15 ประเด็นที่คุณต้องรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของจีน

ส., 28 ส.ค. 2021

หมวดหมู่: ข้อมูลเชิงลึก

ร่วมให้ข้อมูล: ทีมผู้สนับสนุน CJO Staff

Editor: หยานรูเฉิน陈彦茹

Avatar

อาจเป็นหนึ่งในกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวดที่สุดในโลก

กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของจีน (“PIPL”) ได้ประกาศใช้เมื่อวันที่ 21 สิงหาคม พ.ศ. 2021 และมีผลบังคับใช้ตั้งแต่วันที่ 1 พฤศจิกายน พ.ศ. 2021

กฎหมายมีทั้งหมด 74 บทความ สาระสำคัญของกฎหมาย 15 ข้อที่น่าสังเกตมากที่สุดมีดังนี้

1. PIPA ของจีนมีผลกับบริษัทต่างชาติหรือไม่?

ตราบใดที่คุณจัดการกับข้อมูลส่วนบุคคลของบุคคลธรรมดาในประเทศจีน คุณต้องปฏิบัติตาม PIPA (ข้อ 3)

กฎหมายยังใช้กับกิจกรรมนอกประเทศจีนที่จัดการข้อมูลส่วนบุคคลของบุคคลธรรมดาที่อยู่ในประเทศจีนภายใต้สถานการณ์ใด ๆ ดังต่อไปนี้

(1) กิจกรรมคือการจัดหาผลิตภัณฑ์หรือบริการแก่บุคคลธรรมดาในประเทศจีน

(2) กิจกรรมคือการวิเคราะห์และประเมินพฤติกรรมของบุคคลธรรมดาในประเทศจีน

(3) สถานการณ์อื่น ๆ ที่กำหนดโดยกฎหมายจีนอื่น ๆ และระเบียบการบริหาร

2. ข้อมูลส่วนบุคคลในประเทศจีนสามารถโอนออกนอกประเทศจีนได้หรือไม่?

ได้ หากมีคุณสมบัติตรงตามข้อกำหนดเบื้องต้นสองข้อต่อไปนี้

ประการแรก การโอนได้รับการอนุมัติจากหน่วยงานกำกับดูแลของจีน (มาตรา 38)

ประการที่สอง ผู้ประมวลผลข้อมูลส่วนบุคคลได้รับความยินยอมแยกต่างหากจากบุคคลนั้นเพื่อจุดประสงค์นี้ (มาตรา 39)

3. ข้อมูลส่วนบุคคลที่รวบรวมและสร้างในประเทศจีนสามารถเก็บไว้นอกประเทศจีนได้หรือไม่?

โดยหลักการแล้วไม่มี (มาตรา 40)

ประการแรก ผู้ให้บริการโครงสร้างพื้นฐานด้านข้อมูลที่สำคัญสามารถจัดเก็บข้อมูลส่วนบุคคลได้เฉพาะในประเทศจีนเท่านั้น

ประการที่สอง หากผู้ประมวลผลข้อมูลส่วนบุคคลจัดการข้อมูลส่วนบุคคลตามจำนวนที่กำหนดโดยหน่วยงานกำกับดูแล จะสามารถจัดเก็บข้อมูลส่วนบุคคลได้เฉพาะในประเทศจีนเท่านั้น

4. หน่วยงานต่างประเทศจะถูกลงโทษฐานละเมิด PIPA ของจีนหรือไม่?

ใช่.

หน่วยงานกำกับดูแลของจีนอาจรวมบุคคลเหล่านี้ไว้ในรายการข้อมูลส่วนบุคคลที่ถูกจำกัดหรือต้องห้าม และจำกัดหรือห้ามไม่ให้บุคคลอื่นๆ ให้ข้อมูลส่วนบุคคลแก่พวกเขา (มาตรา 42)

5. หน่วยงานตุลาการต่างประเทศและหน่วยงานบังคับใช้กฎหมายสามารถขอเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในประเทศจีนได้หรือไม่?

หน่วยงานตุลาการต่างประเทศสามารถรับข้อมูลส่วนบุคคลดังกล่าวผ่านความช่วยเหลือด้านตุลาการเท่านั้น (มาตรา 41)

ผู้ประมวลผลข้อมูลส่วนบุคคลจะไม่ให้ข้อมูลส่วนบุคคลดังกล่าวแก่หน่วยงานตุลาการต่างประเทศหรือหน่วยงานบังคับใช้กฎหมายโดยไม่ได้รับการอนุมัติจากทางการจีนที่มีอำนาจ

6. ประเทศจีนแก้ไขข้อขัดแย้งกับกฎการคุ้มครองข้อมูลส่วนบุคคลต่างประเทศอย่างไร?

หากประเทศหรือภูมิภาคใดใช้ข้อห้าม ข้อจำกัด หรือมาตรการอื่นๆ ที่คล้ายคลึงกันกับจีนในการปกป้องข้อมูลส่วนบุคคล จีนอาจใช้มาตรการตอบโต้ต่อประเทศหรือภูมิภาคดังกล่าวตามสถานการณ์จริง (มาตรา 43)

7. PIPA ของจีนควบคุมข้อมูลประเภทใด

ข้อมูลส่วนบุคคล. หากข้อมูลสามารถระบุได้ว่าเกี่ยวข้องกับบุคคลธรรมดา แสดงว่าเป็นข้อมูลส่วนบุคคล (ข้อ 4)

8. PIPA ของจีนควบคุมกิจกรรมประเภทใด

การจัดการข้อมูลส่วนบุคคลรวมถึงการเก็บรวบรวม การกู้คืน การใช้ กระบวนการ การส่ง การจัดหา การเปิดเผย และการลบข้อมูลส่วนบุคคล (ข้อ 4)

9. ข้อมูลส่วนบุคคลสามารถประมวลผลได้ในกรณีใดบ้าง?

ผู้ประมวลผลข้อมูลส่วนบุคคลอาจประมวลผลข้อมูลส่วนบุคคลในสองกรณี: เมื่อได้รับความยินยอมจากบุคคลที่เกี่ยวข้อง หรือในกรณีที่ไม่จำเป็นต้องได้รับความยินยอมจากบุคคลในการประมวลผลข้อมูล

กรณีที่ไม่ต้องการความยินยอมเป็นรายบุคคล รวมถึง:

(1) ผู้ประมวลผลข้อมูลส่วนบุคคลทำสัญญากับบุคคลธรรมดา และการรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจำเป็นสำหรับการปฏิบัติตามสัญญา

(2) บริษัทรวบรวมข้อมูลพนักงานที่จำเป็นสำหรับการบริหารทรัพยากรบุคคล

(3) ข้อมูลส่วนบุคคลถูกรวบรวมเพื่อตอบสนองต่อเหตุฉุกเฉินด้านสุขภาพ

(4) ข้อมูลส่วนบุคคลถูกเก็บรวบรวมเพื่อการรายงานข่าวเพื่อประโยชน์สาธารณะ

(5) ข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ (จำกัดวัตถุประสงค์เฉพาะ)

10. ผู้ประมวลผลข้อมูลส่วนบุคคลได้รับความยินยอมจากบุคคลอย่างไร?

ก่อนจัดการข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งให้บุคคลทราบถึงข้อมูลต่อไปนี้อย่างซื่อสัตย์ ถูกต้อง และครบถ้วน ในลักษณะที่โดดเด่นและในภาษาที่ชัดเจนและเข้าใจได้:

(1) ตัวตนของผู้ประมวลผลข้อมูลส่วนบุคคล

(2) วิธีการประมวลผลข้อมูลส่วนบุคคล

(3) บุคคลจะใช้สิทธิ์ของตนในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลอย่างไร

11. บุคคลมีสิทธิอะไรบ้างเกี่ยวกับข้อมูลส่วนบุคคลของตน?

บุคคลมีสิทธิที่จะทราบและตัดสินใจในการจัดการข้อมูลส่วนบุคคลของตน (มาตรา 44)

จะเฉพาะเจาะจง

(1) บุคคลมีสิทธิตรวจสอบและคัดลอกข้อมูลส่วนบุคคลของตนจากบุคคลที่จัดการข้อมูลส่วนบุคคลของตน (มาตรา 45)

(2) บุคคลมีสิทธิที่จะขอให้ผู้ประมวลผลข้อมูลส่วนบุคคลแก้ไขหรือเสริมข้อมูลส่วนบุคคลของตนหากพบว่าข้อมูลไม่ถูกต้องหรือไม่สมบูรณ์ (มาตรา 46)

(3) บุคคลมีสิทธิเพิกถอนความยินยอมได้ทุกเมื่อ (มาตรา 15)

(4) บุคคลมีสิทธิที่จะขอให้ผู้ประมวลผลข้อมูลส่วนบุคคลอธิบายและชี้แจงกฎเกณฑ์ในการจัดการข้อมูลส่วนบุคคลของตน (มาตรา 48)

12. หน่วยงานของรัฐจัดการกับข้อมูลส่วนบุคคลอย่างไร?

หน่วยงานของรัฐอาจจัดการข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการปฏิบัติหน้าที่ทางกฎหมาย แต่จะต้องดำเนินการตามอำนาจและขั้นตอนตามกฎหมาย (มาตรา 34)

หน่วยงานของรัฐต้องแจ้งให้บุคคลทราบเกี่ยวกับการจัดการข้อมูลส่วนบุคคลของตน อย่างไรก็ตาม หน่วยงานของรัฐอาจไม่แจ้งให้บุคคลทราบหากกฎหมายกำหนดว่าการจัดการดังกล่าวจะถูกเก็บเป็นความลับ (มาตรา 35 มาตรา 18)

13. ผู้ประมวลผลข้อมูลส่วนบุคคลสามารถรวบรวมข้อมูลส่วนบุคคลในที่สาธารณะได้หรือไม่?

ได้ โดยต้องเป็นไปตามข้อกำหนดต่อไปนี้ (มาตรา 26):

(1) การรวบรวมเป็นสิ่งจำเป็นเพื่อความปลอดภัยของประชาชน

(2) การรวบรวมเป็นไปตามข้อกำหนดทางกฎหมายที่เกี่ยวข้อง

(3) คอลเลกชันตั้งค่าการเตือนที่โดดเด่น

14. ผู้ประมวลผลข้อมูลส่วนบุคคลสามารถใช้ข้อมูลส่วนบุคคลในการตัดสินใจทางธุรกิจได้หรือไม่?

ใช่ แต่พวกเขาจะรับรองความโปร่งใสของการตัดสินใจและความเป็นธรรมและความเป็นกลางของผลลัพธ์ (มาตรา 24)

ระบุ:

(1) ผู้ประมวลผลข้อมูลส่วนบุคคลจะไม่เสนอเงื่อนไขการซื้อขายส่วนบุคคลให้กับบุคคล เช่น การเลือกปฏิบัติด้านราคา

(2) บุคคลอาจปฏิเสธข้อมูลส่วนบุคคลที่ผลักดันและการตลาดเชิงพาณิชย์โดยผู้ประมวลผลข้อมูลส่วนบุคคลต่อพวกเขา

(3) บุคคลอาจปฏิเสธการตัดสินใจอัตโนมัติโดยผู้ประมวลผลข้อมูลส่วนบุคคลต่อพวกเขา

15. ใครคือผู้มีอำนาจกำกับดูแลการปกป้องข้อมูลส่วนบุคคลในประเทศจีน?