文章分类
《中华人民共和国个人信息保护法》自2021年11月1日起施行。其目标是保护属于中国人民的个人数据,并授权个人负责自己的数据隐私。
斯坦福大学的DigiChina项目提供了该文本的翻译,该项目致力于翻译中文主要来源,使其更容易获得。
如果你是一家在中国有任何客户或客户的企业,或者你计划以中国受众为目标,以下是该法的运作方式以及你如何确保合规。
需要隐私政策吗?我们的隐私政策生成器将帮助您创建一个可以在您的网站和移动应用程序上使用的自定义政策。只需遵循以下几个简单步骤:
- 点击我们网站上的“开始创建您的隐私政策”。
- 选择将使用您的隐私政策的平台,然后转到下一步。
- 添加有关您的业务的信息:您的网站和/或应用程序。
- 选择国家/地区:
- 回答我们向导中有关您从用户那里收集的信息类型的问题。
- 输入您希望发送隐私政策的电子邮件地址,然后单击“生成”。
你完了!现在,您可以复制或链接到托管的隐私政策。
- 1.中国PIPL如何定义“个人信息”
- 2.PIPL下的“个人信息处理”意味着什么
- 3.PIPL何时适用?
- 4.中国PIPL下的个人权利
- 4.1。第15条:撤回同意的权利
- 4.2。第16条:不受歧视的权利
- 4.3。第17条:知情权
- 4.4、。第24条:拒绝自动决策的权利
- 4.5。第44条:对个人信息作出决定的权利
- 4.6、。第45条:数据可携带权
- 4.7、。第46条:修正权
- 4.8条。第47条:请求删除的权利
- 4.9、。如何呈现用户权限
- 5.PIPL及其处理的法律依据
- 6.第55条影响评估
- 7.根据PIPL向海外转移个人数据
- 8.报告数据泄露
- 9个人数据处理者的义务
- 10违反PIPL的处罚
- 11结论
中国PIPL如何定义“个人信息”
如第4条所述,个人数据是指与可识别人员有关的任何类型的信息,但不包括匿名数据:
斯坦福PIPL翻译:文章4摘录
这是一个宽泛的定义,因此最好假设任何数据都可能是个人信息,除非另有证明。
第28条将敏感信息定义为如果落入坏人之手可能对个人造成伤害的数据,例如位置跟踪数据、医疗状况或财务信息:
斯坦福PIPL翻译:第28条摘录
除非有明确的目的,否则您无法处理敏感数据。如果您处理属于未成年人的数据,例如,如果您运行针对青少年的应用程序或网站,您也应该非常谨慎。
PIPL下的“个人信息处理”意味着什么
如果您在数据方面做了以下任何一项,您就是在PIPL下“处理”或“处理”个人数据:
- 正在收集
- 使用
- 共享
- 存储
- 传输或转移
当涉及到个人数据处理时,有一些规则适用。
- 您不能以误导或欺诈的方式处理个人数据(第5条)。
- 只允许为特定目的收集数据,并且应尽量减少需要捕获的数据量(第6条)。
- 你必须明确披露你为什么需要个人数据,你如何处理这些数据,以及你与谁共享这些数据(第7条)。
- 企业必须实施保护措施,以保护属于其责任范围内的数据(第9条)。
在许多方面,这些规则与GDPR中的规则相似。
PIPL何时适用?
如果您处理属于中国居民的任何个人数据,则PIPL适用。因此,即使你的总部不在中国,你销售商品和服务的任何中国个人都受到法律的保护。
这一切在PIPL第3条中有更详细的规定。
中国PIPL下的个人权利
《个人信息保护法》赋予个人对其个人数据以及组织如何使用这些数据的全部权利。如果您正在处理个人或敏感数据,您必须始终遵守这些权利。
第15条:撤回同意的权利
如果有人同意企业获取他们的个人数据,他们有权随时撤回该同意。
您可以通过在营销电子邮件和隐私政策中制定明确的程序,帮助人们行使撤回同意的权利。
以下是Billabong隐私政策“关于我的个人信息,我有什么选择”部分的一个例子:
第16条:不受歧视的权利
企业不能因为客户行使撤回同意的权利而歧视客户。
这意味着,除非你需要数据来履行合同,例如销售合同,否则你不能因为某人阻止你获取他们的数据就拒绝向他们提供服务。
第17条:知情权
在有人向您提供他们的数据之前,他们有权知道:
- 为什么要收集数据
- 您保留数据的时间
- 人们如何行使其数据隐私权
- 他们如何联系你
例如,Tim Hortons使用其隐私政策以简单、简短的要点列出了其收集的数据类型以及如何使用:
在起草您自己的隐私政策条款时使用类似的策略。
第24条:拒绝自动决策的权利
人们有权选择退出基于个人数据的自动决策。
如果你在营销中使用个人数据或自动决策,那么你必须让人们选择拒绝参与其中。
第44条:对个人信息作出决定的权利
人们应该知道他们可以控制自己的个人数据。他们能够决定谁访问和/或处理他们的数据。
第45条:数据可携带权
人们可以通过电子邮件、PDF或其他适合自己的方法等便携式格式请求个人数据的副本。您应该及时提供数据,但什么是“及时”并没有明确定义。
第46条:修正权
如果人们发现他们的个人数据在某些方面不准确或不完整,你必须让他们修改。如果有人再次要求你更正他们的数据,你应该及时这样做,这样你就不会对过时的信息采取行动。
第47条:请求删除的权利
最后,人们有权要求您删除他们的数据。除非有正当理由不能遵守,否则您应该遵守,例如您需要数据来遵守其他法律义务:
如何呈现用户权限
告知人们这些权利的最简单方法是起草一份隐私政策。我们在其他文章中详细介绍了这些政策,但简而言之,隐私政策规定了您对隐私问题的立场,它应该清晰、用户友好且易于理解。
您需要一份隐私政策来遵守GDPR等法律,因此尽快起草一份符合您的利益。只要确保你的政策符合PIPL,因为它与欧盟法规略有不同。
PIPL及其处理的法律依据
根据PIPL,公司处理个人数据必须有合法的依据。理由载于第13条。简言之,除非以下理由之一适用,否则公司无法处理个人数据:
- 个人同意
- 没有数据就无法履行合同,例如销售合同
- 公司需要数据来履行法定义务
- 这对保护生命至关重要
- 在合理的范围内,这些数据是报道新闻所必需的
- 该公司正在处理个人已经合法向其披露的数据
如果您计划依赖个人同意,您必须确保第14条规定的同意是明确和自由的:
斯坦福PIPL翻译:第14条摘录
如果您想处理敏感数据或与其他公司共享个人数据,还必须获得单独的同意。
最后,如果你知道或应该合理地知道你正在处理属于14岁以下儿童的数据,你必须征得父母或监护人的同意才能处理。
第55条影响评估
根据第55条,公司必须进行“个人信息保护影响评估”,如果他们:
- 处理敏感数据
- 将任何个人数据转移到海外
- 与其他公司或实体共享个人数据,或
- 实施可能严重影响个人隐私权的任何其他行为
因此,例如,如果你正在处理宗教或政治数据,或者你正在将数据传输给另一个国家的处理器,你必须进行影响评估。
第56条涵盖了必须被视为您评估的一部分的内容。您应该考虑:
- 您的活动对个人隐私权的影响
- 您可以采取哪些步骤来保护数据。步骤必须与所涉及的风险水平成比例。
- 以这种方式处理数据是否合理和相称
换言之,如果你不能以某种方式证明处理个人数据的必要性,或者如果你不能有效地保护信息,你就不应该采取行动。您还必须将影响评估记录保存三年或三年以上:
根据PIPL向海外转移个人数据
虽然将个人数据发送到海外是可以的,但您必须遵守某些规则。
最重要的是,除非你有合法的数据共享基础,并且你得到了个人的具体知情同意,否则你不能将个人数据转移到中国境外。
- 应该有足够的安全措施来保护传输之前、传输期间和传输之后的任何数据
- 您必须清楚地记录您进行的任何海外数据传输
- 在进行转移之前,您应该进行影响评估,以考虑共享数据所涉及的任何风险
在进行任何海外转移之前,您应查看中国网信办(CAC)的额外指导。
报告数据泄露
数据泄露报告的规则见第57条。
总之,如果您知道或怀疑个人数据以某种方式丢失、泄露或泄露,您必须通知履行数据保护职责的部门。您应该说明:
- 哪些信息曾经(或可能)被泄露
- 您为限制损坏或补救情况而采取的任何措施,例如修复安全故障
- 该部门如何与您联系以进一步讨论违规行为
除非已经造成实际伤害,或者相关部门认为会造成伤害,否则你不需要通知个人。
个人数据处理者的义务
作为一家处理个人数据的公司,您在PIPL下负有某些义务,可概括如下:
- 您必须实施一个安全的系统来处理和管理个人信息
- 如果没有适当的安全保护措施,例如加密和取消识别,您就无法处理个人数据
- 为员工提供定期培训和网络安全指导至关重要
- 必须定期完成合规性审计
- 您必须遵守PIPL引入的任何其他安全要求
最后,你必须记住,你需要一个合法的基础来处理个人数据。你的责任在该法第51条中有更详细的规定:
违反PIPL的处罚
违反PIPL的经济处罚可能很严厉,如果您违反法律或未能采取足够措施保护您拥有的个人数据,则适用这些处罚。如果你不让受影响的个人行使PIPL规定的隐私权,你也可能面临他们的法庭诉讼。
- 监管机构通常会联系您,并在罚款申请前给您解决问题的机会
- 如果您未能解决问题,您可能会被处以最高100万元人民币(约15.4万美元)的罚款
- 根据违约行为的性质,个人也可能承担个人责任
如果违规行为足够严重,那么您可能会面临额外的制裁,例如:
- 扣押收入
- 企业倒闭
- 罚款最高可达年收入的5%
考虑到这些处罚可能有多严重,如果你担心履行PIPL合规义务,你应该得到法律建议。
结论
中国的《个人信息保护法》是中国隐私法向前迈出的一大步。该法律旨在帮助人们保护他们的个人和敏感数据,并确保公司采取适当措施保护提供给他们的任何数据。
- 公司需要合法的基础来处理任何个人数据。
- 个人可以起诉那些拒绝让他们行使隐私权的公司。
- 处理敏感数据或与外部实体共享敏感数据需要额外的同意。
- 在未进行影响评估的情况下向海外发送数据是违法的。
- 数据泄露必须向有关当局报告,并在适当情况下向受影响的个人报告。
- 如果不能修复监管机构标记的任何数据泄露,可能会受到严厉的经济处罚。
通过以下方式确保合规性:
- 必要时获得明确、自由和知情的同意
- 起草隐私政策,解释用户拥有哪些权利以及如何行使这些权利
- 一旦发现数据泄露,立即报告,并采取措施减轻损失
- 遵守监管机构制定的任何命令
- 密切关注法律的任何变化或更新。它相对较新,因此随着时间的推移,可能会出现进一步的指导。
- 登录 发表评论