跳转到主要内容

随着《个人信息保护法》(“PIPL”)的生效,大多数组织,特别是在中国开展业务的国际公司,都积极遵守《个人信息法》。然而,PIPL的一些条款非常高层次和一般性,可能需要中国立法者或数据保护机构的进一步指导来补充。例如,某些要求似乎不切实际,例如有关数据本地化、数据传输和数据保护官员(“DPO”)要求的要求,这可能会导致合规工作的误解或困难。Fieldfisher的法律顾问张德豪(Dehao Zhang)提供了一些切实可行的建议,帮助企业保持合规性。

数据本地化

大多数组织都有这样的问题:我们是否需要在中国本地存储个人信息?我们是否需要在中国建立或购买数据中心或服务器?

为了回答这些问题,首先,我们必须明确,中国的数据本地化要求并不意味着禁止数据传输。数据本地化要求仅要求原始数据首先存储在中国,根据PIPL的数据传输要求,即使该组织受到数据本地化要求的约束,此类数据也可以在中国境外传输。

对于大多数组织而言,这两个问题的答案应该是否定的。在中国,此类要求适用的仅有两类组织是:(a)关键信息基础设施运营商(“CIO”)和(b)满足中国网络空间管理局(“CAC”)设定的门槛的组织。如上所述,这两类组织将具有在中国本地存储数据的法律义务,但这并不意味着它们被禁止在中国境外传输数据,因为PIPL也为它们提供了这样做的机制。

关于CIIOs,根据《重要信息基础设施安全保护条例》(“CII条例”)第2条,关键信息基础设施(“CII”)是指重要行业和部门的关键网络设施和信息系统,如公共电信和信息服务、能源、交通、水利、金融、,公共服务、电子政务和科学,以及国防技术产业,如果受到任何破坏、功能丧失或数据泄露,可能会严重危及国家安全、国民经济、人民生计和公共福利。这表明,CII条例下的CII概念与欧盟网络和信息安全指令下的概念非常相似。根据CII条例,主管当局有义务在其信息基础设施被指定为CII时通知相关公司。在实践中,如果公司未收到主管当局的任何CII通知或确认,则很可能它们不被视为CII。

对于那些达到CAC门槛的组织,CAC已于2021 10月29日发布了其跨境数据传输安全评估措施草案(征求意见稿)(“措施草案”)。这些措施草案可作为评估公司是否受PIPL项下数据本地化义务约束的参考,虽然它还没有生效,只是一个征求意见的草案。根据措施草案,有三个门槛:

  • 根据有限的信息处理100万数据主体的个人数据;
  • 将10万名数据主体的个人数据转移到中国境外;和
  • 将10000名数据主体的敏感个人数据转移到中国境外。

根据PIPL,敏感个人信息包括生物特征数据或与宗教信仰或特定身份相关的数据、医疗数据、财务数据、个人位置跟踪数据以及14岁以下未成年人的个人信息。

从实际角度来看,对于在中国拥有大量用户或数据主体的组织来说,这些阈值似乎不是一个很好的选择。这一阈值似乎是一个总数,而不是一个每年或每月的阈值,中国企业对此提出了质疑,因为这一阈值很容易实现,特别是对于其中的第三个阈值,因为银行账户数据是PIPL下的一种敏感个人信息。除《办法》草案外,一些部门也使用了100万数据主体个人数据的门槛,例如中国的教育部门,但《办法》不太可能很快生效。

数据传输要求

大多数组织将没有与PIPL要求的数据传输机制相关的解决方案,因为中国的数据主管部门迄今尚未正式发布任何相同的指南。我们可以看到一些与此相关的措施草案,例如2021 10月29日的措施草案和网络安全标准实践指南-个人信息跨境处理认证技术规范(征求意见稿)(“网络安全指南草案”)。网络安全指南草案为组织遵守PIPL提供了有用的指导,因为它们比法律要求更为详细。请注意,网络安全指南草案不可执行,这意味着如果组织遵循此类措施草案,他们可能需要注意此类措施草案的变更和更新。

PIPL提供了三种数据传输机制,如下所述。

CAC组织的风险评估

这是CIIOs和满足CAC阈值的组织进行数据传输的机制。根据措施草案,当CIIOs和合格组织申请此类风险评估时,它们必须提供数据导出方和数据导入方之间签署的标准合同条款(“SCC”),这意味着它们必须制定SCC并进行所需的风险评估。根据PIPL第55条,在数据传输之前,必须完成个人信息保护评估(“PIPA”),并且组织必须有处理记录,即数据传输。尽管CAC尚未宣布措施草案可执行,但各组织仍需首先进行自我风险评估,并编制PIPA并详细记录处理过程。自我风险评估可遵循《一般数据保护条例》(欧盟)2016/679)(“GDPR”)中数据传输影响评估的要求,该要求源自数据保护专员诉Facebook爱尔兰有限公司(C-311/18)的判决,即研究数据进口商所在国家或地区的数据保护框架,以及数据导入器的数据保护合规状态。

根据CAC的指导对合格机构进行认证

根据网络安全指南草案,如果组织想要为认证做好准备,他们需要准备有关数据进口商的DPO、DPO的职责、数据进口商如何处理数据和保护待传输数据、数据传输的PIPA以及如何保护数据主体的权利的文件,即数据导入者和数据导出者的责任和义务。

CAC采用的SCC

这可能是大多数组织的最佳解决方案,但不幸的是,目前还没有正式有效的SCC集。尽管CAC已表示,GDPR下的SCC不能用于中国境外的数据传输,但欧盟/英国版本的SCC仍有助于组织实施,只需稍作修改。这对于遵守要求很有用,即使没有官方指导。

DPO要求

PIPL仅要求符合门槛的个人信息处理者(类似于GDPR下的数据控制者)有一个人负责个人信息保护(类似于GPPR下的DPO),并要求中国的此类DPO必须监督组织采取的个人信息管理和安全措施。然而,它并不要求什么组织必须拥有DPO,谁可以成为DPO,以及DPO的职责。

哪些组织必须有DPO?

从我个人对法律的理解来看,门槛似乎不应该太大。根据国家推荐标准信息安全技术-个人信息安全规范(2020)(“规范”),满足以下条件之一的组织应设立DPO职位和负责个人信息安全的部门:

  • 核心业务涉及个人信息处理,员工人数超过200人;
  • 该组织处理100万人以上的个人信息,或预计在12个月内处理100多万人的个人信息;或
  • 该组织处理超过10万人的敏感个人信息。

谁可以成为DPO?

在中国,虽然PIPL现在可以执行,但人们对它的认识很低。虽然一些中国大学和学院已经开始提供PIPL和数据保护相关课程,但DPO没有时间获得资格。由于这种情况,PIPL对DPO的经验和教育背景要求不高,但经过一段时间后,这些要求可能会到位。

从实际角度来看,如果一个组织想要选择DPO,他们可以要求DPO具有一些个人数据保护法律、管理和信息安全方面的知识,或者至少具有此类领域的经验。

DPO在组织中的职责是什么?

PIPL第52条要求DPO监督其组织中的数据处理活动和数据保护措施。

根据规范,DPO和数据保护部应负责以下工作:

  • 全面落实组织内个人信息安全工作,直接负责个人信息安全;
  • 组织制定个人信息保护工作计划并监督其实施;
  • 制定、发布、实施和定期更新个人信息保护政策和相关程序;
  • 建立、维护和更新组织持有的个人信息处理活动记录(包括类型、数量、来源、接收者等)和授权访问政策;
  • 开展PIPA,提出个人信息保护的对策和建议,并对潜在安全风险的整改提出建议;
  • 组织个人信息安全培训;
  • 在产品或服务在线发布之前进行测试,以避免未知的个人信息收集、使用、共享和其他处理行为,这也被称为设计隐私;
  • 公布投诉和举报方式,及时受理投诉和举报;
  • 进行个人信息保护审计;和
  • 与监督和管理部门保持沟通,并报告个人信息保护和事件处理情况。

虽然这看起来很有挑战性,但与GDPR下的DPO必须做的事情非常相似。

请注意,没有要求确保DPO在组织中的独立作用,这可能会影响DPO的工作。为此,各组织应确保DPO的独立性,使其能够负责任地监督数据保护事宜。

如何理解“特定身份”?

许多国际组织可能对PIPL第28条中的“特殊身份”一词感到困惑。PIPL第28条定义了敏感个人信息:

敏感个人信息是指一旦泄露或非法使用,将很容易导致侵犯人的尊严或损害自然人的人身或财产安全的个人信息,包括自然人的生物识别、宗教信仰、特定身份、医疗和健康、金融账户、个人位置跟踪和其他信息,以及14岁以下未成年人的任何个人信息。

大多数讲中文的人将特定身份视为身份/职位/群体,在合同中或在某些法律下可能导致不同的利益或不同的权利,例如妇女、老年人/老年人、在公司和数据主体之间签订合同方面具有重要地位的个人,或容易造成尊严受到侵犯或任何其他重大影响的特征,如单亲家庭或有犯罪记录的家庭。

在中国,政治观点或少数民族地位不会侵犯个人的尊严或重大利益,因此不能被视为敏感信息;但是,特定身份也可以用作杂项规定。

结论

PIPL下的一些条款仍不清楚,需要当局澄清。虽然我们知道,数据主管部门正在为PIPL起草一些指南,但尚不清楚此类措施或规则何时可实施。此时,各组织最好尝试并积极遵守PIPL,因为这些组织最好尽其所能遵守不明确的要求。

本文: