กฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งสาธารณรัฐประชาชนจีน (Personal Information Protection Law) หรือ PIPL เป็นกฎหมายความเป็นส่วนตัวของข้อมูลที่รัฐบาลจีนออกในเดือนสิงหาคม 2021 โดยมีวัตถุประสงค์เพื่อเสริมสร้างการปกป้องข้อมูลส่วนบุคคลและความเป็นส่วนตัวของประชาชนจีน
กฎหมายนี้ใช้กับองค์กรและธุรกิจที่รวบรวม ใช้ ประมวลผล และจัดเก็บข้อมูลส่วนบุคคลของพลเมืองจีนไม่ว่าจะตั้งอยู่ที่ใด กำหนดข้อกำหนดในการขอความยินยอม การปกป้องข้อมูลส่วนบุคคล และการให้สิทธิแก่บุคคลในการเข้าถึง แก้ไข และลบข้อมูลส่วนบุคคลของตน กฎหมายยังมีบทลงโทษสำหรับการฝ่าฝืน ทั้งปรับ พักใช้ หรือเพิกถอนใบอนุญาตประกอบกิจการ PIPL คาดว่าจะมีผลกระทบอย่างมีนัยสำคัญต่อวิธีการดำเนินงานของธุรกิจในประเทศจีนและวิธีการประมวลผลข้อมูลส่วนบุคคล
ทั้ง PDPA และ PIPL ต่างก็เป็นกฎหมายที่มุ่งเน้นคุ้มครองสิทธิความเป็นส่วนตัวของบุคคลในประเทศของตน แม้ว่ากฎหมายทั้งสองจะมีความคล้ายคลึงกันอยู่บ้าง แต่ก็มีข้อแตกต่างที่สำคัญบางประการเช่นกัน ข้อแตกต่างบางประการระหว่าง PDPA ของไทยกับ PIPL ของจีน มีดังนี้
- ขอบเขตการบังคับใช้(Scope) :
- PDPA แบ่งแยกกันระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล ในขณะที่ PIPL รวมทุกอย่างเป็นผู้ประมวลผลข้อมูล
- คำจำกัดความ(Definition) :
กฎหมายทั้งสองฉบับใช้คําจํากัดความที่เกี่ยวข้องกับข้อมูลส่วนบุคคลแตกต่างกันบางคํา ตัวอย่างเช่น PDPA นิยามข้อมูลส่วนบุคคลว่า “ข้อมูลใด ๆ ที่สามารถระบุตัวบุคคลนั้นเกี่ยวกับบุคคลนั้น” ในขณะที่ PIPL นิยามข้อมูลส่วนบุคคลว่า “ข้อมูลทั้งหมดที่บันทึกทางอิเล็กทรอนิกส์หรือวิธีการอื่น ๆ ซึ่งสามารถใช้เพื่อระบุตัวบุคคลธรรมดาได้อย่างอิสระหรือรวมกับข้อมูลอื่น ๆ เพื่อระบุตัวตนของบุคคลธรรมดา”
- การจัดเก็บและประมวลผลข้อมูลในประเทศ(Data Localization) :
PIPL กำหนดข้อกำหนดการจัดเก็บและประมวลผลข้อมูลในประเทศที่เข้มงวดกว่า PDPA โดยกำหนดให้ข้อมูลสำคัญที่เกี่ยวข้องกับความมั่นคงของชาติหรือผลประโยชน์สาธารณะต้องจัดเก็บไว้ในประเทศจีนและผ่านการประเมินความปลอดภัย ในขณะที่ PDPA ไม่มีข้อกำหนดเฉพาะในการจัดเก็บและประมวลผลข้อมูลในประเทศ
- การถ่ายโอนข้อมูลข้ามพรมแดน(Cross-border Data Transfer) :
PDPA กำหนดให้ผู้ควบคุมข้อมูลต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนทำการถ่ายโอนข้อมูลส่วนบุคคลออกนอกประเทศไทย แต่ PIPL มีกฎระเบียบที่เข้มงวดมากขึ้นเกี่ยวกับการถ่ายโอนข้อมูลข้ามพรมแดนและกำหนดให้ผู้ควบคุมข้อมูลทำการประเมินความปลอดภัยและได้รับการอนุมัติจากรัฐบาลก่อนที่จะถ่ายโอนข้อมูลส่วนบุคคลออกนอกประเทศจีน
- บทลงโทษ(Fines) :
PDPA มีโทษปรับสูงสุด 5 ล้านบาท (ประมาณ 150,000 ดอลลาร์สหรัฐ) และ/หรือจำคุกสูงสุดหนึ่งปีสำหรับการละเมิด ในขณะที่บทลงโทษของ PIPL นั้นสูงกว่าแบบมีนัย โดยค่าปรับสูงสุดคือ 50 ล้านหยวน (ประมาณ 7.8 ล้านดอลลาร์สหรัฐ) หรือ 5% ของรายได้ต่อปีขององค์กร หรือการพักใช้หรือเพิกถอนใบอนุญาตประกอบธุรกิจ แล้วแต่จํานวนใดจะสูงกว่า
โดยรวมแล้ว ทั้ง PDPA และ PIPL มีเป้าหมายที่จะปกป้องสิทธิความเป็นส่วนตัวของบุคคลโดยควบคุมการเก็บ รวบรวม ใช้ และการเปิดเผยข้อมูลส่วนบุคคล อย่างไรก็ตาม กฎหมายเหล่านี้เป็นกฎหมายที่แตกต่างกันสองฉบับที่ตราขึ้นโดยสองประเทศที่แตกต่างกัน โดยมีขอบเขตและข้อกำหนดที่แตกต่างกันบางประการ
