【中国隐私保护】中国个人信息保护法

随着世界各国政府继续制定各种消费者数据隐私法，隐私和数据安全从业者需要了解法律之间的关键法律和监管差异，并掌握国际合规要求。以下是关于中国《个人信息保护法》（PIPL）的最常见问题概述，包括如何遵守该法以及该法与其他主要隐私和数据安全法的区别。

什么是PIPL？

中国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过了《个人信息保护法》，这是第一部全面规范个人信息保护问题的国家级法律。

PIPL何时生效？

PIPL自2021年11月1日起生效。

什么是个人信息（PI）？

个人信息是指与中华人民共和国境内已识别或可识别的自然人有关的任何类型的信息，无论是电子记录还是其他记录。PI排除了无法用于识别特定自然人且匿名化后不可逆的匿名信息。PIPL第4条。

PI的处理（或处理）意味着什么？

处理（有时翻译为“处理”）包括PI的收集、存储、使用、更改、传输、提供、披露、删除等。PIPL第4条。

什么是敏感个人信息（SPI）？

PIPL将SPI定义为如果披露或非法使用，可能对自然人的安全或尊严造成损害的PI。SPI包括生物特征、宗教信仰、特定身份、医疗健康、金融账户、个人位置跟踪等信息。此外，14岁以下未成年人的任何PI都被视为SPI。PIPL第28条。

SPI与PI的处理方式不同吗？

对加工SPI需要特定的目的、足够的必要性和更严格的保护措施。还需要单独同意，如果其他法律法规规定，可能需要书面同意。PIPL第29条。

此外，PI处理人员必须告知个人处理SPI的必要性以及处理SPI对其权益的影响。PIPL第30条。

如果是未成年人，在处理之前必须征得父母或其他监护人的单独同意。PIPL第31条。

PIPL的领土范围是什么？

PIPL适用于中华人民共和国境内的PI处理活动。与《通用数据保护条例》（GDPR）类似，PIPL具有域外效力。如果出现以下情况之一，在中国境外对PI的任何处理也将触发PIPL的申请：

• 加工的目的是向位于中华人民共和国境内的自然人提供产品或服务。
• 处理是为了分析或评估位于中华人民共和国境内的自然人的行为。
• 法律、法规规定的其他情形。PIPL第3条。

哪些处理活动不受PIPL限制？

自然人出于个人或家庭事务的目的处理PI不受法律约束。PIPL第72条。

PIPL是否适用于已故个人的PI？

对除非死者生前另有规定，否则死者的近亲出于合法和正当利益的考虑，可以访问、复制、更正或删除死者的相关PI。PIPL第49条。

个人（即数据主体）拥有哪些权利？

除非法律或行政法规另有规定，PIPL授予个人了解、决定、限制使用或反对使用其PI的权利。PIPL第44条。PIPL还授予个人在某些例外情况下访问和复制其PI的权利，以及在PI不正确或不完整的情况下更正或补充PI的权利。PIPL艺术。45-46之间。

处理人员必须主动删除——或者个人可以要求处理人员删除——PI，其中：（1）处理不再是所述目的所必需的；（2） 经办人不再提供产品或服务，或者保留期已过；（3） 个人已撤销同意；（4） 处理将违反特定的法律、法规或协议；（五）其他法律、法规有规定的。PIPL第47条。

PIPL还规定了数据可移植性的权利，前提是向新处理程序的任何转移都符合相关执法部门规定的条件。PIPL第45条。

PI处理程序必须遵循哪些数据保护原则？

在处理PI时，处理人员必须遵守以下所有原则：

• 合法、公平、必要和诚信。PIPL第5条。
• 目的限制和数据最小化。PIPL第6条。
• 公开透明。PIPL第7条。
• 准确性和完整性。PIPL第8条。
• 安全和问责制。PIPL第9条。
• 有限的数据保留。PIPL第19条。

处理PI的法律依据是什么？

PIPL为处理PI提供了几个法律依据：

• 取得个人同意。
• 为履行有关个人作为一方当事人的合同或实施人力资源管理所必需的。
• 履行法定责任或义务所必需的。
• 为应对公共卫生紧急情况或在紧急情况下保护个人的生命、健康或财产所需。
• 为了新闻报道和其他符合公众利益的活动。
• 为了处理个人自己已经披露或以其他方式合法披露的PI。
• 法律法规另有规定的。PIPL第13条。

什么构成有效同意？

在同意作为处理PI的法律依据的情况下，个人的同意必须在充分知情的基础上自由、自愿和明确地给予。如果处理的目的或方式发生变化，或者PI的类别发生变化，则必须就变更获得个人的新同意。PIPL第14条。

什么是单独同意？

PIPL要求处理人员在某些情况下获得“单独同意”，而没有给出“单独同意“的定义或解释。

在什么情况下需要单独同意？

在以下情况下需要单独同意：

• 将PI转移到另一个PI处理程序时。PIPL第23条。
• 当以其他方式披露PI时。PIPL第25条。
• 处理公共监控设备出于公共安全以外的目的收集的PI时。PIPL第26条。
• 处理SPI时。PIPL第29条。
• 在中华人民共和国境外转让PI时。PIPL第39条。

对广告有什么具体要求吗？

在某种程度上，PI被用于通过自动决策进行广告宣传，PIPL要求处理人员为个人提供不基于个人特征针对广告的选择，或者提供拒绝此类广告的方法。PIPL第24条。

什么是自动化决策？

自动决策是指使用计算机程序自动分析或评估个人的行为、习惯、兴趣或爱好，或个人的财务、健康或信用状况等。

什么规则适用于自动化决策？

在自动化决策中使用PI的处理者必须确保自动化结果的透明度、公平性和公正性。禁止经办人在自动化决策的基础上对个人进行不合理的差别待遇。PIPL第24条。

如果自动决策的使用严重影响了个人的权益，个人可以要求处理者解释其对此类决策的使用，并可以禁止处理者仅根据其使用做出决策。PIPL第24条。

什么是PI处理程序？

“PI处理者”是指独立决定处理PI的目的和方法的组织或个人。

PI处理人员的主要职责是什么？

PIPL对PI处理人员规定了以下义务。

• 采用并实施隐私计划，根据法律法规对PI进行分类和管理，包括适当的安全措施，防止泄露和未经授权的披露，教育员工和员工PI处理实践，并包括事件应对计划。PIPL第51条。
• 如果处理人员处理的PI符合相关执法机构制定的尚未规定的阈值，则任命一名数据保护官员（DPO）。经办人还必须向这些机构披露DPO的姓名和联系信息。PIPL第52条。
• 指定一名当地代表或实体负责数据保护实践，如果处理人员在中华人民共和国境外经营，并且属于PIPL的域外管辖范围。经办人必须向相关执法机构披露该代表或实体的姓名和联系信息。PIPL第53条。
• 定期对数据保护做法进行合规性审核。PIPL第54条。
• 当（1）处理SPI时，准备PI保护影响评估（PIPIA）；（2） 利用PI进行自动化决策；（3） 向“受托方”（即数据处理方）、其他处理方或第三方披露PI；（4） 将PI转移到国外；或（5）从事任何其他对个人有重大影响的处理活动。PIPL第55条。
• 在发生实际或潜在的网络安全事件（即“泄露、扭曲或丢失”）后，立即采取补救措施并通知相关执法部门以及受影响的个人。如果补救措施有效减轻了对个人的伤害，则无需通知受影响的个人。PIPL第57条。

什么是受托方，主要义务是什么？

根据《通用数据保护条例》，“受托方”类似于“数据处理方”。当PI处理人根据合同将PI处理委托给另一个实体时，受托方必须按照约定处理PI，未经PI处理人同意，不得转包处理。受托方不确定处理的目的和方式，也不得超出合同规定的目的和手段处理PI。PIPL第21条。

受托人应当采取必要措施，维护其处理的委托书的安全，协助委托书处理人履行义务。PIPL第59条。

处理未成年人的PI是否有特殊要求？

对关于未成年人的规定包括：

• 14岁以下未成年人的PI构成SPI。PIPL第28条。
• 因此，处理14岁以下儿童PI的处理人员必须准备PI保护影响评估（PIPIA）。PIPL第55条。
• 处理14岁以下未成年人PI的处理者必须获得父母或监护人的同意。PIPL第31条。
• 处理14岁以下未成年人PI的处理人员必须采用“特殊处理规则”。PIPL第31条。

对互联网巨头有特殊要求吗？

对为大量用户和复杂业务类型提供“重要”互联网平台服务的PI处理人员有PIPL第58条规定的额外义务，包括：

• 建立一个由主要由外部人员组成的独立监督机构监督的PI保护合规计划。
• 在公开、公平、公正的原则下制定平台规则，明确平台内产品或服务提供商处理PI的标准。
• 终止对任何严重违反PI处理法律法规的产品或服务提供商的服务。
• 定期编制和发布关于PI保护的“社会责任报告”。

PIPL是否包括数据本地化要求？

对PIPL提供了几个需要PI处理程序将其处理的PI存储在PRC内的场景，如下所示：

• PI由国家机构处理。PIPL第36条。
• 关键信息基础设施运营商（CIIO）在中国境内收集或生成的PI。PIPL第40条。
• 在中华人民共和国境内由PI处理人员收集或生成的PI，这些PI处理人员已处理达到相关执法机构制定的尚未指定的阈值的PI。PIPL第40条。

PI可以转移到中国境外吗？有什么条件吗？

对一般情况下，经办人可以将PI转移到中华人民共和国境外，但前提是：

• 从拟转让PI的个人处获得单独的知情同意。PIPL第39条。
• 进行并记录PI保护影响评估（PIPIA）。PIPL第55条。
• 满足PIPL第38条规定的下列条件之一：
  • 通过由政府网络安全部门制定的安全评估。
  • 获得由政府网络安全部门确定的专门机构进行的PI保护认证。
  • 与数据进口商一道，同意政府网络安全部门起草的标准合同条款。
  • 遵守法律法规或政府网络安全部门规定的其他条件。

经办人必须采取措施，确保海外收款人采用与PIPL规定的标准相当的PI保护水平。PIPL第38条。

是否有关于PI跨境转移的白名单或黑名单？

还没有，但如果海外组织或个人从事损害中国公民PI权益或损害国家安全或公共利益的活动，这些组织可能会被列入黑名单，因此限制或禁止从中国接收PI。

在什么情况下需要进行个人信息保护影响评估（PIPIA）？

PI处理人员必须在出现以下任何情况之前进行PIPIA并将其记录在案：

• 正在处理SPI。
• 使用PI进行自动化决策。
• 向受托方（即数据处理方）、其他处理方或第三方披露PI。
• 将PI转移到国外。
• 从事其他严重影响个人权利的处理活动。PIPL第55条。
• PIPIA记录必须至少保存三年。PIPL第56条。

PIPIA中必须包含哪些内容？

根据PIPL第56条，PIPIA报告必须说明以下所有内容：

• PI处理的目的或手段是否合法、合法和必要。
• 对个人权益的影响，以及任何安全风险。
• 所采取的保护措施是否合法、有效，并与风险程度相适应。

PIPL是否规定有任何记录保存义务？

对PI处理人员必须保存PIPIA报告和“处理状态记录”至少三年。PIPL第56条。

谁执行PIPL？

某些网络安全主管部门以及国务院相关部门——例如公安部、国家市场监管总局、科技部——有权执行PIPL。

对于轻微违规行为，上述任何一项都可能处以不超过100万元人民币（约15.7万美元）的罚款，但如果情节严重，只有省级或更高级别的当局可以处以不超过5000万元人民币的罚款（约800万美元）或年收入的5%。PIPL第66条。

如果发生违规行为，可能会受到哪些处罚？

在轻微违规的情况下，当局可以强制执行：

• 要求改正、没收非法所得或暂时停止或终止不当行为的命令。
• 对拒不改正的违法行为人处以最高100万元的罚款。
• 对直接责任人员处以1万元以上10万元以下的罚款。PIPL第66条。

在严重违规的情况下，省级或更高级别的主管部门可以强制执行：

• 责令改正、没收违法所得、暂停或者关闭有关业务、吊销营业执照的命令。
• 最高罚款5000万元人民币或上一年度营业额的5%。
• 对直接责任人员处以十万元以上一百万元以下的罚款。
• 禁止直接责任人员在一定时期内担任高级管理职务。PIPL第66条。
• 在这两种情况下，此类违法行为都将被纳入信用记录并公开披露。PIPL第67条。

个人（即数据主体）和其他人对违反PIPL的行为有哪些补救措施？

任何组织或个人都有权就PI处理人员的非法行为向相关执法部门提出投诉。PIPL第65条。

如果PI处理人员拒绝个人行使其权利的请求，个人可以向法院提起诉讼。PIPL第50条。

非法加工PI损害个人权益的，检察院、法律规定的消费者组织和有关执行机关指定的其他组织可以向法院提起诉讼。PIPL第70条。

谁在诉讼中承担举证责任？

如果对PI的处理侵犯了个人权利并造成损害，PIPL似乎要求PI处理者证明其没有过错。PIPL第69条。损害赔偿可根据个人遭受的损失或PI处理人员获得的收益进行裁决。PIPL第69条。