1. 中国数据保护发展历程
中国备受期待(且令人担忧)的《个人信息保护法》现已正式实施。
早在2018年,我们就曾撰文探讨中国个人信息保护立法。当时,经国务院授权的中国国家标准化管理委员会发布了GB/T 35273-2017《信息安全技术 个人信息安全规范》(以下简称《规范》)。
该《个人信息保护规范》虽非强制性法规,却为2021年11月1日生效的《个人信息保护法》(PIPL)铺平了道路。该法明确了个人对企业所持个人数据的访问权与控制权,并限制了企业的数据处理行为。PIPL中文文本详见此处, 非官方英文译本详见此处。
2. 《中国个人信息保护法》的影响
《个人信息保护法》生效当日,雅虎宣布将停止在华业务运营。雅虎表示,退出中国市场是因为"日益严峻的商业和法律环境"。10月,微软旗下领英宣布将关闭中国业务,称中国"运营环境显著恶化,合规要求大幅提高"。
3. 中国《个人信息保护法》与加州《消费者隐私法案》及欧盟《通用数据保护条例》的比较
2019年,我们曾警告中国当局正基于《数据处理规范》推进《个人信息保护法》的立法进程。在同一份报告中,我们还重点分析了中国数据隐私法律与欧盟《通用数据保护条例》(GDPR)的异同点。同时指出加利福尼亚州拥有重要的数据隐私立法——《加州消费者隐私法案》(CCPA)。
我们还强调了中国、欧盟和加利福尼亚州数据隐私法之间的一项重要差异:
在美国或欧盟开展业务的企业若想处理中国公民数据,将无法仅凭签订合同作为依据。除非符合其他极少数严格限定的例外情形,否则企业必须详尽说明数据的所有使用方式并获取使用许可。 若在收集数据并获得同意后想变更处理方式,多数情况下将无法实现——除非存在其他例外情形。 必须重新获取授权。换言之——正如众多客户反复要求我们确认的那样——您为符合《通用数据保护条例》及美国/加州数据隐私法所做的努力,对中国市场几乎毫无助益。针对中国市场,您需要开展完全独立且截然不同的合规工作。
4. 中国网络法律的“三部曲”
《个人信息保护法》与中国2017年6月实施的《网络安全法》及2021年9月实施的《数据安全法》共同构成了中国三部严苛的法律体系,为外国企业带来重重阻碍。正如我们在2019年所写:
根据《网络安全法》,中国政府有权要求境内任何个人或实体提供其认为可能影响中国安全的任何信息。 中国政府深知,外国企业和个人在被要求时往往不愿主动交出信息。因此,中国网络安全部门无意通过礼貌的正式请求获取信息。新网络安全体系的基本前提是:政府将利用其对通信的控制权直接获取信息,无需与用户协商。所有数据都将向中国政府开放。
5. 遵守《中华人民共和国个人信息保护法》
国内外中资企业正争相招聘数以万计的数据保护/合规专员,以管理客户互动并确保符合政府法规要求。
合规至关重要,因为《个人信息保护法》赋予中国监管机构发出警告、责令企业采取整改措施、暂停服务及/或处以罚款的权力。罚款金额最高可达5000万元人民币(780万美元)或该组织上一财年总收入的5%。该法未明确规定罚款基准应为企业在中国的收入还是全球收入。
一些观察人士认为《个人信息保护法》的实施标志着中国对科技巨头的"战争"升级,但该法律酝酿多年;其基础正是2018年颁布的上述《规范》。
不,PIPL是北京当局试图"指挥和控制"中国社会各个层面的延伸。尽管中外企业现在必须谨慎处理消费者信息,但中国政府却拥有完全的访问权限。
我们的中国律师团队(尤其在过去五年间)多次撰文阐述外国企业在华经营必须遵守中国各项法律法规。这一原则同样适用于《个人信息保护法》。若贵公司获取中国客户数据,务必确保自身行为符合中国数据隐私法律要求。
