新的《中华人民共和国个人信息保护法》(PIPL)已在中国生效。该法律对在中国境内收集和处理个人信息的公司规定了更高的合规义务,对于那些已经符合 GDPR 的公司也是如此。
中国第一部专门的个人信息法(PIPL)于 2021 年 11 月 1 日生效。PIPL 与《网络安全法》(CSL)和《数据安全法》(DSL)并驾齐驱,这两个主要法律框架涵盖了中国网络安全治理。
“PIPL的治外法权适用于处理个人信息以向中国境内的自然人提供产品和/或服务,分析或评价中国境内自然人的行为,或者法律、行政法规规定的其他目的。建议公司即使在已经符合 GDPR 的情况下也要注意 PIPL 要求”,Kolster 的副合伙人兼法律顾问 Hannes Kankaanpää 说。
根据 PIPL,同意是处理个人数据的主要依据之一。与 GDPR 不同,数据控制者的 “合法利益” 不在收集和处理个人数据的理由之列。
“PIPL 对同意管理处理施加了压力。根据 GDPR,合法利益可能涉及客户或服务关系等情况。 PIPL 则不直接允许此项,因为您可能并不总是与处理基础的数据主体有合同关系”,Kankaanpää 说到。
另一个值得注意的区别是 PIPL 要求对与其他处理实体共享个人数据、公开披露个人数据以及将个人数据转移到中国境外等活动单独征得同意。
关键信息基础设施 (CIIO) 和处理大量个人信息的实体需要在中国本地处理和存储数据。
除了有业务需要定期传输大量数据和信息的公司外,金融、健康、核电等行业可能会经过严格的程序,需要进行风险分析,并必须定期向有关部门报告了解跨境传播的危险。也可能需要强制性的外部合规审计。
如果数据的数量或重要性达到一定水平,则常规的个人信息处理者跨境发送信息可能必须遵循相同的风险分析和报告规则。
“中国国家网信部门尚未规定具体要求。目前的规定是 500 000 名中国数据主体。此外,还提出了与处理数据大小相关的限制” ,Kankaanpää 继续说到。
PIPL 要求在中国指定一名代表处理个人信息保护相关事宜,并向有关部门提供其姓名和联系方式。
“与 GDPR 不同,偶尔处理不包括特定类别的个人数据可能对数据主体的权利和自由造成风险,”Kankaanpää 说。
PIPL对人信息影响判定的要求与 GDPR 不同。判定提供了列出了高风险情景和相应保护措施的框架,即在风险情景中如何保护数据。
尽管有相当多的地方取决于当局在罚款方面的应用实践,但对违反 PIPL 的制裁也不容忽视。
“根据 GDPR,我们已经目睹了相当高的罚款:制裁最高可达 1000 万欧元或全球营业额的 2%。违反 PIPL 最多可导致年营业额的 5%。还没有具体说明是在中国还是在全球范围内”,Kankaanpää 表示。
此外,PIPL 提供了一系列不同性质的制裁措施,包括社会信用体系和相关影响、营业执照的撤销和基于侵权的损害赔偿,即对第三方的数据泄露损害赔偿。
“时间和实践将告诉我们更多关于如何应用整个系统以及制裁水平的情况。”