Pillsbury Law | China | 更进一步:中国发布 个人信息保护法 草案  征求公众意见
This links to the home page
观察报告

更进一步:中国发布 个人信息保护法 草案  征求公众意见

10/21/2020

(盛佳) (许春彬)

2020年10月21日,中华人民共和国(中国)人民代表大会常务委员会(人大常委会)发布《个人信息保护法(草案)》,并征求公众意见。

《个人信息保护法(草案)》(“《草案》”)共八章70条,涵盖了有关个人信息保护的各类主题,包括(1)总则,(2)个人信息处理规则,(3)个人信息的跨境提供的规则,(4)个人在个人信息处理活动中的权利,(5)个人信息处理者的义务,(6)履行个人信息保护职责的部门,(7)法律责任,(8)附则。

以下是《草案》主要条款的概要。

个人信息和敏感个人信息的界定

《草案》将“个人信息”定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息” 。这一定义与欧盟的《一般数据保护条例》(GDPR)和《加利福尼亚消费者隐私法案》(CCPA)的定义相似。
 

《草案》就敏感个人信息进行了非穷尽性的列举,而GDPR则禁止处理特殊类别的个人数据,除非符合法定条件需要处理。《草案》将“敏感个人信息”定义为“一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”


处理个人信息的规则


《草案》在第二章中规定了处理个人信息的一般规则和处理敏感个人信息的特殊规则,大部分规则与分散在现行法律法规中的规则一致。


以下介绍处理个人信息的几项重要规则。


个人同意和其他处理个人信息的法律依据


根据《草案》,个人信息的处理不仅限于《网络安全法》规定的取得个人同意的情况,符合下列情形之一的,个人信息处理者可以处理个人信息:

  1. 为订立或者履行个人作为一方当事人的合同所必需;
     
  2. 为履行法定职责或者法定义务所必需;
     
  3. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
     
  4. 为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;
     
  5. 法律、行政法规规定的其他情形。

与GDPR相比,《草案》表明了在应对公共卫生突发事件时处理个人信息的必要性,这显然是回应仍在持续发展的新冠病毒疫情。但是,《草案》并没有将GDPR规定的“控制者或第三方追求的合法利益”作为处理个人信息的法律依据。

2)  个人信息处理者

不同于GDPR,《草案》没有区分“数据控制者”和“数据处理者”。《草案》仅规定了“个人信息处理者”的责任和合规性要求,“个人信息处理者”被定义为“自主决定处理目的、处理方式的组织、个人”。《草案》中定义的“个人信息处理者”类似于GDPR下的“数据控制者”。

个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

个人信息处理者有义务采取必要措施保护个人信息,例如制定内部管理制度和操作规程;对个人信息实行分级分类管理;采取安全技术措施(如加密、去标识化);定期进行安全教育和培训;制定并组织实施个人信息安全事件应急预案等。

处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,该负责人的姓名、联系方式等应当公开,并报送给履行个人信息保护职责的部门。个人信息处理者应当定期对其个人信息处理活动是否符合法律、行政法规的规定进行审计。

3)  共同处理个人信息和委托第三方处理个人信息

两个或者两个以上的个人信息处理者共同处理个人信息的,即使其约定了各自的权利和义务,如果侵害个人信息权益的,应依法承担连带责任。

个人信息处理者委托第三方处理个人信息的,双方应当签署协议约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。个人信息处理者应对受托方的个人信息处理活动进行监督。未经个人信息处理者同意,受托方不得转委托他人处理个人信息。在合同履行完毕或者委托关系解除后,将个人信息返还个人信息处理者或者予以删除。

4)  处理敏感个人信息

《草案》对敏感个人信息的处理规定了更多限制。个人信息处理者只有具有“特定的目的”和“充分的必要性”,才能处理敏感个人信息。但《草案》并未进一步解释什么构成“特定的目的”和“充分的必要性”。处理敏感个人信息之前,应当取得个人的单独同意或书面同意。

域外适用

跨国公司可能对《草案》中规定的域外管辖权最感兴趣,这一规定可能会增加在中国设有子公司或在中国没有设立法律实体但向中国境内个人提供产品或服务的外国公司的合规风险。《草案》将适用于下述境外公司:

  1. 以向境内自然人提供产品或者服务为目的处理个人信息;
     
  2. 为分析、评估境内自然人的行为而收集个人信息;或
     
  3. 法律、行政法规规定的其他情形。
上述规定类似于GDPR第3条中的相应规定,该规定适用于设立在欧盟境外的控制者或处理者对欧盟境内数据主体的个人数据所进行的处理。

此外,《草案》也与GDPR的规定相类似,要求中国境外处理中国境内个人信息的处理者在中国境内设立专门机构或指定代表,负责处理个人信息保护相关事务。该专门机构或代表的姓名和联系信息应报送履行个人信息保护职责的部门。

跨境信息提供

许多在中国开展业务的跨国公司关注的一个重要问题是有关跨境信息提供的规则。

《草案》第38条规定,个人信息处理者因业务等需要,确需向中国境外提供个人信息的,应当至少具备下列一项条件:

  1. 依照该法第40条的规定通过国家网信部门组织的安全评估;第40条要求关键信息基础设施运营者1和处理个人信息达到国家网信部门规定数量的个人信息处理者将在中国境内收集和产生的个人信息存储在境内,确需向境外提供的,应当通过国家网信部门组织的安全评估,除非法律、行政法规和国家网信部门规定可以不进行安全评估。
     
  2. 按照国家网信部门的规定经专业机构进行个人信息保护认证;
     
  3. 与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到《草案》规定的个人信息保护标准;或
     
  4. 法律、行政法规或者国家网信部门规定的其他条件。


大多数个人信息处理者可能更愿意选择满足上述第(3)项条件,因为其不涉及国家网信部门的安全评估或专业机构的认证,可以避免花费额外的时间和成本。在个人信息处理者与境外接收方是关联公司的情形下,更有可能选择满足上述第(3)项条件。最后通过的终稿中本条款将如何进行规定值得密切关注。


即使允许个人信息处理者将个人信息提供给境外接收方,其还应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项。


此外,个人信息处理者还应就该等跨境信息提供取得个人的单独同意。


与其他最近发布的法律(如《出口管制法》)和法规(如《不可靠实体清单规定》)相似,《草案》也规定了“黑名单”制度,对于境外的组织、个人从事损害中国公民的个人信息权益,或者危害中国家安全、公共利益的个人信息处理活动的,国家网信部门有权将其列入该“黑名单”。个人信息处理者将被禁止或限制向黑名单上的组织或个人转移个人信息。

此外,《草案》还规定,任何国家和地区在个人信息保护方面对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者该地区采取相应措施。

法律责任

《草案》对违反本法规定处理个人信息的,可处以最高100万元人民币(约合150,000美元)的罚款,对相关责任人员处以最高10万元人民币(约合15,000美元)的罚款。如果违法行为情节严重的,对于个人信息处理者可处以5,000万元人民币(约合750万美元)或相当于上一年度营业额5%的罚款。虽然尚不清楚《草案》是否会将个人信息处理者所在集团公司的年营业额来纳入评估罚款金额,但《草案》下拟议的罚款金额巨大。

总结

对于跨国公司在中国设立子公司处理个人信息和/或将个人信息转移到海外总部和关联公司,以及为《草案》规定目的直接向中国境内个人收集个人信息的境外组织和个人,密切关注《草案》的任何进展十分重要。我们建议跨国公司和国内公司根据《草案》开始优化内部规程和制度。我们预计人大常委会将在未来几个月审议公众的意见,并发布第二稿征询公众意见或进行立法审议。我们将密切关注未来的进展。