中国PIPL vs. GDPR:异同解释
中国的PIPL、网络安全法和数据安全法为未来几代人提供了管理中国数据保护、网络安全和数据安全的总体框架。
中国新颁布的《个人信息保护法》(PIPL)是中国数据隐私立法史上最大的一次改革。
新法律对不合规的公司处以高达全球收入5%或5000万日元(近1200万美元)的罚款,以高者为准。
在这个阶段,PIPL没有具体说明这个年收入是指全球营业额还是在中国产生的收入,由于它没有规定最低罚款,监管机构可以自行决定对违规行为的处罚。
虽然PIPL与GDPR有相似之处,但所有在中国有利益或与中国有利益的企业都需要考虑到一些关键的区别。
我们有一些基本的共同点。
需要理解的关键术语
“个人信息”和“个人信息处理”在PIPL和GDPR中有类似的定义。
然而,PIPL将敏感个人信息定义为:
“生物特征识别信息、宗教信仰、特殊身份、医疗健康信息、金融账户、个人行踪信息、不满14周岁的未成年人的个人信息等,一旦泄露或者被非法利用,容易侵犯自然人尊严或者对人身安全和财产安全造成损害的个人信息”(第二十八条)。1
处理个人信息(PI)的合法依据
PIPL要求组织在合法的基础上处理个人信息。然而,PIPL并没有提供“合法利益”作为GDPR中规定的处理的合法基础。
中国知识产权局还为个人信息的处理提供了额外的法律依据:
- 根据劳动规则或者依法订立的集体劳动合同进行人力资源管理所必需的
- “在合理范围内使用公开的PI(自行披露的PI和其他合法披露的PI)”
| 比鹏(Art.13) | GDPR (Art.6) |
| 为履行合同或人力资源管理所必需的 | 合同履行所必需的 |
| 法律义务 | 履行法律义务所必需的 |
| 公共卫生事件或突发事件下的重大利益 | 切身利益 |
| 公共利益 | 公共利益 |
| 公共PI的使用 | -- |
| 法律、行政法规另有规定的 | -- |
| -- | 合法利益 |
PIPL的7个原则
PIPL规定了在处理个人信息时必须遵守的7项原则。
这些关于PI处理的原则必须在PI的整个生命周期中实施,涉及PI处理方的PI保护义务和内部PI合规管理:
| 比鹏 | GDPR(第5条) |
| 合法性、正当性、必要性和诚信(第五条) | 依法、公平、透明 |
| 用途限制(第六条) | 目的限制 |
| 数据最小化(第6条) | 数据最小化 |
| 透明度(第7条) | 依法、公平、透明 |
| PI质量(第八条) | 精度 |
| 问责制(第九条) | 问责制 |
| 数据安全(第9条) | 诚信和保密 |
| 储存限制(第19条) | 存储的限制 |
个人信息权利比较
PIPL在个人信息权利方面主要与GDPR保持一致。但是,它在使用语言的特异性方面有所不同,并且只要求处理实体“及时”响应请求,而不提供响应的具体时间轴。
下表显示了个人权利在PIPL、GDPR和加州消费者隐私法案(CCPA)中的比较:
| 比鹏 | GDPR | CCPA |
| 知情权 | 须提供的资料 | 知情权 |
| 决定权 | --- | --- |
| 限制的权利 | 加工限制权 | --- |
| 拒绝的权利 | 反对权 | --- |
| 存取权 | 进入权 | 进入权 |
| 复制权 | 进入权 |
进入权 |
| 数据携带权 | 数据携带权 | 携带权 |
| 纠正权 | 整改权 |
--- |
| 删除权 | 删除权(“被遗忘权”) | 删除权 |
| 自动化决策中的相关权利 | 自动化决策中的相关权利 | --- |
| --- | --- | 不卖 |
如果处理实体拒绝个人行使其权利的请求,个人也有权对其提起诉讼(第50条)。在涉及隐私的诉讼中,举证责任的变化允许个人根据实际损害或处理实体获得的非法利润获得赔偿(第69条),这可能会让更多的个人行使他们的个人信息权利,并在他们的请求被拒绝时向中国法院提起诉讼。
单独的同意
PIPL为各种情况设定了单独的同意要求,例如:
- PI共享
- 敏感PI的处理
- 个人信息跨境转移:PIPL将其领土范围扩展到在中国境外进行的个人信息处理
PI处理程序必须确保PI主体分别对此类处理活动表示同意,而不是必须同意一系列处理目的。这种单独的同意要求对PI处理人员具有法律和产品合规性影响。
这对企业和人力资源主管意味着什么?
遵守新规定延伸到你持有的员工信息,而不仅仅是你的客户。在你的计划中包括人力资源和工资系统也是很重要的。
有很多事情需要考虑,所以我们开发了一个员工生命周期地图和审计工具,以帮助您评估您的计划目前处于什么位置,以及您应该关注哪些方面以确保合规。下载我们的审计工具:
- 问题和实用提示帮助您审核和准备自己的内部数据系统和流程。
- 举例说明员工何时可能使用他们的新数据权利,以及这会对您的系统产生什么影响
- 检查表,帮助您确保PIPL的内部合规性要求被构建到您的整体战略中
此信息是ADP开发的一系列信息文章和网络研讨会的一部分,旨在帮助您更多地了解中国的《个人信息保护法》。188bet金宝搏app欲了解更多信息,请注册参加我们的网络研讨会:PIPL的内部影响。
本文仅供参考,不构成法律建议。我们建议您就具体业务寻求独立的法律意见。
1iapp.org