Compliance China

Artigo 1º Esta Lei é promulgada de acordo com a Constituição para proteger os direitos em relação às informações pessoais, regular as atividades de tratamento de informações pessoais e promover a utilização razoável de informações pessoais.

Artigo 2º As informações pessoais de qualquer pessoa natural são protegidas por lei, sendo vedado a qualquer organização ou indivíduo infringir os direitos e interesses relativos às informações pessoais de uma pessoa natural.

Artigo 3º Esta Lei aplica-se às atividades de tratamento de informações pessoais de pessoas naturais realizadas dentro do território da República Popular da China.

Esta Lei aplicar-se-á, outrossim, às atividades de tratamento de informações pessoais de pessoas naturais localizadas no território da República Popular da China que sejam conduzidas fora do território chinês, sob qualquer uma das seguintes circunstâncias:

• (I) quando a finalidade for fornecer produtos ou serviços a pessoas naturais no mercado interno;
• (II) quando a finalidade for analisar e avaliar o comportamento de pessoas naturais no mercado interno; e
• (III) outras circunstâncias previstas em leis e regulamentos administrativos.

Artigo 4º Informações pessoais referem-se a todos os tipos de informações registradas por meios eletrônicos ou outros, relativas a pessoas naturais identificadas ou identificáveis, excluindo-se as informações submetidas a tratamento de anonimização.

O tratamento de informações pessoais abrange a coleta, o armazenamento, o uso, o processamento, a transmissão, o fornecimento, a divulgação e a eliminação de informações pessoais.

Artigo 5º O tratamento de informações pessoais deve observar os princípios da legalidade, legitimidade, necessidade e boa-fé, sendo vedado o tratamento por meios enganosos, fraudulentos, coercitivos ou equivalentes.

Artigo 6º O tratamento de informações pessoais deve possuir uma finalidade clara e razoável, diretamente relacionada ao propósito do tratamento, e ser executado de maneira a causar o menor impacto possível nos direitos e interesses do indivíduo.

A coleta de informações pessoais deve limitar-se ao escopo mínimo estrito para atingir a finalidade do tratamento, sendo vedada a coleta excessiva.

Artigo 7º O tratamento de informações pessoais deve pautar-se pelos princípios da publicidade e da transparência, mediante a divulgação das regras de tratamento e a indicação expressa da finalidade, do modo e do escopo do tratamento.

Artigo 8º No tratamento de informações pessoais, deve-se garantire a qualidade dos dados para evitar efeitos adversos aos direitos e interesses dos indivíduos decorrentes de informações imprecisas ou incompletas.

Artigo 9º Os controladores de informações pessoais são responsáveis pelas atividades de tratamento por eles conduzidas e devem adotar as medidas necessárias para garantir a segurança das informações pessoais tratadas.

Artigo 10 Nenhuma organização ou indivíduo poderá coletar, usar, processar ou transmitir ilegalmente informações pessoais de terceiros, nem comercializar, fornecer ou divulgar ilegalmente informações pessoais alheias, ou engajar-se em atividades de tratamento de informações pessoais que coloquem em risco a segurança nacional ou o interesse público.

Artigo 11 O Estado estabelece e aperfeiçoa o sistema de proteção de informações pessoais, previne e pune a infração de direitos e interesses correlatos, intensifica a divulgação e a educação sobre a proteção de informações pessoais, e promove a formação de um ambiente no qual o governo, empresas, organizações sociais pertinentes e o público participem conjuntamente da proteção de informações pessoais.

Artigo 12 O Estado participa ativamente da formulação de regras internacionais para a proteção de informações pessoais, promove o intercâmbio e a cooperação internacional na matéria, e fomenta o reconhecimento mútuo de regras e padrões de proteção de informações pessoais com outros países, regiões e organizações internacionais.

Artigo 38 Quando o controlador de informações pessoais necessitar fornecer informações pessoais para fora do território da República Popular da China em virtude de necessidades comerciais ou operacionais equivalentes, deverá cumprir ao menos uma das seguintes condições:

• (I) ter sido aprovado na avaliação de segurança organizada pelo órgão administrativo do ciberespaço do Estado, nos termos do Artigo 40 desta Lei;
• (II) ter obtido certificação de proteção de informações pessoais emitida por instituição especializada, em conformidade com as diretrizes do órgão administrativo do ciberespaço do Estado;
• (III) ter celebrado contrato com o destinatário estrangeiro com base em cláusulas contratuais padrão formuladas pelo órgão administrativo do ciberespaço do Estado, delimitando os direitos e as obrigações de ambas as partes; ou
• (IV) ter preenchido outras condições previstas em leis, regulamentos administrativos ou normas editadas pelo órgão administrativo do ciberespaço do Estado.

Se os tratados e acordos internacionais celebrados ou integrados pela República Popular da China contiverem disposições sobre as condições para o fornecimento de informações pessoais para fora do território chinês, tais disposições regulamentares poderão ser aplicadas.

Os controladores devem adotar as medidas necessárias para assegurar que as atividades de tratamento conduzidas pelos destinatários estrangeiros cumpram os padrões de proteção de informações pessoais estipulados nesta Lei.

Artigo 39 O controlador que fornecer informações pessoais de um indivíduo a terceiros situados fora do território da República Popular da China deverá informar ao titular o nome do destinatário estrangeiro, seus meios de contato, a finalidade e o método de tratamento, as categorias de informações pessoais, as modalidades de exercício de direitos em face do destinatário internacional, bem como obter o consentimento específico (isolado) do indivíduo.

Artigo 40 Os operadores de infraestrutura crítica de informação e os controladores cujo volume de informações pessoais tratadas atinja o limite quantitativo prescrito pelo órgão administrativo do ciberespaço do Estado devem armazenar em território nacional as informações pessoais coletadas e geradas dentro do território da República Popular da China. Caso seja efetivamente necessário fornecer tais dados a partes estrangeiras, a operação sujeitar-se-á à avaliação de segurança organizada pelo órgão administrativo do ciberespaço do Estado; se as leis, regulamentos administrativos ou diretrizes do órgão administrativo do ciberespaço do Estado dispensarem expressamente a referida avaliação de segurança, tais normas prevalecerão.

Artigo 41 As autoridades competentes da República Popular da China tratarão de requisições oriundas de órgãos judiciais ou de fiscalização da lei estrangeiros para o fornecimento de informações pessoais armazenadas na China, em conformidade com as leis pertinentes e tratados ou acordos internacionais celebrados ou integrados pela China, ou com base no princípio da igualdade e reciprocidade. Sem a prévia aprovação das autoridades competentes da República Popular da China, nenhum controlador de informações pessoais poderá fornecer dados armazenados em território chinês a órgãos judiciais ou policiais estrangeiros.

Artigo 42 Caso qualquer organização ou indivíduo estrangeiro se engaje em atividades de tratamento de informações pessoais que lesem os direitos e interesses relativos a dados pessoais de cidadãos da República Popular da China, ou ameacem a segurança nacional ou o interesse público da República Popular da China, o órgão administrativo do ciberespaço do Estado poderá incluir tal entidade na lista de restrição ou proibição de fornecimento de informações pessoais, conferindo publicidade ao ato e aplicando medidas restritivas correlatas.

Artigo 43 Caso qualquer país ou região adote medidas discriminatórias de natureza proibitiva, restritiva ou análoga contra a República Popular da China no tocante à proteção de informações pessoais, a República Popular da China poderá, conforme a gravidade do caso, adotar contramedidas recíprocas contra o referido país ou região.

Artigo 44 O indivíduo tem o direito de ser informado e de tomar decisões sobre as atividades de tratamento de suas informações pessoais, bem como o direito de restringir ou recusar o tratamento de seus dados por terceiros, ressalvadas as disposições em contrário previstas em leis e regulamentos administrativos.

Artigo 45 O indivíduo tem o direito de consultar ou obter cópia de suas informações pessoais junto ao controlador, exceto sob as circunstâncias prescritas no primeiro parágrafo do Artigo 18 e no Artigo 35 desta Lei.

Quando um indivíduo requerer a consulta ou a cópia de suas informações pessoais, o controlador deverá fornecê-las tempestivamente.

Quando um indivíduo requerer a portabilidade/transferência de suas informações pessoais para outro controlador por ele designado, o controlador de origem deverá fornecer os meios necessários para viabilizar a transferência, desde que cumpridas as condições estabelecidas pelo órgão administrativo do ciberespaço do Estado.

Artigo 46 Ao constatar que suas informações pessoais estão incorretas ou incompletas, o indivíduo terá o direito de exigir que o controlador realize as devidas correções ou complementações.

Diante de tal requisição, o controlador procederá à verificação dos dados e efetuará as retificações cabíveis de maneira tempestiva.

Artigo 47 O controlador deverá eliminar as informações pessoais por iniciativa própria sob as seguintes circunstâncias; caso o controlador não as elimine, o indivíduo terá o direito de exigir a exclusão:

• (I) quando a finalidade do tratamento tiver sido alcançada, for impossível de ser alcançada ou tiver deixado de ser necessária;
• (II) quando o controlador interromper o fornecimento de produtos ou serviços, ou quando o período de armazenamento acordado tiver expirado;
• (III) quando o indivíduo revogar o seu consentimento;
• (IV) quando o controlador tratar as informações pessoais em violação às leis, regulamentos administrativos ou aos termos acordados; ou
• (V) outras circunstâncias prescritas por leis e regulamentos administrativos.

Caso o período de retenção determinado por leis e regulamentos administrativos não tenha expirado, ou a exclusão das informações seja tecnicamente inviável, o controlador deverá interromper qualquer atividade de tratamento que não seja o mero armazenamento seguro, adotando as medidas de segurança necessárias.

Artigo 48 O indivíduo tem o direito de exigir que o controlador forneça explicações detalhadas sobre as regras de tratamento de informações pessoais por ele adotadas.

Artigo 49 Em caso de morte de uma pessoa natural, seus parentes próximos poderão, em prol de seus próprios interesses legítimos, exercer os direitos de consulta, cópia, retificação e exclusão sobre as informações pessoais do falecido dispostos neste Capítulo, exceto se o falecido tiver disposto em contrário em vida.

Artigo 50 O controlador de informações pessoais deve instituir mecanismos facilitados para o recebimento e o processamento de requisições de direitos apresentadas pelos indivíduos. Em caso de indeferimento do pedido do indivíduo, os motivos deverão ser expressamente fundamentados.

Se o controlador recusar o pedido de exercício de direitos, o indivíduo poderá ajuizar ação perante o Tribunal do Povo na forma da lei.

Artigo 51 O controlador de informações pessoais deve, considerando as finalidades e métodos de tratamento, as categorias de dados, o impacto nos direitos e interesses individuais e os riscos de segurança mapeados, adotar as seguintes medidas para garantir a conformidade regulatória das atividades de tratamento e prevenir o acesso não autorizado, vazamento, adulteração ou perda de informações pessoais:

• (I) formular sistemas de gestão interna e procedimentos operacionais;
• (II) gerenciar as informações pessoais de forma classificada (por níveis de criticidade);
• (III) adotar medidas técnicas de segurança correspondentes, tais como criptografia e desidentificação;
• (IV) delimitar razoavelmente as permissões de acesso às informações pessoais e realizar periodicamente treinamentos e educação em segurança para os colaboradores;
• (V) formular e implementar planos de resposta a incidentes de segurança da informação; e
• (VI) outras medidas prescritas por leis e regulamentos administrativos.

Artigo 52 Quando o volume de informações pessoais tratadas atingir o limite quantitativo especificado pelo órgão administrativo do ciberespaço do Estado, o controlador deverá identificar uma pessoa encarregada da proteção de informações pessoais, responsável por finalizar e supervisionar o tratamento e as medidas de salvaguarda adotadas.

O controlador deverá dar publicidade aos meios de contato do encarregado e submeter seu nome e dados de contato ao departamento responsável pelas funções de proteção de informações pessoais.

Artigo 53 Os controladores situados fora do território da República Popular da China, cujas atividades se enquadrem no segundo parágrafo do Artigo 3º desta Lei, deverão constituir uma estrutura especializada ou designar um representante legal dentro do território da República Popular da China para responder pelos assuntos relativos à proteção de informações pessoais, submetendo os dados dessa estrutura ou representante ao departamento responsável pelas funções de proteção de dados.

Artigo 54 O controlador de informações pessoais deve realizar auditorias periódicas para verificar a conformidade de suas operações com os ditames das leis e regulamentos administrativos.

Artigo 55 O controlador deverá realizar, de forma prévia, uma avaliação de impacto à proteção de informações pessoais (AIPD) e manter o respectivo registro nas seguintes circunstâncias:

• (I) tratamento de informações pessoais sensíveis;
• (II) utilização de informações pessoais para a tomada de decisões automatizadas;
• (III) subcontratação do tratamento de dados, fornecimento de informações a outros controladores ou divulgação pública de dados pessoais;
• (IV) transferência de informações pessoais para o exterior (fora do território); e
• (V) outras atividades de tratamento que causem impacto significativo nos direitos e interesses dos indivíduos.

Artigo 56 A avaliação de impacto à proteção de informações pessoais deve analisar obrigatoriamente:

• (I) se a finalidade e o método de tratamento de informações pessoais são lícitos, legítimos e necessários;
• (II) o impacto gerado nos direitos e interesses dos indivíduos e os riscos de segurança associados; e
• (III) se as medidas de proteção técnica adotadas são lícitas, eficazes e proporcionais ao grau de risco identificado.

O relatório de avaliação de impacto e os registros de tratamento deverão ser conservados pelo período mínimo de 3 anos.

Artigo 57 Em caso de ocorrência ou suspeita de vazamento, adulteração ou perda de informações pessoais, o controlador deverá adotar imediatamente medidas de remediação e notificar o incidente ao departamento responsável pelas funções de proteção de dados e aos indivíduos afetados. A notificação conterá os seguintes elementos:

• (I) as categorias de dados e as causas que originaram o vazamento, adulteração ou perda, bem como os danos potenciais associados;
• (II) as medidas de remediação adotadas pelo controlador e as ações mitigadoras recomendadas aos indivíduos; e
• (III) as informações de contato do controlador de informações pessoais.

Caso o controlador adote medidas que evitem comprovadamente a ocorrência de danos decorrentes do incidente, poderá optar por não notificar os indivíduos; todavia, se o departamento responsável pelas funções de proteção de dados entender que há risco de dano latente, poderá ordenar ao controlador que proceda à imediata notificação dos titulares.

Artigo 58 Os controladores que fornecerem serviços de plataformas de internet de grande porte, que engenhem massa crítica de usuários e operem modalidades complexas de negócios, deverão cumprir as seguintes obrigações específicas:

• (I) estabelecer e aperfeiçoar o sistema de conformidade para a proteção de informações pessoais em consonância com as diretrizes do Estado, instituindo um comitê independente composto majoritariamente por membros externos para supervisionar a proteção de dados;
• (II) formular as regras da plataforma pautando-se pelos princípios da publicidade, justeza e equidade, delimitando os parâmetros de tratamento de dados e as obrigações dos provedores de produtos ou serviços que operam dentro da plataforma;
• (III) interromper a prestação de serviços aos provedores integrados à plataforma que cometam violações graves das leis e regulamentos administrativos no tratamento de informações pessoais; e
• (IV) publicar periodicamente relatórios de responsabilidade social focados na proteção de informações pessoais, submetendo-se à fiscalização pública.

Artigo 59 A parte contratada para tratar informações pessoais (operador) deve cumprir as obrigações correspondentes prescritas nesta Lei e em demais leis e regulamentos administrativos, adotar as medidas necessárias para garantir a segurança dos dados e auxiliar o controlador no cumprimento de seus deveres legais.

Artigo 60 O órgão administrativo do ciberespaço do Estado é responsável por coordenar a proteção de informações pessoais e avaliar os trabalhos de fiscalização correspondentes; os departamentos pertinentes do Conselho de Estado (Gabinete Executivo) respondem pela proteção, supervisão e fiscalização de dados dentro de suas respectivas áreas de competência, nos moldes desta Lei e demais regulamentos.

As funções de proteção, supervisão e fiscalização exercidas por departamentos dos Governos Populares locais de nível de condado ou superior serão determinadas em conformidade com as diretrizes e disposições do Estado.

Os departamentos referidos nos parágrafos anteriores são coletivamente denominados como "departamentos encarregados do cumprimento das funções de proteção de informações pessoais".

Artigo 61 Os departamentos encarregados do cumprimento das funções de proteção de dados exercerão os seguintes deveres:

• (I) promover campanhas de conscientização e educação sobre a proteção de dados, orientando e fiscalizando os controladores;
• (II) acolher e processar reclamações, denúncias e relatórios de irregularidades relativos à proteção de informações pessoais;
• (III) organizar auditorias e avaliações sobre a proteção de dados em aplicações móveis e correlatos, publicando os resultados;
• (IV) investigar e sancionar atividades ilegais de tratamento de informações pessoais; e
• (V) outros deveres estipulados por leis e regulamentos administrativos.

Artigo 62 O órgão administrativo do ciberespaço do Estado coordenará com os departamentos pertinentes as ações de promoção da proteção de informações pessoais, observando o seguinte:

• (I) formular regras e padrões específicos para a proteção de informações pessoais;
• (II) editar normas e padrões especiais voltados a pequenos controladores, ao tratamento de dados sensíveis e ao uso de tecnologias emergentes (tais como inteligência artificial e reconhecimento facial);
• (III) apoiar a pesquisa, o desenvolvimento e a difusão de tecnologias seguras de autenticação eletrônica de identidade, impulsionando a infraestrutura pública de validação de identidade online;
• (IV) fomentar o desenvolvimento de um ecossistema de serviços especializados em proteção de dados, apoiando auditorias e certificações na matéria; e
• (V) aperfeiçoar os canais de recebimento de denúncias e reclamações.

Artigo 63 Os departamentos encarregados do cumprimento das funções de proteção de dados poderão adotar as seguintes medidas no exercício de suas atribuições:

• (I) inquirir as partes envolvidas e investigar as circunstâncias relativas às atividades de tratamento de informações pessoais;
• (II) acessar e copiar contratos, registros, livros contábeis e outros materiais pertinentes das partes investigadas;
• (III) realizar inspeções in loco* e vistorias sobre suspeitas de infração legal; e
• (IV) vistoriar equipamentos e objetos associados ao tratamento de dados e, mediante relatório fundamentado por escrito e aprovação do chefe do departamento responsável, lacrar ou apreender os dispositivos cuja utilização ilícita restar comprovada.

Sempre que as autoridades atuarem amparadas na lei, as partes inspecionadas deverão prestar assistência e cooperação, sendo-lhes vedado recusar ou obstruir a fiscalização.

Artigo 64 Se os departamentos fiscais constatarem a existência de riscos elevados em uma atividade de tratamento de informações pessoais ou a ocorrência de um incidente de segurança, poderão intimar o representante legal ou os principais executivos do controlador para prestar esclarecimentos, ou exigir que o controlador contrate auditoria independente especializada. O controlador ficará obrigado a adotar as medidas retificadoras para eliminar os riscos identificados.

Caso o departamento fiscal identifique indícios de prática de crime no curso das investigações, deverá transferir imediatamente o caso para os Órgãos de Segurança Pública (Polícia) para processamento penal nos termos da lei.

Artigo 65 Qualquer organização ou indivíduo possui o direito de apresentar reclamação ou denúncia contra tratamentos ilícitos perante as autoridades competentes. O órgão receptor processará a demanda tempestivamente e informará o resultado ao denunciante. Os meios de contato para o recebimento de denúncias devem ser amplamente divulgados pelas autoridades.

Artigo 66 O tratamento de informações pessoais em violação às disposições desta Lei, ou a omissão no cumprimento dos deveres de segurança aqui estipulados, sujeitará o infrator às sanções aplicadas pelas autoridades de proteção de dados, que ordenarão a retificação, emitirão advertência, confiscarão os ganhos ilícitos e determinarão a suspensão ou a cessação dos serviços da aplicação infratora. Se o controlador recusar-se a efetuar a retificação, aplicar-se-á cumulativamente multa de até 1 milhão de RMB; os executivos diretamente responsáveis e demais funcionários culpados sujeitar-se-ão a multas individuais entre 10.000 RMB e 100.000 RMB.

Caso as infrações descritas no parágrafo anterior revistam-se de gravidade severa, as autoridades de proteção de dados de nível provincial ou superior ordenarão a retificação, confiscarão os proveitos ilícitos e aplicarão multa corporativa de até 50 milhões de RMB ou de até 5% do faturamento da empresa no ano anterior; poderão, ainda, determinar a suspensão das atividades ou a paralisação do negócio para fins de auditoria, notificando as autoridades de licenças comerciais para a cassação do registro de funcionamento ou da licença de operação. Os executivos e indivíduos diretamente responsáveis serão apenados com multas individuais entre 100.000 RMB e 1 milhão de RMB, podendo ser temporariamente proibidos de exercer cargos de diretoria, conselho fiscal, alta gerência ou encarregatura de proteção de dados em empresas do setor.

Artigo 67 Os atos ilícitos capitulados nesta Lei serão registrados nos arquivos e sistemas de classificação de crédito social, em conformidade com as leis e regulamentos administrativos correspondentes, e serão objeto de divulgação pública.

Artigo 68 Caso um órgão estatal descumpra suas obrigações de proteção de informações pessoais estipuladas nesta Lei, o órgão que lhe for hierarquicamente superior ou as autoridades de proteção de dados ordenarão a retificação do ato e aplicarão sanções disciplinares e administrativas aos chefes e funcionários diretamente responsáveis, nos termos da lei.

Os servidores públicos das autoridades de proteção de dados que incorrerem em prevaricação, abuso de poder ou condescendência criminosa para fins de obtenção de vantagem pessoal serão punidos administrativamente na forma da lei, sem prejuízo da responsabilidade criminal caso a conduta constitua crime.

Artigo 69 A violação de direitos e interesses relativos a dados pessoais que resulte em danos gerará a obrigação de reparar o prejuízo sob a égide da responsabilidade civil por ato ilícito (responsabilidade extracontratual), a menos que o controlador comprove a total ausência de culpa no evento danoso.

A reparação de danos referida no parágrafo anterior será calculada com base nos prejuízos efetivamente sofridos pelos indivíduos afetados ou nos ganhos ilícitos auferidos pelo controlador em decorrência do ilícito; caso seja inviável mensurar tais valores com exatidão, o Tribunal do Povo fixará o montante indenizatório de acordo com as circunstâncias fáticas do caso concreto.

Artigo 70 Quando o controlador tratar informações pessoais em desconformidade com esta Lei, violando massivamente os direitos e interesses de um número expressivo de indivíduos, a Procuradoria do Povo, as organizações de defesa do consumidor legalmente constituídas e as entidades designadas pelo órgão administrativo do ciberespaço do Estado poderão ajuizar ação civil pública perante o Tribunal do Povo.

Artigo 71 As infrações aos dispositivos desta Lei que configurem violações de ordem e segurança pública sujeitar-se-ão às penalidades previstas na lei de gestão de segurança pública do Estado; caso a conduta configure crime, a responsabilidade penal será estritamente apurada pelas autoridades competentes.

Artigo 72 Esta Lei não se aplica às atividades de tratamento de informações pessoais realizadas por pessoas naturais no âmbito de assuntos estritamente pessoais ou familiares.

Havendo disposições específicas em leis sobre o tratamento de informações pessoais no âmbito das administrações de estatística e de arquivos organizadas pelos Governos Populares em todos os níveis e seus departamentos correspondentes, tais disposições prevalecerão.

Artigo 73 Para os efeitos desta Lei, definem-se os seguintes termos:

• (I) Controlador de informações pessoais: qualquer organização ou indivíduo que determine, de forma autônoma e independente, as finalidades e os métodos de tratamento em atividades de processamento de informações pessoais.
• (II) Tomada de decisões automatizadas: atividade de análise e avaliação automatizada dos hábitos de comportamento, preferências, situação econômica, estado de saúde ou perfil de crédito de uma pessoa natural por meio de programas de computador, resultando na emissão de decisões.
• (III) Desidentificação: processo de tratamento de informações pessoais por meio do qual se torna impossível identificar uma pessoa natural específica sem o auxílio de informações adicionais mantidas separadamente.
• (IV) Anonimização: processo de tratamento de informações pessoais por meio do qual os dados são modificados de tal forma que se torna absolutamente impossível identificar uma pessoa natural específica, sendo uma operação tecnicamente irreversível.

Artigo 74 Esta Lei entrará em vigor em 1º de novembro de 2021.