हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंचीन का व्यक्तिगत सूचना संरक्षण कानून (पीआईपीएल - 个人信息保护法), 1 नवंबर, 2021 से प्रभावी, चीन का व्यापक राष्ट्रीय डेटा गोपनीयता कानून है और विश्व स्तर पर सबसे अधिक मांग वाले डेटा सुरक्षा ढांचे में से एक है। डेटा सुरक्षा कानून (डीएसएल, सितंबर 2021 से प्रभावी) और साइबर सुरक्षा कानून (सीएसएल, जून 2017 से प्रभावी) के साथ, पीआईपीएल नियमों की एक त्रयी बनाता है जो मूल रूप से व्यवसायों को चीन के अंदर और बाहर डेटा एकत्र करने, संसाधित करने, संग्रहीत करने और स्थानांतरित करने के तरीके को नया आकार देता है।
चीन में काम करने वाली या चीनी उपभोक्ताओं को सेवा देने वाली बहुराष्ट्रीय कंपनियों के लिए, पीआईपीएल अनुपालन वैकल्पिक नहीं है - उल्लंघन के परिणामस्वरूप वार्षिक कारोबार का 5% तक जुर्माना, व्यवसाय संचालन का निलंबन और जिम्मेदार अधिकारियों के लिए व्यक्तिगत आपराधिक दायित्व हो सकता है। चीन के साइबरस्पेस प्रशासन (सीएसी) ने आक्रामक प्रवर्तन का प्रदर्शन किया है, जिसमें दीदी ग्लोबल ($1.19 बिलियन जुर्माना), फुल ट्रक अलायंस और बॉस जिपिन के खिलाफ हाई-प्रोफाइल कार्रवाई शामिल है।
मुख्य बातें
- पीआईपीएल चीन में व्यक्तियों की व्यक्तिगत जानकारी के प्रसंस्करण पर लागू होता है - अलौकिक दायरे में चीनी व्यक्तियों को लक्षित करने या उनका विश्लेषण करने वाली विदेशी संस्थाएं शामिल हैं
- प्रत्येक प्रसंस्करण उद्देश्य के लिए अलग-अलग सहमति की आवश्यकता है - बंडल सहमति अमान्य है
- "संवेदनशील व्यक्तिगत जानकारी" (बायोमेट्रिक्स, वित्तीय, स्वास्थ्य, सटीक स्थान, नाबालिगों का डेटा) के लिए अलग, स्पष्ट सहमति की आवश्यकता होती है
- सीमा पार स्थानांतरण के लिए तीन तंत्रों में से एक की आवश्यकता होती है: सीएसी सुरक्षा मूल्यांकन, मानक अनुबंध, या प्रमाणन - सभी परिचालन रूप से महत्वपूर्ण हैं
- डेटा स्थानीयकरण आवश्यकताएँ क्रिटिकल इंफॉर्मेशन इंफ्रास्ट्रक्चर ऑपरेटर्स (सीआईआईओ) पर लागू होती हैं
- सीएसी सुरक्षा मूल्यांकन बड़े पैमाने पर सीमा पार स्थानांतरण (प्रति वर्ष 100,000 से अधिक व्यक्तियों का डेटा) के लिए अनिवार्य है।
- नाबालिगों (14 वर्ष से कम) की महत्वपूर्ण व्यक्तिगत जानकारी के लिए अलग से माता-पिता की सहमति और बढ़ी हुई सुरक्षा की आवश्यकता होती है
- गंभीर उल्लंघनों के लिए जुर्माना वार्षिक कारोबार के 5% तक पहुंचता है; व्यवसाय निलंबन भी मंजूरी के रूप में उपलब्ध है
पीआईपीएल रूपरेखा और दायरा
विधायी आधार
पीआईपीएल को 20 अगस्त, 2021 को नेशनल पीपुल्स कांग्रेस की स्थायी समिति द्वारा अपनाया गया था। यह पूरे कानून में अंतर्निहित राष्ट्रीय सुरक्षा विचारों सहित चीन के अद्वितीय नियामक संदर्भ को प्रतिबिंबित करते हुए वैश्विक डेटा संरक्षण सर्वोत्तम प्रथाओं (विशेष रूप से जीडीपीआर) पर आधारित है।
मुख्य सिद्धांत (अनुच्छेद 5-9):
- वैधानिकता, वैधता, आवश्यकता, और सद्भावना
- स्पष्ट और उचित उद्देश्य
- डेटा न्यूनतमकरण
- गुणवत्ता आश्वासन (सटीकता और पूर्णता)
- सुरक्षा और जिम्मेदारी
- प्रसंस्करण न्यूनतम आवश्यक दायरे तक सीमित
प्रादेशिक दायरा
अनुच्छेद 3 पीआईपीएल को अलौकिक अनुप्रयोग देता है। यह इस पर लागू होता है:
- चीन के अंदर संस्थाओं द्वारा चीन के क्षेत्र के भीतर व्यक्तियों की व्यक्तिगत जानकारी का प्रसंस्करण
- चीन के क्षेत्र के भीतर व्यक्तियों की व्यक्तिगत जानकारी का प्रसंस्करण चीन के बाहर संस्थाओं द्वारा जहां:
- इसका उद्देश्य चीन में व्यक्तियों को उत्पाद या सेवाएँ प्रदान करना है
- इसका उद्देश्य चीन में व्यक्तियों के व्यवहार का विश्लेषण या आकलन करना है
- सीएसी द्वारा निर्दिष्ट अन्य परिस्थितियाँ
इसका मतलब यह है कि एक विदेशी कंपनी जो चीनी भाषा में वेबसाइट चला रही है, चीनी उपभोक्ताओं को सेवा दे रही है, या चीनी उपयोगकर्ता के व्यवहार को प्रोफाइल करने वाले एनालिटिक्स टूल का उपयोग कर रही है, उसे पीआईपीएल का अनुपालन करना होगा।
विदेशी व्यक्तिगत सूचना प्रोसेसर (ओपीआईपी): पीआईपीएल के बाह्यक्षेत्रीय दायरे के भीतर विदेशी संस्थाओं को (अनुच्छेद 53):
- एक समर्पित इकाई स्थापित करें या चीन के भीतर एक प्रतिनिधि नियुक्त करें
- चीन के प्रतिनिधि का नाम और संपर्क विवरण संबंधित सक्षम विभाग को जमा करें
प्रसंस्करण के लिए कानूनी आधार
पीआईपीएल का अनुच्छेद 13 व्यक्तिगत जानकारी के प्रसंस्करण के लिए छह कानूनी आधार स्थापित करता है। जीडीपीआर के विपरीत जहां कई आधारों को समान रूप से महत्व दिया जाता है, पीआईपीएल व्यक्तिगत सहमति को प्राथमिक आधार मानता है और अन्य आधारों को अपवाद मानता है:
| कानूनी आधार | विवरण |
|---|---|
| व्यक्तिगत सहमति | अलग, सूचित, स्वैच्छिक, स्पष्ट सहमति |
| अनुबंध/एचआर | कानूनी रूप से अपनाए गए नियमों के तहत अनुबंध निष्पादन, या मानव संसाधन प्रबंधन के लिए आवश्यक |
| कानूनी कर्तव्य | वैधानिक कर्तव्यों या दायित्वों को पूरा करने के लिए आवश्यक |
| सार्वजनिक स्वास्थ्य आपातकाल | सार्वजनिक स्वास्थ्य आपात स्थितियों पर प्रतिक्रिया देना या जीवन/स्वास्थ्य/संपत्ति की सुरक्षा करना |
| समाचार एवं पर्यवेक्षण गतिविधियाँ | जनहित में, उचित दायरे में |
| सार्वजनिक प्रकटीकरण | पहले से ही सार्वजनिक रूप से प्रकट की गई जानकारी को उचित दायरे में संसाधित करना |
| अन्य कानूनी प्रावधान | कानूनों और प्रशासनिक नियमों द्वारा प्रदान की गई अन्य परिस्थितियाँ |
महत्वपूर्ण सहमति आवश्यकताएँ (अनुच्छेद 14-17):
- सहमति स्वेच्छा से और स्पष्ट रूप से दी जानी चाहिए
- सहमति को सूचित किया जाना चाहिए - निर्णय लेने से पहले व्यक्तियों को यह समझना चाहिए कि वे किस बात पर सहमति दे रहे हैं
- सहमति को बंडल नहीं किया जा सकता - आपको प्रत्येक प्रसंस्करण उद्देश्य के लिए अलग सहमति प्राप्त करनी होगी
- सहमति वापस लेना उतना ही आसान होना चाहिए जितना देना
- निकासी पूर्व वैध प्रसंस्करण को प्रभावित नहीं करती है
- व्यक्तिगत जानकारी प्रदान करने से इनकार करने या सहमति वापस लेने से मुख्य उत्पाद/सेवा के प्रावधान पर कोई प्रभाव नहीं पड़ना चाहिए (सिवाय इसके कि जहां सेवा के लिए डेटा आवश्यक हो)
संवेदनशील व्यक्तिगत जानकारी
अनुच्छेद 28 संवेदनशील व्यक्तिगत जानकारी (敏感个人信息) को व्यक्तिगत जानकारी के रूप में परिभाषित करता है, जो एक बार लीक होने या गैरकानूनी तरीके से उपयोग किए जाने पर, प्राकृतिक व्यक्तियों की गरिमा को नुकसान पहुंचा सकती है या उनकी व्यक्तिगत या संपत्ति की सुरक्षा को गंभीर नुकसान पहुंचा सकती है। विशिष्ट श्रेणियों में शामिल हैं:
- बायोमेट्रिक जानकारी (उंगलियों के निशान, आवाज के निशान, चेहरे की पहचान, आंख की पुतली, आनुवंशिक डेटा)
- धार्मिक आस्था
- विशिष्ट पहचान (राजनीतिक दल, जातीयता)
- चिकित्सा स्वास्थ्य जानकारी
- वित्तीय खाते
- सटीक स्थान की जानकारी (वास्तविक समय जीपीएस, सटीक गतिविधि ट्रैकिंग)
- 14 वर्ष से कम उम्र के नाबालिगों की व्यक्तिगत जानकारी
संवेदनशील पीआई के लिए बढ़ी हुई आवश्यकताएं:
- अलग, स्पष्ट सहमति (गैर-संवेदनशील प्रसंस्करण के लिए किसी भी सहमति के अतिरिक्त)
- आवश्यकता का औचित्य - विशिष्ट उद्देश्य और पर्याप्त आवश्यकता होनी चाहिए
- सुरक्षा उपाय बढ़ाए गए
- प्रसंस्करण के विशिष्ट प्रभाव के बारे में व्यक्तियों को अधिसूचना
बच्चों की व्यक्तिगत जानकारी (14 वर्ष से कम उम्र के नाबालिग): माता-पिता या अभिभावकों से सहमति लेनी होगी। सीएसी ने ऑनलाइन सेवा प्रदाताओं के लिए अतिरिक्त आवश्यकताओं के साथ बच्चों की व्यक्तिगत जानकारी ऑनलाइन (2019, संशोधित 2022) की सुरक्षा पर विशिष्ट नियम जारी किए हैं।
डेटा विषय अधिकार
पीआईपीएल व्यक्तियों को निम्नलिखित अधिकार प्रदान करता है (अध्याय IV, अनुच्छेद 44-50):
जानने का अधिकार और निर्णय लेने का अधिकार: व्यक्तियों को अपनी व्यक्तिगत जानकारी के प्रसंस्करण के बारे में जानने और उसके बारे में निर्णय लेने और दूसरों द्वारा प्रसंस्करण को प्रतिबंधित या अस्वीकार करने का अधिकार है।
पहुँच और प्रतिलिपि का अधिकार: व्यक्ति अपनी व्यक्तिगत जानकारी की प्रतियों का अनुरोध कर सकते हैं। प्रोसेसर्स को इसे उचित समय सीमा के भीतर उपलब्ध कराना होगा।
स्थानांतरण का अधिकार: जहां तकनीकी रूप से संभव हो, व्यक्ति अपनी व्यक्तिगत जानकारी को किसी अन्य निर्दिष्ट प्रोसेसर में स्थानांतरित करने का अनुरोध कर सकते हैं।
सुधार का अधिकार: व्यक्ति गलत या अधूरी व्यक्तिगत जानकारी को सही कर सकते हैं।
हटाने का अधिकार: हटाना आवश्यक है जहां: (1) प्रसंस्करण उद्देश्य हासिल कर लिया गया है या असंभव है; (2) प्रोसेसर उत्पाद/सेवाएं प्रदान करना बंद करने का निर्णय लेता है; (3) प्रतिधारण अवधि समाप्त हो गई है; (4) सहमति वापस ले ली गई; (5) प्रसंस्करण कानूनों/विनियमों या समझौते का उल्लंघन करता है।
सहमति वापस लेने का अधिकार: सहमति-आधारित प्रसंस्करण के लिए, व्यक्ति किसी भी समय वापस ले सकते हैं। निकासी पूर्व वैध प्रसंस्करण को प्रभावित नहीं करती है।
स्पष्टीकरण का अधिकार: व्यक्ति व्यक्तिगत सूचना प्रसंस्करण नियमों के स्पष्टीकरण का अनुरोध कर सकते हैं।
स्वचालित निर्णय लेने से इनकार करने का अधिकार: जहां पीआई का उपयोग वैयक्तिकृत अनुशंसाओं या स्वचालित निर्णयों के लिए किया जाता है, व्यक्तियों को महत्वपूर्ण प्रभावों वाले निर्णयों की मानव समीक्षा से इनकार करने और अनुरोध करने का अधिकार है।
क्रॉस-बॉर्डर डेटा ट्रांसफर: गंभीर चुनौती
पीआईपीएल का अध्याय III (अनुच्छेद 38-43) किसी भी प्रमुख गोपनीयता कानून के सबसे सख्त सीमा पार हस्तांतरण ढांचे को लागू करता है, जिससे यह बहुराष्ट्रीय कंपनियों के लिए सबसे परिचालन रूप से चुनौतीपूर्ण अनुपालन क्षेत्र बन जाता है।
तीन अनुमत तंत्र
1. सीएसी सुरक्षा मूल्यांकन (अनुच्छेद 38(1))
इसके लिए अनिवार्य:
- क्रिटिकल इंफॉर्मेशन इंफ्रास्ट्रक्चर ऑपरेटर्स (सीआईआईओ) - कोई भी सीमा पार स्थानांतरण
- गैर-सीआईआईओ प्रोसेसर: यदि चालू वर्ष में संचयी विदेशी हस्तांतरण 100,000 व्यक्तियों के डेटा तक पहुंचता है (या संवेदनशील पीआई के 10,000 व्यक्ति)
- महत्वपूर्ण डेटा द्वारा उत्पन्न व्यक्तिगत जानकारी (डीएसएल के तहत महत्वपूर्ण डेटा)
सीएसी सुरक्षा मूल्यांकन में स्थानांतरण के विस्तृत दस्तावेज, प्राप्तकर्ता की डेटा सुरक्षा प्रथाओं और संविदात्मक व्यवस्थाओं के साथ एक आवेदन जमा करना शामिल है। मूल्यांकन की समय-सीमा 60 कार्य दिवस (90 तक बढ़ाई जा सकती है) है।
2. मानक अनुबंध (अनुच्छेद 38(2))
100,000 सीमा तक नहीं पहुंचने वाले गैर-सीआईआईओ प्रोसेसर के लिए, फरवरी 2023 में प्रकाशित सीएसी-अनुमोदित मानक संविदात्मक खंडों का उपयोग करके विदेशी हस्तांतरण किया जा सकता है। मुख्य आवश्यकताएं:
- बिना किसी संशोधन के सीएसी एससीसी टेम्पलेट का उपयोग करें
- अनुबंध प्रभावी होने के 10 व्यावसायिक दिनों के भीतर प्रांतीय-स्तरीय सीएसी के पास एससीसी दाखिल करें
- स्थानांतरण से पहले एक व्यक्तिगत सूचना सुरक्षा प्रभाव आकलन (पीआईपीआईए) आयोजित करें
- 3 साल तक पीआईपीआईए और अनुबंध रिकॉर्ड बनाए रखें
3. प्रमाणीकरण (अनुच्छेद 38(3))
संबद्ध संस्थाओं के बीच इंट्राग्रुप स्थानांतरण सीएसी-मान्यता प्राप्त व्यक्तिगत सूचना सुरक्षा पेशेवर संगठन द्वारा प्रमाणीकरण का उपयोग कर सकते हैं। PIPIA प्रमाणन योजना राष्ट्रीय सूचना सुरक्षा मानकीकरण तकनीकी समिति (TC260) और CAC द्वारा संयुक्त रूप से विकसित की गई थी।
स्थानांतरण तंत्र चयन गाइड
| कंपनी का प्रकार | लागू तंत्र |
|---|---|
| सीआईआईओ (महत्वपूर्ण बुनियादी ढांचा) | सीएसी सुरक्षा मूल्यांकन (अनिवार्य) |
| 1 जनवरी से अब तक 1 मिलियन से अधिक उपयोगकर्ताओं की पीआई विदेशों में स्थानांतरित की गई है सीएसी सुरक्षा मूल्यांकन (अनिवार्य) | |
| चालू वर्ष में 100,000-1 मिलियन व्यक्तियों का पीआई विदेशों में स्थानांतरित किया गया | सीएसी सुरक्षा मूल्यांकन (अनिवार्य) |
| विदेश में स्थानांतरित 10,000+ व्यक्तियों की संवेदनशील पीआई | सीएसी सुरक्षा मूल्यांकन (अनिवार्य) |
| गैर-सीआईआईओ, 100,000 सीमा से कम, असंबंधित संस्थाएं | सीएसी मानक अनुबंध + पिपिया |
| गैर-सीआईआईओ, इंट्राग्रुप स्थानांतरण | प्रमाणन या सीएसी मानक अनुबंध |
सीआईआईओ के लिए डेटा स्थानीयकरण
महत्वपूर्ण सूचना अवसंरचना संचालकों को चीन में एकत्रित और उत्पन्न की गई व्यक्तिगत जानकारी और "महत्वपूर्ण डेटा" को चीन के भीतर संग्रहित करना होगा (अनुच्छेद 40)। सीआईआईओ द्वारा चीन में एकत्र किए गए डेटा के सीमा पार हस्तांतरण के लिए सीएसी सुरक्षा मूल्यांकन की आवश्यकता होती है। सीआईआईओ को मोटे तौर पर सीएसएल और सेक्टर-विशिष्ट सीआईआईओ पहचान नियमों द्वारा परिभाषित किया गया है, जिसमें ऊर्जा, परिवहन, जल, वित्त, सार्वजनिक सेवाएं, ई-सरकार, राष्ट्रीय रक्षा और इंटरनेट बुनियादी ढांचा ऑपरेटर शामिल हैं।
बड़े पैमाने के प्रोसेसरों के लिए दायित्व
अनुच्छेद 58 व्यक्तिगत सूचना संसाधकों पर अतिरिक्त दायित्व लगाता है जिनकी सेवाएँ बड़ी संख्या में उपयोगकर्ताओं तक पहुँचती हैं (सीमा सीएसी द्वारा निर्धारित की जाती है, लेकिन आमतौर पर सीएसी मार्गदर्शन के आधार पर 10 मिलियन+ उपयोगकर्ता समझी जाती है):
- व्यक्तिगत सूचना सुरक्षा तैयार करना अनुपालन कार्यक्रम और प्रक्रियाएं
- सामाजिक पर्यवेक्षण के साथ एक बाहरी निरीक्षण तंत्र स्थापित करें
- व्यक्तिगत सूचना सुरक्षा के नियमित अनुपालन ऑडिट का संचालन करें
- महत्वपूर्ण जोखिम वाली गतिविधियों को संसाधित करने से पहले व्यक्तिगत सूचना संरक्षण प्रभाव आकलन (पीआईपीआईए) का संचालन करें
- प्रासंगिक राष्ट्रीय अधिकारियों द्वारा पर्यवेक्षण स्वीकार करें
- निरीक्षण के लिए जिम्मेदार एक व्यक्तिगत सूचना संरक्षण अधिकारी (पीआईपीओ) को नामित करें
व्यक्तिगत सूचना संरक्षण प्रभाव आकलन (पीआईपीआईए)
अनुच्छेद 55 में पहले PIPIAs की आवश्यकता है:
- संवेदनशील व्यक्तिगत जानकारी संसाधित करना
- स्वचालित निर्णय लेने के लिए पीआई का उपयोग करना
- तीसरे पक्ष को प्रसंस्करण सौंपना, पीआई साझा करना या स्थानांतरित करना
- पीआई को सार्वजनिक रूप से प्रकट करना
- सीमा पार स्थानांतरण (एससीसी तंत्र के लिए आवश्यक)
- व्यक्तियों पर महत्वपूर्ण प्रभाव डालने वाली अन्य प्रसंस्करण गतिविधियाँ
PIPIA दस्तावेज़ को कम से कम 3 वर्षों तक बनाए रखा जाना चाहिए। एक PIPIA को विश्लेषण करना चाहिए:
- क्या प्रसंस्करण उद्देश्य, विधि और दायरा कानूनों/विनियमों का अनुपालन करता है
- व्यक्तिगत अधिकारों पर प्रभाव और सुरक्षा जोखिम की डिग्री
- क्या सुरक्षात्मक उपाय वैध, प्रभावी और जोखिम के अनुपात में हैं
उल्लंघन अधिसूचना
अनुच्छेद 57 की आवश्यकता है कि व्यक्तिगत सूचना सुरक्षा घटना (उल्लंघन) का पता चलने पर, प्रोसेसर को तुरंत उपचारात्मक कार्रवाई करनी चाहिए और सक्षम अधिकारियों और व्यक्तियों को सूचित करना चाहिए। अधिसूचना में शामिल होना चाहिए:
- व्यक्तिगत जानकारी का प्रकार लीक, छेड़छाड़ या खो जाना
- घटना के कारण और संभावित नुकसान
- प्रोसेसर द्वारा उठाए गए उपचारात्मक उपाय
- नुकसान को कम करने के लिए व्यक्ति जो कदम उठा सकते हैं
- प्रोसेसर संपर्क जानकारी
समयरेखा: कानून कहता है "तुरंत" - सीएसी मार्गदर्शन इसका मतलब बताता है कि जैसे ही आंतरिक और नियामक अधिसूचना के लिए उल्लंघन का पता चलता है। एक बार दायरे का आकलन हो जाने पर व्यक्तिगत अधिसूचना बिना किसी देरी के होनी चाहिए।
जहां उल्लंघन से व्यक्तियों को नुकसान पहुंचने की संभावना नहीं है, प्रोसेसर व्यक्तियों को सूचित करने के बजाय आंतरिक रूप से घटना को रिकॉर्ड कर सकता है (नियामक समीक्षा के अधीन)।
सीएसी प्रवर्तन और दंड
चीन का साइबरस्पेस प्रशासन प्राथमिक पीआईपीएल प्रवर्तन प्राधिकरण है, जो सेक्टर नियामकों (वित्तीय डेटा के लिए पीबीओसी, स्वास्थ्य डेटा के लिए एनएचएसए, आदि) के साथ काम करता है।
प्रशासनिक दंड (अनुच्छेद 66): -चेतावनी एवं सुधार का आदेश
- अवैध लाभ की जब्ती
- कम उल्लंघनों के लिए RMB 1 मिलियन ($140,000 USD) तक का जुर्माना
- गंभीर उल्लंघनों के लिए पिछले वर्ष के वार्षिक टर्नओवर का 5% तक जुर्माना
- व्यावसायिक संचालन का निलंबन या समाप्ति (परमाणु विकल्प)
- अधिकारियों के लिए व्यक्तिगत दायित्व: आरएमबी 1 मिलियन तक जुर्माना, कंपनी निदेशक/अधिकारी होने पर प्रतिबंध
आपराधिक रेफरल: राष्ट्रीय सुरक्षा से जुड़े उल्लंघन या आपराधिक अपराध का गठन सार्वजनिक सुरक्षा अधिकारियों को भेजा जाता है।
उल्लेखनीय प्रवर्तन कार्रवाइयां:
- दीदी ग्लोबल (2022): नेटवर्क डेटा सुरक्षा के गंभीर उल्लंघन के लिए $1.19 बिलियन का जुर्माना - अब तक की सबसे बड़ी पीआईपीएल-संबंधित प्रवर्तन कार्रवाई
- बॉस जिपिन और फुल ट्रक एलायंस (2021): विदेशी लिस्टिंग से संबंधित साइबर सुरक्षा समीक्षा उल्लंघन के लिए निलंबन और जांच
- फिनटेक, हेल्थकेयर और इंटरनेट क्षेत्रों की कंपनियों की सीएसी जांच चल रही है
पीआईपीएल अनुपालन चेकलिस्ट
- प्रयोज्यता विश्लेषण पूरा हुआ (चीन संचालन, चीनी उपयोगकर्ता, बाह्यक्षेत्रीय दायरा)
- यदि पीआईपीएल दायरे में विदेशी इकाई है तो चीन का प्रतिनिधि/इकाई नामित
- संवेदनशील पीआई पहचान सहित व्यक्तिगत जानकारी सूची पूरी की गई
- प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित (अधिकांश के लिए सहमति)
- प्रत्येक प्रसंस्करण उद्देश्य के लिए अलग सहमति तंत्र लागू किया गया
- संवेदनशील पीआई सहमति अलग से और स्पष्ट रूप से प्राप्त की गई
- बच्चों (14 वर्ष से कम) की व्यक्तिगत जानकारी की पहचान की गई - माता-पिता की सहमति तंत्र लागू किया गया
- गोपनीयता नोटिस सभी आवश्यक खुलासों के साथ मंदारिन चीनी भाषा में तैयार किया गया है
- डेटा विषय अधिकार प्रक्रियाएं प्रलेखित (पहुंच, सुधार, विलोपन, पोर्टेबिलिटी, निकासी)
- सीमा पार स्थानांतरण मूल्यांकन पूरा हुआ - तंत्र निर्धारित (सीएसी मूल्यांकन, एससीसी, या प्रमाणीकरण)
- सभी सीमा-पार स्थानांतरणों के लिए आयोजित पीआईपीआईए (एससीसी तंत्र के लिए अनिवार्य)
- सीएसी एससीसी 10 दिनों के भीतर प्रांतीय सीएसी के पास दायर किया गया (यदि एससीसी तंत्र का उपयोग किया जाता है)
- सीआईआईओ निर्धारण पूरा हुआ - यदि लागू हो तो डेटा स्थानीयकरण लागू किया गया
- बड़े पैमाने पर प्रोसेसर दायित्वों का आकलन किया गया (10 मिलियन+ उपयोगकर्ता सीमा)
- यदि लागू हो तो पीआईपीओ नामित (बड़े पैमाने पर प्रोसेसर)
- तृतीय-पक्ष प्रोसेसर समझौते पीआईपीएल अध्याय II का अनुपालन करते हैं
- सुरक्षा उपाय लागू किए गए: एन्क्रिप्शन, पहुंच नियंत्रण, निगरानी
- उल्लंघन अधिसूचना प्रक्रिया प्रलेखित (तत्काल प्रतिक्रिया)
- स्वचालित निर्णय लेने की पारदर्शिता और ऑप्ट-आउट तंत्र लागू किया गया
अक्सर पूछे जाने वाले प्रश्न
चीन की पीआईपीएल सीमा पार स्थानांतरण आवश्यकताओं को इतना चुनौतीपूर्ण क्या बनाता है?
तीन कारक: (1) बड़े पैमाने पर स्थानांतरण के लिए अनिवार्य सीएसी सुरक्षा मूल्यांकन - मूल्यांकन प्रक्रिया लंबी (60+ कार्य दिवस) है और जोखिम मूल्यांकन सहित व्यापक दस्तावेज़ीकरण की आवश्यकता होती है; (2) मानक अनुबंधों का उपयोग करते हुए छोटे हस्तांतरणों के लिए भी, एक पीआईपीआईए पूरा किया जाना चाहिए और हस्ताक्षर करने के 10 दिनों के भीतर सीएसी के साथ अनुबंध दायर किया जाना चाहिए; (3) अनिवार्य मूल्यांकन (100,000 व्यक्ति/वर्ष) को ट्रिगर करने वाले डेटा वॉल्यूम मध्यम आकार के व्यवसायों द्वारा आसानी से पार कर जाते हैं। चीन में परिचालन करने वाली बहुराष्ट्रीय कंपनियों के पास सीमा पार डेटा प्रवाह के लिए प्रभावी रूप से समर्पित पीआईपीएल अनुपालन कार्यक्रम होने चाहिए।
पीआईपीएल चीन में भौतिक उपस्थिति के बिना व्यवसायों पर कैसे लागू होता है?
अनुच्छेद 3(2) पीआईपीएल को चीन में व्यक्तियों को उत्पाद या सेवाएँ प्रदान करने वाले या चीन में व्यक्तियों के व्यवहार का विश्लेषण करने वाले विदेशी प्रोसेसर पर लागू करता है। अनुच्छेद 53 में ऐसे प्रोसेसरों को चीन के भीतर एक प्रतिनिधि इकाई या व्यक्ति को नामित करने और सक्षम अधिकारियों को संपर्क विवरण रिपोर्ट करने की आवश्यकता होती है। व्यावहारिक रूप से, पर्याप्त चीनी ट्रैफ़िक वाली किसी भी विदेशी वेबसाइट, चीनी उपयोगकर्ताओं वाले किसी भी ऐप, या चीनी उपभोक्ता डेटा को संसाधित करने वाले किसी भी एनालिटिक्स प्लेटफ़ॉर्म को पीआईपीएल का अनुपालन करना होगा - जिसमें चीन प्रतिनिधि आवश्यकता भी शामिल है।
सीएसी सुरक्षा मूल्यांकन प्रक्रिया व्यवहार में कैसी है?
सीएसी सुरक्षा मूल्यांकन में प्रांतीय स्तर के सीएसी (अधिकांश व्यवसायों के लिए) या राष्ट्रीय सीएसी (सीआईआईओ के लिए) के माध्यम से एक विस्तृत आवेदन जमा करना शामिल है। आवश्यक दस्तावेज़ों में शामिल हैं: डेटा निर्यात सुरक्षा मूल्यांकन स्व-मूल्यांकन रिपोर्ट, पीआई निर्यात अनुबंध, पीआईपीआईए रिपोर्ट और अन्य सहायक सामग्री। मूल्यांकन में शामिल हैं: क्या डेटा निर्यात उद्देश्य और विधि कानून का अनुपालन करती है; क्या विदेशी प्राप्तकर्ता के देश में पर्याप्त सुरक्षा है; स्थानांतरण से व्यक्तिगत अधिकारों को जोखिम; और संविदात्मक सुरक्षा की पर्याप्तता। मूल्यांकन में 60 कार्य दिवस लगते हैं (जटिल मामलों के लिए इसे 90 तक बढ़ाया जा सकता है)। कई बहुराष्ट्रीय कंपनियों ने पाया है कि इस प्रक्रिया को व्यवहार में लाने में 6-12 महीने लगते हैं।
पीआईपीएल चीन के डेटा सुरक्षा कानून (डीएसएल) के साथ कैसे इंटरैक्ट करता है?
पीआईपीएल और डीएसएल मिलकर काम करते हैं। पीआईपीएल व्यक्तिगत सूचना सुरक्षा पर केंद्रित है। डीएसएल "सामान्य डेटा" से "मुख्य राज्य डेटा" तक एक स्तरीय वर्गीकरण प्रणाली के साथ, राष्ट्रीय सुरक्षा और आर्थिक महत्व के आधार पर सभी डेटा (गैर-व्यक्तिगत डेटा सहित) को नियंत्रित करता है। डीएसएल को डेटा वर्गीकरण आवश्यकताओं, महत्वपूर्ण डेटा प्रोसेसिंग प्रतिबंधों और "महत्वपूर्ण डेटा" के लिए सीमा पार स्थानांतरण नियमों का अनुपालन करने के लिए सभी डेटा प्रोसेसिंग की आवश्यकता होती है। डीएसएल के तहत महत्वपूर्ण डेटा (重要数据) की अपनी सीमा-पार स्थानांतरण मूल्यांकन आवश्यकताएं हैं। चीन में बहुराष्ट्रीय कंपनियों को पीआईपीएल (व्यक्तिगत डेटा के लिए) और डीएसएल (महत्वपूर्ण के रूप में वर्गीकृत वाणिज्यिक डेटा सहित सभी डेटा के लिए) दोनों के तहत अनुपालन का आकलन करना चाहिए।
क्या उद्योग-विशिष्ट पीआईपीएल आवश्यकताएं हैं?
हाँ। कई सेक्टर नियामकों ने पीआईपीएल-संरेखित या पूरक नियम जारी किए हैं: पीपुल्स बैंक ऑफ चाइना (पीबीओसी) के पास वित्तीय डेटा सुरक्षा और ट्रांसमिशन आवश्यकताएं हैं; राष्ट्रीय स्वास्थ्य सुरक्षा प्रशासन (एनएचएसए) स्वास्थ्य डेटा को नियंत्रित करता है; उद्योग और सूचना प्रौद्योगिकी मंत्रालय (एमआईआईटी) निषिद्ध डेटा संग्रह प्रथाओं की विशिष्ट सूचियों के साथ मोबाइल ऐप डेटा संग्रह को नियंत्रित करता है। TC260 (राष्ट्रीय सूचना सुरक्षा मानकीकरण तकनीकी समिति) ने GB/T 35273 (व्यक्तिगत सूचना सुरक्षा विशिष्टता) को एक स्वैच्छिक लेकिन व्यापक रूप से संदर्भित तकनीकी मानक के रूप में जारी किया है। सेक्टर-विनियमित संस्थाओं को पीआईपीएल और उनकी सेक्टर-विशिष्ट आवश्यकताओं दोनों का अनुपालन करना होगा।
अगले चरण
चीन का पीआईपीएल दुनिया के सबसे अधिक मांग वाले डेटा सुरक्षा ढांचे में से एक है, खासकर सीमा पार डेटा संचालन के लिए। सहमति-प्रथम प्रसंस्करण, सख्त सीमा पार हस्तांतरण तंत्र, सीआईआईओ के लिए डेटा स्थानीयकरण और सक्रिय सीएसी प्रवर्तन का संयोजन पीआईपीएल अनुपालन को महत्वपूर्ण चीन जोखिम वाले किसी भी संगठन के लिए बोर्ड-स्तरीय जोखिम बनाता है।
ईसीओएसआईआरई की टीम आपको पीआईपीएल-अनुरूप डेटा आर्किटेक्चर डिजाइन करने, चीनी उपयोगकर्ताओं के लिए सहमति प्रबंधन लागू करने, पीआईपीआईए आयोजित करने और सीमा पार हस्तांतरण तंत्र चयन प्रक्रिया को नेविगेट करने में मदद कर सकती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। चीन का डेटा सुरक्षा नियामक परिदृश्य तेजी से विकसित हो रहा है। अपने संगठन और गतिविधियों के लिए विशिष्ट सलाह के लिए योग्य चीन-लाइसेंस प्राप्त कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.