중화인민공화국 개인정보보호법

Personal Information Protection Law of the People's Republic of China
중국 개인정보보호법
National Emblem of the People's Republic of China (2).svg
전국인민대표대회
  • 중화인민공화국 개인정보보호법
영역 범위중국특별행정구 제외 중화인민공화국
에 의해 제정자제13차 전국인민대표대회
제정된2021년 8월 20일
시작됨2021년 11월 1일
관련입법
중화인민공화국의 사이버보안법 중화인민공화국의 데이터 보안법
요약
이 법은 개인정보의 권익을 보호하고 개인정보 처리 활동을 규제하며 개인정보의 합리적 이용을 촉진하기 위하여 제정되었다.
키워드
민법
상태: 시행 중

The Personal Information Protection Law of the People's Republic of China (Chinese: 中华人民共和国个人信息保护法; pinyin: Zhōnghuá rénmín gònghéguó gèrén xìnxī bǎohù fǎ) referred to as the Personal Information Protection Law or ("PIPL") protecting personal information rights and interests, standardize personal information handling activities, and promote the rat개인정보의 이온적 이용 개인 데이터가 중국 밖으로 이전되는 문제도 다룬다.[1]

PIPL은 2021년 8월 20일에 채택되었으며, 2021년 11월 1일부터 시행된다.[2] 그것은 중국의 사이버보안법("CSL")과 중국의 데이터 보안법("DSL")[3]과 관련되어 있으며, 그 위에 구축되어 있다.PIPL은 유럽연합GDPR과 유사하고, 부분적으로 기초하고 있다.[4]

참고용 공식 영어판은 2021년 12월 29일에 출판되었다.

역사

2021년 8월 20일 제13차 전국인민대표대회 상무위원회는 개인정보보호법("PIPL")을 통과시켰다.2021년 11월 1일부터 시행된 이 법은 중국 국경 내 자연인의 개인정보 취급 활동에 적용된다.

충당금

범위

PIPL은 일반적으로 개인정보를 처리하는 중국에서 활동하는 모든 조직을 대상으로 한다.

롱 암 관할권

또한 일부 조항에는 중국 이외의 조직의 데이터 수집 및 프로세스에 대한 장기적 관할권이 포함되어 있다.이러한 사항은 다음과 같은 경우에 적용된다.

  1. 국경 내 자연인에게 제품 또는 서비스를 제공하는 것을 목적으로 한다.
  2. 국경 내 자연인의 활동 분석 또는 평가
  3. 그 밖에 법령 또는 행정규정에 규정되어 있는 상황

이는 중국 내 중국인 고객이 있는 해외 또는 다국적 기업([5]예: 중국인 구매자에게 상품을 배송하고 있는 아마존, 또는 미국 앱 스토어에 중국인 사용자를 가지고 있는 애플 등)에 적용될 것으로 추정된다.

이러한 모든 기업은 중국 내에서 전담 주체를 설립하거나 대표자를 임명해야 한다.

면제

면제는 거의 없지만 글로벌 기업 모기업 등 해외 이전을 위해서는 직원 동의가 여전히 필요하지만, 늦은 초안 작성 과정에서 추가된 1건은 직원 데이터 처리에 비동의적인 법적 근거를 제공한다.[6][7]

주요 테마

개인의 프라이버시, 통제 및 동의는 법률 전반에 걸쳐 일관된 주제로서, 다음과 같은 주요 원칙을 제시한다.

  • 개인 정보 - 중요한 정보를 포함한 개인 정보 정의
  • 법적 근거 - 모든 데이터 수집은 수집을 위한 법적 근거가 있어야 한다.몇 가지 기반이 있지만 GDPR과 달리 정당한 이익 근거가 없다.
  • 동의 - 주요 법적 근거는 동의로, GDPR과 달리, 특히 개인의 데이터를 해외로 이전하기 위해 각 유형의 데이터 처리 활동에 대해 얻어야 한다.또한 법률에 명시된 다양한 유형의 통보와 필요한 내용을 "정보"해야 한다.
  • 민감한 데이터 - 일부 유형의 개인 정보는 민감하며, 법은 생물 측정학, 종교, 특별 지정 상태, 의료 건강, 재무 계정 및 위치 추적 등 (GDPR의 특정 "특정 범주" 목록과 달리) 공개적인 예시 목록을 제공한다.
  • 어린이 보호 - 14세 미만 미성년자의 모든 개인정보는 민감한 사항이며, 이 정보를 처리하기 위해서는 부모들의 구체적인 동의가 필요하다.이것은 GDPR보다 훨씬 더 엄격하다.
  • 개인 권리 - PIPL은 개인에게 자신에 대해 수집된 데이터를 수정, 삭제, 조회 또는 전송할 수 있는 권한과 같은 자신의 정보에 대한 몇 가지 주요 권한을 부여한다.
  • 책임 - 개인정보를 수집, 이전 및 취급하는 다양한 당사자의 다양한 책임을 기술하는 여러 기사
  • 정부 개인 정보 사용 - PIPL은 정부 기관이 국가 보안, 비상 및 기타 목적을 포함하여 개인에 대한 데이터를 수집하고 처리할 수 있는 시기와 방법을 포함한다.
  • 해외 이전 - 중국 이외의 국가에서의 개인 데이터 전송에 대한 구체적인 제한
  • 시행 - 위반에 대한 중징계

정의들

법률은 다음을 규정한다.

  • 개인 정보 - 전자적 또는 기타 방법으로 기록된 자연인을 식별하거나 식별할 수 있지만 익명화된 정보는 포함하지 않는 모든 유형의 정보.
  • 민감한 개인정보 - 한 번 유출되거나 불법적으로 사용된 개인정보로 인해 자연인이 생물학적(안면인식 포함), 종교적 신념, 특정 신원, 의료 및 건강, 금융 등의 정보를 포함해 존엄성을 침해하거나 개인 또는 재산에 손해를 입기 쉽다.14세 미만 미성년자의 신상정보뿐만 아니라 신분, 위치추적.
  • 개인 - 처리를 위해 데이터를 수집하는 사람(GDPR의 데이터 제목과 유사함)
  • 개인 정보 취급자: - 개인 정보 취급 활동에서 개인 정보 취급 목적과 방법에 대해 독립적으로 결정하는 조직 또는 개인
  • 위탁받은 사람 - 정보 취급자가 개인정보를 취급하도록 위탁하는 외부 기관, 본질적으로 제3자.
  • 대형 프로세서 - 제40조에서 정의한 대량의 데이터를 처리하는 회사로서, 중국 중요 인프라 규정의 중요 정보 인프라 사업자("CIIO")를 포함한다.
  • 개인 정보 처리:개인정보 취급에는 개인정보 수집, 보관, 사용, 처리, 전송, 제공, 공개, 삭제 등이 포함된다.
  • 자동화된 의사 결정:컴퓨터 프로그램을 사용하여 개인의 행동 습관, 취미 또는 경제적, 건강, 신용 상태 등에 대한 개인 정보를 자동으로 분석, 평가 및 결정한다.
  • 디텐트화:추가 정보의 도움 없이는 특정 자연인을 식별할 수 없도록 개인정보를 처리하는 과정.
  • 익명화:개인정보를 취급하여 특정 자연인을 식별하는 데 사용할 수 없고, 취급한 후에는 복구할 수 없도록 하는 과정

법적 근거

모든 개인정보 수집 및 처리에는 다음 법적 근거 중 하나가 있어야 한다.[8]

  1. 개인의 동의 획득.
  2. 개인이 이해당사자인 계약을 체결 또는 이행하기 위하여 필요한 경우 또는 적법하게 수립된 노동규칙 및 구조물에 따라 인력관리를 수행하고 적법하게 체결된 단체계약을 이행하기 위하여 필요한 경우
  3. 법령의 의무 및 책임 또는 법령의무를 이행하기 위하여 필요한 경우
  4. 급작스런 공중보건사고에 대응하거나, 긴급한 상황에서 자연인의 생명·건강 또는 재산의 안전을 보호하기 위하여 필요한 경우
  5. 뉴스 보도, 여론 감독 및 그 밖의 공익활동을 수행하기 위한 합리적인 범위 내에서 개인정보 취급
  6. 본 법률의 규정에 따라 개인이 또는 기타 법률적으로 이미 공개된 개인정보를 합리적인 범위에서 취급하는 경우.
  7. 기타 법령 및 행정규정에 규정된 상황.

GDPR에서와 달리 정당한 이익 근거가 없다.[9]따라서 대부분의 소비자는 직접적인 동의(쿠키, 뉴스레터 등)를 주거나 계약 이행(상품 배송이나 서비스 제공 등)에 의해 커버될 가능성이 높다.

동의하다

동의는 PIPL의 주요 관심사이며 취급자가 개인정보를 처리할 수 있는 중요한 법적 근거다.

데이터 처리에 대한 다른 법적 근거가 없는 경우 취급자는 데이터 수집 및 처리에 대한 동의를 받아야 하며, 이 동의는 언제든지 개인이 취소할 수 있다.취급자는 개인이 비필수적 처리에 대한 동의를 보류하거나 철회할 경우 제품이나 서비스의 제공을 거부할 수 없다.

또한 다음과 같은 여러 상황에서 별도의 동의가 특별히 필요하다.

  • 데이터 관제자에 의한 개인정보를 제3자에게 이관(23조)
  • 개인정보 공표(25조)
  • 개인영상 등 보안목적으로 공공장소에 설치된 장비로 수집된 개인자료의 발간 또는 제공(제26조
  • 민감한 개인정보의 처리(29조)
  • 개인 데이터의 국경을 초월한 이전 (제39조)

이러한 상황에 대한 동의는 "분할" 수 없으므로 개인과 별도로 얻어야 한다.[10]

개인정보 취급목적, 취급방법 또는 취급범주에 변경이 발생한 경우에는 다시 개인의 동의를 얻어야 한다.[8]

개별 권한

개인들은 PIPL에 따라 다음과 같은 몇 가지 특정한 권리를 가진다.[8]

  • Know & Check - 거부 및 데이터 처리 제한
  • 액세스 복사 - 데이터를 보고 복사하십시오.
  • 수정 또는 완료 - 부정확한 데이터 수정 요청
  • 삭제 - 삭제 및/또는 동의 취소 요청.
  • 설명 - 요청 핸들러는 개인의 개인정보 취급에 대해 설명한다.
  • 휴대성 - 다른 처리기로 데이터 이동 요청.

자동화된 의사 결정

PIPL에는 제품 권장 사항의 불능화와 같은 개인의 옵트 아웃 권리를 포함하여 자동화된 의사결정을 위한 구체적인 규칙이 있다.

법은 특히 "의결정의 투명성과 처리결과의 공정성과 정의가 보장되어야 하며, 거래가격 등 거래조건에서 개인에 대한 불합리한 차등대우를 하지 않을 수 있다"[8]고 규정하고 있다.

자동화된 의사결정 방법으로 개인에게 배송 또는 상업적 판매를 추진하는 기업은 개인의 특성을 타겟으로 하지 않을 수 있는 선택권을 동시에 제공하거나 개인에게 편리한 거절 방법을 제공해야 한다.

자동화된 의사결정의 사용이 개인의 권익에 중대한 영향을 미치는 의사결정을 할 때, 그들은 개인정보 취급자에게 그 문제를 설명하도록 요구할 권리가 있으며, 그들은 개인정보 취급자가 자동화된 의사결정 방법을 통해서만 의사결정을 하는 것을 거부할 권리가 있다.

자동화된 의사결정(Automatic Decision Making)은 "컴퓨터 프로그램을 이용하여 개인의 행동, 습관, 관심사 또는 취미, 또는 재정, 건강, 신용 또는 기타 상태를 자동으로 분석 또는 평가하고 의사결정을 내리는 활동에 익숙하다"[8]고 정의된다.

얼굴 인식

PIPL은 특히 공공장소에서 안면인식 사용을 다루는데, 여기에는 각 개인이 별도로 동의하지 않는 한 보안상의 이유로만 사용할 수 있다는 점이 포함된다.

"공공장소에 영상수집 또는 개인신분인식장비를 설치하는 것은 공공보안을 보호하고 관련 국가규정을 준수하기 위하여 필요에 따라 발생하여야 하며, 명확한 표시표지를 설치하여야 한다.수집된 개인 이미지와 개인별 식별 가능한 신분 특성 정보는 공안의 보호를 목적으로만 사용할 수 있으며, 개인의 별도 동의를 얻은 경우를 제외하고는 다른 용도로는 사용할 수 없다.[8]

핸들러 의무

개인 정보 취급자는 다음과 같은 몇 가지 특정한 의무가 있다.[8]

  1. 내부 관리 구조 및 운영 규칙 수립
  2. 개인 정보의 분류된 관리 구현
  3. 암호화, 식별 해제 등 이에 상응하는 기술적 보안 조치의 채택
  4. 개인정보취급에 대한 운영제한을 합리적으로 결정하고, 직원을 대상으로 보안교육 및 훈련을 정기적으로 실시하는 것
  5. 개인정보 보안사고 대응계획 수립·정리
  6. 기타 법령 또는 행정규정에 규정된 조치

모든 취급자는 "개인정보 취급 및 법령 및 행정 규정 준수에 대한 감사에 정기적으로 임해야 한다"고 말했다.

개인정보보호관

또한, 취급자는 일정한 (아직 정의되지 않은) 데이터 취급 규모에서 "개인정보 보호 담당관"을 임명하여, 개인정보 취급 활동 및 채택된 보호 조치 등을 감독할 책임이 있다.

영향 평가

취급자는 다음과 같은 상황에서 개인정보 보호영향평가를 실시하고 그 결과를 보고해야 한다.[8]

  1. 민감한 개인정보 취급
  2. 개인정보를 활용하여 자동화된 의사결정 수행
  3. 개인정보 취급위탁, 다른 개인정보 취급자에게 개인정보 제공 또는 공개
  4. 해외 개인정보 제공
  5. 기타 개인에 중대한 영향을 미치는 개인정보 취급활동

이러한 평가에는 다음이 포함되어야 한다.

  1. 개인정보 취급목적 및 취급방법 등이 적법하고 적법하며 필요한지 여부
  2. 개인의 권익 및 보안 위험에 미치는 영향
  3. 수행한 보호 조치가 법적, 효과적, 위험 정도에 적합한지 여부.

데이터 지역화

PIPL은 중국에서의 데이터 현지화, 개인정보의 저장 및 처리에 관한 구체적인 요건을 갖추고 있다.[9]

데이터 보안

정보 취급자는 개인정보 취급이 법령 및 행정 규정의 규정을 준수하고, 개인정보 유출, 왜곡, 분실뿐만 아니라 무단 접속을 방지하기 위해 다음과 같은 조치를 채택하는 등 여러 가지 책임을 진다.

  1. 내부 관리 구조 및 운영 규칙 수립
  2. 개인 정보의 분류된 관리 구현
  3. 암호화, 식별 해제 등 이에 상응하는 기술적 보안 조치의 채택
  4. 개인정보취급에 대한 운영제한을 합리적으로 결정하고, 직원을 대상으로 보안교육 및 훈련을 정기적으로 실시하는 것
  5. 개인정보 보안사고 대응계획 수립·정리
  6. 기타 법령 또는 행정규정에 규정된 조치

영향 평가

영향 평가는 다음을 포함한 여러 상황에서 필요하다.

  1. 민감한 개인정보 취급
  2. 개인정보를 활용하여 자동화된 의사결정 수행
  3. 개인정보 취급위탁, 다른 개인정보 취급자에게 개인정보 제공 또는 공개
  4. 해외 개인정보 제공
  5. 기타 개인에 중대한 영향을 미치는 개인정보 취급활동

계약적 요소

취급자가 개인 정보를 다른 취급자에게 위탁할 때 동의가 필요하다.일부 로펌들은 이 법안이 GDPR과 유사한 특정 표준 계약 조항("SCC")에 재결재될 것이라고 제안했다.[10]

위반 알림

모든 데이터 누출은 내부적으로 보고해야 하며, "해가 발생했을 수 있다"는 경우에는 해당 개인에게 통보해야 할 수 있다.통지 세부사항에는 다음이 포함되어야 한다.

  1. 발생했거나 발생하였을 수 있는 누설, 왜곡 또는 손실로 인한 정보 범주, 원인 및 가능한 위해
  2. 개인 정보 취급자가 취하는 교정 조치 및 위해를 완화하기 위해 개인이 채택할 수 있는 조치
  3. 개인 정보 취급자의 연락처 방법.

대형 핸들러

"중요한 인터넷 플랫폼 서비스를 제공하고, 이용자 수가 많고, 사업 모델이 복잡한" 것과 같은 대규모 핸들러도 다음과 같은 의무를 진다.

  1. 국가규정에 따라 개인정보 보호 준수체계 및 구조를 수립·완료하고, 외부위원 위주로 구성된 독립기구를 설치하여 개인정보 보호 상황을 감독한다.
  2. 개방성, 공정성 및 정의의 원칙을 준수하고, 플랫폼 규칙을 수립하며, 플랫폼 내 제품 또는 서비스 제공자의 개인정보 취급 및 개인정보 보호 의무에 대한 표준을 명확히 한다.
  3. 개인정보 취급에 있어 법령이나 행정규정을 중대하게 위반하는 플랫폼의 제품이나 서비스 제공자에 대한 서비스 제공을 중지하는 행위
  4. 개인정보 보호 사회책임 보고서를 정기적으로 공개하고 사회의 감독을 수용한다.

해외이체류

개인정보를 중국 밖으로 옮기는 것은 다음 조건 중 하나가 충족되는 경우에만 허용된다.[8]

  1. 이 법 제40조에 따라 국가사이버보안정보과가 주관하는 보안평가 통과
  2. 국가사이버보안정보과 규정에 따라 전문기관이 실시하는 개인정보 보호인증 실시
  3. 주 사이버 공간 및 정보 부서가 수립한 표준 계약에 따라 외국인 수신 측과 계약을 체결하고 양측의 권리와 책임에 합의
  4. 기타 법률 또는 행정 규정 또는 주 사이버보안정보부서에서 제공하는 조건.

이러한 모든 이전은 "외국인 수취인의 이름 또는 개인명, 연락방법, 취급목적, 취급방법 및 개인정보 범주에 대한 각 개인의 별도 동의와 통지가 필요하며, 또한 개인이 외국인 수취인과 함께 이 법에 규정된 권리를 행사할 수 있는 방법이나 절차도 필요하다.그리고 기타 그러한 문제들."[8]

외국 정부와 데이터 공유

정보 취급자는 승인을 받아 외국의 사법기관이나 사법기관과 개인정보를 공유할 수 없다.[8]

이 때문에 로펌들 사이에서는 다국적 기업이 다른 나라의 사법적 질의에 어떻게 대응할 것인지, 또 이들 국가의 중국인들에 대해 보유한 자료에 대한 영장 같은 것에 대한 우려가 높아지고 있다.

정부 부처

PIPL은 정부("국가 기관")가 데이터를 수집하고 처리할 수 있는 방법에 대한 법적 근거를 포함한다.일반적으로 정부는 통보 등 비정부기구와 같은 규정을 따라야 한다."국가 기관의 법적 의무와 책임 이행을 방해할 것"[8]과 같은 몇 가지 예외가 있다.

집행

PIPL은 경고, 불법행위 중지 명령, 벌금, 불법소득 몰수 등 몇 가지 집행 메커니즘을 가지고 있다.중국의 사회신용제도에도 불법행위가 기록될 수 있다.게다가, 개인들은 핸들러를 그들의 권리 침해로 고소할 수도 있다.

반응

초기 반응은 많은 로펌들이 새로운 법, 그것의 핵심 조항, 그리고 준수를 준비하기 위한 초기 행동 방침을 정리한 안내문과 백서를 발간하는 것에 의해 주로 있었다.

법전

PIPL은 처리 규칙, 민감한 데이터, 정부 데이터 사용, 국경 간 이전, 개인의 권리, 처리 의무, 법적 책임 및 기타 보충 조항과 관련하여 8장과 73개의 조항이 있다.[11]

1장 - 일반 조항

  • 제1조 - 목적
  • 제2조 - 개인정보의 법적 보호
  • 제3조 - 일반범위
  • 제4조 - 개인 정보 및 취급 정의
  • 제5조 - 적법성, 예절, 필요성, 성실성의 원칙
  • 제6조 - 명확하고 합리적인 목적
  • 제7조 - 개방성과 투명성
  • 제8조 - 개인정보의 품질
  • 제9조 - 개인정보 취급자는 책임을 진다.
  • 제10조 - 개인정보의 불법 수집·이용·처리·송신 금지
  • 제11조 - 개인정보 보호구조
  • 제12조 - 개인정보 보호를 위한 국제규범

제2장 - 개인정보 취급규칙

제1장: 일반 조항

  • 제13조 - 처리의 법적 근거
  • 제14조 - 동의 및 통지
  • 제15조 - 동의 및 취소
  • 제16조 - 동의가 취소된 경우 서비스 거부 없음
  • 제17조 - 통지
  • 제18조 - 통보 제외
  • 제19조 - 정보 보유 기간
  • 제20조 - 공동취급
  • 제21조 - 위탁처리
  • 제22조 - 이전사항 처리
  • 제23조 - 다른 취급자에게 정보 제공
  • 제24조 - 자동화된 의사결정
  • 제25조 - 정보공개 금지
  • 제26조 - 안면인식 한계
  • 제27조 - 공공정보 취급

섹션 II: 민감한 개인 정보 취급 규칙

  • 제28조 - 민감한 정보 정의
  • 제29조 - 민감한 정보 취급에 대한 별도 동의
  • 제30조 - 중요정보 통지
  • 제31조 - 미성년자 인적사항
  • 제32조 - 민감한 정보에 대한 기타 제한사항의 적용

III절: 개인 정보를 취급하는 국가 기관에 관한 특정 규정

  • 제33조 - 장기의 국가기관에 대한 적용
  • 제34조 - 주 기관 요건
  • 제35조 - 통보업무
  • 제36조 - 중국 내 데이터 스토리지 요구 사항
  • 제37조 - 공무

제3장 - 국경 간 개인정보 제공

  • 제38조 - 이전조건
  • 제39조 - 통보 및 동의
  • 40조 - 대규모 프로세서 요구 사항
  • 제41조 - 외국 사법기관 또는 사법기관의 요청
  • 제42조 - 위반 및 집행
  • 제43조 - 외국 또는 지역 차별 금지

제4장 - 개인의 권리

  • 제44조 - 알권리, 결정권, 제한권, 거부할 권리
  • 제45조 - 정보를 상담, 복사, 양도할 권리
  • 제46조 - 수정권
  • 제47조 - 삭제권
  • 제48조 - 설명을 요구할 권리
  • 제49조 - 사망자의 권리
  • 제50조 - 권한 요청을 처리하는 핸들러 요구 사항

5장 - 개인정보 취급자의 의무

  • 제51조 - 개인정보 보호 프로그램
  • 제52조 - 대표자 지정
  • 제52조 - 국제 취급자 대표자 지정
  • 제54조 - 감사
  • 제55조 - 영향평가 기준
  • 제56조 - 영향평가 요건
  • 제57조 - 데이터 침해 통지
  • 제58조 - 인터넷 플랫폼 요구사항
  • 제59조 - 위탁받은 자 요건

제6장 - 개인정보 보호 의무 및 책임 이행 부서

  • 제60조 - 주 사이버 보안 및 정보 부서의 역할
  • 제61조 - 보호 부서 역할
  • 제62조 - 감독 요건
  • 제63조 - 보호부서 조치
  • 제64조 - 보호 시행
  • 제65조 - 불만 및 호루라기

7장 - 법적 책임

  • 제66조 - 불평할 권리
  • 제67조 - 벌금
  • 제68조 - 과태료 및 형사책임
  • 제69조 - 손해 배상 책임
  • 70조 - 법적 조치
  • 제71조 - 처벌 및 형사책임

8장 - 보충 조항

  • 제72조 - 개인 또는 가족에 대한 면제
  • 제73조 - 정의
  • 제74조 - 시작일

참고 항목

인용구

  1. ^ "中华人民共和国个人信息保护法_中国人大网". www.npc.gov.cn. Retrieved 2021-09-30.
  2. ^ "Official Announcement (Chinese)". www.npc.gov.cn. Retrieved 2021-09-28.
  3. ^ "China Approves PIPL". China PIPL. 2021-09-21. Retrieved 2021-09-30.
  4. ^ "Analyzing China's PIPL and how it compares to the EU's GDPR". Retrieved 2021-09-30.
  5. ^ "China Passes the Personal Information Protection Law, to Take Effect on November 1". Gibson Dunn. 2021-09-10. Retrieved 2021-09-29.
  6. ^ "Employee Personal Information Protection in China – Are You Up to Speed?". Crowell & Moring LLP. 2021-08-25. Retrieved 2021-09-29.
  7. ^ Briefing, China (2021-02-02). "Employers in China Should Prepare for Compliance Expectations Under Draft PIPL". China Briefing News. Retrieved 2021-09-30.
  8. ^ a b c d e f g h i j k l "Translation: Personal Information Protection Law of the People's Republic of China DigiChina". digichina.stanford.edu. Retrieved 2021-09-29.{{cite web}}: CS1 maint : url-status (링크)
  9. ^ a b "China's Personal Information Protection Law (PIPL): Key Questions Answered Morrison & Foerster". www.mofo.com. Retrieved 2021-09-29.
  10. ^ a b "The journey has just begun: China passes its Personal Information Protection Law". www.hoganlovells.com. Retrieved 2021-09-29.{{cite web}}: CS1 maint : url-status (링크)
  11. ^ "China PIPL Law". www.npc.gov.cn. Retrieved 2021-09-29.{{cite web}}: CS1 maint : url-status (링크)

외부 링크