资讯洞见
中国的个人信息保护制度发展迅速。自《网络安全法》生效以来,当局已经发布了多份国家标准、指南草案和实施细则。以下我们将对个人信息保护、数据本地化和跨境数据传输三方面进行讨论。
(1)个人信息保护
《网络安全法》为个人信息的使用、收集和传输确立了主要原则和要求。《信息安全技术—-个人信息安全规范》(《PI规范》)在实际应用方面给予了更多指导。例如,其对“个人敏感信息”(如地理位置和银行账号)和“个人信息”进行了区分,并要求个人敏感信息的收集和共享必须获得当事人的明示同意。《PI规范》还提出了一套隐私权政策模板以供参考。
(2)数据本地化
数据本地化要求早在多个行业的规范文书中出现。《网络安全法》进一步收紧了对数据本地化的要求,严格规定部分实体将在运营过程中收集到的个人信息和重要数据全部储存在中国境内的服务器上。根据《信息安全技术—数据出境安全评估指南(草案)》(《指南草案》),数据本地化要求将适用于全体网络运营者。
(3)跨境数据传输
《网络安全法》要求关键信息基础设施运营者对出境数据进行安全评估。《个人信息及重要数据出境安全评估办法(征求意见稿)》(《意见稿》)进一步把这一安全评估要求延伸至全体网络运营者及其它在中国境内收集或生成个人信息、重要数据并将其传输出境的其它组织机构或个人。
所有数据出境前都应通过自行组织的安全评估。但是如果所传输数据涉及50万人以上的个人信息,或数据量超过1,000GB等情况,则需接受行业主管或监管部门组织的安全评估。凡未获得数据主体的同意而进行数据出境,并可能侵害个人利益或对国家安全带来影响的,则严禁进行数据传输。
《指南草案》对一些情形进行了分类,并认为向非中国实体或不受中国管辖的实体传输数据、在中国境外访问数据和向中国境外的集团公司传输数据都可被视为跨境传输。此外,网络运营者即使未在中国注册登记、但在中国设有办事机构,其仍需履行各项跨境数据传输义务。
因此,企业应不时审视其数据保护实务,以满足合规要求。