【中国数据保护法】Cooley 隐私讲座：关于中国数据保护法的重要知识

这篇文章与 Cooley 的隐私讲座系列有关 - 这是一个由 Cooley 从业者讨论管理数据保护相关问题的实用指南和最佳实践的网络研讨会计划。会议范围从欧洲通用数据保护条例 (GDPR) 到加州消费者隐私法 (CCPA)，以及在美国、亚洲和拉丁美洲出现的所有其他新数据保护框架。会议将在 2022 年每月举行一次。

中国的网络安全法（CSL）、数据安全法（DSL）和个人信息保护法（PIPL）共同构成了中国网络安全和数据保护的总体制度。这三部基本法律有不同的侧重点，但在某些关键监管要求上有重叠。为了帮助在中国开展业务的跨国公司在这个复杂的环境中导航，本博客考虑了有关中国数据保护法的关键信息。

#1：中国的总体网络和数据安全框架是什么？

中国的 CSL、DSL 和 PIPL 是构成中国总体网络安全和数据保护管理框架的三部基本法律。

• 《网络安全法》于 2016 年 11 月 7 日颁布，自 2017 年 6 月 1 日起实施，是中国网络安全领域的第一部法律。 CSL 规范中国网络的建设、运营、维护和使用。特别是，它为多级保护计划（MLPS）和关键信息基础设施（CII）的保护建立了监管框架[ZK1]。
• DSL 于 2021 年 6 月 10 日颁布，并于 2021 年 9 月 1 日生效。它侧重于从国家安全角度保护广义上的“数据安全”。
• PIPL 于 2021 年 8 月 20 日颁布，并于 2021 年 11 月 1 日生效。它是中国的综合隐私法，与欧盟的通用数据保护条例 (GDPR) 相似。

除了这三项基本法律之外，网络和数据保护规则还可以在其他一些法律和部门法规和规则中找到。

#2：谁必须遵守 PIPL？

与 GDPR 一样，PIPL 旨在对个人信息处理者（类似于欧盟 GDPR 中的“数据控制者”的概念）施加域外管辖权，其处理是向中国个人提供产品或服务，以分析或评估行为在中国境内的个人或法律法规规定的其他目的。这个广泛的范围可以说涵盖了在中国处理个人信息的任何公司或个人（无论个人的国籍或居住地）。

#3：PIPL 在处理个人信息之前是否需要通知和同意？

在处理个人信息之前，个人信息处理者必须以“醒目、清晰易懂的语言”如实、准确、完整地通知个人，包括：

• 个人信息处理者的姓名和联系方式。
• 处理的目的和方法，以及处理的个人信息的类型和保留期限。
• 个人行使 PIPL 规定的权利的方法和程序。
• 法律、行政法规规定应当告​​知的其他事项。

PIPL 还要求对某些特定的处理活动另行通知。在并购或其他业务交易中，个人信息将转移给个人信息处理者的交易对方的，个人信息处理者必须将接收者的姓名和联系方式告知个人。此外，在与其他个人信息处理者共享个人信息之前，处理者必须告知个人接收者的姓名和联系方式、处理的目的和方法，以及接收者将处理的个人信息的类型。如果个人信息将被转移到中国境外，个人信息处理者还必须将某些附加信息通知个人（如下文进一步讨论）。

与 GDPR 类似，PIPL 还要求个人信息处理者依靠法律依据来处理个人信息。 PIPL 下可用的法律依据包括：

• 同意，这是 PIPL 下的主要法律依据。如果将同意作为法律依据，则在以下情况下还需要“单独同意”：
  • 处理敏感的个人信息。
  • 个人信息与其他个人信息处理者共享。
  • 个人信息是公开披露的。
  • 在公共区域收集的人脸识别信息正在或将用于公共安全以外的目的。
  • 个人信息被转移到海外。
• 为签订或者履行个人为当事人的合同，或者按照依法制定的内部劳动规章制度和集体合同的规定实施人力资源管理所必需的。
• 为履行法定职责或义务所必需的。
• 它是应对突发公共卫生事件或保护个人生命、健康或财产所必需的。
• 新闻报道、舆论监督等行为是为了公共利益，对个人信息的处理在合理范围内。
• 该个人信息已经被个人公开，或者其他合法公开的个人信息是在依照本法规定的合理范围内进行处理的。
• 中国法律法规规定的其他情形。

#4：处理“重要数据”的公司有哪些义务？

作为DSL的一般要求，所有数据处理实体（无论是否处理“重要数据”）都必须履行以下义务：

• 建立内部数据安全管理程序。
• 开展数据安全培训。
• 采取技术和其他必要的安全措施。
• 如果使用互联网或其他信息网络进行数据处理，请遵守 MLPS 要求。
• 响应已识别的漏洞和安全事件。

对“重要数据”进行处理的，相关单位还必须指定数据安全负责人和办公室，定期进行安全评估，并向主管部门提交相关评估报告。正如下文进一步讨论的，“重要数据”的跨境传输也需要接受中国国家互联网信息办公室（CAC）组织的安全审查。

DSL 对“​​重要数据”的定义保持沉默。根据《数据出境安全评估办法》，“重要数据”是指“一旦被篡改、破坏、泄露或者非法获取、使用，可能危害国家安全、经济运行、社会稳定和社会公共安全的数据”。健康和安全。”中国政府也在制定国家标准和监管规则，以提供有关“重要数据”范围的更多细节。

#5：企业能否将在中国收集或产生的个人信息和“重要数据”转移到海外？

中国法律根据处理数据的实体的状态以及处理或传输的数据的类型和数量提出了数据本地化要求。

• CII运营商必须将在中国收集的个人信息和“重要数据”存储在本地，只有通过安全评估后才能进行跨境数据传输，这将在后面进一步讨论。
• 非CII经营者只有在处理的个人信息量达到CAC规定的阈值时，才需要对个人信息的存储进行本地化。通过安全评估后，他们可以将个人信息转移到海外。

请注意，部门监管规则也可能对相关部门收集和生成的数据施加特定的本地化要求。

除了上述本地化框架外，中国还对个人信息和“重要数据”的跨境传输制定了单独的要求。

对于个人信息的跨境传输，PIPL提出了以下要求：

• 提供通知并获得同意。
• 注意——个人信息处理者必须将境外接收者的姓名和联系方式、处理目的和方式、个人信息转移到境外的类型、个人行使权利的方式和程序等信息告知个人。
• 同意 - 如果个人信息处理者依赖同意作为处理活动的法律依据，则必须获得个人的单独同意才能跨境传输其个人信息。请注意，如果依赖其他法律依据（例如，履行合同），则可能不需要单独的同意。
• 在跨境转移之前进行个人信息保护影响评估（PIPIA）——类似于 GDPR 下的 DPIA。

选择以下合法转移机制之一：

• 在满足以下任何阈值时通过 CAC 进行的安全评估：
  • 该实体作为 CII 运营商或处理超过 100 万人个人信息的个人信息处理者将个人信息传输到中国境外。
  • 自上一年1月1日起，个人信息处理者累计转移个人个人信息10万余人次或个人敏感信息1万余人次。
  • CAC规定的其他情形。
• 根据CAC发布的规则从组织获得认证。
• 签订CAC发布的标准合同条款（草案已发布征求公众意见）。依赖此机制的公司还必须向 CAC 提交其签署的标准合同及其 PIPIA 报告。
• 遵守中国法律、法规或CAC发布的规则进一步规定的机制。

对于“重要数据”的跨境传输，企业必须通过CAC进行的安全评估（上述第一传输机制）。

#6：公司应该何时申请网络安全审查？

根据自2022年2月15日起实施的《网络安全审查办法》，以下情况将触发网络安全审查：

• 采购可能影响中国国家安全的网络产品或服务的关键信息基础设施运营商。
• 拥有超过100万用户个人信息的“网络平台运营商”，在境外证券交易所申请首次公开募股。
• 从事可能影响中国国家安全的数据处理活动的“网络平台运营商”。

符合上述条件之一的公司必须向网络安全审查办公室申请网络安全审查。需要注意的是，网络安全审查办公室也有权在获得中央网信办批准后主动启动网络安全审查。