中国数据隐私法:PIPL、CSL与DSL合规指南(2026年)

中国的数据隐私制度以三部法律为支柱:《个人信息保护法》(PIPL,自2021年11月1日起施行)、《数据安全法》(自2021年9月1日起施行),以及经全面修订、自2026年1月1日起施行的新版《网络安全法》。PIPL规范个人数据的收集、同意、跨境传输以及处罚,情节严重的违法行为最高可处人民币5000万元罚款。
中国构建了全球最全面、也最具后果性的数据隐私框架之一。它并非照搬任何外国模式,而是体现了中国自身的政策优先事项:国家安全、国家对私营部门数据权力的监管,以及数字经济的快速增长。对于任何从中国境内人员收集数据、在中国境内存储数据,或将数据跨境传输出中国的企业而言,理解这些法律是一项合规要求,而非可选事项。
相关规则一直在持续收紧。《网络安全法》已于2026年1月1日起完成全面修订。跨境传输认证规则也已于同日正式落地。强制性合规审计已于2025年5月开始施行。针对最关键运营者的网络安全事件报告时限,已于2025年11月被压缩至最短一小时。未成年人数据处理如今须每年提交审计备案。执法已从零星个案转变为系统化常态。
本指南介绍截至2026年这一框架的现状,包括基础性法律、执法架构、处理要求、跨境规则、处罚,以及合规在实践中的具体表现。本文信息截至2026年5月准确无误。如需就您的具体情况获取意见,请咨询律师。
快速解答:中国主要的数据隐私法律有哪些?
三部法律构成了中国数据保护制度的核心,通常被称为“三大支柱”。
**《个人信息保护法》(PIPL)**自2021年11月1日起施行,是中国专门针对个人数据的法律。它确立了处理个人信息的合法依据、个人权利、同意要求、跨境传输规则以及合规审计框架。它是与欧盟GDPR最为接近的中国对应法律,尽管在若干重要方面存在差异。
**《数据安全法》(DSL)**自2021年9月1日起施行,广泛规范数据处理活动,而不仅限于个人信息。该法引入了分级分类制度,将数据划分为“核心数据”“重要数据”以及一般数据,并对各层级设置了递增的保护要求。
**《网络安全法》(CSL)**最初于2017年6月1日起施行,并已于2026年1月1日起全面修订生效,规范网络安全义务、关键信息基础设施保护、特定运营者的数据本地化要求,以及实名注册要求。
在这三部支柱性法律之下,还存在数量不断增长的配套实施细则。其中最重要的是国务院颁布、自2025年1月1日起施行的**《网络数据安全管理条例》**。该条例填补了三部支柱性法律在操作层面的空白,并为大型平台运营者设定了新的门槛和义务。
《民法典》基础
在PIPL出台之前,中国于2020年5月通过、自2021年1月1日起施行的《民法典》已将隐私权和个人信息保护确立为民事人格权。
第1032条和第1033条首次在中国立法中界定了隐私权。任何组织或个人不得以刺探、侵扰、骚扰、泄露等方式侵害他人的隐私。
第1034条至第1039条专门规范个人信息。第1034条将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,包括姓名、出生日期、身份证号码、生物识别数据、住址、电话号码、电子邮箱以及健康和行踪信息。第1035条将同意和透明度作为合法收集和使用的前提条件。第1037条赋予个人查阅、更正以及请求删除其个人信息的权利。
《民法典》的作用是基础性的,但属于支持性质。它赋予个人就隐私侵权提起民事诉讼的权利,并建立了此后被PIPL发展为完整监管体系的概念基础。个人的民事诉讼与监管执法可以并行进行。
国家网信办(CAC)
**国家互联网信息办公室(网信办,CAC)**是数据保护和网络内容监管的主导机构。它负责个人信息保护工作的总体规划、协调和执法。网信办发布实施细则、开展调查、处以罚款,并有权责令暂停或关闭不合规的应用程序和服务。
其他若干机构在各自领域内共同承担执法职责:
- **工业和信息化部(MIIT)**负责电信和互联网服务提供商相关事务
- **公安部(MPS)**负责调查网络犯罪并开展刑事执法
- **国家市场监督管理总局(SAMR)**负责消费者保护和认证机构监管
- 金融领域(中国人民银行、国家金融监督管理总局)、医疗卫生和交通运输领域的行业主管部门在各自领域内执行数据规则
地方网信办及网络安全部门在省级和市级层面开展调查。企业可能同时面临多个监管机构的审查,例如在滴滴案调查中,网信办、公安部、工业和信息化部、国家市场监督管理总局以及国家安全机关就曾联合行动。
修订后的《网络安全法》(自2026年1月1日起施行)
全国人大常委会于2025年10月28日通过了对《网络安全法》的修订,修订内容自2026年1月1日起施行,这是该法自2017年颁布以来的首次全面改革。
处罚力度提升
此次修订大幅提高了罚款额度。对于因未履行网络安全义务而造成“特别严重后果”的网络运营者,机构最高罚款提高至人民币1000万元,直接责任人员最高罚款为人民币100万元。
对于非关键信息基础设施运营者的网络运营者的一般违法行为,此前人民币10万元的上限提高为一般违法情形人民币50万元、情节严重违法情形人民币200万元。
关键信息基础设施运营者面临最高风险敞口。实践中,人民币1000万元的上限仅适用于造成特别严重后果的关键信息基础设施运营者。对于绝大多数并非关键信息基础设施运营者的商业企业而言,情节严重违法情形人民币200万元的上限,是《网络安全法》下实际的处罚天花板。
域外适用范围扩大
修订后的《网络安全法》扩大了受中国执法管辖的境外活动范围。此前,《网络安全法》的域外执法仅适用于危害关键信息基础设施的境外活动。2026年的修订将其扩展至任何危害中国网络安全的境外活动,使《网络安全法》的域外适用范围更接近PIPL更为宽泛的域外适用方式。
AI与算法相关条款
此次修订新增了专门针对人工智能和算法服务的条款。这些条款将AI产品和服务的安全评估要求正式写入法律,并使《网络安全法》与网信办此前已生效的深度合成和生成式AI相关规定相衔接。
《数据安全法》:数据分类分级框架
《数据安全法》自2021年9月1日起施行,规范各行各业的数据处理活动,而不仅限于个人信息。其最重要的贡献是建立了分级分类制度。
核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益的数据。未经授权处理或出境可以构成刑事犯罪。政府尚未公布一份关于何为核心数据的全面公开清单,各行业主管部门为其行业界定核心数据的范畴。
重要数据是指一旦遭到篡改、破坏、泄露或非法利用,可能危害国家安全、公共利益,或者个人、组织合法权益的数据。《网络数据安全管理条例》将个人数据达到重要数据认定门槛的人数标准由100万人上调至1000万人。
一般数据涵盖其他所有数据,适用基线安全义务。
《数据安全法》适用于中国境内的所有数据处理活动,并且在境外数据处理活动危害中国国家安全、公共利益,或者中国公民、组织合法权益的情况下,可以域外适用。
处理个人信息的合法性基础
PIPL在合法处理方面的做法与GDPR存在一个关键差异:合法利益并非有效的合法性基础。每一项处理活动都必须落入第十三条列举的某一基础之内。
同意是默认且最常用的基础。同意必须是自愿、知情,并通过积极行为作出的。预先勾选的复选框或对条款的概括性接受,不满足这一要求。
订立或履行合同所必需涵盖为订立或履行数据主体作为一方当事人的合同、或者按其要求实施订立合同前所必需的步骤而进行的处理。
履行法定职责或者法定义务所必需适用于法律要求进行处理的情形,例如纳税申报、雇佣记录以及反洗钱义务,均属此类。
应对突发公共卫生事件允许为应对突发事件,或者为保护自然人的生命健康和财产安全所必需而进行处理。
新闻报道、舆论监督等为公共利益实施允许记者和监督机构在符合公共利益的情况下,为报道目的处理已经合法公开的个人信息。
依法制定的劳动规章制度和依法签订的集体合同实施的人力资源管理,是与雇佣相关处理活动的合法基础之一。
在PIPL域外适用范围内处理中国境内人员个人信息的外国主体,同样必须从上述清单中确定一项合法依据,与境内处理者的要求相同。
严于GDPR的同意规则
PIPL在同意方面的若干具体规则严于GDPR的要求:
- 处理者不得将非必要处理的同意与核心产品或服务的提供进行强制捆绑。如果用户拒绝对定向广告的同意,处理者仍须提供核心服务。
- 对于敏感个人信息、跨境传输以及对个人权益有重大影响的自动化决策,须取得单独同意。
- 同意可以随时撤回,且撤回方式须与作出同意一样便利。
- 对于不满14周岁的未成年人,同意须由其父母或其他监护人作出。
敏感个人信息
PIPL将敏感个人信息界定为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的信息。该法明确列举了以下类别:
- 生物识别信息(人脸识别特征、指纹、声纹、虹膜信息)
- 宗教信仰
- 特定身份(民族、政治观点、工会成员身份)
- 医疗健康信息
- 金融账户信息(包括支付凭证)
- 精度足以识别行踪轨迹的位置追踪数据
- 不满14周岁未成年人的个人信息
处理敏感个人信息须具有特定的目的、经证明确有必要,并采取更严格的保护措施。处理者须取得区别于一般处理同意的单独同意,并须在处理开始前完成个人信息保护影响评估(PIPIA)。评估结果须至少留存三年。
人脸识别
网信办的相关规定将人脸识别技术在公共场所的使用限定于公共安全目的,除非每位个人分别作出单独的知情同意。禁止将人脸识别同意与其他服务同意捆绑收集。执法行动已专门针对在零售场所未经个人同意安装人脸识别设备的企业。
PIPL项下的个人权利
PIPL赋予个人一整套权利。处理者须建立便于行使这些权利的机制,并须及时作出回应。拒绝回应或者回应不充分,本身即可构成违法行为。
知情权: 处理开始前,个人须获得处理者身份、处理目的、处理方式、所处理信息的类别、保存期限以及权利行使程序等方面的清晰披露。
查阅、复制权: 个人可以请求查阅其个人信息并获取副本。
更正权: 个人可以请求更正或补充不准确、不完整的个人信息。处理者须及时采取行动。
删除权: 当处理目的已经实现、同意已被撤回、保存期限已届满、服务已经终止,或者处理违反适用法律或约定时,处理者须删除相应个人信息。
可携带权: 在网信办规定的条件下,个人可以请求将其个人信息转移至其指定的其他处理者。
拒绝自动化决策权: 当自动化决策对个人权益有重大影响时,个人有权请求人工审查,并有权拒绝仅通过自动化方式作出的决定。
已故者近亲属的权利: 已故个人的近亲属可以出于正当、合理的目的查阅、复制、更正或者删除死者的个人信息,但死者生前另有安排的除外。
数据泄露通知
根据PIPL第五十七条,处理者在发现个人信息泄露、篡改、丢失后,须立即采取补救措施,并通知有关主管部门以及受影响的个人。
2025年9月11日发布、自2025年11月1日起施行的**《网络安全事件报告管理办法》**,根据事件的类型和严重程度建立了分级报告框架:
- 关键信息基础设施运营者须立即向关基保护部门和公安机关报告,且不得晚于发现后一小时
- 国家机关及所属单位须不晚于两小时向本级网信部门报告
- 其他网络运营者须在发现属于报告范围的事件后四小时内向省级网信部门报告
通知内容须包括涉及的信息类别、原因和潜在危害、已采取的补救措施,以及可供受影响个人采取的减损措施。仅当处理者已采取有效措施防止泄露造成实际损害时,方可免除对个人数据主体的通知义务。
未报告或延迟报告,本身即构成PIPL项下一项独立的违法行为,须承担相应的独立处罚。
跨境数据传输:三条路径框架
将个人信息传输出境须完成网信办批准的三种机制之一。随着2026年初认证路径的正式落地,该框架已全面运行。

路径一:网信办安全评估(高风险传输强制适用)
在以下情形,安全评估是强制性的,而非可选项:
- 关键信息基础设施运营者(任何跨境传输)
- 任何向境外传输“重要数据”的处理者
- 处理个人信息超过100万人且拟传输其中任何数据的处理者
- 自2023年1月1日起累计向境外提供超过10万人个人信息、或者超过1万人敏感个人信息的处理者
该流程要求处理者向网信办提交自评估报告,由网信办据此开展安全审查。批准结果有效期为两年,须届期续期。
路径二:标准合同(SCC)
未达到强制安全评估门槛的处理者,可以与境外接收方签订网信办规定的标准合同(SCC)模板。该标准合同要求境外接收方承担与PIPL要求相当的义务,包括数据泄露通知、数据主体权利以及安全措施。
标准合同须向属地网信部门备案。网信办的模板不可协商,双方不得对其作实质性修改。
路径三:个人信息保护认证
网信办与国家市场监督管理总局于2025年10月14日联合发布、自2026年1月1日起施行的**《个人信息出境认证办法》,最终确立了这一路径。国家标准GB/T 46068-2025自2026年3月1日**起施行,为该认证提供了技术标准。
认证由网信办认可的机构实施。它更适用于具有持续性、大批量或复杂跨境数据流动需求的企业,尤其是跨国公司集团内部的传输。其功能与GDPR下的约束性企业规则(BCR)类似。
无论采用哪种路径,处理者始终须做到:
- 就跨境传输取得数据主体的单独同意
- 在传输前完成个人信息保护影响评估(PIPIA)
- 确保境外接收方提供不低于PIPL标准的保护
如需详细比较PIPL与GDPR的跨境传输机制,请参阅我们的GDPR与PIPL对比指南。
数据本地化
中国的数据本地化要求专门适用于关键信息基础设施运营者。此类运营者必须将其在中国境内运营过程中收集和产生的个人信息及重要数据存储在位于中国境内的服务器上。此类数据的出境传输须经过网信办安全评估,运营者没有其他可选路径。
最可能包含关键信息基础设施运营者的行业包括公共通信、能源、交通、水利、金融、公共服务和电子政务。相关认定通过非公开程序进行,处于这些行业的企业应假定自己可能被认定为关键信息基础设施运营者,除非获得明确告知。
对于非关键信息基础设施运营者,PIPL和《数据安全法》一般不要求数据本地化,但金融和医疗领域的行业规定可能施加额外义务。适用于处理超过100万人个人信息的处理者的强制安全评估门槛,实际效果是使大型平台在任何传输之前都面临重大合规负担,即便严格意义上的本地化要求并不适用。
合规审计要求(自2025年5月1日起施行)
2025年2月14日发布、自2025年5月1日起施行的**《个人信息保护合规审计管理办法》**,使合规审计成为PIPL项下具有约束力的法定义务,而非一项自愿性最佳实践。
审计频率要求:
- 处理超过1000万人个人信息的处理者,须至少每两年进行一次审计
- 处理不足1000万人个人信息的处理者,须“定期”进行审计,具体频率未作规定,由处理者根据风险自行判断
- 处理未成年人个人信息的处理者,须每年进行一次审计,并向网信办备案审计结果
审计可以由处理者内部开展,也可以委托外部专业机构进行。当网信办发现高风险处理活动、认定处理活动可能损害大量个人权益,或者发生严重数据事件后,网信办也可以责令由认可机构开展强制审计。
审计范围须涵盖处理的合法性基础、同意机制、敏感个人信息处理、跨境传输、自动化决策、数据主体权利实现机制以及安全措施。
未成年人个人信息:年度备案要求
2025年12月29日,网信办发布《关于未成年人个人信息保护合规审计备案的公告》。任何处理未成年人个人信息的处理者,均须每年向网信办备案审计结果,首个截止日期为2026年1月31日。
该备案要求适用于所有处理未成年人数据的处理者,不设最低处理量门槛。为在中国境内提供产品或服务而处理未成年人个人信息的外国企业也包含在内。网信办的备案系统接受境外主体提交的备案材料。
个人信息保护负责人要求
依据PIPL第五十二条,处理个人信息达到规定数量的处理者须指定个人信息保护负责人,相当于中国版的DPO。网信办将该门槛设定为处理超过100万人的个人信息。
2025年7月,网信办上线了在线登记平台。登记信息须包括公司详情、个人信息保护负责人的身份、国籍和联系方式,以及所涉数据处理活动的范围。个人信息保护负责人负责监督PIPL合规工作、开展或委托开展审计,并作为监管部门查询的联络人。
处于PIPL域外适用范围内、且处理超过100万名中国境内个人的个人信息的外国主体,还须在中国境内指定代表机构或者设立法律实体,这是一项与个人信息保护负责人义务相关联但相互独立的要求。
处罚与执法

PIPL项下的处罚结构
PIPL的处罚框架呈梯度设置:
一般违法行为将引致责令改正、警告、没收违法所得,以及对机构处以最高人民币100万元的罚款,同时对直接责任人员处以人民币1万元至10万元的罚款。
情节严重的违法行为(包括大规模数据泄露、系统性不合规或拒不改正)将引致对上一财年**营业额5%或人民币5000万元(以较高者为准)**的罚款,同时对个人处以最高人民币100万元的罚款、对责任高管的职业禁入、暂停或关闭不合规服务,在极端情形下还可能追究刑事责任。
修订后CSL(2026年)下的处罚结构
2026年1月的CSL修订引入了分级处罚安排:
- 一般网络运营者违法行为:最高人民币50万元(一般情形)或人民币200万元(情节严重)
- 造成特别严重后果的关键信息基础设施运营者违法行为:机构最高人民币1000万元,责任人员最高人民币100万元
具有标志性意义的执法行动
**滴滴出行案(2022年7月)至今仍是史上金额最大的一笔数据保护罚款。网信办会同其他五个部门,对滴滴出行处以人民币80.26亿元(约合12亿美元)**的罚款,涉及长达七年的违法行为。调查发现,滴滴违法处理超过647亿条个人信息,包括过度收集用户数据、非法处理敏感车辆数据,以及未准确披露数据收集目的。滴滴的董事长和总裁均被分别处以人民币100万元的个人罚款。该处罚适用了PIPL营业额5%的条款。
某欧洲奢侈品牌上海子公司(2025年9月):在2025年5月7日发现一起数据泄露事件后,主管部门对该欧洲知名奢侈品牌的上海子公司作出处罚,原因是该公司未经网信办安全评估、也未采用任何经批准的跨境机制,即将个人信息违法传输至其法国总部,未取得单独同意,且加密和去标识化措施不足。这是首例公开披露、专门针对PIPL项下违法跨境传输机制的执法行动。
移动应用与SDK专项行动(2025年):2025年全年,网信办针对六大类问题开展了协同执法:移动应用和小程序、软件开发工具包(SDK)、智能终端、公共场所人脸识别、线下消费数据场景,以及涉数据犯罪。2025年9月,网信办公布了10个典型执法案例,其中7起涉及安全措施不足,2起涉及非法收集个人信息,1起针对未完成必要网信办备案的深度合成服务。
生成式AI与深度合成规则
中国已经建立了一套专门针对AI生成内容的分层监管框架,与PIPL和CSL并行运作。
**《互联网信息服务深度合成管理规定》**禁止利用深度合成技术制作、传播违法内容,冒充他人身份,或者编造虚假新闻。提供者须对AI生成或AI处理的内容添加标识,并保持识别此类内容的技术能力。
自2023年8月15日起施行的**《生成式人工智能服务管理暂行办法》**要求生成式AI提供者在公开发布前开展安全评估、实施内容过滤,并为训练数据和用户输入中所涉及的个人信息处理确定合法依据。
2025年3月,网信办发布**《人工智能生成合成内容标识办法》**及国家标准GB 45438-2025,自2025年9月1日起施行。这些规定要求同时对用户实施可见标识,并为自动化系统实施技术上可检测的水印标识。
执法行动已直接针对AI与隐私交叉领域的问题。网信办已对未经单独同意即克隆个人声纹并提供AI语音合成服务的平台予以处罚,将其同时认定为违反PIPL敏感个人信息规则和《深度合成规定》。
对于在中国部署AI系统的企业而言:训练数据须符合PIPL的合法性基础要求,包括在涉及个人信息时取得同意;涉及可识别自然人的AI生成内容须取得单独同意;对用户有重大影响的自动化决策,将触发PIPL第二十四条项下的披露义务和拒绝权。
中国PIPL与GDPR的比较
PIPL在很大程度上借鉴了GDPR,但在若干影响合规策略的方面存在差异。请参阅我们在GDPR与PIPL的完整比较。以下是关键的操作层面差异:
| 特征 | PIPL | GDPR |
|---|---|---|
| 合法利益 | 不是有效的合法性基础 | 是有效的合法性基础 |
| 政府数据访问 | 出于国家安全目的的宽泛规定 | 须符合必要性和相称性要求 |
| 数据本地化 | 关键信息基础设施运营者强制适用 | 无一般性要求 |
| 跨境机制 | 三种特定机制加单独同意 | 充分性认定、SCC、BCR、豁免情形 |
| 同意捆绑 | 对非必要处理明确禁止 | 禁止,但规定不如PIPL明确 |
| DPO门槛 | 100万人以上 | 取决于处理的性质和规模 |
| 最高罚款 | 人民币5000万元或营业额5% | 2000万欧元或全球营业额4% |
| 个人责任 | 最高人民币100万元,职业禁入 | 强调程度有限 |
| 合规审计 | 按规定周期强制进行 | 无特定强制要求 |
对跨国公司而言,不承认合法利益是最具实质影响的差异。在GDPR下依赖合法利益作为处理基础的公司(例如用于反欺诈、安全监控或营销分析),在中国须为这些相同的活动确定另一项符合PIPL要求的合法依据。
企业合规清单
对于在中国境内运营或处理来自中国数据的组织而言,合规工作须涵盖以下若干方面。
合法性基础: 为每一项处理活动确定符合PIPL要求的合法依据,并在处理活动记录中予以记载。不存在合法利益这一选项。
同意机制: 为敏感个人信息、跨境传输以及非必要处理建立单独的同意流程。确保撤回同意与作出同意一样便利。
隐私声明: 发布涵盖处理目的、合法依据、保存期限、跨境传输、个人权利以及处理者及个人信息保护负责人联系方式的完整声明。
数据主体权利: 为查阅、更正、删除、可携带以及拒绝自动化决策的请求建立操作机制。
跨境传输: 确定适用于每一条国际数据流动的路径。如果您已处理超过100万名中国用户的数据,任何出境传输都须强制进行网信办安全评估。其他企业应评估标准合同或认证对其传输量而言是否更为实用。
个人信息保护负责人任命: 如果您处理超过100万人的个人信息,须通过网信办在线平台任命并登记个人信息保护负责人。
合规审计: 根据适用于贵组织的门槛安排审计。如果贵组织处理任何数量的未成年人个人信息,须每年审计并于每年1月31日前向网信办备案。
数据泄露通知: 按照2025年11月的报告规定所设定的分级报告时限(关键信息基础设施运营者一小时、一般网络运营者四小时),制定事件应对预案。
PIPIA: 在处理敏感个人信息、实施对个人权益有重大影响的自动化决策,或者进行跨境传输之前,开展个人信息保护影响评估。
AI与深度合成: 如果贵企业部署生成式AI或处理生物识别、语音数据的系统,须确保对敏感个人信息取得单独同意、符合内容标识要求,并采用符合PIPL的训练数据实践。
如需深入了解中国的录音与监控规则如何与隐私法相互作用,请参阅我们关于中国录音法的文章。
Frequently Asked Questions
中国的PIPL是否适用于境外公司?
适用。PIPL具有明确的域外适用效力。它适用于为向中国境内人员提供产品或服务,或者分析、评估其行为,而处理中国境内人员个人信息的境外主体。此类主体须在中国境内指定代表机构或者设立法律实体,负责处理个人信息保护相关事务,并须遵守与境内处理者相同的实质性要求。
中国PIPL下的三种跨境数据传输机制是什么?
这三种机制分别是:(1)网信办安全评估,强制适用于关键信息基础设施运营者、重要数据处理者,以及处理超过100万人个人信息的处理者;(2)采用网信办规定模板的标准合同,适用于传输量较小或风险较低的传输;(3)由网信办认可机构开展的个人信息保护认证,已于2026年1月1日起全面落地。这三种机制均要求在任何传输前取得数据主体的单独同意,并完成个人信息保护影响评估。
中国《网络安全法》自2026年1月1日起有哪些变化?
2025年10月对《网络安全法》的修订自2026年1月1日起施行,大幅提高了罚款额度。对关键信息基础设施运营者而言,造成特别严重后果的违法行为最高罚款提高至人民币1000万元。对一般网络运营者而言,情节严重违法行为的上限提高至人民币200万元。此次修订还将域外执法范围从关键基础设施扩大至任何危害中国网络安全的境外活动,并新增了关于AI和算法安全的条款。
中国对数据处理者的强制合规审计要求是什么?
根据自2025年5月1日起施行的PIPL合规审计管理办法,处理超过1000万人个人信息的主体须至少每两年审计一次。处理不足1000万人的主体须定期审计,具体频率由主体自行根据风险确定。任何处理未成年人个人信息的主体,无论处理量大小,均须每年审计一次并于每年1月31日前向网信办备案审计结果。发生严重事件后,或者当网信办发现高风险处理活动时,网信办也可以责令进行强制审计。
在中国,公司须在多长时间内报告数据泄露事件?
根据自2025年11月1日起施行的网络安全事件报告管理办法,时限取决于运营者的类型。关键信息基础设施运营者须在一小时内向关基保护部门和公安机关报告。国家机关须在两小时内报告。其他网络运营者须在发现属于报告范围的事件后四小时内向省级网信部门报告。未报告或延迟报告本身构成一项独立的PIPL违法行为,须承担额外处罚。
中国是否要求数据本地化?
强制本地化要求适用于关键信息基础设施运营者,此类运营者须将在中国境内收集的个人信息和重要数据存储在位于中国大陆的服务器上。对于非关键信息基础设施运营者,PIPL和《数据安全法》一般不要求数据本地化,但金融、医疗和电信领域的行业规定可能施加额外的存储要求。非关键信息基础设施运营者的数据出境,可以通过已批准的跨境机制进行。
中国开出的最大一笔数据隐私罚款是多少?
网信办于2022年7月对滴滴出行处以人民币80.26亿元(约合12亿美元)的罚款,涉及长达七年的违法行为。调查发现,滴滴违法处理超过647亿条个人信息,包括过度收集用户数据和非法处理车辆数据。滴滴的董事长和总裁均被分别处以人民币100万元的个人罚款。该罚款迄今仍是全球任何监管机构开出的最大一笔数据保护处罚,超过了GDPR项下对亚马逊处以的7.46亿欧元罚款。
什么是合法利益,为何它对中国合规工作而言很重要?
合法利益是GDPR下处理个人数据的一项合法依据,允许控制者在其利益超过数据主体隐私利益时处理数据,而无须取得同意。中国PIPL不承认合法利益作为一项有效的合法依据。在GDPR下依赖合法利益开展反欺诈、网络安全监控或营销分析等活动的公司,在中国须为这些相同的活动确定另一项符合PIPL要求的依据,通常是同意或者合同必要性。
Sources and References
- 《个人信息保护法》全文(斯坦福大学DigiChina译本)(digichina.stanford.edu)
- 中国:修订后的《网络安全法》正式施行(美国国会图书馆)(loc.gov).gov
- 中国正式完成《网络安全法》修订:企业须知(Mayer Brown律所)(mayerbrown.com)
- 《网络数据安全管理条例》(中华人民共和国国务院)(english.www.gov.cn).gov
- 香港个人资料私隐专员公署(PCPD)关于内地PIPL的概览(pcpd.org.hk).gov
- 网信办对滴滴处以人民币80亿元罚款,涉及PIPL、CSL及DSL违法行为(dataguidance.com)
- 《个人信息保护合规审计管理办法》(Mayer Brown律所)(mayerbrown.com)
- 中国跨境数据传输认证办法(China Briefing)(china-briefing.com)
- 中国数据隐私执法:跨境传输相关案例(Arnold and Porter律所)(arnoldporter.com)
- 中国未成年人个人信息审计年度备案要求(Arnold and Porter律所)(arnoldporter.com)
- 中国新版网络安全事件报告管理办法:企业合规要点更新(Bird and Bird律所)(twobirds.com)
- China DPO Reporting Requirement Now in Effect (Covington Inside Privacy)(insideprivacy.com)
- PIPL与GDPR主要差异对比(China Briefing)(china-briefing.com)
- 《网络数据安全管理条例》解读(IAPP)(iapp.org)
- 中国《网络安全法》修订提高处罚力度并扩大域外执法范围(Latham and Watkins律所)(lw.com)