PIPL - 版本历史

https://www.yiliao.com/index.php?action=history&feed=atom&title=PIPL PIPL - 版本历史 2026-04-09T21:48:23Z 本wiki的该页面的版本历史 MediaWiki 1.35.1 https://www.yiliao.com/index.php?title=PIPL&diff=316380&oldid=prev 77921020：建立内容为“<div style="padding: 0 4%; line-height: 1.8; color: #1e293b; font-family: 'Helvetica Neue', Helvetica, 'PingFang SC', Arial, sans-serif; background-color: #ffffff…”的新页面 2026-02-04T07:44:14Z

<p>建立内容为“<div style="padding: 0 4%; line-height: 1.8; color: #1e293b; font-family: 'Helvetica Neue', Helvetica, 'PingFang SC', Arial, sans-serif; background-color: #ffffff…”的新页面</p> <p><b>新页面</b></p><div><div style="padding: 0 4%; line-height: 1.8; color: #1e293b; font-family: 'Helvetica Neue', Helvetica, 'PingFang SC', Arial, sans-serif; background-color: #ffffff; max-width: 1200px; margin: auto;"><br /> <br /> <div style="margin-bottom: 30px; border-bottom: 1.2px solid #e2e8f0; padding-bottom: 25px;"><br /> <p style="font-size: 1.1em; margin: 10px 0; color: #334155; text-align: justify;"><br /> <strong>PIPL</strong>（Personal Information Protection Law，<strong>中华人民共和国个人信息保护法</strong>）是中国第一部专门针对个人信息保护的综合性法律，于 2021 年 11 月 1 日正式生效。它与欧盟的 <strong>[[GDPR]]</strong> 高度相似，赋予了个人对自己数据的广泛权利，并对企业施加了严格的合规义务。对于医疗健康领域，PIPL 最具震慑力的条款在于将“医疗健康”数据定义为<strong>敏感个人信息</strong>，要求处理时必须取得个人的<strong>[[单独同意]]</strong>，并且对跨国药企将中国患者数据传输至海外（数据出境）实施了极其严格的<strong>[[安全评估]]</strong>机制。它与《数据安全法》和《人类遗传资源管理条例》共同构成了中国生物医药数据合规的“三驾马车”。<br /> </p><br /> </div><br /> <br /> <div class="medical-infobox mw-collapsible mw-collapsed" style="width: 100%; max-width: 320px; margin: 0 auto 35px auto; border: 1.2px solid #bae6fd; border-radius: 12px; background-color: #ffffff; box-shadow: 0 8px 20px rgba(0,0,0,0.05); overflow: hidden;"><br /> <br /> <div style="padding: 15px; color: #1e40af; background: linear-gradient(135deg, #e0f2fe 0%, #bae6fd 100%); text-align: center; cursor: pointer;"><br /> <div style="font-size: 1.2em; font-weight: bold; letter-spacing: 1.2px;">PIPL</div><br /> <div style="font-size: 0.7em; opacity: 0.85; margin-top: 4px; white-space: nowrap;">Personal Information Protection Law (点击展开)</div><br /> </div><br /> <br /> <div class="mw-collapsible-content"><br /> <div style="padding: 25px; text-align: center; background-color: #f8fafc;"><br /> <div style="width: 100px; height: 100px; background-color: #e2e8f0; border-radius: 50%; margin: 0 auto; display: flex; align-items: center; justify-content: center; color: #94a3b8; font-size: 0.8em; overflow: hidden;"><br /> <br /> </div><br /> <div style="font-size: 0.8em; color: #64748b; margin-top: 12px; font-weight: 600;">中国隐私保护的基石</div><br /> </div><br /> <br /> <table style="width: 100%; border-spacing: 0; border-collapse: collapse; font-size: 0.85em;"><br /> <tr><br /> <th colspan="2" style="padding: 8px 12px; background-color: #e0f2fe; color: #1e40af; text-align: left; font-size: 0.9em; border-top: 1px solid #bae6fd;">法律档案</th><br /> </tr><br /> <tr><br /> <th style="text-align: left; padding: 6px 12px; background-color: #f8fafc; color: #475569; border-bottom: 1px solid #e2e8f0; width: 40%;">生效日期</th><br /> <td style="padding: 6px 12px; border-bottom: 1px solid #e2e8f0; color: #0f172a;">2021年11月1日</td><br /> </tr><br /> <tr><br /> <th style="text-align: left; padding: 6px 12px; background-color: #f8fafc; color: #475569; border-bottom: 1px solid #e2e8f0;">监管机构</th><br /> <td style="padding: 6px 12px; border-bottom: 1px solid #e2e8f0; color: #1e40af;">CAC (国家网信办)</td><br /> </tr><br /> <tr><br /> <th style="text-align: left; padding: 6px 12px; background-color: #f8fafc; color: #475569; border-bottom: 1px solid #e2e8f0;">核心对象</th><br /> <td style="padding: 6px 12px; border-bottom: 1px solid #e2e8f0; color: #16a34a;">个人信息 (PI)</td><br /> </tr><br /> <tr><br /> <th style="text-align: left; padding: 6px 12px; background-color: #f8fafc; color: #475569; border-bottom: 1px solid #e2e8f0;">特殊类别</th><br /> <td style="padding: 6px 12px; border-bottom: 1px solid #e2e8f0; color: #e11d48;">敏感个人信息 (医疗)</td><br /> </tr><br /> <br /> <tr><br /> <th colspan="2" style="padding: 8px 12px; background-color: #e0f2fe; color: #1e40af; text-align: left; font-size: 0.9em; border-top: 1px solid #bae6fd;">关键要求</th><br /> </tr><br /> <tr><br /> <th style="text-align: left; padding: 6px 12px; background-color: #f8fafc; color: #475569; border-bottom: 1px solid #e2e8f0;">同意机制</th><br /> <td style="padding: 6px 12px; border-bottom: 1px solid #e2e8f0; color: #1e40af;">告知-同意 (单独同意)</td><br /> </tr><br /> <tr><br /> <th style="text-align: left; padding: 6px 12px; background-color: #f8fafc; color: #475569; border-bottom: 1px solid #e2e8f0;">本地化</th><br /> <td style="padding: 6px 12px; border-bottom: 1px solid #e2e8f0; color: #0f172a;">CIIO / 100万人+ 必须本地存储</td><br /> </tr><br /> <tr><br /> <th style="text-align: left; padding: 6px 12px; background-color: #f8fafc; color: #475569;">罚款上限</th><br /> <td style="padding: 6px 12px; color: #e11d48;">年营业额 5%</td><br /> </tr><br /> </table><br /> </div><br /> </div><br /> <br /> <h2 style="background: #f1f5f9; color: #0f172a; padding: 10px 18px; border-radius: 0 6px 6px 0; font-size: 1.25em; margin-top: 40px; border-left: 6px solid #0f172a; font-weight: bold;">医疗红线：敏感个人信息与“单独同意”</h2><br /> <br /> <p style="margin: 15px 0; text-align: justify;"><br /> PIPL 对医疗行业的最大冲击在于其对“敏感个人信息”的定义和处理要求，这比 HIPAA 和 GDPR 都要更加具体和严格。<br /> </p><br /> <br /> <div style="background-color: #f0f9ff; border-left: 5px solid #1e40af; padding: 15px 20px; margin: 20px 0; border-radius: 4px;"><br /> <ul style="margin: 0; padding-left: 20px; color: #334155;"><br /> <li style="margin-bottom: 12px;"><strong>敏感个人信息 (Sensitive PI)：</strong> 明确包括<strong>“医疗健康”</strong>、<strong>“生物识别”</strong>、<strong>“特定身份”</strong>以及<strong>“不满十四周岁未成年人的个人信息”</strong>。<br /> <br><span style="color: #475569; font-size: 0.9em;">法律逻辑：一旦泄露，容易导致人格尊严受到侵害或者人身、财产安全受到危害。</span><br /> </li><br /> <li style="margin-bottom: 12px;"><strong>单独同意 (Separate Consent)：</strong> 这是 PIPL 独有的高门槛。在处理敏感 PI、数据出境或提供给第三方时，企业不能只让用户勾选一个包含所有条款的隐私政策（Bundle Consent）。<br /> <br><span style="color: #e11d48; font-weight: bold;">临床影响：</span> 在知情同意书 (ICF) 中，必须为“数据出境”、“处理敏感健康数据”等事项设置<strong>独立的勾选框或签字处</strong>。</li><br /> <li style="margin-bottom: 0;"><strong>必要性原则：</strong> 必须具有“特定的目的”和“充分的必要性”，并采取严格保护措施。</li><br /> </ul><br /> </div><br /> <br /> <h2 style="background: #f1f5f9; color: #0f172a; padding: 10px 18px; border-radius: 0 6px 6px 0; font-size: 1.25em; margin-top: 40px; border-left: 6px solid #0f172a; font-weight: bold;">数据出境的三条路径 (Cross-border Data Transfer)</h2><br /> <br /> <p style="margin: 15px 0; text-align: justify;"><br /> 对于跨国药企 (MNC) 的多中心临床试验 (MRCT)，如何将中国患者的 EDC 数据传输到海外总部是 PIPL 合规的核心痛点。PIPL 设定了三条硬性路径：<br /> </p><br /> <br /> <br /> <br /> <div style="overflow-x: auto; margin: 20px auto;"><br /> <table style="width: 100%; border-collapse: collapse; border: 1.2px solid #cbd5e1; font-size: 0.9em; text-align: left;"><br /> <tr style="background-color: #f1f5f9; border-bottom: 2px solid #0f172a;"><br /> <th style="padding: 12px; border: 1px solid #cbd5e1; color: #0f172a; width: 25%;">合规路径</th><br /> <th style="padding: 12px; border: 1px solid #cbd5e1; color: #1e40af; width: 45%;">适用条件</th><br /> <th style="padding: 12px; border: 1px solid #cbd5e1; color: #475569; width: 30%;">难度系数</th><br /> </tr><br /> <tr><br /> <td style="padding: 10px; border: 1px solid #cbd5e1; font-weight: 600;">1. 安全评估<br>(CAC Security Assessment)</td><br /> <td style="padding: 10px; border: 1px solid #cbd5e1;"><br /> • 关键信息基础设施运营者 (CIIO)。<br><br /> • 处理 <strong>100万</strong> 人以上个人信息的处理者。<br><br /> • 累计向境外提供 <strong>10万</strong> 人个人信息或 <strong>1万</strong> 人敏感个人信息。<br /> </td><br /> <td style="padding: 10px; border: 1px solid #cbd5e1;"><br /> <span style="color: #e11d48; font-weight: bold;">极高</span><br><br /> (需国家网信办审批)<br /> </td><br /> </tr><br /> <tr><br /> <td style="padding: 10px; border: 1px solid #cbd5e1; font-weight: 600;">2. 个人信息保护认证<br>(Certification)</td><br /> <td style="padding: 10px; border: 1px solid #cbd5e1;"><br /> 主要适用于跨国公司内部（集团内）的数据传输，或不满足安全评估门槛的企业。<br /> </td><br /> <td style="padding: 10px; border: 1px solid #cbd5e1;"><br /> <span style="color: #d97706; font-weight: bold;">中等</span><br><br /> (第三方认证机构)<br /> </td><br /> </tr><br /> <tr><br /> <td style="padding: 10px; border: 1px solid #cbd5e1; font-weight: 600;">3. 标准合同<br>(Standard Contract / SCC)</td><br /> <td style="padding: 10px; border: 1px solid #cbd5e1;"><br /> 未达到安全评估门槛的小规模数据出境。企业需与境外接收方签署中国版 SCC 并向网信部门<strong>备案</strong>。<br /> </td><br /> <td style="padding: 10px; border: 1px solid #cbd5e1;"><br /> <span style="color: #16a34a; font-weight: bold;">常规</span><br><br /> (大多数小型临床试验)<br /> </td><br /> </tr><br /> </table><br /> </div><br /> <br /> <h2 style="background: #f1f5f9; color: #0f172a; padding: 10px 18px; border-radius: 0 6px 6px 0; font-size: 1.25em; margin-top: 40px; border-left: 6px solid #0f172a; font-weight: bold;">PIPL vs. GDPR vs. HIPAA</h2><br /> <br /> <p style="margin: 15px 0; text-align: justify;"><br /> PIPL 很大程度上借鉴了 GDPR 的框架，但融入了强烈的国家安全色彩。<br /> </p><br /> <br /> <ul style="padding-left: 25px; color: #334155; margin-top: 15px;"><br /> <li style="margin-bottom: 12px;"><strong>管辖权：</strong> PIPL 和 GDPR 都有<strong>长臂管辖</strong>（境外处理境内自然人数据也受管辖），而 HIPAA 仅管辖美国的涵盖实体。</li><br /> <li style="margin-bottom: 12px;"><strong>去标识化 (De-identification) 标准：</strong> <br /> <br>• HIPAA: 18类标识符移除（避风港）。<br /> <br>• PIPL: <strong>去标识化</strong>仅指处理后“不借助额外信息无法识别”；要想完全免责需达到<strong>“匿名化”</strong>（无法复原）。PIPL 的匿名化标准极高，临床数据很难在保留效用的同时达到绝对匿名化。</li><br /> <li style="margin-bottom: 12px;"><strong>关联法规：</strong> 在中国处理临床样本，除了 PIPL，还必须严格遵守<strong>《人类遗传资源管理条例》(HGR)</strong>。HGR 对“中国人类遗传资源”出境有专门的审批/备案要求，这往往比 PIPL 更先触发。</li><br /> </ul><br /> <br /> <div style="font-size: 0.92em; line-height: 1.6; color: #1e293b; margin-top: 50px; border-top: 2px solid #0f172a; padding: 15px 25px; background-color: #f8fafc; border-radius: 0 0 10px 10px;"><br /> <span style="color: #0f172a; font-weight: bold; font-size: 1.05em; display: inline-block; margin-bottom: 15px;">法律与解读文献 [Legal References]</span><br /> <br /> <p style="margin: 12px 0; border-bottom: 1px solid #e2e8f0; padding-bottom: 10px;"><br /> [1] <strong>National People's Congress of China. (2021).</strong> <em>Personal Information Protection Law of the People's Republic of China.</em> <br><br /> <span style="color: #475569;">[点评]：法律原文。重点阅读第二十八条（敏感个人信息）和第三十八条（数据出境条件）。</span><br /> </p><br /> <br /> <p style="margin: 12px 0; border-bottom: 1px solid #e2e8f0; padding-bottom: 10px;"><br /> [2] <strong>Pernot-Leplay E. (2022).</strong> <em>China's Approach on Data Privacy Law: A Third Way Between the US and the EU?</em> <strong>[[Penn State Journal of Law & International Affairs]]</strong>. <br><br /> <span style="color: #475569;">[点评]：分析了 PIPL 如何在 GDPR 的“人权模式”和美国的“商业模式”之外，走出了一条强调“国家安全与数据主权”的第三条道路。</span><br /> </p><br /> <br /> <p style="margin: 12px 0;"><br /> [3] <strong>Cyberspace Administration of China. (2022).</strong> <em>Measures for the Security Assessment of Outbound Data Transfers.</em> <br><br /> <span style="color: #475569;">[点评]：《数据出境安全评估办法》。具体的操作细则，规定了药企何时必须申报安全评估。</span><br /> </p><br /> </div><br /> <br /> <div style="margin: 40px 0; border: 1px solid #e2e8f0; border-radius: 8px; overflow: hidden; font-family: 'Helvetica Neue', Arial, sans-serif; font-size: 0.9em;"><br /> <div style="background-color: #eff6ff; color: #1e40af; padding: 8px 15px; font-weight: bold; text-align: center; border-bottom: 1px solid #dbeafe;"><br /> 中国数据合规矩阵 · 知识图谱<br /> </div><br /> <table style="width: 100%; border-collapse: collapse; background-color: #ffffff;"><br /> <tr style="border-bottom: 1px solid #f1f5f9;"><br /> <td style="width: 85px; background-color: #f8fafc; color: #334155; font-weight: 600; padding: 10px 12px; text-align: right; vertical-align: middle;">核心三法</td><br /> <td style="padding: 10px 15px; color: #334155;">[[PIPL]] (个保法) • DSL (数据安全法) • CSL (网安法)</td><br /> </tr><br /> <tr style="border-bottom: 1px solid #f1f5f9;"><br /> <td style="width: 85px; background-color: #f8fafc; color: #334155; font-weight: 600; padding: 10px 12px; text-align: right; vertical-align: middle;">生物医药特规</td><br /> <td style="padding: 10px 15px; color: #334155;">[[人类遗传资源管理条例]] (HGR) • 生物安全法</td><br /> </tr><br /> <tr><br /> <td style="width: 85px; background-color: #f8fafc; color: #334155; font-weight: 600; padding: 10px 12px; text-align: right; vertical-align: middle;">实操痛点</td><br /> <td style="padding: 10px 15px; color: #334155;">数据出境 (Data Export) • 单独同意 (Separate Consent)</td><br /> </tr><br /> </table><br /> </div><br /> <br /> </div></div>

77921020