随着全球在 COVID-19 之后继续在家工作，并且公司依靠在线技术开展业务和服务客户，中华人民共和国（世界上拥有最多在线用户的国家）就是其中之一最新通过新的综合隐私法的国家之一。自 2021 年 11 月 1 日起，《个人信息保护法》（PIPL）1是中国第一部旨在规范在线数据和保护个人信息的综合性法律，尽管有许多尚未定义的要

随着全球在 COVID-19 之后继续在家工作，并且公司依靠在线技术开展业务和服务客户，中华人民共和国（世界上拥有最多在线用户的国家）就是其中之一最新通过新的综合隐私法的国家之一。自 2021 年 11 月 1 日起，《个人信息保护法》（PIPL）1是中国第一部旨在规范在线数据和保护个人信息的综合性法律，尽管有许多尚未定义的要素。

中国的《数据安全法》于今年早些时候于 2021 年 9 月 1 日生效，适用于广泛的数据处理活动，包括但不限于处理个人信息。这些法律具有治外法权和严厉的罚款和处罚，将为在中国开展业务时处理个人信息制定一个日益复杂和全面的法律框架。

PIPL由国家互联网信息办公室和相关国家和地方政府部门执行和管理。该法律借鉴了欧盟的《通用数据保护条例》（GDPR），最高处以上一年收入（可能是全球收入）的 5% 或 770 万美元（以较高者为准）。PIPL 由 70 多篇文章组成，共 8 章。（阅读全文的非官方翻译。）我们的要点和法律关键条款的摘要如下。

我们的看法

鉴于广泛的范围、域外适用和巨额罚款的可能性，如果组织或个人在中国境内处理个人信息、为中国境内的个人提供产品或服务，或分析或评估行为，则应评估其 PIPL 合规义务中国境内的个人。这些义务可能包括：

• 调整面向公众的文档，例如隐私政策、数据主体权利请求程序以及其他用户界面和用户体验（例如注册流程）。

• 在涉及向中国境外传输的个人信息的合同中执行即将出台的标准合同条款。

• 实施同意机制，包括对某些处理活动或传输（例如，将个人信息传输到中国境外或其他个人信息处理者）的多层同意。

• 将 PIPL 数据泄露通知要求添加到事件响应计划中。

• 评估在中国本地化数据的需求以及可能对全球运营产生的影响。

与 GDPR、加州消费者隐私法 (CCPA) 和其他法规的合规性相关的数据映射和其他练习可能可以重新用于减少 PIPL 合规性的繁重，尽管需要进行一些定制。总体而言，鉴于冗长的新法律的解释和执行以及未决的实施规则和法规带来的不确定性，PIPL 合规工作可能仍将继续进行。与 CCPA 和 GDPR 一样，客户应继续关注 PIPL、其实施条例和相关执法行动的修订，并相应地调整其做法。Cooley 的全球隐私专家团队正在与许多在中国开展业务的客户合作，以评估 PIPL 合规义务。联系下面列出的任何联系人，讨论您的 PIPL 问题。

谁必须遵守 PIPL？

与 GDPR 一样，PIPL 旨在施加域外管辖权，可以说涵盖在中国处理个人信息的任何公司或个人（无论个人的国籍或居住地）。2此外，PIPL 要求位于中国境外的个人信息处理者（也称为个人信息处理者，或个人信息处理者）在中国境内设立专门的实体或指定个人信息处理代表。3此类组织或代表无需与外国加工者有任何雇佣关系或附属于外国加工者。此外，与 GDPR 中的数据保护官概念类似，处理一定阈值的个人信息（尽管该阈值至今仍未确定）的个人信息处理者需要指定和公布负责处理的个人的联系信息，并保护个人信息。4

PIPL 是否区分个人信息的“控制者”和“处理者”？

在一个肯定会引起混淆的名称中，根据 PIPL，“个人信息处理者”类似于“控制者”，“受托方”类似于 GDPR 下的“处理者”。个人信息处理者承担 PIPL 中的责任和合规要求。同时，联合个人信息处理者必须签订协议，明确各个人信息处理者的具体权利和义务，并明确联合个人信息处理者承担连带责任。5

此外，如果个人信息的处理由受托方（例如 GDPR 下的处理者）代表个人信息处理者进行，则双方必须签订协议，明确指定目的、期限、方法、类别、个人信息处理的保护、权利和义务。6在实践中，数据处理协议应根据 PIPL 7的要求包括以下内容：

• 禁止委托方在协议外处理个人信息。

• 要求受托方在本协议完成、撤销或到期时归还或删除个人信息的条款。

• 要求受托方允许分处理者处理个人信息前，必须征得个人信息处理者同意的规定。

PIPL 涵盖哪些类型的数据？

PIPL 像 CCPA 和 GDPR 一样将个人信息定义为：

……以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息，不包括匿名信息。8

PIPL 还遵循 CCPA 和 GDPR，将匿名信息视为非个人信息且超出法律范围。但是，匿名化的定义很严格，可能很难满足：

匿名化是指对个人信息进行处理，使其无法识别特定自然人且无法逆转的过程。9

与 CCPA（经加州隐私权法案 (CPRA) 修改）和 GDPR 一样，PIPL 对“敏感个人信息”的定义含糊不清：

个人敏感信息是指一旦泄露或非法使用，很容易导致自然人人格尊严受到侵害或人身、财产安全受到损害的个人信息，包括生物特征、宗教信仰、特定身份、医疗健康等信息。 、财务账户和行踪，以及 14 岁以下未成年人的个人信息。10

敏感的个人信息需要满足额外的处理要求，例如：

• 确定处理的特定目的和充分必要性。

• 通知个人处理将对个人权益产生的影响。

• 要求使用“严格的保护措施”（仍未定义）。

• 进行隐私影响评估并创建处理记录。

• 为处理获得单独的个人同意（可能还有尚未公布的法规要求的书面同意）。

PIPL还责成国家网信办制定个人敏感信息处理专项个人信息保护规则和标准。11

根据 PIPL 进行数据处理的法律依据是什么？

根据 PIPL，个人信息处理器只能在以下情况下处理个人信息：

1. 已获得个人同意，必须是知情的、自愿的和明确的（在尚未确定的阈值上），但须符合以下条件：12

• 个人必须有能力通过“方便的方式”（尚未定义）撤回同意。

• 除非信息，否则产品或服务的提供不能以同意为条件。收集是提供产品或服务所必需的（这似乎反映了 GDPR 下“自由给予”同意的概念）。

• 如果处理涉及 14 岁以下未成年人的个人信息，则需要父母/监护人同意。13

• 如果处理信息的目的、方法或类别发生变化，必须获得新的同意。

2. 为订立或者履行个人为当事人的合同，或者按照依法制定的劳动规章制度和集体合同的规定实施人力资源管理所必需的。

3. 为履行法定职责或义务所必需的。

4. 为应对突发公共卫生事件或保护个人生命、健康或财产安全所必需。

5. 新闻报道、舆论监督等行为是为了公共利益，对个人信息的处理在合理范围内。

6. 该个人信息已经被个人公开，或者其他合法公开的个人信息是在依照本法规定的合理范围内进行处理的。

7. 中国法律法规规定的其他情形。

值得注意的是，PIPL 表明个人同意是处理的默认法律依据，除非适用其他法律依据之一。同样值得注意的是，缺乏 GDPR 下的“合法利益”处理基础，许多欧盟数据控制者已将其用作建立处理法律基础的更灵活的手段。然而，中国当局仍有可能通过监管扩大可用的法律处理基础。

PIPL 需要哪些类型的通知？

隐私声明

在处理个人信息之前，个人信息处理者必须以“醒目、清晰易懂的语言”如实、准确、完整地告知个人，包括：14

• 个人信息处理者的名称和联系方式。

• 处理个人信息的目的和方法，以及处理的个人信息的类型和保留期限。

• 个人行使 PIPL 规定的权利的方法和程序。

• 法律、行政法规规定的其他事项，应当予以告知。

此外，必须将这些关键数据处理元素的任何更改通知个人。

出于同意目的的通知

在处理个人信息的法律依据是同意的情况下，个人信息处理者必须在处理个人信息之前以清晰易懂的语言提供强有力的通知。15

商业交易个人信息转移通知

个人信息处理者在业务交易过程中转移个人信息的，应当将接收者的姓名和联系方式告知个人。如果接收者改变处理个人信息的目的或方法，PIPL 还要求获得新的同意。16

关于将个人信息转移给其他个人信息处理者的通知

如果个人信息处理者将个人信息转移给另一个个人信息处理者，则处理者必须：

• 通知个人新的个人信息处理者的姓名和联系方式。

• 通知个人处理目的和方法以及新的个人信息处理器正在处理的个人信息的类型。

• 获得此新处理的单独同意。

新的个人信息处理者还必须坚持向个人传达个人信息的方式、目的和类型的原范围，或者获得新的同意。17

PIPL 提供哪些个人权利？

PIPL 为个人创造了关于处理其个人信息的特定权利，包括以下权利18：

• 了解、决定、限制或反对他人处理个人信息。

• 从个人信息处理器访问和复制（包括传输）他们的信息。

• 要求更正或完善其个人信息。

• 在某些情况下要求删除或撤回同意。

个人信息处理者必须为个人行使这些权利建立一个方便但未定义的机制。19 值得注意的是，已故自然人的亲属可以为自己的合法合法利益访问、复制、更正和删除死者的个人信息。20

PIPL 是否需要数据隐私影响评估？

个人信息处理者和控制者必须对某些个人信息处理进行并保留三年的个人信息保护影响评估 (PIPIA)，包括：

1. 处理敏感的个人信息。

2. 使用个人信息做出自动决策。

3. 委托他人处理或以其他方式共享或披露个人信息。

4. 将个人信息转移到海外。

5. 其他对个人权益产生重大影响的处理活动。21

PIPIA 必须包括22项的决定：

• 处理个人信息的目的和方式是否合法、正当、必要。

• 对个人权益的影响，以及安全风险。

• 所采取的安全保护措施是否合法、有效、与风险程度相适应。

PIPL（或其他中国数据保护法）是否强制数据本地化和/或限制跨境数据传输？

23个人信息处理者除向相关个人提供转移通知并征得同意外，还 必须对个人数据保护和记录处理情况进行事前影响评估，24并满足以下条件之一方可将个人信息转移至境外: 25

• 通过国家网信办组织的安全评估。26

• 取得国家网信办授权的机构出具的认证证书。

• 根据国家互联网信息办公室制定的标准合同，与境外数据接收方签订数据跨境传输协议，明确双方的权利和义务。

• 满足其他法律法规可能规定的另一种机制。

此外，PIPL 要求关键信息基础设施运营商 (CIIO) 27或处理大量个人信息（阈值尚未确定）的个人信息处理器在中国本地存储个人信息。28此类 CIIO 或大容量处理者只能在有必要转移且通过官方安全评估时将个人信息转移到海外。29

PIPL没有详细说明，要求个人信息处理者采取必要措施，确保境外接收者对个人信息的处理符合PIPL规定的个人信息保护标准。30

个人信息处理者还必须在告知个人以下事项后获得个人同意进行跨境转移：

1) 其个人信息的监督接收者的联系信息。

2) 被转移的个人信息的目的、方法和类型受到监督。

3) 根据 PIPL 行使关于该数据的权利的程序。31

不遵守 PIPL 的潜在处罚是什么？

PIPL 的处罚取决于违规的严重程度，从警告和责令纠正违规行为到责令暂停服务或吊销经营许可证或营业执照，到没收违法所得，到重大行政罚款。公司员工也可能被追究个人责任并面临罚款或被禁止担任相关单位的董事、监事、高级管理人员或个人信息保护事务的负责人。

在严重的情况下，公司和/或其雇员甚至可能面临刑事责任。32例如，任何人非法获取、出售或向第三方提供超过 500 条可能影响公民人身和财务安全的信息（如住宿信息、通讯记录、健康和身体信息、交易信息等）。 ) 违反 PIPL 可能会被判处长达三年的拘留。33

本博客的内容无意也不构成法律建议或提供法律服务或建立律师-客户关系。本网站的读者应联系其律师以获取有关任何特定法律事务的任何法律建议或服务。

笔记

1. 这篇博文基于 PIPL 的非官方英文翻译。

2. 第 3 条。

3. 第 53 条。

4. 第 52 条。

5. 第 20 条。

6. 第 21 条。

7. 标识。

8. 第 4 条。

9. 第 73(IV) 条。

10. 第 28 条。

11. 第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第五十五条。

12. 第十四条。

13. 第三十一条。

14. 第十七条。

15. 第十四条。

16. 第 22 条。

17. 第 23 条。

18. 第四章：个人在处理个人信息活动中的权利。

19. 第五十条。

20. 第 49 条。

21. 第 55 条。

22. 第 56 条。

23. 第三十九条。

24. 第 55 条。

25. 第三十八条。

26. 中国网信办于 2021 年 10 月 29 日发布了《跨境数据传输安全审查办法草案》征求公众意见。虽然仍是草案，但它明确了何时需要进行安全审查、审查标准和程序、关键数据传输协议的条款（尽管标准合同条款草案明显缺失）和审查频率。

27. 《网络安全法》和《关键信息基础设施安全保护条例》均将“关键信息基础设施”定义为公共通信与信息服务、能源、交通等重要行业和领域的重要网络设施、信息系统等。 、水务、金融、公共服务、电子政务、国防科技等，一旦发生损坏、功能丧失或数据泄露，可能严重危害国家安全、国计民生的；公共利益。

28. 第四十条。

29. 标识。

30. 第三十八条。

31. 第三十九条。

32. 第 71 条。

33. 中华人民共和国刑法第253a条和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5.4条。