中国数据保护规则 - 哈里斯·斯利沃斯基律师事务所

今年早些时候，中国发布了个人信息保护国家标准的最终版本——GB/T 35273-2017《 信息安全技术个人信息安全规范》（以下简称《规范》）。该《规范》将于2018年5月1日正式生效。

该规范并非强制性法律法规。但中国政府机构很可能将其作为判断企业是否遵守中国数据保护规则的标准依据。在中国境内收集或处理个人信息的企业，应对照该规范核查现有实践，以识别并降低潜在风险。以下是该新规范的基本内容。

个人信息和敏感个人信息

根据《中华人民共和国网络安全法》，个人信息是指单独使用或与其他信息结合使用能够识别特定自然人身份的信息。本新规范将该定义扩展至包含反映个人活动的信息，例如浏览记录。

敏感个人信息是指泄露、非法提供或使用后可能危及人身安全或财产安全，或者容易损害个人名誉、身心健康或者导致歧视性待遇的信息。敏感个人信息包括但不限于：身份证号码、银行账户号码、14周岁以下未成年人的个人信息。

新规范引入了个人数据控制者的概念，即决定个人数据处理目的和方式的自然人或组织。数据控制者负责在收集、保留、使用、共享和转移个人信息以及处理数据泄露事件时遵守适用法律法规。

新规范规定，收集个人数据应合法且以最小必要原则为准。数据控制者必须获得被收集者同意，收集敏感数据时则需获得明确同意。存在若干例外情形无需征得同意，例如：为履行合同而必须收集和使用个人数据时；为刑事调查所需时；或当数据控制者为新闻机构时用于新闻报道。

数据控制者还应根据《规范》制定并公布隐私政策。该《规范》中亦附有隐私政策范本。

个人信息必须在最短时间内保留，且仅限于必要范围。收集个人信息后，数据控制者必须对该信息进行去标识化处理，并将去标识化信息与任何个人可识别信息分开保存。当数据控制者停止运营时，必须终止收集个人信息，同时通知相关数据主体，并删除或匿名化其保留的所有个人信息。

数据控制者必须将收集的个人信息访问权限限制在必要最小范围内。数据主体有权访问数据、更正不准确或不完整的数据，享有删除权和数据可携权，以及账户注销权。

当数据控制者将数据处理外包给第三方时，必须进行安全评估以确保该第三方处理者具备提供充分安全保障的能力。数据控制者还需通过审计及施加涉及数据处理安全的合同义务来监督处理者。

若数据控制者需要共享或转移个人信息，必须先进行安全评估，采取有效措施保障数据主体权益，告知数据主体数据转移的目的及接收方，并事先获得同意（此同意需独立于最初收集和处理数据的同意）。当数据控制者被其他实体收购或合并时，必须将此情况告知数据主体，其继任者应继续履行原数据控制者的责任与义务。

数据控制者必须制定安全事件响应计划，定期开展培训，并至少每年进行一次应急演练。当发生数据泄露事件时，数据控制者必须记录事件、评估潜在影响并采取补救措施。若无法实际向个人发出通知，则应通过电子邮件、邮寄、电话、推送通知或其他合理有效的方式向受影响的数据主体通报事件。