हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंचीन पीआईपीएल अनुपालन: सीमा पार डेटा ट्रांसफर गाइड
चीन का व्यक्तिगत सूचना संरक्षण कानून (पीआईपीएल - 个人信息保护法), 1 नवंबर, 2021 से प्रभावी, चीन का व्यापक राष्ट्रीय डेटा गोपनीयता कानून है और विश्व स्तर पर सबसे अधिक मांग वाले डेटा सुरक्षा ढांचे में से एक है। डेटा सुरक्षा कानून (डीएसएल, सितंबर 2021 से प्रभावी) और साइबर सुरक्षा कानून (सीएसएल, जून 2017 से प्रभावी) के साथ, पीआईपीएल नियमों की एक त्रयी बनाता है जो मूल रूप से व्यवसायों को चीन के अंदर और बाहर डेटा एकत्र करने, संसाधित करने, संग्रहीत करने और स्थानांतरित करने के तरीके को नया आकार देता है।
चीन में काम करने वाली या चीनी उपभोक्ताओं को सेवा देने वाली बहुराष्ट्रीय कंपनियों के लिए, पीआईपीएल अनुपालन वैकल्पिक नहीं है - उल्लंघन के परिणामस्वरूप वार्षिक कारोबार का 5% तक जुर्माना, व्यवसाय संचालन का निलंबन और जिम्मेदार अधिकारियों के लिए व्यक्तिगत आपराधिक दायित्व हो सकता है। चीन के साइबरस्पेस प्रशासन (सीएसी) ने आक्रामक प्रवर्तन का प्रदर्शन किया है, जिसमें दीदी ग्लोबल ($1.19 बिलियन जुर्माना), फुल ट्रक अलायंस और बॉस जिपिन के खिलाफ हाई-प्रोफाइल कार्रवाई शामिल है।
मुख्य बातें
- पीआईपीएल चीन में व्यक्तियों की व्यक्तिगत जानकारी के प्रसंस्करण पर लागू होता है - अलौकिक दायरे में चीनी व्यक्तियों को लक्षित करने या उनका विश्लेषण करने वाली विदेशी संस्थाएं शामिल हैं
- प्रत्येक प्रसंस्करण उद्देश्य के लिए अलग-अलग सहमति की आवश्यकता है - बंडल सहमति अमान्य है
- "संवेदनशील व्यक्तिगत जानकारी" (बायोमेट्रिक्स, वित्तीय, स्वास्थ्य, सटीक स्थान, नाबालिगों का डेटा) के लिए अलग, स्पष्ट सहमति की आवश्यकता होती है
- सीमा पार स्थानांतरण के लिए तीन तंत्रों में से एक की आवश्यकता होती है: सीएसी सुरक्षा मूल्यांकन, मानक अनुबंध, या प्रमाणन - सभी परिचालन रूप से महत्वपूर्ण हैं
- डेटा स्थानीयकरण आवश्यकताएँ क्रिटिकल इंफॉर्मेशन इंफ्रास्ट्रक्चर ऑपरेटर्स (सीआईआईओ) पर लागू होती हैं
- सीएसी सुरक्षा मूल्यांकन बड़े पैमाने पर सीमा पार स्थानांतरण (प्रति वर्ष 100,000 से अधिक व्यक्तियों का डेटा) के लिए अनिवार्य है।
- नाबालिगों (14 वर्ष से कम) की महत्वपूर्ण व्यक्तिगत जानकारी के लिए अलग से माता-पिता की सहमति और बढ़ी हुई सुरक्षा की आवश्यकता होती है
- गंभीर उल्लंघनों के लिए जुर्माना वार्षिक कारोबार के 5% तक पहुंचता है; व्यवसाय निलंबन भी मंजूरी के रूप में उपलब्ध है
पीआईपीएल रूपरेखा और दायरा
विधायी आधार
पीआईपीएल को 20 अगस्त, 2021 को नेशनल पीपुल्स कांग्रेस की स्थायी समिति द्वारा अपनाया गया था। यह पूरे कानून में अंतर्निहित राष्ट्रीय सुरक्षा विचारों सहित चीन के अद्वितीय नियामक संदर्भ को प्रतिबिंबित करते हुए वैश्विक डेटा संरक्षण सर्वोत्तम प्रथाओं (विशेष रूप से जीडीपीआर) पर आधारित है।
मुख्य सिद्धांत (अनुच्छेद 5-9):
- वैधानिकता, वैधता, आवश्यकता, और सद्भावना
- स्पष्ट और उचित उद्देश्य
- डेटा न्यूनतमकरण
- गुणवत्ता आश्वासन (सटीकता और पूर्णता)
- सुरक्षा और जिम्मेदारी
- प्रसंस्करण न्यूनतम आवश्यक दायरे तक सीमित
प्रादेशिक दायरा
अनुच्छेद 3 पीआईपीएल को अलौकिक अनुप्रयोग देता है। यह इस पर लागू होता है:
- चीन के अंदर संस्थाओं द्वारा चीन के क्षेत्र के भीतर व्यक्तियों की व्यक्तिगत जानकारी का प्रसंस्करण
- चीन के क्षेत्र के भीतर व्यक्तियों की व्यक्तिगत जानकारी का प्रसंस्करण चीन के बाहर संस्थाओं द्वारा जहां:
- इसका उद्देश्य चीन में व्यक्तियों को उत्पाद या सेवाएँ प्रदान करना है
- इसका उद्देश्य चीन में व्यक्तियों के व्यवहार का विश्लेषण या आकलन करना है
- सीएसी द्वारा निर्दिष्ट अन्य परिस्थितियाँ
इसका मतलब यह है कि एक विदेशी कंपनी जो चीनी भाषा में वेबसाइट चला रही है, चीनी उपभोक्ताओं को सेवा दे रही है, या चीनी उपयोगकर्ता के व्यवहार को प्रोफाइल करने वाले एनालिटिक्स टूल का उपयोग कर रही है, उसे पीआईपीएल का अनुपालन करना होगा।
विदेशी व्यक्तिगत सूचना प्रोसेसर (ओपीआईपी): पीआईपीएल के बाह्यक्षेत्रीय दायरे के भीतर विदेशी संस्थाओं को (अनुच्छेद 53):
- एक समर्पित इकाई स्थापित करें या चीन के भीतर एक प्रतिनिधि नियुक्त करें
- चीन के प्रतिनिधि का नाम और संपर्क विवरण संबंधित सक्षम विभाग को जमा करें
प्रसंस्करण के लिए कानूनी आधार
पीआईपीएल का अनुच्छेद 13 व्यक्तिगत जानकारी के प्रसंस्करण के लिए छह कानूनी आधार स्थापित करता है। जीडीपीआर के विपरीत जहां कई आधारों को समान रूप से महत्व दिया जाता है, पीआईपीएल व्यक्तिगत सहमति को प्राथमिक आधार मानता है और अन्य आधारों को अपवाद मानता है:
| कानूनी आधार | विवरण |
|---|---|
| व्यक्तिगत सहमति | अलग, सूचित, स्वैच्छिक, स्पष्ट सहमति |
| अनुबंध/एचआर | कानूनी रूप से अपनाए गए नियमों के तहत अनुबंध निष्पादन, या मानव संसाधन प्रबंधन के लिए आवश्यक |
| कानूनी कर्तव्य | वैधानिक कर्तव्यों या दायित्वों को पूरा करने के लिए आवश्यक |
| सार्वजनिक स्वास्थ्य आपातकाल | सार्वजनिक स्वास्थ्य आपात स्थितियों पर प्रतिक्रिया देना या जीवन/स्वास्थ्य/संपत्ति की सुरक्षा करना |
| समाचार एवं पर्यवेक्षण गतिविधियाँ | जनहित में, उचित दायरे में |
| सार्वजनिक प्रकटीकरण | पहले से ही सार्वजनिक रूप से प्रकट की गई जानकारी को उचित दायरे में संसाधित करना |
| अन्य कानूनी प्रावधान | कानूनों और प्रशासनिक नियमों द्वारा प्रदान की गई अन्य परिस्थितियाँ |
महत्वपूर्ण सहमति आवश्यकताएँ (अनुच्छेद 14-17):
- सहमति स्वेच्छा से और स्पष्ट रूप से दी जानी चाहिए
- सहमति को सूचित किया जाना चाहिए - निर्णय लेने से पहले व्यक्तियों को यह समझना चाहिए कि वे किस बात पर सहमति दे रहे हैं
- सहमति को बंडल नहीं किया जा सकता - आपको प्रत्येक प्रसंस्करण उद्देश्य के लिए अलग सहमति प्राप्त करनी होगी
- सहमति वापस लेना उतना ही आसान होना चाहिए जितना देना
- निकासी पूर्व वैध प्रसंस्करण को प्रभावित नहीं करती है
- व्यक्तिगत जानकारी प्रदान करने से इनकार करने या सहमति वापस लेने से मुख्य उत्पाद/सेवा के प्रावधान पर कोई प्रभाव नहीं पड़ना चाहिए (सिवाय इसके कि जहां सेवा के लिए डेटा आवश्यक हो)
संवेदनशील व्यक्तिगत जानकारी
अनुच्छेद 28 संवेदनशील व्यक्तिगत जानकारी (敏感个人信息) को व्यक्तिगत जानकारी के रूप में परिभाषित करता है, जो एक बार लीक होने या गैरकानूनी तरीके से उपयोग किए जाने पर, प्राकृतिक व्यक्तियों की गरिमा को नुकसान पहुंचा सकती है या उनकी व्यक्तिगत या संपत्ति की सुरक्षा को गंभीर नुकसान पहुंचा सकती है। विशिष्ट श्रेणियों में शामिल हैं:
- बायोमेट्रिक जानकारी (उंगलियों के निशान, आवाज के निशान, चेहरे की पहचान, आंख की पुतली, आनुवंशिक डेटा)
- धार्मिक आस्था
- विशिष्ट पहचान (राजनीतिक दल, जातीयता)
- चिकित्सा स्वास्थ्य जानकारी
- वित्तीय खाते
- सटीक स्थान की जानकारी (वास्तविक समय जीपीएस, सटीक गतिविधि ट्रैकिंग)
- 14 वर्ष से कम उम्र के नाबालिगों की व्यक्तिगत जानकारी
संवेदनशील पीआई के लिए बढ़ी हुई आवश्यकताएं:
- अलग, स्पष्ट सहमति (गैर-संवेदनशील प्रसंस्करण के लिए किसी भी सहमति के अतिरिक्त)
- आवश्यकता का औचित्य - विशिष्ट उद्देश्य और पर्याप्त आवश्यकता होनी चाहिए
- सुरक्षा उपाय बढ़ाए गए
- प्रसंस्करण के विशिष्ट प्रभाव के बारे में व्यक्तियों को अधिसूचना
बच्चों की व्यक्तिगत जानकारी (14 वर्ष से कम उम्र के नाबालिग): माता-पिता या अभिभावकों से सहमति लेनी होगी। सीएसी ने ऑनलाइन सेवा प्रदाताओं के लिए अतिरिक्त आवश्यकताओं के साथ बच्चों की व्यक्तिगत जानकारी ऑनलाइन (2019, संशोधित 2022) की सुरक्षा पर विशिष्ट नियम जारी किए हैं।
डेटा विषय अधिकार
पीआईपीएल व्यक्तियों को निम्नलिखित अधिकार प्रदान करता है (अध्याय IV, अनुच्छेद 44-50):
जानने का अधिकार और निर्णय लेने का अधिकार: व्यक्तियों को अपनी व्यक्तिगत जानकारी के प्रसंस्करण के बारे में जानने और उसके बारे में निर्णय लेने और दूसरों द्वारा प्रसंस्करण को प्रतिबंधित या अस्वीकार करने का अधिकार है।
पहुँच और प्रतिलिपि का अधिकार: व्यक्ति अपनी व्यक्तिगत जानकारी की प्रतियों का अनुरोध कर सकते हैं। प्रोसेसर्स को इसे उचित समय सीमा के भीतर उपलब्ध कराना होगा।
स्थानांतरण का अधिकार: जहां तकनीकी रूप से संभव हो, व्यक्ति अपनी व्यक्तिगत जानकारी को किसी अन्य निर्दिष्ट प्रोसेसर में स्थानांतरित करने का अनुरोध कर सकते हैं।
सुधार का अधिकार: व्यक्ति गलत या अधूरी व्यक्तिगत जानकारी को सही कर सकते हैं।
हटाने का अधिकार: हटाना आवश्यक है जहां: (1) प्रसंस्करण उद्देश्य हासिल कर लिया गया है या असंभव है; (2) प्रोसेसर उत्पाद/सेवाएं प्रदान करना बंद करने का निर्णय लेता है; (3) प्रतिधारण अवधि समाप्त हो गई है; (4) सहमति वापस ले ली गई; (5) प्रसंस्करण कानूनों/विनियमों या समझौते का उल्लंघन करता है।
सहमति वापस लेने का अधिकार: सहमति-आधारित प्रसंस्करण के लिए, व्यक्ति किसी भी समय वापस ले सकते हैं। निकासी पूर्व वैध प्रसंस्करण को प्रभावित नहीं करती है।
स्पष्टीकरण का अधिकार: व्यक्ति व्यक्तिगत सूचना प्रसंस्करण नियमों के स्पष्टीकरण का अनुरोध कर सकते हैं।
स्वचालित निर्णय लेने से इनकार करने का अधिकार: जहां पीआई का उपयोग वैयक्तिकृत अनुशंसाओं या स्वचालित निर्णयों के लिए किया जाता है, व्यक्तियों को महत्वपूर्ण प्रभावों वाले निर्णयों की मानव समीक्षा से इनकार करने और अनुरोध करने का अधिकार है।
क्रॉस-बॉर्डर डेटा ट्रांसफर: गंभीर चुनौती
पीआईपीएल का अध्याय III (अनुच्छेद 38-43) किसी भी प्रमुख गोपनीयता कानून के सबसे सख्त सीमा पार हस्तांतरण ढांचे को लागू करता है, जिससे यह बहुराष्ट्रीय कंपनियों के लिए सबसे परिचालन रूप से चुनौतीपूर्ण अनुपालन क्षेत्र बन जाता है।
तीन अनुमत तंत्र
1. सीएसी सुरक्षा मूल्यांकन (अनुच्छेद 38(1))
इसके लिए अनिवार्य:
- क्रिटिकल इंफॉर्मेशन इंफ्रास्ट्रक्चर ऑपरेटर्स (सीआईआईओ) - कोई भी सीमा पार स्थानांतरण
- गैर-सीआईआईओ प्रोसेसर: यदि चालू वर्ष में संचयी विदेशी हस्तांतरण 100,000 व्यक्तियों के डेटा तक पहुंचता है (या संवेदनशील पीआई के 10,000 व्यक्ति)
- महत्वपूर्ण डेटा द्वारा उत्पन्न व्यक्तिगत जानकारी (डीएसएल के तहत महत्वपूर्ण डेटा)
सीएसी सुरक्षा मूल्यांकन में स्थानांतरण के विस्तृत दस्तावेज, प्राप्तकर्ता की डेटा सुरक्षा प्रथाओं और संविदात्मक व्यवस्थाओं के साथ एक आवेदन जमा करना शामिल है। मूल्यांकन की समय-सीमा 60 कार्य दिवस (90 तक बढ़ाई जा सकती है) है।
2. मानक अनुबंध (अनुच्छेद 38(2))
100,000 सीमा तक नहीं पहुंचने वाले गैर-सीआईआईओ प्रोसेसर के लिए, फरवरी 2023 में प्रकाशित सीएसी-अनुमोदित मानक संविदात्मक खंडों का उपयोग करके विदेशी हस्तांतरण किया जा सकता है। मुख्य आवश्यकताएं:
- बिना किसी संशोधन के सीएसी एससीसी टेम्पलेट का उपयोग करें
- अनुबंध प्रभावी होने के 10 व्यावसायिक दिनों के भीतर प्रांतीय-स्तरीय सीएसी के पास एससीसी दाखिल करें
- स्थानांतरण से पहले एक व्यक्तिगत सूचना सुरक्षा प्रभाव आकलन (पीआईपीआईए) आयोजित करें
- 3 साल तक पीआईपीआईए और अनुबंध रिकॉर्ड बनाए रखें
3. प्रमाणीकरण (अनुच्छेद 38(3))
संबद्ध संस्थाओं के बीच इंट्राग्रुप स्थानांतरण सीएसी-मान्यता प्राप्त व्यक्तिगत सूचना सुरक्षा पेशेवर संगठन द्वारा प्रमाणीकरण का उपयोग कर सकते हैं। PIPIA प्रमाणन योजना राष्ट्रीय सूचना सुरक्षा मानकीकरण तकनीकी समिति (TC260) और CAC द्वारा संयुक्त रूप से विकसित की गई थी।
स्थानांतरण तंत्र चयन गाइड
| कंपनी का प्रकार | लागू तंत्र |
|---|---|
| सीआईआईओ (महत्वपूर्ण बुनियादी ढांचा) | सीएसी सुरक्षा मूल्यांकन (अनिवार्य) |
| 1 जनवरी से अब तक 1 मिलियन से अधिक उपयोगकर्ताओं की पीआई विदेशों में स्थानांतरित की गई है सीएसी सुरक्षा मूल्यांकन (अनिवार्य) | |
| चालू वर्ष में 100,000-1 मिलियन व्यक्तियों का पीआई विदेशों में स्थानांतरित किया गया | सीएसी सुरक्षा मूल्यांकन (अनिवार्य) |
| विदेश में स्थानांतरित 10,000+ व्यक्तियों की संवेदनशील पीआई | सीएसी सुरक्षा मूल्यांकन (अनिवार्य) |
| गैर-सीआईआईओ, 100,000 सीमा से कम, असंबंधित संस्थाएं | सीएसी मानक अनुबंध + पिपिया |
| गैर-सीआईआईओ, इंट्राग्रुप स्थानांतरण | प्रमाणन या सीएसी मानक अनुबंध |
सीआईआईओ के लिए डेटा स्थानीयकरण
महत्वपूर्ण सूचना अवसंरचना संचालकों को चीन में एकत्रित और उत्पन्न की गई व्यक्तिगत जानकारी और "महत्वपूर्ण डेटा" को चीन के भीतर संग्रहित करना होगा (अनुच्छेद 40)। सीआईआईओ द्वारा चीन में एकत्र किए गए डेटा के सीमा पार हस्तांतरण के लिए सीएसी सुरक्षा मूल्यांकन की आवश्यकता होती है। सीआईआईओ को मोटे तौर पर सीएसएल और सेक्टर-विशिष्ट सीआईआईओ पहचान नियमों द्वारा परिभाषित किया गया है, जिसमें ऊर्जा, परिवहन, जल, वित्त, सार्वजनिक सेवाएं, ई-सरकार, राष्ट्रीय रक्षा और इंटरनेट बुनियादी ढांचा ऑपरेटर शामिल हैं।
बड़े पैमाने के प्रोसेसरों के लिए दायित्व
अनुच्छेद 58 व्यक्तिगत सूचना संसाधकों पर अतिरिक्त दायित्व लगाता है जिनकी सेवाएँ बड़ी संख्या में उपयोगकर्ताओं तक पहुँचती हैं (सीमा सीएसी द्वारा निर्धारित की जाती है, लेकिन आमतौर पर सीएसी मार्गदर्शन के आधार पर 10 मिलियन+ उपयोगकर्ता समझी जाती है):
- व्यक्तिगत सूचना सुरक्षा तैयार करना अनुपालन कार्यक्रम और प्रक्रियाएं
- सामाजिक पर्यवेक्षण के साथ एक बाहरी निरीक्षण तंत्र स्थापित करें
- व्यक्तिगत सूचना सुरक्षा के नियमित अनुपालन ऑडिट का संचालन करें
- महत्वपूर्ण जोखिम वाली गतिविधियों को संसाधित करने से पहले व्यक्तिगत सूचना संरक्षण प्रभाव आकलन (पीआईपीआईए) का संचालन करें
- प्रासंगिक राष्ट्रीय अधिकारियों द्वारा पर्यवेक्षण स्वीकार करें
- निरीक्षण के लिए जिम्मेदार एक व्यक्तिगत सूचना संरक्षण अधिकारी (पीआईपीओ) को नामित करें
व्यक्तिगत सूचना संरक्षण प्रभाव आकलन (पीआईपीआईए)
अनुच्छेद 55 में पहले PIPIAs की आवश्यकता है:
- संवेदनशील व्यक्तिगत जानकारी संसाधित करना
- स्वचालित निर्णय लेने के लिए पीआई का उपयोग करना
- तीसरे पक्ष को प्रसंस्करण सौंपना, पीआई साझा करना या स्थानांतरित करना
- पीआई को सार्वजनिक रूप से प्रकट करना
- सीमा पार स्थानांतरण (एससीसी तंत्र के लिए आवश्यक)
- व्यक्तियों पर महत्वपूर्ण प्रभाव डालने वाली अन्य प्रसंस्करण गतिविधियाँ
PIPIA दस्तावेज़ को कम से कम 3 वर्षों तक बनाए रखा जाना चाहिए। एक PIPIA को विश्लेषण करना चाहिए:
- क्या प्रसंस्करण उद्देश्य, विधि और दायरा कानूनों/विनियमों का अनुपालन करता है
- व्यक्तिगत अधिकारों पर प्रभाव और सुरक्षा जोखिम की डिग्री
- क्या सुरक्षात्मक उपाय वैध, प्रभावी और जोखिम के अनुपात में हैं
उल्लंघन अधिसूचना
अनुच्छेद 57 की आवश्यकता है कि व्यक्तिगत सूचना सुरक्षा घटना (उल्लंघन) का पता चलने पर, प्रोसेसर को तुरंत उपचारात्मक कार्रवाई करनी चाहिए और सक्षम अधिकारियों और व्यक्तियों को सूचित करना चाहिए। अधिसूचना में शामिल होना चाहिए:
- व्यक्तिगत जानकारी का प्रकार लीक, छेड़छाड़ या खो जाना
- घटना के कारण और संभावित नुकसान
- प्रोसेसर द्वारा उठाए गए उपचारात्मक उपाय
- नुकसान को कम करने के लिए व्यक्ति जो कदम उठा सकते हैं
- प्रोसेसर संपर्क जानकारी
समयरेखा: कानून कहता है "तुरंत" - सीएसी मार्गदर्शन इसका मतलब बताता है कि जैसे ही आंतरिक और नियामक अधिसूचना के लिए उल्लंघन का पता चलता है। एक बार दायरे का आकलन हो जाने पर व्यक्तिगत अधिसूचना बिना किसी देरी के होनी चाहिए।
जहां उल्लंघन से व्यक्तियों को नुकसान पहुंचने की संभावना नहीं है, प्रोसेसर व्यक्तियों को सूचित करने के बजाय आंतरिक रूप से घटना को रिकॉर्ड कर सकता है (नियामक समीक्षा के अधीन)।
सीएसी प्रवर्तन और दंड
चीन का साइबरस्पेस प्रशासन प्राथमिक पीआईपीएल प्रवर्तन प्राधिकरण है, जो सेक्टर नियामकों (वित्तीय डेटा के लिए पीबीओसी, स्वास्थ्य डेटा के लिए एनएचएसए, आदि) के साथ काम करता है।
प्रशासनिक दंड (अनुच्छेद 66): -चेतावनी एवं सुधार का आदेश
- अवैध लाभ की जब्ती
- कम उल्लंघनों के लिए RMB 1 मिलियन ($140,000 USD) तक का जुर्माना
- गंभीर उल्लंघनों के लिए पिछले वर्ष के वार्षिक टर्नओवर का 5% तक जुर्माना
- व्यावसायिक संचालन का निलंबन या समाप्ति (परमाणु विकल्प)
- अधिकारियों के लिए व्यक्तिगत दायित्व: आरएमबी 1 मिलियन तक जुर्माना, कंपनी निदेशक/अधिकारी होने पर प्रतिबंध
आपराधिक रेफरल: राष्ट्रीय सुरक्षा से जुड़े उल्लंघन या आपराधिक अपराध का गठन सार्वजनिक सुरक्षा अधिकारियों को भेजा जाता है।
उल्लेखनीय प्रवर्तन कार्रवाइयां:
- दीदी ग्लोबल (2022): नेटवर्क डेटा सुरक्षा के गंभीर उल्लंघन के लिए $1.19 बिलियन का जुर्माना - अब तक की सबसे बड़ी पीआईपीएल-संबंधित प्रवर्तन कार्रवाई
- बॉस जिपिन और फुल ट्रक एलायंस (2021): विदेशी लिस्टिंग से संबंधित साइबर सुरक्षा समीक्षा उल्लंघन के लिए निलंबन और जांच
- फिनटेक, हेल्थकेयर और इंटरनेट क्षेत्रों की कंपनियों की सीएसी जांच चल रही है
पीआईपीएल अनुपालन चेकलिस्ट
- प्रयोज्यता विश्लेषण पूरा हुआ (चीन संचालन, चीनी उपयोगकर्ता, बाह्यक्षेत्रीय दायरा)
- यदि पीआईपीएल दायरे में विदेशी इकाई है तो चीन का प्रतिनिधि/इकाई नामित
- संवेदनशील पीआई पहचान सहित व्यक्तिगत जानकारी सूची पूरी की गई
- प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित (अधिकांश के लिए सहमति)
- प्रत्येक प्रसंस्करण उद्देश्य के लिए अलग सहमति तंत्र लागू किया गया
- संवेदनशील पीआई सहमति अलग से और स्पष्ट रूप से प्राप्त की गई
- बच्चों (14 वर्ष से कम) की व्यक्तिगत जानकारी की पहचान की गई - माता-पिता की सहमति तंत्र लागू किया गया
- गोपनीयता नोटिस सभी आवश्यक खुलासों के साथ मंदारिन चीनी भाषा में तैयार किया गया है
- डेटा विषय अधिकार प्रक्रियाएं प्रलेखित (पहुंच, सुधार, विलोपन, पोर्टेबिलिटी, निकासी)
- सीमा पार स्थानांतरण मूल्यांकन पूरा हुआ - तंत्र निर्धारित (सीएसी मूल्यांकन, एससीसी, या प्रमाणीकरण)
- सभी सीमा-पार स्थानांतरणों के लिए आयोजित पीआईपीआईए (एससीसी तंत्र के लिए अनिवार्य)
- सीएसी एससीसी 10 दिनों के भीतर प्रांतीय सीएसी के पास दायर किया गया (यदि एससीसी तंत्र का उपयोग किया जाता है)
- सीआईआईओ निर्धारण पूरा हुआ - यदि लागू हो तो डेटा स्थानीयकरण लागू किया गया
- बड़े पैमाने पर प्रोसेसर दायित्वों का आकलन किया गया (10 मिलियन+ उपयोगकर्ता सीमा)
- यदि लागू हो तो पीआईपीओ नामित (बड़े पैमाने पर प्रोसेसर)
- तृतीय-पक्ष प्रोसेसर समझौते पीआईपीएल अध्याय II का अनुपालन करते हैं
- सुरक्षा उपाय लागू किए गए: एन्क्रिप्शन, पहुंच नियंत्रण, निगरानी
- उल्लंघन अधिसूचना प्रक्रिया प्रलेखित (तत्काल प्रतिक्रिया)
- स्वचालित निर्णय लेने की पारदर्शिता और ऑप्ट-आउट तंत्र लागू किया गया
अक्सर पूछे जाने वाले प्रश्न
चीन की पीआईपीएल सीमा पार स्थानांतरण आवश्यकताओं को इतना चुनौतीपूर्ण क्या बनाता है?
तीन कारक: (1) बड़े पैमाने पर स्थानांतरण के लिए अनिवार्य सीएसी सुरक्षा मूल्यांकन - मूल्यांकन प्रक्रिया लंबी (60+ कार्य दिवस) है और जोखिम मूल्यांकन सहित व्यापक दस्तावेज़ीकरण की आवश्यकता होती है; (2) मानक अनुबंधों का उपयोग करते हुए छोटे हस्तांतरणों के लिए भी, एक पीआईपीआईए पूरा किया जाना चाहिए और हस्ताक्षर करने के 10 दिनों के भीतर सीएसी के साथ अनुबंध दायर किया जाना चाहिए; (3) अनिवार्य मूल्यांकन (100,000 व्यक्ति/वर्ष) को ट्रिगर करने वाले डेटा वॉल्यूम मध्यम आकार के व्यवसायों द्वारा आसानी से पार कर जाते हैं। चीन में परिचालन करने वाली बहुराष्ट्रीय कंपनियों के पास सीमा पार डेटा प्रवाह के लिए प्रभावी रूप से समर्पित पीआईपीएल अनुपालन कार्यक्रम होने चाहिए।
पीआईपीएल चीन में भौतिक उपस्थिति के बिना व्यवसायों पर कैसे लागू होता है?
अनुच्छेद 3(2) पीआईपीएल को चीन में व्यक्तियों को उत्पाद या सेवाएँ प्रदान करने वाले या चीन में व्यक्तियों के व्यवहार का विश्लेषण करने वाले विदेशी प्रोसेसर पर लागू करता है। अनुच्छेद 53 में ऐसे प्रोसेसरों को चीन के भीतर एक प्रतिनिधि इकाई या व्यक्ति को नामित करने और सक्षम अधिकारियों को संपर्क विवरण रिपोर्ट करने की आवश्यकता होती है। व्यावहारिक रूप से, पर्याप्त चीनी ट्रैफ़िक वाली किसी भी विदेशी वेबसाइट, चीनी उपयोगकर्ताओं वाले किसी भी ऐप, या चीनी उपभोक्ता डेटा को संसाधित करने वाले किसी भी एनालिटिक्स प्लेटफ़ॉर्म को पीआईपीएल का अनुपालन करना होगा - जिसमें चीन प्रतिनिधि आवश्यकता भी शामिल है।
सीएसी सुरक्षा मूल्यांकन प्रक्रिया व्यवहार में कैसी है?
सीएसी सुरक्षा मूल्यांकन में प्रांतीय स्तर के सीएसी (अधिकांश व्यवसायों के लिए) या राष्ट्रीय सीएसी (सीआईआईओ के लिए) के माध्यम से एक विस्तृत आवेदन जमा करना शामिल है। आवश्यक दस्तावेज़ों में शामिल हैं: डेटा निर्यात सुरक्षा मूल्यांकन स्व-मूल्यांकन रिपोर्ट, पीआई निर्यात अनुबंध, पीआईपीआईए रिपोर्ट और अन्य सहायक सामग्री। मूल्यांकन में शामिल हैं: क्या डेटा निर्यात उद्देश्य और विधि कानून का अनुपालन करती है; क्या विदेशी प्राप्तकर्ता के देश में पर्याप्त सुरक्षा है; स्थानांतरण से व्यक्तिगत अधिकारों को जोखिम; और संविदात्मक सुरक्षा की पर्याप्तता। मूल्यांकन में 60 कार्य दिवस लगते हैं (जटिल मामलों के लिए इसे 90 तक बढ़ाया जा सकता है)। कई बहुराष्ट्रीय कंपनियों ने पाया है कि इस प्रक्रिया को व्यवहार में लाने में 6-12 महीने लगते हैं।
पीआईपीएल चीन के डेटा सुरक्षा कानून (डीएसएल) के साथ कैसे इंटरैक्ट करता है?
पीआईपीएल और डीएसएल मिलकर काम करते हैं। पीआईपीएल व्यक्तिगत सूचना सुरक्षा पर केंद्रित है। डीएसएल "सामान्य डेटा" से "मुख्य राज्य डेटा" तक एक स्तरीय वर्गीकरण प्रणाली के साथ, राष्ट्रीय सुरक्षा और आर्थिक महत्व के आधार पर सभी डेटा (गैर-व्यक्तिगत डेटा सहित) को नियंत्रित करता है। डीएसएल को डेटा वर्गीकरण आवश्यकताओं, महत्वपूर्ण डेटा प्रोसेसिंग प्रतिबंधों और "महत्वपूर्ण डेटा" के लिए सीमा पार स्थानांतरण नियमों का अनुपालन करने के लिए सभी डेटा प्रोसेसिंग की आवश्यकता होती है। डीएसएल के तहत महत्वपूर्ण डेटा (重要数据) की अपनी सीमा-पार स्थानांतरण मूल्यांकन आवश्यकताएं हैं। चीन में बहुराष्ट्रीय कंपनियों को पीआईपीएल (व्यक्तिगत डेटा के लिए) और डीएसएल (महत्वपूर्ण के रूप में वर्गीकृत वाणिज्यिक डेटा सहित सभी डेटा के लिए) दोनों के तहत अनुपालन का आकलन करना चाहिए।
क्या उद्योग-विशिष्ट पीआईपीएल आवश्यकताएं हैं?
हाँ। कई सेक्टर नियामकों ने पीआईपीएल-संरेखित या पूरक नियम जारी किए हैं: पीपुल्स बैंक ऑफ चाइना (पीबीओसी) के पास वित्तीय डेटा सुरक्षा और ट्रांसमिशन आवश्यकताएं हैं; राष्ट्रीय स्वास्थ्य सुरक्षा प्रशासन (एनएचएसए) स्वास्थ्य डेटा को नियंत्रित करता है; उद्योग और सूचना प्रौद्योगिकी मंत्रालय (एमआईआईटी) निषिद्ध डेटा संग्रह प्रथाओं की विशिष्ट सूचियों के साथ मोबाइल ऐप डेटा संग्रह को नियंत्रित करता है। TC260 (राष्ट्रीय सूचना सुरक्षा मानकीकरण तकनीकी समिति) ने GB/T 35273 (व्यक्तिगत सूचना सुरक्षा विशिष्टता) को एक स्वैच्छिक लेकिन व्यापक रूप से संदर्भित तकनीकी मानक के रूप में जारी किया है। सेक्टर-विनियमित संस्थाओं को पीआईपीएल और उनकी सेक्टर-विशिष्ट आवश्यकताओं दोनों का अनुपालन करना होगा।
अगले चरण
चीन का पीआईपीएल दुनिया के सबसे अधिक मांग वाले डेटा सुरक्षा ढांचे में से एक है, खासकर सीमा पार डेटा संचालन के लिए। सहमति-प्रथम प्रसंस्करण, सख्त सीमा पार हस्तांतरण तंत्र, सीआईआईओ के लिए डेटा स्थानीयकरण और सक्रिय सीएसी प्रवर्तन का संयोजन पीआईपीएल अनुपालन को महत्वपूर्ण चीन जोखिम वाले किसी भी संगठन के लिए बोर्ड-स्तरीय जोखिम बनाता है।
ईसीओएसआईआरई की टीम आपको पीआईपीएल-अनुरूप डेटा आर्किटेक्चर डिजाइन करने, चीनी उपयोगकर्ताओं के लिए सहमति प्रबंधन लागू करने, पीआईपीआईए आयोजित करने और सीमा पार हस्तांतरण तंत्र चयन प्रक्रिया को नेविगेट करने में मदद कर सकती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। चीन का डेटा सुरक्षा नियामक परिदृश्य तेजी से विकसित हो रहा है। अपने संगठन और गतिविधियों के लिए विशिष्ट सलाह के लिए योग्य चीन-लाइसेंस प्राप्त कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE Research and Development Team
ECOSIRE में एंटरप्राइज़-ग्रेड डिजिटल उत्पाद बना रहे हैं। Odoo एकीकरण, ई-कॉमर्स ऑटोमेशन, और AI-संचालित व्यावसायिक समाधानों पर अंतर्दृष्टि साझा कर रहे हैं।
संबंधित लेख
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulation से और अधिक
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.