中国的长城

这是什么,我为什么要关心?

中国的隐私法《个人信息保护法》将于2021年11月1日生效[1]并将改变公司处理中国境内个人信息的方式。这是中国第一部全面的数据隐私法,但它是中国似乎准备积极执行的增强隐私和安全制度的一部分。这部法律有多重目的,但一个关键驱动因素肯定是中国希望阻止国内科技公司的网络欺诈、数据盗窃和侵入性数据收集。基本上免费的、不受监管的数据让企业得以快速成长和创新;然而,猖獗的欺诈、消费者歧视和其他弊端导致政府实施了一系列法律来加强对这些行为的控制。除了遏制此类滥用,中国政府还在国际数据隐私领域确立了领导者的地位

《网络安全法》是继《中国数据安全法》(DSL)(2021年9月1日生效)之后推出的,《网络安全法》和《网络安全法》都将加入《网络安全法》(2017年6月1日生效),为中国建立统一的数据保护机制。据估计,中国拥有全球40%的数据。这三部法律都以不同的方式保护网络安全。网络安全法的目标是维护中华人民共和国网络空间主权、国家安全和公共利益,数据安全法的目标是关注数据处理活动、数据开发和数据利用。

PIPL的不同之处在于,其主要重点是保护个人在个人信息方面的权益,规范个人信息的处理活动,促进个人信息的“合理”或“合理、公平”使用。在地理范围上,网络安全法关注的是中国境内的网络创建、运营和维护,DSL关注的是中国境内和境外的网络处理活动。这样,PIPL更像DSL,因为它在某些情况下也具有域外权限,尽管PIPL更狭义地关注PI,而DSL处理所有电子信息。

PIPL通过对个人信息的收集、使用、存储和其他处理方式施加实质性限制来解决个人隐私问题私营公司. 它不太可能直接限制中国政府的监视活动。这可能会产生涓涓效应,但私营公司将减少数据收集和处理以符合要求,而政府传统上依赖于能够访问私营公司持有的信息。该政权在第63条中保留了一个“政府大小的漏洞”,PIPL在该条中指出,当监督政府机构采取行动“依法履行其职责和责任时,有关各方应提供协助与合作,不得阻挠或阻碍。“[2]

键定义

为了理解PIPL,有几个关键定义是重要的。

PIPL下的个人信息(PI)是“通过电子或其他方式记录的与身份识别或可识别的自然人有关的各种信息,不包括经过匿名处理的信息。”[3]通过在这一定义中不仅包括已确认身份的个人,而且包括“可识别的”个人,与其他通过全面隐私立法的司法管辖区一样,中国极大地扩大了该法律涵盖的数据的潜在覆盖范围。

个人信息处理人(PI Handler)是指“在个人信息处理活动中,自主决定处理目的”的组织或个人。因为PI处理程序是PI处理的决策者,所以在其他管辖区,处理程序被称为控制器。“处理”本身就是其他司法管辖区通常所说的“处理”。任何收集、存储、使用、传输、供应、披露、删除或其他处理都包含在定义中。[4]

领土范围

PIPL适用于在中国处理自然人的所有个人信息,但与欧洲、巴西、加州和其他新兴美国司法管辖区的隐私法一样,PIPL的影响范围超出了中国边界。PIPL也适用于中国个人的PI处理:

  1. 为中国个人提供商品或服务,
  2. 分析活动或评估个人在中国的行为,或
  3. 法律、法规规定的其他事项。

一个关键问题是,境外的PI经办人为了与中国企业做生意而对中国企业代表的PI进行处理,是否属于法律管辖范围。一些人认为这些企业对企业的关系属于PIPL之外。当一家英国公司与中国公司谈判购买商品时,它并不是在向中国的某人“提供商品或服务”。相反,它是在从中国购买商品或服务。同样,如果一家英国公司向中国企业出售商品或服务,参与购买的中国员工的PI是否受保护,或者,由于销售对象是该企业,而不是个人,它是否在PIPL之外?

举个例子:美国公司正在生产小部件,在美国和加拿大销售。他们与中国公司签订合同,生产用于小部件的芯片。美国公司的供应链总监收集多家中国公司员工的电子邮件地址和电话号码,以便下单并确保及时完成订单。美国公司没有向中国人提供商品或服务,也没有分析中国人的行为。但这种解读是不是太精细了?

目前,这些问题还没有明确的答案。然而,由于PIPL在许多方面是基于欧盟通用数据保护条例(GDPR)的,因此在确定其范围时求助于GDPR中的相应语言可能会有所帮助。

GDPR(第三条) 比鹏(第三条)
(1)本条例适用于在联盟内设立控制器或处理器的活动范围内对个人数据的处理,不论该处理是否在联盟内进行。

(2)本规例适用于由不在联盟内设立的控制人或处理人处理联盟内的资料当事人的个人资料,而该处理活动涉及:

(a)向联盟内的这类资料当事人提供货物或服务,不论是否需要该资料当事人支付款项;或

(b) 只要他们的行为发生在工会内部,就要对他们的行为进行监督…。

在中华人民共和国境内处理自然人个人信息的活动,适用本法。

中华人民共和国境内自然人的个人信息在中华人民共和国境外办理活动中,有下列情形之一的,同时适用本法:

  1. 目的是向边界内的自然人提供产品或服务;
  2. 分析、评估境内自然人活动的;
  3. 法律、行政法规规定的其他情形。

规章制度建立,处理数据的π管辖之外的,属于监管的范围的活动如果处理的目的是提供/提供商品或服务的个人或监测,分析,评估个人的行为。起草过程非常相似,GDPR普遍被解释为适用于参与企业对企业交易的个人联系信息,其中至少有一个人是欧盟成员。

鉴于PIPL有意将其范围与GDPR相似的可能性(GDPR及其实施经验可作为PIPL的起草者的参考),最有可能的是,处理与中国境外组织进行商业对商业交易的中国个人的PI是由PIPL涵盖的。根据这一定义,如果一家企业与中国境内人员PI的唯一互动是处理中国团队成员的联系信息,例如,向非中国公司销售产品,那么该企业就属于PIPL的管辖范围。

什么是《个人资料保障计划》下的个人资料?

第4条将PI定义为:

通过电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名处理后的信息。个人信息处理包括个人信息的收集、存储、使用、处理、传输、提供、披露、删除等。

这一宽泛的PI定义与GDPR,以及中国《网络安全法》(2017年)、《民法典》(2021年)和香港《个人资料私隐条例》中的定义非常相似。中国《网络安全法》和《民法典》将PI定义为通过电子或其他方式记录的信息,单独用于或与其他信息结合用于识别自然人身份,但不涉及“可识别”自然人的信息。通过包括“可识别的”自然人,PIPL将像GDPR一样涉及非常广泛的数据集。

PI中包含的内容是否有例外?

在美国,加利福尼亚州、弗吉尼亚州和科罗拉多州的隐私法将员工数据排除在隐私法的大多数限制之外。中国没有走这条路;相反,它再次跟随GDPR的脚步,特别地在PIPL的覆盖范围中包含了员工数据。

PIPL第13条规定,在中国处理PI的法律基础之一是专门针对人力资源管理的。具体来说,它规定处理程序可以处理数据:

根据依法制定的劳动规章制度和依法订立的劳动合同,进行人力资源管理。

显然,如果人力资源管理是处理数据的合法基础,那么员工数据也不能免除PIPL的覆盖范围。

此外,在“法律或行政法规规定的其他情形”中,《公共财产保护法》第3条的措辞究竟意味着什么,目前还没有真正明确的说法。中国可能会出台进一步的规定,或者,我们会看到这种语言被用作一个笼统的说法,以便在适合中国的情况下,将企业对企业的行为者纳入PIPL的范围。因此,与其他明确豁免的隐私制度不同,中国的法律草案似乎有意允许更多数据在未来纳入其覆盖范围。

pipl的原则

与GDPR一样,PIPL建立了其赖以成立的原则,为解释法规本身提供了一个视角。PIPL第5条规定,所有的PIPL处理(处理)都应遵循合法性、得体性、必要性和真诚性的原则。其中一些术语在隐私领域相当新颖,但鉴于中国决定实施这一规定的背景,以及进一步指示禁止以“误导、欺诈或胁迫”的方式处理PI,[5]帮助明确目标。一个组织的意图,而不仅仅是其行为,可能会使其违反中国法律,例如,如果它使用其收集的数据来完成欺诈或其他欺诈行为的目的。

除了要求数据处理“光明正大”的目的,PIPL还要求PI处理的公开性和透明度。这些要求涉及通知和范围问题,本文将对此进行更深入的探讨。[6]责任和安全也是PIPL-PI处理人员的基础,他们需要确保PI的质量和正确性,以保护个人免受不正确PI的不利影响,并且还必须保护PI免受威胁。这些原则共同建立了一种制度,在这种制度中,如果数据处理人员错误处理信息或误导个人处理信息的方式,他们将无法避免责任(或责任)。[7]

执法和处罚

PI处理人要承担违反PIPL的民事和潜在刑事责任。《消费者权益保护法》第六十六条规定,可以通过人民检察院、消费者保护组织(法定指定)和国家互联网信息办公室指定的其他组织提起诉讼实施。此外,法律特别考虑到一些违法行为可能上升到构成犯罪的程度。虽然它没有明确规定在何种情况下违反《公共权利公约》本身就是一种犯罪,但很可能得出的结论是,欺诈或胁迫方面的违反既可以是违反《公共权利公约》,本身也可以是一种犯罪。[8]

政府可采取的监管措施之一就是命令违反PIPL的人纠正问题。如果拒绝纠正,则除其他制裁外,可能会处以高达100万元人民币(约15.4万美元)的罚款。其他可能的制裁包括:没收非法收入(即通过违反PIPL获得的任何收入)、临时暂停或终止非法计划/服务/或应用。与其他隐私法不同的是,对违反行为负有直接责任的个人或人员也可能被单独罚款。这些罚款将在10000元至100000元(约1500美元至15000美元)之间。

有些违规行为可能会升级“严重”违规程度。pipl没有指定可能使违规坟墓的坟墓。在欧洲联盟中,违反GDPR的基本原则是携带最高刑罚的最严重的违规行为。在加利福尼亚州,“故意”违规是收到最高罚款。如果中国遵循这些例子,那么“严重违规行为”很可能是指受影响的人数很大的情况,信息敏感,违规是重复的,或以其他方式令人害怕,或其他比较严重程度更无意或无意的过程,不是原则,违规类型。

如果违法行为严重,处罚包括责令改正违法行为,没收非法收入,并处以最高5000万元人民币(约770万美元)或年收入5%的罚款。对一些企业而言,更令人担忧的可能不是罚款,而是所有相关业务活动将被暂停、停业整顿可能被责令停业、公司在中国的行政或营业执照可能被吊销的可能性。[9]此外,直接负责违反规定的人员将被处以10万至100万元人民币(约1500至1.5万美元)的罚款。这些人员也可能被禁止在一段时间内担任某些高级职位。[10]

监督PIPL执行的政府部门有权:

  1. 与有关人士面谈,调查有关PI处理活动的情况;
  2. 查阅和复制有关方的合同、记录、收据以及其他与PI处理活动有关的资料;
  3. 对涉嫌非法PI处理活动进行现场检查和调查;
  4. 检查与PI处理活动相关的设备和物品;有证据证明该设备或物品是用于从事非法PI处理活动的,政府部门可以查封或没收(按规定程序)。[11]

如果外国PI处理人从事违反PIPL或损害中国国家安全或公共利益的行为,该实体可能会被列入限制或禁止其访问PI的名单,可能会收到正式警告,或者政府可能会采取其他额外措施,禁止向该实体提供PI。[12]

处理程序的职责

PI Pipl下的PI处理职责是不同的。They are responsible to take into consideration the purpose of their handling, the methods used, the categories of PI (for example, whether sensitive information included), the influence the handling could have on individuals’ rights and interests, and potential security risks when deciding how to adopt appropriate measures to fulfill the PIPL.

具体而言,PI处理人员负责酌情采取以下措施:

  1. 制定内部管理结构和操作规则;
  2. 实施个人信息分类管理;
  3. 采取相应的加密、去识别、[13]等;
  4. 合理确定个人信息处理的操作限制,定期对员工进行安全教育和培训;
  5. 制定并组织实施个人信息安全事件应急预案;
  6. 法律或行政法规中提供的其他措施。[14]

他们还负责进行定期审计[15]以及在出现安全漏洞时采取纠正措施。[16]下面将更深入地探讨安全漏洞。

当完整使用PIPL时,PI处理程序负责确保按照PIPL的所有原则、目的和要求处理PI。他们被要求以公开和透明的方式处理PI,他们通过遵守PIPL的通知要求来做到这一点。[17]其他要求,如回应纠正或解释的请求,[18]走向开放,质量和责任的原则。[19]PI处理人员还负责防止数据不准确或不完整对个人权益造成不利影响。[20]

根据发生的PI处理数量,处理人可能需要任命一名个人信息保护官员(类似于GDPR下的数据保护官员,或DPO)。PIPL不清楚何时需要这样的任命。它将进一步澄清这一点留给CAC。[21]

满足一定要求的PI操作者还负责在中国指定一个代表[22]以及进行个人信息保护影响评估。[23]下面将更深入地探讨这些需求。

PI处理人员在将信息传递给其他方(或联合PI处理人员或PI处理人员(或PIPL术语中的“委托人”),以代表PI处理人员进一步处理信息时,也需要确保信息的安全。

联合PI处理器

有可能存在联合PI处理程序(即,联合控制器的情况)。如果两个或两个以上的PI Handlers共同决定处理目的和方法,他们必须在协议中概述各方的权利和义务。[24]双方之间的协议不影响PIPL下数据主体的权利。个人仍可要求一名或所有联合PI处理人履行删除、更正、解释等方面的处理人义务(如个人权利部分所述)。[25]如果联合PI处理人以导致损害的方式损害个人权益,则处理人应承担连带责任。[26]

委托的人

根据PIPL,受托人在其他司法管辖区被称为处理人。当PI处理人将PI“委托”给另一个实体或个人时,该实体或个人就成为“受托人”。PI经办人与受托人必须达成协议,确定受托人处理PI的目的、期限、处理方式、处理PI的类别、保护措施以及协议双方的权利和义务。如PI处理人监督受托人处理活动的权利。[27]

与GDPR和类似法律下的处理器一样,受托人不得以与PI处理器协议中未规定的任何方式或出于受托人自己的目的处理PI(如果他们确实出于自己的目的处理PI,EP可能是一个联合的PI处理程序,需要满足对PI处理程序的所有要求)。[28]受托人还需要得到PI处理程序的同意,才能进一步将PI委托给另一个受托人(即,他们需要批准使用子处理器)。[29]受托人必须维护其所处理的PI,并必须协助PI经办人履行其在PIPL下的义务。[30]他们还必须在合同结束时将所有PI返回给PI处理程序(或删除它)。[31]

注意

注意是PIPL的一个完整要求。所有PI处理人员在处理任何PI之前都需要提供通知。为了使该通知在PIPL下足够充分,它必须明确、真实和充分地以清晰和易于理解的语言告知个人。[32]通知必须包括:

  1. 个人信息处理程序的名称和联系方式;
  2. 个人信息处理的目的和处理方法,处理的个人信息的类别和保留期;
  3. 个人行使本法规定权利的方法、程序;
  4. 法律、行政法规规定的其他事项,应当予以通知。

任何时候所需的信息发生变化,PI处理程序都必须通知数据主体。此外,如果处理程序通过正式的PI处理规则通知数据主体,那么这些规则应该是公开的,便于读取和存储。[33]对许多公司来说,这可以通过将π处理规则的一部分隐私通知他们在线列表,如果它们是操作一个砖和砂浆的位置,通过张贴标志,引导个人在线隐私通知或提供的物理副本注意收集,π。有一个警告,允许一些数据处理程序可能保留匿名:如果法律或者行政法规提供机密性是没有必要保存或通知,π处理程序能够保留上面的投影点1所需的信息。

此外,PIPL考虑到可能存在紧急情况,使得PI处理之前无法发出通知。如果“为了保护自然人的生命、健康和财产安全,个人信息处理人员应在紧急情况结束后通知他们”,则无需通知的处理是必要的[34]这种事先通知的例外与GDPR和加州的CCPA中所见的例外类似,尽管允许紧急处理以保护财产安全的增加是新颖的。在GDPR下,处理数据以保护重要利益为在不给予通知的情况下处理数据提供了法律基础(正如在PIPL下所做的那样),但只有在个人没有能力给予同意的情况下。这些情况最可能出现在医疗急救类型的情况中。CCPA特别允许在人处于危险、死亡或严重受伤的情况下,由政府行为者在没有适当通知的情况下紧急处理PI。PIPL明确地比那些隐私法走得更远,明确地指出,财产利益包括在那些可以证明通知要求豁免的范围内。

身份识别

注意可能不足以证明在公共场所使用图像收集和识别设备是合理的。如果是为了公众安全而使用,并附有清楚说明收藏目的和用途的标志,则允许进行此类PI处理。[35]但是,PI处理人员不允许将这些图像用于公共安全以外的任何目的(例如,分析特定位置以外的行人流量,以帮助确定最佳操作时间等),除非获得正在收集图像的每个人的个人同意。[36]

自动化决策

自动化决策是PI处理程序在PIPL下面临额外规则的领域之一,以确保遵循透明、公平和正义的原则。[37]自动决策被PIPL定义为“使用计算机程序自动分析或评估个人行为、习惯、兴趣、爱好、财务、健康、信用或其他状态,并[基于此]做出决定的活动。”[38]

参与这类决策的PI操作者不允许(不合理地)在交易条件(如价格)方面区分个人。[39]叫车应用程序是PIPL这一节所针对的活动类型的一个很好的例子。在中国,全球最大的拼车应用滴滴(Didi)因定价等一系列问题遭到了中国当局的愤怒。一些拼车应用程序因根据算法向个人收取不同价格而受到严厉批评,这些算法以较低的价格吸引新用户,同时向普通用户显示较高的价格。

根据PIPL,通过自动化决策方法进行推送或商业销售的实体,也需要为个人提供一种“方便”的方法,以根据特征选择退出或不成为目标。[40]

此外,当使用自动化决策产生决策与主要影响个人的权利和利益,个人有权要求个人信息处理程序来解释此事,并拒绝让π处理程序只做决定通过自动化决策方法。[41]一些组织可能会反对这一要求,将其自动化决策如何工作的解释视为对商业秘密或其他机密信息的知识产权的披露。确定“解释问题”所要求的内容,将有助于公司确切了解为了合规需要披露哪些内容。

法律依据加工

PIPL第13条规定了任何PI处理程序必须为处理任何个人信息具有适当的法律依据。如果存在以下一个或多个情况,PI处理程序可能只处理个人信息:

  1. 取得个人同意的;
  2. 需要订立、履行与个人有利害关系的合同,或者需要依照依法制定的劳动规章制度和依法订立的劳动合同进行人力资源管理的;
  3. 在必要时履行法定职责和责任或法定义务;
  4. 为应对突发公共卫生事件或者在紧急情况下保护自然人的生命健康、财产安全,有必要的;
  5. 在合理范围内处理个人信息,为公众利益开展新闻报道、舆论监督等活动;
  6. 在依照本法规定的合理范围内处理本人公开的或者以其他方式依法公开的个人信息时。
  7. 法律和行政法规中提供的其他情况。

当处理个人已经披露的个人信息时(以上第6点),个人信息处理人只能在“合理范围”内处理个人信息,如果个人明确拒绝处理个人信息,则个人信息处理人可能根本不能处理个人信息。[42]在未经同意的情况下处理已公开的PI,如果处理对个人的权益有重大影响,也是违法的。[43]

同意

同意在PILP中收到了相当数量的关注。为了获得有效的同意,必须通过具有全面知识的个人通过明确声明自愿给予。如果PI处理程序改变正在处理的信息的目的,方法或类别,则必须获得新的同意。[44]如果同意是PI处理人所依赖的法律基础,处理人必须准备在个人撤销他们的同意时停止处理数据。PIPL特别要求处理程序为个人提供撤销同意的流程。虽然法律并没有对该方法的外观提出具体要求,但它确实说了该方法必须“方便”。

在GDPR下,只有在个人被告知他们有权撤回同意时,同意才被认为是自由给出的撤回和同意一样容易。例如,如果个人可以通过勾选在线表格上的方框并输入特定PI来表示同意,则还应提供类似类型的在线表格以撤销同意。虽然PIPL在要求撤回同意与给予同意一样简单方面不如GDPR具体,但在确定撤回同意的过程是否符合PIPL的“便利”标准时,可能会参考最初给予同意的过程。

虽然如果依赖上述2-7项法律基础中的一项,一般不需要同意,但在某些情况下需要同意,包括组织处理敏感个人信息或从事跨境转移的任何时候。这些情况将在下面进一步讨论。

PIPL下的敏感信息

在PIPL中,敏感信息被定义为“一旦泄露或非法使用,很容易侵犯自然人尊严或对个人安全和财产安全造成损害的个人信息,如生物识别信息、宗教信仰、特别指定的状态、医疗健康信息、金融账户、个人行踪信息以及14岁以下未成年人的个人信息。”[45]在许多方面,这个定义比其他数据隐私法中对敏感信息的定义更宽泛。

GDPR列出了一份符合敏感条件的具体信息清单,但PIPL给出了一份非详尽的清单,并附带了松散的语言。“对于企业来说,确定哪些信息如果泄露,可能会对个人的‘尊严’造成伤害肯定是困难的。”例如,客户的购买历史通常被理解为PI,但在大多数情况下,它不会像个人健康信息那样被视为“敏感”。然而,如果一家公司销售的产品在某些文化中可能被认为是令人尴尬的,那么购买历史是否也会被认为是敏感的,因为它的滥用“侵犯”了某人的尊严?

一旦一个组织确定它正在处理敏感的个人信息,它就必须采取某些措施来合法地处理它。最重要的是,敏感信息只有在征得同意后才能在PIPL下处理。[46]该同意必须是明确的,而且,如果PI涉及14岁以下的未成年人,必须得到父母或监护人的同意。[47]除了获得同意的一般通知要求外,个人还必须被告知"对[其]权利和利益的必要性和影响",以便处理其敏感的PI。[48]然后,PI处理人员可以仅为经过同意的特定目的处理信息,同时遵循严格的安全措施。在处理敏感信息之前,还必须进行保护影响评估。[49]

跨境处理

为了处理从中国境内转移到中国境外的数据,这被称为跨境处理,PIPL要求PI处理人员确保中国境外各方适当地保护他们收到的PI。[50]这意味着,作为通知和同意要求的一部分,必须通知个人的个人信息将在中国以外处理,并且还必须告知如何在与外国处理程序相关的PILP下行使其权利。[51]

在进行跨境处理之前,需要进行保护影响评估。[52]此外,如果数据处理程序想要移出中国,则必须满足以下要求之一:

  1. 通过国家互联网信息办公室(CAC)组织的安全评估;
  2. 通过ca认可的专业机构的PI认证;
  3. 按照国资委制定的格式合同与境外受让人订立合同;
  4. 法律、行政法规或者国家互联网信息办公室规章规定的其他条件。[53]

即使一个组织计划从事跨境数据传输不依赖标准合同,它仍然需要确保遵循的保护比鹏导出数据时,数据处理协议是强烈推荐虽然比鹏没有特别需要它在这种情况下。

处理目的和数据最小化

为了在PIPL下处理个人信息,经办人必须根据第六条有明确和合理的目的。实际的处理必须与该目的直接相关,并将数据收集限制在允许Handler完成其目的的最小范围内。作为实现PIPL这些原则的一部分,禁止过度收集PI,处理人员必须使用对个人权利和利益影响最小的处理方法。此外,个人信息保留期必须是实现PI处理目的所需的最短时间。[54]基本上,PIPL建立了一个数据最小化标准。

安全漏洞

根据PIPL,当出现安全漏洞时,PI处理人员对中国政府和数据主体都负有责任。违规行为包括“发生或可能发生的个人信息泄露、失真或丢失”[55]PI处理程序需要立即采取补救措施,并通知政府和数据主体。

但是,在某些情况下,PI处理程序可以避免通知数据主体。如果PI处理人员能够通过采取补救措施避免对个人造成伤害,他们就不必通知个人。例如,如果黑客入侵涉及丢失或盗窃装有敏感PI的笔记本电脑,而该组织能够在数据被访问之前远程删除数据,那么对个人的危险很可能就可以避免,他们也不需要被通知。

所有违反安全的通知都必须包括:

  1. 泄密的信息类别、原因和可能造成的危害;
  2. PI Handler采取的补救措施;
  3. 个人可以采取的措施以减轻可能的伤害;和
  4. PI处理程序的联系方式。[56]

指定代表

如果境外机构在办理境内人员的PI,必须在境内设立专门机构或指定代表。指定的代表将负责组织的PI处理相关事宜。该个人/组织的名称及其联系信息必须提交给有权监督PI保护的中国当局。[57]这一要求与GDPR的代表性要求类似,尽管中国尚未为只参与偶尔或低风险处理活动的组织豁免。

保护影响评估

在一些情况下,PIPL要求PI处理人员执行个人信息保护影响评估(“PIPIA”或在其他司法管辖区更常见的“PIA”)。如有以下至少一种情况,必须在处理前进行国际航检:

  1. 处理敏感的个人信息;
  2. 使用个人信息进行自动决策;
  3. 委托个人信息处理/向其他个人信息处理方(即使用处理方和子处理方)提供个人信息,或披露个人信息;
  4. 向境外提供个人信息(即跨境转账);和
  5. 对个人有重大影响的其他个人信息处理活动(例如,影响个人就业能力)。[58]

这些情况与欧盟必须根据GDPR进行数据保护影响评估的情况类似。然而,虽然PIPL规定在涉及自动化决策时必须进行PIA,但它没有达到GDPR的要求,GDPR规定在任何涉及使用“新技术”的处理活动时都需要进行PIA[59]另一方面,PIPL(与GDPR不同)在PI处理者向其他实体(包括委托人(处理者或供应商))披露PI时需要PIA。PI经办人应了解其在本要求下的职责,因为PIPL还要求所有经办人定期对其与法律合规性相关的经办活动进行审计。[60]

在进行国际航检(其记录必须保存至少3年)时,PI处理人员应包括:

  1. PI处理目的,处理方法等是合法的,合法的,必要的;
  2. 对个人权益的影响,
  3. 安全风险;和
  4. 所采取的保护措施是否合法、有效和适合于风险程度。

这些要求与GDPR中的要求相似,但不太详细。GDPR特别要求PIA包括对加工活动相称性的评估,而PIPL最接近该要求的是确定PI处理人员实施的保护措施是否“适合”风险程度。PIPL也没有设想将寻求个人的投入作为PIA的一部分,而GDPR确实如此。[61]

而比鹏不包括GDPRπ处理程序创建一个新的PIA的具体要求有变化时风险的处理,这样,在一个单独的部分,需要π处理程序进行定期审计,和一个假设,如果一个审计发现PIA风险未知,中国的一个部门主管部门预计,至少在通过审计确定了风险之后,才会创建一个新的国际航管局。[62]

平台提供商

对于提供互联网平台服务、拥有大量用户、业务模式“复杂”的PI Handlers,也有专门的规定。[63]这些“平台提供者”,除了一般PI处理程序的责任外,还需要:

  1. 按照国家规定,建立健全个人信息保护合规制度和架构,建立以外部成员为主的独立机构,监督个人信息保护情况;
  2. 坚持公开、公平、公正的原则;制定平台规则;明确平台内产品或服务提供商的个人信息处理标准和个人信息保护职责;
  3. 停止在平台上向处理个人信息严重违反法律、行政法规的产品或服务提供商提供服务;
  4. 定期发布个人信息保护社会责任报告,接受社会监督。[64]

这些额外的规定明显针对大型科技公司,并代表了中国明确表示的目标,即为该州一直存在的那种免费的PI处理创造更多障碍。

关于外国政府的说明

PIPL禁止PI经营者在未经中国政府批准的情况下,向外国政府分享任何国内存储的PI。[65]如果外国司法或执法机构想要访问存储在中国的PI,必须直接向中国政府的主管部门提出请求。

此外,《国际刑事诉讼法》还明确规定,如果任何外国对中国的保护采取歧视的禁令或限制,中国“可以根据实际情况对该国家或地区采取对等措施”。[66]这一具体条款凸显了pipl的目标之一——使中国成为数据保护领域的世界领导者之一。这一条款明确表明,中国计划在隐私保护领域发出声音,如果其他任何司法管辖区试图加大中国开展业务的难度,它将予以反击。

关于中国政府的说明

PIPL第六章概述了中国政府在PIPL下的职责。虽然大多数PIPL并不限制政府活动,但本章确实对政府施加了一些限制,主要是为了遏制腐败和鼓励举报。中国网络空间管理局(CAC)负责隐私条例的中央规划和管理,国务院各部门负责提供个人信息保护、监督和管理的更多实地活动,其中一部分包括监督县级部门开展这项工作。[67]

向CAC报告的所有这些部门的个人信息和保护职责包括:

  1. 开展个人信息保护宣传教育,指导和监督个人信息处理人员开展个人信息保护工作;
  2. 受理和处理与个人资料保护有关的投诉和报告;
  3. 组织对使用的程序等个人信息保护情况进行评估,并公布评估结果。
  4. 查处违法的个人信息处理活动;
  5. 法律、行政法规规定的其他职责。[68]

一些行动被专门批准为执法部门用于履行其职责的适当措施。这些措施包括:

  1. 会见有关人士,调查与个人资料处理活动有关的情况;
  2. 查阅、复制当事人的合同、记录、收据以及与其个人信息处理活动有关的其他资料;
  3. 对涉嫌非法处理个人信息的行为进行现场检查和调查;
  4. 检查与个人信息处理活动相关的设备和物品;
  5. 没收或封存用于从事非法个人信息处理活动的设备;[69]
  6. 要求PI处理人员委托专门机构对其处理活动进行合规性审计。[70]

PILP还使个人或组织妨碍妨碍履行PIPL下的职责的部门的违法行为。[71]由于个人有权就非法PI处理向各部门提出投诉,因此各部门负责公布联系他们的方法,并对投诉采取行动。[72]如果授权部门确定PI处理活动存在高风险或发生安全违规,他们可能会要求PI处理人员采取某些保护和/或纠正措施。[73]作为其调查权力的一部分,部门当局可以与一个组织的法定代表或负责遵守监管要求的人交谈。在调查过程中,如果发现PI处理不当,有可能发展为犯罪行为,则会指示将案件移交给刑事当局。[74]

与此同时,国家互联网信息办公室主要专注于更高层次的规划和执行。它负责:

  1. 制定具体的个人信息保护规则和标准;
  2. 为小型个人信息处理人员制定专门的个人信息保护规则和标准,以及处理敏感个人信息、面部识别、人工智能等方面的新技术和新应用。;
  3. 支持研发和广泛采用安全便捷的电子身份认证技术,推进公众网上身份认证服务建设;
  4. 推进服务系统的建设,以社交个人信息保护,并支持相关组织推出个人信息保护评估和认证服务;和
  5. 完善的个人信息保护投诉和报告工作机制。[75]

个人权利

根据《隐私权法案》,中国的个人享有与其他司法管辖区隐私法授予的权利类似的权利。最重要的权利之一是对自己的PI做出决定的权利。[76](对于已死亡的个人,其最近亲属可以行使个人根据《个人权利公约》享有的权利,除非该人在其死亡前另有安排。[77]为了使他们的决定被告知,个人有权知道他们的数据正在被做什么,包括要求PI处理程序解释其PI处理规则的权利。[78]这是一个有趣的要求,可以被解读为超越了其他拥有类似的全面隐私法的司法管辖区。除了简单的通知之外,PI处理程序还可能被迫向监管机构和个人解释其内部数据处理做法。

此外,个人有权审查并获得他们的PI副本[79]限制或拒绝处理他们的PI。[80]他们还可以请求将他们的PI转移到另一个数据处理程序,而PI处理程序需要提供一种转移的方法。[81]

PI Handler在以下情况下有主动删除PI的责任,如果PI Handler没有履行其删除职责,个人可以请求删除:

  1. 处理目的已经实现、不可能实现或[个人信息]不再是实现处理目的的必要条件;
  2. 个人信息处理方停止提供产品或服务,
  3. 保存期已过;
  4. 个人取消同意(处理乃至同意);
  5. 违反PIPL或者其他法律、行政法规、协议的;
  6. 法律、行政法规规定的其他情形。[82]

PIPL允许PI处理程序在保留期尚未到期或“删除在技术上很难实现”的情况下保留一些PI,尽管有删除请求。在这些有限的情况下,PI处理程序可以继续存储和保护数据,但必须停止其他处理过程。[83]

如果他们的PI不正确或不完整,个人可以要求更正或完成它,PI处理人员被要求在核实后及时更正PI。[84](没有给出关于PI处理器需要做什么来“验证”信息的解释。)

PI处理程序必须为个人提供一个“方便的”方法来提交关于他们权利的请求。如果PI处理程序拒绝个人的请求,则要求处理程序向个人提供解释。[85]如果他们怀疑非法PI处理,个人(和组织)也有权提出授权部门的投诉或报告;[86]如果他们的PI关于其权利的请求被否认,个人可以在人民法院提出诉讼。[87]当部门收到有关个人的非法处理报告时,他们需要及时处理报告,并通知申诉人的投诉结果。[88]

在审查中,个人享有以下权利:

  1. 了解(即通知)并决定其PI的处理;
  2. 限制或拒绝处理;
  3. 查阅和复制他们的PI;
  4. 转移他们的PI;
  5. 纠正或完成他们的pi;
  6. 对处理规则的解释;
  7. PI的缺失;和
  8. 行使已故近亲的权利。

PIPL没有为PI处理程序响应来自个人的PI请求设置特定的时间限制。最接近它的是重复的指示,即请求应“及时地”处理。这可能有多种解释。如果一个组织已经受到欧洲GDPR或加利福尼亚CCPA的约束,它可能希望采用30天或45天的规则,模仿其他司法管辖区。PIPL也未要求与提交权利请求的个人进行任何特定通信,但关于该请求最终处置的通知除外。其他司法管辖区要求发出某种形式的通知,说明已收到并正在处理该请求,因此,尽管PIPL没有这样做,但最好发送此类通知,以确保个人PI处理人正在履行其职责。

总结

中国的《隐私保护法》是一部涉猎广泛的隐私法,与其他改变了隐私保护法收集和处理国际格局的隐私法不相上下。PIPL声明的宗旨之一是“积极参与[]个人信息保护国际规则[或规范]的制定,促进[]个人信息保护领域的国际交流与合作,促进[]个人信息保护规则[或规范]的相互认可,与其他国家、地区和国际组织的标准等。[89]虽然这项法律并没有将中国法律与其他司法管辖区纳入这样的方式,以便允许欧盟对中国发出充足的决定,它确实建立了赋予个人权利的国家制度。这是一个重大变化,直接影响世界的约18%。

SixFifty可以帮助!

在sixfifty.com/china上获取您需要的符合PIPL的法律文件

脚注

[1]比鹏第74条。

[2]PIPL第63条(增加强调)。

[3]比鹏第四条。另请参阅第73条第(4)款:“匿名化”是指对个人信息进行处理,使其无法区分具体自然人,也无法恢复的过程。

[4]比鹏第四条。

[5]比鹏第五条

[6]比鹏第七条

[7]pipl.看见文章8 - 9

[8]比鹏第71条

[9]比鹏第66条

[10]Id。

[11]比鹏第63条。

[12]比鹏第四十二条。

[13]第73(3)条将取消识别定义为“处理个人信息的过程,以确保在没有其他信息支持的情况下无法识别特定的自然人。”

[14]比鹏第五十一条。

[15]比鹏第五十四条。

[16]比鹏第五十七条。

[17]PIPL第7条和第17条以及下面的通知部分。

[18]请参阅下面的个人权利部分,以获得个人有权提交的请求的完整描述。

[19]第8和9条。

[20]比鹏第八条。

[21]比鹏第五十二条。

[22]比鹏第五十三条。

[23]比鹏第五十五条。

[24]比鹏第二十条。

[25]Id。

[26]Id。

[27]比鹏第二十一条。

[28]比鹏第二十一条。

[29]Id。

[30]比鹏第五十九条。

[31]比鹏第二十一条。

[32]比鹏第十七条。

[33]Id。

[34]比鹏第18条

[35]pipl第26条。

[36]Id。

[37]比鹏第二十四条。

[38]PIPL第73(2)条。

[39]比鹏第二十四条。

[40]比鹏第二十四条。

[41]Id。

[42]比鹏第二十七条。

[43]Id。

[44]pipl第14条。

[45]比鹏第四十八条。

[46]比鹏第二十九条。此外,在某些情况下,法律或法规可能要求书面同意。

[47]比鹏第三十一条。

[48]比鹏第三十条。

[49]比鹏第五十五条。

[50]pipl第38条。

[51]比鹏第三十九条。

[52]之55.4条。看见保护影响评估,下文。

[53]pipl第38条。

[54]pipl第19条。

[55]比鹏第五十七条。

[56]Id。

[57]比鹏第五十三条。

[58]比鹏第五十五条。

[59]GDPR第三十五条。

[60]比鹏第五十四条。

[61]在适当情况下,控制者应在不损害商业或公共利益保护或处理操作安全的情况下,就预期处理征求数据主体或其代表的意见。GDPR第35(9)条。

[62]看见比鹏第五十四条。

[63]比鹏第五十八条。

[64]比鹏第五十八条。(注:“接受社会监督”这一模棱两可的短语在《国际公共政策》中既没有定义也没有进一步解释。)

[65]比鹏第四十一条。

[66]比鹏第四十三条。

[67]PIPL第60条。

[68]比鹏第61条。

[69]比鹏第63条。

[70]比鹏第64条。

[71]比鹏第63条。

[72]比鹏第65条。

[73]比鹏第64条。

[74]比鹏第64条。

[75]比鹏第62条。

[76]比鹏第四十四条。

[77]比鹏第四十九条。这是对GDPR的背离,在GDPR中,个人的自我保护权利将随个人权利一同消亡。看见第49条和GDPR朗诵

[78]比鹏第四十八条。

[79]比鹏第四十五条。此外,PI处理人员被要求及时向个人提供信息。Id。

[80]法律、行政法规另有规定的除外。比鹏第四十四条。

[81]比鹏第四十五条。

[82]比鹏第四十七条。

[83]Id。

[84]比鹏第四十六条。

[85]比鹏第五十条。

[86]比鹏第65条。

[87]比鹏第五十条。

[88]比鹏第65条。

[89]比鹏第十二条