2021年8月20日, 全国人民代表大会通过了《澳门赌场官方下载》最终定案。, 一部涵盖个人信息保护多个方面的综合性隐私法.
PIPL于2021年11月1日生效. 本法不仅适用于中华人民共和国境内,也适用于中华人民共和国境外. 有下列情形之一的,可以域外适用:
- 为中国境内的人们提供产品或服务.
- 分析或评价中国境内人们的行为.
- 法律、行政法规规定的其他情形.
第1部分:PIPL vs. GDPR
PIPL在许多方面与欧盟通用数据保护条例(GDPR)相似, 但在细节上存在分歧. 以下是中国PIPL与欧盟GDPR比较的15个关键点.
个人信息处理原则
- 处理的法律依据有重大差异. 两项法律都要求处理个人信息(PI)的法律基础相似。, 然而, PIPL增加了人力资源管理和公开信息作为处理的法律依据, 同时也忽略了合法利益. 而不是GDPR要求的明确同意, PIPL要求在五种特定的个人信息处理方案中获得个人的单独同意.
- 设置更严格的通知规则. 建议互联网公司向移动应用用户提供双重清单,充分保障用户的知情权.
- 对处理敏感PI和公开PI施加特定规则. PIPL类似于PIPL处理原则中的GDPR, 而PIPL则为处理敏感PI和公开PI设置了特定规则.
- 对重要的平台服务提供商施加义务. 在PIPL中,PI处理器被视为重要的平台服务提供商(即PI处理器).e.(看门人),需要特定的义务.
- 强调禁止个人在交易条件上的不合理差别待遇, 比如贸易价格. 没有GDPR中定义的自动决策豁免, PIPL强调,PI处理器可能不会标记个别交易价格, 其他交易条件和用户行为数据建立内部决策机制, 通过分析这些标签,哪些会导致个人在服务价格和服务质量方面受到不合理的差别待遇.
PI处理器的合规义务
- 将个人权利扩展到已故的自然人. PIPL通过向死者的近亲属提供处理死者个人信息的权利,扩大了数据主体对死者的权利范围, e.g.、咨询、复制、更正、删除.
- 需要在更广泛的场景下评估对个人信息保护的影响. pipl下影响评估的两个触发因素——处理敏感PI和自动决策——与GDPR中的类似. 然而,在PIPL中还有其他触发器,例如.g.、PI跨境转移、向第三方提供PI等.
- 缺乏实际知识以及不确定和含糊不清的情况仍然存在. 在写这篇文章的时候, 对于以下问题没有明确的规定:在中国境内和境外机构分别任命个人身份保护负责人的门槛是多少, 以及与个人资格相关的要求, 位置, tasks and safeguards; as well as what is the response time restriction for PI incident notification? 除了, 目前还没有官方的指导方针来巩固组织对跨境数据传输的理解.e., 什么是中国法律法规制度的转移, 以及如何计算将触发政府评估的数据集的规模.
- 设计上缺乏对隐私的保护. 虽然这两项法律都要求PI处理器采取相应的技术安全措施, PIPL在设计和GDPR默认情况下缺乏数据保护的规定. 相反,这一要求是由国家标准强制规定的.
跨境数据传输要求
- 关键信息基础设施运营商(CIIOs)和其他PI处理器的规则存在显著差异. 规则取决于什么类型的组织将PI转移到海外.e., 是否被视为CIIO,是否属于某些行业,以及取决于组织的地位, 例如它们处理的PI或敏感PI的数量.
- 更严格的数据本地化要求. 一旦该组织被视为CIIO和其他PI处理器, 必须将个人信息存储在中国境内,经国家网络安全和信息化部批准,方可将个人信息转移到境外.
- 提供的转移机制较少. 这两项法律都要求建立一种转移机制,以便组织将PI转移到中华人民共和国境外, PIPL提供更少的传输机制.
执行
- 没有独立的执法机构. 与GDPR类似,中国监管机构指定规则制定机构和罚款机构. 然而,中国还没有独立的执法机构.
- 确立刑事处罚,强化个人责任. 例如, 非法出售或者以其他方式非法向第三方提供个人信息的,依法追究刑事责任. 并对直接负责的主管人员处罚款.
- 强化私人诉权. 举证责任转移到PI处理器,以证明没有不当行为. PIPL还允许在PI处理者违反PIPL并侵犯许多个人权利和利益的情况下进行公共利益集体诉讼.
第2部分:跨境数据传输操作指南
建议中华人民共和国境外的PI加工者应采取以下五个步骤.
步骤1. 识别PI处理器的类型.
步骤2. 确定是否需要政府评估.
步骤3. 确定是否需要进行网络安全审查.
步骤4. 判断是否存在异常.
步骤5. 选择传递机制.
图1 展示了PI跨境转移的逐步程序 图2 显示跨境数据传输批准所需的逐步评估程序.
图1: 个人信息跨境转移分步程序
图2: 跨境数据传输安全评估程序
编者按: 有关此主题的进一步见解,请下载ISACA®的新出版物,”中国个人信息保护法解读.”
