อาจเป็นหนึ่งในกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวดที่สุดในโลก
กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของจีน (“PIPL”) ได้ประกาศใช้เมื่อวันที่ 21 สิงหาคม พ.ศ. 2021 และมีผลบังคับใช้ตั้งแต่วันที่ 1 พฤศจิกายน พ.ศ. 2021
กฎหมายมีทั้งหมด 74 บทความ สาระสำคัญของกฎหมาย 15 ข้อที่น่าสังเกตมากที่สุดมีดังนี้
1. PIPA ของจีนมีผลกับบริษัทต่างชาติหรือไม่?
ตราบใดที่คุณจัดการกับข้อมูลส่วนบุคคลของบุคคลธรรมดาในประเทศจีน คุณต้องปฏิบัติตาม PIPA (ข้อ 3)
กฎหมายยังใช้กับกิจกรรมนอกประเทศจีนที่จัดการข้อมูลส่วนบุคคลของบุคคลธรรมดาที่อยู่ในประเทศจีนภายใต้สถานการณ์ใด ๆ ดังต่อไปนี้
(1) กิจกรรมคือการจัดหาผลิตภัณฑ์หรือบริการแก่บุคคลธรรมดาในประเทศจีน
(2) กิจกรรมคือการวิเคราะห์และประเมินพฤติกรรมของบุคคลธรรมดาในประเทศจีน
(3) สถานการณ์อื่น ๆ ที่กำหนดโดยกฎหมายจีนอื่น ๆ และระเบียบการบริหาร
2. ข้อมูลส่วนบุคคลในประเทศจีนสามารถโอนออกนอกประเทศจีนได้หรือไม่?
ได้ หากมีคุณสมบัติตรงตามข้อกำหนดเบื้องต้นสองข้อต่อไปนี้
ประการแรก การโอนได้รับการอนุมัติจากหน่วยงานกำกับดูแลของจีน (มาตรา 38)
ประการที่สอง ผู้ประมวลผลข้อมูลส่วนบุคคลได้รับความยินยอมแยกต่างหากจากบุคคลนั้นเพื่อจุดประสงค์นี้ (มาตรา 39)
3. ข้อมูลส่วนบุคคลที่รวบรวมและสร้างในประเทศจีนสามารถเก็บไว้นอกประเทศจีนได้หรือไม่?
โดยหลักการแล้วไม่มี (มาตรา 40)
ประการแรก ผู้ให้บริการโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญสามารถจัดเก็บข้อมูลส่วนบุคคลได้เฉพาะในประเทศจีนเท่านั้น
ประการที่สอง หากผู้ประมวลผลข้อมูลส่วนบุคคลจัดการข้อมูลส่วนบุคคลตามจำนวนที่กำหนดโดยหน่วยงานกำกับดูแล จะสามารถจัดเก็บข้อมูลส่วนบุคคลได้เฉพาะในประเทศจีนเท่านั้น
4. หน่วยงานต่างประเทศจะถูกลงโทษฐานละเมิด PIPA ของจีนหรือไม่?
ใช่.
หน่วยงานกำกับดูแลของจีนอาจรวมบุคคลเหล่านี้ไว้ในรายการข้อมูลส่วนบุคคลที่ถูกจำกัดหรือต้องห้าม และจำกัดหรือห้ามไม่ให้บุคคลอื่นๆ ให้ข้อมูลส่วนบุคคลแก่พวกเขา (มาตรา 42)
5. หน่วยงานตุลาการต่างประเทศและหน่วยงานบังคับใช้กฎหมายสามารถขอเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในประเทศจีนได้หรือไม่?
หน่วยงานตุลาการต่างประเทศสามารถรับข้อมูลส่วนบุคคลดังกล่าวผ่านความช่วยเหลือด้านตุลาการเท่านั้น (มาตรา 41)
ผู้ประมวลผลข้อมูลส่วนบุคคลจะไม่ให้ข้อมูลส่วนบุคคลดังกล่าวแก่หน่วยงานตุลาการต่างประเทศหรือหน่วยงานบังคับใช้กฎหมายโดยไม่ได้รับการอนุมัติจากทางการจีนที่มีอำนาจ
6. ประเทศจีนแก้ไขข้อขัดแย้งกับกฎการคุ้มครองข้อมูลส่วนบุคคลต่างประเทศอย่างไร?
หากประเทศหรือภูมิภาคใดใช้ข้อห้าม ข้อจำกัด หรือมาตรการอื่นๆ ที่คล้ายคลึงกันกับจีนในการปกป้องข้อมูลส่วนบุคคล จีนอาจใช้มาตรการตอบโต้ต่อประเทศหรือภูมิภาคดังกล่าวตามสถานการณ์จริง (มาตรา 43)
7. PIPA ของจีนควบคุมข้อมูลประเภทใด
ข้อมูลส่วนบุคคล. หากข้อมูลสามารถระบุได้ว่าเกี่ยวข้องกับบุคคลธรรมดา แสดงว่าเป็นข้อมูลส่วนบุคคล (ข้อ 4)
8. PIPA ของจีนควบคุมกิจกรรมประเภทใด
การจัดการข้อมูลส่วนบุคคลรวมถึงการเก็บรวบรวม การกู้คืน การใช้ กระบวนการ การส่ง การจัดหา การเปิดเผย และการลบข้อมูลส่วนบุคคล (ข้อ 4)
9. ข้อมูลส่วนบุคคลสามารถประมวลผลได้ในกรณีใดบ้าง?
ผู้ประมวลผลข้อมูลส่วนบุคคลอาจประมวลผลข้อมูลส่วนบุคคลในสองกรณี: เมื่อได้รับความยินยอมจากบุคคลที่เกี่ยวข้อง หรือในกรณีที่ไม่จำเป็นต้องได้รับความยินยอมจากบุคคลในการประมวลผลข้อมูล
กรณีที่ไม่ต้องการความยินยอมเป็นรายบุคคล รวมถึง:
(1) ผู้ประมวลผลข้อมูลส่วนบุคคลทำสัญญากับบุคคลธรรมดา และการรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับการปฏิบัติตามสัญญา
(2) บริษัทรวบรวมข้อมูลพนักงานที่จำเป็นสำหรับการบริหารทรัพยากรบุคคล
(3) ข้อมูลส่วนบุคคลถูกรวบรวมเพื่อตอบสนองต่อเหตุฉุกเฉินด้านสุขภาพ
(4) ข้อมูลส่วนบุคคลถูกเก็บรวบรวมเพื่อการรายงานข่าวเพื่อประโยชน์สาธารณะ
(5) ข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ (จำกัดวัตถุประสงค์เฉพาะ)
10. ผู้ประมวลผลข้อมูลส่วนบุคคลได้รับความยินยอมจากบุคคลอย่างไร?
ก่อนจัดการข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งให้บุคคลทราบถึงข้อมูลต่อไปนี้อย่างซื่อสัตย์ ถูกต้อง และครบถ้วน ในลักษณะที่โดดเด่นและในภาษาที่ชัดเจนและเข้าใจได้:
(1) ตัวตนของผู้ประมวลผลข้อมูลส่วนบุคคล
(2) วิธีการประมวลผลข้อมูลส่วนบุคคล
(3) บุคคลจะใช้สิทธิ์ของตนในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลอย่างไร
11. บุคคลมีสิทธิอะไรบ้างเกี่ยวกับข้อมูลส่วนบุคคลของตน?
บุคคลมีสิทธิที่จะทราบและตัดสินใจในการจัดการข้อมูลส่วนบุคคลของตน (มาตรา 44)
จะเฉพาะเจาะจง
(1) บุคคลมีสิทธิตรวจสอบและคัดลอกข้อมูลส่วนบุคคลของตนจากบุคคลที่จัดการข้อมูลส่วนบุคคลของตน (มาตรา 45)
(2) บุคคลมีสิทธิที่จะขอให้ผู้ประมวลผลข้อมูลส่วนบุคคลแก้ไขหรือเสริมข้อมูลส่วนบุคคลของตนหากพบว่าข้อมูลไม่ถูกต้องหรือไม่สมบูรณ์ (มาตรา 46)
(3) บุคคลมีสิทธิเพิกถอนความยินยอมได้ทุกเมื่อ (มาตรา 15)
(4) บุคคลมีสิทธิที่จะขอให้ผู้ประมวลผลข้อมูลส่วนบุคคลอธิบายและชี้แจงกฎเกณฑ์ในการจัดการข้อมูลส่วนบุคคลของตน (มาตรา 48)
12. หน่วยงานของรัฐจัดการกับข้อมูลส่วนบุคคลอย่างไร?
หน่วยงานของรัฐอาจจัดการข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการปฏิบัติหน้าที่ทางกฎหมาย แต่จะต้องดำเนินการตามอำนาจและขั้นตอนตามกฎหมาย (มาตรา 34)
หน่วยงานของรัฐต้องแจ้งให้บุคคลทราบเกี่ยวกับการจัดการข้อมูลส่วนบุคคลของตน อย่างไรก็ตาม หน่วยงานของรัฐอาจไม่แจ้งให้บุคคลทราบหากกฎหมายกำหนดว่าการจัดการดังกล่าวจะถูกเก็บเป็นความลับ (มาตรา 35 มาตรา 18)
13. ผู้ประมวลผลข้อมูลส่วนบุคคลสามารถรวบรวมข้อมูลส่วนบุคคลในที่สาธารณะได้หรือไม่?
ได้ โดยต้องเป็นไปตามข้อกำหนดต่อไปนี้ (มาตรา 26):
(1) การรวบรวมเป็นสิ่งจำเป็นเพื่อความปลอดภัยของประชาชน
(2) การรวบรวมเป็นไปตามข้อกำหนดทางกฎหมายที่เกี่ยวข้อง
(3) คอลเลกชันตั้งค่าการเตือนที่โดดเด่น
14. ผู้ประมวลผลข้อมูลส่วนบุคคลสามารถใช้ข้อมูลส่วนบุคคลในการตัดสินใจทางธุรกิจได้หรือไม่?
ใช่ แต่พวกเขาจะรับรองความโปร่งใสของการตัดสินใจและความเป็นธรรมและความเป็นกลางของผลลัพธ์ (มาตรา 24)
ระบุ:
(1) ผู้ประมวลผลข้อมูลส่วนบุคคลจะไม่เสนอเงื่อนไขการซื้อขายส่วนบุคคลให้กับบุคคล เช่น การเลือกปฏิบัติด้านราคา
(2) บุคคลอาจปฏิเสธข้อมูลส่วนบุคคลที่ผลักดันและการตลาดเชิงพาณิชย์โดยผู้ประมวลผลข้อมูลส่วนบุคคลต่อพวกเขา
(3) บุคคลอาจปฏิเสธการตัดสินใจอัตโนมัติโดยผู้ประมวลผลข้อมูลส่วนบุคคลต่อพวกเขา
15. ใครคือผู้มีอำนาจกำกับดูแลการปกป้องข้อมูลส่วนบุคคลในประเทศจีน?
การบริหารไซเบอร์สเปซของจีนและหน่วยงานที่เกี่ยวข้องในรัฐบาลท้องถิ่นเป็นหน่วยงานกำกับดูแลในพื้นที่นี้
ภาพถ่ายโดย ไอแซก ชู on Unsplash
ร่วมให้ข้อมูล: ทีมผู้สนับสนุน CJO Staff