x

【PIPL】第2部分:个人信息跨境传输的PIPL和GDPR合规义务

cioctocdo
21 August 2022
SEO Title
Part 2: PIPL and GDPR Compliance Obligations on Cross-Border Transfers of Personal Information

文章分类

正如我们在上一篇博文中所解释的,除了采用跨境传输机制的要求外,中国的《个人信息保护法》(PIPL)和欧盟的《一般数据保护条例》(GDPR)还规定了个人信息跨境传输的进一步合规义务。[1]

在中国的管制员(根据GDPR)或个人信息处理者(根据PIPL)能够发起跨境数据传输之前,通常必须满足某些要求,无论传输机制和个人信息处理者的状态如何——例如。,个人信息处理者是否是关键信息基础设施的运营商或处理“大量”个人信息。

作为一般要求,PIPL要求所有个人信息处理者采取必要措施,确保海外接收者的个人信息处理活动符合PIPL规定的个人信息保护等级。[2] 在实践中,根据我们的观察,对数据进口商施加关于他们必须如何处理所接收的个人信息的合同义务,包括对数据出口商的审计权,是履行上一句所述义务的常见方式。

PIPL下个人信息处理者和GDPR下控制器的相关合规要求对照表

PIPL GDPR
信息要求

告知数据主体海外接收人的姓名和联系方式、处理目的和方式、将在海外传输的个人信息类型,以及数据主体针对海外接收人行使PIPL下权利的方式和程序。[3]

根据GDPR第13条和第14条通知数据主体,包括以下信息:

  • 个人数据的收件人或收件人类别。
  • 控制人打算将个人数据转移给第三国或国际组织的事实。
  • 处理的目的。
同意

获得数据受试者的单独同意。[4]

GDPR规定了个人信息“处理”的两阶段方法,与第三国个人信息“转移”不同

第一阶段:处理个人信息时必须始终遵守GDPR的基本原则(无论是否转移到第三国)。

第二阶段:只有在向第三国进行跨境数据传输的情况下,各组织必须确保所述传输机制之一(充分性决定、针对特定情况的适当保障或减损)适用。

因此,在第二阶段,只有当组织不能根据充分性决定或适当的保障措施进行跨境数据传输,但必须将同意作为特定情况下的减损时,才必须获得数据主体的同意。
影响评估

在跨境传输个人信息之前进行内部个人信息保护影响评估[5](类似于GDPR下的数据保护影响评估的事前自我评估),并将评估报告和处理活动记录保存至少三年。[6]

PIPL要求个人信息处理人员在进行个人信息保护影响评估时评估以下因素:

  • 处理目的和手段是否合法、合法和必要。
  • 对个人权利和利益的影响和安全风险。
  • 所采取的安全措施是否合法、有效且与风险敞口相称。[7]

然而,PIPL没有提供个人信息处理者在实践中如何执行上述个人信息保护影响评估的进一步细节。中国发布了一项不具法律约束力的国家标准(GB/T 39335-2020信息安全技术-个人信息安全影响评估指南[8]),该标准为上述安全评估提供了详细的实用指南。然而,考虑到国家标准是在PIPL颁布之前发布的,并包括个人信息跨境传输的具体规定,国家标准只能作为参考。

2021 10月发布的跨境数据传输安全评估措施草案(安全评估措施草稿)使上述分析更加复杂。根据安全审查措施草案,所有个人信息处理者,无论是否接受中国网络空间管理局(CAC)的强制性安全评估,都必须在跨境传输个人信息之前进行“自我评估”。[9] 这一要求似乎与PIPL第55条要求的个人信息保护影响评估重叠,但安全评估措施草案没有说明如何协调这些潜在的重叠要求。

根据安全评估措施草案,在进行自我评估时,应评估以下因素:

  • 跨境转移的目的、范围和方式以及海外接受者的处理活动的合法性、合法性和必要性。
  • 待传输数据的数量、范围、类型和敏感性,以及传输对国家安全、公共利益和个人或组织的合法权益构成的风险。
  • 个人信息处理者的组织和技术措施和能力是否能够防止数据传输阶段的数据泄漏和破坏。
  • 海外接收方承担的义务和责任以及相应的组织和技术措施以及海外接收方履行承诺的能力是否能够确保在中国境外传输的数据的安全。
  • 数据转移到海外并继续转移后的泄露、破坏、扭曲或滥用风险,以及个人是否有方便的渠道行使其个人信息权利。
  • 个人信息处理方和海外接收方之间的合同是否充分规定了数据安全方面的义务和责任。[10]

根据GDPR,如果转移基于适当的保障措施——例如标准合同条款(SCC)——数据出口商和数据进口商也必须考虑Schrems II判决,欧洲联盟法院认定,数据出口商确实需要对其向其传输信息的第三国进行评估,以确定其提供的保护水平是否基本等同于欧盟所保证的保护水平。如果保护级别存在问题,数据导出器将需要确定是否有可与SCC一起应用的补充措施,以保持保护级别。[11] 如果不可能,数据导出器将需要暂停或结束传输。

因此,与PIPL下的事前自我评估类似,欧洲组织必须在使用SCC向第三国传输信息之前进行数据传输影响评估(DTIA)。这要求各组织进行个案评估,并至少考虑以下方面:

  • 个人信息的类型和敏感性是什么?
  • 谁将能够处理个人信息?
  • 使用哪些技术措施来保护个人信息?
  • 哪些国家法律适用于该司法管辖区,以及在实践中如何针对特定个人数据传输实施这些法律?

DTIA要求进行更全面、更灵活的风险评估,而不是狭隘地关注第三国的数据保护法律,并且需要不断地对其进行监控,并根据第三国法律的任何变化进行更新。因此,组织必须将更多的资源用于GDPR合规性及其数据传输映射。
外国组织和个人的黑名单以及针对其他国家的对策

在PIPL下,如果任何外国组织或个人进行个人信息处理活动“侵犯中国公民与个人信息有关的权利和利益”,或“危害中国国家安全或公共利益”,CAC可将此类外国组织或人员列入公开名单,并采取措施限制或禁止防止个人信息处理者将个人信息传输给他们。[12] 因此,在将个人信息传输给中国境外的收件人之前,个人信息处理人员必须确保海外收件人不在CAC发布的“黑名单”上。(到目前为止,CAC还没有公布这样的名单。)

此外,如果任何国家或地区在个人信息保护方面对中国采取歧视性或限制性行为,PIPL声明中国可能会对这些国家或地区采取“相应措施”。[13] 目前尚不清楚中国政府计划如何执行这一规定。

  

作为本系列的最后一部分,我们的下一篇博文将讨论在PIPL下响应外国司法和执法机构请求的本地化要求和限制。

本文:https://cioctocdo.com/part-2-pipl-and-gdpr-compliance-obligations-cross…

文章链接
https://cioctocdo.com/part-2-pipl-and-gdpr-compliance-obligations-cross-border-transfers-personal-information

标签