中国隐私保护

继自2023年6月1日起生效的《中国SCC办法》（见我们对《中国SCC措施》的详细分析）和《个人数据跨境传输标准合同备案指南》（见我方对《中国SCC-指南》的详细解释）之后，北京市网络安全局于6月25日发布了一份通知（通知）。根据《通知》，一家总部位于北京的公司首次通过了中国SCC备案。几个月前，北京的一家医院也获得了中国首次积极的安全评估。北京无疑已成为实施跨境数据传输机制的先驱。这对中国的数据出口商来说是一个令人兴奋的发展，表明中国正式开始了中国SCCs机制的实际实施。

2023年5月30日，中国网信办发布了适用于中国大陆个人信息国际传输的标准合同条款的使用指南（“SCC”和“SCC指南”）。

2023年2月，中国网信办（“网信办”）根据《中国个人信息保护法》（“PIPL SCC”）发布了《向第三国转让个人信息的标准合同条款规则》。这些PIPL SCC规则将于2023年6月1日生效。我们现在有了关于PIPL中概述的跨境数据传输的所有三个主要机制的规则。

监管机构努力在增强数据安全与促进增长之间取得平衡

过去的一个月对每个人来说都很忙。正如你现在可能已经听说的，中国网信办和其他机构最近发布了一系列法规、条例草案和指导方针，将改变中国的跨境数据传输环境。

2023年，数据保护和安全合规仍然是大多数在华经营的外商投资企业面临的重大挑战。造成这种情况的原因是多方面的，从不了解相关法规、规则不明确或不完整，到缺乏适用相关规定的实践经验。更糟糕的是，尽管中国的数据保护方法在某些方面与欧盟《通用数据保护条例》（“GDPR”）下的监管体系非常相似，但在其他重要方面却有很大不同。

最终，您有义务遵守自己的监管要求。我们承诺遵守通常适用于IT服务提供商的数据保护和隐私法律。如果您需要遵守任何特定的数据主权要求，或其他行业或司法管辖区要求，您需要自己进行评估，并采取必要措施确保合规。

自《个人信息保护法》（“PIPL”）于2021 11月1日生效以来，PIPL第38条提及的跨境数据传输标准合同条款（“SCC”）一直悬而未决。这使公司处于一个非常棘手的境地，在没有SCC的情况下，他们有法定义务遵守SCC。幸运的是，这种情况很快就会改变。2022年6月30日，中国网络空间管理局（“CAC”）向公众提交了PIPL1下SCC规定格式的草案

022年6月26日，中国国家信息安全标准化技术委员会发布了《个人信息跨境处理认证网络安全标准规范》（“规范”）指南。本规范为合法开展跨境数据处理活动的方法之一，即第三方认证提供了实施规则。该规范包含适用场景、获得认证的方式、基本原则、基本要求和保护数据主体权利的特殊要求。中伦律师事务所合伙人郑自清讨论了该规范及其内容。

随着《个人信息保护法》（“PIPL”）的生效，大多数组织，特别是在中国开展业务的国际公司，都积极遵守《个人信息法》。然而，PIPL的一些条款非常高层次和一般性，可能需要中国立法者或数据保护机构的进一步指导来补充。例如，某些要求似乎不切实际，例如有关数据本地化、数据传输和数据保护官员（“DPO”）要求的要求，这可能会导致合规工作的误解或困难。Fieldfisher的法律顾问张德豪（Dehao Zhang）提供了一些切实可行的建议，帮助企业保持合规性。