1.中国数据保护的历史
中国期待已久(也令人担忧)的《个人信息保护法》(PIPL)现已成为现实。
早在 2018 年,我们就写过关于中国个人信息保护立法的文章,当时国务院授权的国家标准化管理委员会发布了一份文件《GB/T 35273-2017信息安全技术 个人信息安全规范》(以下简称《规范》)。
该《个人信息保护规范》并不是一部要求强制遵守的法律法规,但它为 2021 年 11 月 1 日生效的《个人信息保护法》(PIPL)铺平了道路。个人信息保护法》规定了个人访问和控制公司所持个人数据的权利,并限制了公司对数据的处理。PIPL 的中文文本请点击此处 ,非官方英文翻译请点击此处。
2.中国《个人信息保护法》的影响
就在 PIPL 生效的当天,雅虎宣布将停止在中国的运营。雅虎表示,离开中国是因为中国 "日益严峻的商业和法律环境"。10 月,微软旗下的 LinkedIn 宣布,由于中国的 "运营环境更具挑战性,合规要求更高",LinkedIn 将关闭在中国的业务。
3.中国《个人信息保护法》与美国加州《消费者隐私法》和欧盟 GDPR 的比较
2019 年,我们曾警告说,中国当局正在《规范》的基础上制定 PIPL。在同一篇文章中,我们还强调了中国数据隐私法与欧盟数据隐私法《通用数据保护条例》("GDPR")之间的异同。我们还注意到加利福尼亚州有重要的数据隐私立法,即《加利福尼亚州消费者隐私法》("CCPA")。
我们还强调了中国、欧盟和加州数据隐私法之间的一个重要区别:
在中国开展业务的美国或欧盟公司将不能依靠与中国公民签订合同来处理他们的数据。他们现在需要煞费苦心地解释他们将使用数据的所有方式,并征得使用数据的同意,除非有其他少数非常狭窄的例外情况适用。如果您想在收集数据并获得同意后改变处理数据的方式,大多数情况下,除非有其他例外情况,否则就太糟糕了。你需要重新获得同意。换句话说,正如我们的许多客户一直希望我们确认的那样,您为遵守 GDPR 和美国/加州数据隐私法所做的工作对您在中国的工作并没有太大帮助。您需要针对中国开展完全不同的合规工作。
4.中国网络法律 "三部曲
PIPL 加入了中国 2017 年 6 月实施的《网络安全法》和 2021 年 9 月实施的《数据安全法》。中国现在有三部法律来刁难外国企业。正如我们在 2019 年所写的那样
根据《网络安全法》,中国政府有权从中国境内的任何个人或实体获取中国政府认为对中国安全有影响的任何信息。中国政府知道,外国公司和个人不愿意在中国政府提出要求时简单地向其提供信息。因此,中国网络安全局不打算礼貌地提出正式要求。新网络安全系统的基本前提是,政府将利用其对通信的控制权,在不与用户讨论的情况下直接获取信息。所有数据都将对中国政府开放。
5.遵守中国《个人信息保护法
中国的外资企业和国内企业都在争先恐后地招聘数以万计的数据保护/合规官员,以管理与客户的互动并确保遵守政府法规。
合规至关重要,因为PIPL 授权中国监管机构发出警告、命令公司采取纠正措施、暂停服务和/或征收罚款。罚款最高可达 5000 万人民币(780 万美元),或企业上一财政年度年收入的 5%。PIPL 并未明确规定罚款将基于公司在中国的收入还是全球收入。
一些观察家认为,PIPL 的实施应被视为中国升级其 "对大科技的战争",但这部法律已经酝酿多年;其基础是上述于 2018 年发布的《规范》。
不,PIPL 是中国政府 "指挥和控制 "中国人生活方方面面的运动的延伸。尽管中国和外国公司现在必须谨慎处理消费者信息,但中国政府却可以完全获取这些信息。
我们的中国律师经常撰文(尤其是在过去的五年中)阐述在华经营的外国公司必须遵守中国的各项法律法规。PIPL 也是如此。如果贵公司从中国获取客户数据,就必须确保遵守中国数据隐私法。