中华人民共和国个人信息保护法-16模块拆解
法律基本信息
| 维度 | 内容 |
|---|---|
| 法律名称 | 中华人民共和国个人信息保护法(PIPL) |
| 颁布机构 | 第十三届全国人民代表大会常务委员会第三十次会议 |
| 颁布日期 | 2021年8月20日 |
| 生效日期 | 2021年11月1日 |
| 法律层级 | 全国人大常委会制定的基本法(仅次于宪法和民法典) |
| 法律地位 | 国家级综合性个人数据保护专门法 |
| 可信度评级 | ⭐⭐⭐⭐⭐ (A+级,官方公报版本,权威性最强) |
| 国际对标 | EU GDPR、CCPA等国际数据隐私标准 |
核心主题与16模块覆盖情况
主要覆盖模块
- 模块7:数据合规 ⭐⭐⭐⭐⭐(核心模块)
- 模块13:消费者保护 ⭐⭐⭐(个人数据权益保护)
- 模块16:争议解决与诉讼 ⭐⭐(纠纷处理机制)
次要相关模块
- 模块10:反腐败与反洗钱 ⭐⭐(涉及数据使用规范)
- 模块11:竞争与反垄断 ⭐⭐(自动化决策规制)
- 模块8:劳动与雇佣 ⭐(员工个人信息处理)
- 模块5:集团架构 ⭐(跨境数据转移)
模块拆解
模块7:数据合规
法律结构
该法建立了中国最完整的个人数据保护框架,共8章74条:
| 章节 | 核心内容 | 条文数 |
|---|---|---|
| 第一章 总则 | 立法目的、基本原则、适用范围 | 12条 |
| 第二章 个人信息处理规则 | 处理规则、敏感信息、国家机关特殊规定 | 25条 |
| 第三章 跨境提供规则 | 跨国数据流动、安全评估 | 6条 |
| 第四章 个人权利 | 知情权、决定权、查询权、更正权、删除权 | 7条 |
| 第五章 处理者义务 | 安全保护、合规管理、风险评估 | 9条 |
| 第六章 监管部门职责 | 执法部门、监督机制 | 7条 |
| 第七章 法律责任 | 行政处罚、民事赔偿、刑事责任 | 5条 |
| 第八章 附则 | 定义、施行时间 | 3条 |
核心规定
1. 个人信息处理基本原则
| 原则 | 条文 | 具体要求 |
|---|---|---|
| 合法正当必要 | 第5条 | 处理个人信息应当遵循合法、正当、必要和诚信原则 |
| 目的明确 | 第6条 | 具有明确、合理的目的,采取最小影响方式,不得过度收集 |
| 公开透明 | 第7条 | 公开个人信息处理规则,明示处理目的、方式和范围 |
| 数据质量 | 第8条 | 保证个人信息的质量,避免因信息不准确对个人权益造成不利影响 |
| 安全保护 | 第9条 | 采取必要措施保障个人信息安全 |
2. 处理同意制度
合法处理的七种情形(第13条):
- 取得个人同意
- 为订立、履行个人作为一方当事人的合同所必需
- 为履行法定职责或者法定义务所必需
- 为应对突发公共卫生事件或者紧急情况
- 为公共利益实施新闻报道、舆论监督等
- 在合理范围内处理个人自行公开或者其他已经合法公开的信息
- 法律、行政法规规定的其他情形
同意要求(第14-15条):
- 充分知情前提下的自愿、明确意思表示
- 个人有权撤回同意
- 撤回同意不影响之前已合法处理行为的效力
3. 敏感个人信息保护
敏感信息定义(第28条):
- 生物识别
- 宗教信仰
- 特定身份
- 医疗健康
- 金融账户
- 行踪轨迹
- 未成年人信息(不满十四周岁)
特殊保护要求(第29-31条):
- 需单独同意或书面同意
- 必须具有特定目的和充分必要性
- 告知处理必要性及对个人权益的影响
- 未成年人信息需取得法定代理人同意
4. 跨境数据流动
跨境提供条件(第38-42条):
| 情形 | 要求 | 适用主体 |
|---|---|---|
| 关键信息基础设施运营者 | 通过CAP安全评估 | 关键基础设施 |
| 达到国家网信部门数量 | 通过安全评估 | 大型数据处理者 |
| 其他处理者 | 标准合同+专业机构认证 | 一般处理者 |
| 国际条约/协定 | 按条约/协定执行 | 所有 |
跨境提供义务:
- 告知个人跨境接收方信息
- 跨境接收方履行本法规定的处理者义务
- 可能触发国际司法协助程序
5. 个人权利
| 权利类型 | 条文 | 具体内容 |
|---|---|---|
| 知情权 | 第44条 | 了解处理者身份、目的、方式、种类、保存期限 |
| 决定权 | 第44条 | 同意或拒绝处理;不能因拒绝而被歧视 |
| 查询权 | 第45条 | 查阅、复制个人信息;处理者应及时提供 |
| 转移权 | 第45条 | 转移至指定的其他处理者 |
| 更正权 | 第46条 | 更正、补充不准确或不完整信息 |
| 删除权 | 第47条 | 五种情形下要求删除(处理目的已实现、停止提供服务、同意撤回、违法处理、法律规定) |
6. 处理者义务
合规管理体系(第51-58条):
| 义务 | 具体要求 |
|---|---|
| 安全技术措施 | 加密、去标识化、匿名化等 |
| 指定负责人 | 个人信息保护负责人(DPO) |
| 数据分类管理 | 分类分级管理制度 |
| 定期审计 | 合规审计,记录保存3年 |
| 影响评估PIAA | 高风险场景需进行评估 |
| 泄露通知 | 立即通知并补救 |
| 平台特殊义务 | 大型平台需独立监督机构、公平规则 |
7. 法律责任
行政处罚(第66条):
| 违法情形 | 处罚标准 |
|---|---|
| 一般违法 | 警告 + 没收违法所得 + 罚款最高100万元 |
| 拒不改正 | 罚款100万元 + 直接负责人1-10万元 |
| 情节严重 | 罚款5000万元或上年度营业额5% |
| 情节严重加重 | 停业整顿、吊销许可证/营业执照 + 禁止相关职务 |
民事责任(第69条):
- 原则:过错推定(举证责任倒置)
- 条件:处理活动侵害个人信息权益造成损害
- 赔偿:按实际受到的损失或处理者获得的利益确定
- 诉讼权:个人诉讼 + 检察院/组织公益诉讼
刑事责任(第71条):
- 违反治安管理行为:依法处罚
- 构成犯罪:追究刑事责任
适用场景
| 场景类型 | 具体应用 | 主要条文 |
|---|---|---|
| 消费者应用 | APP注册、个性化推荐、用户追踪 | 第24、26、27条 |
| 企业运营 | 员工管理、客户数据、大数据杀熟 | 第6、13、16、24条 |
| 金融服务 | 征信、风控、反欺诈 | 第28、38-42条 |
| 医疗健康 | 患者信息、健康数据 | 第28、29条 |
| 电商平台 | 平台治理、商家规范、自动化决策 | 第58条 |
| 跨国企业 | 数据出境、国际转移、合规审计 | 第38-42、54条 |
| 政府部门 | 数据采集、信息共享、安全存储 | 第33-37条 |
| 云计算服务 | 数据存储、委托处理、受托方义务 | 第21、59条 |
合规要点
处理前阶段:
- 确定明确的处理目的
- 进行个人信息保护影响评估(PIAA)
- 制定个人信息处理规则并公开
- 获得个人同意或确认合法处理情形
处理中阶段:
- 采取加密、去标识化等技术措施
- 限制处理范围至目的必需最小范围
- 定期对从业人员进行安全教育
- 建立内部管理制度和操作规程
处理后阶段:
- 按约定保存期限删除数据
- 建立便捷的个人权利申请机制
- 发生数据泄露立即通知
- 定期进行合规审计
跨境合规:
- 关键信息基础设施运营者:通过CAP安全评估
- 其他处理者:合同+专业机构认证
- 国际条约适用
- 通知个人跨境接收方信息
平台合规:
- 成立独立的个人信息保护监督机构
- 制定公平公正的平台规则
- 对违规服务提供者停止服务
- 定期发布社会责任报告
模块7新增字段建议(31个)
当前模块7仅有15个字段,建议补充以下字段:
A. 法律框架类(5个)
- 法律层级 - 基本法 vs. 行政法规 vs. 部门规章
- 适用地域范围 - 境内/境外适用条件
- 行业覆盖 - 全覆盖 vs. 例外行业
- 豁免情形 - 个人/家庭事务、档案管理、统计等
- 国际条约关联 - GDPR对标、双边协议
B. 处理规则细化类(8个)
- 处理模式 - 自主处理 vs. 委托处理 vs. 联合处理
- 数据生命周期 - 收集→存储→使用→加工→传输→提供→公开→删除各环节规则
- 最小必要原则具体化 - 如何判断"必要"
- 过度收集禁止 - 典型过度收集场景(APP权限滥用等)
- 自动化决策 - 定义、透明度要求、拒绝权
- 已公开信息处理 - 重大影响时需同意
- 人力资源管理 - 劳动规章制度、集体合同依据
- 紧急情况 - 突发公卫事件、生命安全等
C. 敏感信息保护类(6个)
- 敏感信息具体清单 - 生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、未成年人
- 未成年人特殊规则 - 14岁以下法定代理人同意、专门处理规则
- 单独同意 vs. 书面同意 - 法律区分
- 处理必要性论证 - 特定目的和充分必要性
- 敏感信息受限 - 行政许可或其他限制
- 敏感信息告知义务 - 必要性和权益影响披露
D. 跨境数据流动类(7个)
- 关键信息基础设施 - 明确界定
- 数据量级规定 - 国家网信部门确定的"达到"数量
- 跨境提供四条件 - CAP安全评估、认证、标准合同、其他
- 标准合同要求 - 国家网信部门制定的合同条款
- 安全评估标准 - 评估要素、程序、时限
- 国际司法协助 - 外国司法/执法机构请求流程
- 国际条约优先 - 缔结/参加的条约可优先适用
E. 个人权利细化类(6个)
- 知情权详细清单 - 处理者身份、目的、方式、种类、保存期限、权利行使方式
- 决定权 - 拒绝权(不能因拒绝而被歧视)
- 查询权 - 查阅、复制、及时提供义务
- 转移权 - 转移至指定处理者的条件
- 更正权 - 更正、补充、核实义务
- 删除权 - 五种删除情形、技术难度豁免
- 诉讼权 - 救济途径
F. 处理者义务深化类(8个)
- 合规管理体系 - 内部制度、操作规程、人员教育、应急预案
- 个人信息保护负责人 - 指定条件、职责范围、联系方式公开
- 数据分类管理 - 分类标准、分级管理
- 安全技术措施具体化 - 加密、去标识化、匿名化的适用场景
- 定期审计义务 - 审计频次、记录保存期限(3年)
- 影响评估PIAA - 评估要素、前置要求、高风险场景
- 泄露通知机制 - 通知内容、时限、豁免情形
- 大型平台特殊义务 - 独立监督机构、平台规则、违规处罚权、社会责任报告
G. 监管与执法类(4个)
- 监管部门职权清单 - 询问、查阅、现场检查、设备查封/扣押
- 约谈权 - 条件、程序、整改要求
- 移送刑事权 - 涉嫌犯罪的移送公安
- 投诉举报机制 - 渠道、处理程序、结果反馈
制度创新亮点
亮点1:过错推定责任制
- 创新性:改变"无过错不赔偿"为"不能证明无过错则赔偿"
- 实践意义:大幅降低受害人举证负担
- 对标:接近GDPR的严格责任制
亮点2:自动化决策规制
- 创新性:首次在国家法层面明确禁止大数据杀熟
- 具体规则:
- 不得在交易价格等交易条件上实行不合理差别待遇
- 信息推送需提供非个性化选项
- 重大影响决定可拒绝仅由机器做出
亮点3:敏感信息分级保护
- 创新性:明确7类敏感信息清单,并特殊保护未成年人
- 保护等级:需单独/书面同意 + 特定目的 + 充分必要性
亮点4:跨境数据流动管控
- 创新性:建立关键信息基础设施和大型数据处理者的安全评估制度
- 国情体现:兼顾数据安全与经济开放
亮点5:大型互联网平台特殊义务
- 创新性:第58条对超大型平台的监管
- 具体义务:独立监督机构、平台规则公平性、违规商家停服权、社会责任报告
国际对标
| 维度 | PIPL | GDPR | CCPA |
|---|---|---|---|
| 立法层级 | 基本法 | 欧盟指令 | 州法 |
| 适用地域 | 域外适用 | 广泛域外适用 | 有限域外适用 |
| 处罚上限 | 5000万元或5% | 2000万欧或4% | 7500美元/次 |
| 数据跨境 | 严格控制 | 充分性决定 | 相对开放 |
| 个人权利 | 6项基本权 | 9项详细权 | 4项基本权 |
| 企业责任 | 过错推定 | 严格责任 | 故意/过失 |
重点合规提示总结
务必做到
✅ 制定个人信息处理规则并公开 ✅ 指定个人信息保护负责人(达到数量的处理者) ✅ 对现有APP/系统进行合规审计 ✅ 建立个人权利申请机制 ✅ 实施加密、去标识化等技术措施 ✅ 定期进行合规审计(记录保存3年)
严格禁止
❌ 过度收集个人信息 ❌ 未经同意处理敏感信息 ❌ 大数据杀熟和不合理差别待遇 ❌ 未经评估跨境提供数据 ❌ 拒绝个人行使其权利
高风险场景
⚠️ 处理敏感信息(生物识别、医疗健康等) ⚠️ 跨境数据转移 ⚠️ 自动化决策和个性化推荐 ⚠️ 大型平台运营 ⚠️ 关键信息基础设施运营
文章价值评估
专业性:⭐⭐⭐⭐⭐ 全国人大常委会制定,最高法律权威 实用性:⭐⭐⭐⭐⭐ 提供了完整的处理规则和合规要点 前瞻性:⭐⭐⭐⭐⭐ 对标国际最佳实践(GDPR) 系统性:⭐⭐⭐⭐⭐ 8章74条,完整的法律体系
总体评分: 9.5/10 - 中国法律体系中的重要基础法
建议阅读对象:所有处理个人信息的企业、合规负责人、法务团队、技术团队
合规难度评分:8.5/10(仅次于GDPR的9/10)