中国全国人大常委会于2021年8月20日通过了《个人信息保护法》(PIPL)。正如欧盟通过《通用数据保护条例》(GDPR)完善了个人信息保护的监管,中国也通过制定这样一部跨行业通用的法律,建立起了一个更全面和严谨的个人信息保护机制。
PIPL建立了一个类似于GDPR的机制,但它在某些方面的要求更严格。比如,PIPL要求在处理敏感个人信息时应向个人披露更多细节。向境外提供个人信息的,PIPL要求披露每一个境外接收方的名称/姓名和联系方式,并取得个人的单独同意。PIPL还要求控制者在若干种情形下进行安全影响评估。PIPL对关键信息基础设施运营者和处理个人信息达到规定数量(这个门槛可能设定在一百万个个人信息主体)的控制者提出了信息存储要求。此外,PIPL对跨境数据转移实行更严格的管控。
在GDPR下合规,并不保证在PIPL下也同样合规。PIPL将从2021年11月1日起实施,建议企业在切实可行的前提下尽快采取措施,确保与中国相关的隐私制度符合PIPL的要求。
即将实施的PIPL将与另两部法律并行,组成中国在新时代治理网络安全、非个人身份数据和个人信息的“三驾马车”。这“三驾马车”分别是:(1)《网络安全法》,适用于中国境内建设、运营、维护和使用网络的活动,以及网络安全的监管;(2)《数据安全法》,规范除个人信息以外的其他数据的安全、治理和交易;(3)PIPL,适用于个人信息和相关事项。
个人信息的保护将由国家互联网信息办公室负责监管。
为了确保合规,企业应当:
-
- 建立一个数据治理框架,制定内部数据合规制度;
- 开展数据映射和数据清查,系统设定以及安全风险识别和评估;
- 考虑到PIPL提高了对通知和同意的要求,对照PIPL的要求,审查和更新现有适用于中国居民的隐私通知;
- 制定和更新针对个人信息保护的内部政策、协议、标准操作程序和反应机制,包括开展安全影响评估,建立沟通渠道,回应个人信息主体的请求;
- 审查数据存储,并在适用的范围内做好相关准备;
- 审查跨境数据转移、限制和手续并做好相关准备;并
- 保持并记录公司针对中国所开展的隐私和安全措施,无论是合同措施、技术措施,或组织和物理措施,包括对供应商的尽调、对供应商协议的管理、对供应商合规的监督,以及对员工的日常数据隐私和安全培训。
简介
什么信息属于个人信息和敏感个人信息?
根据PIPL的规定,个人信息是以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。这个定义与GDPR的规定相似,不过,GDPR没有就具体形式定义这一概念。
中国法律法规有意放宽对个人信息的定义和界定,这样,个人信息的范围会比较灵活,大大取决于所涉背景和用例。
与其他法域不同的是,中国的PIPL没有区分商业联系信息和个人联系信息。因此,在B2B(企业对企业)业务过程中收集和处理的企业联系信息(如联系人的姓名、职位或职称、公司固定电话、公司电子邮箱)将无一例外地归属于中国法律广泛界定的个人信息范围。
PIPL定义的敏感个人信息,是一旦泄露或非法使用即容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。
哪些处理操作会被规范?
PIPL将个人信息的“处理”定义为收集、存储、使用、加工、传输、提供、公开、删除和对个人信息所做的任何其他操作,这个定义与GDPR相似。依照这一广泛的定义,个人信息生命周期中所有类型的处理均被覆盖,因此,都会受到规范。
PIPL如何区分控制者和处理者?
PIPL对控制者和处理者两个概念进行了区分,不过使用了不同的命名。PIPL引入了“个人信息处理者(PIP)”的概念,指的是在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,类似于GDPR中控制者的概念。PIPL也采用了类似于GDPR中共同控制者的概念。
PIPL还使用了“受托人”概念,规定PIP可委托他人处理个人信息,但PIPL下的大部分个人信息处理义务的合规性仍由PIP负责。这个概念类似于GDPR中处理者的概念。
PIPL如何规定域外效力?外国PIP是否必须在中国境内指定代表?
PIPL和中国其他个人信息保护法规,旨在保护居住在中国的自然人的个人信息。
PIPL不仅适用于在中国境内处理个人信息的活动,其适用地域范围也扩展到境外,符合以下情形之一的,在中国境外处理中国居民信息的活动也适用该法:(1)以向境内个人提供产品或服务为目的;(2)分析、评估境内自然人的行为;或(3)法律、行政法规规定的其他情形。这几种情形与GDPR规定的行使域外效力时的条件极其相似。
属于PIPL域外管辖范围的外国PIP应当在中国境内设立专门机构或指定代表,这一要求也与GDPR相似,不过这一要求只适用于PIP。
PIPL适用于哪些人?
除以下两种情形外,PIPL适用于所有行业、所有类型的组织(包括政府部门)和所有处理活动:(1)中国政府部门在组织实施统计、档案管理活动的过程中处理个人信息的,这一情形可能适用特别的法律法规;和(2)个人因个人或家庭事务处理个人信息的。
但不同的PIP所承担的责任强度有所不同,取决于他们所处理的个人信息的量。
关键信息基础设施(CII)运营者和处理个人信息达到规定数量(这个门槛可能设定在一百万个个人信息主体)的PIP所承担的义务更多,比如,他们应当:(1)将在中国境内收集和产生的个人信息存储在境内;(2)在将个人信息提供到境外前,先通过国家网信部门的安全评估,除非法律、行政法规和国家网信部门规定可以不进行安全评估。
个人信息主体可以行使哪些权利?
PIPL和GDPR一样赋予了个人信息主体多项权利,具体包括:
-
- 对其个人信息的处理享有知情权和决定权,有权限制或拒绝对其个人信息进行处理,法律和行政法规另有规定的除外;
- 查阅和复制其个人信息,法律规定对个人信息的处理应当保密或不需要告知的情形除外;
- 请求PIP将其个人信息转移至其指定的PIP(相当于GDPR赋予的数据可迁移权);
- 其个人信息不准确或不完整时请求PIP更正、补充;
- 基于个人同意处理个人信息的,请求撤回同意(不影响撤回前的处理活动的效力);以及
- 要求PIP解释说明其个人信息处理规则。
在下列情形中,个人信息主体可以请求删除个人信息:
-
- 处理的目的已实现、无法实现或为实现处理目的不再必要;
- PIP停止提供产品或服务,或保存期限已届满;
- 处理是基于个人同意,而同意已被撤回;
- PIP违反法律、行政法规或违反约定(如隐私通知)处理个人信息;或
- 法律、行政法规规定的其他情形。
如法律规定的保存期限未届满,或删除个人信息从技术上难以实现的,PIP应当停止除存储和采取必要安保措施之外的处理。
PIPL还规定,任何组织、个人(即使他们不是个人信息主体)有权对违法个人信息处理活动,向负责个人信息保护的部门投诉、举报。相关部门应当依法处理案件,并将处理结果告知投诉、举报人。欧盟也有类似的举报或投诉机制。
在什么情形下应当指定个人信息保护负责人(DPO)?
处理个人信息超过规定数量的PIP应当指定一名DPO。所有CII运营者也应当指定一名DPO。对于在什么情况下指定DPO,PIP的规定和GDPR相似,后者的要求也是在一定情况下才指定DPO,如“大规模”处理某类个人信息时。
对于违法行为,PIPL是否采用GDPR式的惩罚措施?
违反PIPL规定的,可处以监管和行政罚款,追究民事责任和刑事责任。
监管和行政罚款。
对违法行为情节严重的,PIPL和GDPR一样规定了比照年度营业额百分比的罚款。对于违法行为情节严重的,或没有采取法律要求的数据安全措施的,相关部门可处(1)5000万元人民币(约780万美元),或者(2)上一年度营业额百分之五的罚款,取两数额中较高者。
对直接负责的主管人员或其他直接负责人处100万元人民币以下罚款,并可禁止其在一定期限内担任相关企业的董事、监事、高管或DPO。
民事责任。
PIPL规定,处理个人信息侵害个人权益造成损害,PIP不能证明自己没有过错的,应承担损害赔偿等侵权责任。损害赔偿责任按个人因侵权受到的损失或PIP因此获得的利益确定。在民事诉讼中,举证责任在PIP,PIP应证明自己没有过错行为。
刑事责任。
根据《刑法》,非法出售或以其他方式非法提供个人信息给第三方的,可处三年以下有期徒刑或拘役(情节严重的,三年以上七年以下有期徒刑),并处或单处罚金。
《商法摘要》由贝克·麦坚时国际律师事务所协助提供,内容仅供参考之用。读者如欲开展与本栏内容相关之工作,须寻求专业法律意见。读者可通过以下电邮与贝克·麦坚时联系:吴昊(上海)howard.wu@bakermckenzie.com
