中国已全面进入数字时代。几乎每一次与公司或产品的互动和交易都通过应用程序(APP)或网页门户进行。商业也已经转向数字空间,许多用户使用各种电子支付形式而非现金。这些互动使公司能够获得比以往更多的用户数据,但也带来了更多的诈骗者、侵扰性的销售电话和公司内部的数据安全漏洞。
为应对这些问题,中国政府开始推出新的法律和政策,以更好地保护用户数据。结果是推出了以下两项新数据法律:
数据安全法(Data Security Law)
自2021年9月1日起实施,该法律概述了中国如何处理用户数据的国际和本地事务,以及企业的责任。它还为个人数据设定了法律框架,并为不遵守法规的公司和个人提供了法律途径以进行处罚。
可以在 China Law Translate 上找到非官方英文翻译。
个人信息保护法(PIPL)
自2021年11月1日起实施的《个人信息保护法》(PIPL)是中国政府计划的下一阶段,具有许多与欧盟《通用数据保护条例》(GDPR)相似之处。这部法律将由中国国家互联网信息办公室以及地方和国家机关执行,是中国首部全面保护用户个人信息和规范公司数据处理方式的法律。
可以在 China Briefing上找到非官方英文翻译。
它将如何影响您的业务
中国政府对新的隐私法律非常重视。许多公司已经接受了审计,违反法规的公司已经被罚款或其网站和APP被暂时暂停。如果您的公司在中国境内运营,或如果您的公司处理了大量中国大陆用户的数据,您需要对您的网站或APP进行中国数据安全法(DSL)和个人信息保护法(PIPL)合规性审计。
中国数据安全法与合规自我审计
步骤 1:您是否有中国大陆的客户?
没有:这些新政策对您不会产生影响。
有:这些新政策将立即影响您,您应继续进行内部审计。
步骤 2:您是否收集个人数据?
没有:这些新政策对您不会产生影响。
有:根据《个人信息保护法》(PIPL)指南,收集和处理个人数据需符合以下规定:
第十三条(14岁及以上)
您收集个人信息时必须符合以下条件之一:
- 获得同意
您已获得信息主体的同意。 - 合同相关服务
数据处理是为了提供与合同相关的服务或进行公司的招聘操作。 - 法律要求
数据处理是法律要求的必要措施。 - 健康紧急情况
数据处理是在健康紧急情况下,或为了保护个人的生命、健康和安全。 - 新闻报道
数据处理是新闻机构用于报道的目的。
第31条(14岁以下)
- 根据《第14条》,14岁以下的未成年人被视为未成年人,其个人信息的处理必须获得父母或监护人的同意。
您还需更新您的隐私和数据收集政策,在您的应用程序或网站上用简单明了的语言向用户清楚地说明这些政策,遵循《第14条》的要求。
第14条
- 个人信息处理者的名称和联系方式。
- 处理个人信息的目的和方法,以及处理的个人信息的类型和保存期限。
- 个人如何行使《个人信息保护法》下权利的方法和程序。
*您还需要随时准备根据政府更新的数据法律来更新您的政策。随着中国建立更完善的数据法律,政策更新的频率可能会增加。*
第3步:这些信息是否存储在中国境外?
否: 您必须确保所有个人数据都存储在中国境内。任何泄露或大量信息传送至境外的情况需要获得政府批准。
是: 目前,《个人信息保护法》尚未明确规定需要将多少海外用户数据存储在中国。处理大量中国用户数据的公司,必须将其网站托管或数据存储解决方案迁移到中国。许多国家,包括中国,越来越不信任那些将大量用户数据存储在境外的公司。为了确保安全并避免业务中断,建议您开始将中国用户的数据存储解决方案迁移到中国。有关详细信息,请参阅第40条。
第40条
- 关键基础设施运营者和处理个人信息的处理者,如果其处理的个人信息数量达到国家网络空间管理局规定的标准,应将收集和生成的个人信息存储在中华人民共和国境内。
- 如果确实需要将这些信息和数据提供给境外方,应接受国家网络空间管理局组织的安全评估;如果法律、行政法规或国家网络空间管理局的规定不要求进行安全评估,则以这些规定为准。
第四步:第三方代理或合作伙伴是否有权访问您的客户信息?
没有:只要您明确告知当前用户您的数据政策,通常不会受到影响。
有:您需要联系所有处理用户数据的第三方,并更新合作协议,以履行《个人信息保护法》第21条规定的以下义务:
第21条
- 协议内容:目的、时长和方法:第三方处理者须事先与您达成协议,明确处理和存储所有数据的目的、时长和方法。
- 责任:确保合规:您公司有责任确保第三方代理在使用信息时符合规定,且信息的处理和安全符合要求。
- 合同终止:信息归还或删除:如果与第三方处理者的合同结束,他们必须归还所有个人信息或删除这些个人信息。
- 禁止共享:禁止再分享:第三方处理者不得将您提供的信息共享给其他第三方。
- 沟通和理解:个人信息立场:确保第三方处理者了解您对个人信息的处理立场。任何由他们造成的数据泄露可能会影响您的运营。
通过遵循这些要求,您可以确保您的第三方合作伙伴在处理个人数据时遵循《个人信息保护法》的规定,减少数据泄露和合规风险。
第五步:您公司是否有专门的数据保护角色?
有:
增强角色:您公司已经主动采取措施,并重视数据隐私,这非常好。该角色在公司中的作用将变得更加重要,因为随着用户权益的行使,工作量将增加。
没有:
角色分配:您需要招聘或指定一个人负责管理公司用户数据,并确保公司符合相关法律。这一角色需要处理更多的用户请求,包括:
- 限制使用(第44条)
- 请求副本(第45条)
- 请求更改/更新(第46条)
- 在服务终止或用户请求时删除信息(第47-50条)
第44条
- 个人有权知晓并决定其个人信息的处理方式。
- 个人有权限制或拒绝他人处理其个人信息,法律和行政法规另有规定的除外。
第45条
- 个人有权查询或复制其个人信息。
- 个当个人要求查询或复制其个人信息时,个人信息处理者应当及时提供该信息。
第46条
- 当个人发现其个人信息不准确或不完整时,有权要求个人信息处理者进行更正或补充。
- 当当个人要求更正或补充其个人信息时,个人信息处理者应进行核实,并及时对该信息进行更正或补充。
第47条
- 在以下任何情况下,个人信息处理者应主动删除个人信息;如果个人信息处理者未删除,相关个人有权要求删除:
- 当处理目的已实现、无法实现,或不再必要实现时;
- 当个人信息处理者停止提供产品或服务,或约定的存储期限已过时;
- 当个人撤回其同意时;
- 当个人信息处理者违反法律、行政法规或协议处理个人信息时;
- 其他法律和行政法规规定的情况。
第48条
- 个人有权要求个人信息处理者解释个人信息处理的规则。
第49条
- 在自然人死亡的情况下,其近亲属可以为了合法、正当的利益,行使本章规定的查询、复制、更正和删除有关已故人员个人信息的权利,除非已故人员在生前另有安排。
第50条
- 个人信息处理者应建立便捷的机制,以接受和处理个人行使权利的申请。对于个人行使权利的请求被拒绝的情况,必须说明理由。
第6步:你们是否拥有健全的数据管理系统?
YES: 这将非常重要,因为越来越多的用户将开始与公司互动,询问他们的数据如何被处理。
NO: 你们必须对CMS和数据管理系统进行大规模更新,以便能够处理大量用户的数据请求。你的数据管理系统应能做到以下几点:
- 可搜索性: 能够快速有效地访问特定用户的数据。
- 操作自动化: 允许某些操作的自动化(如定期删除或终止后的删除)。
- 提供评论: 提供特定用户的历史背景信息。
- 身份验证: 验证用户是否有权访问数据。
您的网站/应用需要主动的解决方案
这两项新的数据保护法律将确实赋予用户更多的控制权,也表明中国愿意并有能力利用其法律体系来执行这些新法律。目前,这些法律非常新,许多专家仍在猜测这些条款将如何影响公司。数据保护政策预计将定期更新。
对于希望在中国开展业务的公司,我们建议您采取主动。如果您觉得无法回答上述问题,或者需要有人帮助您应对这些新法律,我们强烈建议您联系中国的法律专家。他们可以告知您是否需要更新隐私政策、网站和应用设计,或将您的网络托管迁移到中国。