Çin Halk Cumhuriyeti Kişisel Bilgilerin Korunması Yasası
(30 Ağustos 20'de On Üçüncü Ulusal Halk Kongresi Daimi Komitesi'nin 2021. Toplantısında kabul edildi)
Bölüm I
Madde 1 Bu Kanun, kişisel bilgiler üzerindeki hak ve menfaatlerin korunması, kişisel bilgi işleme faaliyetlerinin düzenlenmesi ve kişisel bilgilerin makul kullanımının teşvik edilmesi amacıyla Anayasa'ya uygun olarak çıkarılmıştır.
Madde 2 Gerçek kişilerin kişisel bilgileri kanunla korunur. Hiçbir kurum veya kişi, gerçek kişilerin kişisel bilgileri üzerindeki hak ve menfaatlerini ihlal edemez.
Madde 3 Bu Yasa, Çin Halk Cumhuriyeti sınırları içindeki gerçek kişilerin kişisel bilgilerinin işlenmesine uygulanacaktır.
Bu Yasa ayrıca, Çin Halk Cumhuriyeti sınırları içindeki gerçek kişilerin kişisel bilgilerinin aşağıdaki koşullardan herhangi biri altında Çin Halk Cumhuriyeti toprakları dışında işlenmesine de uygulanacaktır:
(1) Çin Halk Cumhuriyeti içindeki gerçek kişilere ürün veya hizmet sağlamak amacıyla;
(2) Çin Halk Cumhuriyeti sınırları içindeki gerçek kişilerin davranışlarını analiz etmek veya değerlendirmek; ve
(3) herhangi bir yasa veya idari düzenleme tarafından sağlanan diğer herhangi bir durum.
Madde 4 "Kişisel bilgiler", kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin elektronik ortamda veya diğer yollarla kaydedilen çeşitli bilgileri ifade eder, ancak anonimleştirilmiş bilgileri içermez.
Kişisel bilgi işleme, diğerlerinin yanı sıra kişisel bilgilerin toplanması, saklanması, kullanılması, işlenmesi, iletilmesi, sağlanması, ifşa edilmesi ve silinmesini içerir.
Madde 5 Kişisel bilgiler, gerektiğinde hukuka uygun olarak, haklı nedenle ve iyi niyetle işlenir ve işlemede yanıltıcılık, dolandırıcılık, zorlama ve benzeri işlemler yapılamaz.
Madde 6 Kişisel bilgilerin işlenmesi, açık ve makul amaçlara dayalı olacak ve bu amaçlarla doğrudan ilişkili olacak ve bireylerin hak ve çıkarları üzerinde minimum etki yapacaktır.
Kişisel bilgilerin toplanması, işlenme amacının gerektirdiği asgari kapsamla sınırlı olacak ve kişisel bilgiler aşırı toplanamayacak.
Madde 7 Kişisel bilgilerin işlenmesinde açıklık ve şeffaflık ilkelerine uyulur, kişisel bilgilerin işlenmesine ilişkin kurallar açıklanır ve işleme amaçları, araçları ve kapsamı açıkça belirtilir.
Madde 8 Yanlış ve eksik kişisel bilgilerin bireylerin hakları ve çıkarları üzerinde olumsuz etkilerden kaçınmak için kişisel bilgilerin işlenmesinde kişisel bilgilerin kalitesi garanti edilir.
Madde 9 Kişisel bilgi işleyenler, kişisel bilgi işleme faaliyetlerinden sorumlu olacak ve işledikleri kişisel bilgilerin güvenliğini sağlamak için gerekli önlemleri alacaklardır.
Madde 10 Hiçbir kuruluş veya kişi, diğer kişilerin kişisel bilgilerini yasa dışı bir şekilde toplayamaz, kullanamaz, işleyemez veya iletemez veya diğer kişilerin kişisel bilgilerini yasa dışı olarak ticaret yapamaz, sağlayamaz veya ifşa edemez veya ulusal güvenliği veya zararı tehlikeye atacak kişisel bilgi işleme faaliyetlerinde bulunamaz. Halkın İlgi Alanları.
Madde 11 Devlet, kişisel bilgilere ilişkin hak ve menfaatlere yönelik ihlalleri önlemek ve cezalandırmak, kişisel bilgilerin korunmasına ilişkin tanıtım ve eğitimi güçlendirmek ve hükümet, işletmeler ve ilgili sanayi kuruluşları için elverişli bir ortamı teşvik etmek için kişisel bilgi koruma sistemini kurar ve geliştirir. ve halkın kişisel bilgilerin korunmasına ortaklaşa katılması.
Madde 12 Devlet, kişisel bilgilerin korunmasına ilişkin uluslararası kuralların geliştirilmesinde aktif olarak yer alacak, kişisel bilgilerin korunmasında uluslararası alışverişi ve işbirliğini teşvik edecek ve diğer ülkeler ve bölgelerle birlikte kişisel bilgi koruma kural ve standartlarının karşılıklı olarak tanınmasını teşvik edecektir. , ve uluslararası kuruluşlar.
Bölüm II Kişisel Bilgi İşleme Kuralları
Bölüm 1 Genel Kurallar
Madde 13 Kişisel bilgi işlemcisi, bir bireyin kişisel bilgilerini ancak aşağıdaki durumlardan birinin mevcut olması halinde işleyebilir:
(1) kişinin rızasının alınmış olması;
(2) kişinin taraf olduğu bir sözleşmenin akdedilmesi veya ifası için veya kanuna göre oluşturulan iş kanun ve yönetmeliklerine ve buna uygun olarak imzalanan toplu sözleşmelere göre insan kaynakları yönetimi için gerekli olan işleme faaliyeti, yasa ile;
(3) yasal görev veya yükümlülüklerin yerine getirilmesi için işlemenin gerekli olması;
(4) işlemenin, halk sağlığı acil durumlarına müdahale için veya acil durumlarda gerçek kişilerin can, sağlık ve mal güvenliğinin korunması için gerekli olması;
(5) kişisel bilgiler, haber muhabirliği, medya denetimi ve kamu yararına yürütülen diğer faaliyetler için makul şekilde işlenir;
(6) Kişinin kendisinin ifşa ettiği kişisel bilgilerin veya kişinin yasal olarak ifşa ettiği diğer kişisel bilgilerinin bu Kanuna uygun olarak makul bir şekilde işlendiğini; ve
(7) kanunlar veya idari düzenlemeler tarafından sağlanan diğer durumlar.
Bir önceki paragrafın (2) ila (7) numaralı alt paragraflarında belirtilen durumlar dışında, bu Yasanın ilgili diğer hükümleri öngörüyorsa, kişisel bilgilerin işlenmesi için bireysel izin alınacaktır.
Madde 14 Kişisel bilgi işlemenin bireysel rızaya dayandığı durumlarda, bireysel rıza gönüllü, açık ve tamamen bilgilendirilmiş olacaktır. Başka herhangi bir yasa veya idari düzenlemenin, kişisel bilgilerin işlenmesi için bir bireyin ayrı rızasının veya yazılı rızasının alınması gerektiğini belirttiği durumlarda, bu hükümler uygulanacaktır.
Kişisel bilgi işleme amaçlarının veya araçlarının veya işlenen kişisel bilgilerin kategorisinin değiştirilmesi durumunda, kişiden yeni bir onay alınacaktır.
Madde 15 Kişisel bilgi işlemenin bireysel rızaya dayandığı durumlarda, kişi rızasını geri çekme hakkına sahip olacaktır. Kişisel bilgi işlemcileri, bireylerin rızalarını geri çekmeleri için uygun yollar sağlayacaktır.
Rızanın geri çekilmesi, geri çekilmeden önce rızaya dayalı olarak yürütülen işleme faaliyetlerinin geçerliliğini etkilemeyecektir.
Madde 16 Kişisel bilgi işlemcisi, kişinin kişisel bilgilerinin işlenmesine ilişkin rızasını saklı tutması veya kişisel bilgilerin işlenmesine yönelik rızasını geri çekmesi nedeniyle bir bireye ürün veya hizmet sağlamayı reddetmeyecektir. kişisel bilgiler, ürün veya hizmetlerin sağlanması için gereklidir.
Madde 17 Kişisel bilgi işlemcisi, kişisel bilgileri işlemeden önce, bir bireye aşağıdaki hususlar hakkında kolayca farkedilebilir bir şekilde ve açık ve anlaşılması kolay bir dille doğru, doğru ve tam olarak bilgi verecektir:
(1) kişisel bilgi işlemcisinin adı ve iletişim bilgileri;
(2) kişisel bilgi işlemenin amaçları ve araçları ve işlenecek kişisel bilgilerin kategorileri ve saklama süreleri;
(3) Kişinin bu Kanunda belirtilen haklarını kullanmasına ilişkin usul ve usuller; ve
(4) Kanunlar ve idari düzenlemelerde belirtildiği şekilde kişinin bildirilmesi gereken diğer hususlar.
Önceki paragrafta belirtilen herhangi bir hususun değişmesi durumunda, bu değişiklik ilgili kişiye bildirilecektir.
Kişisel bilgi işleyenin, kişisel bilgi işleme kurallarını formüle ederek bir kişiyi birinci fıkrada belirtilen hususlar hakkında bilgilendirmesi durumunda, işleme kuralları kamuya açık olacak, danışması ve saklanması kolay olacaktır.
Madde 18 Kişisel bilgileri işlerken, kişisel bilgi işlemcilerinin, yasaların veya idari düzenlemelerin gizlilik gerektirdiği veya bu tür bir bildirim için herhangi bir gereklilik sağlamadığı durumlarda, önceki maddenin birinci paragrafında belirtilen konularda bireyleri bilgilendirmemelerine izin verilir.
Acil durumlarda gerçek kişilerin can, sağlık ve mal güvenliğinin korunması amacıyla kişilere zamanında bildirimde bulunulmasının mümkün olmadığı durumlarda, kişisel bilgi işleyenler, acil durumun ortadan kaldırılmasından sonra gecikmeksizin bu kişilere bildirimde bulunur.
Madde 19 Kanunlar ve idari düzenlemeler tarafından aksi belirtilmedikçe, kişisel bilgilerin saklanma süresi, işleme amacına ulaşmak için gereken minimum süre olacaktır.
Madde 20 İki veya daha fazla kişisel bilgi işlemcisi, belirli kişisel bilgilerin işlenmesinin amaçlarını ve araçlarını ortaklaşa belirlediklerinde, kişisel bilgilerin işlenmesiyle ilgili hak ve yükümlülükleri konusunda bir anlaşmaya varacaklardır. Ancak bu sözleşme, gerçek kişinin bu Kanunda belirtilen haklarını kullanma talebini etkilemez.
Bir işleyicinin belirli kişisel bilgilerin müşterek olarak işlenmesinde kişisel bilgiler üzerindeki hak ve menfaatleri ihlal etmesi ve zarara yol açması durumunda, diğer kişisel bilgi işlemcileri yasaya uygun olarak müştereken ve müteselsilen sorumluluk taşırlar.
Madde 21 Belirli kişisel bilgilerin işlenmesini bir tarafa emanet eden bir kişisel bilgi işlemcisi, emanet edilen tarafla işleme amaçları, süresi ve araçları, işlenecek kişisel bilgilerin kategorileri ve koruma önlemleri konusunda bir anlaşmaya varacaktır. diğerlerinin yanı sıra her iki tarafın hak ve yükümlülüklerini yerine getirir ve emanet edilen tarafın kişisel bilgi işleme faaliyetlerini denetler.
Emanet edilen taraf, kişisel bilgileri sözleşmeye uygun olarak işleyecek ve kişisel bilgileri üzerinde mutabık kalınan amaçlar, araçlar ve diğer koşulların ötesinde işleyemeyecektir. Temlik sözleşmesinin yürürlüğe girmediği veya geçersiz olduğu veya iptal edildiği veya feshedildiği durumlarda, emanet edilen taraf, söz konusu kişisel bilgileri kişisel bilgi işlemcisine iade edecek veya silecek ve kişisel bilgileri saklamayacaktır.
Kişisel bilgi işlemcisinin onayı olmadan, emanet edilen taraf, kişisel bilgilerin işlenmesi için başka bir tarafa taşeronluk yapamaz.
Madde 22 Bir kişisel bilgi işleyicinin birleşme, bölünme, fesih veya iflas nedeniyle veya başka nedenlerle kişisel bilgileri aktarması gerektiğinde, işleyici aktarılan kişisel bilgilerin alıcısının adını ve iletişim bilgilerini bireyleri bilgilendirecektir. Alıcı, söz konusu kişisel bilgi işlemcisinin yükümlülüklerini yerine getirmeye devam edecektir. Alıcı tarafından orijinal amaçlarda veya işleme araçlarında yapılacak herhangi bir değişiklik, bu Kanuna göre bireysel rızaya tabi olacaktır.
Madde 23 Başka herhangi bir işlemciye kişisel bilgi sağlamak için, bir kişisel bilgi işlemcisi, bireyleri alıcının adı ve iletişim bilgileri, işleme amaçları ve araçları ve işlenecek kişisel bilgi kategorileri hakkında bilgilendirecek ve bireylerin ayrı ayrı bilgilerini alacaktır. onay. Alıcı, kişisel bilgileri yukarıda belirtilen amaçlar, araçlar ve kişisel bilgi kategorileri kapsamında işleyecektir. Alıcı tarafından işleme amaçlarının veya araçlarının herhangi bir şekilde değiştirilmesi, bu Yasa uyarınca bireysel onaya tabi olacaktır.
Madde 24 Otomatik karar verme için kişisel bilgileri kullanan kişisel bilgi işlemcileri, karar vermenin şeffaflığını ve sonuçların adil ve tarafsızlığını sağlar ve işlem fiyatları ve diğer işlem koşulları açısından bireylere makul olmayan farklı muamele uygulayamaz.
Otomatik karar vermeye dayalı olarak bireylere bilgi gönderme ve ticari pazarlama, aynı anda, kişisel özelliklerine özgü olmayan seçeneklerle veya bireylerin reddetmesi için uygun araçlarla birlikte olacaktır.
Bir kişinin hakları ve çıkarları üzerinde önemli bir etkisi olabilecek bir kararın otomatik karar verme yoluyla alınması durumunda, kişi kişisel bilgi işlemcisinden açıklama talep etme hakkına ve işlemcinin yalnızca otomatikleştirilmiş karar verme yoluyla karar vermesini reddetme hakkına sahip olacaktır. karar verme.
Madde 25 Kişisel bilgi işlemcileri, işledikleri kişisel bilgileri, bireylerden ayrı rızalar alınmadıkça ifşa etmeyeceklerdir.
Madde 26 Kamuya açık yerlerde görüntü toplama ve kişisel tanımlama donanımları, ancak kamu güvenliğinin sağlanması amacıyla gerekli olduğu durumlarda kurulacak ve devletin ilgili hükümlerine uygun olarak ve belirgin hatırlatmalarla kurulacaktır. Toplanan kişisel görseller ve kimlik bilgileri sadece kamu güvenliğinin sağlanması amacıyla kullanılabilir ve kişilerin ayrı rızaları alınmadıkça başka bir amaçla kullanılamaz.
Madde 27 Kişisel bilgi işlemcisi, bireyin açıkça ifşa ettiği kişisel bilgileri veya yasal olarak ifşa edilen diğer kişisel bilgileri, bireyin açıkça reddetmesi dışında makul şekilde işleyebilir. Açıklanan kişisel bilgilerin işlenmesinin kişinin hak ve menfaatleri üzerinde önemli bir etkisi olabileceği durumlarda, kişisel bilgi işleyenler öncelikle bu Kanun hükümlerine uygun olarak kişinin rızasını alır.
Bölüm 2 Hassas Kişisel Bilgilerin İşlenmesine İlişkin Kurallar
Madde 28 "Hassas kişisel bilgiler", bir kez sızdırıldığında veya yasa dışı olarak kullanıldığında, bir gerçek kişinin kişisel haysiyetinin kolayca ihlal edilmesine yol açabilecek veya biyometri, dini inanç, belirli bilgiler dahil olmak üzere kişisel güvenliğini veya mülkiyetini tehlikeye atabilecek kişisel bilgilerdir. kimliği, tıbbi sağlık durumu, mali hesapları ve kişinin bulunduğu yer ile 14 yaşından küçük bir reşit olmayan kişinin kişisel bilgileri.
Kişisel bilgi işleyenler, hassas kişisel bilgileri ancak belirli bir amaç olduğunda ve gerekli olduğunda, sıkı koruyucu önlemlerin alındığı durumlarda işleyebilirler.
Madde 29 Hassas kişisel bilgilerin işlenmesi için bireyin ayrı onayı alınacaktır. Diğer kanunlar veya idari düzenlemeler, hassas kişisel bilgilerin işlenmesi için yazılı izin alınmasını şart koşuyorsa, bu hükümler geçerli olacaktır.
Madde 30 Bu Kanunun 17 nci maddesinin birinci fıkrasında belirtilen hususlara ek olarak, hassas kişisel bilgileri işleyen bir işleyici, bir bireye hassas kişisel bilgilerinin işlenmesinin gerekliliği ve bunun hak ve menfaatleri üzerindeki etkisi hakkında aşağıdakiler dışında bir bildirimde bulunur: Bu Kanun hükümlerine göre tebligat yapılmasına gerek olmayan hallerde.
Madde 31 14 yaşın altındaki reşit olmayanların kişisel bilgilerini işlemek için, kişisel bilgi işlemcileri, reşit olmayanların ebeveynlerinin veya diğer vasilerinin onayını alacaktır.
14 yaşından küçüklerin kişisel bilgilerini işleyen kişisel bilgi işlemcileri, bu tür kişisel bilgilerin işlenmesi için özel kurallar geliştirecektir.
Madde 32 Diğer kanunlar veya idari düzenlemeler, hassas kişisel bilgilerin işlenmesi için ilgili idari iznin alınmasını veya başka kısıtlamalar getirilmesini şart koşuyorsa, bu hükümler geçerli olacaktır.
Bölüm 3 Kişisel Bilgilerin Devlet Organları Tarafından İşlenmesine İlişkin Özel Hükümler
Madde 33 Bu Kanun, kişisel bilgilerin devlet organları tarafından işlenmesine uygulanır; bu Bölümde özel hükümler varsa, bu Bölüm hükümleri geçerli olacaktır.
Madde 34 Devlet organları, kanuni görevlerini yerine getirmek için kişisel bilgileri işlerken, kanun ve idari düzenlemelerin öngördüğü yetki ve usullere göre hareket eder ve kanuni görevlerini yerine getirmek için gerekli olan kapsam ve sınırları aşamaz.
Madde 35 Devlet organları, kanuni görevlerini yerine getirmek amacıyla kişisel bilgileri işlediğinde, bu Kanunun 18 inci maddesinin birinci fıkrasında belirtilen haller veya bildirimin yapıldığı haller dışında, bu Kanun hükümlerine göre bildirim yükümlülüğünü yerine getirirler. devlet organlarının kanuni görevlerini yerine getirmelerini engeller.
Madde 36 Devlet organları tarafından işlenen kişisel bilgiler, Çin Halk Cumhuriyeti sınırları içinde saklanacaktır. Çin Halk Cumhuriyeti toprakları dışındaki herhangi bir tarafa bu tür bilgilerin sağlanmasının gerçekten gerekli olduğu durumlarda bir güvenlik değerlendirmesi yapılacaktır. Güvenlik değerlendirmesinde, talep edilmesi halinde ilgili departmanlar destek ve yardım sağlayacaktır.
Madde 37 Kanun veya yönetmeliklerle kamu işlerini idare etme işlevine sahip kuruluşların, kanuni görevlerini yerine getirmek amacıyla kişisel bilgileri işlemesi durumunda, kişisel bilgilerin devlet organları tarafından işlenmesine ilişkin buradaki hükümler uygulanır.
Kısım III Sınır Ötesi Kişisel Bilgilerin Sağlanmasına İlişkin Kurallar
Madde 38 İş veya diğer nedenlerle Çin Halk Cumhuriyeti toprakları dışındaki bir taraf için kişisel bilgileri gerçekten sağlaması gereken bir kişisel bilgi işlemcisi, aşağıdaki gereksinimlerden birini karşılamalıdır:
(1) bu Yasanın 40. maddesi uyarınca ulusal siber uzay departmanı tarafından düzenlenen güvenlik değerlendirmesinden geçmek;
(2) ulusal siber uzay departmanı tarafından yayınlanan hükümlere göre ilgili uzman kurumdan kişisel bilgi koruma sertifikası almak;
(3) ulusal siber uzay departmanı tarafından formüle edilen standart sözleşmeye uygun olarak denizaşırı alıcı ile her iki tarafın hak ve yükümlülüklerini belirleyen bir sözleşme akdetmek; ve
(4) kanunlar, idari düzenlemeler ve ulusal siber uzay departmanı tarafından belirlenen diğer koşulları yerine getirmek.
Çin Halk Cumhuriyeti'nin akdettiği veya katıldığı uluslararası bir anlaşma veya anlaşmanın, Çin Halk Cumhuriyeti toprakları dışındaki bir taraf için kişisel bilgi sağlama koşullarını şart koştuğu durumlarda, bu tür şartlara uyulabilir.
Kişisel bilgi işleyen, yurtdışındaki alıcının kişisel bilgi işleme faaliyetlerinin bu Kanunda belirtilen kişisel bilgi koruma standartlarını karşılamasını sağlamak için gerekli önlemleri alır.
Madde 39 Kişisel bilgi işlemcisinin Çin Halk Cumhuriyeti toprakları dışındaki herhangi bir taraf için kişisel bilgi sağlaması durumunda, işlemci denizaşırı alıcının adını ve iletişim bilgilerini, işleme amaçlarını ve araçlarını, kişisel bilgi kategorilerini bireylere bildirecektir. işlenmesine, ayrıca kişilerin bu Kanunda belirtilen haklarını yurt dışı alıcısı vb. üzerinde kullanmalarına ilişkin usul ve usuller ile ilgili olarak ayrı ayrı muvafakat alacaktır.
Madde 40 Kritik bilgi altyapısı operatörleri ve kişisel bilgileri ulusal siber uzay departmanı tarafından belirlenen miktara kadar işleyen kişisel bilgi işlemcileri, Çin Halk Cumhuriyeti sınırları içinde toplanan ve üretilen kişisel bilgileri yurt içinde saklayacaktır. Çin Halk Cumhuriyeti toprakları dışındaki bir tarafa bilgi sağlamanın gerçekten gerekli olduğu durumlarda, konu ulusal siber uzay departmanı tarafından düzenlenen güvenlik değerlendirmesine tabi tutulacaktır. Kanunlar, idari düzenlemeler veya ulusal siber uzay departmanı tarafından yayınlanan hükümler, güvenlik değerlendirmesinin gerekli olmadığını öngördüğünde, bu hükümler geçerli olacaktır.
Madde 41 Çin Halk Cumhuriyeti'nin yetkili makamları, Çin'de saklanan kişisel bilgiler için yabancı adli veya kanun uygulayıcı makamların taleplerini, Çin Halk Cumhuriyeti tarafından akdedilen veya kabul edilen ilgili yasalara ve uluslararası anlaşmalara ve anlaşmalara uygun olarak ele alacaktır veya eşitlik ve karşılıklılık ilkesi çerçevesinde Çin Halk Cumhuriyeti'nin yetkili makamlarının onayı olmadan, hiçbir kuruluş veya şahıs, Çin Halk Cumhuriyeti topraklarında saklanan verileri herhangi bir yabancı adli veya kanun uygulayıcı makama veremez.
Madde 42 Denizaşırı kuruluşlar veya bireyler, Çin Halk Cumhuriyeti vatandaşlarının kişisel bilgilere ilişkin hak ve menfaatlerini ihlal eden veya Çin Halk Cumhuriyeti'nin ulusal güvenliğini veya kamu çıkarlarını tehlikeye atan kişisel bilgi işleme faaliyetlerinde bulunduğunda, ulusal siber uzay müdürlük bunları kişisel bilgilerin kısıtlı veya yasak alıcıları listesine dahil edebilir, listeyi yayınlayabilir ve bu tür kurum ve kişilere kişisel bilgilerin verilmesini kısıtlama veya yasaklama gibi önlemler alabilir.
Madde 43 Herhangi bir ülke veya bölge, kişisel bilgilerin korunması açısından Çin Halk Cumhuriyeti'ne karşı herhangi bir yasaklayıcı, kısıtlayıcı veya diğer benzer ayrımcı önlemleri aldığında, Çin Halk Cumhuriyeti, fiili durumlara dayalı olarak yukarıda belirtilen ülke veya bölgeye karşı önlemler alabilir.
Bölüm IV Kişisel Bilgi İşleme Faaliyetlerinde Bireylerin Hakları
Madde 44 Bireyler, bilgilendirilme hakkına, kişisel bilgilerinin işlenmesine ilişkin karar verme hakkına ve yasalar veya idari düzenlemeler tarafından aksi belirtilmedikçe, kişisel bilgilerinin başkaları tarafından işlenmesini kısıtlama veya reddetme hakkına sahiptir.
Madde 45 Bireyler, bu Kanunun 18 inci maddesinin birinci fıkrasında ve 35 inci maddesinde belirtilen haller dışında, kişisel bilgi işlemcilerine danışma ve kişisel bilgilerini çoğaltma hakkına sahiptir.
Bir kişinin kişisel bilgilerinin istişare edilmesini veya çoğaltılmasını talep etmesi durumunda, talep edilen kişisel bilgi işlemcisi bu bilgileri zamanında sağlayacaktır.
Bir bireyin, kişisel bilgilerinin aktarılması için ulusal siber uzay departmanının gereksinimlerini karşılayan belirlenmiş bir kişisel bilgi işlemcisine aktarılmasını talep etmesi durumunda, talep edilen kişisel bilgi işlemcisi, aktarım için araçlar sağlayacaktır.
Madde 46 Bir kişi, kişisel bilgilerinin yanlış veya eksik olduğunu keşfettiğinde, kişisel bilgi işlemcilerinden ilgili bilgileri düzeltmesini veya tamamlamasını talep etme hakkına sahip olacaktır.
Bir kişinin kişisel bilgilerinin düzeltilmesini veya eklenmesini talep etmesi durumunda, kişisel bilgi işlemcileri söz konusu bilgileri doğrular ve zamanında düzeltme veya ekleme yapar.
Madde 47 Aşağıdaki durumlardan herhangi birinde, kişisel bilgi işlemcisi kişisel bilgileri silmek için inisiyatif alır ve kişisel bilgi işlemcisi bilgileri silemezse, bir kişi kişisel bilgilerinin silinmesini talep etme hakkına sahiptir:
(1) işleme amaçlarına ulaşılmış veya ulaşılamamış veya bu tür bilgilerin işleme amaçlarına ulaşmak için artık gerekli olmadığı;
(2) kişisel bilgi işlemcisinin ürün veya hizmet sağlamayı durdurması veya saklama süresinin sona ermesi;
(3) kişinin rızasını geri çekmesi;
(4) kişisel bilgi işlemcisi, kişisel bilgileri kanunları, idari düzenlemeleri veya anlaşmaları ihlal edecek şekilde işler; veya
(5) kanunlar ve idari düzenlemelerde öngörülen diğer durumlar.
Herhangi bir kanun veya idari düzenlemenin öngördüğü saklama süresinin dolmadığı veya kişisel bilgilerin teknik olarak silinmesinin zor olduğu durumlarda, kişisel bilgi işleyen, bu bilgilerin saklanması ve gerekli güvenlik koruma tedbirlerinin alınması dışında kişisel bilgilerin işlenmesini durdurur.
Madde 48 Bir kişi, bir kişisel bilgi işlemcisinden, kendisi tarafından geliştirilen kişisel bilgi işleme kurallarını yorumlamasını talep etme hakkına sahiptir.
Madde 49 Ölen bir gerçek kişinin yakın akrabaları, kendi yasal ve meşru çıkarları için, bu Bölümde belirtildiği gibi, merhumun kişisel bilgilerini ele alma, örneğin danışma, çoğaltma, düzeltme ve silme haklarını aşağıdakiler dışında kullanabilir: başka türlü ölümden önce ölen kişi tarafından düzenlendiği şekilde.
Madde 50 Kişisel bilgi işlemcisi, bireylerin haklarını kullanma taleplerini alma ve işleme mekanizmasını kuracaktır. Bireyin talebinin reddedilmesi durumunda, bunun nedenleri belirtilir.
Bir kişinin haklarını kullanma talebinin kişisel bilgi işlemcisi tarafından reddedilmesi durumunda, kişi hukuka uygun olarak halk mahkemesinde dava açabilir.
Bölüm V Kişisel Bilgi İşlemcilerinin Yükümlülükleri
Madde 51 Kişisel bilgi işleyenler, kişisel bilgi işleme faaliyetlerinin, işlenme amacı ve araçları, işlenecek kişisel bilgilerin kategorileri, kişisel haklar üzerindeki etkisi ve çıkarları ve potansiyel güvenlik riskleri ile diğerlerinin yanı sıra aşağıdakilere yetkisiz erişimi, ayrıca herhangi bir kişisel bilginin ihlalini, kurcalanmasını veya kaybolmasını önleyecektir:
(1) dahili yönetim sistemi ve operasyonel prosedürleri formüle etmek;
(2) kişisel bilgilerin sınıflandırılmış yönetiminin uygulanması;
(3) şifreleme ve kimlik gizleme gibi ilgili güvenlik teknik önlemlerini benimsemek;
(4) kişisel bilgi işlemenin operasyonel yetkisini makul bir şekilde belirlemek ve uygulayıcılar için düzenli olarak emniyet eğitimi ve öğretimi yürütmek;
(5) kişisel bilgi güvenliği acil durumları için koşullu planlar oluşturmak ve bu planların uygulanmasını organize etmek; ve
(6) kanunlar ve idari düzenlemeler tarafından sağlanan diğer önlemler.
Madde 52 Kişisel bilgileri ulusal siber uzay departmanı tarafından belirlenen miktara kadar işleyen bir kişisel bilgi işlemcisi, kişisel bilgilerin korunmasından sorumlu bir kişi tayin eder ve bu kişi, işlemcinin kişisel bilgi işleme faaliyetlerini ve bu şekilde alınan koruyucu önlemleri denetler. , diğerleri arasında.
Kişisel bilgi işleyen, kişisel bilgilerin korunmasından sorumlu kişinin iletişim bilgilerini açıklar ve bu kişinin adını, iletişim bilgilerini ve diğer bilgilerini kişisel bilgilerin korunması ile görevli departmanlara sunar.
Madde 53 Bu Yasanın 3 üncü maddesinin ikinci fıkrasında belirtilen Çin Halk Cumhuriyeti toprakları dışındaki kişisel bilgi işlemcileri, Çin Halk Cumhuriyeti sınırları içinde kişisel bilgilerin işlenmesinden sorumlu olmak üzere uzman ajanslar kurar veya temsilciler atar. korunmasına ilişkin hususları düzenler, kurum ve temsilcilerin isim, iletişim bilgileri ve diğer bilgilerini kişisel bilgilerin korunması görevi bulunan birimlere iletir.
Madde 54 Kişisel bilgi işleyenler, kişisel bilgi işleme faaliyetlerinin yasalara ve idari düzenlemelere uygunluk denetimlerini düzenli olarak yürütürler.
Madde 55 Aşağıdaki durumlardan herhangi birinde, bir kişisel bilgi işlemcisi, kişisel bilgilerin korunması üzerindeki etkiyi önceden değerlendirecek ve işleme sürecinin bir kaydını tutacaktır:
(1) hassas kişisel bilgilerin işlenmesi;
(2) otomatik karar vermeyi gerçekleştirmek için kişisel bilgileri kullanmak;
(3) kişisel bilgilerin işlenmesini başka bir tarafa emanet etmek, başka bir taraf için kişisel bilgi sağlamak veya kişisel bilgileri yayınlamak;
(4) Çin Halk Cumhuriyeti toprakları dışındaki herhangi bir taraf için kişisel bilgi sağlamak; veya
(5) bireyler üzerinde önemli etkileri olabilecek diğer kişisel bilgi işleme faaliyetlerini yürütmek.
Madde 56 Kişisel bilgilerin korunması üzerindeki etki değerlendirmesi aşağıdaki içerikleri içerecektir:
(1) kişisel bilgi işleme amaçlarının ve araçlarının meşru, haklı ve gerekli olup olmadığı;
(2) bireylerin hak ve çıkarları üzerindeki etkisi ve güvenlik riskleri; ve
(3) Alınan koruma önlemlerinin meşru, etkili ve risk derecesi ile uyumlu olup olmadığı.
Kişisel bilgilerin korunmasına ilişkin etki değerlendirmesi raporu ve işleme kaydı en az üç yıl süreyle saklanacaktır.
Madde 57 Kişisel bilgilerin ihlali, tahrif edilmesi veya kaybının meydana geldiği veya meydana gelebileceği durumlarda, bir kişisel bilgi işlemcisi derhal düzeltici önlemleri alacak ve kişisel bilgileri koruma görevleriyle ilgili departmanları ve ilgili kişileri bilgilendirecektir. Bildirim aşağıdaki öğeleri içerecektir:
(1) ihlal edilmiş, tahrif edilmiş veya kaybolmuş olan veya olabilecek kişisel bilgilerin kategorileri ve ihlalin, kurcalamanın ve kaybın sebepleri ve olası zararları;
(2) kişisel bilgi işlemcisi tarafından alınan iyileştirici önlemler ve bireylerin zararı azaltmak için alabileceği önlemler; ve
(3) kişisel bilgi işlemcisinin iletişim bilgileri.
Kişisel bilgi işleyici tarafından alınan önlemlerin kişisel bilgilerin ihlali, kurcalanması veya kaybından kaynaklanan zararı etkili bir şekilde önleyebildiği durumlarda, kişisel bilgi işleyicinin bireyleri bilgilendirmesi gerekmez; kişisel bilgileri koruma görevi bulunan departmanlar, zarara yol açabileceğini düşündükleri durumlarda, kişisel bilgi işleyenden bireylere bildirilmesini talep etme yetkisine sahiptir.
Madde 58 Çok sayıda kullanıcıyı ve karmaşık iş türlerini içeren önemli internet platformu hizmetleri sağlayan bir kişisel bilgi işlemcisi aşağıdaki yükümlülükleri yerine getirir:
(1) Devlet hükümlerine uygun olarak kişisel bilgilerin korunmasına uygunluk sisteminin kurulması ve geliştirilmesi ve kişisel bilgilerin korunmasını denetlemek üzere ağırlıklı olarak dış üyelerden oluşan bağımsız bir kuruluş oluşturulması;
(2) açıklık, hakkaniyet ve adalet ilkelerini takip etmek, platform kurallarını oluşturmak ve platformdaki ürün veya hizmet sağlayıcıların kişisel bilgileri işlerken uyması gereken norm ve yükümlülükleri netleştirmek;
(3) kişisel bilgileri kanun ve idari düzenlemelere ciddi şekilde ihlal edecek şekilde işleyen platformlarda ürün veya hizmet sağlayıcılara hizmet verilmesinin durdurulması; ve
(4) kamu denetimi için kişisel bilgilerin korunmasına ilişkin sosyal sorumluluk raporlarını düzenli olarak yayınlamak.
Madde 59 Kişisel bilgilerin işlenmesi ile görevlendirilen taraf, bu Kanuna ve ilgili kanun ve idari düzenlemelere uygun olarak, işlenmesi için emanet edilen kişisel bilgilerin güvenliğini sağlamak için gerekli önlemleri alır ve emanet edilen kişisel bilgi işlemcisinin yerine getirilmesine yardımcı olur. bu Kanunla sağlanan yükümlülükler.
Bölüm VI Kişisel Bilgilerin Korunması Görevli Departmanlar
Madde 60 Ulusal siber uzay departmanı, kişisel bilgilerin korunması ve ilgili denetim ve idarenin genel planlamasından ve koordinasyonundan sorumlu olacaktır. Danıştay'ın ilgili birimleri, bu Kanun ve ilgili diğer kanun ve idari düzenlemelere göre, kişisel bilgilerin korunması ile ilgili gözetim ve idareden kendi görevleri kapsamında sorumludur.
Yerel halk yönetimlerinin ilçe düzeyinde veya üstündeki ilgili birimlerinin kişisel bilgilerin korunması ve ilgili gözetim ve idare görevleri, devletin ilgili hükümlerine göre belirlenir.
Önceki iki paragrafta sağlanan departmanlar toplu olarak kişisel bilgileri koruma görevleri olan departmanlar olarak anılır.
Madde 61 Kişisel bilgileri koruma görevi bulunan departmanlar, aşağıdaki kişisel bilgileri koruma görevlerini yerine getirir:
(1) kişisel bilgilerin korunmasına ilişkin tanıtım ve eğitim yapmak ve kişisel bilgileri koruma konusunda kişisel bilgi işlemcilerine rehberlik etmek ve denetlemek;
(2) kişisel bilgilerin korunmasıyla ilgili şikayet ve raporların alınması ve ele alınması;
(3) kişisel bilgilerin korunması açısından başvurular vb. hakkında değerlendirmeler düzenlemek ve bu değerlendirmelerin sonuçlarını yayınlamak;
(4) yasa dışı kişisel bilgi işleme faaliyetlerini araştırmak ve ele almak; ve
(5) kanunlar ve idari düzenlemelerle verilen diğer görevler.
Madde 62 Ulusal siber uzay dairesi, bu Kanuna uygun olarak aşağıdaki çabalar yoluyla kişisel bilgilerin korunmasını teşvik etmek için ilgili departmanları koordine edecektir:
(1) kişisel bilgilerin korunması için özel kurallar ve standartlar formüle etmek;
(2) küçük kişisel bilgi işlemcileri, hassas kişisel bilgilerin işlenmesi ve yüz tanıma ve yapay zeka gibi yeni teknolojiler ve uygulamalar için özel kişisel bilgi koruma kuralları ve standartları geliştirmek;
(3) araştırma ve geliştirmeyi desteklemek ve güvenli ve uygun elektronik kimlik doğrulama teknolojisinin uygulanmasını teşvik etmek ve ağ kimlik doğrulaması için kamu hizmetlerini geliştirmek;
(4) çeşitli sosyal sektörlerin katılımıyla bir kişisel bilgi koruma hizmet sisteminin geliştirilmesini teşvik etmek ve ilgili kurumları kişisel bilgilerin korunması değerlendirme ve belgelendirme hizmetlerinin sağlanmasında desteklemek; ve
(5) kişisel bilgilerin korunmasına ilişkin şikayet ve raporlama mekanizmasının iyileştirilmesi.
Madde 63 Kişisel bilgileri koruma görevi bulunan bir departman, ilgili görevleri yerine getirirken aşağıdaki önlemleri alabilir:
(1) ilgili tarafları sorgulamak ve kişisel bilgi işleme faaliyetleriyle ilgili durumları araştırmak;
(2) kişisel bilgi işleme faaliyetleriyle ilgili tarafların sözleşmelerine, kayıtlarına, hesap defterlerine ve diğer ilgili materyallere danışmak ve bunları çoğaltmak;
(3) yerinde incelemeler yapmak ve şüpheli yasa dışı kişisel bilgi işleme faaliyetlerini araştırmak; ve
(4) kişisel bilgi işleme faaliyetleriyle ilgili ekipman ve makaleleri denetlemek; ve yasa dışı kişisel bilgi işleme faaliyetlerine ilişkin malzeme ve teçhizatın, kişisel bilgilerin korunması ile görevli departmanlardan sorumlu asıl kişiye yazılı rapor sunulması ve onay alınmasından sonra delillerle kanıtlanması veya mühürlenmesi veya ele geçirilmesi.
Kişisel bilgileri koruma görevi bulunan departmanlar kanuna uygun olarak görevlerini yerine getirirken ilgili taraflar işbirliği yapar ve yardım sağlar, bunları reddetmez veya engellemezler.
Madde 64 Kişisel bilgileri koruma görevine sahip bir daire, görevlerini yerine getirirken kişisel bilgi işleme faaliyetlerinde veya kişisel bilgi güvenliği olaylarının meydana gelmesinde nispeten yüksek riskler tespit ederse, daire yasal temsilci veya sorumlu asıl kişi ile görüşme yapabilir. sağlanan yetki ve prosedürlere göre kişisel bilgi işleyiciden sorumlu tutulamaz veya işleyiciden kişisel bilgi işleme faaliyetlerinin uygunluk denetimlerini yürütmek üzere profesyonel bir kuruma yetki vermesini talep edebilir. Kişisel bilgi işlemcisi, gerektiğinde düzeltme yapmak ve potansiyel riskleri ortadan kaldırmak için önlemler alacaktır.
Kişisel bilgileri koruma görevi bulunan bir daire, görevlerini yerine getirirken, suç teşkil edebilecek yasa dışı bir kişisel bilgi işleme faaliyeti tespit ederse, davayı kanuna uygun olarak zamanında kamu güvenliği organına havale eder.
Madde 65 Herhangi bir kuruluş veya kişi, yasa dışı kişisel bilgi işleme konusunda kişisel bilgileri koruma görevleri olan bir departmana şikayette bulunma ve rapor verme hakkına sahiptir. Bu tür bir şikayet veya rapor alan birim, bunu kanuna uygun olarak zamanında ele alır ve sonucu şikayetçi veya muhbire bildirir.
Kişisel bilgileri koruma görevi bulunan departmanlar, şikayet ve raporların alınması için iletişim bilgilerini yayınlar.
Bölüm VII Yasal Sorumluluk
Madde 66 Kişisel bilgilerin bu Kanun hükümlerine aykırı olarak veya bu Kanunda öngörülen kişisel bilgilerin korunması yükümlülükleri yerine getirilmeden işlenmesi halinde, kişisel bilgileri koruma görevine sahip birimler, ihlal edene düzeltme yapma, uyarıda bulunma, kanuna aykırı bilgileri müsadere etme talimatı verir. kişisel bilgileri yasa dışı olarak işleyen uygulamalarla kazanç elde etmek ve hizmet sunumunun askıya alınmasını veya sona erdirilmesini emretmek; ihlal eden kişi düzeltme yapmayı reddederse, bunun üzerine bir milyon RMB'den fazla olmayan bir para cezası uygulanacaktır; ve sorumlu doğrudan sorumlu kişiler ile diğer doğrudan sorumlu kişilerin her biri 10,000 yuan'dan az veya 100,000 yuan'dan fazla olmayan para cezasına çarptırılacaktır.
Bir önceki fıkrada belirtilen hukuka aykırı bir işlemin gerçekleşmesi ve durumun ciddi olması halinde, kişisel bilgileri koruma görevi il veya daha üst düzeyde olan birimler, ihlal edene düzeltme yapma, hukuka aykırı kazançlara el koyma, daha fazla olmamak üzere para cezası verme talimatı verir. 50 milyon yuan RMB'den veya önceki yılın cirosunun yüzde beşinden fazla olmayan; ayrıca ilgili işletmelerin askıya alınmasına veya bir revizyon için tüm ticari faaliyetlerin askıya alınmasına karar verebilir ve yetkili makamlara ilgili işletme izinlerini veya lisansını iptal etmeleri için bildirimde bulunabilir; sorumlu doğrudan sorumlu kişilerin ve diğer doğrudan sorumlu kişilerin her birine 100,000 Yuan'dan az olmayan ancak 1 milyon yöneticileri veya belirli bir süre içinde ilgili şirketlerin sorumluları.
Madde 67 Bu Kanun hükümlerine aykırılık, ilgili kanun ve idari mevzuat hükümlerine göre ilgili kredi siciline işlenir ve yayımlanır.
Madde 68 Herhangi bir devlet organının bu Kanunda belirtilen kişisel bilgilerin korunması yükümlülüklerini yerine getirmemesi durumunda, üst düzeydeki organ veya kişisel bilgileri koruma görevi bulunan birimler, düzeltme yapmasını emreder ve doğrudan sorumlu ve sorumlu kişiyi disipline eder. kanuna uygun olarak diğer doğrudan sorumlu kişiler.
Kişisel bilgileri koruma görevi bulunan bir daire personelinin görevlerini ihmal etmesi, yetkisini kötüye kullanması veya suç teşkil etmeyen adam kayırmacılık yapması halinde, personel kanuna göre yaptırıma tabi olacaktır.
Madde 69 Kişisel bilgi işlemcisinin herhangi bir kişisel bilgi işleme faaliyeti nedeniyle kişisel bilgiler üzerindeki hakları veya çıkarları ihlal etmesi ve işlemcinin kusurlu olmadığını kanıtlayamaması durumunda, işlemci zararlardan ve diğer haksız fiil sorumluluğundan sorumlu olacaktır.
Önceki paragrafta belirtilen zararlara ilişkin sorumluluk, bireylerin bu nedenle uğradıkları kayıplara ve ihlalde bulunan kişisel bilgi işlemcisi tarafından elde edilen menfaatlere göre belirlenir; ve yukarıda belirtilen zarar veya faydaların tespit edilmesinin zor olduğu durumlarda, tazminat tutarı fiili koşullara göre belirlenir.
Madde 70 Kişisel bilgi işleyicisinin kişisel bilgileri bu Kanun hükümlerine aykırı olarak işlemesi ve birçok kişinin hak ve menfaatlerini ihlal etmesi durumunda, savcılık, kanunla belirlenen tüketici kuruluşları ve ulusal siber uzay dairesi tarafından belirlenen kuruluş dava açabilir. yasaya uygun olarak halk mahkemesine dava açmak.
Madde 71 Bu Kanunun, kamu güvenliği idaresinin ihlalini oluşturan her türlü ihlali, kanuna göre kamu güvenliği idaresi cezasına tabidir. İhlal suç teşkil ediyorsa, ihlal eden kanuna göre cezai sorumlu tutulur.
Bölüm VIII Ek Hükümler
Madde 72 Bu Yasa, bir gerçek kişinin kişisel bilgileri kişisel veya ev işleri için işlediği durumlarda uygulanmaz.
Diğer yasaların, her düzeydeki halk hükümetleri ve ilgili departmanları tarafından düzenlenen ve yürütülen istatistik veya arşiv yönetimi faaliyetlerinde kişisel bilgilerin işlenmesini sağladığı durumlarda, bu yasaların hükümleri geçerli olacaktır.
Madde 73 Bu Yasanın amaçları doğrultusunda, aşağıdaki terimler aşağıdaki anlamlara gelir:
(1) "Kişisel bilgi işlemcisi", kişisel bilgi işleme amaçlarını ve araçlarını özerk olarak belirleyen bir kuruluş veya bireyi ifade eder.
(2) "otomatik karar verme", diğerlerinin yanı sıra kişisel davranışları, hobileri veya ekonomik, sağlık ve kredi durumunu bilgisayar programları aracılığıyla otomatik olarak analiz etme ve değerlendirme ve karar verme faaliyetlerini ifade eder.
(3) "kimlik gizleme", ek bilgi desteği olmadan belirli gerçek kişileri tanımlamayı imkansız hale getirmek için kişisel bilgilerin işlenmesi anlamına gelir.
(4) "anonimleştirme", belirli gerçek kişileri tanımlamayı ve geri yüklemeyi imkansız hale getirmek için kişisel bilgilerin işlenmesi sürecini ifade eder.
Madde 74 Bu Kanun 1 Kasım 2021 tarihinden itibaren yürürlüğe girer.