本地化要求

中国的个人信息保护法（PIPL）要求关键信息基础设施的运营商（如中国移动）和处理个人信息的个人信息处理者（数量达到中国网络空间管理局（CAC）规定的阈值）将在中国收集和生成的个人信息存储在本地。[1] 这些实体只能在必要时（可能包括出于商业目的）并在通过CAC管理的安全评估后输出个人信息。[2]

正如我们在本系列的第一篇博文中所讨论的那样，2021 10月，CAC发布了跨境数据传输安全评估措施草案供公众评论，该草案进一步明确了进行安全评估的范围、标准和过程。根据该草案，CAC规定的阈值设置为：

• 个人信息处理者处理了100多万个人的个人信息。
• 个人信息处理者累计传输了超过10万人的个人信息，或累计传输了10000人以上的敏感个人信息。

值得注意的是，行业法规还可能对特定行业提出数据本地化要求。例如，自2021 10月1日起生效的《汽车数据安全管理规定（试行）》对“汽车数据处理者”处理的“重要数据”提出了本地化要求。[3]这些重要数据除其他外，包括“超过10万个人的个人信息”。[4]

回应外国司法和执法机构的请求

PIPL还引入了一项“阻止法规”，限制个人信息处理者向外国司法或执法机构提供存储在中国境内的个人信息。根据PIPL，未经中国主管部门的事先批准，任何个人信息处理者不得回应外国司法或执法机构提供存储在中国的个人信息的请求。[5]

然而，PIPL下的阻止法规留下了几个关键问题没有回答，包括哪些个人信息可能被视为“存储”在中国（即，已经合法转移到海外并随后存储在中国境外的个人信息是否在范围内），向外国司法或执法机构提供个人信息的审批程序是什么。

在美国存在的公司可能认识到，这一限制可能与美国强制披露法相冲突，如《澄清数据（云）的合法海外使用法》[6]《1978年外国情报监视法》[7]和《电子通信隐私法》。[8] 根据这些法律，收到有效法律程序（如传票）的公司必须遵守这些数据请求，否则将面临民事或刑事处罚。这些要求适用于数据主体的国籍以及数据存储的地点。《云法案》为公司质疑存储通信请求提供了一种方式，并要求法院在确定是否阻止此类请求时进行有限礼让分析。然而，我们认为，美国法院不太可能将PIPL合规性视为不遵守美国法律程序的有效理由。此外，如果数据同时存储在中国和美国——例如，如果数据源自美国或通过有效的PIPL跨境数据传输传输到美国——法院可以要求从美国存储中生成数据。

欧盟的GDPR没有包含有关当局要求提供个人信息的具体规定。然而，向第三国传输个人信息的公司可以根据GDPR下的数据传输机制——标准合同条款（SCC）——进行传输，该机制包含公共机构请求时的详细规定，其中包括：，要求数据导入方（即第三国的个人信息接收方）将此类请求通知数据导出方（如有可能，还包括数据主体），并审查和质疑此类请求的合法性。

中国和美国当局打算如何执行这些看似完全不同的要求还有待观察。在操作上，一些公司可能会寻求在数据处理协议中添加条款，以反映SCC中包含的条款。这些条款将要求美国的数据处理者尽最大努力拒绝与PIPL冲突的美国当局的请求，并在接收和响应此类政府请求时通知个人信息处理者。

这是库利发表的一系列有关中国隐私和网络安全法规的博客文章之一。更多信息可在以下帖子中找到：

• 中国新的国家隐私法：PIPL
• Cooley隐私谈话：英国隐私更新
• 中国促进数据交易的新举措：上海数据交易所启动交易

Cooley密切关注中国正在进行的网络安全、数据和隐私立法现代化努力，重点是促进数据管理和实施合规解决方案的实际方法。在中国开展业务的公司最好聘请具有全球视野的数据保护顾问。

联系下面列出的任何联系人，讨论中国隐私和安全法规的持续变化可能对您的业务产生的影响。

本文：https://cioctocdo.com/part-3-pipls-localization-requirements-and-restri…