《中华人民共和国个人信息保护法》(PIPL)

Epicor 致力于保障自身和客户的信息安全与隐私，并将严格遵守 2021 年 11 月 1 日生效的《中华人民共和国个人信息保护法》(PIPL)。Epicor 会遵守 PIPL 规定的同时，并协助客户符合 PIPL 要求，遵守法律属于共同责任。

Epicor 承诺协助客户符合 PIPL 要求，并不断制定新的增强措施，以支持自身及客户守法合规。

什么是 PIPL？

了解 PIPL 的基础知识

PIPL 是中国首部综合信息保护法，旨在规范个人信息处理活动，并促进个人信息的合理使用。 该保护法规定了信息控制者（如客户）和信息处理者（如 Epicor）出于向中华人民共和国 (PRC) 境内自然人提供产品或服务的目的而处理中华人民共和国境内自然人的个人信息时，应遵守的职责。 PIPL 具有域外效力，适用于在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动。

PIPL 有哪些规定？

PIPL 为个人提供对其个人信息的某些权利和控制措施。PIPL 还要求组织对个人信息的使用保持透明，并针对保护个人信息的方式制定安全措施和其他控制措施。

PIPL 影响的对象有哪些？

PIPL 规定的要求适用于处理中华人民共和国境内居民个人信息的任何组织。这些要求也可能适用于组织委托其处理个人信息的第三方和其他供应商。

PIPL 是否会影响中华人民共和国境外的组织？

会！ PIPL 的影响会延伸至中华人民共和国境外。它可能会影响任何收集、接收、处理或存储中华人民共和国居民个人信息的组织，而无论该组织位于何处。PIPL 对任何收集、处理或接收中华人民共和国居民个人信息的组织均具有影响，即使该组织位于中华人民共和国境外。

PIPL 的主要原则是什么？

PIPL 的目的是加强现有的个人权利，引入新的权利，并让中华人民共和国境内居民更好地控制其个人信息。PIPL 的基本原则是：

• 要求对个人信息的处理和使用保持透明
• 将个人信息处理限制在指定的合法用途
• 仅限出于预期目的收集和存储个人信息
• 允许个人在某些情况下请求访问、更正、删除（被遗忘权）其个人信息，将其个人信息传输给第三方，限制或反对处理其个人信息
• 确保使用适当的安全措施保护个人信息
• 个人信息的存储时间完全取决于其预期目的

PIPL 原则对我的公司意味着什么？

除其他事项外，中国人民共和国境内的个人可能有权知道其个人信息是否以及如何被处理、使用、共享和存储。个人还可以拥有各种其他个人权利，例如提供对其个人信息的访问权限。在回应此类请求时，必须以明确且易于理解的方式向个人提供信息。

个人可能也有权更正或删除个人信息。如果个人不再希望组织处理其信息，且组织没有保留该信息的其他合法依据，则必须删除该信息。

PIPL 还规定中国人民共和国境内的个人在个人信息泄露时拥有知情权。PIPL 要求组织除了将高风险数据泄露事件通知相关监管机构外，还要通知个人。

关于 PIPL 有哪些方面需要考虑？

在寻求满足 PIPL 要求时，您的系统和软件是重要的考虑因素，它们应成为采用强大的全组织范围内 PIPL 合规方案时的一个环节。满足 PIPL 要求所需的大部分条件与流程相关，因此组织应考虑以下因素：

• 识别您所拥有的与中华人民共和国居民及其居住地有关的个人信息
• 对个人信息的访问和使用方式实施可靠的管理方式
• 建立适当的安全控制措施，以防止、检测和应对数据泄露和漏洞
• 回应个人主张其个人权利的请求（例如，向个人提供其个人信息副本的请求）
• 维护合规文档，包括处理活动的记录和对个人请求的响应
• 根据法律要求及时报告任何数据泄露事件

Epicor 将如何帮助我的组织遵守 PIPL 的要求？

Epicor 致力于保障自身和全球客户的信息安全和隐私。与其他现有的法律和监管要求类似，Epicor 非常重视其在 PIPL 体系中扮演的个人信息处理者的角色。

PIPL 合规是 Epicor 与客户共有的责任。Epicor 产品和服务在处理个人信息时可以帮助您的组织符合 PIPL 要求。例如，我们的产品和服务提供了帮助满足个人权利请求的功能。产品和服务（包括 Epicor 的托管解决方案）具有安全措施和访问控制。组织可以在 Epicor 的产品和服务中加入功能和程序，以帮助履行 PIPL 合规义务。

Epicor 还致力于协助客户遵守适用于其业务的各种要求，包括 PIPL。因此，Epicor 会持续关注不断变化的法律和最佳实践，以帮助增强我们的产品、合同和文档，从而支持客户遵守法律义务，包括 PIPL。