个人信息:国际化与本土化

在之前的文章中,我们探讨了《个人信息保护法(草案)》(简称“草案”)及其对政府机关和第三方处理个人信息的影响。在本文中,我们将从国际角度来审视该草案。

扩大对外国实体的管辖权

草案旨在针对外国实体处理来自中国的个人信息的行为提出长臂管辖权的概念,以解决有关外国实体的棘手问题。

草案的第3条规定,如果一个外国实体,以向中国境内自然人提供产品/服务为目的,或为分析/评估境内自然人的行为,而在中国境外处理境内个人信息的,适用本草案。这是欧盟和美国等其他国家或司法管辖区普遍采用的一种做法。

此外,草案还规定,此类外国实体应在中国设立一个特定实体或指定一名代表,负责处理有关保护个人信息的事宜,并向有关部门报告所需信息。一旦该条款生效,外国实体将不得不根据相关条款进行调整。

与国际标准的共通点

正如我们之前提到的,草案中的一些条款与国外采用的通行做法是一致的。欧盟和美国近年来都通过了个人信息相关的法规,因此,中国也自然从已有的这些法规中获得一些参考。以下为一个非常简单的《通用数据保护条例》(“GDPR”)和草案的对比:

重点 草案 GDPR
法条数量 70 99
章节 第一章 总则
第二章 个人信息处理规则
第三章 个人信息跨境提供的规则
第四章 个人在个人信息处理活动中的权利
第五章 个人信息处理者的义务
第六章 履行个人信息保护职责的部门
第七章 法律责任
第八章 附则
第一章 总则
第二章 原则
第三章 数据主体权利
第四章 控制者和处理者
第五章 个人数据向第三国或国际组织的传输
第六章 独立监管机构
第七章 合作与一致性
第八章 救济、责任与惩罚
第九章 和特定处理情形相关的条款
第十章 授权法案与实施性法案
第十一章 附则
数据处理的基础 [第13条]
1.同意
2.合同
3.法定职责/义务
4.应对公共卫生事件及紧急情况下保护个人生命健康和财产安全所必需
5.公共利益
法律规定的其他情形
[第6条]
1.同意
2.合同
3.法定义务
4.数据主体的重大利益
5.公共利益
合法权益

可见,法规的整体结构,以及其中数据处理的法律依据都很相似。然而,草案中缺少了“合法利益”的概念,这是根据GDPR进行数据处理的一个热门话题。由于欧洲法院的判决和欧盟的相关准则,关于如何理解“合法利益”这一概念的解释仍在不断发展。

这是一个令人感兴趣的话题。事实上,我们认为中国很可能在不久的将来落实某个与其类似的概念。

个人信息的跨境传输&本土化

由于草案的目的是确保个人信息的有序和自由流动,草案对个人信息的跨境传输提供了具体规定。

从法规角度看,根据草案第38条的规定,个人信息保护认证或与外国实体签订合同并辅以适当的监管,很可能就足以满足跨境传输的要求。从个人角度看,披露身份、目的、处理方式等关键信息及个人的同意是必要的。

另外,如果一个实体持有大量的个人信息,那么根据草案第40条,该等个人信息必须存储在中国境内。这意味着,离岸服务器存储从中国收集的个人信息的做法可能不再为中国监管机构接受。那么,到底多少才算多呢?这一点目前尚不清楚——草案本身并没有明确规定门槛是多少。

还有一个需要注意的方面是,即使外国实体与中国实体合作处理来自中国的个人信息,也仍然要根据不同的合作模式承担相应的义务,正如我们在上一篇文章中提到的。

违规黑名单制度

虽然草案大幅提高了对违规行为力的经济处罚力度,但对外国实体的处罚却仍然难以落实。因此,草案专门针对外国实体和外国人引入了黑名单制度:如果他们侵犯了中国公民的个人信息利益,或者危害了国家安全或公共利益,相关部门将限制或禁止其跨境传输个人信息,并对其违法行为进行公告。这种名誉损失在某些方面可能比任何金钱处罚都要严重。

底线

一旦草案正式生效,从中国收集或接收个人信息的外国实体将不得不重新审视他们的工作流程,并做出新的安排或调整,以完全遵守中国法律。

这是我们计划推出的关于网络安全、数据保护和合规系列的第二篇文章。我们现在通过达沃学院提供数据合规服务和相关培训。如果您有任何问题,欢迎随时联系我们。