400-115-9589

English

国外如何评价中国第一部关于隐私合规的立法:《个人信息保护法》

标签: 浏览量:0 2022-12-05



2021年11月1日,中国《个人信息保护法》生效,成为中国第一部专门保护个人信息权利的法律。然而,由于缺乏实施条例和明确性,许多公司面临着不确定如何遵守PIPL领域的情况。


这一问题*严重的莫过于PIPL第38条,该条规定了跨境数据传输之前必须满足的几个条件(或法律途径)。根据第38条,实体可以通过以下法律途径之一向外国接收者发送个人数据:


法律途径1——政府安全评估:国家网络空间管理局组织的安全评估已由实体根据本法第40条通过。


法律途径2——标准合同:与海外接收者签订了符合国家网络空间管理局提供的标准合同的新合同,确立了双方的权利和义务。


法律途径3——认证:该实体已获得专业认证机构根据国家网络空间管理局的规定颁发的个人信息保护认证。






TC260发布法律途径3(认证规则)

6月24日,国家信息安全标准化技术委员会(又称TC260)发布了其“个人信息跨境处理认证技术规范”。该规范规定了跨国公司,海外加工商和其他经济/商业实体举行会议,以获得PIPL第38条所述的认证(即法律途径3)。从高层次上讲,TC260的规范似乎描述了欧盟通用数据保护条例下具有约束力的公司规则。


请注意,规范不是强制性的。


换言之,跨境个人信息传输的各方可以决定他们是想通过这条途径获得认证,还是想通过他们认为合适的其他法律途径使其跨境数据传输合法化。然而,如果他们选择将自己置于这一认证制度之下,规范下的规则对他们和相关认证机构是具有约束力的。


【1】规范的适用性

规范描述了认证场景、认证申请人以及应对跨境个人信息传输负责的人员。在跨国公司内部,其在中国的实体之一可以申请认证,并为跨国公司的全球组织承担法律责任。对于在中国没有实质性存在的海外实体,其在中国的专门机构或指定代表可以为该海外实体申请认证并承担法律责任。

【2】具有法律约束力的文件
跨境个人信息处理活动的各方必须签署具有法律约束力和可执行的文件,以确保个人的权益得到充分保护。这些具有法律约束力的文件至少应包含:


1.涉及跨境个人信息处理的相关方。
2.跨境个人信息处理的目的以及个人信息的类型和范围。
3.保护个人权益的措施。
4.各方承诺遵守统一的个人信息处理规则,并确保个人信息保护水平不低于中国有关个人信息保护的法律法规规定的标准。
5.承诺接受认证机构的监督。
6.本协议规定了中国有关个人信息保护的法律法规。
7.在中国境内承担法律责任的组织机构的详细信息。
8.遵守其他法律和监管义务的规定。


【3】统一数据处理规则
上文第项所述的统一处理规则必须包含:

  • 跨境个人信息处理的细节,包括个人信息的类型、敏感度、数量等。
  • 跨境个人信息处理的目的、方法和范围。
  • 个人信息海外存储的开始和结束时间以及到期后的处理方法。
  • 参与跨境个人信息处理的过境国。
  • 保护个人权益所需的资源和措施。
  • 个人信息安全事件的赔偿和处置规则。


【4】数据保护官员

数据出口商和外国数据进口商都必须指定一名人员负责个人信息保护。负责人必须具备相关知识和经验,并成为其实体决策层的一员。他们的职责包括:


  • 确组织个人信息保护目标、基本要求、工作任务和保护措施。
  • 确保组织内个人信息保护的人力资源、财务支持和材料的可用性。
  • 指导和支持相关人员开展组织的个人信息保护工作,确保个人信息保护努力达到预期目标。
  • 向组织领导人报告个人信息保护情况,并推动这些工作的持续改进。


【5】个人信息保护组织
数据输出方和外国数据输入方均应设立内部个人信息保护组织,负责防止“未经授权的个人信息访问和泄露、伪造和丢失”,并承担以下职责:


  • 制定并实施跨境个人信息处理计划。
  • 组织并实施个人信息保护影响评估。
  • 根据相关方商定的规则监督跨境个人信息传输。
  • 接受并处理数据主体的请求和投诉。

【6】个人信息保护影响评估

在跨境传输场景中,个人信息保护影响评估必须包括:
  • 向海外国家提供个人信息是否符合法律和行政法规。
  • 对个人权益的影响。
  • 海外国家和地区的法律环境和网络安全环境对个人权益的影响。
  • 保障个人信息权益所必需的其他事项。


上文第2项和第4项反映了PIPL的要求,而第1项和第3项更具体地涉及跨境转移影响评估,并建议需要进行与GDPR目的类似的专门的逐国转移影响评估。关于项目3,我们注意到,“法律环境”和“网络安全环境”的确切含义目前尚不清楚。





个人权利


根据PIPL,个人对其个人信息享有各种权利。这些权利包括访问权、更正权、完成权、删除权、可移植权和拒绝处理权。除这些权利外,规范还规定,个人是具有法律约束力的文件的受益人,有权要求获得与其合法权益相关的LBD条款的副本。


从理论上讲,身为LBD的受益人可能会使个人享有的权利范围超出PIPL中规定的范围。如果在多个司法管辖区运营的跨国公司在全球范围内对个人信息保护采取统一的*高标准方法,情况尤其如此。


与LBD条款相关的访问权从保密角度提出了问题。因此,明智的做法是在一份独立文件中规定此类事项,以确保向个人披露的信息保持适当。


规范还规定,应允许个人在其惯常居住地的中国法院对跨境数据传输的当事人提起诉讼。


【1】双方对跨境数据传输的义务

规范中关于处理方义务的规定通常反映了PIPL的条款。然而,对跨境数据传输的各方提出了进一步的要求,包括:


  • 当出现难以确保跨境传输的个人信息安全的情况时,必须“立即终止”此类处理。
  • 中国的责任方应赔偿跨境数据处理活动中出现的违规行为。
  • 境数据传输活动各方应承诺遵守中国的数据保护法律,接受其申请和执行,并配合中国监管机构的执法活动,如回答其询问和接受例行检查。





结论


这些规范使《公共信息保护法》第38条的法律途径3(认证)成为可能,尽管不完全可行,因为中国尚未公布处理实体认证申请的认证机构名单。然而,这些规范提供了跨境数据传输认证制度的框架。我们认为,中国当局可能会发布法规,TC260也可能会发布进一步的指南,以证实该认证制度。


应该指出的是,虽然实体可以在法律途径3(认证)和法律途径2(标准合同)之间进行选择,以使其跨境数据传输合法化,但法律途径1(政府安全评估)不是可选的-只要存在法定触发因素,实体就必须参与中国网络空间管理局的安全评估。


在这个阶段,很难预测认证路径是否会比标准合同路径更受欢迎。除了签署跨境数据传输合同外,这些规范基本上要求数据出口商和海外数据接收方都必须遵守一套统一的数据保护规则,这些规则符合中国法律,并接受中国监管机构的监督。我们认为,合规工作的成本将高于简单签署标准合同的成本。然而,这种认证方式可能会受到一些公司的欢迎,这些公司将认证视为一种状态或质量标志,向消费者表明他们的个人信息将受到更高标准的保护。


由于跨境数据传输是一个快速发展的法律领域,建议跨国公司和处理中国人个人信息的海外处理机构密切关注这一领域的发展。

数据隐私认证

热点资讯

免费试听 查看更多>

  • IAPP 试听课程
    U.S. Legal Framework

    主讲老师:Michelle 试听

  • IAPP 试听课程
    Information Provision Obligations

    主讲老师:Jennifer 试听

  • IAPP 试听课程
    Data Protection Concepts

    主讲老师:Jennifer 试听

报考资料免费领取

备考资料

考试资格

24小时贵宾咨询热线:400-115-9589

  • 扫码关注公众号咨询

    • 威普网校APP

      学习由你“掌”握

      iPhone/IPAD

    • 威普网校APP

      学习由你“掌”握

      Android手机