欧盟《一般数据保护条例》与中国《网络安全法》是不是同一硬币的正反两面?凯易律师事务所香港、上海及伦敦办公室的律师为您提供一份全球数据合规的使用指南

盟的《一般数据保护条例》(General Data Protection Regulation,以下简称《条例》)于2018年5月25日,正式生效,旨在统一欧盟各国不同的数据保护法律,实现欧洲整体数据保护框架的现代化,以反映新的技术进步。与此同时,中国也出现了类似的变革:2017年6月1日,新颁布的《网络安全法》(《网安法》)正式实施,将散见于不同法规中与网络安全或数据相关的规定整合为一部综合法律。

由于《条例》和《网安法》之间存在某些共性,初看时很容易将二者归为相近的制度。然而,两部法律的规定并不一致,跨国公司如果希望有效承担两种制度中有关隐私与安全保护的责任义务,需要对二者有一个整体的了解。本文概述《条例》与《网安法》在个人信息保护、数据安全、跨境数据传输方面共同提出的核心要求,为在华与在欧盟运营的公司(包括在欧盟没有实际运营场所但与欧盟境内人士存在业务往来的公司)提供参考。

《条例》和《网安法》概览。欧盟此前实行的《欧盟数据保护指令》(Directive 95/46/EC,以下简称《指令》)已经无法适应数据密集型公司对于个人数据的跨境数据处理、使用及传输日益增长的需求,也无法解决全球网络安全领域层出不穷的问题。《条例》的制定是为了让长期或暂时居住在欧盟境内的人士加强对其个人数据的控制能力;对企业收集及使用个人数据的行为加以限制,包括在欧盟“设立”的公司,以及在欧盟没有实际运营场所但是向欧盟境内人士提供商品、服务或者密切注视欧盟境内人士行为数据的海外公司。

《网安法》(由全国人民代表大会常务委员会于2016年11月通过)是中国首部统领国家网络安全工作的综合性法律。虽然《网安法》同样涉及个人数据隐私相关规定内容,但较之《条例》仍存在巨大差异,更大程度地重视国家层面的网络和数据安全在个人隐私保护中扮演的角色。

个人信息保护。在《条例》框架下,数据保护是个人权利的重要组成部分。《网安法》的数据保护措施却是基于不同的立法目的,即为了保障中国的网络基础设施安全,继而保护所传输数据的安全。不过,两部法律保护个人数据的方式的确存在一些相似之处。

《条例》适用于“个人数据”的处理,“个人数据”被宽泛地定义为“与已识别或可识别身份的自然人相关的任何信息”。此外,《条例》提高了处理“特殊类别的个人数据”的义务,这类数据包括:个人种族与民族、政治观点、宗教或哲学信仰、工会成员身份、健康数据、性生活或性取向数据、或个人基因或生物识别数据。《网安法》同样对“个人信息”采取了类似的宽泛定义,即“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,包括但不限于:自然人的姓名、身份证件号码、出生日期、个人生物识别信息和住址。《条例》和《网安法》均规定个人有权利要求更正和删除自己的个人数据/信息。

在处理个人数据方面,《条例》规定当处理此类数据的基础是获得数据主体同意的时候,同意必须由数据主体“在知情的情况下,通过声明或者清楚积极的行为,自愿、具体、明确做出的意思表示”。处理“特殊类别”的个人数据必须征得数据主体的明确同意。在这个方面,《网安法》的关键要求与《条例》基本一致:具体而言,“网络运营者”(包括大多数在华经营的公司)和“关键信息基础设施的运营者”(关键领域数量有限的公司)收集和使用个人信息必须向被收集的数据主体进行充分披露,并征得个人知情同意。向第三方提供个人信息之前也必须征得同意。

值得注意的是,两部法律在同意方面的要求有所不同。《条例》要求数据主体主动作出“告知”同意,而《网安法》条文本身并未明确规定同意必须是肯定的(尽管未来出台的实施细则可能会对“知情同意”作出更清晰的定义)。《条例》指出,满足六种情形时对个人数据的处理是合法的,获得数据主体的同意只是其中之一。在不同的具体情况下,同意并非总是构成处理个人数据最恰当的法律依据。

数据安全要求。《条例》第5条第2款规定了以若干项原则为基础的数据安全问责制。所涉公司必须采取适当的技术和管理措施以遵循数据保护的各项原则,且需要对可能影响个人权利和自由的高风险数据处理活动进行数据保护影响评估。

在中国,《网安法》要求网络运营者和关键信息基础设施的运营者均要实施一套基准安全要求,包括内部安全管理制度和操作规程;防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的措施;以及采用自动备份和加密等保护敏感数据的机制。《网安法》目前尚未完全明确网络运营者应对数据泄露的义务,只是规定网络运营者必须“按照规定及时”向中国有关主管部门报告数据泄露安全事件(规定尚未发布)。针对关键信息基础设施的运营者的规定更加严格,包括对重要系统和数据库进行容灾备份、定期对其网络的安全性和可能存在的风险进行检测评估,及在采购或使用可能影响国家安全的网络产品和服务前进行国家安全审查。

作为对《网安法》的补充,中国国家标准化管理委员会(国家标准委)于2018年1月发布了个人信息保护的国家标准(标准)。该标准为个人信息保护提供重要指引,并列举说明监管机构所期待的最佳实践做法。标准适用于“个人信息控制者”,即“有权决定个人信息处理目的、方式”的任何个人或组织。该定义一定程度上与《条例》的“数据控制者”概念相类似。标准具体有以下规定:

  • 基于同意和其他法律依据进行数据处理:收集个人信息继而使用所收集信息必须获得个人信息主体的同意(在《条例》下则并非必须如此)。收集个人敏感信息则必须单独取得个人信息主体清晰明确的知情同意,此处个人敏感信息指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。
  • 通知:隐私通知中应包括规定要求信息,如收集方法和适用的数据处理规则,数据处理规则包括信息主体的权利和申诉程序。《条例》同样规定为了确保数据处理正当合法,应当向个人披露何种信息。
  • 个人权利:标准指出个人有权行使的权利,内容与《条例》规定类似,包括个人信息数据访问权、个人信息注销账户权、个人信息删除权和数据(如健康生理信息、个人教育工作信息)可携权。
  • 供应商/数据处理者:个人信息控制者在将个人信息数据处理工作外包之前,必须进行风险评估,确保数据处理供应商具备数据安全保护能力,并后续通过审计和评估的方式对供应商继续监督。与《条例》类似,数据处理者必须协助个人信息控制者回应数据主体的请求,并在发生任何安全事件时,立刻通知个人信息控制者。依据《条例》,数据控制者必须确保其委任的任何数据处理者均能够“充分保证”安全处理这些数据,并通过合同明确该等数据处理者的相关义务。
  • 数据共享:相关主体与第三方共享个人信息之前,必须通知相应个人并取得其同意(这一同意必须独立于数据最初收集和处理时取得的同意),除非已经对被分享的个人信息进行去标识化处理。相反,《条例》中,只有特定情况下才需要获得个人的同意,虽然需要向个人披露数据共享接收方的类型。
  • 数据安全与删除:控制者应针对个人信息访问实施完善的内部流程,并确保对所有信息处理进行充分记录。应任命个人信息保护负责人和其他“关键岗位的人员”对信息安全负责,并定期进行培训和安全测试。这些要求与《条例》的规定非常类似。
  • 安全事件处置:个人信息控制者必须施行一整套个人信息安全事件应急预案,定期进行培训和演练(至少每年一次),并遵守国家互联网信息办公室(网信办)对通知政府机关和受影响的个人信息主体的安全事件告知要求。值得注意的是,《条例》对于可能影响个人权利和自由的高风险安全事件,规定了数据泄露通知报告72小时的通告时效上限。
  • 数据保护影响评估:如果出台新的法律法规要求,业务模式、信息系统、运行环境发生重大变更,或发生重大个人信息安全事件,应进行此类(与《条例》要求类似的)评估。

跨境数据传输。《条例》限制从欧洲经济区向第三国跨境传输个人数据的行为,但欧洲委员会认定该国具有充分数据保护水平的除外。与《指令》要求一样,《条例》允许采取某些方式合法跨境传输数据,比如使用欧盟的标准合同条款、采用有约束力公司规则、遵循欧盟-美国隐私盾保护计划等。《条例》还额外规定了两种合法传输数据的机制,即在遵守经批准的行为准则或经批准的认证机制的前提下,进行数据传输,这两种机制均包含有约束力且可强制执行的承诺,可以在第三国实施这些安全措施。《条例》沿袭《指令》的规定,继续允许在有限的狭义的解释方法下,从欧洲经济区向第三国传输个人数据:比如基于明示知情的同意进行数据出境、出于合同的必要性进行跨境数据传输,或在出于重大迫切利益需要(前提是相关数据保护机关得到通知且不存在其他备选安全措施)等情况下完成的跨境数据传输。

尽管《网安法》草案包括了严格的数据本地化要求,但是最终颁布的法案却并未禁止网络运营者向境外进行任何数据传输。相反,《网安法》允许网络运营者自由传输数据,除非数据中包含个人信息或“重要数据”(即“与国家安全、经济发展,以及社会公共利益密切相关的数据”),则网络运营者必须首先对境外数据传输的风险进行自行安全评估。

除进行自行安全评估之外,在向海外传输个人信息之前,网络运营者必须披露传输的目的、范围、传输类型、信息传输目的国家或地区,并获得所有信息受传输影响的个人信息主体的知情同意。此外,各数据传输规定的草案指出,在进行任何大规模个人信息出境传输(每年超过50万人)之前,可能会要求网络运营者向国家食药监局或银监会等相关行业监管者披露自行安全评估的结果。

《网安法》配套实施细则的草案还指出,网络运营者在向中国境外传输“重要数据”之前,将必须向相关行业监管者披露自行安全评估的结果(并可能要求获得监管者批准)。

截至本文撰稿之日,网信办尚未详细制定草案说明如何进行自行安全评估,《网安法》跨境数据传输要求的合规最后期限,也因此推迟至2018年12月31日。

对跨国公司实践的影响。《条例》作出了非常严厉的处罚规定,罚金最高可达公司全球年营业额的4%或2000万欧元(折合2500万美元)中较高者。违反《网安法》的罚金明显较低,网络运营者面临每次最高50万人民币(折合8万美元)的罚款,关键信息基础设施的运营者面临每次最高100万人民币(折合16万美元)的罚款。然而,违反《网安法》可能会受到暂停业务或吊销相关业务许可证或执照的处罚——这些处罚都会对公司在华持续经营造成严重而持久的影响。与此类似,《条例》规定欧洲的监管者同样拥有额外的执法权力,包括命令公司彻底停止任何个人数据的处理。两种制度下的处罚都会使公司面临重大的声誉损失,损失的价值将难以估量。

我们建议受《条例》管辖且在华经营的公司应当考虑采取下述措施,确保在两种制度下合规经营:

  • 公司属于网络运营者还是关键信息基础设施的运营者?依据《网安法》,对公司的法律地位进行自行认定(必要时寻求法律建议),确认在中国需要承担的义务范围。
  • 通知与同意。审查现有员工以及客户的数据隐私通知、同意和程序内容。查阅合法处理数据的基础,确定需要如何征得数据主体的同意(即,必要时需要征得欧盟居住者的告知同意,但还需注意,数据主体的同意并非在所有场合都是最恰当的合法手段,比如在雇主和雇员权力悬殊的劳动关系中,征得同意就不是最恰当的合法手段)。
  • 数据处理活动记录。开展数据流动分析,确定并记录组织内对个人数据的使用,以及数据在哪些管辖区储存处理,与谁共享。
  • 数据保护。依据《条例》,考虑是否需要聘请专职的数据保护官来监督“特殊类别的个人数据”的处理或对个人进行的关注。并考虑是否需要根据《网安法》和标准任命监督信息安全和网络安全的负责人。
  • 数据保护影响评估(《条例》)/自行安全评估(《网安法》)。在新技术和处理方式很可能对欧盟人士造成影响的时候(例如,大规模对个人数据进行剖析),考虑是否必须进行数据保护影响评估。来自中国的数据在出境前,确保进行安全评估,并考虑是否依据现行规定通知相关监管者。
  • 数据泄露和报告。依据《条例》和《网安法》,个人数据/信息泄露需尽快报告给相关监管机构和受影响的个人(《条例》要求在72小时之内向数据保护机构报告)。因此,应当相应修订并更新信息安全标准和政策,采取定期进行安全审计的程序。最后,应当编制应急预案,确保可以快速有效地侦测、报告和调查数据泄露隐患。
  • 数据处理者。根据《条例》对处理者提出的要求,审阅供应商协议,核对违约责任和泄露报告条款,考虑实施一套供应商管理项目(应包括供应商问卷调查、最低可接受安全要求和供应商审计)。
  • 新的数据主体权利。衡量《条例》和《网安法》新定义的数据保护权利对公司带来的影响,即数据主体要求删除个人信息的权利、反对数据处理和直接营销的权利和数据可携权。根据这些权利对公司的影响,制定必要的相应政策和执行流程。
  • 国际数据传输。审查公司现有和规划中的业务经营,评估数据流动情况,确定目前向境外传输的数据和这些数据是否分别属于《网安法》和《条例》规定的个人信息/个人数据范畴,以及所涉数据是否属于《网安法》中的“重要数据”或《条例》中定义的“特殊类别的个人数据”。
  • 密切关注中国的立法动态。《网安法》相关实施规定、指导意见和标准,包括境外传输要求内容,一直处于不断发展制定过程中,公司应当积极关注这一领域的立法动向。

Cori Lable Richard Sharpe和吴大容是凯易律师事务所政府调查和内部调查业务部的合伙人,林浩志是该部门律师。除吴大容在凯易上海办公室工作外,其余三位均在该所香港办公室工作。Emma Flett是凯易律师事务所伦敦办公室技术与知识产权交易业务部合伙人。

Law.asia subscripton ad blue 2022