中国合规
法律依据:PIPL — 自 2021 年 11 月 1 日起施行
《中华人民共和国个人信息保护法》(PIPL) — 整合文本,已对齐我们的全球合规。
第一章 — 总则与适用范围
本法保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用(第 1 条)。
适用于在中国境内进行的处理活动;并具域外适用效力(第 3 条):以向境内自然人提供产品或服务,或分析、评估其行为为目的的境外处理活动。
处理个人信息应遵循合法、正当、必要和诚信原则,具有明确合理的目的,限于最小范围,并以公开透明方式进行(第 5—7 条)。
第二章 — 处理规则
处理者仅可在合法依据下处理个人信息(第 13 条):取得个人同意;为订立、履行合同或人力资源管理所必需;为履行法定职责或义务;为应对突发公共卫生事件;为公共利益实施新闻报道;处理已合法公开的信息;或法律规定的其他情形。
同意应在充分知情的前提下自愿、明确作出,且可随时撤回(第 14—16 条)。
敏感个人信息(生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹,以及不满十四周岁未成年人的信息)须取得单独同意,并具有特定目的、充分必要性及严格保护措施(第 28—32 条)。
第三章 — 跨境提供规则
向境外提供个人信息(第 38 条)须至少符合一项条件:通过国家网信部门组织的安全评估;经专业机构认证;按标准合同与境外接收方订立合同;或符合法律规定的其他条件。
应告知个人并取得单独同意(第 39 条)。关键信息基础设施运营者及处理达到规定数量的处理者,应在境内存储数据,确需向境外提供的须通过安全评估(第 40 条)。
第四章 — 个人在处理活动中的权利
个人对其个人信息的处理享有知情权、决定权,有权限制或拒绝处理(第 44 条);有权查阅、复制及请求转移(第 45 条);有权请求更正、补充(第 46 条);并在法定情形下请求删除(第 47 条)。处理者应建立便捷的申请受理与处理机制(第 50 条)。
第五章 — 处理者的义务
处理者应制定内部管理制度,实行分类管理,采取加密、去标识化等技术措施,合理设定访问权限,开展培训并制定应急预案(第 51 条)。处理达到规定数量的处理者应指定个人信息保护负责人(第 52 条);境外处理者属适用范围的,应在境内设立机构或指定代表(第 53 条)。
处理敏感个人信息、自动化决策、对外提供或公开、跨境提供等,须事前进行个人信息保护影响评估(第 55 条)。发生安全事件应立即采取补救措施并通知(第 57 条)。
第六章 — 主管部门与法律责任
国家网信部门统筹协调个人信息保护工作与监督管理(第 60 条)。情节严重的违法行为可被(第 66 条)责令改正、没收违法所得,并处最高五千万元或上一年度营业额百分之五的罚款,可责令暂停业务,对直接责任人员并处罚款。
本文为行政概览。具权威性的完整文本发布于全国人民代表大会官方门户。
访问原始完整文本(中国全国人民代表大会)
