Descargitas

来自中国的最新突发新闻。

中国的个人信息保护法,你准备好了吗?

2021 年 8 月,中国通过了名为《个人信息保护法》(PIPL)的重大立法。 它于 11 月 1 日生效,适用于所有希望在中国开展业务的公司,无论它们是否在中国注册成立。

PIPL 已经酝酿了很长时间。 至少从 2015 年起,中国就一直在谈论这种全面的个人信息法。 现行法律源于 2017 年非强制性标准,称为个人信息安全规范,该标准于 2018 年实施并于 2020 年修订。 与 PIPL 的不同之处在于它对所有个人数据更全面,更重要的是它将现在是强制性的。

从表面上看,PIPL 反映了欧盟通用数据保护条例 (GDPR) 引入的许多相同法规,该法规于 2018 年 5 月生效。从本质上讲,它将使个人能够决定如何使用他们的个人数据。 这种权力范围从选择加入营销目的到同意使用和处理更敏感的数据,例如生物识别、财务信息和定位服务。 PIPL 包含与 GDPR 相同的原则和操作结构,包括控制者、处理者、处理的法律依据、安全措施、监管措施、违规通知等。

不同的是,这是从中国的角度发生的——这意味着不会有独立的监督组织。 在欧盟的《通用数据保护条例》(GDPR)中有以下段落:“每个成员国应规定一个或多个独立的公共机构负责监督本条例的实施,以保护基本权利自然人在处理和促进自由个人数据在联邦内流动方面的自由”。 在中国的PIPL中没有这样的短语,这定义了两者之间更明显的区别。 如果 PIPL 规定了监督权力,这些权力就不是独立于国家的。 在这方面,PIPL 与以前的法律保持一致,例如中国网络安全法。

与《通用数据保护条例》(GDPR) 类似,处理特定个人数据阈值的组织将需要指定一名数据保护官,负责监督数据保护,并对某些活动承担更严格的义务,包括跨境转移个人信息等。 如果中国尚未公布强制任命数据保护官的最低要求,中国网信办于 10 月 29 日发布的跨境数据安全评估程序草案提供了一些启示。 事实上,这些措施将要求任何累计处理超过 100,000 名中国居民的个人信息或超过 10,000 名中国居民的敏感个人信息的跨境运营商向中国当局提交一份安全自我评估。 跨境传输数据以供审批。 也就是说,门槛很低,个人信息的跨境转移会受到严格审查。

虽然到目前为止,许多公司基本上已经能够遵守 GDPR,但中国不太可能容忍那些规避规则或设定最低限度的公司,其后果可能非常可怕。 除了天文数字的罚款外,不合规的组织可能会发现他们的营业执照被暂停或他们的公司完全关闭。 对中国乃至全世界的影响都将是巨大的。

中国当局将严格执行这项法律,因为我们看到每一项与网络安全、数据安全和数据处理相关的法律都得到了加强。 中国政府希望被视为为个人数据提供了很好的保护。

已经遵守 GDPR 的公司将比其他公司感受到的影响要小,但这仍然会对我们不断发展的全球社区产生重大影响。 如果您的业务的任何部分涉及到中国,您必须遵守该法律。 政府可以切断与居民接触的任何通道。 此外,任何违反 PIPL 的行为可能会导致最高 5000 万元人民币或上一年处理器销售额 5% 的行政罚款。

法律中的一项具体规定要求外国政府给予特别考虑:“如果 [foreign countries] 在个人信息领域对中国采取措施,中国可能会采取报复措施。”这样的裁决可能是对特朗普对华贸易战的直接回应。这是一揽子裁决,让其他国家对中国的事情几乎没有预见或控制。认为是歧视性的。它可能最终影响信息的流动,这在国际业务中是必不可少的。

作为最后一点,以下是成功遵守 PIPL 的一些注意事项:

  • 执行合规性自我评估。 这将是中国的关键。 您迫切需要开始检查您的情况,以便您了解自己的立场以及在不合规方面存在差距的地方。
  • 了解与您做出的关于 PIPL 的每个决定相关的风险。
  • 继续进行定期合规审计。
  • 不要做 只是忽略它。
  • 不要做 你认为你会在雷达下飞行。
  • 不要做 尝试使用 VPN 来绕过合规性。

PIPL 酝酿已久,肯定不会是我们从中国看到的最后一个数字监管。 所有组织都必须遵守这些新法规的规则。

Isabel Hajjar 是一家网络安全和隐私公司,负责数字风险合规和安全 泰克ID.

马修乔治是《福布斯》书名的作者 会议室里的网络大象,以及网络安全公司的首席执行官和创始人 斐济信托.

风投

VentureBeat 的使命是成为技术决策者获取变革性技术和交易知识的数字城市舞台。 我们的网站提供有关数据技术和策略的重要信息,以指导您领导您的组织。 我们邀请您成为我们社区的一员,以访问:

  • 有关您感兴趣的主题的更新信息
  • 我们的通讯
  • 思想领袖的分类内容和对我们珍贵活动的折扣访问,例如 转换 2021: 了解更多
  • 网络功能等

成为会员