中國個人資訊保護法:我們目前了解的情況
Posted: Tue Mar 18, 2025 8:34 am
2020年10月21日,中國全國人民代表大會常務委員會公佈《個人資訊保護法》(草案)初稿,並向公眾徵求意見。 《個人資訊保護法》是中國首次嘗試以一部綜合性法律的形式整合並擴展個人資訊保護、收集和處理的規定。
該立法草案共有 70 條條款,吸收了中國現有立法中的許多資料隱私和保護原則,其中包括 2017 年《網路安全法》 和《 個人資訊安全規範》。然而,事情並未就此止步。中國立法者更進一步,借鑒歐盟《一般資料保護規範》(GDPR),深入研究跨境資料傳輸、域外管轄等棘手問題,最重要的是,根據GDPR採取了嚴厲的處罰措施。
境外影響
隱私法草案擴大了中國資料保護立法的域外效力,此前該立法受 whatsapp 號碼 到《網路安全法》的限制。 《個人資訊保護法》適用於任何處理位於中國境內的資料主體的個人資訊的公司或個人,不論資料主體的國籍。
與 GDPR 類似,PIPL 草案對處理和個人資料的定義非常廣泛。其處理方式主要包括三類:為向中國境內資料主體提供產品和/或服務、分析或評估中國境內資料主體的行為、或中國法律法規規定的其他情形而處理個人資訊。
任何受《公共利益監管法》約束的中國境外公司都必須在該國指定一名代表或在中國設立專門機構,作為中國監管機構的聯絡點。
跨境資料傳輸和資料本地化
關鍵資訊基礎設施運營商(CIIO)應將在中國境內收集或產生的個人資訊儲存在中國境內。雖然這符合《網路安全法》的現有要求,但《個人資訊保護法》將資料在地化要求擴展至處理個人資訊量超過一定量的資料處理者。該門檻將由中國網路空間監管機構稍後確定。
PIPL 也對跨境轉移進行了必要的安全評估。這些可以透過中國監管機構指定的專業認證機構獲得,或透過與海外資料接收者簽訂合約並監督其資料處理活動來獲得。 PIPL草案還包含一項條款,讓中國監管機構將來輕鬆添加進一步的跨境資料傳輸機制。
資料處理者也需要向資料主體告知跨境資料傳輸的情況,取得他們對傳輸的同意,並告知他們海外接收者的身分、如何聯絡他們、他們的處理目的和方法、傳輸涉及的個人資訊類型以及資料主體如何對接收者行使權利。
中國資料主體的新權利
個人資訊保護法草案為中國資料主體帶來了新一輪的權利,包括刪除權、資料處理情況的知情權和解釋權、存取權和請求獲取個人資料副本的權利、以及撤回同意的權利。刪除權已納入《網路安全法》,但在《個人資訊保護法》下受到的限制較少。
擴大處理基礎
根據中國的《網路安全法》,處理個人資料的唯一合法依據是資料主體的同意。個人資訊保護法草案擴大了這個定義,包括為簽訂或履行資料主體作為一方當事人的合約、履行法定職責或義務、或應對公共衛生事件所必需的處理。在緊急情況下,為了保護資料主體或其他個人的生命、健康和財產安全有必要,為了新聞報道或媒體監督等公共利益需要,以及中國法律法規規定的其他情況下,也可以依法處理資料。
當資料主體給予同意時,同意必須是資料主體知情的、具體的、自由給予的,以表明其意願。處理種族、民族、宗教信仰、個人生物特徵資料、健康和財務資料等敏感個人資料需要單獨同意。處理14歲以下未成年人的個人資料需要父母同意。
資料保護官
處理的個人資訊量超過目前未定義的限度的公司將需要任命一名資料保護官 (DPO) 負責處理個人資訊。 DPO 的姓名和聯絡資訊將會公開並提交給相關部門。
處罰
除《網路安全法》中已經規定的警告、沒收違法所得、暫停業務、停業整頓、吊銷相關許可證或營業執照等處罰措施外,《網路資訊服務法》徵求意見稿也大幅提高了罰款額度。
該法案草案明顯受到《GDPR》高額處罰的啟發,規定罰款最高可達 5,000 萬元人民幣(約 760 萬美元)或公司上一年營業額的 5%。目前,法規文本並未具體說明如何計算 5%,也未明確該 5% 指的是公司在中國的營業額還是全球的營業額。
該立法草案共有 70 條條款,吸收了中國現有立法中的許多資料隱私和保護原則,其中包括 2017 年《網路安全法》 和《 個人資訊安全規範》。然而,事情並未就此止步。中國立法者更進一步,借鑒歐盟《一般資料保護規範》(GDPR),深入研究跨境資料傳輸、域外管轄等棘手問題,最重要的是,根據GDPR採取了嚴厲的處罰措施。
境外影響
隱私法草案擴大了中國資料保護立法的域外效力,此前該立法受 whatsapp 號碼 到《網路安全法》的限制。 《個人資訊保護法》適用於任何處理位於中國境內的資料主體的個人資訊的公司或個人,不論資料主體的國籍。
與 GDPR 類似,PIPL 草案對處理和個人資料的定義非常廣泛。其處理方式主要包括三類:為向中國境內資料主體提供產品和/或服務、分析或評估中國境內資料主體的行為、或中國法律法規規定的其他情形而處理個人資訊。
任何受《公共利益監管法》約束的中國境外公司都必須在該國指定一名代表或在中國設立專門機構,作為中國監管機構的聯絡點。
跨境資料傳輸和資料本地化
關鍵資訊基礎設施運營商(CIIO)應將在中國境內收集或產生的個人資訊儲存在中國境內。雖然這符合《網路安全法》的現有要求,但《個人資訊保護法》將資料在地化要求擴展至處理個人資訊量超過一定量的資料處理者。該門檻將由中國網路空間監管機構稍後確定。
PIPL 也對跨境轉移進行了必要的安全評估。這些可以透過中國監管機構指定的專業認證機構獲得,或透過與海外資料接收者簽訂合約並監督其資料處理活動來獲得。 PIPL草案還包含一項條款,讓中國監管機構將來輕鬆添加進一步的跨境資料傳輸機制。
資料處理者也需要向資料主體告知跨境資料傳輸的情況,取得他們對傳輸的同意,並告知他們海外接收者的身分、如何聯絡他們、他們的處理目的和方法、傳輸涉及的個人資訊類型以及資料主體如何對接收者行使權利。
中國資料主體的新權利
個人資訊保護法草案為中國資料主體帶來了新一輪的權利,包括刪除權、資料處理情況的知情權和解釋權、存取權和請求獲取個人資料副本的權利、以及撤回同意的權利。刪除權已納入《網路安全法》,但在《個人資訊保護法》下受到的限制較少。
擴大處理基礎
根據中國的《網路安全法》,處理個人資料的唯一合法依據是資料主體的同意。個人資訊保護法草案擴大了這個定義,包括為簽訂或履行資料主體作為一方當事人的合約、履行法定職責或義務、或應對公共衛生事件所必需的處理。在緊急情況下,為了保護資料主體或其他個人的生命、健康和財產安全有必要,為了新聞報道或媒體監督等公共利益需要,以及中國法律法規規定的其他情況下,也可以依法處理資料。
當資料主體給予同意時,同意必須是資料主體知情的、具體的、自由給予的,以表明其意願。處理種族、民族、宗教信仰、個人生物特徵資料、健康和財務資料等敏感個人資料需要單獨同意。處理14歲以下未成年人的個人資料需要父母同意。
資料保護官
處理的個人資訊量超過目前未定義的限度的公司將需要任命一名資料保護官 (DPO) 負責處理個人資訊。 DPO 的姓名和聯絡資訊將會公開並提交給相關部門。
處罰
除《網路安全法》中已經規定的警告、沒收違法所得、暫停業務、停業整頓、吊銷相關許可證或營業執照等處罰措施外,《網路資訊服務法》徵求意見稿也大幅提高了罰款額度。
該法案草案明顯受到《GDPR》高額處罰的啟發,規定罰款最高可達 5,000 萬元人民幣(約 760 萬美元)或公司上一年營業額的 5%。目前,法規文本並未具體說明如何計算 5%,也未明確該 5% 指的是公司在中國的營業額還是全球的營業額。