中国企业遵守新的数据保护法

经过三轮修改，2021年8月20日，中华人民共和国全国人民代表大会常务委员会正式通过《个人信息保护法》（“PIPL”）。

• 基本原则. PIPL 的基本原则是 PI 的收集和处理应仅限于实现 PI 处理的特定目的所需的最低水平； 或者所谓的“最低限度和必要”原则。 对超过最低和必要水平的 PI 的处理可能会被认定为违反 PIPL，即使已获得个人同意或满足其他形式。 制定 PI 补救和合规计划时应始终牢记基本原则。

• 生效日期. 尽管许多重要条款需要监管机构通过执法规则进行澄清，但 PIPL 将生效 2021 年 11 月 1 日，没有像之前预期的那样超过 6 个月的宽限期。 在中国开展业务或处理中国居民数据的公司必须立即采取行动以遵守 PIPL 法案。 （注：PIPL仅适用于中国大陆。香港有自己的数据保护规则，不受影响）。

• 域外影响: 首次应用PIPL处理中国居民数据 中国境外 如果为了向中国境内人士提供商品或服务，或分析中国境内人士的活动，或法律另有禁止。 目前，中国有关个人数据的法律不适用于中国境外的处理活动，例如，收集实体和托管数据的服务器位于中国境外。 这些活动现在将受到 PIPL 的约束，相关实体应特别注意 PIPL 下的具体批准要求和数据本地化要求。

• 处理的法律依据在以下情况下，未经数据主体同意，法律允许处理个人信息：

  • 根据法律批准的劳动政策与个人签订合同或以管理人力资源为目的；

  • 必要时履行法定职责； 或

  • 其他一些情况，例如在必要时保护生命、健康和财产、新闻报道或法律要求。

PIPL的最终版本增加了“为了按照法律批准的劳动政策管理人力资源”的短语，这可能会促进人事数据的管理。 它允许公司依靠法律批准的雇佣政策（例如员工手册）来处理员工的 PI，而不是单独获得每个员工的批准。

• 数据本地化要求. 处理大量个人信息的关键基础设施信息（“CII”）运营商或实体必须将个人信息存储在中国大陆境内。 如果他们需要将此类个人信息传输到中国以外的地点，则传输必须通过政府部门管理的安全评估。

关键信息基础设施（CII）是指对国家安全和公共利益至关重要的网络和IT系统，如政府系统、公用事业、金融系统、公共卫生等。 CII 运营商在数据安全和跨境数据传输方面受到更严格的规定。 建议每家在中国运营的公司都进行自我评估，看看它是否可以被视为CII公司。

PIPL 中没有定义“大量个人信息”。 其他一些与数据相关的法规或法规草案，将“大量”定义为 500,000 或 1,000,000 个人，可能会阐明门槛。 预计当局会对此作出澄清。

• 跨境中转. 除了上述 CII 运营商和大量 PI 之外，只有当 PI 处理器满足以下要求之一时，才允许跨境传输：

  • 通过中国网络安全局（CAC）组织的安全评估；

  • 由专门机构认证以保护 PI 免受 CAC 的影响；

  • 您根据国家互联网信息办公室制定的标准合同与外部收件人签订合同，合同格式尚未公布。

• 单独同意. PIPL 要求 PI 处理者在各种场合获得“单独同意”，包括跨境转移、共享或委托第三方 PI 以及处理敏感 PI。 “单独同意”是指同意必须与相关目的具体相关，而不是汇总到涵盖多项处理活动的隐私政策中。 对于每个此类单独的同意，必须按照 PIPL 的规定向数据主体披露某些信息。

• 处罚. 违反法律并造成严重后果的，最高可处以上一年销售额的 5%，和/或停止服务，包括可能吊销营业执照。

我们将很快提供更深入的 PIPL 总结。