ہماری Compliance & Regulation سیریز کا حصہ
مکمل گائیڈ پڑھیںچائنا PIPL تعمیل: سرحد پار ڈیٹا ٹرانسفر گائیڈ
چین کا پرسنل انفارمیشن پروٹیکشن قانون (PIPL — 个人信息保护法)، جو 1 نومبر 2021 سے لاگو ہے، چین کا جامع قومی ڈیٹا پرائیویسی قانون ہے اور عالمی سطح پر ڈیٹا کے تحفظ کا سب سے زیادہ مطالبہ کرنے والے فریم ورک میں سے ایک ہے۔ ڈیٹا سیکیورٹی قانون (DSL، ستمبر 2021 سے موثر) اور سائبر سیکیورٹی قانون (CSL، جون 2017 سے مؤثر) کے ساتھ، PIPL ضوابط کی ایک تریی تشکیل دیتا ہے جو بنیادی طور پر اس بات کو تبدیل کرتا ہے کہ کاروبار کس طرح چین میں اور باہر ڈیٹا اکٹھا، پروسیس، اسٹور اور منتقل کرتے ہیں۔
چین میں کام کرنے والی یا چینی صارفین کی خدمت کرنے والی ملٹی نیشنل کمپنیوں کے لیے، PIPL کی تعمیل اختیاری نہیں ہے - خلاف ورزیوں کے نتیجے میں سالانہ ٹرن اوور کے 5% تک جرمانے، کاروباری کارروائیوں کی معطلی، اور ذمہ دار ایگزیکٹیو کے لیے ذاتی مجرمانہ ذمہ داری ہو سکتی ہے۔ سائبر اسپیس ایڈمنسٹریشن آف چائنا (CAC) نے جارحانہ نفاذ کا مظاہرہ کیا ہے، جس میں Didi Global ($1.19 بلین جرمانہ)، فل ٹرک الائنس، اور باس Zhipin کے خلاف ہائی پروفائل کارروائیاں شامل ہیں۔
اہم ٹیک ویز
- PIPL چین میں افراد کی ذاتی معلومات کی پروسیسنگ پر لاگو ہوتا ہے - بیرونی دائرہ کار چینی افراد کو نشانہ بنانے یا ان کا تجزیہ کرنے والے بیرون ملک اداروں کا احاطہ کرتا ہے
- پروسیسنگ کے ہر مقصد کے لیے علیحدہ رضامندی درکار ہے — بنڈل شدہ رضامندی غلط ہے۔
- "حساس ذاتی معلومات" (بائیو میٹرکس، مالیاتی، صحت، درست مقام، نابالغوں کا ڈیٹا) علیحدہ، واضح رضامندی کی ضرورت ہے
- سرحد پار منتقلی کے لیے تین میں سے کسی ایک طریقہ کار کی ضرورت ہوتی ہے: CAC سیکیورٹی اسسمنٹ، معیاری معاہدے، یا سرٹیفیکیشن — یہ سب عملی طور پر اہم ہیں۔
- ڈیٹا لوکلائزیشن کے تقاضے کریٹیکل انفارمیشن انفراسٹرکچر آپریٹرز (CIIOs) پر لاگو ہوتے ہیں
- بڑے پیمانے پر سرحد پار منتقلی (سالانہ 100,000 سے زیادہ افراد کا ڈیٹا) کے لیے CAC سیکیورٹی کا اندازہ لازمی ہے۔
- نابالغوں (14 سال سے کم عمر) کی اہم ذاتی معلومات کے لیے والدین کی علیحدہ رضامندی اور زیادہ تحفظ کی ضرورت ہوتی ہے
- سنگین خلاف ورزیوں پر جرمانے سالانہ ٹرن اوور کے 5% تک پہنچ جاتے ہیں۔ کاروبار کی معطلی بھی ایک منظوری کے طور پر دستیاب ہے۔
PIPL فریم ورک اور دائرہ کار
قانون سازی کی بنیاد
PIPL کو نیشنل پیپلز کانگریس کی اسٹینڈنگ کمیٹی نے 20 اگست 2021 کو اپنایا۔ یہ عالمی ڈیٹا کے تحفظ کے بہترین طریقوں (خاص طور پر GDPR) کو اپنی طرف متوجہ کرتا ہے جبکہ چین کے منفرد ریگولیٹری سیاق و سباق کی عکاسی کرتا ہے، بشمول قومی سلامتی کے تحفظات پوری قانون سازی میں شامل ہیں۔
اہم اصول (آرٹیکل 5-9): ١ - حلال، جائز، ضرورت، اور نیک نیتی۔
- واضح اور معقول مقصد
- ڈیٹا کو کم سے کم کرنا
- کوالٹی اشورینس (درستگی اور مکمل)
- سیکورٹی اور ذمہ داری
- کم از کم ضروری دائرہ کار تک محدود پروسیسنگ
علاقائی دائرہ کار
آرٹیکل 3 PIPL کو غیر ملکی درخواست دیتا ہے۔ اس پر لاگو ہوتا ہے:
- چین کے اندر موجود اداروں کے ذریعے چین کی حدود میں موجود افراد کی ذاتی معلومات پر کارروائی
- چین کی سرزمین کے اندر موجود افراد کی ذاتی معلومات پر کارروائی چین سے باہر اداروں کے ذریعہ جہاں:
- مقصد چین میں افراد کو مصنوعات یا خدمات فراہم کرنا ہے۔
- مقصد چین میں افراد کے رویے کا تجزیہ یا جائزہ لینا ہے۔
- سی اے سی کے ذریعہ بیان کردہ دیگر حالات
اس کا مطلب ہے کہ ایک غیر ملکی کمپنی چینی زبان میں ویب سائٹ چلا رہی ہے، چینی صارفین کی خدمت کر رہی ہے، یا تجزیاتی ٹولز کا استعمال کرتی ہے جو چینی صارف کے رویے کو PIPL کی تعمیل کرتی ہے۔
اوورسیز پرسنل انفارمیشن پروسیسرز (OPIPs): PIPL کے بیرونی دائرہ کار میں بیرون ملک مقیم اداروں کے لیے لازمی ہے (آرٹیکل 53):
- ایک وقف ادارہ قائم کریں یا ایک نمائندہ مقرر کریں چین کے اندر
- چین کے نمائندے کا نام اور رابطے کی تفصیلات متعلقہ مجاز محکمے میں جمع کروائیں۔
پروسیسنگ کے لیے قانونی بنیادیں۔
PIPL کا آرٹیکل 13 ذاتی معلومات پر کارروائی کے لیے چھ قانونی بنیادیں قائم کرتا ہے۔ جی ڈی پی آر کے برعکس جہاں متعدد اڈوں کا وزن یکساں ہے، پی آئی پی ایل انفرادی رضامندی کو دیگر بنیادوں کے ساتھ مستثنیات کے طور پر بنیادی بنیاد سمجھتا ہے:
| قانونی بنیاد | تفصیل |
|---|---|
| انفرادی رضامندی | علیحدہ، باخبر، رضاکارانہ، واضح رضامندی |
| معاہدہ/HR | قانونی طور پر اپنائے گئے قواعد کے تحت معاہدے پر عمل درآمد، یا HR مینجمنٹ کے لیے ضروری ہے۔ |
| قانونی فرض | قانونی فرائض یا ذمہ داریوں کو پورا کرنے کے لیے ضروری |
| پبلک ہیلتھ ایمرجنسی | صحت عامہ کی ہنگامی صورتحال کا جواب دینا یا زندگی/صحت/جائیداد کی حفاظت کی حفاظت کرنا |
| خبروں اور نگرانی کی سرگرمیاں | عوامی مفاد میں، معقول دائرہ کار میں |
| عوامی انکشاف | پہلے سے ہی عوامی طور پر ظاہر کی گئی معلومات کو معقول دائرہ کار کے اندر پروسیس کرنا |
| دیگر قانونی دفعات | قوانین اور انتظامی ضوابط کے ذریعہ فراہم کردہ دیگر حالات |
اہم رضامندی کے تقاضے (مضامین 14-17):
- رضامندی رضاکارانہ اور واضح طور پر دی جانی چاہیے
- رضامندی باخبر ہونی چاہیے — افراد کو فیصلہ کرنے سے پہلے یہ سمجھنا چاہیے کہ وہ کس چیز پر رضامندی دے رہے ہیں
- رضامندی کو بنڈل نہیں کیا جا سکتا — آپ کو ہر پروسیسنگ مقصد کے لیے الگ رضامندی حاصل کرنی ہوگی۔
- رضامندی واپس لینا اتنا ہی آسان ہونا چاہیے جتنا اسے دینا
- واپسی سے پہلے کی قانونی کارروائی پر کوئی اثر نہیں پڑتا
- ذاتی معلومات فراہم کرنے سے انکار یا رضامندی واپس لینے سے بنیادی پروڈکٹ/سروس کی فراہمی کو متاثر نہیں کرنا چاہیے (سوائے اس کے کہ جہاں سروس کے لیے ڈیٹا ضروری ہو)
حساس ذاتی معلومات
آرٹیکل 28 حساس ذاتی معلومات (敏感个人信息) کو ذاتی معلومات کے طور پر بیان کرتا ہے جو، ایک بار لیک یا غیر قانونی طور پر استعمال ہونے سے، قدرتی افراد کے وقار کو نقصان پہنچا سکتا ہے یا ان کی ذاتی یا املاک کی حفاظت کو شدید نقصان پہنچا سکتا ہے۔ مخصوص زمروں میں شامل ہیں:
- بائیو میٹرک معلومات (انگلیوں کے نشانات، آواز کے نشانات، چہرے کی شناخت، آنکھ کی پتلی، جینیاتی ڈیٹا)
- مذہبی عقیدہ
- مخصوص شناخت (سیاسی جماعت، نسل)
- طبی صحت کی معلومات
- مالیاتی اکاؤنٹس
- مقام کی درست معلومات (ریئل ٹائم جی پی ایس، نقل و حرکت سے باخبر رہنا)
- 14 سال سے کم عمر کے نابالغوں کی ذاتی معلومات
حساس PI کے لیے زیادہ تقاضے:
- علیحدہ، واضح رضامندی (غیر حساس پروسیسنگ کے لیے کسی بھی رضامندی کے علاوہ)
- ضرورت کا جواز - مخصوص مقاصد اور مناسب ضرورت کا ہونا ضروری ہے۔
- بہتر حفاظتی اقدامات
- پروسیسنگ کے مخصوص اثرات کے افراد کو اطلاع
**بچوں کی ذاتی معلومات (14 سال سے کم عمر کے بچے): والدین یا سرپرستوں سے رضامندی حاصل کرنا ضروری ہے۔ CAC نے آن لائن سروس فراہم کرنے والوں کے لیے اضافی تقاضوں کے ساتھ آن لائن بچوں کی ذاتی معلومات کے تحفظ سے متعلق مخصوص قواعد (2019، ترمیم شدہ 2022) جاری کیے ہیں۔
ڈیٹا سبجیکٹ کے حقوق
PIPL افراد (باب IV، آرٹیکل 44-50) کو درج ذیل حقوق دیتا ہے:
جاننے کا حق اور فیصلہ کرنے کا حق: افراد کو یہ حق حاصل ہے کہ وہ اپنی ذاتی معلومات کی پروسیسنگ کے بارے میں جانیں اور اس پر فیصلہ کریں، اور دوسروں کے ذریعہ پروسیسنگ پر پابندی یا انکار کریں۔
رسائی اور کاپی کرنے کا حق: افراد اپنی ذاتی معلومات کی کاپیوں کی درخواست کر سکتے ہیں۔ پروسیسرز کو اسے مناسب وقت کے اندر فراہم کرنا چاہیے۔
منتقلی کا حق: جہاں تکنیکی طور پر ممکن ہو، افراد اپنی ذاتی معلومات کو دوسرے نامزد پروسیسر کو منتقل کرنے کی درخواست کر سکتے ہیں۔
تصحیح کا حق: افراد غلط یا نامکمل ذاتی معلومات کو درست کرسکتے ہیں۔
Right to deletion: Deletion is required where: (1) processing purpose has been achieved or is impossible; (2) پروسیسر نے مصنوعات/خدمات کی فراہمی بند کرنے کا فیصلہ کیا ہے۔ (3) برقرار رکھنے کی مدت ختم ہو گئی ہے؛ (4) رضامندی واپس لے لی گئی۔ (5) پروسیسنگ قوانین/ضابطوں یا معاہدے کی خلاف ورزی کرتی ہے۔
رضامندی واپس لینے کا حق: رضامندی پر مبنی پروسیسنگ کے لیے، افراد کسی بھی وقت دستبردار ہوسکتے ہیں۔ واپسی سے پہلے کی قانونی کارروائی پر کوئی اثر نہیں پڑتا۔
وضاحت کا حق: افراد ذاتی معلومات کی کارروائی کے قواعد کی وضاحت کی درخواست کر سکتے ہیں۔
خودکار فیصلہ سازی سے انکار کرنے کا حق: جہاں PI کو ذاتی نوعیت کی سفارشات یا خودکار فیصلوں کے لیے استعمال کیا جاتا ہے، افراد کو اہم اثرات والے فیصلوں سے انکار اور انسانی نظرثانی کی درخواست کرنے کا حق حاصل ہے۔
سرحد پار ڈیٹا کی منتقلی: اہم چیلنج
PIPL کا باب III (مضامین 38-43) کسی بھی بڑے رازداری کے قانون کا سخت ترین سرحد پار منتقلی کا فریم ورک نافذ کرتا ہے، جو اسے ملٹی نیشنل کمپنیوں کے لیے سب سے زیادہ آپریشنل طور پر چیلنج کرنے والا تعمیل کا علاقہ بناتا ہے۔
تین اجازت شدہ میکانزم
1۔ سی اے سی سیکیورٹی اسسمنٹ (آرٹیکل 38(1))
کے لیے لازمی:
- کریٹیکل انفارمیشن انفراسٹرکچر آپریٹرز (CIIOs) - کوئی بھی سرحد پار منتقلی۔
- غیر CIIO پروسیسرز: اگر موجودہ سال میں مجموعی طور پر بیرون ملک منتقلی 100,000 افراد کے ڈیٹا تک پہنچ جائے (یا حساس PI کے 10,000 افراد)
- اہم ڈیٹا کے ذریعہ تیار کردہ ذاتی معلومات (DSL کے تحت اہم ڈیٹا)
سی اے سی سیکیورٹی اسسمنٹ میں منتقلی کی تفصیلی دستاویزات، وصول کنندہ کے ڈیٹا کے تحفظ کے طریقوں، اور معاہدہ کے انتظامات کے ساتھ ایک درخواست جمع کروانا شامل ہے۔ تشخیص کی ٹائم لائنز 60 کام کے دن ہیں (90 تک قابل توسیع)۔
2۔ معیاری معاہدہ (آرٹیکل 38(2))
غیر CIIO پروسیسرز کے لیے جو 100,000 کی حد تک نہیں پہنچ رہے ہیں، فروری 2023 میں شائع ہونے والی CAC سے منظور شدہ معیاری معاہدے کی شقوں کا استعمال کرتے ہوئے بیرون ملک منتقلی کی جا سکتی ہے۔ کلیدی تقاضے:
- بغیر کسی ترمیم کے CAC SCC ٹیمپلیٹ کا استعمال کریں۔
- معاہدہ کے نافذ ہونے کے 10 کاروباری دنوں کے اندر صوبائی سطح کے CAC کے ساتھ SCC فائل کریں۔
- منتقلی سے پہلے ذاتی معلومات کے تحفظ کے امپیکٹ اسسمنٹ (PIPIA) کا انعقاد کریں۔
- PIPIA اور معاہدے کے ریکارڈ کو 3 سال تک برقرار رکھیں
3۔ سرٹیفیکیشن (آرٹیکل 38(3))
منسلک اداروں کے درمیان انٹرا گروپ ٹرانسفرز CAC سے منظور شدہ ذاتی معلومات کے تحفظ کی پیشہ ورانہ تنظیم کے ذریعے سرٹیفیکیشن کا استعمال کر سکتے ہیں۔ PIPIA سرٹیفیکیشن اسکیم نیشنل انفارمیشن سیکیورٹی اسٹینڈرڈائزیشن ٹیکنیکل کمیٹی (TC260) اور CAC نے مشترکہ طور پر تیار کی تھی۔
ٹرانسفر میکانزم سلیکشن گائیڈ
| کمپنی کی قسم | قابل اطلاق میکانزم |
|---|---|
| CIIO (اہم بنیادی ڈھانچہ) | CAC سیکورٹی اسسمنٹ (لازمی) |
| 1 جنوری سے 1 ملین سے زیادہ صارفین کے PI بیرون ملک منتقل کیے گئے | CAC سیکورٹی اسسمنٹ (لازمی) |
| موجودہ سال میں 100,000–1 ملین افراد کے PI بیرون ملک منتقل ہوئے | CAC سیکورٹی اسسمنٹ (لازمی) |
| 10,000+ افراد کا حساس PI بیرون ملک منتقل | CAC سیکورٹی اسسمنٹ (لازمی) |
| Non-CIIO, under 100,000 threshold, unrelated entities | CAC معیاری معاہدہ + PIPIA |
| غیر CIIO، انٹرا گروپ ٹرانسفر | سرٹیفیکیشن یا CAC معیاری معاہدہ |
CIIOs کے لیے ڈیٹا لوکلائزیشن
کریٹیکل انفارمیشن انفراسٹرکچر آپریٹرز کو چین کے اندر (آرٹیکل 40) چین میں جمع اور تیار کردہ ذاتی معلومات اور "اہم ڈیٹا" کو ذخیرہ کرنا چاہیے۔ CIIOs کے ذریعے چین میں جمع کیے گئے ڈیٹا کی سرحد پار منتقلی کے لیے CAC سیکیورٹی اسسمنٹ کی ضرورت ہوتی ہے۔ CIIOs کی تعریف CSL اور سیکٹر کے مخصوص CIIO شناختی ضوابط کے ذریعے کی گئی ہے، جس میں توانائی، ٹرانسپورٹ، پانی، مالیات، عوامی خدمات، ای-گورنمنٹ، قومی دفاع، اور انٹرنیٹ انفراسٹرکچر آپریٹرز شامل ہیں۔
بڑے پیمانے پر پروسیسرز کے لیے ذمہ داریاں
آرٹیکل 58 پرسنل انفارمیشن پروسیسرز پر اضافی ذمہ داریاں عائد کرتا ہے جن کی خدمات صارفین کی ایک بڑی تعداد تک پہنچتی ہیں (سی اے سی کی طرف سے طے کی جانے والی حد، لیکن عام طور پر سی اے سی رہنمائی کی بنیاد پر 10 ملین+ صارفین سمجھے جاتے ہیں):
- ذاتی معلومات کا تحفظ تعمیل پروگرام اور طریقہ کار
- سماجی نگرانی کے ساتھ بیرونی نگرانی کا طریقہ کار قائم کریں۔
- ذاتی معلومات کے تحفظ کے باقاعدہ تعمیل آڈٹ کرائیں۔
- اہم خطرات کے ساتھ سرگرمیوں پر کارروائی کرنے سے پہلے ذاتی معلومات کے تحفظ کے اثرات کے جائزے (PIPIAs) کا انعقاد کریں
- متعلقہ قومی حکام کی نگرانی قبول کریں۔
- نگرانی کے لیے ذمہ دار ذاتی معلومات کے تحفظ کے افسر (PIPO) کو نامزد کریں۔
ذاتی معلومات کے تحفظ کے اثرات کے جائزے (PIPIAs)
آرٹیکل 55 سے پہلے PIPIAs کی ضرورت ہے:
- حساس ذاتی معلومات پر کارروائی کرنا
- خودکار فیصلہ سازی کے لیے PI کا استعمال
- تیسرے فریق کو پروسیسنگ سونپنا، اشتراک کرنا، یا PI منتقل کرنا
- PI کو عوامی طور پر ظاہر کرنا
- سرحد پار منتقلی (SCC میکانزم کے لیے درکار)
- دیگر پروسیسنگ سرگرمیاں جو افراد پر نمایاں اثر رکھتی ہیں۔
PIPIA دستاویزات کو کم از کم 3 سال تک برقرار رکھنا ضروری ہے۔ PIPIA کو تجزیہ کرنا چاہیے:
- چاہے پروسیسنگ کا مقصد، طریقہ، اور دائرہ کار قوانین/ضابطوں کی تعمیل کرتا ہے۔
- انفرادی حقوق پر اثر اور سیکورٹی رسک کی ڈگری
- آیا حفاظتی اقدامات جائز، موثر اور خطرے کے متناسب ہیں۔
خلاف ورزی کی اطلاع
آرٹیکل 57 کا تقاضا ہے کہ ذاتی معلومات کے تحفظ کے واقعے (خلاف ورزی) کو دریافت کرنے پر، پروسیسرز کو فوری طور پر تدارک کی کارروائی کرنی چاہیے اور مجاز حکام اور افراد کو مطلع کرنا چاہیے۔ اطلاع میں شامل ہونا چاہیے:
- ذاتی معلومات کی قسم لیک، چھیڑ چھاڑ، یا گم ہو گئی۔
- واقعے کی وجوہات اور ممکنہ نقصان
- پروسیسر کے ذریعہ اٹھائے گئے اصلاحی اقدامات
- افراد نقصان کو کم کرنے کے لیے اقدامات کر سکتے ہیں۔
- پروسیسر سے رابطہ کی معلومات
ٹائم لائن: قانون کہتا ہے "فوری طور پر" — CAC رہنمائی اس بات کی نشاندہی کرتی ہے کہ جیسے ہی اندرونی اور ریگولیٹری نوٹیفکیشن کے لیے خلاف ورزی کا پتہ چلتا ہے۔ دائرہ کار کا جائزہ لینے کے بعد انفرادی اطلاع بلا ضرورت تاخیر کے آنی چاہیے۔
جہاں خلاف ورزی افراد کو نقصان پہنچانے کا امکان نہیں ہے، پروسیسر افراد کو مطلع کرنے کے بجائے اندرونی طور پر واقعے کو ریکارڈ کر سکتا ہے (ریگولیٹری جائزے سے مشروط)۔
CAC نفاذ اور جرمانے
سائبر اسپیس ایڈمنسٹریشن آف چائنا بنیادی PIPL انفورسمنٹ اتھارٹی ہے جو سیکٹر ریگولیٹرز (PBOC برائے مالیاتی ڈیٹا، NHSA برائے صحت ڈیٹا وغیرہ) کے ساتھ مل کر کام کرتی ہے۔
انتظامی سزائیں (آرٹیکل 66):
- انتباہ اور درست کرنے کا حکم
- غیر قانونی منافع کی ضبطی۔
- کم خلاف ورزیوں پر RMB 1 ملین ($140,000 USD) تک کا جرمانہ
- سنگین خلاف ورزیوں پر پچھلے سال کے سالانہ ٹرن اوور کا 5% تک جرمانہ
- کاروباری کارروائیوں کی معطلی یا برطرفی (جوہری آپشن)
- ایگزیکٹوز کے لیے ذاتی ذمہ داری: RMB 1 ملین تک جرمانہ، کمپنی کے ڈائریکٹر/آفیسر ہونے کی ممانعت
مجرمانہ حوالہ: قومی سلامتی سے متعلق خلاف ورزیوں یا مجرمانہ جرائم کی تشکیل پبلک سیکیورٹی حکام کو بھیجی جاتی ہے۔
** قابل ذکر نفاذ کے اقدامات:**
- دیدی گلوبل (2022): نیٹ ورک ڈیٹا سیکیورٹی کی سنگین خلاف ورزیوں کے لیے $1.19 بلین جرمانہ - PIPL سے متعلق اب تک کی سب سے بڑی انفورسمنٹ کارروائی
- **BOSS Zhipin اور مکمل ٹرک الائنس (2021): بیرون ملک فہرستوں سے متعلق سائبرسیکیوریٹی جائزہ کی خلاف ورزیوں کی معطلی اور تحقیقات
- فنٹیک، ہیلتھ کیئر، اور انٹرنیٹ کے شعبوں میں کمپنیوں کی جاری CAC تحقیقات
PIPL تعمیل چیک لسٹ
- قابل اطلاق تجزیہ مکمل ہو گیا (چین آپریشنز، چینی صارفین، بیرونی دائرہ کار)
- PIPL دائرہ کار کے اندر بیرون ملک ہستی کی صورت میں نامزد چین کا نمائندہ/ ادارہ
- ذاتی معلومات کی انوینٹری مکمل ہو گئی جس میں حساس PI شناخت بھی شامل ہے۔
- ہر پروسیسنگ سرگرمی کے لیے دستاویزی قانونی بنیاد (زیادہ تر کے لیے رضامندی)
- ہر پروسیسنگ مقصد کے لیے الگ الگ رضامندی کا طریقہ کار لاگو کیا جاتا ہے۔
- حساس PI رضامندی علیحدہ اور واضح طور پر حاصل کی گئی ہے۔
- بچوں کی (14 سال سے کم عمر) کی ذاتی معلومات کی نشاندہی کی گئی — والدین کی رضامندی کا طریقہ کار نافذ کیا گیا۔
- رازداری کا نوٹس مینڈارن چینی میں تمام مطلوبہ انکشافات کے ساتھ تیار کیا گیا ہے۔
- ڈیٹا کے موضوع کے حقوق کے طریقہ کار کو دستاویز کیا گیا (رسائی، تصحیح، حذف، نقل پذیری، واپسی)
- سرحد پار منتقلی کی تشخیص مکمل - طریقہ کار طے شدہ (CAC تشخیص، SCC، یا سرٹیفیکیشن)
- PIPIA تمام سرحد پار منتقلی کے لیے کیا گیا (SCC میکانزم کے لیے لازمی)
- CAC SCC 10 دنوں کے اندر صوبائی CAC کے پاس دائر کیا جائے (اگر SCC میکانزم استعمال کیا جائے)
- CIIO کا تعین مکمل ہو گیا — اگر قابل اطلاق ہو تو ڈیٹا لوکلائزیشن کو لاگو کیا جاتا ہے۔
- بڑے پیمانے پر پروسیسر کی ذمہ داریوں کا اندازہ کیا گیا (10M+ صارفین کی حد)
- PIPO نامزد کیا گیا اگر قابل اطلاق ہو (بڑے پیمانے پر پروسیسر)
- فریق ثالث کے پروسیسر کے معاہدے PIPL باب II کی تعمیل کرتے ہیں۔
- حفاظتی اقدامات نافذ کیے گئے: خفیہ کاری، رسائی کنٹرول، نگرانی
- خلاف ورزی کی اطلاع کا طریقہ کار دستاویزی (فوری جواب)
- خودکار فیصلہ سازی کی شفافیت اور آپٹ آؤٹ میکانزم کا نفاذ
اکثر پوچھے گئے سوالات
چین کی PIPL سرحد پار منتقلی کے تقاضوں کو کیا مشکل بناتا ہے؟
تین عوامل: (1) بڑے پیمانے پر منتقلی کے لیے لازمی CAC سیکیورٹی تشخیص — تشخیص کا عمل لمبا ہے (60+ کام کے دن) اور اس کے لیے خطرے کی تشخیص سمیت وسیع دستاویزات کی ضرورت ہوتی ہے۔ (2) معیاری معاہدوں کا استعمال کرتے ہوئے چھوٹی منتقلیوں کے لیے بھی، PIPIA کو مکمل کیا جانا چاہیے اور دستخط کے 10 دنوں کے اندر معاہدہ CAC کے ساتھ دائر کیا جانا چاہیے۔ (3) لازمی تشخیص کو متحرک کرنے والے ڈیٹا کی مقدار (100,000 افراد/سال) درمیانے درجے کے کاروبار کے ذریعہ آسانی سے تجاوز کر جاتی ہے۔ چین کی کارروائیوں کے ساتھ ملٹی نیشنلز کے پاس سرحد پار ڈیٹا کے بہاؤ کے لیے PIPL تعمیل کے پروگراموں کو مؤثر طریقے سے ہونا چاہیے۔
PIPL کا اطلاق چین میں جسمانی موجودگی کے بغیر کاروباروں پر کیسے ہوتا ہے؟
آرٹیکل 3(2) PIPL کا اطلاق بیرون ملک مقیم پروسیسرز پر ہوتا ہے جو چین میں افراد کو مصنوعات یا خدمات فراہم کرتے ہیں، یا چین میں افراد کے رویے کا تجزیہ کرتے ہیں۔ آرٹیکل 53 کے مطابق ایسے پروسیسرز کو چین کے اندر ایک نمائندہ ادارہ یا فرد نامزد کرنے اور رابطہ کی تفصیلات مجاز حکام کو رپورٹ کرنے کی ضرورت ہے۔ عملی طور پر، خاطر خواہ چینی ٹریفک والی کوئی بھی بیرون ملک ویب سائٹ، چینی صارفین کے ساتھ کوئی بھی ایپ، یا چینی صارفین کے ڈیٹا پر کارروائی کرنے والے کسی بھی تجزیاتی پلیٹ فارم کو PIPL کی تعمیل کرنی چاہیے — بشمول چین کے نمائندے کی ضرورت۔
عملی طور پر CAC سیکیورٹی اسسمنٹ کا عمل کیا ہے؟
سی اے سی سیکیورٹی اسسمنٹ میں صوبائی سطح کے سی اے سی (زیادہ تر کاروباروں کے لیے) یا قومی سی اے سی (سی آئی آئی اوز کے لیے) کے ذریعے تفصیلی درخواست جمع کروانا شامل ہے۔ مطلوبہ دستاویزات میں شامل ہیں: ڈیٹا ایکسپورٹ سیکیورٹی اسسمنٹ سیلف اسیسمنٹ رپورٹ، PI ایکسپورٹ کنٹریکٹ، PIPIA رپورٹ، اور دیگر معاون مواد۔ تشخیص کا احاطہ کرتا ہے: آیا ڈیٹا ایکسپورٹ کا مقصد اور طریقہ قانون کی تعمیل کرتا ہے؛ آیا بیرون ملک مقیم وصول کنندہ کے ملک کو مناسب تحفظ حاصل ہے؛ منتقلی سے انفرادی حقوق کو خطرات؛ اور معاہدے کے تحفظات کی کافی مقدار۔ تشخیص میں 60 کام کے دن لگتے ہیں (پیچیدہ کیسز کے لیے 90 تک بڑھا سکتے ہیں)۔ بہت سی ملٹی نیشنل کمپنیوں کو اس عمل میں عملی طور پر 6-12 ماہ لگتے ہیں۔
PIPL چین کے ڈیٹا سیکیورٹی قانون (DSL) کے ساتھ کیسے تعامل کرتا ہے؟
PIPL اور DSL مل کر کام کرتے ہیں۔ PIPL ذاتی معلومات کے تحفظ پر توجہ مرکوز کرتا ہے۔ DSL قومی سلامتی اور اقتصادی اہمیت کی بنیاد پر تمام ڈیٹا (بشمول غیر ذاتی ڈیٹا) کو کنٹرول کرتا ہے، جس میں "عام ڈیٹا" سے "بنیادی ریاستی ڈیٹا" تک درجہ بندی کے نظام کے ساتھ۔ DSL کو ڈیٹا کی درجہ بندی کے تقاضوں، اہم ڈیٹا پروسیسنگ پابندیوں، اور "اہم ڈیٹا" کے لیے سرحد پار منتقلی کے قوانین کی تعمیل کرنے کے لیے تمام ڈیٹا پروسیسنگ کی ضرورت ہوتی ہے۔ DSL کے تحت اہم ڈیٹا (重要数据) کی اپنی سرحد پار منتقلی کی تشخیص کے تقاضے ہیں۔ چین میں ملٹی نیشنل کمپنیوں کو پی آئی پی ایل (ذاتی ڈیٹا کے لیے) اور ڈی ایس ایل (تمام ڈیٹا بشمول تجارتی ڈیٹا کے لیے جس کی درجہ بندی اہم ہے) کے تحت تعمیل کا جائزہ لینا چاہیے۔
کیا صنعت سے متعلق PIPL کے تقاضے ہیں؟
جی ہاں کئی سیکٹر ریگولیٹرز نے PIPL سے منسلک یا ضمنی ضوابط جاری کیے ہیں: پیپلز بینک آف چائنا (PBOC) کے پاس مالیاتی ڈیٹا کے تحفظ اور ترسیل کے تقاضے ہیں۔ نیشنل ہیلتھ سیکیورٹی ایڈمنسٹریشن (NHSA) صحت کے اعداد و شمار کو منظم کرتی ہے۔ وزارت صنعت اور انفارمیشن ٹیکنالوجی (MIIT) ممنوعہ ڈیٹا اکٹھا کرنے کے طریقوں کی مخصوص فہرستوں کے ساتھ موبائل ایپ ڈیٹا اکٹھا کرنے کو منظم کرتی ہے۔ TC260 (نیشنل انفارمیشن سیکیورٹی اسٹینڈرڈائزیشن ٹیکنیکل کمیٹی) نے GB/T 35273 (ذاتی معلومات کی حفاظت کی تفصیلات) کو رضاکارانہ لیکن وسیع پیمانے پر حوالہ شدہ تکنیکی معیار کے طور پر جاری کیا ہے۔ سیکٹر ریگولیٹڈ اداروں کو PIPL اور ان کے سیکٹر کے مخصوص تقاضوں کی تعمیل کرنی چاہیے۔
اگلے اقدامات
چین کا PIPL دنیا کے سب سے زیادہ مطلوبہ ڈیٹا پروٹیکشن فریم ورک میں سے ہے، خاص طور پر سرحد پار ڈیٹا آپریشنز کے لیے۔ رضامندی کی پہلی پروسیسنگ، سخت سرحد پار منتقلی کے طریقہ کار، CIIOs کے لیے ڈیٹا لوکلائزیشن، اور فعال CAC نفاذ کا مجموعہ PIPL کی تعمیل کسی بھی تنظیم کے لیے بورڈ کی سطح کا خطرہ بناتا ہے جس میں چین کی نمایاں نمائش ہوتی ہے۔
ECOSIRE کی ٹیم آپ کو PIPL کے مطابق ڈیٹا آرکیٹیکچرز ڈیزائن کرنے، چینی صارفین کے لیے رضامندی کے انتظام کو نافذ کرنے، PIPIAs کے انعقاد، اور سرحد پار منتقلی کے طریقہ کار کے انتخاب کے عمل کو نیویگیٹ کرنے میں مدد کر سکتی ہے۔
شروع کریں: ECOSIRE سروسز
ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ چین کا ڈیٹا پروٹیکشن ریگولیٹری لینڈ سکیپ تیزی سے تیار ہو رہا ہے۔ اپنی تنظیم اور سرگرمیوں سے متعلق مخصوص مشورے کے لیے اہل چین کے لائسنس یافتہ قانونی مشیر سے مشورہ کریں۔
تحریر
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
متعلقہ مضامین
blog.posts.erp-for-chemical-industry.title
blog.posts.erp-for-chemical-industry.description
blog.posts.erp-for-import-export-trading.title
blog.posts.erp-for-import-export-trading.description
blog.posts.sustainability-esg-reporting-erp-guide.title
blog.posts.sustainability-esg-reporting-erp-guide.description
Compliance & Regulation سے مزید
blog.posts.cybersecurity-ecommerce-business-guide-2026.title
blog.posts.cybersecurity-ecommerce-business-guide-2026.description
blog.posts.erp-for-chemical-industry.title
blog.posts.erp-for-chemical-industry.description
blog.posts.erp-for-import-export-trading.title
blog.posts.erp-for-import-export-trading.description
blog.posts.sustainability-esg-reporting-erp-guide.title
blog.posts.sustainability-esg-reporting-erp-guide.description
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.