中華人民共和國個人信息保護法

2021年中国法律

中華人民共和國個人信息保護法》(簡稱:個人信息保護法,英文名:Personal Information Protection Law of the People's Republic of China,英文簡稱:PIPL)是中華人民共和國的一部法律。2021年8月20日經第十三屆全國人大常委會第三十次會議表決通過,[1]自2021年11月1日起施行[2]。該法規定了個人信息權益的保護,規範個人信息處理活動,促進個人信息的合理使用。它還涉及個人數據在中國境外的轉移。《個人信息保護法》在立法上參考了歐盟一般資料保護規範[3][4]

中華人民共和國個人信息保護法
中華人民共和國國徽
簡稱個人信息保護法
起草機關全國人大常委會法制工作委員會
中央網絡安全和信息化委員會辦公室
提請審議機關全國人大常委會委員長會議
公布日期2021年8月20日
施行日期2021年11月1日
法律效力位階普通法律
立法歷程
  • 列入人大常委會立法規劃:2018年
  • 列入人大常委會立法工作計劃:2020年6月1日(十三屆全國人大常委會第58次委員長會議)
  • 專門委員會討論:全國人民代表大會憲法和法律委員會
  • 一審:2020年10月13日-17日(十三屆全國人大常委會第二十二次會議)
  • 一審稿徵求意見:2020年10月21日-11月19日
  • 二審:2021年4月26日-29日(十三屆全國人大常委會第二十八次會議)
  • 二審稿徵求意見:2021年4月29日-5月28日
  • 三審:2021年8月17日-20日(十三屆全國人大常委會第三十次會議)
  • 人大常委會通過:2021年8月20日(第十三屆全國人大常委會第三十次會議)
  • 國家主席公布:第九十一號《中華人民共和國主席令(2021年8月20日,國家主席習近平簽署公布)
收錄於維基文庫的法律原文:
中華人民共和國個人信息保護法
中華人民共和國國徽 收錄於國家法律法規資料庫的法律原文:
中華人民共和國個人信息保護法
現狀:施行中

歷程

2018年12月20日,全國人大常委會法工委宣布將個人信息保護法列入人大常委會立法規劃[5]

2021年8月17日,十三屆全國人大常委會第三十次會議第三次審議了個人信息保護法草案。[6]

條款

個人信息保護法共有 8 章 73 條,涉及數據處理規則、政府數據使用、跨境傳輸、個人權利、處理者義務、監管部門、法律責任和其他補充規定[4]

範圍

PIPL一般涵蓋所有在中國經營的處理個人信息的組織機構。

長臂管轄

關鍵主題

個人隱私、控制和同意是貫穿整個法律的一致主題,其中規定了關鍵原則,包括:

  • 個人信息:定義了包括個人信息在內的敏感信息。
  • 法律依據:所有數據收集必須有法律依據。
  • 同意:與GDPR不同的是,每一種類型的數據處理活動都必須獲得同意,特別是在將個人數據轉移到海外時。
  • 敏感數據:個人信息保護法規定某些類型的個人信息是敏感的,並提供了一個開放式的事例列表,其中包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
  • 兒童保護:14 歲以下未成年人的所有個人信息均被定義為敏感信息,規定個人信息處理者處理這些信息應當取得未成年人的父母或者其他監護人的同意並制定專門的個人信息處理規則。
  • 個人權利:個人信息保護法賦予個人對其信息的幾項關鍵權利
  • 個人信息處理者的義務:個人信息保護法規定了各方收集、轉移和處理個人信息的各種義務。
  • 政府對個人信息的使用:個人信息保護法規定了政府機構何時以及如何收集和處理個人數據。
  • 傳輸至境外:規定了對將個人數據傳輸到中國境外的具體限制。
  • 法律責任:規定了違反個人信息保護法行為的處罰。

概念定義

個人信息保護法定義了一些名詞的具體概念,參見如下:

  • 個人信息:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,但不包括匿名化處理後的信息
  • 敏感個人信息:敏感個人信息是一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
  • 個人:其個人數據被收集處理的人
  • 個人信息處理者:是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。
  • 受託人:個人信息處理者委託處理個人信息的外部實體,本質上是第三方。
  • 個人信息處理:個人信息處理包括個人信息的收集、存儲、使用、處理、傳輸、提供、披露、刪除等。
  • 自動化決策:是指通過電腦程式自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,並進行決策的活動。
  • 去標識化:是指個人信息經過處理,使其在不藉助額外信息的情況下無法識別特定自然人的過程。
  • 匿名化:是指個人信息經過處理無法識別特定自然人且不能復原的過程。

個人權利

個人根據個人信息保護法有多項特定權利,他們可以[4]

  • 了解並決定:個人可以拒絕並限制其數據的處理方式。
  • 訪問和複製:個人有權向個人信息處理者查閱、複製其個人信息。
  • 更正或補充:個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充。
  • 被遺忘權:個人有權請求個人信息處理者刪除個人信息。並有權撤回對隱私政策的同意。
  • 知情權:個人有權要求個人信息處理者對其個人信息處理規則進行解釋說明。
  • 信息轉移:個人有權請求將個人信息轉移至其指定的個人信息處理者。

參考文獻

  1. ^ 白陽; 劉碩. 权威快报丨个人信息保护法来了. 新華網. 新華社微博. 2021-08-20 [2021-11-02]. (原始內容存檔於2021-08-20). 
  2. ^ 江聃. 个人信息保护法今日(11月1日)正式生效实施. 證券時報網. 證券時報. 2021-11-01 [2021-11-02]. (原始內容存檔於2021-11-04). 
  3. ^ 个人信息保护法的深远意义:中国与世界_中国人大网. 中國人大網. [2023-02-04]. (原始內容存檔於2022-10-21) (中文). 
  4. ^ 4.0 4.1 4.2 中华人民共和国个人信息保护法_中国人大网. 中國人大網. [2023-02-04]. (原始內容存檔於2021-12-21) (中文). 
  5. ^ 中国发布丨法工委:明年计划制定个人信息保护法、数据安全法等法律案_中国网客户端. 中國網. [2023-02-04]. 
  6. ^ 張天培. 个人信息保护法草案进入三审健全完善个人信息保护制度规则_. 中國人大網. 人民日報. 2021-08-18 [2021-11-02]. (原始內容存檔於2021-11-02). 

參閱