中华人民共和国个人信息保护法

2021年中国法律

中华人民共和国个人信息保护法》(简称:个人信息保护法,英文名:Personal Information Protection Law of the People's Republic of China,英文简称:PIPL)是中华人民共和国的一部法律。2021年8月20日经第十三届全国人大常委会第三十次会议表决通过,[1]自2021年11月1日起施行[2]。该法规定了个人信息权益的保护,规范个人信息处理活动,促进个人信息的合理使用。它还涉及个人数据在中国境外的转移。《个人信息保护法》在立法上参考了欧盟一般资料保护规范[3][4]

中华人民共和国个人信息保护法
中华人民共和国国徽
简称个人信息保护法
起草机关全国人大常委会法制工作委员会
中央网络安全和信息化委员会办公室
提请审议机关全国人大常委会委员长会议
公布日期2021年8月20日
施行日期2021年11月1日
法律效力位阶普通法律
立法历程
  • 列入人大常委会立法规划:2018年
  • 列入人大常委会立法工作计划:2020年6月1日(十三届全国人大常委会第58次委员长会议)
  • 专门委员会讨论:全国人民代表大会宪法和法律委员会
  • 一审:2020年10月13日-17日(十三届全国人大常委会第二十二次会议)
  • 一审稿征求意见:2020年10月21日-11月19日
  • 二审:2021年4月26日-29日(十三届全国人大常委会第二十八次会议)
  • 二审稿征求意见:2021年4月29日-5月28日
  • 三审:2021年8月17日-20日(十三届全国人大常委会第三十次会议)
  • 人大常委会通过:2021年8月20日(第十三届全国人大常委会第三十次会议)
  • 国家主席公布:第九十一号《中华人民共和国主席令(2021年8月20日,国家主席习近平签署公布)
收录于维基文库的法律原文:
中华人民共和国个人信息保护法
中华人民共和国国徽 收录于国家法律法规数据库的法律原文:
中华人民共和国个人信息保护法
现状:施行中

历程

2018年12月20日,全国人大常委会法工委宣布将个人信息保护法列入人大常委会立法规划[5]

2021年8月17日,十三届全国人大常委会第三十次会议第三次审议了个人信息保护法草案。[6]

条款

个人信息保护法共有 8 章 73 条,涉及数据处理规则、政府数据使用、跨境传输、个人权利、处理者义务、监管部门、法律责任和其他补充规定[4]

范围

PIPL一般涵盖所有在中国经营的处理个人信息的组织机构。

长臂管辖

关键主题

个人隐私、控制和同意是贯穿整个法律的一致主题,其中规定了关键原则,包括:

  • 个人信息:定义了包括个人信息在内的敏感信息。
  • 法律依据:所有数据收集必须有法律依据。
  • 同意:与GDPR不同的是,每一种类型的数据处理活动都必须获得同意,特别是在将个人数据转移到海外时。
  • 敏感数据:个人信息保护法规定某些类型的个人信息是敏感的,并提供了一个开放式的事例列表,其中包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
  • 儿童保护:14 岁以下未成年人的所有个人信息均被定义为敏感信息,规定个人信息处理者处理这些信息应当取得未成年人的父母或者其他监护人的同意并制定专门的个人信息处理规则。
  • 个人权利:个人信息保护法赋予个人对其信息的几项关键权利
  • 个人信息处理者的义务:个人信息保护法规定了各方收集、转移和处理个人信息的各种义务。
  • 政府对个人信息的使用:个人信息保护法规定了政府机构何时以及如何收集和处理个人数据。
  • 传输至境外:规定了对将个人数据传输到中国境外的具体限制。
  • 法律责任:规定了违反个人信息保护法行为的处罚。

概念定义

个人信息保护法定义了一些名词的具体概念,参见如下:

  • 个人信息:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,但不包括匿名化处理后的信息
  • 敏感个人信息:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
  • 个人:其个人数据被收集处理的人
  • 个人信息处理者:是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
  • 受托人:个人信息处理者委托处理个人信息的外部实体,本质上是第三方。
  • 个人信息处理:个人信息处理包括个人信息的收集、存储、使用、处理、传输、提供、披露、删除等。
  • 自动化决策:是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
  • 去标识化:是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
  • 匿名化:是指个人信息经过处理无法识别特定自然人且不能复原的过程。

个人权利

个人根据个人信息保护法有多项特定权利,他们可以[4]

  • 了解并决定:个人可以拒绝并限制其数据的处理方式。
  • 访问和复制:个人有权向个人信息处理者查阅、复制其个人信息。
  • 更正或补充:个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
  • 被遗忘权:个人有权请求个人信息处理者删除个人信息。并有权撤回对隐私政策的同意。
  • 知情权:个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
  • 信息转移:个人有权请求将个人信息转移至其指定的个人信息处理者。

参考文献

  1. ^ 白阳; 刘硕. 权威快报丨个人信息保护法来了. 新华网. 新华社微博. 2021-08-20 [2021-11-02]. (原始内容存档于2021-08-20). 
  2. ^ 江聃. 个人信息保护法今日(11月1日)正式生效实施. 证券时报网. 证券时报. 2021-11-01 [2021-11-02]. (原始内容存档于2021-11-04). 
  3. ^ 个人信息保护法的深远意义:中国与世界_中国人大网. 中国人大网. [2023-02-04]. (原始内容存档于2022-10-21) (中文). 
  4. ^ 4.0 4.1 4.2 中华人民共和国个人信息保护法_中国人大网. 中国人大网. [2023-02-04]. (原始内容存档于2021-12-21) (中文). 
  5. ^ 中国发布丨法工委:明年计划制定个人信息保护法、数据安全法等法律案_中国网客户端. 中国网. [2023-02-04]. 
  6. ^ 张天培. 个人信息保护法草案进入三审健全完善个人信息保护制度规则_. 中国人大网. 人民日报. 2021-08-18 [2021-11-02]. (原始内容存档于2021-11-02). 

参阅