跳转到主要内容

文章分类

跨国公司经常会遇到这样的问题,即他们是否以及何时可以跨境传输个人信息[1]。《中华人民共和国个人信息保护法》(PIPL)为这些查询添加了新的考虑因素[2],例如:

  • 中国的雇主能否将其中国雇员的个人信息存储在外国管辖区的数据库中?
  • 美国公司能否收集中国用户的个人信息,以便在其位于美国的服务器上进行分析?
  • 符合欧盟《通用数据保护条例》(GDPR)或《加州消费者隐私法》(CCPA)的公司是否可以在不采取额外行动的情况下将个人信息转移到中国境外?

尽管PIPL于2021 11月生效,但由于其法规的抽象性质,需要定义许多要素。这一跨国界数据传输博客系列旨在在未来几周的三篇单独的博客文章中揭示其中的一些模糊之处。

  • 第1部分:PIPL和GDPR下各自数据传输机制的概述
  • 第2部分:根据PIPL和GDPR,强调个人信息跨境传输的合规义务。
  • 第3部分:深入了解根据PIPL回应外国司法或执法机构请求的本地化要求和限制

比较这三条定律

当涉及跨境数据传输时,PIPL在各个方面与GDPR相似,但在细节上仍然存在差异。这两项法律都要求组织向第三国或国际组织传输个人信息的传输机制,PIPL提供的传输机制较少。此外,PIPL根据组织的状态(即,将个人信息传输到海外的组织是否被视为关键信息基础设施的运营商[3])以及组织处理的个人信息量,施加不同的跨境数据传输限制。

与此同时,CCPA是一项州法律,它不规范跨国际边界的个人信息传输,但与某些PIPL和GDPR跨境传输限制重叠,并可能发生冲突。[4] 例如,CCPA要求持有个人数据的公司履行GDPR和PIPL要求的一些相同的合同义务,包括“企业”与其“服务提供商”(这些术语在CCPA下定义)之间的合同附录,以:

  • 指定共享或披露个人信息的有限目的。
  • 使第三方收件人有义务获得与CCPA相同的隐私保护。[5]

在实践中,受CCPA和PIPL约束的跨国公司可能希望在满足PIPL下跨境数据传输的合同要求时,考虑使用现有CCPA附录作为起点。

第1部分:PIPL和GDPR中的跨境数据传输机制

根据《中华人民共和国个人信息保护法》(PIPL)建立的跨境数据传输框架中最重要的要求之一是,个人信息处理者[6]只有在能够以合法身份传输位于中国境内的个人(不一定是中国公民)的个人信息时,才可以将其传输到海外跨境数据传输所依据的传输机制。[7]

根据欧盟的通用数据保护条例(GDPR),类似的原则也适用。GDPR旨在确保此类个人信息从欧盟转移到第三国(定义为欧洲经济区(EEA)以外的任何国家)的控制者和处理者不会损害相关个人的保护水平。

在下表中,我们将PIPL第38条下的转移机制与GDPR第五章中提出的转移机制进行了匹配。如下文所述,除了传输机制要求外,PIPL和GDPR还对向海外传输个人信息的组织规定了其他合规义务,我们将在本系列的下一篇博文中对此进行研究。

跨境数据传输机制对比表[8]

PIPL GDPR
由政府当局管理的安全评估

处理个人信息的关键信息基础设施运营商和个人信息处理器达到中国网络空间管理局(CAC)规定的阈值,必须在本地存储在中国境内收集和生成的个人信息。如果他们需要在国外提供数据,他们必须通过CAC管理的安全评估。[9]

2021 10月29日,CAC发布了跨境数据传输安全评估措施草案(安全评估措施草稿),供公众评论,进一步明确了安全评估的范围、标准和流程。[10] 根据安全评估措施草案,在以下情况下,将启动个人信息跨境传输安全评估:

  • 关键信息基础设施运营商将个人信息转移到中国境外。
  • 个人信息处理器已经处理了100多万个人的个人信息。
  • 个人信息处理者累计传输了100000多人的个人信息,或累计传输了10000多人的敏感个人信息。[11]

GDPR下没有类似的要求。

然而,欧盟正在更新其关键基础设施的网络安全规则(如NIS 2指令),但没有设想任何国家赞助的安全评估。

国际协定和适当性决定

如果中国缔结或加入的条约或国际协议包含相关规定,例如在中国境外提供个人信息的条件,则可以执行这些规定。[12]

截至本文发布之日,我们不知道中国已经签署了任何个人信息处理者可以依赖的国际条约或协议

 

如果欧盟委员会决定由第三国或国际组织确保对欧洲经济区内的数据主体进行充分的数据保护,则会发布“充分性决定”。[14]
鉴定

个人信息处理者如果出于业务或其他原因确实需要将个人信息转移到中国境外,可以在根据CAC通过的规则从专业机构获得个人信息保护认证后进行转移。[15]

到目前为止,CAC还没有认可任何专业机构颁发个人信息保护认证,也没有采用颁发认证的规则。

可制定认证机制,以证明数据进口商提供的适当保障措施的存在,各组织为实施保障措施作出具有约束力和可执行的承诺,包括数据主体权利的规定。

到目前为止,在数据传输环境中很少使用认证机制。

标准示范条款

此外,出于业务或其他原因确实需要将个人信息转移到中国境外的个人信息处理方,可以在根据CAC发布的标准合同与个人信息的海外接收方签订合同后进行转移。[16]

CAC仍在制定标准合同,预计第一稿将很快公布,供公众评论。

虽然标准合同的细节尚不清楚,但安全评估措施草案指出了标准合同[17]下可能采用的关键条款,即在中国境外传输个人信息的个人信息处理方与海外接收者之间的合同必须包括关于双方数据保护义务的条款,包括但不限于:

  • 转让的目的和方式、拟转让的个人信息的范围以及海外接收人处理活动的目的和方法。
  • 在中国境外保留的地点和期限,以及在保留期或合同期限届满后将采取的措施,或满足处理目的。
  • 限制海外收件人将个人信息转发给其他组织或个人。
  • 如果海外接收者的实际控制或业务范围发生重大变化,或海外接收者所在国家或地区的法律环境发生变化,则海外接收者将采取安全措施,从而无法再确保数据安全。
  • 违反安全义务的责任,以及具有约束力和可执行的争议解决条款。
  • 在发生数据泄露或其他风险的情况下,双方必须适当实施应急措施,并确保个人能够使用方便的手段来维护其个人信息权益。
标准合同条款(SCC)[18]通常是许多组织最相关和最合适的保障措施,是欧盟委员会批准的数据保护示范条款,当嵌入合同时,可以实现个人信息的自由流动。这些条款包含数据导出者和数据导入者的合同义务。只要为个人提供了权利,个人可以直接对数据导入者和数据导出者强制执行这些权利。
具有约束力的公司规则
N/A 具有约束力的公司规则可用于形成在跨国集团内运营的具有法律约束力的内部行为准则,该准则适用于将个人信息从集团的欧洲经济区实体转移到集团的非欧洲经济区主体,并经主管数据保护机构批准。
其他转移机制
出于业务或其他原因确实需要将个人信息转移到中国境外的个人信息处理方,也可以在满足CAC颁布的法律、法规或规则规定的其他转移机制后进行转移。.[19]

还可以实施行为守则。然而,在实践中,在数据传输环境中还没有得到广泛采用。

只有在没有上述所有转让机制的情况下,GDPR才允许进行减损——这允许在特定情况下进行转让,例如,在获得同意的情况下、在履行或签订合同时、在行使法律权利时、为了保护无法给予同意的数据主体的重要利益,或者出于公共利益的重要原因。

 

如上所述,虽然《个人信息保护法》建立了一个管理个人信息跨境转移的总体框架,但一些实施规则仍有待最终确定。PIPL所要求的实践是否将遵循主要利用跨境数据传输示范条款的欧洲方法,还有待观察。即使中国政府已经采取措施,通过发布某些实施规则草案(如安全评估措施草案)来实施PIPL下建立的总体框架,这些规则草案中的一些要求仍然不明确,需要进一步解释。因此,建议跨国公司密切关注事态发展。

在中国的跨境数据传输框架下,有不同的方法来管理不确定性,包括以欧洲SCC为模板制定数据传输协议,并根据安全评估措施草案的要求添加缺失的条款。虽然这些步骤可以建立遵守PIPL的诚信努力记录,但此类协议可能需要由CAC发布的标准合同取代。

此外,为了评估是否需要由CAC进行强制性安全评估,跨国公司可能需要考虑制定一份数据清单,以了解他们处理和转移到海外的个人信息量,然后评估触发强制性安全评估的拟议阈值是否已达到。

我们的下一篇博客文章将比较PIPL和GDPR中关于向第三国或国际组织传输跨境数据的关键合规要求。

--------------------------------------------------------------------------------------------------------------------------------------------------

  • [1] PIPL第4条下的“个人信息”定义与GDPR第4(1)条中的“个人数据”类似。
  • [2] 中国的《网络安全法》和《数据安全法》也建立了一个管理非个人信息(即“重要数据”)跨境传输的框架,但“重要数据”的确切范围仍不明确。对于本系列博客,我们只讨论个人信息跨境传输的要求。
  • [3] 根据《关键信息基础设施安全保护条例》,“关键信息基础结构”被定义为重要行业和领域的重要网络设施、信息系统等,如公共通信和信息服务、能源、交通、水、金融、公共服务、,电子政务和国防技术,以及在其损坏、功能丧失或数据泄露时可能严重危害国家安全、国民经济和人民生计或公共利益的其他技术。
  • [4] 美国其他州也颁布了隐私法,其中没有一项包含对跨境数据传输的限制。
  • [5] CCPA第1798.100(d)节。
  • [6] 根据PIPL,“个人信息处理者”类似于“控制者”,而“受托方”类似于GDPR下的“处理者”。
  • [7] PIPL第40条下的本地化要求进一步限制了某些类型的个人信息处理器可以使用的传输机制。我们在本系列的第三篇博文中详细讨论了这些要求。
  • [8] 由于CCPA不规范跨国际边界的个人信息传输,本表不讨论CCPA。
  • [9] PIPL第40条。
  • [10] 由于GDPR不包含任何并行规则,因此此处未指定根据跨境数据传输安全评估措施草案制定的安全评估标准和流程的细节。
  • [11] 跨境数据传输安全评估措施草案第4条。
  • [12] PIPL第38条。
  • [13] 2021 11月1日,中国正式申请加入《国际数字经济伙伴关系协议》,该协议促进了全球数字贸易升级合作。
  • [14] GDPR第45条。
  • [15] PIPL第38(2)条。
  • [16] PIPL第38(3)条。
  • [17] 跨境数据传输安全评估措施草案第9条。
  • [18] 目前有四套标准合同条款。
  • [19] PIPL第38条。

本文:https://cioctocdo.com/cross-border-data-transfers-pipl-vs-gdpr-vs-ccpa

文章链接