Hukum Perlindungan Informasi Pribadi Republik Rakyat Tiongkok
(Diadopsi pada Rapat 30th Panitia Tetap Kongres Rakyat Nasional Ketiga Belas pada tanggal 20 Agustus 2021)
Bab I
Pasal 1 Undang-undang ini dibuat sesuai dengan Konstitusi untuk tujuan melindungi hak dan kepentingan atas informasi pribadi, mengatur kegiatan pemrosesan informasi pribadi, dan mendorong penggunaan informasi pribadi secara wajar.
Pasal 2 Informasi pribadi orang perseorangan harus dilindungi oleh hukum. Tidak ada organisasi atau individu yang boleh melanggar hak dan kepentingan individu atas informasi pribadi mereka.
Pasal 3 Undang-undang ini berlaku untuk pemrosesan informasi pribadi orang perseorangan di dalam wilayah Republik Rakyat Tiongkok.
Undang-undang ini juga berlaku untuk pemrosesan di luar wilayah Republik Rakyat Tiongkok atas informasi pribadi orang perseorangan di dalam wilayah Republik Rakyat Tiongkok, dalam salah satu keadaan berikut:
(1) untuk tujuan menyediakan produk atau layanan untuk orang perseorangan di dalam Republik Rakyat Tiongkok;
(2) menganalisis atau mengevaluasi perilaku orang perseorangan di dalam wilayah Republik Rakyat Tiongkok; dan
(3) keadaan lain sebagaimana ditentukan oleh hukum atau peraturan administratif.
Pasal 4 "Informasi pribadi" mengacu pada berbagai informasi yang berkaitan dengan seseorang yang teridentifikasi atau dapat diidentifikasi yang direkam secara elektronik atau dengan cara lain, tetapi tidak termasuk informasi yang dianonimkan.
Pemrosesan informasi pribadi termasuk pengumpulan, penyimpanan, penggunaan, pemrosesan, transmisi, penyediaan, pengungkapan, dan penghapusan informasi pribadi, antara lain.
Pasal 5 Informasi pribadi harus diproses menurut hukum jika diperlukan, dengan alasan yang dibenarkan, dan dengan itikad baik, dan pemrosesan tersebut tidak boleh melibatkan penyesatan, penipuan, pemaksaan, dan sejenisnya.
Pasal 6 Pemrosesan informasi pribadi harus didasarkan pada tujuan yang jelas dan wajar dan terkait langsung dengan tujuan tersebut, dan harus memberikan dampak minimal pada hak dan kepentingan individu.
Pengumpulan informasi pribadi harus dibatasi pada cakupan minimum yang diperlukan untuk tujuan pemrosesan, dan informasi pribadi tidak boleh dikumpulkan secara berlebihan.
Pasal 7 Prinsip keterbukaan dan transparansi harus diperhatikan dalam pemrosesan informasi pribadi, aturan untuk pemrosesan informasi pribadi harus diungkapkan, dan tujuan, sarana, dan ruang lingkup pemrosesan harus ditunjukkan secara eksplisit.
Pasal 8 Kualitas informasi pribadi harus dijamin dalam pengolahan informasi pribadi, untuk menghindari dampak buruk terhadap hak dan kepentingan individu yang disebabkan oleh informasi pribadi yang tidak akurat dan tidak lengkap.
Pasal 9 Pemroses informasi pribadi bertanggung jawab atas aktivitas pemrosesan informasi pribadi mereka dan mengambil tindakan yang diperlukan untuk memastikan keamanan informasi pribadi yang mereka proses.
Pasal 10 Tidak ada organisasi atau individu yang secara ilegal mengumpulkan, menggunakan, memproses, atau mengirimkan informasi pribadi orang lain, atau secara ilegal memperdagangkan, memberikan atau mengungkapkan informasi pribadi orang lain, atau terlibat dalam aktivitas pemrosesan informasi pribadi yang membahayakan keamanan atau kerugian nasional kepentingan publik.
Pasal 11 Negara harus membangun dan meningkatkan sistem perlindungan informasi pribadi untuk mencegah dan menghukum pelanggaran hak dan kepentingan atas informasi pribadi, memperkuat publisitas dan pendidikan tentang perlindungan informasi pribadi, dan mempromosikan lingkungan yang menguntungkan bagi pemerintah, perusahaan, organisasi industri terkait. , dan masyarakat untuk bersama-sama berpartisipasi dalam perlindungan informasi pribadi.
Pasal 12 Negara akan secara aktif terlibat dalam pengembangan aturan internasional tentang perlindungan informasi pribadi, mempromosikan pertukaran internasional dan kerjasama dalam perlindungan informasi pribadi, dan mendorong saling pengakuan aturan dan standar perlindungan informasi pribadi, antara lain dengan negara lain, kawasan , dan organisasi internasional.
Bab II Aturan Pemrosesan Informasi Pribadi
Bagian 1 Aturan Umum
Pasal 13 Pemroses informasi pribadi dapat memproses informasi pribadi seseorang hanya jika salah satu dari keadaan berikut terjadi:
(1) persetujuan individu telah diperoleh;
(2) pemrosesan diperlukan untuk kesimpulan atau pelaksanaan kontrak di mana individu menjadi salah satu pihak, atau diperlukan untuk manajemen sumber daya manusia sesuai dengan aturan dan peraturan perburuhan yang ditetapkan sesuai dengan hukum dan kontrak bersama yang ditandatangani sesuai dengan dengan hukum;
(3) pemrosesan diperlukan untuk pelaksanaan tugas atau kewajiban menurut undang-undang;
(4) pemrosesan diperlukan untuk menanggapi keadaan darurat kesehatan masyarakat, atau untuk perlindungan kehidupan, kesehatan, dan keselamatan properti orang-orang dalam keadaan darurat;
(5) informasi pribadi diproses secara wajar untuk pelaporan berita, pengawasan media, dan kegiatan lain yang dilakukan untuk kepentingan umum;
(6) informasi pribadi yang diungkapkan oleh individu itu sendiri atau informasi pribadi individu yang diungkapkan secara sah lainnya diproses secara wajar sesuai dengan Undang-undang ini; dan
(7) keadaan lain sebagaimana diatur oleh undang-undang atau peraturan administratif.
Persetujuan individu harus diperoleh untuk memproses informasi pribadi jika ada ketentuan lain yang relevan dari Undang-undang ini, kecuali dalam keadaan yang ditentukan dalam Sub-ayat (2) sampai (7) dari paragraf sebelumnya.
Pasal 14 Jika pemrosesan informasi pribadi didasarkan pada persetujuan individu, persetujuan individu harus bersifat sukarela, eksplisit, dan diinformasikan sepenuhnya. Jika undang-undang atau peraturan administratif lainnya menetapkan bahwa persetujuan terpisah atau persetujuan tertulis dari seseorang harus diperoleh untuk memproses informasi pribadi, ketentuan tersebut akan berlaku.
Dalam hal terjadi perubahan tujuan atau sarana pemrosesan informasi pribadi, atau kategori informasi pribadi yang diproses, persetujuan baru harus diperoleh dari individu tersebut.
Pasal 15 Jika pemrosesan informasi pribadi didasarkan pada persetujuan individu, seseorang berhak untuk menarik persetujuannya. Pemroses informasi pribadi harus menyediakan cara yang nyaman bagi individu untuk menarik persetujuan mereka.
Pencabutan persetujuan tidak akan mempengaruhi keabsahan kegiatan pemrosesan yang dilakukan berdasarkan persetujuan sebelum dicabut.
Pasal 16 Pengolah informasi pribadi tidak boleh menolak untuk menyediakan produk atau layanan bagi individu dengan alasan bahwa individu tersebut menahan persetujuannya untuk pemrosesan informasi pribadinya atau telah menarik persetujuannya untuk pemrosesan informasi pribadi, kecuali jika pemrosesan informasi pribadi informasi pribadi diperlukan untuk penyediaan produk atau layanan.
Pasal 17 Pemroses informasi pribadi harus, sebelum memproses informasi pribadi, dengan jujur, akurat, dan sepenuhnya menginformasikan seseorang tentang hal-hal berikut dengan cara yang mudah diketahui dan dalam bahasa yang jelas dan mudah dipahami:
(1) nama dan informasi kontak pemroses informasi pribadi;
(2) tujuan dan sarana pemrosesan informasi pribadi, serta kategori dan periode penyimpanan informasi pribadi yang akan diproses;
(3) tata cara dan tata cara orang perseorangan untuk menggunakan haknya sebagaimana diatur dalam Undang-undang ini; dan
(4) hal-hal lain yang harus diberitahukan kepada orang tersebut sebagaimana diatur oleh undang-undang dan peraturan administratif.
Jika masalah apa pun sebagaimana diatur dalam paragraf sebelumnya berubah, individu tersebut harus diberitahu tentang perubahan tersebut.
Jika pemroses informasi pribadi memberi tahu seseorang tentang hal-hal yang ditentukan dalam paragraf pertama dengan merumuskan aturan pemrosesan informasi pribadi, aturan pemrosesan harus dipublikasikan dan mudah untuk dikonsultasikan dan disimpan.
Pasal 18 Saat memproses informasi pribadi, pemroses informasi pribadi diizinkan untuk tidak memberi tahu individu tentang hal-hal yang ditentukan dalam paragraf pertama pasal sebelumnya di mana undang-undang atau peraturan administratif mewajibkan kerahasiaan atau tidak memberikan persyaratan untuk pemberitahuan tersebut.
Jika tidak mungkin untuk memberi tahu individu secara tepat waktu dalam upaya untuk melindungi kehidupan, kesehatan, dan keselamatan properti individu dalam keadaan darurat, pemroses informasi pribadi harus memberi tahu mereka tanpa penundaan setelah keadaan darurat dihilangkan.
Pasal 19 Kecuali ditentukan lain oleh undang-undang dan peraturan administratif, periode penyimpanan informasi pribadi adalah waktu minimum yang diperlukan untuk mencapai tujuan pemrosesan.
Pasal 20 Apabila dua atau lebih pemroses informasi pribadi bersama-sama menentukan tujuan dan cara pemrosesan informasi pribadi tertentu, mereka harus mencapai kesepakatan tentang hak dan kewajiban masing-masing dalam memproses informasi pribadi. Namun demikian, perjanjian ini tidak mempengaruhi permintaan seseorang kepada salah satu dari mereka untuk menggunakan haknya sebagaimana diatur dalam Undang-undang ini.
Jika, dalam memproses informasi pribadi tertentu secara bersama-sama, pengolah melanggar hak dan kepentingan atas informasi pribadi dan menyebabkan kerugian, pengolah informasi pribadi lainnya akan menanggung tanggung jawab bersama dan beberapa sesuai dengan hukum.
Pasal 21 Pengolah informasi pribadi yang mempercayakan pemrosesan informasi pribadi tertentu kepada suatu pihak harus mencapai kesepakatan dengan pihak yang dipercayakan mengenai tujuan, jangka waktu dan cara pemrosesan, kategori informasi pribadi yang akan diproses dan tindakan perlindungan, serta hak dan kewajiban kedua belah pihak, antara lain, dan mengawasi kegiatan pengolahan informasi pribadi pihak yang dipercayakan.
Pihak yang dititipkan harus memproses informasi pribadi sesuai dengan perjanjian dan tidak boleh memproses informasi pribadi di luar tujuan, sarana, dan ketentuan lain yang disepakati. Jika kontrak perwalian tidak berlaku, atau tidak sah, atau dicabut atau dihentikan, pihak yang dipercayakan harus mengembalikan informasi pribadi yang bersangkutan kepada pemroses informasi pribadi atau menghapusnya dan tidak akan menyimpan informasi pribadi tersebut.
Tanpa persetujuan dari pemroses informasi pribadi, pihak yang dipercayakan tidak boleh mensubkontrakkan pemrosesan informasi pribadi kepada pihak lain mana pun.
Pasal 22 Apabila pemroses informasi pribadi perlu mentransfer informasi pribadi karena penggabungan, pembagian, pembubaran, atau kebangkrutan atau karena alasan lain, pemroses harus memberi tahu individu nama dan informasi kontak penerima informasi pribadi yang ditransfer. Penerima harus terus melakukan kewajiban pemroses informasi pribadi tersebut. Setiap perubahan tujuan awal atau cara pemrosesan oleh penerima harus mendapat persetujuan individu sesuai dengan Undang-undang ini.
Pasal 23 Untuk memberikan informasi pribadi untuk pengolah lain, pengolah informasi pribadi harus menginformasikan individu nama penerima dan informasi kontak, tujuan dan cara pemrosesan dan kategori informasi pribadi yang akan diproses, dan harus mendapatkan informasi pribadi terpisah dari individu. izin. Penerima harus memproses informasi pribadi dalam lingkup tujuan, sarana, dan kategori informasi pribadi yang disebutkan di atas. Setiap perubahan tujuan atau cara pemrosesan oleh penerima harus mendapat persetujuan individu sesuai dengan Undang-undang ini.
Pasal 24 Pemroses informasi pribadi yang menggunakan informasi pribadi untuk pengambilan keputusan otomatis harus memastikan transparansi pengambilan keputusan dan keadilan dan ketidakberpihakan hasil, dan tidak boleh menerapkan perlakuan berbeda yang tidak wajar kepada individu dalam hal harga transaksi dan kondisi transaksi lainnya.
Dorongan informasi dan pemasaran komersial kepada individu berdasarkan pengambilan keputusan otomatis harus secara bersamaan disertai dengan opsi yang tidak spesifik untuk karakteristik pribadi mereka atau dengan cara yang nyaman bagi individu untuk menolak.
Jika keputusan yang mungkin memiliki dampak signifikan pada hak dan kepentingan individu dibuat melalui pengambilan keputusan otomatis, individu tersebut berhak untuk meminta klarifikasi dari pemroses informasi pribadi dan hak untuk menolak pemroses untuk membuat keputusan hanya melalui otomatisasi. pengambilan keputusan.
Pasal 25 Pemroses informasi pribadi tidak boleh mengungkapkan informasi pribadi yang mereka proses, kecuali jika persetujuan terpisah telah diperoleh dari individu tersebut.
Pasal 26 Pengumpulan gambar dan alat pengenal diri di tempat-tempat umum hanya boleh dipasang bila perlu untuk tujuan menjaga keamanan umum, dan dipasang sesuai dengan ketentuan negara yang relevan dan dengan peringatan yang menonjol. Gambar pribadi dan informasi identifikasi yang dikumpulkan hanya dapat digunakan untuk tujuan menjaga keamanan publik dan, kecuali jika persetujuan terpisah dari individu diperoleh, tidak boleh digunakan untuk tujuan lain apa pun.
Pasal 27 Pemroses informasi pribadi dapat secara wajar memproses informasi pribadi yang diungkapkan oleh individu itu sendiri atau informasi pribadi lain yang diungkapkan secara sah, kecuali jika individu tersebut secara tegas menolak. Jika pemrosesan informasi pribadi yang diungkapkan dapat berdampak signifikan pada hak dan kepentingan individu, pemroses informasi pribadi harus terlebih dahulu memperoleh persetujuan individu tersebut sesuai dengan ketentuan Undang-undang ini.
Bagian 2 Aturan tentang Pemrosesan Informasi Pribadi yang Sensitif
Pasal 28 "Informasi pribadi yang sensitif" adalah informasi pribadi yang pernah bocor atau digunakan secara tidak sah, dapat dengan mudah menyebabkan pelanggaran martabat pribadi seseorang atau dapat membahayakan keselamatan atau properti pribadinya, termasuk informasi seperti biometrik, keyakinan agama, informasi spesifik identitas, status kesehatan medis, rekening keuangan, dan keberadaan orang tersebut, serta informasi pribadi anak di bawah umur di bawah 14 tahun.
Pemroses informasi pribadi dapat memproses informasi pribadi yang sensitif hanya jika ada tujuan tertentu dan jika diperlukan, dalam keadaan di mana tindakan perlindungan yang ketat diambil.
Pasal 29 Untuk pemrosesan informasi pribadi yang sensitif, persetujuan terpisah dari individu harus diperoleh. Jika undang-undang atau peraturan administratif lain menetapkan bahwa persetujuan tertulis harus diperoleh untuk pemrosesan informasi pribadi yang sensitif, ketentuan tersebut akan berlaku.
Pasal 30 Selain hal-hal yang ditentukan dalam paragraf pertama Pasal 17 Undang-undang ini, pengolah yang memproses informasi pribadi yang sensitif harus memberi tahu seseorang tentang perlunya memproses informasi pribadinya yang sensitif dan dampaknya terhadap hak dan kepentingannya, kecuali dimana pemberitahuan tersebut tidak diperlukan sesuai dengan ketentuan Undang-undang ini.
Pasal 31 Untuk memproses informasi pribadi anak di bawah umur di bawah 14 tahun, pemroses informasi pribadi harus mendapatkan persetujuan dari orang tua atau wali lain dari anak di bawah umur.
Pemroses informasi pribadi yang memproses informasi pribadi anak di bawah umur di bawah 14 tahun harus mengembangkan aturan khusus untuk memproses informasi pribadi tersebut.
Pasal 32 Jika undang-undang atau peraturan administratif lainnya menetapkan bahwa izin administratif yang relevan harus diperoleh untuk memproses informasi pribadi yang sensitif atau memberlakukan pembatasan lain, ketentuan tersebut akan berlaku.
Bagian 3 Ketentuan Khusus tentang Pemrosesan Informasi Pribadi oleh Organ Negara
Pasal 33 Undang-undang ini berlaku untuk pemrosesan informasi pribadi oleh organ-organ negara; dimana ada ketentuan khusus dalam Bagian ini, ketentuan Bagian ini yang berlaku.
Pasal 34 Ketika organ-organ negara memproses informasi pribadi untuk melakukan tugas hukum mereka, mereka harus bertindak sesuai dengan wewenang dan prosedur yang ditentukan oleh undang-undang dan peraturan administratif, dan tidak boleh melebihi ruang lingkup dan batas yang diperlukan untuk melakukan tugas hukum mereka.
Pasal 35 Ketika organ-organ negara memproses informasi pribadi untuk melakukan tugas hukum mereka, mereka harus memenuhi kewajiban pemberitahuan sesuai dengan ketentuan Undang-undang ini, kecuali dalam keadaan yang ditentukan dalam paragraf pertama Pasal 18 Undang-undang ini atau di mana pemberitahuan akan menghalangi penyelenggara negara untuk melaksanakan tugas hukumnya.
Pasal 36 Informasi pribadi yang diproses oleh organ-organ negara harus disimpan di dalam wilayah Republik Rakyat Tiongkok. Penilaian keamanan harus dilakukan jika benar-benar diperlukan untuk memberikan informasi tersebut kepada pihak mana pun di luar wilayah Republik Rakyat Tiongkok. Dalam penilaian keamanan, departemen terkait harus memberikan dukungan dan bantuan jika diminta.
Pasal 37 Jika organisasi yang diberi wewenang oleh undang-undang atau peraturan dengan fungsi administrasi urusan publik memproses informasi pribadi untuk memenuhi tugas hukum mereka, ketentuan di sini tentang pemrosesan informasi pribadi oleh organ negara berlaku.
Bab III Aturan Penyediaan Informasi Pribadi Lintas Batas
Pasal 38 Pengolah informasi pribadi yang benar-benar perlu memberikan informasi pribadi kepada pihak di luar wilayah Republik Rakyat Tiongkok untuk kepentingan bisnis atau alasan lain, harus memenuhi salah satu persyaratan berikut:
(1) lulus penilaian keamanan yang diselenggarakan oleh departemen ruang siber nasional sesuai dengan Pasal 40 Undang-Undang ini;
(2) memperoleh sertifikasi perlindungan informasi pribadi dari lembaga khusus terkait sesuai dengan ketentuan yang dikeluarkan oleh departemen dunia maya nasional;
(3) membuat kontrak yang mengatur hak dan kewajiban kedua belah pihak dengan penerima di luar negeri sesuai dengan kontrak standar yang dirumuskan oleh departemen dunia maya nasional; dan
(4) memenuhi persyaratan lain yang ditetapkan oleh undang-undang dan peraturan administratif dan oleh departemen ruang siber nasional.
Apabila suatu perjanjian atau perjanjian internasional yang telah dibuat atau disetujui oleh Republik Rakyat Tiongkok untuk menetapkan syarat-syarat penyediaan informasi pribadi bagi suatu pihak di luar wilayah Republik Rakyat Tiongkok, ketentuan-ketentuan tersebut dapat diikuti.
Pengolah informasi pribadi harus mengambil langkah-langkah yang diperlukan untuk memastikan bahwa kegiatan pemrosesan informasi pribadi penerima di luar negeri memenuhi standar perlindungan informasi pribadi yang ditetapkan dalam Undang-undang ini.
Pasal 39 Jika pemroses informasi pribadi memberikan informasi pribadi untuk pihak mana pun di luar wilayah Republik Rakyat Tiongkok, pemroses harus memberi tahu individu nama penerima di luar negeri dan informasi kontak, tujuan dan cara pemrosesan, kategori informasi pribadi untuk diproses, serta cara-cara dan tata cara bagi orang-orang untuk melaksanakan hak-haknya sebagaimana diatur dalam Undang-undang ini atas penerima di luar negeri, dan lain-lain, dan harus memperoleh persetujuan sendiri-sendiri.
Pasal 40 Operator infrastruktur informasi penting dan pemroses informasi pribadi yang memproses informasi pribadi hingga jumlah yang ditentukan oleh departemen ruang maya nasional harus menyimpan di dalam negeri informasi pribadi yang dikumpulkan dan dihasilkan di dalam wilayah Republik Rakyat Tiongkok. Jika benar-benar diperlukan untuk memberikan informasi kepada pihak di luar wilayah Republik Rakyat Tiongkok, masalah tersebut harus tunduk pada penilaian keamanan yang diselenggarakan oleh departemen ruang siber nasional. Jika undang-undang, peraturan administratif, atau ketentuan yang dikeluarkan oleh departemen ruang siber nasional menyatakan bahwa penilaian keamanan tidak diperlukan, ketentuan tersebut akan berlaku.
Pasal 41 Pihak berwenang Republik Rakyat Tiongkok akan menangani permintaan otoritas peradilan atau penegak hukum asing untuk informasi pribadi yang disimpan di Tiongkok sesuai dengan undang-undang yang relevan dan perjanjian dan perjanjian internasional yang dibuat atau diakses oleh Republik Rakyat Tiongkok, atau dengan prinsip kesetaraan dan timbal balik. Tanpa persetujuan dari otoritas yang berwenang dari Republik Rakyat Tiongkok, tidak ada organisasi atau individu yang boleh memberikan data yang disimpan di wilayah Republik Rakyat Tiongkok untuk otoritas peradilan atau penegakan hukum asing.
Pasal 42 Apabila organisasi atau individu di luar negeri terlibat dalam kegiatan pemrosesan informasi pribadi, yang melanggar hak dan kepentingan warga negara Republik Rakyat Tiongkok atas informasi pribadi atau membahayakan keamanan nasional atau kepentingan publik Republik Rakyat Tiongkok, maka ruang siber nasional departemen dapat memasukkan mereka ke dalam daftar penerima informasi pribadi yang dibatasi atau dilarang, mempublikasikan daftar tersebut, dan mengambil tindakan seperti membatasi atau melarang penyediaan informasi pribadi untuk organisasi dan individu tersebut.
Pasal 43 Di mana negara atau wilayah mana pun mengadopsi tindakan diskriminatif yang melarang, membatasi, atau serupa lainnya terhadap Republik Rakyat Tiongkok dalam hal perlindungan informasi pribadi, Republik Rakyat Tiongkok dapat mengambil tindakan balasan terhadap negara atau wilayah tersebut di atas berdasarkan situasi aktual.
Bab IV Hak Individu dalam Kegiatan Pemrosesan Informasi Pribadi
Pasal 44 Individu berhak untuk diberitahu, hak untuk membuat keputusan tentang pemrosesan informasi pribadi mereka, dan hak untuk membatasi atau menolak pemrosesan informasi pribadi mereka oleh orang lain, kecuali ditentukan lain oleh undang-undang atau peraturan administratif.
Pasal 45 Perorangan berhak untuk berkonsultasi dan menggandakan informasi pribadi mereka dari pengolah informasi pribadi, kecuali dalam keadaan sebagaimana diatur dalam Pasal 18 paragraf pertama dan Pasal 35 Undang-undang ini.
Jika seseorang meminta konsultasi atau penggandaan informasi pribadinya, pemroses informasi pribadi yang diminta harus memberikan informasi tersebut pada waktu yang tepat.
Jika seseorang meminta transfer informasi pribadinya ke pemroses informasi pribadi yang ditunjuk, yang memenuhi persyaratan departemen dunia maya nasional untuk mentransfer informasi pribadi, pemroses informasi pribadi yang diminta harus menyediakan sarana untuk transfer tersebut.
Pasal 46 Apabila seseorang menemukan bahwa informasi pribadinya tidak benar atau tidak lengkap, ia berhak meminta pemroses informasi pribadi untuk memperbaiki atau melengkapi informasi yang relevan.
Jika seseorang meminta perbaikan atau penambahan informasi pribadinya, pemroses informasi pribadi harus memverifikasi informasi yang dipermasalahkan, dan melakukan perbaikan atau penambahan pada waktu yang tepat.
Pasal 47 Dalam salah satu keadaan berikut, pemroses informasi pribadi harus mengambil inisiatif untuk menghapus informasi pribadi, dan seseorang berhak meminta penghapusan informasi pribadinya jika pemroses informasi pribadi gagal menghapus informasi:
(1) tujuan pemrosesan telah tercapai atau tidak dapat dicapai, atau informasi tersebut tidak lagi diperlukan untuk mencapai tujuan pemrosesan;
(2) pemroses informasi pribadi berhenti menyediakan produk atau layanan, atau periode penyimpanan telah kedaluwarsa;
(3) individu menarik persetujuannya;
(4) pemroses informasi pribadi memproses informasi pribadi yang melanggar undang-undang, peraturan administratif, atau perjanjian; atau
(5) keadaan lain yang diatur oleh undang-undang dan peraturan administrasi.
Jika periode penyimpanan yang disediakan oleh undang-undang atau peraturan administratif belum berakhir, atau sulit untuk menghapus informasi pribadi secara teknis, pemroses informasi pribadi harus menghentikan pemrosesan informasi pribadi selain dari menyimpan dan mengambil tindakan perlindungan keamanan yang diperlukan untuk informasi tersebut.
Pasal 48 Seorang individu memiliki hak untuk meminta pemroses informasi pribadi untuk menafsirkan aturan pemrosesan informasi pribadi yang dikembangkan oleh pemroses informasi pribadi.
Pasal 49 Kerabat dekat orang perseorangan yang meninggal dapat, untuk kepentingan hukum dan sah mereka sendiri, menggunakan hak untuk menangani informasi pribadi almarhum, seperti konsultasi, penggandaan, pembetulan, dan penghapusan, sebagaimana diatur dalam Bab ini, kecuali sebagaimana diatur lain oleh almarhum sebelum kematian.
Pasal 50 Pengolah informasi pribadi harus menetapkan mekanisme untuk menerima dan menangani permintaan individu untuk menggunakan haknya. Jika permintaan seseorang ditolak, alasannya harus diberikan.
Dalam hal permintaan seseorang untuk menggunakan haknya ditolak oleh pengolah informasi pribadi, orang tersebut dapat mengajukan gugatan ke pengadilan rakyat sesuai dengan hukum.
Bab V Kewajiban Pemroses Informasi Pribadi
Pasal 51 Pemroses informasi pribadi harus mengambil langkah-langkah berikut untuk memastikan bahwa kegiatan pemrosesan informasi pribadi mereka sesuai dengan undang-undang dan peraturan administratif berdasarkan tujuan dan cara pemrosesan, kategori informasi pribadi yang akan diproses, dampak pada hak-hak pribadi dan kepentingan, dan potensi risiko keamanan, antara lain, dan harus mencegah akses tidak sah ke, serta pelanggaran, gangguan, atau kehilangan informasi pribadi:
(1) merumuskan sistem manajemen internal dan prosedur operasional;
(2) menerapkan pengelolaan rahasia informasi pribadi;
(3) mengadopsi langkah-langkah teknis keamanan yang sesuai seperti enkripsi dan de-identifikasi;
(4) secara wajar menentukan otoritas operasional pemrosesan informasi pribadi, dan secara teratur melakukan pendidikan dan pelatihan keselamatan bagi para praktisi;
(5) merumuskan rencana darurat untuk keadaan darurat keamanan informasi pribadi dan mengatur pelaksanaan rencana tersebut; dan
(6) tindakan lain yang diatur oleh undang-undang dan peraturan administratif.
Pasal 52 Pemroses informasi pribadi yang memproses informasi pribadi hingga jumlah yang ditentukan oleh departemen ruang siber nasional harus menunjuk orang yang bertanggung jawab atas perlindungan informasi pribadi, yang akan mengawasi kegiatan pemrosesan informasi pribadi pemroses serta tindakan perlindungan yang diambil olehnya. , diantara yang lain.
Pemroses informasi pribadi harus mengungkapkan informasi kontak dari orang yang bertanggung jawab atas perlindungan informasi pribadi, dan menyerahkan nama orang tersebut, informasi kontak, dan informasi lainnya ke departemen dengan tugas perlindungan informasi pribadi.
Pasal 53 Pengolah informasi pribadi di luar wilayah Republik Rakyat Tiongkok sebagaimana ditentukan dalam paragraf kedua Pasal 3 Undang-undang ini akan membentuk badan-badan khusus atau menunjuk perwakilan di dalam wilayah Republik Rakyat Tiongkok untuk bertanggung jawab menangani informasi pribadi hal-hal yang terkait dengan perlindungan, dan harus menyerahkan nama, informasi kontak, dan informasi lain dari agensi dan perwakilan ke departemen dengan tugas perlindungan informasi pribadi.
Pasal 54 Pemroses informasi pribadi harus secara teratur melakukan audit kepatuhan kegiatan pemrosesan informasi pribadi mereka dengan undang-undang dan peraturan administratif.
Pasal 55 Dalam salah satu keadaan berikut, pemroses informasi pribadi harus menilai terlebih dahulu dampaknya terhadap perlindungan informasi pribadi dan mencatat jalannya pemrosesan:
(1) memproses informasi pribadi yang sensitif;
(2) menggunakan informasi pribadi untuk melakukan pengambilan keputusan otomatis;
(3) mempercayakan pemrosesan informasi pribadi kepada pihak lain, memberikan informasi pribadi kepada pihak lain, atau mempublikasikan informasi pribadi;
(4) memberikan informasi pribadi untuk pihak mana pun di luar wilayah Republik Rakyat Tiongkok; atau
(5) melakukan kegiatan pemrosesan informasi pribadi lainnya yang mungkin berdampak signifikan terhadap individu.
Pasal 56 Penilaian dampak terhadap perlindungan informasi pribadi meliputi isi sebagai berikut:
(1) apakah tujuan dan sarana pemrosesan informasi pribadi adalah sah, dapat dibenarkan, dan perlu;
(2) dampak terhadap hak dan kepentingan individu, serta risiko keamanan; dan
(3) apakah tindakan perlindungan yang diambil sah, efektif, dan sesuai dengan tingkat risiko.
Laporan penilaian dampak pada perlindungan informasi pribadi dan catatan pemrosesan harus disimpan setidaknya selama tiga tahun.
Pasal 57 Dimana pelanggaran, gangguan, atau kehilangan informasi pribadi terjadi atau mungkin terjadi, pengolah informasi pribadi harus segera mengambil tindakan perbaikan dan memberitahu departemen dengan tugas perlindungan informasi pribadi dan individu yang relevan. Pemberitahuan tersebut harus mencakup hal-hal berikut:
(1) kategori informasi pribadi yang telah atau mungkin dilanggar, dirusak atau hilang, dan alasan serta kemungkinan kerugian dari pelanggaran, perusakan, dan kehilangan;
(2) tindakan perbaikan yang diadopsi oleh pemroses informasi pribadi dan tindakan yang dapat diambil individu untuk mengurangi kerugian; dan
(3) informasi kontak pemroses informasi pribadi.
Jika tindakan yang diambil oleh pemroses informasi pribadi dapat secara efektif menghindari kerugian yang disebabkan oleh pelanggaran, perusakan, atau kehilangan informasi pribadi, pemroses informasi pribadi tidak diwajibkan untuk memberi tahu individu; jika departemen dengan tugas perlindungan informasi pribadi menganggap bahwa kerugian dapat terjadi, mereka memiliki wewenang untuk meminta pemroses informasi pribadi untuk memberi tahu individu.
Pasal 58 Pengolah informasi pribadi yang menyediakan layanan platform internet penting yang melibatkan sejumlah besar pengguna dan jenis bisnis yang rumit harus melakukan kewajiban berikut:
(1) membangun dan meningkatkan sistem kepatuhan perlindungan informasi pribadi sesuai dengan ketentuan negara dan mendirikan organisasi independen yang terutama terdiri dari anggota eksternal untuk mengawasi perlindungan informasi pribadi;
(2) mengikuti prinsip keterbukaan, keadilan, dan keadilan, merumuskan aturan platform, dan mengklarifikasi norma dan kewajiban yang harus dipenuhi oleh penyedia produk atau layanan dalam platform saat memproses informasi pribadi;
(3) berhenti menyediakan layanan untuk penyedia produk atau layanan dalam platform yang memproses informasi pribadi dengan pelanggaran serius terhadap undang-undang dan peraturan administratif; dan
(4) secara teratur menerbitkan laporan tanggung jawab sosial tentang perlindungan informasi pribadi untuk pengawasan publik.
Pasal 59 Pihak yang dipercayakan untuk memproses informasi pribadi, sesuai dengan Undang-undang ini dan peraturan perundang-undangan serta peraturan administrasi terkait, mengambil langkah-langkah yang diperlukan untuk memastikan keamanan informasi pribadi yang dipercayakan untuk diproses, dan membantu pengolah informasi pribadi yang mempercayakan dalam memenuhi kewajiban yang diatur dalam Undang-undang ini.
Bab VI Departemen dengan Tugas Perlindungan Informasi Pribadi
Pasal 60 Departemen ruang siber nasional bertanggung jawab atas keseluruhan perencanaan dan koordinasi perlindungan informasi pribadi serta pengawasan dan administrasi terkait. Departemen-departemen Dewan Negara yang relevan, sesuai dengan Undang-undang ini dan undang-undang serta peraturan administratif lainnya yang relevan, bertanggung jawab atas perlindungan informasi pribadi dan pengawasan serta administrasi terkait dalam lingkup tugasnya masing-masing.
Tugas perlindungan informasi pribadi dan pengawasan terkait serta administrasi departemen terkait dari pemerintah masyarakat lokal di atau di atas tingkat kabupaten harus ditentukan sesuai dengan ketentuan yang relevan di negara bagian.
Departemen yang disebutkan dalam dua paragraf sebelumnya secara kolektif disebut sebagai departemen dengan tugas perlindungan informasi pribadi.
Pasal 61 Departemen dengan tugas perlindungan informasi pribadi harus melakukan tugas perlindungan informasi pribadi berikut:
(1) melakukan publisitas dan pendidikan tentang perlindungan informasi pribadi, dan membimbing dan mengawasi pengolah informasi pribadi dalam perlindungan informasi pribadi mereka;
(2) menerima dan menangani pengaduan dan laporan terkait perlindungan informasi pribadi;
(3) mengatur evaluasi pada aplikasi, dll. dalam hal perlindungan informasi pribadi dan mempublikasikan hasil evaluasi tersebut;
(4) menyelidiki dan menangani aktivitas pemrosesan informasi pribadi yang ilegal; dan
(5) tugas lain yang diatur oleh undang-undang dan peraturan administrasi.
Pasal 62 Departemen ruang siber nasional harus mengkoordinasikan departemen terkait untuk mempromosikan perlindungan informasi pribadi melalui upaya-upaya berikut sesuai dengan Undang-undang ini:
(1) merumuskan aturan dan standar khusus untuk perlindungan informasi pribadi;
(2) mengembangkan aturan dan standar perlindungan informasi pribadi khusus untuk pemroses informasi pribadi kecil, pemrosesan informasi pribadi yang sensitif, dan teknologi serta aplikasi baru seperti pengenalan wajah dan kecerdasan buatan;
(3) mendukung penelitian dan pengembangan, dan mempromosikan penerapan teknologi otentikasi identitas elektronik yang aman dan nyaman, dan memajukan layanan publik untuk otentikasi identitas jaringan;
(4) mendorong pengembangan sistem layanan perlindungan informasi pribadi dengan partisipasi berbagai sektor sosial, dan mendukung lembaga terkait dalam memberikan layanan penilaian dan sertifikasi perlindungan informasi pribadi; dan
(5) menyempurnakan mekanisme pengaduan dan pelaporan terkait perlindungan informasi pribadi.
Pasal 63 Sebuah departemen dengan tugas perlindungan informasi pribadi ketika memenuhi tugas terkait dapat mengambil langkah-langkah berikut:
(1) menanyai pihak terkait, dan menyelidiki keadaan yang terkait dengan aktivitas pemrosesan informasi pribadi;
(2) berkonsultasi dan menggandakan kontrak para pihak, catatan, buku rekening, dan materi relevan lainnya yang terkait dengan aktivitas pemrosesan informasi pribadi;
(3) melakukan inspeksi di tempat, dan menyelidiki dugaan aktivitas pemrosesan informasi pribadi yang ilegal; dan
(4) memeriksa peralatan dan barang-barang yang terkait dengan kegiatan pemrosesan informasi pribadi; dan menyegel atau menyita peralatan dan barang-barang yang berkaitan dengan kegiatan pemrosesan informasi pribadi yang tidak sah sebagaimana dibuktikan dengan bukti setelah menyerahkan laporan tertulis kepada dan memperoleh persetujuan dari penanggung jawab utama departemen yang bertugas melindungi informasi pribadi.
Ketika departemen dengan tugas perlindungan informasi pribadi menjalankan tugasnya sesuai dengan hukum, pihak terkait harus bekerja sama dan memberikan bantuan, dan tidak akan menolak atau menghalangi mereka.
Pasal 64 Apabila departemen dengan tugas perlindungan informasi pribadi menemukan, saat menjalankan tugasnya, risiko yang relatif tinggi dalam kegiatan pemrosesan informasi pribadi atau terjadinya insiden keamanan informasi pribadi, departemen tersebut dapat mengadakan wawancara dengan perwakilan hukum atau penanggung jawab utama pemroses informasi pribadi sesuai dengan kewenangan dan prosedur yang diberikan, atau meminta pemroses untuk mempercayakan lembaga profesional untuk melakukan audit kepatuhan terhadap aktivitas pemrosesan informasi pribadi. Pemroses informasi pribadi harus mengadopsi langkah-langkah untuk melakukan perbaikan dan menghilangkan potensi risiko sebagaimana diperlukan.
Jika departemen dengan tugas perlindungan informasi pribadi, dalam menjalankan tugasnya, menemukan aktivitas pemrosesan informasi pribadi ilegal yang mungkin melibatkan kejahatan, departemen tersebut harus mentransfer kasus tersebut ke badan keamanan publik pada waktu yang tepat sesuai dengan hukum.
Pasal 65 Setiap organisasi atau individu berhak untuk mengadu dan melaporkan ke departemen dengan tugas perlindungan informasi pribadi tentang pemrosesan informasi pribadi yang ilegal. Departemen yang menerima pengaduan atau laporan tersebut harus menanganinya secara tepat waktu sesuai dengan hukum, dan memberi tahu pelapor atau pelapor tentang hasilnya.
Departemen dengan tugas perlindungan informasi pribadi harus mempublikasikan informasi kontak mereka untuk menerima keluhan dan laporan.
Bab VII Tanggung Jawab Hukum
Pasal 66 Apabila informasi pribadi diproses dengan melanggar ketentuan Undang-undang ini atau tanpa memenuhi kewajiban perlindungan informasi pribadi yang diatur dalam Undang-undang ini, departemen yang memiliki tugas perlindungan informasi pribadi memerintahkan pelanggar untuk memperbaiki, memberi peringatan, menyita yang ilegal. memperoleh, dan memerintahkan penangguhan atau penghentian penyediaan layanan oleh aplikasi yang memproses informasi pribadi secara ilegal; di mana pelanggar menolak untuk melakukan koreksi, denda tidak lebih dari RMB satu juta yuan akan dikenakan padanya; dan orang-orang yang bertanggung jawab secara langsung dan orang-orang yang bertanggung jawab langsung lainnya masing-masing akan didenda tidak kurang dari RMB 10,000 yuan atau lebih dari RMB 100,000 yuan.
Dalam hal tindakan ilegal seperti yang ditentukan dalam paragraf sebelumnya dan keadaannya serius, departemen dengan tugas perlindungan informasi pribadi di atau di atas tingkat provinsi harus memerintahkan pelanggar untuk melakukan koreksi, menyita keuntungan ilegal, mengenakan denda tidak lebih dari RMB 50 juta yuan atau tidak lebih dari lima persen dari omset tahun sebelumnya; juga dapat memerintahkan penghentian sementara usaha terkait, atau memerintahkan penghentian sementara seluruh kegiatan usaha untuk perbaikan, dan memberitahukan otoritas yang berwenang untuk mencabut izin atau izin usaha terkait; akan mengenakan denda tidak kurang dari RMB 100,000 yuan tetapi tidak lebih dari RMB 1 juta yuan kepada masing-masing penanggung jawab langsung dan orang-orang yang bertanggung jawab langsung lainnya, dan dapat memutuskan untuk melarang orang-orang tersebut di atas menjabat sebagai direktur, pengawas, senior manajer, atau penanggung jawab perusahaan terkait dalam jangka waktu tertentu.
Pasal 67 Setiap pelanggaran terhadap ketentuan Undang-undang ini dicatat dalam catatan kredit yang bersangkutan dan diumumkan sesuai dengan ketentuan peraturan perundang-undangan dan peraturan administrasi yang bersangkutan.
Pasal 68 Jika organ negara gagal memenuhi kewajiban perlindungan informasi pribadi sebagaimana diatur dalam Undang-undang ini, organ di tingkat yang lebih tinggi atau departemen yang bertugas melindungi informasi pribadi harus memerintahkannya untuk melakukan koreksi, dan mendisiplinkan orang yang bertanggung jawab langsung dan bertanggung jawab. orang lain yang bertanggung jawab langsung sesuai dengan undang-undang.
Jika seorang anggota staf departemen dengan tugas perlindungan informasi pribadi mengabaikan tugas, menyalahgunakan kekuasaan, atau mempraktekkan pilih kasih, yang bukan merupakan kejahatan, anggota staf tersebut akan dikenakan sanksi sesuai dengan hukum.
Pasal 69 Jika pemroses informasi pribadi melanggar hak atau kepentingan atas informasi pribadi karena aktivitas pemrosesan informasi pribadi apa pun dan tidak dapat membuktikan bahwa pemroses tidak bersalah, pemroses harus bertanggung jawab atas kerusakan dan kewajiban wanprestasi lainnya.
Tanggung jawab atas kerusakan yang ditentukan dalam paragraf sebelumnya akan ditentukan berdasarkan kerugian individu yang timbul karenanya dan manfaat yang diperoleh oleh pemroses informasi pribadi yang melanggar; dan bilamana sulit untuk menentukan kerugian atau manfaat tersebut di atas, jumlah ganti rugi ditentukan berdasarkan keadaan yang sebenarnya.
Pasal 70 Jika pemroses informasi pribadi memproses informasi pribadi yang melanggar ketentuan Undang-undang ini dan melanggar hak dan kepentingan banyak individu, kejaksaan, organisasi konsumen yang ditentukan oleh hukum, dan organisasi yang ditunjuk oleh departemen ruang maya nasional dapat mengajukan gugatan ke pengadilan rakyat sesuai dengan undang-undang.
Pasal 71 Pelanggaran terhadap Undang-undang ini yang merupakan pelanggaran terhadap administrasi keamanan publik dikenakan sanksi administrasi keamanan publik sesuai dengan undang-undang. Jika pelanggaran itu merupakan kejahatan, maka pelanggarnya harus dimintai pertanggungjawaban pidana sesuai dengan hukum.
Bab VIII Ketentuan Tambahan
Pasal 72 Undang-undang ini tidak berlaku jika orang perseorangan memproses informasi pribadi untuk urusan pribadi atau rumah tangga.
Jika undang-undang lain memberikan pemrosesan informasi pribadi dalam kegiatan statistik atau pengelolaan arsip yang diselenggarakan dan dilakukan oleh pemerintah rakyat di semua tingkatan dan departemen terkait, ketentuan undang-undang tersebut akan berlaku.
Pasal 73 Untuk kepentingan Undang-undang ini, istilah-istilah berikut ini mempunyai arti sebagai berikut:
(1) "Pemroses informasi pribadi" mengacu pada organisasi atau individu yang secara mandiri menentukan tujuan dan sarana pemrosesan informasi pribadi.
(2) "pengambilan keputusan otomatis" mengacu pada kegiatan menganalisis dan mengevaluasi secara otomatis perilaku pribadi, hobi, atau status ekonomi, kesehatan, dan kredit, antara lain, melalui program komputer, dan pengambilan keputusan.
(3) "de-identifikasi" mengacu pada pemrosesan informasi pribadi untuk membuatnya tidak mungkin untuk mengidentifikasi orang perorangan tertentu tanpa adanya dukungan informasi tambahan.
(4) "anonimisasi" mengacu pada proses pemrosesan informasi pribadi untuk membuatnya tidak mungkin untuk mengidentifikasi orang-orang tertentu dan tidak mungkin untuk dipulihkan.
Pasal 74 Undang-undang ini mulai berlaku pada tanggal 1 November 2021.