概述:
2021 年 8 月 20 日,中国全国人民代表大会常务委员会通过《个人信息保护法》,自 2021 年 11 月 1 日起施行。
这项法律与中国现有的《网络安全法》和《数据安全法》相结合,在中国构建网络安全和数据隐私保护更广泛的监管架构。因此,这项新法律将在国内和跨国公司处理或使用中国境内人员的个人信息时对其数据合规实践产生重大影响。
《个人信息保护法》是中国首项关于个人信息保护的综合性立法,明确规定了个人信息的范围,阐明了处理个人信息的法律依据,规定了处理者的义务和责任,对数据本地化提出了严格要求,在个人信息跨境传输的过程中保护中方利益。
为了更好地理解《个人信息保护法》,Shan (Jessica) Chen 律师解答了关于这项新法规含义的重要问题。Jessica 律师主要处理跨境商业诉讼和交易,是本所中国业务组的成员。
问:中国从 2021 年 11 月 1 日起实施一项新的 IT 合规规定,能否简要介绍一下?主要的限制和影响是什么?对违规行为会做出何种处罚?
答:当然。这项法律的全名为《中华人民共和国个人信息保护法》,是中国通过的第一项国家数据隐私法,以中国的《网络安全法》和《数据安全法》为基础,部分基于欧盟的《通用数据保护条例》。它主要用于保护个人信息、权利和利益;规范个人信息处理活动,促进对个人信息的适当使用。
值得注意的是,《华尔街日报》评价它是“世界上最严格的数据隐私法之一”。务必要注意,这项新的数据隐私法尤其侧重于保护个人信息和纠正个人数据泄露问题。《个人信息保护法》的实施范围拓展到对中国境内自然人所有个人信息的处理。第 3 条甚至还将某些情况下的实施范围扩大到中国境外。这说明这项法律将影响世界上几乎所有主要企业。
《个人信息保护法》对公司收集、使用、存储和处理个人信息进行了强制性限制,以此解决个人隐私问题。第 4 条将“个人信息”定义为与“已识别的”或“可识别的自然人”相关的任何信息,不包括“匿名化处理后的”数据。这项法律通过在行文中加入“可识别的”一词,极大限度扩展了法律涵盖的数据范围。
如发现企业违反《个人信息保护法》,企业将面临处罚和其他纠正措施。例如:企业的非法收入可能被没收,也可能面临最高 5000 万元人民币(按当前汇率约合 782.5 万美元)或其年收入 5% 的罚款。
其他可能的处罚还包括:暂停某些业务活动或停止企业运营,向有关当局报告,申请对其进行吊销专业执照和许可证的处理。此外,违规行为可能会对企业的信用评分产生负面影响。
《个人信息保护法》第 66 条规定,可对违法行为直接责任人处以10 万至 100 万元人民币的罚款,并禁止其在某个时间段担任特定职务(如董事、监事、高级管理人员或个人信息保护官)。
问:中国计划如何根据《个人信息保护法》对境外公司实施违规处罚?
答:目前我们也没有一个明确的答案。对于境外行为,中国当局将如何解释和实施《个人信息保护法》对其相关的规定还有待观察。总体而言,我们预计执法力度会非常严厉。
此外,由于《个人信息保护法》只给企业两个月的准备时间,一开始并不确定法律会侧重哪些人群和优先关注哪些方面。话虽如此,企业毫无疑问应该首先尽力实现《个人信息保护法》合规,并在后续更多细节和整体法律日益清晰之后,对其策略进行相应调整。
企业需注意,《个人信息保护法》规定:如果个人信息的处理者拒绝个人行使隐私权请求,个人可以依据第 50 条的规定向法院提起诉讼。因此,这项法律为个人提供了一种应对方式:“如果个人信息处理侵犯其权益并造成损害”,个人可以就其受到的损害或违规者获得的非法利益,向数据处理者索取赔偿。第 69 条也很重要。它规定了个人信息处理者的举证责任;个人信息处理者如果无法证明自己无过错,将被依法追究责任。第 67 条规定,对违法行为予以公示,记入信用档案。
最后一点,如果违法行为造成多人损害,人民检察院(政府检察官)或者指定的消费者组织以及国家网络安全部门指定的组织,可以依照本法第 70 条提起诉讼。
问:这项法律是否会影响 B2B 企业以及 B2C 企业的数据隐私?
答:无论是B2B 企业还是 B2C 企业,只要他们处理自然人的个人信息,这项法律就适用,没有例外。但对跨境行为的法律实施可能更复杂。假设一家美国公司与一家中国服装制造商签订了采购合同。如果美国企业未如第 3 条所述“在中华人民共和国境内处理自然人个人信息的活动”,《个人信息保护法》可能不适用。但如果该美国公司将其产品出售给中国企业,这个中国企业联系人的个人信息可能被视为受《个人信息保护法》保护。有人可能会认为:该美国公司是向企业而非自然人提供产品,因此《个人信息保护法》的治外法权不适用,具体取决于对“法律或行政法规规定的其他情形”的解释。
问:在限制性规定方面,这项法律与欧盟的《通用数据保护条例》(GDPR) 有何异同?
答:《个人信息保护法》共有 8 章 74 条。GDPR 共有 11 章 99条。两者之间显著的相似点和不同点如下。
相似点:
- 《个人信息保护法》和 GDPR 都具有治外法权,这意味着它们适用于在任何地方处理的个人数据。
- 《个人信息保护法》和 GDPR 都将个人数据定义为与已识别的和可识别的自然人相关的信息。
- 《个人信息保护法》和 GDPR 都将个人同意作为使用个人数据的主要法律依据。为保护个人信息,还提供了除同意之外的多种法律依据。
- 《个人信息保护法》和 GDPR 都有数据泄露通知要求。
- 《个人信息保护法》和 GDPR 都要求在某些情况下进行数据保护影响评估。
- 《个人信息保护法》和 GDPR 都向个人提供各种权利,例如访问信息、更正或修改信息以及反对/限制处理的权利。
不同点:
- 某些术语的使用不同。例如,《个人信息保护法》使用“个人”对应 GDPR 中使用的“数据主体”。《个人信息保护法》使用“个人信息处理者”而非“个人数据控制方”。《个人信息保护法》使用“受托人”而非“个人数据处理者”。
- 《个人信息保护法》对数据本地化要求十分严格,但 GDPR 并没有这方面的要求。
- 《个人信息保护法》第 13 条列举了收集个人信息的严格依据,但 GDPR 允许在“合法利益”情况下收集个人信息。《个人信息保护法》规定可合法收集信息的情形有:已取得同意;人力资源管理要求;公共卫生和安全事务、新闻报道和民意调查要求;法律另有的要求。
- GDPR 有一个针对个人信息的封闭式“特殊类别”列表,而《个人信息保护法》则有一个开放式的“敏感信息”列表。
- 《个人信息保护法》要求对 14 岁以下儿童给予特殊对待,与GDPR 的年龄门槛不同。
- 《个人信息保护法》授权近亲行使死者的权利。
- 《个人信息保护法》要求外国数据处理者在中国有一名代表。
- 《个人信息保护法》要求出现数据泄露后“立即”通知,而GDPR规定的截止时间则是 72 小时。
- 与 GDPR 不同,《个人信息保护法》还要求数据控制者在某些情况下提前进行信息保护影响评估 (DPIA),例如向境外提供个人信息、使用第三方数据处理者、向其他数据控制者提供个人信息。
- 《个人信息保护法》规定的罚款最高为 5000 万元人民币或该组织年收入的 5%。相比之下,GDPR 规定的罚款最高为 2000 万欧元或全球年营业额的 4%,以较高者为准。
问:企业的运营是否会受到《个人信息保护法》的影响?需要牢记哪些重要规则?
答:由于《个人信息保护法》的范围很广,自 2021 年 11 月 1 日 起,几乎所有在中国经营或与中国有业务往来的企业都必须确保遵守《个人信息保护法》。
当然,企业制定的全面策略必须符合《个人信息保护法》的所有要求。想要达到这个目标,就需要深入了解《个人信息保护法》,明白《个人信息保护法》和 GDPR 的区别,最好还能多了解中国政府、文化和商业方面的惯例和实践。
需要牢记的重要规则:
- 如果您的组织位于中国境外,但为了向境内自然人提供产品或服务、分析和评估境内自然人的活动或者在法律和行政法规要求的其他情形下,需要处理个人信息,就必须在中国设立专门的办公室或指定代表。
- 几乎所有相关步骤都需要取得同意,还需要向个人提供撤销同意的权利。个人可以随时撤销同意。
- 处理数据必须符合《个人信息保护法》中规定的七个合法情况,确保在合法的前提下处理个人数据。
- 您需要制定应对数据泄露的计划。
- 如果您的组织需要与中国进行跨境数据传输,在将个人信息从中国传出前,必须取得个人的知情同意,还须“出于商业目的”和完成风险评估。此外还必须满足以下条件之一:
- 通过中国国家网信部门组织的安全评估。
- 取得网信部门授权机构的个人信息保护认证。
- 按照网信部门制定的标准合同与境外接收方订立合同。
- 遵守网信部门发布的其他规章制度。
- 企业需要制定内部管理架构和经营规则。
给组织的另一个建议是:随着法律的不断发展,企业应密切关注后续发展、任何补充文件和执法行动。例如在 11 月 14日,中国发布了《网络数据安全管理条例》草案,征求公众意见至 2021 年 12 月 13 日。
如果企业不熟悉这些规则,或不确定其含义和应用情况,可以向经验丰富的法律顾问寻求建议和指导。
*本问答不构成Chen 女士或 Mazzola Lindstrom LLP 的法律建议。