中国 PIPL 合规性：跨境数据传输指南

中国个人信息保护法（PIPL — 个人信息保护法）于 2021 年 11 月 1 日生效，是中国全面的国家数据隐私法，也是全球最严格的数据保护框架之一。除了《数据安全法》（DSL，2021 年 9 月生效）和《网络安全法》（CSL，2017 年 6 月生效）之外，PIPL 形成了三部曲，从根本上重塑了企业收集、处理、存储和传输数据进出中国的方式。

对于在中国经营或为中国消费者提供服务的跨国公司来说，遵守 PIPL 规定是必须的——违规行为可能会导致高达年营业额 5% 的罚款、暂停业务运营，并对负责的高管承担个人刑事责任。中国国家互联网信息办公室 (CAC) 表现出了积极的执法力度，包括对滴滴出行（罚款 11.9 亿美元）、满车联盟和老板直聘采取了高调的行动。

要点

• PIPL适用于中国境内个人信息的处理——域外范围包括针对或分析中国个人的境外实体
• 每个处理目的都需要单独同意——捆绑同意无效
• “敏感个人信息”（生物识别、财务、健康、精确位置、未成年人数据）需要单独、明确的同意
• 跨境传输需要以下三种机制之一：CAC 安全评估、标准合同或认证 - 所有这些都具有重要的运营意义
• 数据本地化要求适用于关键信息基础设施运营商 (CIIO)
• 大规模跨境传输（每年超过10万个人数据）强制进行CAC安全评估
• 未成年人（14岁以下）的重要个人信息需要单独获得家长同意并加强保护
• 严重违规行为最高可达年营业额 5% 的罚款；暂停营业也可作为制裁措施

---

PIPL 框架和范围

立法依据

PIPL 于 2021 年 8 月 20 日由全国人民代表大会常务委员会通过。它借鉴了全球数据保护最佳实践（特别是 GDPR），同时反映了中国独特的监管环境，包括贯穿立法的国家安全考虑。

主要原则（第 5-9 条）：

• 合法性、正当性、必要性、诚实信用
• 目的明确、合理
• 数据最小化
• 质量保证（准确性和完整性）
• 安全与责任
• 处理仅限于最小必要范围

领土范围

第3条规定了PIPL的域外适用。它适用于：

1. 中国境内实体对中国境内个人的个人信息的处理
2. 中国境外实体处理中国境内个人的个人信息，其中：

• 目的是向中国境内的个人提供产品或服务
• 目的是分析或评估中国个人的行为
• 网信办规定的其他情形

这意味着运营中文网站、为中国消费者提供服务或使用分析工具来分析中国用户行为的外国公司必须遵守 PIPL。

海外个人信息处理者（OPIP）：PIPL域外范围内的海外实体必须（第53条）：

• 在中国**设立专门实体或任命代表
• 向有关主管部门提交中国代表的姓名和联系方式

---

处理的法律依据

PIPL 第 13 条规定了处理个人信息的六大法律依据。与多个依据同等权重的 GDPR 不同，PIPL 将个人同意视为主要依据，其他依据视为例外：

关键同意要求（第 14-17 条）：

• 必须自愿且明确同意
• 同意必须知情——个人在决定之前必须了解他们同意的内容
• 同意不能捆绑——您必须为每个处理目的获得单独的同意
• 撤回同意必须与给予同意一样简单
• 撤回不影响之前的合法处理
• 拒绝提供个人信息或撤回同意不得影响核心产品/服务的提供（除非该服务需要数据）

---

敏感个人信息

第二十八条将敏感个人信息定义为一旦泄露或者被非法使用，可能损害自然人尊严或者对其人身、财产安全造成严重危害的个人信息。具体类别包括：

• 生物识别信息（指纹、声纹、面部识别、眼睛虹膜、遗传数据）
• 宗教信仰
• 具体身份（政党、种族）
• 医疗健康信息
• 财务账户
• 精确位置信息（实时GPS，精准运动追踪）
• 14岁以下未成年人的个人信息

对敏感PI的更高要求：

• 单独、明确的同意（除了对非敏感处理的任何同意之外）
• 必要性理由——必须有特定目的和足够的必要性
• 加强安全措施
• 向个人通知处理的具体影响

儿童个人信息（14岁以下未成年人）：必须获得父母或监护人的同意。网信办发布了《网络儿童个人信息保护具体规定》（2019年，2022年修订），并对网络服务提供者提出了附加要求。

---

数据主体权利

PIPL 授予个人（第四章，第 44-50 条）以下权利：

知情权和决定权：个人有权了解和决定对其个人信息的处理，并有权限制或拒绝他人处理。

访问和复制权：个人可以索取其个人信息的副本。处理者必须在合理的时间内提供。

转让权：在技术上可行的情况下，个人可以请求将其个人信息转让给另一个指定的处理者。

更正权：个人可以更正不准确或不完整的个人信息。

删除权：以下情况需要删除： (1) 处理目的已经达到或不可能； (2) 处理者决定停止提供产品/服务； （三）保存期限届满的； (4) 撤回同意； (5) 处理违反法律法规或者协议。

撤回同意的权利：对于基于同意的处理，个人可以随时撤回。撤回不会影响之前的合法处理。

解释权：个人可以要求对个人信息处理规则进行解释。

拒绝自动化决策的权利：当PI用于个性化推荐或自动化决策时，个人有权拒绝并要求对具有重大影响的决策进行人工审核。

---

跨境数据传输：关键挑战

PIPL 第三章（第 38-43 条）规定了所有主要隐私法中最严格的跨境传输框架，使之成为跨国公司最具运营挑战性的合规领域。

三种允许的机制

1. CAC 安全评估（第 38(1) 条）

强制要求：

• 关键信息基础设施运营商 (CIIO) — 任何跨境传输
• 非CIIO处理者：当年累计向境外传输个人数据10万（或敏感PI个人1万）
• 重要数据（DSL下的关键数据）产生的个人信息

CAC 安全评估涉及提交一份申请，其中包含传输的详细文件、接收者的数据保护实践和合同安排。评估期限为 60 个工作日（可延长至 90 个工作日）。

2.标准合同（第 38(2) 条）

对于未达到 10 万个门槛的非 CIIO 处理者，可以使用 CAC 批准的 2023 年 2 月发布的标准合同条款进行海外转移。 主要要求：

• 使用CAC SCC模板，无需修改
• 在合同生效后10个工作日内向省级CAC提交SCC
• 在转移前进行个人信息保护影响评估（PIPIA）
• 保留 PIPIA 和合同记录 3 年

3.认证（第 38(3) 条）

关联实体之间的集团内传输可以使用经CAC认可的个人信息保护专业机构的认证。 PIPIA认证方案由全国信息安全标准化技术委员会（TC260）和CAC联合制定。

传输机构选择指南

CIIO 数据本地化

关键信息基础设施运营者必须将在中国境内收集和产生的个人信息和“重要数据”存储在中国境内（第40条）。 CIIO在中国收集的数据跨境传输需要进行CAC安全评估。 《网安法》和特定行业的 CIIO 识别法规对 CIIO 进行了广泛的定义，涵盖能源、交通、水务、金融、公共服务、电子政务、国防和互联网基础设施运营商。

---

大型处理器的义务

第五十八条对服务覆盖大量用户的个人信息处理者施加了额外义务（阈值由网信办确定，但根据网信办的指导意见，通常理解为用户数超过 1000 万）：

• 制定个人信息保护合规计划和程序
• 建立社会监督的外部监督机制
• 对个人信息保护进行定期合规审计
• 在处理具有重大风险的活动之前进行个人信息保护影响评估 (PIPIA)
• 接受国家有关部门的监督
• 指定一名个人信息保护官 (PIPO) 负责监督

---

个人信息保护影响评估 (PIPIA)

第 55 条要求 PIPIA 必须满足以下条件：

• 处理敏感个人信息
• 使用PI进行自动化决策
• 委托第三方处理、共享或转让PI
• 公开披露PI
• 跨境转账（SCC机制所需）
• 对个人有重大影响的其他处理活动

PIPIA 文件必须保留至少 3 年。 PIPIA 必须分析：

• 处理目的、方式、范围是否符合法律法规
• 对个人权利的影响和安全风险程度
• 防护措施是否合法、有效且与风险相称

---

违规通知

第五十七条要求处理者发现个人信息安全事件（违规）时，应当立即采取补救措施，并通知有关主管部门和个人。通知必须包括：

• 泄露、篡改或丢失的个人信息类型
• 事件的原因和潜在危害
• 处理者采取的补救措施
• 个人可以采取的减轻伤害的步骤
• 处理者联系信息

时间表：法律规定“立即”——CAC 指南指出，这意味着一旦发现违规行为，立即向内部和监管机构发出通知。一旦范围评估完毕，应立即发出个人通知，不得无故拖延。

如果违规行为不太可能伤害个人，处理者可以在内部记录事件，而不是通知个人（需接受监管审查）。

---

CAC 执法和处罚

中国国家互联网信息办公室是主要的 PIPL 执法机构，与行业监管机构（中国人民银行负责金融数据，国家卫生健康局负责健康数据等）合作。

行政处罚（第六十六条）：

• 警告并责令改正
• 没收违法所得
• 对于较轻的违规行为，最高可处以 100 万元人民币（140,000 美元）的罚款
• 对于严重违规行为，最高可达上一年年营业额**5%的罚款
• 暂停或终止业务运营（核选项）
• 高管个人责任：最高100万元罚款，禁止担任公司董事/高级管理人员

刑事移送：涉及国家安全行为或构成刑事犯罪的，移送公安机关处理。

值得注意的执法行动：

• 滴滴全球（2022）：因严重违反网络数据安全行为而被罚款 11.9 亿美元——迄今为止最大的 PIPL 相关执法行动
• BOSS直拼、满车联盟（2021）：因境外上市相关网络安全审查违规被停牌并立案调查
• CAC 对金融科技、医疗保健和互联网行业的公司正在进行调查

---

PIPL 合规检查表

• 已完成适用性分析（中国运营、中国用户、域外范围）
• 如果海外实体在 PIPL 范围内，则指定中国代表/实体
• 完成个人信息清单，包括敏感 PI 识别
• 记录每项处理活动的法律依据（大多数人同意）
• 为每个处理目的实施单独的同意机制
• 单独明确获得敏感 PI 同意
• 识别儿童（14 岁以下）个人信息 — 实施家长同意机制
• 用中文准备的隐私声明，包含所有必需的披露信息
• 记录数据主体权利程序（访问、更正、删除、可移植、撤销）
• 跨境转移评估已完成 - 机制已确定（CAC 评估、SCC 或认证）
• 对所有跨境转账进行 PIPIA（SCC 机制强制执行）
• CAC SCC 在 10 天内向省级 CAC 提交（如果使用 SCC 机制）
• CIIO 确定已完成 — 实施数据本地化（如果适用）
• 评估大规模处理器义务（1000 万以上用户阈值）
• PIPO 指定（如果适用）（大型处理器）
• 第三方处理器协议符合 PIPL 第二章
• 实施的安全措施：加密、访问控制、监控
• 记录违规通知程序（立即响应）
• 实施自动化决策透明度和选择退出机制

---

常见问题

是什么让中国的PIPL跨境转账要求如此具有挑战性？

三个因素：（1）大规模转移必须进行CAC安全评估——评估过程漫长（60+工作日），需要大量文件，包括风险评估； (2) 即使是使用标准合同的小额转让，也必须在签署后 10 天内完成 PIPIA 并向 CAC 备案； (3) 触发强制评估的数据量（10万人/年）很容易被中型企业超过。在中国开展业务的跨国公司必须针对跨境数据流制定专门的 PIPL 合规计划。

PIPL 如何适用于在中国没有实体存在的企业？

第三条第二款适用于向中国个人提供产品或服务，或者分析中国个人行为的境外处理者。第五十三条要求处理者指定在中国境内的代表单位或者个人，并向主管部门报告联系方式。实际上，任何拥有大量中国流量的海外网站、任何拥有中国用户的应用程序或任何处理中国消费者数据的分析平台都必须遵守 PIPL，包括中国代表要求。

实践中 CAC 安全评估流程是怎样的？

CAC 安全评估涉及通过省级 CAC（对于大多数企业）或国家 CAC（对于 CIIO）提交详细申请。所需文件包括：数据导出安全评估自评估报告、PI导出合同、PIPIA报告等证明材料。评估内容包括：数据出境目的和方式是否合法；海外收款人所在国家是否有足够的保护；转让对个人权利造成的风险；以及合同保护的充分性。评估需要60个工作日（复杂情况可延长至90个工作日）。许多跨国公司发现这一过程在实践中需要 6 至 12 个月的时间。

PIPL 如何与中国的数据安全法 (DSL) 互动？

PIPL 和 DSL 协同工作。 PIPL注重个人信息保护。 DSL根据国家安全和经济重要性来管理所有数据（包括非个人数据），并采用从“一般数据”到“核心国家数据”的分级分类系统。 DSL要求所有数据处理遵守数据分类要求、关键数据处理限制以及“重要数据”的跨境传输规则。 DSL 下的关键数据（重要数据）有其自身的跨境传输评估要求。在中国的跨国公司必须评估 PIPL（针对个人数据）和 DSL（针对所有数据，包括被列为关键的商业数据）的合规性。

是否有特定于行业的 PIPL 要求？

是的。多个行业监管机构已发布了与 PIPL 一致或补充的规定：中国人民银行 (PBOC) 有金融数据保护和传输要求；国家卫生安全局 (NHSA) 监管健康数据；工业和信息化部 (MIIT) 通过具体的禁止数据收集行为清单来规范移动应用程序数据收集。 TC260（全国信息安全标准化技术委员会）发布了GB/T 35273（个人信息安全规范）作为自愿性但被广泛引用的技术标准。受行业监管的实体必须遵守 PIPL 及其行业特定要求。

---

后续步骤

中国的 PIPL 是世界上要求最高的数据保护框架之一，特别是对于跨境数据操作。同意优先的处理、严格的跨境传输机制、CIIO 的数据本地化以及积极的 CAC 执行相结合，使得 PIPL 合规性成为任何在中国有重大风险的组织的董事会级别风险。

ECOSIRE 的团队可以帮助您设计符合 PIPL 要求的数据架构、为中国用户实施同意管理、进行 PIPIA 以及引导跨境传输机制选择流程。

开始使用：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。中国的数据保护监管格局正在迅速发展。请咨询合格的中国许可法律顾问，获取针对您的组织和活动的建议。