近年来,来自多个司法管辖区的新隐私法层出不穷。欧盟、英国、其他国家以及包括犹他州和加利福尼亚州在内的多个州都通过了数据隐私法,对公司如何处理消费者数据提出了要求。这些法律适用于犹他州的许多公司,因此律师必须熟悉这些法律,才能有效地为客户提供咨询服务。.
我们过去的文章涉及数据隐私法的各种发展。本文将讨论可能适用于犹他州公司的中国数据隐私法。2021 年 8 月,中华人民共和国(中国)通过了一部全面的数据隐私法--《个人信息保护法》(PIPL),并于 2021 年 11 月 1 日生效。个人信息保护法》与中国其他多项法律一起,对中国居民个人信息的收集、处理、发布和传输进行了规范。如果您的犹他州客户在中国开展业务,我们将为您提供有关《个人信息保护法》的高级概述。.
PIPL 适用于我的客户吗?
如果你的客户在中国境内设有机构,或在中国境外注册,但收集和处理居住在中国境内的个人的个人信息,PIPL 将适用。PIPL 还旨在域外适用于任何涉及自然人个人数据的处理。
生活在中国境内,并且是为了:(i) 向中国境内的自然人提供产品或服务;(ii) 分析和评估中国境内自然人的行为;或 (iii) 法律或法规规定的其他目的。因此,如果您的客户
收集或处理居住在中国的个人的个人信息,很可能会受到 PIPL 的约束。.
PIPL 要求什么?
注册和数据保护官员
PIPL 将处理受 PIPL 管辖的个人信息的个人或实体称为个人信息处理者 (PIH)。一个常见的问题是,PIPL 是否要求 PIH 向中国的数据保护机构--中国网络空间管理局 (CAC) 注册。答案通常是否定的。但是,达到某些数据处理量门槛(尚未明确)的组织将被要求任命一名数据保护官(DPO),并向中国网络空间管理局登记该数据保护官的姓名和联系方式。虽然 PIPL 的数据量阈值尚未公布,但《信息安全技术国家标准--个人信息安全规范》已要求组织在以下情况下任命数据保护官和数据保护办公室:(i) 拥有 200 名以上员工且主要业务涉及数据处理;(ii) 处理(或估计处理)100 万名以上个人的个人信息;或 (iii) 处理 10 万名以上个人的敏感个人信息。最后,在中国境外处理中国个人信息的组织也必须在中国境内指定一个特定的代表或组织。关于应如何及何时任命 DPO 并向 CAC 报告的详细信息尚未公布,特别是当 PIH 是境外实体时。.
除指定 DPO 外,您的客户可能还需要准备和提交个人信息保护评估(即安全评估),特别是当数据将被传输到中国境外时,如下所述。.
同意书
PIPL 一般要求 PIH 在收集、使用、转让或以其他方式处理个人信息之前,必须获得数据当事人明确的知情同意。只有在以下情况下,才能在未经同意的情况下处理个人信息:
- 与数据当事人签订或履行合同;;
- 根据就业政策或集体合同进行人力资源管理;;
- 履行法律义务;;
- 应对公共卫生事件;;
- 出于公共安全和公共利益的原因;以及
- 根据中国法律规定。.
实际上,同意是合法处理数据的主要依据。.
PIPL 还要求 PIH 在以下方面获得数据主体的 “单独同意”:(i) 向第三方转让其个人信息;(ii) 公开披露其个人信息;(iii) 向国外转让其个人信息;(iv) 处理敏感个人信息。虽然 PIPL 没有解释 “同意 ”和 “单独同意 ”之间的区别,但一般认为单独同意是指数据主体必须特别同意该特定行为,而不是同意一般隐私政策。.
通知
除取得同意外,私隱專員亦須通知資料當事人以下事宜:(i) PIH 的名称和联系信息;(ii) 处理的目的和方法;(iii) 处理的个人信息类型;(iv) 保留期;以及 (iv) 行使《个人信息保护法》规定的权利的方法和程序。这种通知可通过在线隐私政策进行,只要其呈现方式突出且易于用户理解即可。.
转账和跨境转账
如果您的客户向数据主体以外的任何第三方披露个人数据,则根据 PIPL,这种披露构成数据 “转移”。如果一家 PIH 将个人信息转让给另一家 PIH,它必须通知数据主体另一家实体的名称、联系信息、处理目的、处理方法和共享个人信息的类型。目前还没有就如何通知数据主体转让信息发布额外的指导,但在网站上以醒目和易于用户理解的方式(如在隐私政策中包含与之共享个人信息的实体清单)展示所需的信息应符合通知要求。.
個人資料私隱機構如要把資料當事人 的個人資料轉移至境外,亦須另行取得資料當事人的同意。除获得同意外,出口数据的 PIH 在将数据传输到中国境外时还需采取以下措施:(i) 事先进行个人信息保护影响评估(如下文所述);(ii) 符合合法传输机制之一。允许的合法转移机制取决于个人隐私保护机构的类型及其处理活动。.
一些 PIH 必须接受由 CAC 管理的安全评估。其中,这项要求适用于处理 “大量 ”个人信息的 PIH。根据 2022 年 6 月发布的 CAC 法规,“大量 ”是指处理 100 万或以上数据主体的个人信息,或在上一财政年度累计向国外传输 10 万或以上数据主体的个人数据,或在上一财政年度向国外传输 1 万或以上数据主体的敏感个人数据的 PIH。对于那些处理大量个人信息的 PIH(以及其他受此要求限制的 PIH),接受安全评估要求 PIH 首先进行跨境转移自我评估,并将其提交给省级 CAC,然后由 CAC 进行安全评估。如果 PIH 未能通过安全评估,那么在纠正 CAC 发现的问题之前,PIH 不能进行任何跨境转移。.
對於所有其他私 人機構或人士(即小量私營機構或人士),保安評估並非強制規定。取而代之的是以下合法转移机制之一:(i) 根据 CAC 规则从 “专业机构 ”获得认证;(ii) 根据 CAC 公布的 “标准合同条款”(CAC SCC)与海外接收方签订转移协议;或 (iii) 依赖法规规定的任何其他机制。要依赖 CAC SCC,PIH 必须在协议生效日期前十天向网络空间管理局提交 CAC SCC 的执行副本。PIH 还必须将跨境传输的个人信息影响评估与已执行的 CAC SCC 一并提交。如果跨境转移的目的和方式发生变化,PIH 必须签署并重新提交新的 CAC SCC。.
数据安全
PIPL 还要求 PIH 采取安全措施保护个人信息,防止未经授权的访问,以及个人信息的泄漏、失真 或丢失。具体来说,PIH 必须(i)制定内部管理结构和操作规则;(ii)对个人信息实施分类管理;(iii)采取相应的技术安全措施(如加密、去标识化等);(iv)合理确定处理个人信息的操作限制;(v)定期对员工进行安全教育和培训;(vi)制定并实施个人信息安全事故应对计划;(vii)法规要求的其他措施。.
上述要求可能因处理目的、处理方法、处理中的个人信息类型、对数据主体权利和利益的影响以及可能存在的安全风险而有所不同。此外,PIH 必须定期对其个人信息进行审计。
处理和遵守法律。.
如果 PIH 处理敏感的个人信息,使用个人信息进行自动决策,向其他 PIH 披露个人信息,或将 个人信息转移到国外,那么 PIH 必须事先进行个人信息保护影响评估。个人信息保护影响评估必须包括(i) 处理目的、处理方法等是否合法、正当和必要;(ii) 对数据主体权益的影响和安全风险;(iii) 采取的保护措施是否合法、有效和适合风险程度。这些评估报告必须至少保存三年。.
数据保留和删除
PIPL 数据安全的一个重要组成部分是及时删除不再需要的个人信息。PIH 必须在以下情况下主动删除个人信息(i) 處理目的已達成、無法達成或不再需要有關資料以達成目的;(ii) PIH 停止提供產品或服務或法律規定的保存期已過;(iii) 資料當事人撤銷同意;或 (iv) 個人資料的處理違反法律或協議。.
数据泄露通知
无论您的客户多么小心谨慎,都有可能发生数据泄露(泄漏、篡改或丢失)。如果您的 PIH 客户遭遇数据泄露,必须 “立即 ”采取补救措施,并通知组织内负责数据保护的部门。如果这些部门能够采取行动并消除外泄造成的危害,则 PIH 无需通知数据主体。然而,如果有关部门认为可能已造成损害,则可要求 PIH 通知数据当事人。.
如何执行 PIPL?
如果发现你的客户违反了 PIPL,监管机构可能会命令你的客户采取纠正措施。此外,监管机构还可能发出警告、没收非法收入、暂停服务或处以罚款。罚款金额最高可达 5000 万人民币(目前约合 700 万美元)或机构上一年年收入的 5%。根据中国的国家社会信用框架,违规行为还可能被记入 PIH 的 “信用档案”。如果侵犯了数据主体的权益,个人隐私保护机构还可能要承担侵权损害赔偿责任;如果侵犯了大量数据主体的权益,人民检察院可能会提起诉讼。.
摘要
总之,如果您的客户收集或处理居住在中国的人的任何个人信息,PIPL 规定了可能适用的几项要求。虽然本文无意面面俱到,但我们希望这一概述能让您对可能与犹他州客户相关的基本要求有一个高层次的了解。.