数据是信息时代的石油。尽管社会经济和政治环境复杂多变,但在加强个人数据保护方面,很多亚洲管辖区正在大步迈进。
2021年施行的《个人信息保护法》是中国首部保护个人信息的综合性法律。私密的个人信息作为隐私权受《民法典》保护,而个人信息中的个体权利,无论是私密的还是公开的,均受《个人信息保护法》保护。
数据(包括不属于个人信息的数据)安全、网络安全由《数据安全法》和《网络安全法》予以规范。这两部法律和《个人信息保护法》一同构成了中国的数据隐私和安全的法律体制。
数据主管机关
承担实施数据治理和数据治理执法职责的主管机关为中国国家互联网信息办公室(“网信办”)。其他各行业、各省级监管机构则负责监督管理。
数据分类
合伙人
高盖茨律师事务所香港分所
电话: +852 2230 3510
电邮: amigo.xie@klgates.com
为了实施数据国家安全和个人信息保护规则,中国按风险度和重要程度对数据实行分级。《数据安全法》规定了“分类分级的”数据保护制度,按类型对数据分组,并确定每个组别的不同重要程度。国家数据安全工作协调机制负责统筹规划,协调国务院各部门制定“重要数据”目录,加强对重要数据的保护。
《个人信息保护法》区分了个人信息和敏感个人信息。个人信息是指,以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。敏感个人信息是指,一旦泄露或者非法使用,容易导致人格尊严受到侵害或者伤害自然人的个人信息,包括生物识别、宗教信仰、医疗健康、金融账户、行踪轨迹和其他类似信息,以及不满十四周岁未成年人的个人信息。
数据处理者
数据治理体制未单独定义数据控制者和数据受托处理者。《个人信息保护法》将个人信息处理者定义为,自主决定处理个人信息的目的和方式的任何组织或个人。个人信息处理者可委托他人处理个人数据,但应对受托人的作为和不作为负责。个人信息处理者必须采取措施保障个人信息安全,确保第三方受托处理者遵守法律,不超出约定目的处理个人信息。
法律依据
《个人信息保护法》规定了个人信息处理者可处理个人信息的情形,包括:
- 依法取得数据主体的同意;
- 为订立或履行合同所必需,或者根据劳动规章制度或集体合同实施人力资源管理所必需;
- 履行法定义务所必需;
- 为应对突发公共卫生事件,或者紧急情况下为保护生命健康或财产安全所必需;
- 新闻报道或公共利益;或
- 在合理范围内处理个人已公开或其他合法公开的个人信息。
跨境数据传输
注册外国律师
高盖茨律师事务所香港分所
电话: +852 2230 3518
电邮: susan.munro@klgates.com
《网络安全法》包含适用于关键信息基础设施运营者产生和收集的个人信息和重要数据的跨境传输的规定,而关键信息基础设施将由政府机关认定。相比之下,《个人信息保护法》包含个人信息跨境传输的全面框架。
多份实施细则和指南或征求意见稿对跨境数据传输做出了规定,包括《网络数据安全管理条例(征求意见稿)》、《数据出境安全评估办法》(“安评办法”)。几部行业法律法规则对某些类型的跨境传输实行了限制或禁止。对个人信息处理者的一般要求包括:
- 个人信息跨境传输必须合法。
- 个人信息处理者必须采取一切必要措施,确保境外接收方按《个人信息保护法》规定的标准,处理、保护向其传输的个人信息。
- 向中国大陆境外传输个人信息之前,必须开展个人信息保护影响评估。
此外,对于某些个人信息处理者,还有具体的数据本地化和国家安全评估要求,包括:
- 关键信息基础设施运营者在中国境内运营过程中收集和产生的个人信息、重要数据必须存储在中国大陆。
- 个人信息处理者处理的个人信息数量如果达到网信办规定的数量,应遵守数据境内存储要求。安评办法中规定的数量是一百万或以上个人的数据,等等。
- 银行业金融机构不得向境外提供个人金融信息,但法律和中国人民银行明确允许的除外。
- 关键信息基础设施运营者或个人信息处理者处理的个人信息达到法律规定的数量后,如欲向海外接收方提供个人信息,必须通过国家安全评估。
- 安评办法规定,其他数据处理者拟传输的数据如果包括“重要数据”,则需要进行国家安全评估。
- 安评办法《数据出境安全评估办法(征求意见稿)》还将国家安全评估要求适用于自上一年1月1日起累计向境外传输十万人以上个人信息或者一万人以上敏感个人信息的个人信息处理者向境外提供个人信息的行为。这些规定数量为累计数。
如果无需国家安全评估,个人信息处理者必须获得指定专业机构的个人信息保护认证,或与境外接收方订立数据传输协议,其中应包含网信办强制要求的标准条款。《网络数据安全管理条例(征求意见稿)》还将该等要求适用于非个人数据的处理者。
未经相关主管机关事先批准,任何个人或组织不得向外国司法或执法机构提供存储于中国大陆的数据。
违法行为与法律责任
《个人信息保护法》还对违法行为规定了下列罚款和处罚:
- 初次违法的处罚包括,责令改正、给予警告、没收非法所得、责令暂停服务;
- 如果拒不改正,对每起违法行为可处以不超过一百万元(合十五万美元)的罚款,并对造成违法行为之人或其他责任人员处以一万元至十万元的罚款;
- 对于严重违法行为,可处以不超过五千万元或上一年度营业额5%的罚款,责令停业,或吊销营业执照。对责任人员可处以十万元至一百万元罚款,并可禁止其担任董事等职位。
- 如果数据主体蒙受损害,个人信息处理者必须证明自己未侵犯个人信息权利,方可免责。否则,个人信息处理者应承担侵权责任,并应根据数据主体的损失或个人信息处理者获得的利益支付损害赔偿,或支付法院裁定的损害赔偿。
- 如果个人信息处理者侵犯了众多个人的权利,检察院、法定消费者组织或某些网信办确定的组织可对个人信息处理者提起诉讼。
《数据安全法》和《网络安全法》也包含对违法行为的处罚。
数据泄露
《网络安全法》建立了分级保护制度。数据治理体制规定,一旦发生数据泄露,数据处理者和网络运营者应立即启动应急预案,采取相应补救措施,按规定通知数据主体,并向网信办和相关监管机构报告。
根据《国家网络安全事件应急预案》和《公共互联网网络安全突发事件应急预案》,网络安全事件分为四级:(1) 特别重大; (2) 重大;(3) 较大;(4) 一般。两份预案还对监管机构、监测预警系统、突发事件报告制度、调查评估和保障措施规定了详细规则。
个人信息保护负责人
《个人信息保护法》有强制指定个人信息保护负责人的规定,并规定了下列职责和法律责任:
- 监督个人信息处理者的数据处理活动、保护措施等等;
- 直接向个人信息处理者主要负责人报告;
- 个人法律责任包括,根据违法行为的严重程度,处以十万元至一百万元的罚款。个人信息保护负责人还可能会被禁止担任高级职位、不良信用档案记录、公示;最严重的情况下,还可能被处以行政拘留或遭到刑事起诉。
K&L GATES
44/F Edinburgh Tower, The Landmark
15 Queen’s Road Central, Hong Kong
电话: +852 2230 3500
www.klgates.com
