угрозы, человек бьет своего друга по лицу. Хотя заявление человека о самообороне не избавит его от каких-либо уголовных обвинений из-за необоснованного характера его восприятия, это может снизить тяжесть обвинений или возможное наказание.

Некоторые штаты также рассматривают случаи, когда лицо, заявляющее о самообороне, спровоцировало нападение, как несовершенную самозащиту. Например, если человек создает конфликт, который перерастает в насилие, а затем непреднамеренно убивает другую сторону, защищаясь, заявление о самообороне может уменьшить обвинения или наказание, но не может полностью оправдать убийство.

Пропорциональный ответ

Закон о самообороне требует, чтобы реакция соответствовала уровню рассматриваемой угрозы.Другими словами, человек может применить столько силы, сколько требуется для устранения угрозы. Если угроза связана с применением смертоносной силы, защищающийся человек может применить смертоносную силу для противодействия угрозе. Однако, если угроза предполагает лишь незначительную силу и лицо, заявляющее о самообороне, применяет силу, которая может причинить тяжкие телесные повреждения или смерть, требование о самообороне будет отклонено.

Обязанность отступить

Первоначальные законы о самообороне требовали, чтобы люди, заявляющие о самообороне, сначала попытались избежать насилия, прежде чем применять силу.Это также известно как «обязанность отступить». Хотя большинство штатов удалили это правило для случаев, связанных с применением несмертельной силы, многие штаты по-прежнему требуют, чтобы человек предпринял попытку избежать ситуации, прежде чем применять смертоносную силу.

Стойте на своем

В отличие от обязанности отступать, многие штаты приняли так называемые законы «стоять на своем». Эти законы отменяют обязанность отступать и позволяют требовать самообороны, даже если истец не сделал ничего, чтобы спастись от угрозы насилия.Как упоминалось выше, это более распространенное правило, когда ситуации связаны с несмертельной силой. Однако в случае применения смертоносной силы законы государства о самообороне разделяются по принципу «стой на своем».

Доктрина Замка

Даже в штатах, которые требуют, чтобы человек отступил от угрозы неминуемого вреда, прежде чем защищать себя, человек может часто использовать смертоносную силу против кого-то, кто незаконно проникает в их дом. Это правило, также известное как «доктрина замка», позволяет людям защищать свои дома от злоумышленников с помощью смертоносной силы.Как и в большинстве этих правил, точный результат будет зависеть от юрисдикции и конкретных обстоятельств дела, поэтому всегда полезно проконсультироваться с юристом, чтобы узнать больше.

Нужна помощь с заявлением о самообороне?

Заявления о самообороне довольно распространены, и правила, касающиеся ситуаций, в которых человек может защитить себя, и количества силы, которое ему разрешено использовать, могут быть сложными. Все можно сделать намного проще, посоветовавшись с компетентным местным юристом.Найдите ближайшего к вам опытного адвоката по уголовным делам одним нажатием кнопки.

Китай принимает закон о защите данных — TechCrunch

Китай принял закон о защите персональных данных, сообщает государственное СМИ Синьхуа (через Reuters).

Закон, называемый Законом о защите личной информации (PIPL), вступает в силу 1 ноября.

Это было предложено в прошлом году — сигнализируя о намерении коммунистических лидеров Китая расправиться со сбором недобросовестных данных в коммерческой сфере путем введения юридических ограничений на сбор данных пользователей.

Новый закон требует, чтобы производители приложений предлагали пользователям варианты того, как их информация используется или не используется, например, возможность не подвергаться таргетингу в маркетинговых целях или проводить маркетинг, основанный на личных характеристиках, сообщает Синьхуа.

Он также требует от обработчиков данных получать согласие от частных лиц, чтобы иметь возможность обрабатывать конфиденциальные типы данных, такие как биометрия, медицинские данные и данные о состоянии здоровья, финансовая информация и данные о местоположении.

Приложения, которые незаконно обрабатывают данные пользователей, рискуют приостановить или прекратить их обслуживание.

Любые западные компании, ведущие бизнес в Китае, связанный с обработкой личных данных граждан, должны бороться с экстерриториальной юрисдикцией закона — это означает, что иностранные компании столкнутся с нормативными требованиями, такими как необходимость назначать местных представителей и отчитываться перед надзорными органами в Китае.

На первый взгляд, основные элементы нового режима защиты данных в Китае отражают требования, давно закрепленные в законодательстве Европейского Союза, где Общий регламент по защите данных (GDPR) предоставляет гражданам полный набор прав на защиту их личных данных, включая установление столь же высокой планки. о согласии на обработку того, что в законодательстве ЕС называется «данными особой категории», например данными о здоровье (хотя в других странах существуют различия в том, какая личная информация считается наиболее конфиденциальной в соответствии с соответствующими законами о данных).

GDPR также носит экстерриториальный характер.

Но контекст, в котором будет действовать китайский закон о защите данных, также, конечно, очень отличается — не в последнюю очередь с учетом того, как китайское государство использует обширную операцию по сбору данных, чтобы следить и контролировать поведение своих собственных граждан.

Любые ограничения, которые PIPL может наложить на возможности китайских правительственных ведомств по сбору данных о гражданах — государственные органы были охвачены проектами закона — могут быть не более чем прикрытием, чтобы обеспечить фольгу для продолжения сбора данных китайскими коммунистами. Аппарат государственной безопасности партии (КПК) при дальнейшем укреплении централизованного контроля над правительством.

Также еще предстоит увидеть, как ЦКА может использовать новые правила защиты данных для дальнейшего регулирования — некоторые могут сказать, что это укрощение — мощи отечественного технологического сектора.

Он предпринимал жесткие меры в этом секторе различными способами, используя изменения в законодательстве в качестве рычага воздействия на таких гигантов, как Tencent. Например, ранее в этом месяце Пекин подал гражданский иск против технологического гиганта, сославшись на утверждения о том, что молодежный режим его приложения для обмена сообщениями WeChat не соответствует законам о защите несовершеннолетних.

PIPL предоставляет китайскому режиму гораздо больше возможностей для атак, чтобы наложить ограничения на местные технологические компании.

И не тратит время зря на атаки на методы интеллектуального анализа данных, которые являются обычным явлением среди западных технологических гигантов, но теперь, похоже, столкнутся с растущими трениями, если они будут развернуты компаниями в Китае.

Reuters отмечает, что Всекитайское собрание народных представителей ознаменовало принятие закона сегодня, опубликовав статью государственного средства массовой информации People’s Court Daily, в которой хвалят закон и содержится призыв к организациям, которые используют алгоритмы для «персонализированного принятия решений» — например, системы рекомендаций — сначала получить согласие пользователя.

Цитируя статью, он пишет: «Персонализация — это результат выбора пользователя, и истинные персонализированные рекомендации должны обеспечивать свободу выбора пользователя без принуждения. Следовательно, пользователям должно быть дано право не использовать функции персонализированных рекомендаций ».

Конечно, растет озабоченность по поводу алгоритмического таргетинга и за пределами Китая.

В Европе законодатели и регулирующие органы призывают к более жестким ограничениям на поведенческую рекламу — поскольку блок находится в процессе переговоров по ряду новых цифровых правил, которые расширят его полномочия по регулированию сектора, таких как предлагаемый Закон о цифровых рынках и Закон о цифровых услугах.

Регулирование Интернета, несомненно, является новым геополитическим полем битвы, поскольку регионы соревнуются за формирование будущего потоков данных в соответствии со своими экономическими, политическими и социальными целями.

Закон о защите личной информации в Китае: технические аспекты

Китай недавно опубликовал полный текст долгожданного Закона о защите личной информации. По мере приближения даты вступления в силу мы даем обзор ключевых технических соображений, которые необходимо учитывать компаниям, чтобы соответствовать новому закону, включая возможные подводные камни и советы о том, какие функции должны быть разработаны и применены к существующим ИТ-системам.

20 августа Китай опубликовал полный окончательный текст Закона о защите личной информации (PIPL), первого такого закона, когда-либо принятого в стране. Этот новый закон, вступающий в силу с 1 ноября 2021 года, наряду с Законом о безопасности данных и Законом о кибербезопасности , Китай создал свою собственную обширную правовую сферу безопасности и защиты личной информации.

Мы ожидаем, что эти законы окажут глубокое влияние на бизнес-операции в Китае в отношении управления безопасностью и конфиденциальностью, так же как и общие правила защиты данных Европейского Союза (GDPR) в остальном мире.Это также создаст больше проблем для иностранных компаний, ведущих бизнес в Китае.

В этой статье мы даем техническую перспективу основных концепций и важных положений закона, а также даем некоторые предложения по созданию совместимых ИТ-систем для рассмотрения иностранными компаниями.

Технические аспекты соответствия PIPL

Для людей, знакомых с GDPR, положения PIPL в значительной степени не станут неожиданностью, поскольку основные концепции двух законов в основном одинаковы.Другими словами, PIPL «позаимствовал» некоторые концепции из GDPR, хотя есть еще некоторые незначительные отличия. Чтобы соответствовать требованиям PIPL, компаниям необходимо учитывать множество технических аспектов, особенно в отношении ИТ-инфраструктуры, системных приложений и проектирования. Ниже мы перечисляем несколько важных моментов, которые необходимо учитывать при приведении ИТ-систем в соответствие с законом.

Соображения при проектировании ИТ-инфраструктуры

Многие иностранные компании, ведущие бизнес в Китае, уже создали зрелую и универсальную ИТ-инфраструктуру, локальную или облачную, перед тем, как войти в Китай.Поэтому использование одной и той же платформы для деловых операций Китая часто является естественным выбором.

Однако статья 40 PIPL требует, чтобы личные данные, собранные и созданные «операторами критически важной информационной инфраструктуры (CII) и обработчиками личной информации, которые обрабатывают личную информацию, достигающую объема, установленного Администрацией киберпространства Китая», должны храниться в Китае. Это требование локализации данных означает, что иностранные компании должны рассмотреть возможность развертывания автономной ИТ-инфраструктуры для своего бизнеса в Китае.

Несмотря на то, что PIPL указывает, что прохождение «оценки безопасности, организованной Администрацией киберпространства Китая» может послужить «зеленым светом» для трансграничной передачи личной информации, согласно нашим прочтениям, на практике все равно будут возникать большие проблемы, поскольку нет руководства по эксплуатации. или процедура еще не опубликована. Недавний обзор безопасности Didi , китайского гиганта, приветствующего езду, является первым случаем такой оценки безопасности в Китае, однако этот процесс проверки безопасности не касался исключительно защиты личной информации.

Что касается трансграничной передачи данных, важно отметить, что даже если данные хранятся в Китае в автономной ИТ-инфраструктуре, они все равно будут рассматриваться как трансграничная передача, если пользователь за пределами Китая имеет удаленный доступ к данным. Очень важно, чтобы ИТ-отдел компании учитывал это при проектировании ИТ-инфраструктуры.

Соображения по поводу дизайна приложения

PIPL предоставляет пользователям несколько прав на использование их личной информации, некоторые из которых потребуют от компаний особого внимания при разработке и применении своих ИТ-систем.

Ниже мы приводим некоторые ключевые статьи, на которые следует обратить внимание.

Автоматическое принятие решений и профилирование: Статья 24 требует, чтобы обработчик данных предоставлял пользователям альтернативный вариант или возможность отказаться от использования своих личных характеристик для маркетинга и проталкивать информацию через автоматизированные механизмы принятия решений. Это означает, что система должна иметь возможность получать обратную связь от получателей и исключать определенных пользователей из механизмов автоматического принятия решений, что требует особого внимания при разработке системы.Мы ожидаем, что достижение баланса между сбором огромных объемов личной информации для анализа, внедрением автоматического принятия решений и защитой прав людей станет большой проблемой для крупных маркетинговых услуг, основанных на данных.

Запрос, копирование, исправление и удаление личных данных: Статьи с 45 по 47 предусматривают право физических лиц запрашивать, какие личные данные собираются и хранятся обработчиком данных. Они также позволяют пользователям запрашивать копию своих личных данных, исправлять любую неточную личную информацию и удалять свою личную информацию при отзыве согласия или прекращении использования продукта или услуги.Поэтому компаниям необходимо подумать о том, как быстро найти личную информацию каждого пользователя в ИТ-системе, и заранее определить способ экспорта копии и ее доставки пользователю. Компаниям также необходимо рассмотреть способы сделать запись каждого пользователя «независимой», чтобы гарантировать, что удаление записи одного пользователя не повлияет на другие существующие или используемые данные.

Несколько замечаний:

Право на удаление требует, чтобы компания рассмотрела вопрос о развертывании универсальной платформы для сохранения связанных личных данных, чтобы данные можно было легко найти и удалить из любого места.На практике часто возникает проблема, когда данные удаляются только из действующей системы, а другая копия хранится в резервной системе. Следует рассмотреть заранее определенную политику хранения для автоматического удаления данных по истечении срока их действия, что является хорошим способом соблюдения требований статьи 47 (1). Обработчик данных должен заранее удалить данные после истечения согласованного периода хранения или достижения цели обработки данных.
Компаниям также необходимо спланировать разумный механизм аутентификации для точного распознавания пользователя, который делает запрос или запрашивает копию, обновление или удаление.«Разумный» означает соблюдение баланса между сбором достаточного количества личной идентификационной информации для аутентификации пользователя и страхованием от повышенных рисков, связанных с ответственностью за большие объемы потенциально конфиденциальных данных. В недавнем случае хакер смог запросить обновление контактной информации другого пользователя, изменив номер телефона пользователя на свой собственный. Затем хакер использовал свой номер телефона для «аутентификации» личности жертвы, сбросил пароль учетной записи и, в конечном итоге, получил полный доступ к данным жертвы.Этот случай иллюстрирует проблему аутентификации человека при получении запроса.
Статья 49 также предусматривает, что права физического лица осуществляются его или ее ближайшими родственниками в случае смерти физического лица. Это представляет собой еще большую проблему для обработчиков данных, которым также необходимо уметь распознавать и аутентифицировать ближайших родственников пользователя.

Разделение и маскирование данных: Компаниям следует рассмотреть способы разделения конфиденциальной личной информации по разным системам или базам данных или, по крайней мере, по разным таблицам в одной базе данных.Это сделано для снижения риска того, что полные и полные записи личной информации будут переданы или доступны, когда для цели обработки данных может потребоваться доступ только к части записи.

Например, сотруднику отдела обслуживания клиентов, который отвечает за опрос клиентов, потребуется только доступ к номеру телефона или адресу электронной почты клиента. Им не потребуется доступ ко всей записи клиента, которая может содержать конфиденциальную информацию, такую как домашний адрес и данные кредитной карты.

Маскирование данных — еще один хороший способ скрыть конфиденциальную информацию, при этом позволяя персоналу получать доступ к другим неконфиденциальным данным. Как маскирование данных, так и разделение личной информации — это методы, которые следует учитывать и планировать при проектировании и применении ИТ-системы, поскольку внесение изменений после развертывания системы может быть трудным и дорогостоящим.

Соображения относительно мер надзора

Биометрические данные, например, используемые для распознавания лиц и отпечатков пальцев, считаются конфиденциальной личной информацией. Поэтому для этого требуются особые процедуры защиты и обработки, включая отдельное согласие, как описано в разделе выше. Обработчик данных должен учитывать особые соображения при реализации мер наблюдения.

Ниже приведены некоторые ключевые аспекты, которые следует учитывать:

Распознавание лиц: Эта область имеет огромное значение для китайских законодателей. 27 июля 2021 года Верховный народный суд опубликовал судебное толкование использования технологий распознавания лиц для обработки личной информации, которое требует от компаний «раскрывать правила обработки информации о лицах и четко указывать цель, метод и объем обработки. ». Судебное толкование также запрещает использование «объединения согласия (для обработки информации о лице пользователя) с любым другим разрешением».Нарушение этого пункта будет рассматриваться как «посягательство на права личности и интересы физического лица». Поэтому обработчики данных должны рассмотреть возможность создания автономных уведомлений о конфиденциальности для раскрытия информации, связанной с распознаванием лиц, и получения отдельного явного согласия на обработку информации о лицах, как ранее описано в разделе о разработке интерфейса конфиденциальности. Кроме того, в систему следует включить альтернативный вариант, если распознавание лиц в настоящее время является единственным вариантом аутентификации.Компании, которые вынуждали пользователей входить в систему, входить в офис или регистрировать посещаемость с помощью распознавания лиц, не предлагая какой-либо альтернативы, в последние годы подверглись критике, и этот пункт направлен на устранение такого неправомерного использования личной информации.

Отпечатки пальцев: По сравнению с распознаванием лиц, использование отпечатков пальцев для аутентификации имеет гораздо более широкую область применения и широко используется для входа в здания и офисы. Как и в случае с распознаванием лиц, информация об отпечатках пальцев относится к категории конфиденциальной личной информации и, следовательно, подлежит тем же мерам и соображениям, что и распознавание лиц.

CCTV: Обычной практикой является развертывание камер видеонаблюдения вокруг или внутри офисных помещений, заводов и других рабочих мест по соображениям безопасности. Данные мониторинга с камер видеонаблюдения должны хорошо управляться, а разрешение на доступ предоставляется только ограниченному количеству людей. Что еще более важно, данные, собранные с камер видеонаблюдения, должны использоваться только в явных целях, таких как безопасность, и не могут использоваться для других целей, таких как маркетинговые услуги. Обработчики данных должны принять заранее определенные политики для регулирования использования и доступа к данным видеонаблюдения, особенно для систем видеонаблюдения, которые загружают данные внешнему поставщику по беспроводной сети.

Защита прав пользователей с помощью соответствующих ИТ-систем

PIPL значительно ограничивает многие из злоупотреблений данными, которые преследуют китайских потребителей в течение многих лет, и делает все возможное, чтобы защитить права пользователей на конфиденциальность и контроль над их личной информацией.

Как мы видели из недавних репрессий в отношении мобильных приложений и поставщиков онлайн-услуг, PIPL, вероятно, будет строго выполняться.

Таким образом, соблюдение требований имеет решающее значение, чтобы оставаться на правильной стороне закона. Учитывая негативную реакцию общественности на неправомерное использование данных в Китае, справедливые и прозрачные методы обработки данных также важны для поддержания здоровых отношений с вашими пользователями и клиентами.

Обеспечение соответствия ИТ-инфраструктуры и систем является ключом к достижению этой цели. Мы надеемся, что перечисление некоторых общих проблем, с которыми компании могут столкнуться во время работы, поможет повысить осведомленность о требованиях, и что компании примут незамедлительные меры для защиты личной информации своих пользователей.

В ближайшие месяцы мы продолжим публиковать новые статьи с предложениями о процессах и передовых методах соблюдения PIPL и других законов о безопасности данных.

О нас

China Briefing написано и произведено Dezan Shira & Associates. Эта практика помогает иностранным инвесторам в Китае и делает это с 1992 года через офисы в Пекине, Тяньцзине, Даляне, Циндао, Шанхае, Ханчжоу, Нинбо, Сучжоу, Гуанчжоу, Дунгуане, Чжуншане, Шэньчжэне и Гонконге.

В Китае принят новый закон о защите персональных данных_Russian.news.cn

Закон Калифорнии о защите персональных данных потребителей (CCPA): вопросы и ответы

Основные вопросы и ответы

Что такое CCPA?

Кому необходимо знать о CCPA?

Когда закон CCPA вступает в силу?

Как CCPA повлияет на мою компанию?

Исчерпывающие вопросы и ответы

Реализацию каких прав компании обязаны обеспечить в соответствии с CCPA?

Какую информацию необходимо предоставить в соответствии с CCPA?

Как продаются данные в рамках CCPA?

Что означают «Бизнес» и «Поставщики услуг» в контексте CCPA?

Какой штраф предусмотрен для компаний за несоблюдение требований?

Что предпринимает корпорация Майкрософт, чтобы добиться соответствия требованиям CCPA?

Какие средства можно использовать при подготовке организации к CCPA?

Чем различаются GDPR и CCPA?

Что такое «Процессоры» и «Контроллеры»?

Что именно считается личными сведениями?

Как CCPA применяется к детям?

Как насчет персональных данных сотрудников?

Нужно ли мне как пользователю Майкрософт реализовать элемент управления отказом в отношении передачи данных в корпорацию Майкрософт?

Обзор нового Закона о защите персональных данных

Вводится определение персональных данных

Детализируются основания для обработки персональных данных

Появляются требования к согласию

Закон регламентирует вопросы передачи персональных данных

У субъектов появляются права распоряжаться своими данными

Китайские парламентарии разрабатывают закон о защите персональных данных

В Китае принят новый закон о защите персональных данных

рассказываем, что меняется для бизнеса — OfficeLife

Закон о защите персональных данных: рассказываем, что меняется для бизнеса

Изменения внутри компании

Передача данных

Приведение продуктов компании в соответствие

Работа с клиентами

В Китае приняли новый закон о защите персональных данных. Он заработает с первого ноября

Личная информация | Wex | Закон США

право на неприкосновенность частной жизни: доступ к личной информации

Китай принимает новый закон о конфиденциальности персональных данных, вступающий в силу 1 ноября

Китай принимает Закон о защите личной информации

Перевод: Закон Китайской Народной Республики о защите личной информации (вступает в силу с ноября 2017 г.)1, 2021)

ПЕРЕВОД

Закон Китайской Народной Республики о защите личной информации

Содержание

Глава I: Общие положения

Глава II: Правила обработки личной информации

Раздел 1: Обычные положения

Раздел II: Правила работы с конфиденциальной личной информацией

Раздел III: Особые положения о государственных органах, работающих с персональной информацией

Глава III: Правила трансграничного предоставления личной информации

Глава IV: Права физических лиц в деятельности по обработке личной информации

Глава V: Обязанности обработчиков личной информации

Глава VI: Департаменты, выполняющие обязанности и ответственность по защите личной информации

Глава VII: Юридическая ответственность

Глава VIII: Дополнительные положения

中华人民共和国 个人 信息 保护 法

目 录

第一 章 总 则

第二 章 个人 信息 处理 规则

第一节 一般 规定

第二节 敏感 个人 信息 的 处理 规则

第三节 国家 机关 处理 个人 信息 的 特别 规定

第三 章 个人 信息 跨境 提供 的 规则

第四 章 个人 在 个人 信息 处理 活动 中 的 权利

第五 章 个人 信息 处理 者 的 义务

第六 章 履行 个人 信息 保护 职责 的 部门

第七 章 法律 责任

第八 章 附 则

Self-Defense Law: Overview — FindLaw

Что такое самооборона?

Является ли угроза неминуемой?

Был ли страх причинения вреда разумным?

Несовершенная самозащита

Пропорциональный ответ

Обязанность отступить

Стойте на своем

Доктрина Замка

Нужна помощь с заявлением о самообороне?

Китай принимает закон о защите данных — TechCrunch

Закон о защите личной информации в Китае: технические аспекты

中华人民共和国个人信息保护法

目录

第一章总则

第二章个人信息处理规则

第一节一般规定

第二节敏感个人信息的处理规则

第三节国家机关处理个人信息的特别规定

第三章个人信息跨境提供的规则

第四章个人在个人信息处理活动中的权利

第五章个人信息处理者的义务

第六章履行个人信息保护职责的部门

第七章法律责任

第八章附则