美国公司应该从中国新的数据隐私法律中预期的内容
- Information governance
- 4 Mins
中国在数据隐私领域有了许多立法动向。2021年6月10日,数据安全法(DSL)通过,并于2021年9月1日生效。这是一项更广泛的法律,适用于个人和非个人信息的数据处理活动,包括电子和非电子数据。它解决了该国2016年《网络安全法》存在的许多关键缺陷。2021年8月20日,《个人信息保护法》(PIPL)通过,并于2021年11月1日生效。这项法律更接近于欧盟的GDPR,规定了个人信息的处理。它赋予中国消费者更多的权利,如访问、更正和删除其个人数据的能力。这两项法律都强调了国家安全,并根据数据处理、跨境转移和执行建模原则。位于美国的组织,如果处理中国数据,需要了解这些法律将带来的广泛影响,并对隐私合规计划进行所有必要的更改。
每项法律的主要特点如下:
DSL更广泛,更像是一项综合性立法,因为《网络安全法》在数据处理监管和执行方面存在许多障碍。以下是DSL的一些关键规定:
《网络安全法》主要关注管理适用于网站和应用程序运营商的数据和安全性,而DSL更广泛地包括所有处理可能影响国家安全、公共利益或合法消费者权利的数据(电子和非电子)的组织。公共利益的定义仍不清晰,在执行行动开始时可能被广泛解释。DSL还规定了获取、导出和使用数据的整个过程,以确保所有活动都得到适当的监控。
DSL适用于中国境外的活动,这意味着处理此类法律的数据的美国公司需要确保数据受到保护并得到妥善使用。
DSL要求中国政府建立一个数据分类系统,规定哪些数据最重要,需要更严格的审查,例如与国家安全或重要公共利益有关的信息。预计将在不久的将来发布有关数据分类和数据处理的指导。
数据处理方必须建立安全政策和风险监控系统。对于处理需要更高级别保护的数据的处理方,需要进行定期报告。所有其他处理方仅需要报告安全违规行为。DSL还支持《网络安全法》的安全审查要求,当导出核心数据时,如与国家安全相关的信息。
DSL的罚款更严厉,数据违规可处以最高200万元人民币(约合31万美元)的罚款。如果数据影响国家利益,罚款上限将提高至1000万元人民币(约合160万美元)。不遵守法律的组织也可能面临潜在的暂停或关闭。尚不清楚哪个机构将执行此法律。
PIPL更窄地规管与个人消费者信息相关的数据处理活动,如社会安全号码和其他敏感标识符。以下是PIPL的一些关键规定:
数据处理方需要通知消费者他们的数据权利,如知道收集个人信息的目的的权利,以及修改或删除数据的权利。在收集数据之前需要获得同意,敏感信息仅在必要时最少程度地处理,保留应受控制,以免消费者数据仅存放在公司服务器上没有目的。
数据控制方需要指定个人信息保护官,并进行持续的影
响评估,以确保数据得到适当处理。数据处理方的过失假设归于他们。
在中国与其他国家之间的数据传输受到限制,包括安全审查要求或标准数据传输协议。
不遵守法律的组织将面临高达其年营业额的5%或770万美元的罚款,以较高的金额为准。
数据隐私合规提示
全球隐私法律的新兴趋势是,积极主动有助于成功的合规。对于组织的活动适用于哪些法律可能很难跟上,因为大多数新的隐私法律都具有类似于中国新法律的领土外效应。好消息是,这对于许多较大的公司来说并不是第一次,他们可能已经实施了全球隐私合规计划,或者正在制定计划。尽管组织的一些数据控制措施无疑将进一步符合DSL和PIPL的合规要求,但在广泛措辞的立法和严格的安全审查标准下,还需要一些特定的考虑,需要政策变更。
在处理适用于这两项法律的跨境数据传输时,美国组织需要为中国的安全审查做好准备。在数据使用和保留政策方面采取积极措施,可以帮助简化此过程。还要密切关注组织使用的任何技术或供应商的收集实践,以确保标准足够。应定期进行风险评估,特别是在实施新的技术工作流程或合作伙伴关系时。
组织还应在其隐私合规计划中包括同意跟踪,监控中国关于数据分类和执行的进一步指导,定期进行影响评估,为处理或导出中国数据的员工创建培训手册,并制作合规比较图表,以区分其他隐私法律,如GDPR或任何适用的美国州法律。
本文的内容仅旨在传达一般信息,不提供法律建议或意见。