随着全球各国政府继续制定涉及消费者数据隐私的各种立法,隐私和数据安全专家理解这些法律之间的基本法律和监管区别,并保持警惕,以符合国际合规标准变得至关重要。本文概述了关于中国的个人信息保护法(PIPL)最常提出的问题,包括关于如何达到合规以及阐明这项立法与其他重要隐私和数据安全法律之间的差异的指南。
什么是PIPL?
中国的个人信息保护法(PIPL)于2021年8月20日在第十三届全国人民代表大会常务委员会第30次会议上颁布,是首个为涉及个人信息保护事项提供全面监管框架的国家级立法。
个人信息保护法(PIPL)什么时候生效的?
个人信息保护法于2021年11月1日生效。
什么是个人信息(PI)?
根据个人信息保护法(PIPL),个人信息被定义为任何形式的信息,无论是以电子方式还是以其他方式记录的,都涉及到中华人民共和国(PRC)领土范围内的已识别或可识别个人。然而,需要注意的是,根据PIPL第4条的规定,该法律排除了经过匿名化处理后无法用于识别特定个人且在匿名化过程后不可逆转的信息。
个人信息的处理是什么意思?
处理(也被称为“处理”)涵盖了许多与个人信息(PI)有关的活动,正如个人信息保护法(PIPL)第4条所述。这些活动范围从最初的个人信息收集和安全存储,到随后的使用、修改、传输和披露等等。此外,这个过程还包括让个人访问他们的数据,删除不再需要的信息,以及与个人信息管理相关的其他任何相关行动。个人信息保护法强调在这些处理操作中遵守严格的指南的重要性,以保护个人隐私并维护其个人数据的完整性。
什么是敏感个人信息(SPI)?
个人信息保护法(PIPL)将特殊个人信息(SPI)定义为敏感数据,如果泄露或被滥用,可能会损害个人的安全或尊严。SPI包括生物识别特征、宗教信仰、特定身份详细信息、医疗记录、财务账户、位置追踪等。14岁以下的未成年人也被视为SPI。根据PIPL第28条的规定。
特殊个人信息(SPI)与个人信息(PI)是否受到不同的对待?
根据个人信息保护法(PIPL)第29条的规定,处理特殊个人信息(SPI)需要明确的目的、实质性的必要性和更严格的保护措施。必须进行单独的同意,而在其他法律法规规定的某些情况下,可能需要书面同意。
此外,个人信息处理者有义务告知个人有关特殊个人信息处理的必要性以及其对其权益的潜在影响(PIPL第30条)。
对于未成年人,必须在处理其个人信息之前获得其父母或法定监护人的事先单独同意(PIPL第31条)。
个人信息保护法(PIPL)的地域范围是什么?
个人信息保护法(PIPL)对中华人民共和国(PRC)境内的个人信息(PI)处理具有管辖权。类似于《通用数据保护条例》(GDPR),个人信息保护法也具有域外适用性。这意味着在中国境外进行的任何个人信息处理如果发生以下任何情况,仍然会受到个人信息保护法的监管:
处理旨在向位于PRC境内的个人提供产品或服务。
处理涉及对位于PRC境内的个人行为的分析或评估。
其他根据PIPL第3条所规定的相关法律法规规定的情况。
个人信息保护法(PIPL)中有哪些处理活动是豁免的?
个人信息保护法(PIPL)第72条规定,自然人在处理个人信息(PI)用于个人或家庭事务方面可以豁免该法律。这意味着处理个人信息以进行私人和家庭事务的个人不受PIPL对于为商业或公共目的处理个人信息的组织和实体所施加的监管要求和义务的约束。
个人信息保护法(PIPL)是否适用于已故个人的个人信息?
是的。根据个人信息保护法(PIPL)第49条,已故个人的亲属有权出于合法合理目的,访问、复制、更正或删除已故个人的相关个人信息(PI)。除非故者在去世前另有规定,否则将授予对已故个人的PI的访问和控制权。这一规定旨在确保已故个人家庭成员的权益在处理已故个人的个人信息时得到保护和尊重。
个人(即数据主体)有哪些权利?
处理特殊个人信息(SPI)需要明确的目的、实质性的必要性和更严格的保护措施,根据个人信息保护法(PIPL)第29条的规定。必须进行单独的同意,在某些情况下,根据其他法律法规的规定,可能需要书面同意。
此外,个人信息处理者有义务告知个人有关特殊个人信息处理的必要性以及其对其权益的潜在影响(PIPL第30条)。
对于未成年人,在处理其个人信息之前必须获得其父母或法定监护人的事先单独同意(PIPL第31条)。
个人信息处理者必须遵循哪些数据保护原则?
个人信息处理者必须遵循个人信息保护法(PIPL)中概述的几项数据保护原则,以确保合法和负责任地处理个人信息。这些原则包括:
合法、公平和必要性
目的限制
获知同意
数据最小化
准确性
存储限制
安全性
负责任性
处理个人信息的法律基础是什么?
根据个人信息保护法(PIPL),处理个人信息(PI)的几种合法基础包括:
同意:在向个人明确并提供有关拟议目的的清晰知情信息后,可以处理个人信息。
合同必要性:在个人是合同当事人或用于组织内部人力资源管理的情况下,可能需要处理个人信息以确保合同履行。
履行法定义务:在履行法律法规赋予的法定职责或义务的情况下,个人信息处理可以是合法的。
公共卫生或紧急情况:在应对公共卫生紧急情况或在紧急情况下保护个人生命、健康或财产时,可以允许处理个人信息。
公共利益:可以为与新闻报道、公共利益活动或其他合法的公共利益事业相关的目的处理个人信息。
自愿披露:如果个人已经自愿披露了自己的个人信息,或者信息已经合法披露,可能可以基于现有的披露进行进一步的处理。
合规法律法规:如果被特定的法律法规允许,个人信息可以进行处理,这可以作为合法的授权依据。
什么构成有效的同意?
在个人信息保护法(PIPL)下,如果同意作为处理个人信息的合法基础,必须是自愿给予的、明确的,并且充分知情的(PIPL第14条)。如果处理目的、方法或个人信息类别发生变化,需要获得个人的新同意。
什么是单独的同意?
个人信息保护法(PIPL)在某些情况下要求获得“单独的同意”,但未提供明确的定义。这指的是从个人那里获得明确且独立的同意,以针对特定的数据处理活动或目的,促进透明度和知情决策。
在什么情况下需要单独的同意?
- 将个人信息转移给另一个个人信息处理者(个人信息保护法第23条)。
- 向第三方披露个人信息(个人信息保护法第25条)。
- 处理公共监控设备收集的个人信息,用于非公共安全目的(个人信息保护法第26条)。
- 处理特殊个人信息(SPI)(个人信息保护法第29条)。
- 将个人信息传输到中华人民共和国(PRC)以外(个人信息保护法第39条)。
在广告方面有任何特定要求吗?
根据个人信息保护法(PIPL),当个人信息被用于通过自动决策进行广告推送时,处理者有义务向个人提供选择,即不接收基于其特征的定向广告。或者,处理者必须提供个人选择退出或拒绝此类定向广告的机制(PIPL第24条)。此要求旨在赋予个人对其个人信息在广告推送中的使用方式更多的控制权,尊重他们对定向广告的偏好。
什么构成自动决策?
自动决策涉及使用计算机程序自动分析或评估个人的行为、偏好、兴趣爱好以及各个方面,如其财务、健康或信用信息,正如个人信息保护法(PIPL)第73条所述
自动决策应遵循哪些规定?
在利用个人信息(PI)进行自动决策的处理者必须在自动化过程产生的结果中遵循透明、公平和公正的原则。根据个人信息保护法(PIPL)第24条的规定,处理者严禁因自动决策而对个人进行不合理的歧视性待遇。
在自动决策实施严重影响个人权益的情况下,个人有权要求处理者解释使用此类决策的情况。此外,个人可以要求处理者避免仅基于自动化过程结果做出决策,正如个人信息保护法(PIPL)第24条所规定的。
什么是个人信息处理者?
“个人信息处理者”指的是自主决定个人信息(PI)处理目的和方法的个人或组织。
个人信息处理者的主要职责是什么?
个人信息保护法(PIPL)对个人信息处理者有一定的义务要求,具体如下:
建立和实施隐私保护方案,依法合规分类和管理个人信息(PI)。该方案应包括适当的安全措施,以防止个人信息的未经授权披露和泄露。此外,应包括员工和工作人员适当的个人信息处理实践的教育计划。方案还必须包括事件响应计划。(PIPL第51条)
如果个人信息处理者处理的个人信息达到相关执法机关确定的门槛,他们必须任命数据保护官(DPO)。DPO的姓名和联系方式需要向相关机关披露。(PIPL第52条)
如果个人信息处理者在中华人民共和国(PRC)境外运营,但又属于个人信息保护法域外适用范围,他们需要指定一名负责数据保护实践的本地代表或实体。这位代表或实体的姓名和联系信息必须向相关执法机关披露。(PIPL第53条)
应定期进行数据保护实践合规性审计。(PIPL第54条)
在处理特殊个人信息(SPI)、将个人信息用于自动决策、披露个人信息给“受托方”(数据处理者)、其他个人信息处理者或第三方、将个人信息传输到境外,或者进行其他显著影响个人的活动时,个人信息处理者必须编制个人信息保护影响评估(PIPIAs)。(PIPL第55条)
如果出现实际或潜在的涉及个人信息“泄露、失真或丢失”的网络安全事件,个人信息处理者必须迅速采取补救措施,并通知相关执法机关和受影响的个人。但是,如果补救措施有效地减轻了对受影响个人的损害,通知受影响个人可能不是必要的。(PIPL第57条)
什么是“受托方”以及其主要义务是什么?
在个人信息保护法(PIPL)的背景下,"受托方"与《通用数据保护条例》(GDPR)中定义的"数据处理者"类似。当个人信息处理者通过合同协议将个人信息的处理委托给另一个实体时,受托方有义务根据合同中约定的条款处理个人信息。未经个人信息处理者的明确同意,受托方不得将处理外包给其他实体。此外,受托方无权确定处理的目的和方法,并且在合同中规定的范围之外,不得处理个人信息。
受托方必须采取必要措施确保其处理的个人信息的安全,并在满足个人信息处理者在个人信息保护法下的义务方面提供协助。
处理未成年人的个人信息有特殊要求吗?
当然可以!以下是关于未成年人在个人信息保护法(PIPL)下的规定的释义版本:
根据个人信息保护法第28条,14岁以下的未成年人的个人信息被视为特殊个人信息(SPI)。
因此,任何处理14岁以下个人信息的处理者都需要根据个人信息保护法第55条进行个人信息保护影响评估(PIPIA)。
根据个人信息保护法第31条的规定,处理14岁以下未成年人个人信息的处理者必须获得他们的父母或法定监护人的明确同意。
处理14岁以下未成年人个人信息的处理者必须遵循个人信息保护法第31条的规定,遵守特殊的处理规则。
对于互联网巨头有特殊要求吗?
提供“重要”的互联网平台服务,拥有庞大用户群和复杂运营的个人信息处理者必须:
建立个人信息保护合规方案,并由独立的外部机构监督。
制定基于公开、公平和公正的平台规则,为平台内提供者制定个人信息处理标准。
对严重违反个人信息法律法规的提供者采取行动,可能终止其服务。
定期发布关于个人信息保护努力的“社会责任报告”。
个人信息保护法(PIPL)中是否包含数据本地化要求?
的确,个人信息保护法(PIPL)规定了几种情况下,个人信息处理者需要将其处理的个人信息存储在中华人民共和国(PRC)境内。这些情况包括:
处理个人信息的国家机关有义务按照PIPL第36条的规定,在中华人民共和国境内存储个人信息。
在中华人民共和国境内收集或生成个人信息的关键信息基础设施运营者(CIIOs)也必须将个人信息存储在国内,根据PIPL第40条的规定。
在中华人民共和国境内收集或生成个人信息,并且已经处理了达到相关执法机关确定的特定门槛的个人信息量的个人信息处理者,必须按照PIPL第40条的规定在中华人民共和国境内存储个人信息。
个人信息能否转移到中国境外?是否有任何条件?
是的。个人信息在中国境外的转移需要处理者:
从将要转移个人信息的个人获得单独知情同意(PIPL第39条)。
进行并记录个人信息保护影响评估(PIPIA)(PIPL第55条)。
满足个人信息保护法第38条中的以下条件之一:a. 通过政府网络安全主管部门的安全评估。b. 从政府网络安全主管部门指定的专门机构获得个人信息保护认证。c. 同意与数据导入者一同签署政府网络安全主管部门草拟的标准合同的条款。d. 遵守法律、法规或政府网络安全主管部门规定的其他条件。
确保境外接收者提供与个人信息保护法标准等同的个人信息保护水平(PIPL第38条)。
关于个人信息跨境转移是否存在白名单或黑名单?
目前还没有,但参与损害中国公民个人信息权利、危害国家安全或公共利益的海外组织或个人可能会被列入黑名单,从而受到限制或被禁止接收来自中华人民共和国的个人信息(PIPL第42条)。
在什么情况下需要进行个人信息保护影响评估(PIPIA)?
在以下情况下,个人信息处理者有义务在进行以下活动之前进行并记录个人信息保护影响评估(PIPIA):
处理特殊个人信息(SPI)。
使用个人信息(PI)进行自动决策过程。
披露个人信息给受托方(也称为数据处理者)、其他个人信息处理者或第三方。
将个人信息转移至中华人民共和国法域之外的地点。
参与任何其他对个人权利具有重大影响的处理活动。
个人信息保护影响评估(PIPIA)必须包括什么内容?
根据个人信息保护法第56条的规定,个人信息保护影响评估(PIPIA)报告必须包括以下方面:
处理个人信息(PI)的目的或方法的合法性、合理性和必要性。
对个人权益的潜在影响,以及相关的安全风险。
所采取的保护措施的合法性、有效性和适当性,考虑到所涉风险的水平。
个人信息保护法(PIPL)是否规定了任何记录保存义务?
是的,根据个人信息保护法第56条的规定,个人信息处理者需要至少保留个人信息保护影响评估(PIPIA)报告和“处理状态记录”三年。
谁执法个人信息保护法(PIPL)?
特定的网络安全主管部门和国务院相关部门,例如公安部、市场监管总局和科技部等,有权执法个人信息保护法(PIPL)。
对于轻微的违规行为,上述任何机构都可以处以最高100万元人民币(约合15.7万美元)的罚款。在更严重的情况下,只有省级或更高级别的机构有权根据PIPL第66条,对违规者处以最高5000万元人民币(约合800万美元)或其年收入的5%的罚款。
在违反情况下可能会实施哪些处罚?
在违反情况下可能会实施哪些处罚?
发出改正命令,没收违法所得,或暂时中止或终止不当行为。
对未纠正行为的违规者处以最高100万元的罚款。
根据个人信息保护法第66条,对直接负责的个人处以1万元到10万元的罚款。
在严重违规行为情况下,省级或更高级别的机构有权采取以下处罚:
发出改正命令,没收违法所得,暂停或关闭相关业务,或吊销经营许可证。
对违规者处以最高5000万元或上一年营业额的5%的罚款。
根据个人信息保护法第66条,对直接负责的个人处以10万元到100万元的罚款。
根据个人信息保护法第66条,禁止直接负责的个人在一定期限内担任高级管理职务和角色。
在这两种情况下,这些违法行为将被记录在信用记录中并公开披露,根据个人信息保护法第67条的规定。
个人(即数据主体)和其他人针对违反个人信息保护法(PIPL)的行为可以采取哪些补救措施?
根据个人信息保护法(PIPL)第65条,任何组织或个人都有权向适当的执法机构举报个人信息处理者的违法行为。
如果个人信息处理者拒绝遵守个人行使权利的请求,个人可以选择在法院提起诉讼,根据PIPL第50条的规定。
在违法处理个人信息的情况下,如果对个人的权益产生不利影响,检察院、法律规定的消费者组织以及相关执法机构指定的其他组织可以在法院发起法律诉讼,根据PIPL第70条的规定。
在诉讼中,谁承担举证责任?
在处理个人信息导致侵权和损害个人权益的情况下,个人信息保护法(PIPL)似乎将举证责任置于个人信息处理者身上,要求其证明自己不负责,正如PIPL第69条中所述。随后,根据PIPL第69条的规定,可以根据受影响个人所遭受的损失或个人信息处理者所获得的利润来判定是否可以获得赔偿。
