Approov是否符合中国的个人信息保护法(PIPL)?

中国的个人信息保护法(PIPL)是一个新的要求。 Approov 在中华人民共和国 (PRC) 是如何运作的?

中国的《个人信息保护法》(PIPL) 是一部新的隐私法,于 2021 年 11 月 1 日生效。PIPL将个人信息定义为以电子或其他方式记录的信息,可以单独使用或与其他信息结合使用,来识别自然人或反映自然人的活动。PIPL规定,如果 IP 地址和设备 ID 已经真正匿名化,就像 Approov 所做的那样,不能用于识别自然人身份,则在法律上不属于个人信息。然而,值得注意的是,如果有其他信息可以与匿名化的IP地址和设备ID结合使用来识别自然人,则该信息组合仍可能根据PIPL被视为个人信息。在这种情况下,需要根据PIPL的要求保护数据组合。更具体地说,PIPL 将个人信息定义为可用于识别自然人身份的任何信息,包括但不限于:

  • 姓名、出生日期、身份证号码、个人生物识别信息、地址、电话号码、电子邮件地址和其他类似身份信息;
  • 个人身份信息,包括身份证号码、护照号码、驾照号码和其他类似身份信息;
  • 个人财务信息,包括银行帐号和信用卡号码;
  • 个人通讯信息,包括通讯内容和记录;
  • 个人健康信息,包括病史、体检结果等信息;
  • 个人交易信息,包括交易记录、支付记录, 和其他类似信息。

此外,PIPL还包括一类“敏感个人信息”,受到法律的特殊保护。这包括种族、民族、宗教信仰、生物识别数据、医疗和健康信息、财务账户和交易以及个人位置跟踪数据等信息。

根据 PIPL,如果满足一定的条件,个人信息也可以转移出中国并存储在中国境外的服务器上。这些条件包括获得数据主体的明确同意,与接收方签订包含某些数据保护条款的合同,并确保接收方所在国家/地区拥有中国政府认为可与 PIPL 相媲美的数据保护法(例如GDPR 或 CCPA)。

但是,如果 IP 地址和设备 ID 已真正匿名化,如使用 Approov 服务的情况一样,根据 PIPL,数据不符合个人信息的条件,在中国境外传输或存储该信息没有任何限制。 Approov 的匿名数据不属于 PIPL 的范围,因为它不能用于识别自然人。

值得注意的是,PIPL 对数据传输和存储的确切要求仍在制定中, 该法律仍处于实施的早期阶段。因此,定期监测法律的更新和变更以确保符合其要求非常重要。