PIPL: Personal Information Protection Law – Saiba mais sobre a Lei de Proteção de Dados da China

pipl

A China aprovou sua lei de proteção de dados pessoais, que estabelece regras mais rígidas sobre como as empresas coletam e lidam com as informações de seus usuários. A Lei de Proteção de Informações Pessoais (PIPL – Personal Information Protection Law), entrará em vigor em 1º de novembro de 2021.

A PIPL foi proposta em 2020 – sinalizando uma intenção dos líderes chineses de reprimir a coleta de dados sem controle na esfera comercial, colocando restrições legais à coleta de dados do usuário. Depois de várias versões de criação da Lei, o PIPL foi aprovado pelo legislativo da China, de acordo com a mídia estatal . No entanto, a versão final da lei ainda não foi publicada.

Este ano, os reguladores chineses também introduziram regras antimonopólio para a economia de plataforma e leis que dizem respeito a concorrência desleal no setor de internet. Tudo leva a crer que os gigantes da tecnologia da China estão se preparando para novas restrições impostas pelos reguladores.

Quaisquer empresas de fora da China, que façam negócios na China e que façam processamento de dados pessoais dos cidadãos chineses, devem lidar com a jurisdição extraterritorial da lei – o que significa que as empresas estrangeiras deverão respeitar requisitos legais, como a necessidade de designar representantes locais e reportar a agências de supervisão na China. Além disso, existem requisitos rígidos para a transferência de dados de cidadãos chineses para fora do país e as empresas que violarem as regras podem ser multadas.

Dessa forma, o PIPL fornece ao regime chinês uma regulação para impor restrições às empresas locais de tecnologia. Abaixo, confira a tradução não oficial da PIPL – Lei de Proteção de Informações Pessoais das Pessoas República da China.

PIPL – Lei de Proteção de Informações Pessoais das Pessoas República da China

PIPL: Capítulo I – Princípios Gerais

Artigo 1 

Esta Lei é promulgada com o objetivo de proteger os interesses das informações pessoais, regulamentar as atividades de processamento de informações pessoais e promover o uso adequado de informações pessoais.

Artigo 2 

As informações pessoais de pessoas físicas são protegidas por lei e nenhuma organização ou indivíduo está autorizado a violar os direitos de informação pessoal de pessoas físicas. 

Artigo 3 

Esta Lei (PIPL) aplica-se ao tratamento de informações pessoais de pessoas físicas por organizações e indivíduos dentro do território da República Popular da China. Esta Lei (PIPL) também se aplica ao processamento que ocorre fora do território da República Popular da China das informações pessoais de pessoas físicas no território do Povo República da China, caso algum dos seguintes critérios for satisfeito: 

1. Para efeitos de fornecimento de produtos ou serviços a pessoas no território chinês; 

2. Analisar e avaliar o comportamento das pessoas físicas no território chinês; 

3. Outras circunstâncias estipuladas por leis e regulamentos administrativos.

Artigo 4 

As informações pessoais registradas referem-se a vários tipos de meios eletrônicos ou outras formas, relacionadas a pessoas físicas identificadas ou identificáveis, exceto anônimas. O processamento de informações pessoais inclui a coleta, armazenamento, uso, refinamento, transmissão, fornecimento ou divulgação pública de informações pessoais, etc.

Artigo 5 

O processamento de informações pessoais deve adotar métodos legais e adequados e deve seguir o princípio da boa fé. As informações pessoais não devem ser processadas usando métodos enganosos, fraudulentos ou coercitivos.

Artigo 6 

O processamento de informações pessoais deve ter uma finalidade clara e razoável e deve ser limitado ao escopo mínimo necessário para atingir o propósito de processamento, e adotar meios que tenham o mínimo impacto sobre os direitos e interesses pessoais. O processamento de informações pessoais irrelevantes para o propósito de processamento é proibido.

Artigo 7 

O tratamento de informações pessoais deve seguir os princípios de abertura e transparência, e as regras para o processamento de informações pessoais devem ser tornadas públicas e disponíveis, expressando explicitamente a finalidade, método e escopo do processamento.

Artigo 8 

O tratamento de informações pessoais deve garantir a qualidade das informações pessoais para evitar impacto negativo sobre os direitos e interesses dos indivíduos devido a inexatidão ou incompletude das informações pessoais.

Artigo 9 

As entidades de processamento de informações pessoais serão responsáveis por suas atividades de processamento de informações e devem tomar as medidas necessárias para garantir a segurança do informações pessoais processadas.

Artigo 10 

Nenhuma organização ou indivíduo pode processar informações pessoais em violação de leis e regulamentos administrativos, e não deve se envolver em atividades de processamento de informações pessoais que colocam em risco a segurança nacional ou os interesses públicos.

Artigo 11 

O estado estabelece e aprimora um sistema de proteção de informações pessoais, previne e pune atos que violem direitos de informação pessoal, fortalece atos de publicidade e educação sobre proteção de informações pessoais e promove a formação de um ambiente positivo onde governos, empresas, indústrias, organizações e o público participam conjuntamente na proteção de informações pessoais.

Artigo 12 

O Estado participa ativamente na formulação de normas internacionais de proteção de informações pessoais, promove intercâmbios internacionais e cooperação de proteção de informações pessoais, bem como o reconhecimento mútuo de regras e padrões de proteção de informações pessoais com outros países, regiões e organizações internacionais.

PIPL: Capítulo II – Regras para o Processamento de Informações Pessoais

Seção 1: Disposições Gerais

Artigo 13 

As entidades de processamento de informações pessoais podem processar informações pessoais se pelo menos uma das seguintes circunstâncias forem cumpridas: 

1. Obtenção do consentimento do indivíduo;

2. Celebração ou execução de um contrato ao qual o indivíduo participe;

3. Cumprimento dos deveres ou obrigações legais; 

4. Resposta a emergências de saúde pública, ou ação necessária para proteger a segurança da vida, saúde e propriedade de pessoas físicas durante uma emergência;

5. Utilizar informações pessoais que já foram tornadas públicas dentro do escopo razoável, de acordo com os requisitos desta Lei (PIPL); 

6. Utilizar informações pessoais processadas dentro de um escopo razoável para a condução de notícias, relatórios, fiscalização da opinião pública e demais atos de interesse público; 

7. Outras circunstâncias estipuladas por leis e regulamentos administrativos.

De acordo com outras disposições relevantes desta Lei (PIPL), o consentimento dos indivíduos deve ser obtidos para o processamento de informações pessoais, mas o consentimento do indivíduo não é necessário se qualquer uma das condições listadas nos itens 2 a 7 forem aplicáveis.

Artigo 14

O consentimento para o processamento de informações pessoais deve ser feito de forma voluntária e clara, com base no conhecimento total do indivíduo. Nesse caso, as leis e regulamentos administrativos estipulam que o processamento de informações pessoais devem obter o consentimento específico ou o consentimento por escrito do indivíduo. Se a finalidade do processamento, o método de processamento e o tipo de informação pessoal processada mudar, então o consentimento do indivíduo deverá ser obtido novamente.

Artigo 15

Quando uma entidade de processamento processar informações pessoais de um menor de 14 anos, o consentimento dos pais ou outros tutores do menor deverá ser obtido.

Artigo 16

Para atividades de processamento de informações pessoais com base no consentimento individual, os indivíduos têm o direito de retirar o seu consentimento. Assim, as entidades que processam informações pessoais devem fornecer métodos convenientes para retirar o consentimento. A retirada do consentimento dos indivíduos não afetam a validade das atividades de processamento com informações pessoais realizadas antes da retirada do consentimento.

Artigo 17

As entidades de processamento de informações pessoais não poderão recusar o fornecimento de produtos ou serviços sob o fundamento de que os indivíduos não concordam com o processamento de suas informações ou quando o indivíduo retirar o seu consentimento para o processamento de informações pessoais, exceto quando o processamento de informações pessoais for necessário para o fornecimento de tais produtos ou serviços.

Artigo 18

Antes de processar informações pessoais, entidades de processamento de informações pessoais devem notificar os indivíduos sobre os seguintes assuntos de forma proeminente e clara e em linguagem compreensível: 

1. Informações de contato da entidade de processamento de informações pessoais; 

2. A finalidade e o método de processamento de informações pessoais, o tipo de informações processadas e o período de retenção das informações pessoais processadas; 

3. Os métodos e procedimentos para os indivíduos exercerem seus direitos nos termos desta lei (PIPL); 

4. Outros assuntos que serão notificados nos termos das leis e regulamentos administrativos. 

Se houver qualquer mudança nos assuntos especificados no parágrafo anterior, o indivíduo deve ser notificado sobre a alteração. 

O local onde a entidade de processamento de informações pessoais informa aos indivíduos sobre os assuntos especificado no primeiro parágrafo, relativo a formulação de regras para o processamento de informações e dados pessoais, bem como as regras de tratamento, devem ser tornadas públicas e as regras devem ser fáceis de ler e guardar.

Artigo 19

Ao processar informações pessoais, entidades de processamento de informações pessoais não são obrigadas a notificar os indivíduos das matérias estipuladas no artigo anterior, se houver são circunstâncias em que as leis e regulamentos administrativos estipulam a confidencialidade de as informações ou, de outra forma, especificar que as informações não precisam ser notificadas. Em caso de emergência, se não for possível notificar as pessoas a tempo de proteger a segurança da vida, saúde e bens de pessoas físicas, a entidade de processamento de informações pessoais deve notificar a tempo após o fim da emergência.

Artigo 20

O período de retenção de informações pessoais deve ser o menor período de tempo necessário para atingir o objetivo do processamento. Onde outras leis e administrativas regulamentos estipulam outras disposições sobre o período de retenção de informações pessoais, aqueles disposições são aplicáveis.

Artigo 21

Quando mais de duas entidades de processamento de informações pessoais determinam em conjunto a finalidade e o método de processamento de informações pessoais, eles devem concordar com relação a seus respectivos direitos e obrigações. No entanto, este acordo não afeta o pedido do indivíduo a qualquer uma das entidades de processamento de informações pessoais para exercer os direitos estipulado nesta lei (PIPL). Entidades de processamento de informações pessoais que, em conjunto, processam informações pessoais e infringem sobre os direitos de informação pessoal terão responsabilidade solidária.

Artigo 22

Quando uma entidade de processamento de informações pessoais confiar o processamento de informações pessoais, deve concordar com a parte confiada no propósito do atribuição de processamento, período de processamento, método, tipo de informação pessoal, as medidas de proteção e os direitos e obrigações de ambas as partes, etc., e supervisionar as atividades de processamento de informações pessoais pela parte responsável. A parte confiada deve processar as informações pessoais de acordo com o acordo, e não deve processar informações pessoais além da finalidade acordada de processamento, método de processamento, etc.

Quando o contrato de atribuição não é eficaz, nulo, retirado, ou rescindido, a parte confiada deve devolver as informações pessoais a entidade de processamento de informações pessoais ou excluí-la e não deve mais reter tais informações pessoais. A parte confiada não deve sub-confiar a terceiros o processamento de informações pessoais sem o consentimento da entidade de processamento de informações pessoais.

Artigo 23

Se uma entidade de processamento de informações pessoais precisar transferir informações pessoais devido a uma fusão, divisão ou outras razões, deve notificar os indivíduos sobre a identidade e contato informações da parte receptora. A parte receptora deve continuar a cumprir as obrigações da entidade de processamento de informações pessoais. Se a parte receptora mudar o propósito original e método de processamento, deve obter o consentimento do indivíduo de acordo com esta lei (PIPL).

Artigo 24

Se uma entidade de processamento de informações pessoais fornecer a terceiros informações que ele processa, ele deve notificar os indivíduos sobre a identidade, informações de contato, objetivo de processamento, método de processamento e tipo de informações pessoais do destinatário, e obter consentimento específico do indivíduo. O destinatário que recebe as informações pessoais deve processar as informações pessoais no âmbito do propósito acima mencionado de processamento, método de processamento e tipo de informações pessoais. Se a parte receptora muda a finalidade original e o método de processamento, deve obter o consentimento do indivíduo novamente de acordo com esta lei (PIPL).

Artigo 25

Para o uso de informações pessoais para a tomada de decisão automatizada, a transparência da tomada de decisão e a justiça e razoabilidade dos resultados devem ser assegurado. Marketing comercial e notificações push de informações com base em decisões automatizadas – métodos de elaboração também devem fornecer a opção de não ser direcionado com base em características ou fornecer meios para os indivíduos recusarem.

Onde as decisões com um impacto significativo sobre os direitos e interesses dos indivíduos são tomadas por meio da tomada de decisão automatizada, os indivíduos têm o direito de solicitar uma explicação da entidade de processamento de informações pessoais e proibir o processamento de informações pessoais entidade de tomar uma decisão apenas com base na tomada de decisão automatizada.

Artigo 26

As entidades de processamento de informações pessoais não devem divulgar as informações pessoais informações que eles processam, exceto quando obtiveram consentimento específico do Individual.

Artigo 27

A instalação de dispositivos de coleta de imagens e reconhecimento de identidade pessoal em locais públicos são permitidos se for necessário para salvaguardar a segurança pública, cumprir regulamentos relevantes do estado, ou para definir avisos de lembretes proeminentes. As imagens pessoais e as informações de identificação pessoal a serem coletadas só podem ser usadas para o propósito de salvaguardar a segurança pública e não devem ser divulgados ou fornecidos a terceiros, exceto onde o consentimento específico dos indivíduos é obtido.

Artigo 28

O tratamento de informações pessoais que tenham sido divulgadas por uma entidade de processamento de informações deve cumprir a finalidade para a qual as informações pessoais foi divulgado; se exceder o escopo razoável relacionado ao propósito, deverá obter consentimento do indivíduo de acordo com esta lei (PIPL). Se o propósito de divulgação pessoal informações não são claras quando são divulgadas, a entidade de processamento de informações pessoais deve processar as informações pessoais divulgadas de maneira razoável e cautelosa.

Para atividades que usam informações pessoais divulgadas que têm um impacto significativo sobre os indivíduos, o consentimento do indivíduo deve ser obtido de acordo com esta lei (PIPL).

Seção 2: Regras para o processamento de informações pessoais confidenciais

Artigo 29

A entidade de processamento de informações pessoais pode processar informações e dados pessoais sensíveis apenas conforme necessário para fins específicos. Informações pessoais confidenciais são informações pessoais que, uma vez vazadas ou usadas ilegalmente, podem levar à discriminação pessoal ou sérios danos à segurança pessoal e patrimonial, incluindo informações sobre raça, etnia, crenças religiosas, características biométricas individuais, saúde médica, contas financeiras, paradeiro pessoal e outras informações.

Artigo 30

Para o processamento de informações pessoais sensíveis com base no consentimento individual, a entidade de processamento de informações pessoais deve obter o consentimento específico do indivíduo. Onde as leis e regulamentos administrativos estipularem que o consentimento por escrito deve ser obtido para o tratamento de informações pessoais sensíveis, essas disposições são aplicáveis.

Artigo 31

Ao processar informações pessoais sensíveis, durante o processamento de informações pessoais as entidades deverão, além dos requisitos especificados no Artigo 18 Seção 1 desta Lei (PIPL), também notificar os indivíduos sobre a necessidade de processar informações pessoais confidenciais e o potenciais impacto aos indivíduos.

Artigo 32

Onde as leis e regulamentos administrativos estipularem que o processamento de informações pessoais sensíveis devem obter licenças administrativas relevantes ou estar sujeitas a outras restrições, essas disposições serão aplicáveis.

Seção 3: Disposições específicas sobre o processamento de informações pessoais por Agências Estatais

Artigo 33

Esta lei (PIPL) aplica-se ao tratamento de informações pessoais por órgãos estaduais. Quando esta seção contiver disposições específicas, essas disposições serão aplicáveis.

Artigo 34

Agências estaduais que processam informações pessoais para cumprir suas obrigações legais deve conduzir o processamento de acordo com os poderes e procedimentos prescritos por leis e regulamentos administrativos, e não deve exceder o escopo e a extensão necessária para exercer as suas funções estatutárias.

Artigo 35

Agências estaduais que processam informações pessoais para cumprir suas obrigações legais deverão notificar os indivíduos e obter seu consentimento de acordo com esta Lei (PIPL); exceto onde as leis e regulamentos administrativos estipulam a confidencialidade ou onde a notificação e obtenção o consentimento impediria as agências estaduais no desempenho de seus deveres estatutários.

Artigo 36

As informações pessoais processadas por órgãos do Estado devem ser armazenadas dentro do território da República Popular da China; onde é de fato necessário transferi-lo para o exterior, uma avaliação de risco deve ser realizada. Departamentos relevantes podem ser obrigados a fornecer suporte e assistência para a realização de avaliações de risco.

Artigo 37

Organizações que são responsáveis pela gestão de assuntos públicos, conforme autorizado por leis e regulamentos, e processar informações pessoais para cumprir as obrigações legais, cumprir os requisitos para o processamento de informações pessoais por órgãos estaduais nos termos desta lei (PIPL).

PIPL: Capítulo III – Regras para o fornecimento transfronteiriço de informação pessoal

Artigo 38

Quando uma entidade de processamento de informações pessoais precisa transferir informações pessoais fora do território da República Popular da China para negócios ou outros requisitos, pelo menos uma das seguintes condições deve ser satisfeita: 

1. Aprovação na avaliação de segurança organizada pela Administração Estatal do Ciberespaço de acordo com o artigo 40 desta Lei (PIPL); 

2. Obtenção de uma certificação de proteção de informações pessoais conduzida por instituições profissionais de acordo com os regulamentos da Administração Estatal do Ciberespaço; 

3. Obtenção de um acordo com base no contrato padrão estipulado pela Administração Estatal do Ciberespaço com uma parte receptora no exterior, concordando com os direitos e obrigações de ambas as partes, e garantindo as atividades de processamento das informações pessoais da parte receptora no exterior atendem aos padrões de proteção de informações pessoais estipulada nesta Lei (PIPL); 

4. Outras condições estipuladas por leis, regulamentos administrativos ou pela Administração Estatal do Ciberespaço.

Artigo 39

Quando uma entidade de processamento de informações pessoais transfere informações pessoais fora do território da República Popular da China, deve notificar o indivíduo sobre a identidade e informações de contato da parte receptora no exterior, finalidade do processamento, método de processamento, tipo de informação pessoal e métodos para os indivíduos exercerem seus direitos nos termos desta Lei (PIPL) com a parte receptora no exterior e outras questões; e obter do indivíduo consentimento específico.

Artigo 40

Operadores de infraestrutura de informação crítica e entidades de processamento de informação pessoal que processam informações pessoais em um volume conforme especificado pelo a Administração Estatal do Ciberespaço deve armazenar as informações pessoais coletadas e gerado no território da República Popular da China. Se for mesmo necessário transferi-los para o exterior, ele deve passar na avaliação de segurança organizada pela Administração Estatal do Ciberespaço; onde a Administração Estatal do Ciberespaço determina as leis, regulamentos administrativos e estipula se a avaliação de segurança precisa ser realizada e quais disposições devem ser aplicáveis.

Artigo 41

Onde os órgãos judiciais ou de aplicação da lei fora do território da República Popular da China solicita o fornecimento de informações pessoais armazenadas no território do República Popular da China, a disposição é proibida, a menos que tal disposição tenha obtido uma aprovação das autoridades competentes da República Popular da China; onde há disposições relevantes em tratados internacionais ou acordos assinados pela República Popular da China, pode haver ações em conformidade com essas disposições.

Artigo 42

Onde organizações ou indivíduos estrangeiros se envolvem em atividades de processamento de informações pessoais que prejudicam os direitos e interesses das informações pessoais dos cidadãos do República Popular da China, ou coloquem em risco a segurança nacional ou o interesse público da República da China, a Administração Estatal do Ciberespaço pode colocá-los em uma lista restritiva ou proibir o fornecimento de informações pessoais, fazer um anúncio público desta decisão e adotar medidas, como: restringir ou proibir o fornecimento de informações pessoais para eles, etc.

Artigo 43

Onde qualquer país ou região adota proibições discriminatórias, restrições ou outros medidas semelhantes contra a República Popular da China na área de proteção de informações pessoais, a República Popular da China pode adotar medidas recíprocas contra o país ou região com base em condições reais.

PIPL: Capítulo IV – Direitos dos Indivíduos na Atividades de Processamento de Informações Pessoais

Artigo 44

Os indivíduos têm o direito de saber e tomar decisões sobre o processamento de suas informações pessoais, e o direito de restringir ou recusar o processamento por terceiros relativas a suas informações pessoais; exceto onde as leis e regulamentos administrativos estipularem de outra forma.

Artigo 45

Os indivíduos têm o direito de acesso às suas informações pessoais e podem exigir uma cópia de entidades de processamento de informações pessoais, exceto nas circunstâncias estipuladas em Artigo 19, § 1º desta Lei (PIPL). Quando um indivíduo solicita acesso ou uma cópia de seu informações pessoais, a entidade de processamento de informações pessoais deve fornecê-las em tempo hábil.

Artigo 46

Quando os indivíduos descobrirem que suas informações pessoais são imprecisas ou incompletas, eles têm o direito de solicitar à entidade de processamento de informações pessoais a correção ou complementação das suas informações pessoais. Quando os indivíduos solicitam a correção ou complementação de suas informações pessoais, a entidade de processamento de informações pessoais deve verificar as informações pessoais e corrigir ou complementar em tempo hábil.

Artigo 47

As entidades de processamento de informações pessoais devem excluí-las ativamente; se as entidades de processamento de informações pessoais não forem excluídas, os indivíduos terão direito de solicitar exclusão em uma das seguintes circunstâncias: 

1. O objetivo do processamento foi alcançado ou não é mais necessário atingir o finalidade do processamento; 

2. As entidades de processamento de informações pessoais cessam o fornecimento de produtos ou serviços ou o período de retenção termina; 

3. O indivíduo retira seu consentimento; 

4. As entidades de processamento de informações pessoais violam as leis, regulamentos administrativos ou violam o acordo para processar informações pessoais; 

5. Outras circunstâncias estipuladas pelas leis e regulamentos administrativos. Quando o período de retenção especificado pelas leis e regulamentos administrativos não tiver expirado, ou a exclusão de informações pessoais for tecnicamente difícil de realizar, as informações pessoais entidades de processamento devem cessar o processamento, exceto quando o propósito de retenção e medidas necessárias de segurança para proteção de dados forem adotadas.

Artigo 48

Os indivíduos têm o direito de solicitar às entidades de processamento de informações pessoais que expliquem suas regras para o seu processamento.

Artigo 49

Em caso de morte de pessoas físicas, seus direitos no processamento de informações pessoais nas atividades previstas neste Capítulo serão exercidas por seus parentes próximos.

Artigo 50

As entidades de processamento de informações pessoais devem estabelecer um mecanismo para aceitar e processar solicitações de indivíduos, para que eles possam exercer seus direitos. Quando os indivíduos rejeitarem pedidos individuais para o exercício dos seus direitos, as razões devem ser explicadas.

PIPL: Capítulo V – Obrigações das Entidades de Processamento de Informações Pessoais

Artigo 51

As entidades de processamento de informações pessoais deverão, com base na finalidade de processamento, método de processamento, tipo de informação pessoal, impacto sobre os indivíduos, possíveis riscos de segurança, etc., tomar as medidas necessárias para garantir que as atividades de processamento de informações pessoais cumprir as leis e regulamentos administrativos e impedir o acesso não autorizado e vazamento de informações pessoais, bem como roubo, distorção ou exclusão. Tais medidas devem incluir:

1. Formular sistemas internos de gestão e procedimentos operacionais;

2. Implementar o gerenciamento categorizado de informações pessoais;

3. Adotar medidas de segurança técnicas correspondentes, como criptografia, etc.;

4. Determinar razoavelmente as autorizações de operação das pessoas para processamento informações pessoais e fornecimento regular de educação e treinamento de segurança para pessoas processamento de informações pessoais;

5. Formular e organizar a implementação de planos de contingência para incidentes de segurança da informação;

6. Outras medidas previstas nas leis e regulamentos administrativos.

Artigo 52

Entidades de processamento de informações pessoais que processam informações pessoais em um volume conforme especificado pela Administração Estatal de segurança cibernética deve designar um pessoal oficial de proteção de informações para supervisionar o processamento de informações pessoais, atividades e medidas de proteção adotadas, etc. A entidade de processamento de informações pessoais deve divulgar as informações de contato do oficial de proteção de informações pessoais, e enviar o nome e as informações de contato do oficial de proteção de informações pessoais para os departamentos que executam os deveres de proteção de informações pessoais.

Artigo 53

Entidades de processamento de informações pessoais fora do território do Povo República da China, conforme especificado no Artigo 3, Parágrafo 2 desta Lei, estabelecerá um escritório dedicado ou nomeará um representante designado no território do Povo República da China, para ser responsável pelo processamento de questões relacionadas à proteção de informação pessoal; e deve relatar o nome da entidade relevante ou o nome e informações de contato, etc. do representante para os departamentos que desempenham pessoal deveres de proteção da informação.

Artigo 54

As entidades de processamento de informações pessoais devem realizar auditorias regulares para verificar se suas atividades de processamento de informações pessoais estão em conformidade com as leis administrativas e regulamentos.

Artigo 55

As entidades de processamento de informações pessoais devem realizar avaliações de risco prévias para seguir com as atividades de processamento de informações pessoais e manter registros de seu processamento atividades, em particular quando são:

1. Processamento de informações pessoais confidenciais;

2. Utilizadas informações pessoais para conduzir a tomada de decisão automatizada;

3. Fornecidos informações pessoais para outros, e divulgação de informações pessoais durante o seu processamento;

4. Efetuadas transferências de informações pessoais para o exterior;

Outras atividades de processamento de informações pessoais com impacto significativo sobre os indivíduos. O conteúdo da avaliação de risco deve incluir:

1. Se o propósito de processamento, método de processamento, etc. de informações pessoais são lícitos, adequados e necessários;

2. O impacto nos indivíduos e o grau de risco;

3. Se as medidas de proteção de segurança adotadas são legais, eficazes e compatíveis com o grau de risco.

O relatório de avaliação de risco e os registros das atividades de processamento devem ser preservados por pelo menos três anos.

Artigo 56

Quando as entidades de processamento de informações pessoais descobirem um vazamento de informação pessoal, devem imediatamente adotar medidas corretivas e notificar os departamentos e indivíduos que desempenham funções de proteção de informações pessoais. A notificação deve incluir as seguintes informações:

1. A causa do vazamento de informações pessoais;

2. O tipo de informação pessoal vazada e os possíveis danos;

3. Medidas corretivas adotadas;

4. Medidas que os indivíduos podem adotar para mitigar os danos;

5. Informações de contato da entidade de processamento de informações pessoais.

Onde as entidades de processamento de informações pessoais adotam medidas que podem efetivamente evitar os danos causados pelo vazamento de informações, as entidades de processamento de informações pessoais podem optar por não notificar os indivíduos. No entanto, onde os departamentos que executam o deveres de proteção de informações pessoais acreditam que o vazamento de informações pessoais pode causar danos a indivíduos, podem exigir que as entidades de processamento de informações pessoais notifiquem indivíduos.

Artigo 57

Entidades de processamento de informações pessoais que fornecem serviços básicos de plataforma de Internet com um grande número de usuários e que operam tipos complexos de negócios devem cumprir os seguintes obrigações:

1. Estabelecer um órgão de supervisão independente composto em grande parte por pessoal externo para supervisionar as atividades de processamento de informações pessoais;

2. Deixar de prestar serviços a fornecedores de produtos ou serviços operados na plataforma se violarem gravemente os requisitos de processamento de informações pessoais de acordo com as leis e regulamentos administrativos; e

3. Publicar relatórios de responsabilidade de informações pessoais regularmente e receber supervisão do público.

Artigo 58

As partes encarregadas de processar informações pessoais devem cumprir as obrigações pertinentes previsto neste Capítulo, e adotar as medidas necessárias para garantir a segurança do informações pessoais processadas por eles.

PIPL: Capítulo VI – Departamentos que executam Deveres de Proteção de informações pessoais

Artigo 59

A Administração Estatal do Ciberespaço é responsável pelo planejamento geral e coordenação da proteção de informações pessoais e supervisão e gerenciamento relacionados. Os departamentos relevantes do Conselho de Estado são responsáveis pela proteção de informações pessoais, supervisão e gestão no âmbito das respectivas atribuições de acordo com os disposições desta Lei e leis e regulamentos administrativos relevantes.

Os funcionários responsáveis pela proteção da informação, supervisão e funções de gestão dos departamentos relevantes nos Governos Populares ou acima do nível do condado são determinados de acordo com regulamentos estaduais relevantes. Os departamentos especificados nos dois parágrafos anteriores são chamados coletivamente de departamentos que desempenham funções de proteção de informações pessoais.

Artigo 60

Os departamentos que desempenham funções de proteção de informações pessoais desempenham o seguintes deveres de proteção de informações pessoais:

1. Realização de atividades educacionais e de conscientização sobre proteção de informações pessoais, e orientação e supervisão do trabalho de proteção de informações pessoais realizado por entidades de processamento de informações pessoais;

2. Aceitação e processamento de reclamações relacionadas à proteção de informações pessoais e relatórios;

3. Investigação e processamento de atividades ilegais de processamento de informações pessoais;

4. Outras atribuições previstas nas leis e regulamentos administrativos.

Artigo 61

A Administração Estatal do Ciberespaço é responsável pela coordenação relevante departamentos para implementar o seguinte trabalho de proteção de informações pessoais de acordo com esta lei:

1. Formular regras e padrões específicos para a proteção de informações pessoais;

2. Formular regras e padrões especializados para a proteção de informações pessoais em em relação a informações pessoais confidenciais, bem como novas tecnologias e aplicativos como reconhecimento facial e inteligência artificial;

3. Apoiar a pesquisa e o desenvolvimento de identidade eletrônica segura e conveniente tecnologias de identificação;

4. Promover a construção de um sistema de serviço de proteção de informações pessoais socializado, e apoiar agências relevantes na condução de proteção de informações pessoais avaliações e serviços de certificação.

Artigo 62

Os departamentos que desempenham funções de proteção de informações pessoais podem adotar o seguintes medidas no desempenho de suas funções:

1. Entrevistar as partes relevantes e investigar as circunstâncias relacionadas às informações pessoais atividades de processamento;

2. Consultar e obter cópias dos contratos, registros, livros contábeis e outros relevantes materiais da parte em questão relacionados ao processamento de informações pessoais Atividades;

3. Realizar inspeções no local e investigar suspeitas de informações pessoais ilegais atividades de processamento;

4. Inspecionar dispositivos e itens relacionados às atividades de processamento de informações pessoais; confiscar equipamentos e itens relacionados a atividades de processamento de informações pessoais onde houver evidência para provar que eles são ilegais após o envio de um relatório por escrito para e receber a aprovação da pessoa responsável pelos departamentos.

Onde os departamentos que desempenham funções de proteção de informações pessoais desempenham suas funções de acordo com a lei, as partes interessadas devem fornecer assistência e cooperação, e não deve se recusar a cooperar ou impedi-los de outra forma.

Artigo 63

Quando os departamentos que desempenham funções de proteção de informações pessoais, no curso de execução de suas funções, descobrir que existe um risco relativamente alto resultante de atividades de processamento de informações ou observar que incidentes de segurança de informações pessoais possam ocorrer, eles podem entrevistar o representante legal da entidade de processamento de informações pessoais ou principais responsáveis, de acordo com os seus poderes e procedimentos prescritos.

Elas também podem solicitar que entidades de processamento de informações pessoais contratem instituições profissionais para realizar auditorias de conformidade em relação às atividades de processamento de informações pessoais. As entidades de processamento de informações pessoais devem adotar medidas de acordo com o requisitos para corrigir e eliminar o risco.

Artigo 64

Qualquer organização ou indivíduo tem o direito de reclamar ou relatar ao departamentos que desempenham funções de proteção de informações pessoais sobre pessoas ilegais atividades de processamento de informações. Os departamentos que recebem reclamações ou relatórios devem processá-los em tempo hábil de acordo com a lei e notificar o reclamante ou repórter dos resultados do processamento. Departamentos que executam proteção de informações pessoais devem publicar as informações de contato para a recepção de reclamações e relatórios.

PIPL: Capítulo VII – Responsabilidade Legal

Artigo 65

Quando as informações pessoais forem processadas em violação das disposições desta Lei, ou as informações pessoais forem processadas sem a adoção das medidas de proteção de segurança necessárias de acordo com as disposições, os departamentos que executam a proteção de informações pessoais devem ordenar correções, emitir advertências e confiscar rendimentos ilegais; para aqueles que recusarem fazer correções, deverá ser imposto uma multa de não mais de um milhão de yuans adicionalmente e as pessoas diretamente responsáveis estarão sujeitas a multa no valor de ¥10.000 (dez mil yuans) até ¥100.000 (cem mil yuans).

Onde houver atos ilegais, conforme prescrito no parágrafo anterior, e circunstâncias graves, o departamento que desempenha as funções de proteção de informações pessoais deve ordenar correções, confiscar rendimentos ilegais e impor uma multa de não mais de 50.000.000,00 (cinquenta milhões yuans) ou 5% da receita anual do ano anterior.

Eles também podem ordenar a suspensão de atividades de negócios, cessação de negócios para retificação e relatório ao departamento responsável pelo cancelamento de licenças profissionais ou autorizações de negócios correspondentes. As pessoas diretamente responsáveis estão sujeitas a uma multa no valor de ¥100.000 (cem mil yuans) até ¥1.000.000,00 (um milhão yuans)

Artigo 66

Havendo ato ilícito na forma desta Lei, o mesmo será registrado no arquivos de crédito de acordo com as leis e regulamentos administrativos relevantes e já publicados.

Artigo 67

Quando os órgãos estaduais deixarem de cumprir as obrigações de proteção de informações pessoais, conforme estipulado nesta Lei, seus órgãos superiores ou os departamentos que exercem pessoal deveres de proteção de informações devem ordenar correções, e as pessoas diretamente responsáveis serão punidos de acordo com a lei.

Artigo 68

Quando os direitos e interesses das informações pessoais forem violados por pessoas em atividades de processamento de informações, e a entidade de processamento de informações pessoais não for capaz de provar que não é culpado, a entidade de processamento de informações pessoais será responsável pelo delito e danos causados. A responsabilidade mencionada no parágrafo anterior é baseada nas perdas sofridas pelo indivíduo ou os benefícios obtidos pela entidade de processamento de informações pessoais. Quando for difícil determinar as perdas sofridas pelo indivíduo ou os benefícios obtidos pelo entidade de processamento de informações pessoais, o valor da compensação será decidido com base na situação real.

Artigo 69

Nos casos em que as entidades de processamento de informações pessoais processarem informações pessoais em violação das disposições desta Lei e infringirem os direitos e interesses de um grande número de pessoas, a Procuradoria do Povo, os departamentos que desempenham pessoal deveres de proteção de informações e a organização determinada pela cibersegurança estadual podem entrar com uma ação no Tribunal Popular, de acordo com a lei.

Artigo 70

Quando uma violação das disposições desta Lei constitui uma violação da administração e segurança pública, serão impostas sanções administrativas à segurança pública de acordo com a lei; onde constituir crime, a responsabilidade criminal será investigado de acordo com a lei.

PIPL: Capítulo VIII – Disposições Complementares

Artigo 71

Esta lei não se aplica quando pessoas físicas processam informações pessoais para assuntos pessoais ou domésticos. Onde a lei contiver disposições sobre o processamento de informações pessoais em estatísticas e atividades de gestão de arquivos organizadas e implementadas pelos Governos Populares e seus departamentos competentes em todos os níveis, essas disposições são aplicáveis.

Artigo 72

Os seguintes termos nesta Lei são definidos da seguinte forma:

1. “Entidade de processamento de informações pessoais” refere-se a organizações e indivíduos que determinam de forma independente as finalidades e meios para o processamento de informações pessoais e outras questões de processamento de informações pessoais.

2. “Tomada de decisão automatizada” refere-se a atividades que usam informações pessoais para analisar, avaliar e tomar decisões automaticamente, por meio de programas de computador, comportamentos e hábitos pessoais, interesses e hobbies ou situações relacionadas a finanças, saúde e status de crédito, etc.

3. “Desidentificação” refere-se ao processo no qual é impossível identificar pessoas físicas específicas sem o suporte de informações adicionais após o processamento.

4. “Anonimato” refere-se ao processo pelo qual as informações pessoais não podem ser usadas para identificar pessoas físicas específicas, assim como as informações pessoais não podem ser restauradas após o processamento.

Artigo 73

Esta Lei entra em vigor em [dia, mês, ano].

PIPL: Personal Information Protection Law – Original

Acesse o Draft da proposta do PIPL: Personal Information Protection Law na íntegra.

1a versão:

2a versão:

Fonte: Reuters e TechCrunch

O atributo alt desta imagem está vazio. O nome do arquivo é Agendar-Reuniao-Bl-Consultoria.png
Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Time BL Consultoria
Time BL Consultoria
Time BL Consultoria Digital - Direito Digital e Análise Regulatória
Time BL Consultoria
Time BL Consultoria
Time BL Consultoria Digital - Direito Digital e Análise Regulatória

Posts Relacionados

Fale Conosco

Categorias

Assine nossa Newsletter

Confira Mais Conteúdos

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *