它可能是全球最严格的个人信息保护立法之一。
中国第一部个人信息保护法(“PIPL”)于21年2021月1日颁布,自2021年XNUMX月XNUMX日起施行。
该法共有 74 条。 最值得注意的15条法律要点如下。
1、中国PIPA是否适用于外国公司?
只要您在中国境内处理自然人的个人信息,就需要遵守PIPA。 (第3条)
有下列情形之一的在中国境内的自然人个人信息的处理活动,也适用于中国境外的活动:
(一)为在中国境内的自然人提供产品或者服务的活动。
(2) 活动是分析和评价自然人在中国的行为。
(三)中国其他法律、行政法规规定的其他情形。
2、在中国境内的个人信息可以转移到境外吗?
可以,前提是满足以下两个先决条件。
首先,此次转让已获得中国监管部门的批准。 (第 38 条)
其次,个人信息的处理者为此目的已获得该人的单独同意。 (第 39 条)
3. 在中国境内收集和生成的个人信息是否可以存储在境外?
原则上,没有。 (第 40 条)
首先,关键信息基础设施运营商只能在中国境内存储个人信息。
其次,如果个人信息处理者处理的个人信息达到监管部门规定的数量,则只能在中国境内存储个人信息。
4. 外国实体是否会因违反中国PIPA而受到处罚?
是的。
中国监管部门可以将其列入限制或禁止个人信息清单,并限制或禁止其他主体向其提供个人信息。 (第 42 条)
5. 外国司法机关和执法机关是否可以要求访问存储在中国的个人信息?
外国司法机关只能通过司法协助获取此类个人信息。 (第 41 条)
未经中国主管部门批准,个人信息处理者不得向外国司法或执法机构提供此类个人信息。
6、中国如何解决与国外个人信息保护规则的冲突?
如果任何国家或地区在个人信息保护方面对中国采取歧视性禁止、限制或其他类似措施,中国可根据实际情况对该国家或地区采取对等措施。 (第 43 条)
7、中国PIPA规范了哪些信息?
个人信息。 如果该信息可以被识别为与特定自然人有关,那么它就是个人信息。 (第 4 条)
8、中国PIPA对哪些活动进行了规范?
个人信息的处理包括个人信息的收集、恢复、使用、处理、传输、提供、披露和删除。 (第 4 条)
9、在什么情况下可以处理个人信息?
个人信息处理者可以在两种情况下处理个人信息:已获得个人同意; 或者在处理信息不需要个人同意的情况下。
不需要个人同意的情况包括:
(一)个人信息处理方与自然人订立合同,为履行合同而需要收集个人信息的;
(2) 公司为人力资源管理收集必要的员工信息。
(3) 收集个人信息是为了应对突发卫生事件。
(4) 为公共利益的新闻报道而收集个人信息。
(5) 已公开的个人信息(限于特定目的)。
10、个人信息处理者如何取得个人同意?
个人信息处理方在处理个人信息前,应当如实、准确、完整、醒目、清晰易懂的语言将下列信息告知个人:
(1) 个人信息处理者的身份。
(2) 个人信息的处理方式。
(3) 个人将如何行使与个人信息相关的权利。
11. 个人对其个人信息享有哪些权利?
个人有权知晓并决定其个人信息的处理方式。 (第 44 条)
具体来说,
(1) 个人有权向个人信息处理人查阅、复制其个人信息; (第 45 条)
(2) 个人发现个人信息不准确或不完整时,有权要求个人信息处理者更正或补充个人信息; (第 46 条)
(3) 个人有权随时撤回其同意(第 15 条)
(4) 个人有权要求个人信息处理者对其个人信息的处理规则进行解释和说明。 (第 48 条)
12.国家机关如何处理个人信息?
国家机关可以为履行法定职责处理个人信息,但必须按照法定权限和程序进行。 (第 34 条)
国家机关应当将个人信息的处理情况告知个人。 但是,法律规定应当保密的,国家机关可以不予通知。 (第三十五条、第十八条)
13.个人信息处理者可以在公共场所收集个人信息吗?
是的,他们可以,前提是必须满足以下要求(第 26 条):
(一)为公共安全需要收集的;
(二)收藏符合有关法律规定;
(3)馆藏设置醒目提醒。
14. 个人信息处理者能否使用个人信息做出商业决策?
是的,但他们应确保决策的透明度和结果的公平公正。 (第 24 条)
再具体一点:
(1) 个人信息处理者不得向个人提供个性化的交易条件,例如价格歧视。
(2) 个人可以拒绝个人信息处理者对其进行的个性化信息推送和商业营销。
(3) 个人可以拒绝个人信息处理者向他们做出的自动决定。
15.中国个人信息保护的监管机构是谁?
中国网信办及其地方政府是该领域的监管机构。
参与专家: CJO员工贡献团队
