中国颁布《个人信息保护法》

8月20日，中国发布《个人信息保护法》，该法将于2021年11月1日起施行。近年来，个人信息保护立法在世界范围内广泛部署，据悉，目前已有120多个国家通过了保护个人隐私的立法。其中，你可能听说过欧盟的《通用数据保护条例》（GDPR）、美国的《加州隐私法》（CPRA）、《加州消费者隐私法》（CCPA）、《网络安全法》以及中国政府刚刚发布的上述法律。

大到一个基于互联网的公共服务平台或物流服务提供商，小到一个工厂甚至一个贸易公司，都可能受到一个或多个隐私相关法律或法规的监管。

重要内容

根据中国的《个人信息保护法》，个人信息是指以电子方式或其他方式记录的与已识别或可识别的自然人有关的各种信息，不包括匿名信息。个人信息的处理包括但不限于收集、储存、使用、处理、传输、提供、披露、删除个人信息。

考虑到欧盟的GDPR框架，中国的 "个人信息保护法 "在国际通行法规的重要原则基础上，为个人隐私保护提供了本土化的方法。与GDPR的原则类似，"个人信息保护法 "在适用范围上不限于中国大陆境内的活动。

中国的这部法律在以下几个方面与GDPR有类似的要求：个人信息的定义、适用范围、处理方法影响最小的原则、收集范围最小的原则、存储时间最短的原则、敏感信息的处理、未成年人个人信息的处理、匿名化、去识别信息的处理、安全保护的义务、知情权、反对权、修改和删除权、隐私影响评估、数据保护官（DPO）的任命、合同处理的控制、数据泄露的通知、对自动决策和人脸识别的限制等等。

中国的这部法律在以下几个方面可能比GDPR有更高的要求：个人信息处理的法律基础、同意规则、死者的个人信息保护、数据本地化要求、大规模个人信息处理者的额外义务、跨境数据传输安全评估、跨境证据检索和行政监督。

中国的 "个人信息保护法 "从网络安全和数据主权的角度出发，规定了可以向海外提供个人信息的四个条件，以及某些情况下的数据本地化要求。

个人信息处理者的重要义务包括：安全控制、签约处理控制、数据安全事件的通知、隐私保护影响评估、任命数据保护官员等。

政府相关部门将推动个人信息保护的社会服务体系建设，支持相关机构开展个人信息保护评估和认证服务。

法律责任

违反个人信息保护法的责任包括民事、行政和刑事领域，而且相当严格，并有多部门的执法机制支持。

在行政处罚方面，违规机构可能会被暂停或终止服务，或被处以最高5000万元人民币或上年营业额5%的罚款。此外，直接责任人或监管人员可能会被禁止进入行业，并被处以最高100万元人民币的罚款，甚至被追究刑事责任。

挑战

中国的这项新法律将对不同类型的组织产生长期的影响。对许多组织来说，在遵守这些与个人信息有关的法律和法规方面，要使他们的业务没有风险，是一个挑战。在实践中，一些大型国际公司被某些监管机构如欧盟的监管机构处以高额罚款。为了系统地解决和减少风险和挑战，一些组织已经采用或正在考虑采用国际标准ISO 27701:2019来建立隐私信息管理系统并进行认证。

DQS服务

DQS提供ISO 27001:2013信息安全管理系统（ISMS）和ISO 27701:219隐私信息管理系统（PIMS）的审计和认证服务，其认证得到国际认证论坛（IAF）的认可。

此外。 DQS学堂提供相关的培训课程，包括主任审核员、内部审核员、数据保护官、云安全经理等。

注意。

本篇文章仅供规划管理系统的组织参考，不作为法律咨询的目的。对于与法律或法规有关的决定或行动，您应事先咨询您的律师。