2024 年最新中国数据保护法律法规解读
2024-8-3 21:51:18 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏
是的。中国的普通民法和刑法都对数据保护提出了要求。

特别是《民法典》于2021年1月1日生效,确立了隐私权和个人信息保护的原则。它主要提供了个人信息的定义,并设定了个人信息处理的基本要求、个人信息处理者的义务以及个人对其个人信息的权利。《民法典》中的大多数规定都是《网络安全法》中要求的重申。国家标准如《信息安全技术 - 个人信息安全规范》(简称“标准”)也对当局执行数据保护实践产生影响。

《刑法》还规定了侵犯个人数据和隐私的犯罪行为,例如第253-1条规定的侵犯公民个人信息罪、第286-1条规定的拒绝履行信息网络安全职责罪,以及第177-1条规定的窃取、购买或非法披露他人信用卡信息罪。2017年最高人民法院和最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对侵犯个人数据和隐私的犯罪行为进行了进一步解释。

1.3    是否存在影响数据保护的行业特定立法?

是的。存在各种行业特定的立法影响数据保护,包括但不限于医疗健康、电信、电子商务、汽车以及工业和信息技术等行业。例如,《商业银行法》要求银行对储户的个人储蓄存款业务信息保密。中国人民银行(简称“人行”)发布了《中国人民银行金融消费者权益保护实施办法》,其中规定了对个人客户金融信息(包括个人信息)保护的基本要求。《生物安全法》和《人类遗传资源管理条例》规定了对人类遗传资源信息处理的要求。《电子商务法》重申了电子商务行业中个人信息保护的原则。在汽车行业也有多种关于个人信息和数据保护的法律规定,比如《汽车数据安全管理若干规定(试行)》。此外,《电信和互联网用户个人信息保护规定》规定了电信和互联网信息服务提供者的义务。最后但同样重要的是,《工业和信息化行业数据安全管理规定》涵盖了工业和信息技术领域的数据处理活动中适用的法律、数据分类、特殊保护、数据生命周期合规等要求。此外,自然资源、金融服务、交通等领域的监管部门也发布了数据安全管理办法,旨在提供行业内数据保护的法规。

1.4     哪个(些)机构负责数据保护?

就个人信息保护而言,中国并没有单一的机构负责执行相关规定。

中国国家互联网信息办公室(简称“网信办”或“CAC”)负责协调个人信息保护及相关监督和管理工作,而国务院其他部门,如工业和信息化部(简称“工信部”或“MIIT”)、公安部以及其他相关部门则负责各自领域的个人信息保护监督和管理工作。

例如,公安部(简称“公安部”)及其地方分支机构有权实施行政处罚,并负责对非法获取、出售或泄露个人信息的犯罪行为进行刑事侦查。

工信部及其地方分支机构负责电信和互联网领域的个人信息监督和管理工作。

此外,市场监督管理总局(简称“市场监管总局”或“SAMR”)及其地方分支机构依据《消费者权益保护法》负责监督和管理消费者个人信息。

还有行业特定的数据保护要求,这些要求主要由相关行业主管部门执行。例如,中国人民银行(简称“人行”)和中国银行保险监督管理委员会负责制定和执行个人金融信息保护的法律要求。国家卫生健康委员会和科学技术部负责监督医疗和健康数据的处理。

2.    术语定义

2.1    请提供相关立法中的关键定义:

  • 个人信息”:根据《个人信息保护法》(简称“PIPL”),个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括已经匿名化处理的信息。

  • 处理”:根据PIPL,个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等操作。

  • 个人信息处理者”:PIPL没有使用“控制者”这一术语来指称持有或处理个人信息的实体。相反,它将这些实体称为“个人信息处理者”,考虑到它们参与个人信息处理活动。根据PIPL,个人信息处理者是指独立决定个人信息处理的目的和方式的组织或个人。

  • 受托处理”:PIPL没有像《通用数据保护条例》(简称“GDPR”)那样定义“处理者”。然而,PIPL规定了个人信息处理的委托场景,即个人信息处理者可以委托其他实体进行个人信息处理。

  • 数据主体”:PIPL没有定义“数据主体”。但是,《民法典》和PIPL都规定,自然人的个人信息受法律保护。通常认为,能够通过个人信息识别的自然人/个人被视为数据主体。

  • 敏感个人信息”:根据PIPL,敏感个人信息是指一旦泄露或者非法使用,可能导致自然人的人格尊严受到伤害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

  • 数据泄露”:《网络安全法》(简称“CSL”)、PIPL和《数据安全法》(简称“DSL”)没有定义“数据泄露”。国家互联网信息办公室发布的《国家网络安全事件应急预案》定义了“网络安全事件”,是指由于人为原因、软硬件缺陷或故障、自然灾害等对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。网络安全事件可以分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。

  • 去标识化”:是指个人信息经过处理,使其在不借助额外信息的情况下,无法识别特定自然人的过程。

  • 匿名化”:是指个人信息经过处理,使其无法识别特定自然人,且不能复原的过程。

3.       地域和实质范围

3.1     数据保护法律是否适用于其他司法管辖区的企业?如果有,那么在什么情况下位于其他司法管辖区的企业会受到这些法律的约束?

根据《网络安全法》(简称“CSL”),相关权威机构有权监控、预防和管理来自其他司法管辖区的网络安全风险和威胁。根据第50条,如果发现来自其他司法管辖区的信息违反法律,网信办和相关机构可以采取措施阻止此类信息的传播。根据第75条,该法律适用于海外机构、组织或个人从事危及关键信息基础设施(简称“CII”)的活动。此外,虽然采用离岸模式运作但为中国客户提供服务的企业也可能受到CSL所建立的个人信息保护规则的约束,特别是在跨境数据传输方面。然而,法律没有明确规定如何实现制裁。因此,这些条款将如何在国外针对海外公司执行的程度仍然不明朗。

《个人信息保护法》(简称“PIPL”)对于位于中国境外的企业管辖范围的规定与《通用数据保护条例》(简称“GDPR”)类似。根据第3条,如果发生以下任一情况,且处理活动发生在境外,则该法律适用于处理中国境内自然人的个人信息:

  • 其目的是向中国境内的自然人提供产品或服务;

  • 分析或评估中国境内自然人的活动;

  • 法律和行政法规规定的其他情形。

此外,根据PIPL第42条,如果海外组织或个人从事的个人信息处理活动侵犯了中华人民共和国公民的个人信息权利和利益,或危及中华人民共和国的国家安全和公共利益,网信办可以将该组织或个人列入个人信息提供受限或禁止的对象名单,并予以公告,采取限制或禁止向该组织或个人提供个人信息等措施。

《数据安全法》(简称“DSL”)还赋予相关机构调查那些在中国境外处理数据并对国家安全、公共利益或公民和组织的合法权益造成损害的实体的责任。

3.2     您所在司法管辖区的数据保护法律是否对某些处理活动排除在其实质范围内?

PIPL不适用于已经匿名化的信息的处理,这意味着这些信息不能再与已识别或可识别的个人关联起来,并且这个过程不可逆转。此外,PIPL不适用于个人出于纯粹个人或家庭事务目的的处理活动。

4.       关键原则

4.1     处理个人信息适用的关键原则是什么?

透明性:《网络安全法》(简称“CSL”)第41条明确规定,网络运营者应当公开收集和使用个人信息的规则,并明确告知收集和使用的用途、方法和范围。同样的原则也被纳入到《个人信息保护法》(简称“PIPL”)。根据第7条:处理个人信息应当遵循公开透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。

处理的合法基础:《网络安全法》第41条和《民法典》第1035条要求网络运营者在收集和使用个人信息时遵守“合法、正当、必要”的原则。PIPL同样要求处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。此外,PIPL第13条提供了处理个人信息的各种合法依据,包括:

  • 获得个人信息主体的同意;

  • 为订立、履行与个人信息主体签订的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

  • 履行法定职责或者法定义务所必需;

  • 应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

  • 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

  • 在PIPL规定的合理范围内处理公开披露的个人信息;或

  • 法律、行政法规规定的其他情形。

目的限制:《网络安全法》第41条要求网络运营者不得收集与其提供的服务无关的个人信息。PIPL同样要求处理个人信息应当具有明确、合理的目的,并且应当与处理目的直接相关。

数据最小化:PIPL第6条要求处理个人信息应当采取对个人权益影响最小的方式,限于实现处理目的的最小范围,禁止过度收集个人信息。

比例原则:《网络安全法》和PIPL中没有明确的比例原则的规定,但PIPL中的数据最小化原则本质上类似于比例原则,强调“处理个人信息仅在适当和必要的范围内”,并要求“以对个人权益影响最小的方式”处理。

保留期限:根据PIPL第19条,除非法律、行政法规另有规定,个人信息的保存期限应当为实现处理目的所必需的最短期限。

数据质量和准确性:PIPL第8条要求在处理个人信息时保证个人信息的质量,避免因个人信息不准确或不完整而对个人权益造成不利影响。

责任原则:PIPL第9条要求个人信息处理者对其处理的个人信息承担责任,并采取必要措施确保所处理个人信息的安全。

5.       个人权利

5.1     个人就其个人信息处理享有哪些关键权利?

访问权/获取处理信息的权利:《民法典》和《个人信息保护法》(简称“PIPL”)赋予个人从个人信息处理者处查阅或复制其个人信息的权利。

更正错误的权利:PIPL规定,如果个人发现其个人信息不准确或不完整,有权请求个人信息处理者进行更正或补充。《民法典》和《网络安全法》(简称“CSL”)也规定了类似规则。

删除权/被遗忘权:PIPL要求个人信息处理者在下列任一情形下主动或根据相关个人的要求删除个人信息:

  • 处理目的已经实现、无法实现或不再必要实现该目的;

  • 个人信息处理者停止提供产品或服务,或者保存期限届满;

  • 个人撤回其同意;

  • 个人信息处理者违反法律、行政法规或约定处理个人信息;或

  • 法律、行政法规规定的其他情形。

反对处理的权利:根据PIPL,数据主体有权限制或拒绝他人处理其个人信息。

限制处理的权利:根据PIPL,数据主体有权限制或拒绝他人处理其个人信息。

数据可携带权:根据PIPL第45条,如果个人请求将其个人信息转移给其指定的个人信息处理者,并且符合国家网信部门规定的条件,个人信息处理者应当提供转移的方式。

撤回同意的权利:PIPL第15条规定,如果处理个人信息基于个人的同意,个人有权撤回其同意。个人信息处理者应当提供方便的方法让个人撤回其同意。

反对营销的权利:《标准》第8.4节规定,数据主体有权不接收基于其个人信息的商业广告。另外,对于通过自动化决策方式进行营销的情况,PIPL要求处理者向相关个人提供便捷的拒绝方式。

针对单一自动化决策和画像的保护权:PIPL规定,处理者利用个人信息作出自动化决策时,应当保证决策过程的透明度及结果的公平公正,不得对交易价格和交易条件对个人实行不合理差别待遇。在通过自动化决策向个人推送信息和进行商业营销的情况下,处理者应当同时提供非针对个人特征的选项,并提供便捷的拒绝方式。另一方面,个人有权要求个人信息处理者对其自动化决策进行解释,并有权拒绝仅通过自动化决策作出对其权利和利益有重大影响的决定。

向相关数据保护机构投诉的权利:多部法律法规确认了个人向数据保护机构投诉的权利。例如,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第九条指出,任何组织和个人有权向有关主管部门举报非法窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的行为。此外,CSL第14条规定,可以向国家网信部门、电信主管部门和公安机关报告危害网络安全的行为。根据PIPL,任何组织和个人有权向履行个人信息保护职责的部门投诉或举报非法个人信息处理活动。

其他关键权利:PIPL还保护逝者的近亲属的权利。自然人死亡后,其近亲属为了自身的合法正当利益,可以行使本章规定的查阅、复制、更正、删除等相关个人信息的权利,但死者生前另有安排的除外。

5.2     请确认数据主体是否有权授权非营利组织代表他们寻求救济或寻求集体赔偿。

PIPL中有类似的规定。PIPL第70条指出,任何个人信息处理者违反本法规定处理个人信息,侵害众多个人的权利和利益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织有权向人民法院提起诉讼。

 6.     儿童个人信息

6.1     对于处理儿童个人信息有何额外义务?

根据PIPL,14岁以下儿童的个人信息被视为敏感个人信息,其处理须遵守额外的法律规定。根据PIPL第31条,处理14岁以下儿童的个人信息需要获得儿童父母或其他监护人的同意,并且应制定专门的处理规则。

此外,国务院发布了《未成年人网络保护条例》,国家网信部门(CAC)也颁布了专门针对儿童个人信息保护的规定,即《儿童个人信息网络保护规定》。处理儿童个人信息的数据处理者除了上述要求外,还需制定专门的数据保护规则和用户协议,并指定专人负责此类信息的保护工作。

7.        注册手续和事先审批

7.1     企业是否有法律义务就其处理活动向数据保护机构(或任何其他政府机构)进行注册或通知?

根据《网络安全法》、《个人信息保护法》和《数据安全法》,在某些情况下,向国外传输个人信息或重要数据可能会触发此类义务。对于关键信息基础设施运营者(“CIIOs”),如果其在中国境内产生或收集的个人信息或重要数据需要因业务目的传输到国外,则应按照网信办和/或国务院有关部门的规定进行安全评估。根据《个人信息保护法》,个人信息处理者达到网信办规定数量的,也将承担此类义务。对于其他个人信息处理者,《个人信息保护法》提供了其他合规传输个人信息到国外的方式,其中数据处理者可以选择通过网信办组织的安全评估。

具体而言,《跨境数据传输安全评估办法》和《个人信息跨境传输标准合同办法》适用于数据处理者将其在中国境内运营中收集和产生的重要数据和个人信息提供给境外接收者的情况。具体来说,如果数据处理者向国外提供重要数据、是关键信息基础设施运营者,或在向国外提供个人信息方面达到一定阈值,则需要向网信办提交跨境数据传输安全评估申请,除非适用《促进和规范数据跨境流动管理规定》中列举的豁免情况之一。如果数据处理者在《跨境数据传输安全评估办法》下未达到跨境数据传输安全评估的阈值,则可以选择与境外接收者签订《个人信息跨境传输标准合同》(“标准合同”),并将标准合同和个人信息保护影响评估报告提交给省级网信办以保持合规,除非适用《促进和规范数据跨境流动管理规定》中列举的豁免情况之一。

根据《数据安全法》,重要数据的处理者应按照有关规定定期对其数据处理活动进行风险评估,并向有关主管部门提交风险评估报告。针对特定行业,网信办已发布了一项关于汽车数据安全保护的规定,其中要求汽车数据处理者对其重要数据的处理进行风险评估,并向省级网信部门和其他有关主管部门提交评估报告。此类处理者还须在每年12月15日之前向这些部门提交其年度汽车数据安全管理报告。此外,处理者跨境传输重要数据也须接受网信办和有关部门的评估。

网信办还对算法推荐技术和深度合成技术在提供互联网信息服务中的应用提出了法律要求,具有舆论属性或社会动员能力的算法推荐或深度合成服务提供者须履行备案手续。

此外,如果数据处理活动涉及国家安全问题,此类活动还可能触发网络安全审查。根据网信办和其他多个国家部门发布的《网络安全审查办法》,关键信息基础设施运营者采购网络产品和服务,以及网络平台运营者开展影响或可能影响国家安全的数据处理活动,应通知有关部门进行网络安全审查。持有超过100万用户个人信息的网络平台运营者,在其他国家进行首次公开发行(“IPO”)时,也应申报网络安全审查。

7.2     如果需要进行此类登记/通知,必须是具体的(例如,列出所有处理活动、数据类别等)还是可以是概括性的(例如,提供相关处理活动的大致描述)?

对于个人信息和重要数据的国际转移安全评估以及标准合同的备案,通知设计为具体的,涵盖诸如转移的合法性、公平性、必要性、数据要素、数量、数据敏感性、安全风险等方面。

汽车数据处理者的报告也需要是具体的。处理者需提供汽车数据处理活动的详细信息,如汽车数据的类型、规模、处理目的和必要性、汽车数据的安全保护和管理措施、向第三方提供汽车数据的情况、数据安全事件及其处理等。

算法的备案需要通过相关主管部门运营的互联网信息服务算法备案系统进行,需要提供服务提供商名称、服务形式、应用领域、算法类型、算法自评估报告等内容的详细信息。

网络安全审查也是以详细的方式进行。相关数据处理者需要备案(包括但不限于)一份详细分析国家安全风险因素的评估报告。

7.3     登记/通知是基于何种基础进行的(例如,按法律实体、按处理目的、按数据类别、按系统或数据库)?

对于国际数据转移,通知应由数据处理者按“场景”进行,这些场景类似于业务流程,可能涵盖几个相关的处理目的。对于安全评估,通知的有效期为三年,除非出现处理目的变更等情况。对于标准合同的备案,除非出现变更情况,否则一直有效。

对于汽车数据,每个进行重要数据处理的数据处理者都需要提交其整体汽车数据处理活动的报告。同样地,算法的备案应当由每个相关服务提供商进行,如果备案信息发生变更,服务提供商应在10个工作日内做出修改。

至于网络安全审查,如上所述,当CIIO购买可能影响国家安全的网络产品和服务时,或者当在线平台运营商的某项数据处理活动影响或可能影响国家安全时,或者当拥有超过1百万用户个人信息的在线平台运营商在其他国家上市时,审查程序就会启动。

7.4     必须向数据保护机构登记/通知的是哪些实体(例如,当地法律实体、受相关数据保护立法约束的外国法律实体、受相关数据保护立法约束的外国法律实体的代表处或分支机构)?

请参考问题7.1和7.3。

7.5     登记/通知中必须包含哪些信息(例如,通知实体的详细信息、受影响的个人类别、受影响的个人数据类别、处理目的)?

请参考问题7.2。

7.6     如果需要登记/通知而未进行登记/通知,会有哪些处罚?

根据《网络安全法》(简称“CSL”),如果CIIO未通知其跨境转移个人信息和重要数据,主管机关将发出警告并责令改正,并处没收违法所得,罚款从人民币5万元至50万元,并可能暂停相关业务、停业整顿、关闭网站、吊销营业执照;直接负责的主管人员和其他直接责任人员将被处以1万元至10万元的罚款。对于个人信息处理者,根据《个人信息保护法》(简称“PIPL”),监管机构可能会责令改正、给予警告、没收违法所得;如果拒绝改正,将处以不超过100万元的罚款;直接负责的主管人员和其他直接责任人员将被处以1万元以上10万元以下的罚款。情节严重的,个人信息处理者可能面临更高的罚款,不超过5000万元或不超过其上一年度营业额的5%,监管机构还可以责令暂停相关业务、停业整顿、吊销相关业务许可或营业执照。此外,直接负责的主管人员和其他直接责任人员将被处以10万元以上100万元以下的罚款,并可能作出禁止相关人员在一定期限内担任相关企业的董事、监事、高级管理人员及个人信息保护负责人。

根据《数据安全法》(简称“DSL”),重要数据处理者未报告的,可能会被责令改正、警告,并处以不低于5万元不超过50万元的罚款;直接负责的主管人员和其他直接责任人员将被处以1万元以上10万元以下的罚款;如果处理者拒绝改正或导致大量数据泄露等严重后果,将被处以50万元以上200万元以下的罚款,并可能被责令暂停相关业务、停业整顿,吊销相关业务许可或营业执照。直接负责的主管人员和其他直接责任人员将被处以5万元以上20万元以下的罚款。

对于具有舆论属性或社会动员能力的算法推荐服务提供者,通过隐瞒有关信息、提供虚假材料或者其他不当手段取得备案的,将撤销备案、给予警告或通报批评;情节严重的,将责令暂停信息更新,并处以1万元以上10万元以下的罚款。对于深度合成服务提供者未履行备案职责的,将依照有关法律法规的规定进行处罚。如果上述违法行为构成犯罪,将依法追究刑事责任。

使用未经安全审查或安全审查不合格的产品和服务的CIIO,主管机关将责令停止使用,并处采购金额1倍以上10倍以下的罚款;直接负责的主管人员和其他直接责任人员将被处以1万元以上10万元以下的罚款。

7.7     每次注册/通知需要支付费用吗(如果适用)?

通常,这类通知是免费的。

7.8     注册/通知需要多久续签一次(如果适用)?

请参考问题7.1和7.3。

7.9     是否需要事先获得数据保护监管机构的批准?

对于问题7.1中提到的国际数据转移,一般认为在适用情况下需要事先批准。至于重要数据处理,根据《数据安全法》(简称“DSL”)并没有事先批准的要求。算法的备案也同样不需要事先批准。

对于网络安全审查,理解为需要事先批准。

7.10 注册/通知是否可以在线完成?

国际数据转移和算法的备案通常是在线进行的;然而,在某些情况下,也可以离线完成。网络安全审查则采用离线方式。

7.11 是否有一个已完成注册/通知的公开列表?

对于算法的备案,可以在互联网信息服务算法备案系统找到已完成备案的清单。对于CBDT安全评估,截至2024年4月,国家网信部门(简称“CAC”)通过公开渠道公布了一些已完成的备案。目前尚不清楚CAC是否会继续以及如何公布已完成的备案。

7.12 典型的注册/通知过程需要多长时间?

对于安全评估,规定指出,国家网信部门应当自出具书面受理通知书之日起45个工作日内完成出境数据的安全评估;如果情况复杂或者需要补充材料,该期限可以适当延长。

对于算法的备案,主管部门应当在收到备案申请人提交的完整备案材料之日起30个工作日内办理备案手续,发放备案号,并予以公布;如果材料不完整,则不予备案,并在30个工作日内通知备案申请人,并说明理由。

网络安全审查遵循“30+15+15”个工作日的一般审查程序。如果需要特别程序,审查应当在90个工作日内完成,特殊情况下的时限可以延长。

8.         数据保护官的任命

8.1      任命数据保护官是强制性的还是可选的?如果只有在某些情况下才强制任命数据保护官,请指出那些情况。

根据《个人信息保护法》(简称“PIPL”),当处理的个人信息数量达到国家网信部门(简称“CAC”)规定的标准时,个人信息处理者应当指定个人信息保护负责人,负责监督个人信息处理活动和采取的保护措施。目前,这一阈值尚未公布。虽然PIPL没有具体规定个人信息保护负责人的资格要求,但《标准》规定个人信息保护负责人应具备个人信息保护方面的相关管理经验和专业知识。

根据《数据安全法》(简称“DSL”),重要数据处理者应当明确数据安全负责人和管理机构,并落实数据安全保护责任。

8.2     如果需要任命数据保护官而未任命,会有什么样的处罚?

PIPL及相关法律法规没有直接规定数据保护官(简称“DPO”)的法律责任。但是,法律法规指定了“直接负责的主管人员或其他直接责任人员”的法律责任,并规定了这些主体的法定职责来确定这些官员的法律责任。

根据PIPL,监管机构可能会责令处理者改正、给予警告、没收违法所得。如果拒绝改正,将处以不超过100万元的罚款;直接负责的主管人员和其他直接责任人员将被处以1万元以上10万元以下的罚款。情节严重的,处理者可能面临更高的罚款,不超过5000万元或不超过其上一年度营业额的5%;监管机构还可以责令暂停相关业务、停业整顿,吊销相关业务许可或营业执照。此外,直接负责的主管人员和其他直接责任人员将被处以10万元以上100万元以下的罚款,并可能作出禁止相关人员在一定期限内担任相关企业的董事、监事、高级管理人员及个人信息保护负责人的决定。

根据DSL,重要数据处理者未指定数据安全负责人可能会被责令改正、警告,并处以不低于5万元不超过50万元的罚款;直接负责的主管人员和其他直接责任人员将被处以1万元以上10万元以下的罚款;如果处理者拒绝改正或导致大量数据泄露等严重后果,将被处以50万元以上200万元以下的罚款,并可能被责令暂停相关业务、停业整顿,吊销相关业务许可或营业执照。直接负责的主管人员和其他直接责任人员将被处以5万元以上20万元以下的罚款。

8.3     数据保护官在其角色方面是否受到纪律处分或其他就业后果的保护?

如果DPO未能尽职尽责地履行其职责,他或她可能会因作为DPO的角色而承担行政甚至刑事责任。

8.4     企业能否任命一名数据保护官覆盖多个实体?

法律法规及相关规则没有明确规定企业是否可以任命一名DPO覆盖多个实体。

8.5     请描述法律要求的数据保护官的具体资格。

《标准》第11.1节规定,DPO应具备个人信息保护的相关管理经验和专业知识。

8.6     根据法律规定或最佳实践,数据保护官的职责是什么?

请参考问题8.1的回答。此外,《标准》第11.1节规定,DPO的职责包括但不限于:

  • 对组织的个人数据安全负直接责任,并全面实施;

  • 组织制定个人信息保护工作计划并监督其实施;

  • 起草、发布、实施并定期更新隐私政策及相关规定;

  • 建立、维护和更新组织持有的个人数据清单(包括个人数据的类型、数量、来源、接收方等)和授权访问政策;

  • 进行个人数据安全影响评估,提出个人信息保护对策和建议,并督促对安全风险进行整改;

  • 组织个人数据安全培训;

  • 在未知收集、使用、共享及其他处理个人数据的产品或服务发布前进行测试;

  • 公布投诉或报告方法等信息,并及时接受投诉和报告;

  • 进行安全审计;

  • 与监管机构沟通,并报告个人信息保护和事件处理等事宜。

8.7     任命数据保护官是否需要向相关数据保护机构登记/通知?

根据PIPL,需要。个人信息处理者应当公开个人信息保护负责人的联系方式,并向监管机构提交其姓名和联系方式。

8.8     数据保护官是否需要在面向公众的隐私声明或类似文件中被提及?

是的。请参考问题8.7的回答。

9.       处理者的任命

9.1     如果一家企业委托处理者代表其处理个人信息,该企业是否必须与处理者签订任何形式的协议?

是的。根据《个人信息保护法》(简称“PIPL”),当个人信息处理者委托他人处理个人信息时,应当与受托人约定处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利和义务,并监督受托人的个人信息处理活动。值得注意的是,根据PIPL的要求,委托数据处理协议还应包括一条款,即受托方将协助处理者履行PIPL中规定的合规义务。

9.2     如果有必要签订协议,该协议的形式(例如,书面、签字等)以及必须解决的问题(例如,仅按照相关指示处理个人信息、确保个人信息的安全等)是什么?

请参考问题9.1。

10.        市场营销

10.1      请描述任何关于发送电子直接营销(例如,通过电子邮件或短信进行营销)的立法限制(例如,对于通过电子邮件或短信进行营销,是否需要事先获得接收人的选择加入同意?)。

电子邮件或短信作为一种商业广告形式,受到《民法典》、《广告法》以及其他相关法律法规的规制。《民法典》第1033条明确规定,除法律另有规定或者权利人明确同意外,任何组织或者个人不得通过电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活。根据《广告法》第43条,未经当事人同意或者请求,任何组织或者个人不得以电子信息方式向其发送广告。以电子信息方式发送广告的,应当明示发送者的真正身份和联系方式,并向接收者提供拒绝继续接收的方式。第44条进一步规定,以弹出窗口形式在网站上发布的广告应当显著标明关闭标志。

关于电子邮件的特殊规定,《互联网电子邮件服务管理办法》第13条要求在邮件主题中标明“广告”或“AD”,并且禁止未经接收人明确同意发送含有商业广告的电子邮件。第14条规定,如果已明确同意接收电子直接营销的电子邮件接收人在随后拒绝继续接收此类邮件,发送者应当停止发送,除非双方另有约定。应当向接收人提供终止接收此类邮件的联系方式,包括发送者的电子邮件地址,并确保这些联系方式在30天内有效。

关于短信的特殊规定,早在2015年,工业和信息化部就发布了并实施了《通信短信息服务管理规定》。第18条指出,短信息及短信息内容提供者不得未经用户同意或者请求向其发送商业性短信息,或者在用户同意后明确表示拒绝接收的情况下停止发送此类短信息。

此外,根据《网络交易监督管理办法》,第16条规定,任何网络交易经营者不得未经消费者同意或者请求向其发送商业信息。网络交易经营者发送商业信息时,应当明确标示自己的真实身份和联系方式,并以显著方式提供消费者拒绝继续接收的简便免费方法。如果消费者明确表示拒绝,应当立即停止发送,并且在更改名称后也不得再次发送。

10.2     这些限制是否只适用于商业到消费者的营销,还是也适用于商业到商业的情境?

目前中国的法律法规,包括《广告法》、《互联网电子邮件服务管理办法》、《网络交易监督管理办法》以及《通信短信息服务管理规定》,并未明确规定这些规定是否仅适用于商业到消费者的营销。

10.3     请描述其他发送营销方式的立法限制(例如,对于电话营销,必须事先检查全国退出注册;对于邮递营销,没有同意或退出的要求等)。

对于通过其他方式发送营销的情况,也有若干适用的法规。例如,《互联网广告管理办法》第2条指出,凡在中国境内通过网站、网页、互联网应用程序等互联网媒介,以文字、图片、音频、视频或者其他方式,直接或者间接地推销商品或者服务的商业广告活动,都适用《广告法》和本办法。在这种情况下,互联网广告的范围被扩大,通过其他方式发送营销(例如直播和推荐)的行为受到该规定的规制。

具体而言,第9条要求互联网广告应当显著标明“广告”,使消费者能够辨明其为广告。第10条要求发布以弹窗等形式的互联网广告时,应当显著标明关闭标志,确保一键关闭。一方面,这些限制细化了一键关闭功能的影响情况,并将开屏广告纳入适用范围。另一方面,规定明确了欺骗、诱导用户点击或浏览广告的禁止行为。

此外,《全国人民代表大会常务委员会关于加强网络信息保护的决定》第七条指出,任何组织和个人未经接收者同意或者请求,或者接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。

电子商务平台经营者在展示商品或者服务搜索结果时,对于竞价排名的商品或者服务,应当显著标明“广告”,依据《电子商务法》第40条。第18条进一步规定,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项。

对于利用自动化决策进行营销的情况,《个人信息保护法》要求相关的处理者同时提供不针对个人特征的选项,或者提供拒绝此类营销或推送的方法。

10.4     上述限制是否适用于从其他国家或地区发送的营销?

《广告法》、《互联网广告管理办法》、《互联网弹窗信息推送服务管理规定》和《电子商务法》适用于在中国境内提供产品和服务的经营者,而对于境外经营者通过跨境模式向中国提供产品或服务的情况,法律并未进一步明确是否适用。然而,根据《网络安全审查办法》第3.2条的规定,不在中国注册但使用中文向中国提供产品或服务、以人民币结算并向中国交付产品的经营者被视为“向中国提供产品或服务”,在这种情况下,相关的规定有可能适用。

《个人信息保护法》适用于针对中国自然人提供的产品或服务目的而处理其个人信息的情形。因此,如果从其他国家或地区发送的营销属于上述情况之一,则可能受到《个人信息保护法》的管辖。

10.5     相关的数据保护监管机构是否积极执行违反营销限制的行为?

市场监管局主要负责执行营销限制。最近有市场监管局等部门采取行动的例子。例如,2017年,上海xx贷金融信息服务有限公司因其侵犯《广告法》的行为被处以80万元人民币的罚款,其中的违规行为包括未经接收人事先同意通过电子邮件发送直接广告。

10.6     从第三方购买营销名单是否合法?如果是,对于使用此类名单有哪些最佳实践建议?

如果营销名单的来源合法并且数据主体已经同意,则这样做并不被禁止。否则,这样做是非法的,因为网络服务提供者以及其他企业和事业单位及其工作人员有义务对其在业务活动中收集的公民个人电子信息严格保密,不得泄露、篡改、毁损、出售或非法提供给他人,这是根据全国人大常委会《关于加强网络信息保护的决定》的规定。

10.7     违反适用限制发送营销通讯的最大罚则是多少?

《广告法》第63条规定,未经接收人同意发送直接营销通讯可能导致最高3万元人民币的罚款。

根据《电子商务法》第81条和《广告法》第62条,未明确标注“广告”字样的竞价排名产品,电商平台可能会面临最高10万元人民币的罚款。

此外,《电子商务法》第77条指出,违反第18条规定的电子商务经营者,将被责令在规定期限内改正,没收违法所得,并可能处以5万元至20万元人民币的罚款。情节严重的,应并处20万元至50万元人民币的罚款。

关于《个人信息保护法》下的罚则,请参阅问题8.2的回答。

11.    Cookies

11.1  请描述有关使用 Cookies(或类似技术)的立法限制。

目前没有专门针对 Cookies 使用的立法。鉴于 Cookies 可能属于个人信息的范畴,理解为适用于个人信息的一般规定同样适用于 Cookies 的使用。

具体来说,例如,《个人信息保护法》(简称“PIPL”)第7条指出,个人信息的处理应当遵循公开透明原则,处理个人信息的规则应当与明示的目的、方式和范围一致。因此,使用 Cookies 的网站应当披露不同类型的 Cookies 将收集何种类型的个人信息以及用途,并允许访客分别禁用非必需的 Cookies。

11.2     适用的限制(如果有)是否区分不同类型的 Cookies?如果是,相关因素是什么?

现阶段,法律法规没有区分不同类型的 Cookies。

11.3     到目前为止,相关数据保护监管机构是否已经对 Cookies 采取过任何执法行动?

关于 Cookies 使用的行政行动还没有记录。不过,在2015年,搜索引擎百度使用Cookies 对消费者访问特定第三方网站时投放个性化广告的行为被法院认定未侵犯个人隐私权。

11.4     违反适用 Cookies 限制的最大罚则是多少?

请参照其他一般违法行为的最大罚则。

12.       国际数据传输限制

12.1     请描述向其他国家或地区传输个人数据的任何限制。

《网络安全法》(CSL)、《个人信息保护法》(PIPL)和《数据安全法》(DSL)对跨境数据传输(CBDT)设定了要求。对于跨境传输个人信息和重要数据的限制,请参考问题7.1至7.12。

简而言之,《个人信息保护法》规定,处理达到监管部门指定数量阈值的个人信息的个人信息处理者以及关键信息基础设施运营者(CIIOs)应当存储在中国境内收集和产生的个人信息。当个人信息处理者确需向境外提供个人信息时,应当满足特定的要求(具体要求将在问题12.2中简要讨论)。

然而,就一般限制而言:

  • 只有出于真正的业务需要才允许跨境数据传输;

  • 个人信息处理者在进行跨境数据传输前应当单独征得个人信息主体的同意;

  • 在获取同意之前应当充分告知个人信息主体,例如,跨境数据传输的具体细节(如海外接收者的名称和联系信息、处理的目的和方式、拟转移的个人信息类型以及个人行使权利的方式和程序)应当向个人信息主体披露;

  • 个人信息处理者应当事先进行个人信息保护影响评估(PIPIA),并记录个人信息处理活动;

  • 个人信息处理者应当确保海外接收者的处理活动符合规定的保护标准,以便依法进行跨境数据传输;

  • 在某些情况下,如果海外接收者在中国大陆没有实体,并被定义为位于中国大陆以外的个人信息处理者,则需要在中国境内设立代表或代理机构来处理与个人信息保护相关的事务;

  • 个人信息处理者与其海外接收者应当在双方之间的法律文件中约定数据安全保护的责任和义务。

12.2     请描述企业通常采用的遵守适用传输限制的机制,以将个人数据转移到国外(例如,数据主体的同意、与数据主体订立合同、批准的标准合同条款、遵守法律义务等)。

通常,《个人信息保护法》和其他法律法规提供了几种企业可以采用的合规方式来将个人信息转移到国外,包括但不限于以下方法:

  • 通过国家网信办组织的安全评估(适用于CIIOs以及处理个人信息数量达到国家网信办规定阈值的数据处理者);

  • 按照国家网信办的要求取得个人信息保护专业机构的认证;

  • 与海外接收者订立国家网信办制定的标准合同,明确双方的权利和义务;或

  • 符合法律法规、行政法规或国家网信办规定的其他条件。

12.3     向其他国家或地区传输个人数据是否需要向相关数据保护监管机构进行注册/通知或事先批准?请描述哪些类型的传输需要批准或通知,这些步骤涉及什么内容,通常需要多长时间。

2024年3月22日发布的《促进和规范数据跨境流动的规定》提供了个人信息处理者应当向省级或国家级网信办登记/获得批准的情形。

一般来说,如果个人信息处理者满足以下任一条件,则需要向网信办申请跨境数据传输安全评估并获得事先批准:1) 涉及重要数据的跨境数据传输活动;2) 被认定为CIIO且涉及个人信息的跨境数据传输活动;或3) 从当年1月1日起累计向境外提供超过100万个人的个人信息(不包括敏感个人信息)或超过1万个人的敏感个人信息,但不是CIIO。

如果个人信息处理者满足以下条件,则需要向相关省级网信办备案标准合同或取得个人信息保护认证:从当年1月1日起累计向境外提供超过10万但不超过100万个人的个人信息(不包括敏感个人信息)或少于1万个人的敏感个人信息,但不是CIIO。

在这两种情况下,个人信息处理者需要在其跨境数据传输活动内部进行数据映射,并按照网信办发布的指南准备并提交申请/备案材料。总体而言,跨境数据传输安全评估的过程需要更复杂的材料,耗时也比标准合同备案过程长。

12.4     向其他国家或地区传输个人数据是否需要进行传输影响评估?如果进行传输影响评估只是在某些情况下强制性的,请说明那些情况。

请参考问题12.1和12.3。

12.5     数据保护监管机构在欧盟法院作出Schrems II案(案号C-311/18)裁决后发布了哪些指导(如有)?

这不适用。

12.6     数据保护监管机构发布了哪些关于使用标准合同/示范条款作为国际数据传输机制的指导(如有)?

国家网信办已发布了更新的指导,与《促进和规范数据跨境流动的规定》一起,提供了标准合同备案程序的要求和提交文件,其中个人信息处理者也可以找到需要备案的报告模板。

13.       举报热线

13.1     企业的举报热线被允许的范围是什么(例如,对可报告的问题类型、可以提交报告的人以及报告可能涉及的人的限制等)?

《个人信息保护法》(PIPL)规定,任何组织和个人有权向有关部门投诉或举报非法处理个人信息的行为。接到投诉或举报的部门应当及时处理,并将处理结果通知投诉人和举报人。类似地,《数据安全法》(DSL)也规定任何个人或组织都有权向有关部门投诉或举报。《网络安全法》(CSL)则规定互联网运营商应当建立与网络安全相关的投诉和举报制度,并公布接受投诉和举报的渠道。

13.2     是否禁止匿名举报,或者强烈不鼓励,还是通常被允许?如果禁止或不鼓励,企业通常如何处理这个问题?

《个人信息保护法》、《数据安全法》和《网络安全法》中没有明确规定禁止匿名举报。通常情况下,匿名举报是被允许的。

14.       闭路电视监控系统 (CCTV)

14.1     使用CCTV是否需要向相关数据保护监管机构进行单独注册/通知或事先批准,以及/或者需要发布任何形式的公共通告(例如,高可见度的标识牌)?

《公共安全视频图像信息系统管理条例》(征求意见稿,以下简称“CCTV条例”)由公安部发布,用于规范基于公共安全目的的CCTV使用。该条例第12条指出,任何人使用CCTV用于公共安全目的时,应当向当地公安机关通报所安装摄像头的类型和位置。

还有一些地方政府发布了关于CCTV的规章,并且这些地方性规章都是有效的。例如,北京市发布了《北京市公共安全图像信息系统管理办法》,该办法第11条指出,任何单位使用CCTV用于公共安全目的时,应当在相关CCTV建设完成后30日内,将建设情况进行备案登记。

14.2     对CCTV数据的使用是否有目的限制?

根据CCTV条例第6条,禁止从公共安全视频图像信息系统中获取国家秘密、工作秘密或商业秘密,或者利用该系统侵犯公民的隐私。建设和使用CCTV的组织应当对涉及国家秘密、工作秘密和商业秘密的基本信息(例如,系统设计、设备类型、安装位置、地址编码)以及收集的数据保密,并且不得非法披露涉及公民隐私的CCTV数据。根据CCTV条例第22条,此类CCTV数据不得买卖、非法使用、复制或传播。根据CCTV条例第21条,侦查机关、检察机关和司法机关、公安机关和国家安全机关以及县级以上人民政府行政管理部门可以检查、复制或提取通过CCTV收集的基本信息或数据。

在安全服务的情况下,根据《保安服务管理条例》第25条,使用CCTV设备不得侵犯个人的合法权益或隐私。

值得注意的是,《个人信息保护法》对公共场所安装的图像采集和个人识别设备进行了限制。此类数据收集活动必须是为了维护公共安全的必要,并且应遵守国家的相关规定,同时设置醒目的提示标识。收集的个人图像和个人识别信息只能用于维护公共安全的目的,除非得到个人的单独同意,不得用于其他目的。此外,CCTV条例旨在限制CCTV数据的使用。例如,CCTV条例第19条指出,当CCTV数据用于公共传播时,除非法律另有规定,应当对个人特征、车牌号码等个人信息采取保护措施。

15.       员工监控

15.1     允许哪些类型的员工监控(如果有的话),在什么情况下?

《劳动合同法》第8条规定,雇主有权了解与劳动合同直接相关的员工基本信息;因此,某些类型的员工监控是被允许的,尽管没有具体的规则明确涉及员工监控。另一方面,监控不应侵犯员工的隐私

此外,职场监控是保护员工个人数据的一个重要场景。例如,在实践中,企业可以通过监控员工的浏览器、数据流、键盘输入、上厕所的时间以及手机等手段实现业务相关的目标,防止数据或商业秘密泄露,并监督员工在工作时间内是否有效工作。此外,办公场所周围常见的闭路电视监控也是常见的一种形式。

只有在满足合规要求的情况下,上述监控活动才不会侵犯员工的个人隐私。

15.2     是否需要获得同意或通知?描述雇主通常如何获得同意或提供通知。

根据《个人信息保护法》,如果处理个人信息是为了实施人力资源管理而依据内部劳动规章制度和集体合同的规定,则可能不需要获得同意。但是,如果处理员工的个人信息超出了人力资源管理的范围,则需要获得同意,除非处理符合《个人信息保护法》第13条规定的其他合法基础。

在实践中,雇主通常选择在劳动合同、员工手册或其他类似文件中加入一条规定,以此告知员工处理他们的个人信息,并在必要时获得他们的同意。

15.3     工会/员工代表需要被告知或咨询到什么程度?

《劳动合同法》第4条规定,雇主在制定、修改或决定直接涉及员工切身利益的事项(如薪酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律和劳动定额管理等)时,需要与员工代表大会或全体员工协商,并与工会或员工代表进行谈判。第43条进一步规定,雇主单方面解除劳动合同前需要通知工会。然而,这些通知或谈判的情况可能与雇主监控或处理员工个人数据不直接相关。

15.4     雇主是否有权处理员工在办公室的出勤信息(例如,为了监控遵守内部返岗政策的情况)?

如果已从员工那里获得了同意,并且数据处理活动是必要且合法的,那么答案是肯定的。然而,如果雇主试图在没有获得同意的情况下处理此类信息,可能需要另一个合法理由,例如,在COVID-19疫情期间,雇主可能能够根据“应对公共卫生紧急事件或保护自然人在紧急情况下的生命健康和财产安全”的合法基础处理此类个人信息。尽管如此,需要注意的是,雇主能否基于除同意之外的合法理由处理员工的信息需要根据具体情况评估。

16.       数据安全与数据泄露

16.1     是否有一般性的义务来确保个人数据的安全?如果是,哪些实体负责确保数据的安全(例如,控制者、处理者等)?

答案是肯定的。《网络安全法》(CSL)、《数据安全法》(DSL)和《个人信息保护法》(PIPL)作为中国在网络空间安全和数据合规领域的三大基本法律,都提出了一些关于数据安全的一般性义务。

《网络安全法》中的通用义务:

  • 根据《网络安全法》第40条,网络运营者有义务建立健全用户信息保护制度。

  • 根据《网络安全法》第42条,网络运营者负责采取技术和必要的措施确保其收集的个人信息的安全。

《数据安全法》中的通用义务:

  • 个人信息作为一种广义上的数据,也受到《数据安全法》的保护。

  • 根据《数据安全法》第27条,开展数据(包括个人信息)处理活动的主体应当建立健全数据安全管理全流程体系,并采取必要的措施确保数据安全。

  • 此外,利用互联网或其他信息网络开展数据(包括个人信息)处理活动时,应当在网络安全等级保护制度的基础上履行数据安全保护义务。

《个人信息保护法》中的通用义务:

  • 《个人信息保护法》第9条指出,个人信息处理者应当采取必要的措施确保其处理的个人信息的安全。

  • 此外,《个人信息保护法》第51条具体规定了个人信息处理者可以采取哪些方法来确保个人信息的安全,例如制定内部管理制度和操作规程,并采取相应的技术安全保障措施。上述所有义务都由个人信息控制者承担,即《个人信息保护法》中的个人信息处理者。然而,如果《网络安全法》中的网络运营者或《个人信息保护法》中的个人信息处理者作为控制者委托第三方(称为处理者)代表其处理个人信息,应当确保该处理者能够为涉及的个人信息提供足够的保护水平。

16.2     是否有法律规定要求向相关数据保护监管机构报告数据泄露?如果是,描述必须报告的详细信息、报告对象以及报告时限。如果没有法律规定,描述在什么情况下相关数据保护监管机构期望自愿报告数据泄露。

答案是肯定的。类似于对个人信息安全的一般性义务,三部法律都提出了向相关监管机构报告数据泄露的义务。

《网络安全法》中的法律规定:

  • 根据《网络安全法》第42条,一旦发生(可能的)泄露、损坏或丢失所收集的数据,网络运营者应当立即采取补救措施并向有关主管部门报告。

《数据安全法》中的法律规定:

  • 类似地,根据《数据安全法》第29条,数据控制者在发生数据安全事件时应当向有关主管部门报告。

《个人信息保护法》中的法律规定:

  • 根据《个人信息保护法》,一旦个人信息已经被泄露、篡改或丢失,或者可能发生泄露、篡改或丢失,个人信息处理者应当立即采取补救措施,并通知相关主管部门和受影响的个人。通知应当包括以下事项:

    • 已经涉及或可能涉及的个人信息的类型、原因及其可能造成的危害;

    • 个人信息处理者采取的补救措施以及个人可以采取减轻危害的措施;

    • 个人信息处理者的联系方式。

2023年12月8日,国家网信办发布了《网络安全事件报告管理规定》(征求意见稿,以下简称“事件规定”),这是数据泄露通知方面的一个里程碑,明确了数据泄露事件报告的程序和要求。具体而言,根据事件的类别,报告义务应在一小时内、24小时内或五个工作日内完成。在报告的内容方面,《事件规定》第5条和附件2规定至少应当涵盖以下事项:

  • 发生事故的实体名称及设施、系统和平台的基本情况;

  • 何时何地发现或发生的事故、事故类别、造成的影响和损害、已经采取的措施及其效果;

  • 形势的发展趋势和可能进一步造成的影响和损害;

  • 事故初步分析的原因;

  • 进一步调查和分析所需的线索,包括可能的攻击者信息、攻击路径和现有漏洞;

  • 需要进一步采取的措施和支持事项;

  • 事故现场保护状况。

16.3     是否有法律规定要求向受影响的数据主体报告数据泄露?如果是,描述必须报告的详细信息、报告对象以及报告时限。如果没有法律规定,描述在什么情况下相关数据保护监管机构期望自愿报告数据泄露。

答案是肯定的,请参见问题16.2。

此外,根据《个人信息保护法》,如果个人信息处理者采取措施有效地避免了因泄露、篡改或丢失信息造成的损害,个人信息处理者可以选择不通知受影响的个人。如果履行个人信息保护职责的机关认为可能会造成损害,可以要求个人信息处理者通知受影响的个人。

16.4     个人数据安全泄露的最大处罚是什么?

《个人信息保护法》提出了一般性的惩罚规则,适用于个人信息处理者未能履行数据保护职责的情况,包括个人信息泄露的情形。具体而言,对于违反个人信息保护义务的行为,主管机关有权对数据处理者处以最高不超过 5000 万元人民币或上一年度营业额 5% 的罚款。此外,对直接负责的主管人员处以 10 万元以上 100 万元以下的罚款。

根据《网络安全法》第64条,对于严重违反数据安全的情况,违规的运营者或提供者可能面临最高 100 万元人民币(或违法所得10倍)的罚款、暂停相关业务、停业整顿、关闭网站和吊销营业执照。直接负责的主管人员可能面临最高 10 万元人民币的罚款。

此外,根据《数据安全法》第45条,对于造成严重后果的情况,如大规模数据泄露,从事数据处理活动的组织或个人将被处以 50 万元以上 200 万元以下的罚款,并可能被责令暂停相关业务或停止营业进行整改。同时,直接负责的主管人员和其他直接责任人员也将被处以 50 万元以上 200 万元以下的罚款。

17.       执行与制裁

17.1     描述数据保护监管机构的执行权力。

调查权力:国家网信办(CAC)、其他相关国家部门(如工业和信息化部(MIIT)、公安部(MPS)和市场监管总局(SAMR))以及县级以上地方人民政府的相关部门将分别受理和处理与数据保护相关的投诉和举报,并可调查非法的数据处理活动。

纠正权力:根据《个人信息保护法》(PIPL)、《网络安全法》(CSL)和《数据安全法》(DSL),国家网信办和其他相关数据保护监管机构可以发出警告并责令改正。对于拒绝遵循指示的实体,构成不合规行为,并可能招致后续的制裁。

授权与指导权力:相关数据保护监管机构可以通过发布国家标准和其他指南来指导个人信息处理者保护个人信息。例如,根据《个人信息保护法》第38条和《出境数据安全评估办法》,如果个人信息处理者需要将信息传输到中国境外,如果满足一定的门槛要求,他们需要通过国家网信办的安全评估。

对违反特定法律条款的行为处以行政处罚罚款:国家网信办和其他相关国家部门(如工业和信息化部、公安部和市场监管总局)有权对违反《数据安全法》和《个人信息保护法》等相关数据保护法律的企业和直接责任人员处以行政处罚罚款。

对不遵守数据保护监管机构的行为处以处罚:根据《个人信息保护法》、《网络安全法》和《数据安全法》,国家网信办和相关数据保护监管机构可以处以罚款、没收违法所得、暂停相关业务、停业整顿以及吊销相关业务许可或营业执照作为不合规的处罚。

17.2     数据保护监管机构是否有权发布针对特定处理活动的禁令?如果有,这样的禁令是否需要法院命令?

是的,数据保护监管机构有权发布禁令,并且不需要法院命令。例如,根据《网络安全法》第50条,如果发现法律和行政法规禁止发布的或传播的信息,国家网信办和其他相关主管部门可以要求网络运营者停止传播该信息,并采取删除等措施,同时保存相关记录。如果此类信息来自海外,他们可以阻断传播。

17.3     描述数据保护监管机构行使这些权力的方式,并举例说明最近的案例。

国家网信办和其他相关数据保护监管机构可以以行政处罚的形式发布禁令,同时还可能伴随其他惩罚措施,如罚款、责令整改等。在最近针对应用程序提供商的专项整改行动中,国家网信办、工业和信息化部及其地方分支机构通常会发布一份应用程序提供商名单,并描述它们非法处理个人信息的情况(如过度收集、未通知用户等)。对于未能进行整改的应用程序提供商,国家网信办、工业和信息化部及相关监管机构甚至可以要求应用商店下架这些应用程序。

17.4     数据保护监管机构是否会对其在他国设立的企业行使权力?如果是,这如何执行?

截至目前,尚无公开记录显示中国的数据保护监管机构直接对他国设立的公司行使权力。在大多数情况下,监管机构可能会与国际公司的当地子公司就违反《网络安全法》或其他数据保护法规的行为进行沟通。

18.     电子取证/向外国执法机构披露

18.1   企业通常如何响应外国电子取证请求,或来自外国执法机构的披露请求?

原则上,中国一直主张通过相关主管部门的司法协助审批来进行数据向外国执法机构的披露。

对于国际司法活动,根据《国际刑事司法协助法》第4条,未经中国主管部门的同意,中国境内的组织和个人不得向境外实体提供证据材料。

对于具体的个人信息/数据保护法律法规,《个人信息保护法》(PIPL)和《数据安全法》(DSL)均禁止个人信息/数据处理者未经主管部门批准向外国司法或执法机关提供个人信息/数据。如果中国与相关外国之间有司法协助或合作条约或协议,相关企业可以根据这些条约或协议来回应此类请求。任何违反这一要求的实体或责任人可能会受到行政处罚。此外,司法部发布了《关于涉外民事和商事司法协助常见问题解答》,其中特别规定,外国司法机构或司法人员收集位于中国境内的证据材料时,应当首先向司法部申请调查。

此外,在某些行业中,还有对外国行政机关访问存储在中国的数据的限制。例如,《证券法》第177条要求境外证券监管机构不得直接在中国境内进行调查取证等活动。此外,未经国务院证券监督管理机构和有关国务院部门批准,任何组织和个人不得擅自向境外提供与证券业务活动有关的文件和资料。另外,《反间谍法》第4条将未经授权向境外机构提供涉及国家安全和利益的数据的行为认定为间谍行为。

18.2     数据保护监管机构就向外国执法或政府机构披露个人信息发布了哪些指导意见?

截至2023年,国家网信办尚未针对来自外国执法机构的电子取证请求发布特别的指导意见。

19.       趋势与发展

19.1     在过去12个月中出现了哪些执行趋势?描述任何相关的判例法或近期的执行行动。

2023年,网络安全和个人数据保护继续以快速的步伐发展,特别是关注跨境数据传输(CBDT)治理和网络安全审查。

在CBDT治理方面,中国全年都在努力制定实用规则以实施《个人信息保护法》(PIPL)和《跨境数据安全评估办法》中关于CBDT活动的高层级要求。虽然中国优先考虑网络安全和个人数据保护,但保持安全优先级与经济发展之间的微妙平衡对于国家来说至关重要。实际上,许多符合《跨境数据安全评估办法》中规定门槛的数据处理者已经向国家网信办申请对其CBDT活动进行评估,今年已有数十个申请被批准。同时,许多不符合申请门槛的数据处理者根据《个人信息跨境传输标准合同办法》的要求与海外接收方签订了标准合同,并相应地向当地网信部门备案。

在网络安全审查方面,虽然《网络安全审查办法》于2022年生效,但在2023年,这方面出现了一系列重要的执行案例。例如,2023年3月,国家网信办启动了对一家美国半导体公司的网络安全审查,审查对象包括该公司在中国销售的核心网络设备、重要通信产品和高性能计算机服务器等。这次审查旨在评估这些产品的安全性、开放性和透明度,以及使用这些产品和服务可能导致的企业被操纵的风险。此外,2023年9月,国家网信办根据网络安全审查结果对 xxxx 处以行政处罚。经过调查,发现 xxxx 运营的 14 款应用程序在收集个人信息时违反了必要性原则,并且 xxxx 没有披露个人信息处理活动的规则并据此获得同意。考虑到 xxxx 违法行为的性质、后果、持续时间和其他因素,国家网信办最终对 xxxx 处以 xxxx 万元人民币的罚款。值得一提的是,除了国家网信办发起的调查之外,许多持有超过 100 万个人的个人信息的数据处理者出于海外 IPO 计划的考虑,根据《网络安全审查办法》自愿申请了网络安全审查。

19.2     当前数据保护监管机构关注的“热点话题”有哪些?

2023年见证了中国在网络安全和个人数据保护领域乐观的发展趋势。一方面,监管机构将《网络安全法》(CSL)、《数据安全法》(DSL)和《个人信息保护法》(PIPL)这三部核心法律中的要求扩展到了特定场景,比如网络安全领域的未成年人保护。此外,一些高层级的规定,如网络安全事件响应,随着实用规则的制定而得到了实施。预计还将建立一个受中国审计法启发的专门用于个人数据保护合规性的审计机制。

在这些发展中,一个值得关注的领域是CBDT治理。这是因为网络安全和个人数据安全不仅对中国国家安全至关重要,而且对于确保顺畅的外资经营活动和促进经济增长同样重要。因此,通过减轻CBDT活动的合规负担,中国的监管机构正在表明他们致力于促进安全的数据流动和外国投资。另一个重点领域是网络安全审查,其最终目的是在保障国家安全的前提下支持国内企业合理使用网络产品和海外资本市场以推动金融发展。

参考链接:
[1] https://iclg.com/practice-areas/data-protection-laws-and-regulations/china

文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2MTk4MDM1Mg==&mid=2247484644&idx=1&sn=2133de7c43aecbab52adf3985be830eb&chksm=ce0f974bf9781e5d6ef43a779effad2fd43528dbcd3ffa4b885c2dd28cb91b5b2ae1d6f0e1c5&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh