|
中伦:网络安全与数据保护报告2.0版(2023)(318页).pdf
网 络 安 全 与 数 据 保 护 报 告数字红利与行业“暴雷”风险:如何避免?数据价值创造、产业升级与安全治理:如何平衡?网络空间监管基准与规则不断细化:如何合规?当数据遭遇民事纠纷与刑事追诉:如何应对?2.0 版一、个保法 下的企业合规之道01/个人信息保护法 正式生效,我们聊聊合规落地中的“五六七”02/中国版 标准合同条款 揭开面纱,能否成为个人信息出境的通途?01/观察:科技变量下全球网络安全与数据保护02/中国网络安全、数据安全和个人信息保护法概览03/超大型互联网平台合规之路:中欧监管趋势异同003001网络安全与数据保护领域合规趋势观察前言042个人信息保护实务观察043004044059013024C O N T E N T S二、个保法 合规审计实务01/权知轻重,度知长短:如何开展 个人信息保护法 项下的合规审计?三、个保法 合规重难点场景01/跨国公司员工管理数据合规十问十答02/医药企业个人信息合规常见问题及应对措施03/人脸识别场景下的监管要求和合规要点分析04/自动驾驶领域的个人信息保护合规05/个人金融信息保护的合规要点解读 06/App“如影随形”,经营者如何把控个人信息保护合规要点?042个人信息保护实务观察079080095096112121130143159C O N T E N T S一、数据跨境流通研究01/数据出境安全评估的策略与方法02/数据跨境传输协议应明确哪些权利义务?03/数据出境安全新规出台:境外财富管理机构业务遭遇中国合规挑战?04/数据出境新规下,企业如何应对临床试验数据出境新局面?二、司法视角下的数据合规01/透过Cadence v.Syntronic 看数据出境:企业应对外国司法和行政程序的合规方案02/当数据合规遇见刑事追诉 首例数据合规不起诉案件所带来的分析和启示167数据合规前沿探讨168169182191203213214226C O N T E N T S三、IPO场景下企业数据合规01/医疗AI企业IPO数据合规重点问题与应对02/数字经济时代科技企业上市数据合规指南 基于2021年度(申报)上市案例的分析167数据合规前沿探讨249250279C O N T E N T SPREFACE近年来,科技创新赋能网络建设和数据利用的同时,也无可避免地成为全球网络安全与数据保护治理工作中的一大变量。放眼全球,网络安全与数据保护已经成为世界各国共同面对且必须加以回答的命题。为此,各主要经济体在法律制定和规则设计上积极发力,欧盟 通用数据保护条例数字市场法数字服务法、美国 数据隐私和保护法案加强美国网络安全法、英国 数字经济法案 等应运而生,科技驱动下的产业创新和市场实践亦在瞬息万变的数字时代中不断检验和推动着法律制度的发展。“加快建设网络强国、数字中国”,党的二十大报告擘画未来。借时代浪潮之力,我国从“网络大国”向“网络强国”阔步迈进,而作为上层建筑的法律规范是这一历程的守卫者和助力者。随着 个人信息保护法 于2021年11月1日正式施行,其与 网络安全法数据安全法 共同构成的“三驾马车”架构落地,架构之下,数据出境安全评估办法网络数据安全管理条例(征求意见稿)个人信息出境标准合同规定(征求意见稿)等的逐步出台使得网络安全与数据保护法律规范体系日臻完善。在愈发清晰的指引之下,各领域、各行业市场主体更有可能亦更有必要尽快认知、识别风险并寻求应对之道,确保合规落地,谋求规则之下的利益最大化。以微观视角观察,在技术迅速迭代的背景之下,网络安全与数据保护领域内共性的企业合规问题早已呼之欲出:个人信息保护合规体系如何搭建?个人信息审计工作如何开展?“中国版标准合同”如何适用?数据出境安全评估工作如何进行?而医药、金融、通讯、智能汽车等行业也基于行001CYBER SECURITY ANDDATA PROTECTION前 言P R E F A C E业特性提出了个性化问题。诚然,日趋完善的规则体系已为企业提供了标准化的指引,但应用场景层出不穷而监管动态时时更新,网络安全与数据保护合规已经成为一项极富科学性和系统性的工作,专业化法律服务的重要性尤为突显。2020年,我们曾发布 中伦网络安全与数据保护年度报告。转眼至今,在网络安全与数据保护实践迅速发展的两年里,中伦律师深度参与了该领域法律实务工作,总结相关经验,我们推出最新 中伦网络安全与数据保护报告,关注整体趋势、实务场景、前沿动态,希冀用法律赋能企业的网络安全与数据保护合规体系构建工作。002CYBER SECURITY ANDDATA PROTECTION PREFACE003CYBER SECURITY ANDDATA PROTECTIONC H A P T E R01网络安全与数据保护领域合规趋势观察004CYBER SECURITY ANDDATA PROTECTIONC H A P T E R 0 1P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1观察:科技变量下全球网络安全与数据保护005CYBER SECURITY ANDDATA PROTECTIONP A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1安全稳定繁荣的网络空间,对世界各国都具有重大意义。网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。”1在加快完善数据保护同时,全球主要经济体也在积极推进着数字经济的创新发展及网络空间立法的完善,通过提出“倡议”、通过“提案”、发布白皮书等方式,展现出深化网络空间国际合作,携手各国打造安全、干净、繁荣的网络环境的美好愿景,也从立法、司法、执法等层面保障网络空间的安全,为全球市场上数据的流通与共享奠定法律基础,提供保障。P A R T 0 0 2全球范围内主要法域数据监管观察1、欧盟从全球范围内规制数据活动规则制定维度来看,针对个人数据保护的欧盟 通用数据保护条例(GDPR)自2018年5月正式生效以来一直被誉为是世界上最全面的数P A R T 0 0 1科技与法治创新发展虚拟现实、智能设备和人工智能在过去20年内革新了全球商业格局,改变了人们的生活方式。技术向前推进的过程中,立足于极大丰富且多元的数据资源以及技术上多维度、多角度、多形式的应用和衍生,得益于全球化的助力,基于数据的获取、使用及流通而开展的各类商业活动近年来在国际市场上愈发活跃。数据被称为“21世纪石油”,由此不难窥探到,数据生态产业链对全球经济、世界格局都产生了可以称其为颠覆性的影响。在商业行为中,经营者拥有何种权利、又负有何种义务?因数据共享使用产生的红利如何分配?消费者如何保障个人数据权益?相关纠纷如何合理化解?.这些都是科技这一变量为法治社会带来的全新课题,对法律法规的制定与更新、行政机关的监管以及司法机关的裁判提出了全新的挑战。2022年11月7日,国务院新闻办公室发布的 携手构建网络空间命运共同体 白皮书,其中提到“安全是发展的前提,一个据隐私保护法,其重要性不言而喻。据研究,从欧洲视角来看,2018年GDPR生效当年,欧盟监管部门仅发布了19项处罚,罚款总额不到60万欧元。而欧盟真正的执法行动实际上从2019年开始,相比2018年,2019年处罚数量增加了7倍,达到143起,2020年处罚数量又相对19年增加17%达到168起。2021年欧洲数据保护机构开出了高达11亿欧元(12亿美元)的罚单,罚金总额增长了7倍。根据GDPR相关规则,如果不遵守GDPR的合规要求,罚款有可能高达企业全球年度营收的4%。自2018年GDPR的正式施行以来,欧盟的立法和执法活动都为全球范围内的数据隐私保护提供了重要参考,通过个人数据处理行为的规范来保护自然人的基本权利和自由,通过对个人数据处理的规范来保护公民的基本权利和自由,促进个人数据在欧盟境内的自由流通,是一部地地道道的以经济促进和发展为目标的法律。2简单归纳而言,GDPR的法规有如下四个主要特征:监管范围广、处罚力度强、对公开性和透明度高要求、赋予个人对抗商业的权利。具体而言:(1)GDPR将“个人数据”定义为包括任何已识别或可识别的自然人(“数据主体”)相关的信息。这意味着几乎每个企业都或多或者有参与到对个人数据的处理中,例如每次发送或接受电子邮件。对于许多企业而言,GDPR影响到企业运营的方方面面,从营销到IT,从人力资源到采购。可以说,任何处理与人员信息相关的环节,都可能伴随着GDPR项下的监管。(2)GDPR的高额罚金也是其备受瞩目的原因之一。GDPR生效不到四年,其罚款金额逐年增长:2018年仅为43.6万欧元,2019年7200万欧元,2020年1.71亿欧元,2021年上涨至惊人的10亿欧元。3在这一罚款名单上出现过大众所熟知的互联网巨头企业(例如某知名跨国电商企业曾被开出一张高达7亿欧元的罚单),也出现过不为大众熟知的小型数据处理主体(例如2019年8月瑞典监管部门依据GDPR对一家高中违规使用人脸识别技术的行为实施了罚款)。(3)GDPR对数据处理者的数据处理活动提出了有关公开透明的高标准,有关企业需要在其公司政策以及对用户作出的通知中对数据处理活动作出广泛而详细的披露。(4)GDPR明确而系统地建立了数据主体对于个人数据的控制权体系,提供为保障数据主体行使权利而采纳的类型化机制,从而实现GDPR第15条到22条所规定的包括知情访问、更正、删除、限制处理、可携带、反对等权利。4当企业日常商业活动中涉及到跨境传输数据至欧盟无法充分裁决的国家时(例如中国、美国等),企业有义务采用GDPR项下的数据传输标准合同条款(SCC),用以保护欧盟数据主体的权利和自由。在2022年12月27日以前,相关企业必须将旧的SCC合同更换成新的SCC合同,这无疑是一项合规挑战。2.美国从立法来看,美国法项下目前没有一部单一的占主导地位的数据保护立法,但是在联邦立法及各州立法级别都有大量维护数据安全以及保护隐私数据的相关法案。联邦法层面,联邦贸易委员会法 FTC Act(15 U.S.Code 41 et seq.)广泛授权了美国联邦贸易委员会(FTC)采取执法行动来保护消费者权益,使其免受不公平或欺骗性行为的影响,并执行联邦隐私和数据保护法规。联邦贸易委员会的监管标准是“deceptive practice欺骗性准则”,该准则的适用包括公司未能遵守其公布的隐私承诺,以及未能提供足够的个人信息安全,此外还包括使用欺骗性广告或营销方法。5对于关键的几个特定行业,例如金融、大健康、科技通信以及教育,美国法项下,联邦政府出台了特定法案用以规制特定行业或特定类别数据的隐私保护,比如 金融服务现代化法(The Gramm Leach Bliley Act,“GLBA”)规定了金融机构处理个人私密信息的方式;再如 儿童在线隐私保护法(COPPA)是分类化立法的典型,是针对未满13周岁的美国公民(下称“儿童”)这一特定人群的特别立法,主要规定了运营者的合规义务以及父母的权利;又如在大健康领域出台的 健康保险携带和责任法案(The Health Information Portability and Accountability Act,“HIPPA”)规定了对于个人健康医疗数据的保护路径,在新冠疫情的背景下,2022年10月,该提案还提出,要强化数据主体访问自己个人健康信息的权利;增强医疗合作和个人病例管理中的信息共享;提升家庭成员和医疗服务提供者对于紧急情况和患者健康危机的参与度;在以新冠疫情为代表的公共医疗卫生事件等具有紧迫性、威胁性的情况下,增强数据披露的灵活性。在保护个人健康医疗数据隐私的前提下,减轻HIPAA适用主体的行政负担6。从执法层面来看,目前为止,美国政府并未架设一家政府机关对数据活动进行统一监管,相关执法权力均下放到监管特定领域的相关部门,有些是联邦层面的执法部门,也有些是州层面的执法部门。对于违法行为是否可能涉及到刑事责任,则需具体结合特定领域法案及个案情节来判断,比如HIPPA项下的执法行动就可能同时带来民事和刑事责任。2022年6月3日,美国众议院和参议院发布了一项有关国家数据隐私和数据安全框架的讨论草案,意图从联邦层面推动分散的隐私立法走向统一,以更好地保护公民权利。7该提案文件里提及的法案可被称为 美国数据隐私和保护法案(以下简称“美国法案”),也是首个获得两党两院支持的联邦隐私立法草案。目前,该法尚未正式成为联邦法律,但根据相关报道,美国参议院商业、科学和运输委员会高级成员、密西西比州共和党参议员Roger Wicker,密西西比州共和党和众议院能源和商业委员会的Frank Pallone和商业委员会主席兼高级成员Cathy McMorris Rodgers共同起草了该法案,三人表示:“两党和两院对于制定全面数据隐私框架已经筹备多年,这份讨论草案的发布是一个关键的里程碑。在未来几周,将推动建立、支持并最终确定这一标准,让公民对自身的个人数据有更多的控制权。并且欢迎并鼓励更多人加入,使个人隐私得到有意义的保护,并为企业提供运营的确定性。”3.其他主要法域根据全球知名科技行业咨询公司Gartner的数据统计,到2023年,世界上65%人口的个人数据都将受到现代隐私法规的保护。站在全球视角,在过去的两年里,欧洲、美洲、亚太等地区都出台或修改了数据隐私保护的相关法律,这一趋势在未来也将继续延续。英国是全球首个系统性制定数字经济促进法的国家,旨在提升其全球数字经济领导地位。2017年4月,英国颁布替代2009年旧法的全新 数字经济法案,成为全球首部系统完整的数字经济促进法,旨在平衡技术创新与风险应对、网络开放与安全保障、数据挖掘与隐私保护、数据垄断与有序竞争,构建一个运用技术持续推动经济、社会及政府转型与变革的良性法律环境。82021年10月12日,韩国科学和信息通信技术部(MSIT)宣布,国务会议通过了数据产业振兴和利用促进基本法(以下简称“数据基本法”),旨在为发展数据产业和振兴数据经济奠定基础,并已于2022年4月全面实施。数据基本法 是全球首部规制数据产业的基本立法,对数据的开发利用进行统筹安排。9与中国相似,在日本,个人信息保护法 是日本个人信息保护领域的基本法,基于针对个人信息保护相关国际行动、信息通信技术发展、利用个人信息的新产业和新发展进行的调查分析,日本个人信息保护委员会每三年对该法进行一次审查,以积极回应数据保护的发展需求。相较于此前版本,2020年6月修订的 个人信息保护法 对运营商的信息处理义务和法律责任进行细化,同时,向个人信息的跨境流动投入了更多的关注。2020年11月,新加坡个人数据保护委员会在2012年 个人数据保护法 的基础上发布了 个人数据保护(修订)法,强化了对公民个人数据权利的私权保护和合规义务。2018年2月,新加坡议会通过 2018年网络安全法,作为网络安全领域的综合管齐下”的路径:(1)法律和政策体制体系逐步健全。相继颁布实施 网络安全法数据安全法个人信息保护法 初步搭建起网络空间治理体系的“三驾马车”,修改 电子商务法反垄断法,制定新就业形态劳动者权益保障政策,逐步健全完善行业层面的治理框架。(2)网络安全防护能力持续增强。完善关键信息基础设施安全保护、数据安全保护和网络安全审查等制度,健全国家网络安全标准体系,完善数据安全和个人信息保护认证体系,确保国家网络安全、数据和个人隐私安全。基本建成国家、省、企业三级联动的工业互联网安全技术监测服务体系;建立数字经济部际联席会议等跨部门协调机制,强化部门间协同监管。(3)数字经济治理能力持续提升。提升税收征管、银行保险业监管、通关监管、国资监管、数字经济监测和知识产权保护、反垄断、反不正当竞争、网络交易监管等领域的信息化水平,推动“智慧监管”。有序推进金融科技创新监管工具试点、资本市场金融科技创新试点、网络市场监管与服务示范区等工作,探索新型监管机制。10微观视角下,复杂的法律规定及动态1.国务院新闻办:携手构建网络空间命运共同体 白皮书在加快完善数据保护同时,全球主要经济体也在积极推进着数字经济的创新发展及网络空间立法的完善。006CYBER SECURITY ANDDATA PROTECTIONC H A P T E R 0 1P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1安全稳定繁荣的网络空间,对世界各国都具有重大意义。网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。”1在加快完善数据保护同时,全球主要经济体也在积极推进着数字经济的创新发展及网络空间立法的完善,通过提出“倡议”、通过“提案”、发布白皮书等方式,展现出深化网络空间国际合作,携手各国打造安全、干净、繁荣的网络环境的美好愿景,也从立法、司法、执法等层面保障网络空间的安全,为全球市场上数据的流通与共享奠定法律基础,提供保障。P A R T 0 0 2全球范围内主要法域数据监管观察1、欧盟从全球范围内规制数据活动规则制定维度来看,针对个人数据保护的欧盟 通用数据保护条例(GDPR)自2018年5月正式生效以来一直被誉为是世界上最全面的数P A R T 0 0 1科技与法治创新发展虚拟现实、智能设备和人工智能在过去20年内革新了全球商业格局,改变了人们的生活方式。技术向前推进的过程中,立足于极大丰富且多元的数据资源以及技术上多维度、多角度、多形式的应用和衍生,得益于全球化的助力,基于数据的获取、使用及流通而开展的各类商业活动近年来在国际市场上愈发活跃。数据被称为“21世纪石油”,由此不难窥探到,数据生态产业链对全球经济、世界格局都产生了可以称其为颠覆性的影响。在商业行为中,经营者拥有何种权利、又负有何种义务?因数据共享使用产生的红利如何分配?消费者如何保障个人数据权益?相关纠纷如何合理化解?.这些都是科技这一变量为法治社会带来的全新课题,对法律法规的制定与更新、行政机关的监管以及司法机关的裁判提出了全新的挑战。2022年11月7日,国务院新闻办公室发布的 携手构建网络空间命运共同体 白皮书,其中提到“安全是发展的前提,一个据隐私保护法,其重要性不言而喻。据研究,从欧洲视角来看,2018年GDPR生效当年,欧盟监管部门仅发布了19项处罚,罚款总额不到60万欧元。而欧盟真正的执法行动实际上从2019年开始,相比2018年,2019年处罚数量增加了7倍,达到143起,2020年处罚数量又相对19年增加17%达到168起。2021年欧洲数据保护机构开出了高达11亿欧元(12亿美元)的罚单,罚金总额增长了7倍。根据GDPR相关规则,如果不遵守GDPR的合规要求,罚款有可能高达企业全球年度营收的4%。自2018年GDPR的正式施行以来,欧盟的立法和执法活动都为全球范围内的数据隐私保护提供了重要参考,通过个人数据处理行为的规范来保护自然人的基本权利和自由,通过对个人数据处理的规范来保护公民的基本权利和自由,促进个人数据在欧盟境内的自由流通,是一部地地道道的以经济促进和发展为目标的法律。2简单归纳而言,GDPR的法规有如下四个主要特征:监管范围广、处罚力度强、对公开性和透明度高要求、赋予个人对抗商业的权利。具体而言:(1)GDPR将“个人数据”定义为包括任何已识别或可识别的自然人(“数据主体”)相关的信息。这意味着几乎每个企业都或多或者有参与到对个人数据的处理中,例如每次发送或接受电子邮件。对于许多企业而言,GDPR影响到企业运营的方方面面,从营销到IT,从人力资源到采购。可以说,任何处理与人员信息相关的环节,都可能伴随着GDPR项下的监管。(2)GDPR的高额罚金也是其备受瞩目的原因之一。GDPR生效不到四年,其罚款金额逐年增长:2018年仅为43.6万欧元,2019年7200万欧元,2020年1.71亿欧元,2021年上涨至惊人的10亿欧元。3在这一罚款名单上出现过大众所熟知的互联网巨头企业(例如某知名跨国电商企业曾被开出一张高达7亿欧元的罚单),也出现过不为大众熟知的小型数据处理主体(例如2019年8月瑞典监管部门依据GDPR对2.赛博研究院.观点 高富平:GDPR对我国个保法制定的借鉴意义https:/计算机滥用及网络安全法 在行政执法和事前事中监管方面的缺失,可操作性亦有所提升。可见,随着网络安全风险与数据价值二者的同步增长,如何在法律的适用中实现保护与发展的平衡,已成为各国共同面对的时代命题。P A R T 0 0 3规则与创新,风险与合规科技变量下的法律问题聚焦科技发展滋养了新的商业模式和商业形态,新的问题也随之而来。技术进步与改变无法被预见,从宏观上看,大多数规制数据活动的法律在制定之初,立法者们往往都会考虑留下一定灵活性,以应对瞬息万变的商业社会。从国务院最新于11月14日发布的 关于数字经济发展情况的报告 来看,为了推动数字法治的健康发展我国采用立法、安全与治理“三007CYBER SECURITY ANDDATA PROTECTIONP A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1安全稳定繁荣的网络空间,对世界各国都具有重大意义。网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。”1在加快完善数据保护同时,全球主要经济体也在积极推进着数字经济的创新发展及网络空间立法的完善,通过提出“倡议”、通过“提案”、发布白皮书等方式,展现出深化网络空间国际合作,携手各国打造安全、干净、繁荣的网络环境的美好愿景,也从立法、司法、执法等层面保障网络空间的安全,为全球市场上数据的流通与共享奠定法律基础,提供保障。P A R T 0 0 2全球范围内主要法域数据监管观察1、欧盟从全球范围内规制数据活动规则制定维度来看,针对个人数据保护的欧盟 通用数据保护条例(GDPR)自2018年5月正式生效以来一直被誉为是世界上最全面的数P A R T 0 0 1科技与法治创新发展虚拟现实、智能设备和人工智能在过去20年内革新了全球商业格局,改变了人们的生活方式。技术向前推进的过程中,立足于极大丰富且多元的数据资源以及技术上多维度、多角度、多形式的应用和衍生,得益于全球化的助力,基于数据的获取、使用及流通而开展的各类商业活动近年来在国际市场上愈发活跃。数据被称为“21世纪石油”,由此不难窥探到,数据生态产业链对全球经济、世界格局都产生了可以称其为颠覆性的影响。在商业行为中,经营者拥有何种权利、又负有何种义务?因数据共享使用产生的红利如何分配?消费者如何保障个人数据权益?相关纠纷如何合理化解?.这些都是科技这一变量为法治社会带来的全新课题,对法律法规的制定与更新、行政机关的监管以及司法机关的裁判提出了全新的挑战。2022年11月7日,国务院新闻办公室发布的 携手构建网络空间命运共同体 白皮书,其中提到“安全是发展的前提,一个据隐私保护法,其重要性不言而喻。据研究,从欧洲视角来看,2018年GDPR生效当年,欧盟监管部门仅发布了19项处罚,罚款总额不到60万欧元。而欧盟真正的执法行动实际上从2019年开始,相比2018年,2019年处罚数量增加了7倍,达到143起,2020年处罚数量又相对19年增加17%达到168起。2021年欧洲数据保护机构开出了高达11亿欧元(12亿美元)的罚单,罚金总额增长了7倍。根据GDPR相关规则,如果不遵守GDPR的合规要求,罚款有可能高达企业全球年度营收的4%。自2018年GDPR的正式施行以来,欧盟的立法和执法活动都为全球范围内的数据隐私保护提供了重要参考,通过个人数据处理行为的规范来保护自然人的基本权利和自由,通过对个人数据处理的规范来保护公民的基本权利和自由,促进个人数据在欧盟境内的自由流通,是一部地地道道的以经济促进和发展为目标的法律。2简单归纳而言,GDPR的法规有如下四个主要特征:监管范围广、处罚力度强、对公开性和透明度高要求、赋予个人对抗商业的权利。具体而言:(1)GDPR将“个人数据”定义为包括任何已识别或可识别的自然人(“数据主体”)相关的信息。这意味着几乎每个企业都或多或者有参与到对个人数据的处理中,例如每次发送或接受电子邮件。对于许多企业而言,GDPR影响到企业运营的方方面面,从营销到IT,从人力资源到采购。可以说,任何处理与人员信息相关的环节,都可能伴随着GDPR项下的监管。(2)GDPR的高额罚金也是其备受瞩目的原因之一。GDPR生效不到四年,其罚款金额逐年增长:2018年仅为43.6万欧元,2019年7200万欧元,2020年1.71亿欧元,2021年上涨至惊人的10亿欧元。3在这一罚款名单上出现过大众所熟知的互联网巨头企业(例如某知名跨国电商企业曾被开出一张高达7亿欧元的罚单),也出现过不为大众熟知的小型数据处理主体(例如2019年8月瑞典监管部门依据GDPR对一家高中违规使用人脸识别技术的行为实施了罚款)。(3)GDPR对数据处理者的数据处理活动提出了有关公开透明的高标准,有关企业需要在其公司政策以及对用户作出的通知中对数据处理活动作出广泛而详细的披露。(4)GDPR明确而系统地建立了数据主体对于个人数据的控制权体系,提供为保障数据主体行使权利而采纳的类型化机制,从而实现GDPR第15条到22条所规定的包括知情访问、更正、删除、限制处理、可携带、反对等权利。4当企业日常商业活动中涉及到跨境传输数据至欧盟无法充分裁决的国家时(例如中国、美国等),企业有义务采用GDPR项下的数据传输标准合同条款(SCC),用以保护欧盟数据主体的权利和自由。在2022年12月27日以前,相关企业必须将旧的SCC合同更换成新的SCC合同,这无疑是一项合规挑战。2.美国从立法来看,美国法项下目前没有一部单一的占主导地位的数据保护立法,但是在联邦立法及各州立法级别都有大量维护数据安全以及保护隐私数据的相关法案。联邦法层面,联邦贸易委员会法 FTC Act(15 U.S.Code 41 et seq.)广泛授权了美国联邦贸易委员会(FTC)采取执法行动来保护消费者权益,使其免受不公平或欺骗性行为的影响,并执行联邦隐私和数据保护法规。联邦贸易委员会的监管标准是“deceptive practice欺骗性准则”,该准则的适用包括公司未能遵守其公布的隐私承诺,以及未能提供足够的个人信息安全,此外还包括使用欺骗性广告或营销方法。5对于关键的几个特定行业,例如金融、大健康、科技通信以及教育,美国法项下,联邦政府出台了特定法案用以规制特定行业或特定类别数据的隐私保护,比如 金融服务现代化法(The Gramm Leach Bliley Act,“GLBA”)规定了金融机构处理个人私密信息的方式;再如 儿童在线隐私保护法(COPPA)是分类化立法的典型,是针对未满13周岁的美国公民(下称“儿童”)这一特定人群的特别立法,主要规定了运营者的合规义务以及父母的权利;又如在大健康领域出台的 健康保险携带和责任法案(The Health Information Portability and Accountability Act,“HIPPA”)规定了对于个人健康医疗数据的保护路径,在新冠疫情的背景下,2022年10月,该提案还提出,要强化数据主体访问自己个人健康信息的权利;增强医疗合作和个人病例管理中的信息共享;提升家庭成员和医疗服务提供者对于紧急情况和患者健康危机的参与度;在以新冠疫情为代表的公共医疗卫生事件等具有紧迫性、威胁性的情况下,增强数据披露的灵活性。在保护个人健康医疗数据隐私的前提下,减轻HIPAA适用主体的行政负担6。从执法层面来看,目前为止,美国政府并未架设一家政府机关对数据活动进行统一监管,相关执法权力均下放到监管特定领域的相关部门,有些是联邦层面的执法部门,也有些是州层面的执法部门。对于违法行为是否可能涉及到刑事责任,则需具体结合特定领域法案及个案情节来判断,比如HIPPA项下的执法行动就可能同时带来民事和刑事责任。2022年6月3日,美国众议院和参议院发布了一项有关国家数据隐私和数据安全框架的讨论草案,意图从联邦层面推动分散的隐私立法走向统一,以更好地保护公民权利。7该提案文件里提及的法案可被称为 美国数据隐私和保护法案(以下简称“美国法案”),也是首个获得两党两院支持的联邦隐私立法草案。目前,该法尚未正式成为联邦法律,但根据相关报道,美国参议院商业、科学和运输委员会高级成员、密西西比州共和党参议员Roger Wicker,密西西比州共和党和众议院能源和商业委员会的Frank Pallone和商业委员会主席兼高级成员Cathy McMorris Rodgers共同起草了该法案,三人表示:“两党和两院对于制定全面数据隐私框架已经筹备多年,这份讨论草案的发布是一个关键的里程碑。在未来几周,将推动建立、支持并最终确定这一标准,让公民对自身的个人数据有更多的控制权。并且欢迎并鼓励更多人加入,使个人隐私得到有意义的保护,并为企业提供运营的确定性。”3.其他主要法域根据全球知名科技行业咨询公司Gartner的数据统计,到2023年,世界上65%人口的个人数据都将受到现代隐私法规的保护。站在全球视角,在过去的两年里,欧洲、美洲、亚太等地区都出台或修改了数据隐私保护的相关法律,这一趋势在未来也将继续延续。英国是全球首个系统性制定数字经济促进法的国家,旨在提升其全球数字经济领导地位。2017年4月,英国颁布替代2009年旧法的全新 数字经济法案,成为全球首部系统完整的数字经济促进法,旨在平衡技术创新与风险应对、网络开放与安全保障、数据挖掘与隐私保护、数据垄断与有序竞争,构建一个运用技术持续推动经济、社会及政府转型与变革的良性法律环境。82021年10月12日,韩国科学和信息通信技术部(MSIT)宣布,国务会议通过了数据产业振兴和利用促进基本法(以下简称“数据基本法”),旨在为发展数据产业和振兴数据经济奠定基础,并已于2022年4月全面实施。数据基本法 是全球首部规制数据产业的基本立法,对数据的开发利用进行统筹安排。9与中国相似,在日本,个人信息保护法 是日本个人信息保护领域的基本法,基于针对个人信息保护相关国际行动、信息通信技术发展、利用个人信息的新产业和新发展进行的调查分析,日本个人信息保护委员会每三年对该法进行一次审查,以积极回应数据保护的发展需求。相较于此前版本,2020年6月修订的 个人信息保护法 对运营商的信息处理义务和法律责任进行细化,同时,向个人信息的跨境流动投入了更多的关注。2020年11月,新加坡个人数据保护委员会在2012年 个人数据保护法 的基础上发布了 个人数据保护(修订)法,强化了对公民个人数据权利的私权保护和合规义务。2018年2月,新加坡议会通过 2018年网络安全法,作为网络安全领域的综合管齐下”的路径:(1)法律和政策体制体系逐步健全。相继颁布实施 网络安全法数据安全法个人信息保护法 初步搭建起网络空间治理体系的“三驾马车”,修改 电子商务法反垄断法,制定新就业形态劳动者权益保障政策,逐步健全完善行业层面的治理框架。(2)网络安全防护能力持续增强。完善关键信息基础设施安全保护、数据安全保护和网络安全审查等制度,健全国家网络安全标准体系,完善数据安全和个人信息保护认证体系,确保国家网络安全、数据和个人隐私安全。基本建成国家、省、企业三级联动的工业互联网安全技术监测服务体系;建立数字经济部际联席会议等跨部门协调机制,强化部门间协同监管。(3)数字经济治理能力持续提升。提升税收征管、银行保险业监管、通关监管、国资监管、数字经济监测和知识产权保护、反垄断、反不正当竞争、网络交易监管等领域的信息化水平,推动“智慧监管”。有序推进金融科技创新监管工具试点、资本市场金融科技创新试点、网络市场监管与服务示范区等工作,探索新型监管机制。10微观视角下,复杂的法律规定及动态4.陈际红:挑战与应对|企业视角的GDPR,几个重要看点 https:/w-Data Protection Laws and Regulations USA 2022美国法项下目前没有一部单一的占主导地位的数据保护立法,但是在联邦立法及各州立法级别都有大量维护数据安全以及保护隐私数据的相关法案。008CYBER SECURITY ANDDATA PROTECTIONC H A P T E R 0 1P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1安全稳定繁荣的网络空间,对世界各国都具有重大意义。网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。”1在加快完善数据保护同时,全球主要经济体也在积极推进着数字经济的创新发展及网络空间立法的完善,通过提出“倡议”、通过“提案”、发布白皮书等方式,展现出深化网络空间国际合作,携手各国打造安全、干净、繁荣的网络环境的美好愿景,也从立法、司法、执法等层面保障网络空间的安全,为全球市场上数据的流通与共享奠定法律基础,提供保障。P A R T 0 0 2全球范围内主要法域数据监管观察1、欧盟从全球范围内规制数据活动规则制定维度来看,针对个人数据保护的欧盟 通用数据保护条例(GDPR)自2018年5月正式生效以来一直被誉为是世界上最全面的数P A R T 0 0 1科技与法治创新发展虚拟现实、智能设备和人工智能在过去20年内革新了全球商业格局,改变了人们的生活方式。技术向前推进的过程中,立足于极大丰富且多元的数据资源以及技术上多维度、多角度、多形式的应用和衍生,得益于全球化的助力,基于数据的获取、使用及流通而开展的各类商业活动近年来在国际市场上愈发活跃。数据被称为“21世纪石油”,由此不难窥探到,数据生态产业链对全球经济、世界格局都产生了可以称其为颠覆性的影响。在商业行为中,经营者拥有何种权利、又负有何种义务?因数据共享使用产生的红利如何分配?消费者如何保障个人数据权益?相关纠纷如何合理化解?.这些都是科技这一变量为法治社会带来的全新课题,对法律法规的制定与更新、行政机关的监管以及司法机关的裁判提出了全新的挑战。2022年11月7日,国务院新闻办公室发布的 携手构建网络空间命运共同体 白皮书,其中提到“安全是发展的前提,一个据隐私保护法,其重要性不言而喻。据研究,从欧洲视角来看,2018年GDPR生效当年,欧盟监管部门仅发布了19项处罚,罚款总额不到60万欧元。而欧盟真正的执法行动实际上从2019年开始,相比2018年,2019年处罚数量增加了7倍,达到143起,2020年处罚数量又相对19年增加17%达到168起。2021年欧洲数据保护机构开出了高达11亿欧元(12亿美元)的罚单,罚金总额增长了7倍。根据GDPR相关规则,如果不遵守GDPR的合规要求,罚款有可能高达企业全球年度营收的4%。自2018年GDPR的正式施行以来,欧盟的立法和执法活动都为全球范围内的数据隐私保护提供了重要参考,通过个人数据处理行为的规范来保护自然人的基本权利和自由,通过对个人数据处理的规范来保护公民的基本权利和自由,促进个人数据在欧盟境内的自由流通,是一部地地道道的以经济促进和发展为目标的法律。2简单归纳而言,GDPR的法规有如下四个主要特征:监管范围广、处罚力度强、对公开性和透明度高要求、赋予个人对抗商业的权利。具体而言:(1)GDPR将“个人数据”定义为包括任何已识别或可识别的自然人(“数据主体”)相关的信息。这意味着几乎每个企业都或多或者有参与到对个人数据的处理中,例如每次发送或接受电子邮件。对于许多企业而言,GDPR影响到企业运营的方方面面,从营销到IT,从人力资源到采购。可以说,任何处理与人员信息相关的环节,都可能伴随着GDPR项下的监管。(2)GDPR的高额罚金也是其备受瞩目的原因之一。GDPR生效不到四年,其罚款金额逐年增长:2018年仅为43.6万欧元,2019年7200万欧元,2020年1.71亿欧元,2021年上涨至惊人的10亿欧元。3在这一罚款名单上出现过大众所熟知的互联网巨头企业(例如某知名跨国电商企业曾被开出一张高达7亿欧元的罚单),也出现过不为大众熟知的小型数据处理主体(例如2019年8月瑞典监管部门依据GDPR对一家高中违规使用人脸识别技术的行为实施了罚款)。(3)GDPR对数据处理者的数据处理活动提出了有关公开透明的高标准,有关企业需要在其公司政策以及对用户作出的通知中对数据处理活动作出广泛而详细的披露。(4)GDPR明确而系统地建立了数据主体对于个人数据的控制权体系,提供为保障数据主体行使权利而采纳的类型化机制,从而实现GDPR第15条到22条所规定的包括知情访问、更正、删除、限制处理、可携带、反对等权利。4当企业日常商业活动中涉及到跨境传输数据至欧盟无法充分裁决的国家时(例如中国、美国等),企业有义务采用GDPR项下的数据传输标准合同条款(SCC),用以保护欧盟数据主体的权利和自由。在2022年12月27日以前,相关企业必须将旧的SCC合同更换成新的SCC合同,这无疑是一项合规挑战。2.美国从立法来看,美国法项下目前没有一部单一的占主导地位的数据保护立法,但是在联邦立法及各州立法级别都有大量维护数据安全以及保护隐私数据的相关法案。联邦法层面,联邦贸易委员会法 FTC Act(15 U.S.Code 41 et seq.)广泛授权了美国联邦贸易委员会(FTC)采取执法行动来保护消费者权益,使其免受不公平或欺骗性行为的影响,并执行联邦隐私和数据保护法规。联邦贸易委员会的监管标准是“deceptive practice欺骗性准则”,该准则的适用包括公司未能遵守其公布的隐私承诺,以及未能提供足够的个人信息安全,此外还包括使用欺骗性广告或营销方法。5对于关键的几个特定行业,例如金融、大健康、科技通信以及教育,美国法项下,联邦政府出台了特定法案用以规制特定行业或特定类别数据的隐私保护,比如 金融服务现代化法(The Gramm Leach Bliley Act,“GLBA”)规定了金融机构处理个人私密信息的方式;再如 儿童在线隐私保护法(COPPA)是分类化立法的典型,是针对未满13周岁的美国公民(下称“儿童”)这一特定人群的特别立法,主要规定了运营者的合规义务以及父母的权利;又如在大健康领域出台的 健康保险携带和责任法案(The Health Information Portability and Accountability Act,“HIPPA”)规定了对于个人健康医疗数据的保护路径,在新冠疫情的背景下,2022年10月,该提案还提出,要强化数据主体访问自己个人健康信息的权利;增强医疗合作和个人病例管理中的信息共享;提升家庭成员和医疗服务提供者对于紧急情况和患者健康危机的参与度;在以新冠疫情为代表的公共医疗卫生事件等具有紧迫性、威胁性的情况下,增强数据披露的灵活性。在保护个人健康医疗数据隐私的前提下,减轻HIPAA适用主体的行政负担6。从执法层面来看,目前为止,美国政府并未架设一家政府机关对数据活动进行统一监管,相关执法权力均下放到监管特定领域的相关部门,有些是联邦层面的执法部门,也有些是州层面的执法部门。对于违6.丁恒、胡运思 美国HIPAA隐私规则对于个人健康医疗数据合规的启示性立法,该法弥补了原有的 计算机滥用及网络安全法 在行政执法和事前事中监管方面的缺失,可操作性亦有所提升。可见,随着网络安全风险与数据价值二者的同步增长,如何在法律的适用中实现保护与发展的平衡,已成为各国共同面对的时代命题。P A R T 0 0 3规则与创新,风险与合规科技变量下的法律问题聚焦科技发展滋养了新的商业模式和商业形态,新的问题也随之而来。技术进步与改变无法被预见,从宏观上看,大多数规制数据活动的法律在制定之初,立法者们往往都会考虑留下一定灵活性,以应对瞬息万变的商业社会。从国务院最新于11月14日发布的 关于数字经济发展情况的报告 来看,为了推动数字法治的健康发展我国采用立法、安全与治理“三009CYBER SECURITY ANDDATA PROTECTIONP A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1安全稳定繁荣的网络空间,对世界各国都具有重大意义。网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。”1在加快完善数据保护同时,全球主要经济体也在积极推进着数字经济的创新发展及网络空间立法的完善,通过提出“倡议”、通过“提案”、发布白皮书等方式,展现出深化网络空间国际合作,携手各国打造安全、干净、繁荣的网络环境的美好愿景,也从立法、司法、执法等层面保障网络空间的安全,为全球市场上数据的流通与共享奠定法律基础,提供保障。P A R T 0 0 2全球范围内主要法域数据监管观察1、欧盟从全球范围内规制数据活动规则制定维度来看,针对个人数据保护的欧盟 通用数据保护条例(GDPR)自2018年5月正式生效以来一直被誉为是世界上最全面的数P A R T 0 0 1科技与法治创新发展虚拟现实、智能设备和人工智能在过去20年内革新了全球商业格局,改变了人们的生活方式。技术向前推进的过程中,立足于极大丰富且多元的数据资源以及技术上多维度、多角度、多形式的应用和衍生,得益于全球化的助力,基于数据的获取、使用及流通而开展的各类商业活动近年来在国际市场上愈发活跃。数据被称为“21世纪石油”,由此不难窥探到,数据生态产业链对全球经济、世界格局都产生了可以称其为颠覆性的影响。在商业行为中,经营者拥有何种权利、又负有何种义务?因数据共享使用产生的红利如何分配?消费者如何保障个人数据权益?相关纠纷如何合理化解?.这些都是科技这一变量为法治社会带来的全新课题,对法律法规的制定与更新、行政机关的监管以及司法机关的裁判提出了全新的挑战。2022年11月7日,国务院新闻办公室发布的 携手构建网络空间命运共同体 白皮书,其中提到“安全是发展的前提,一个据隐私保护法,其重要性不言而喻。据研究,从欧洲视角来看,2018年GDPR生效当年,欧盟监管部门仅发布了19项处罚,罚款总额不到60万欧元。而欧盟真正的执法行动实际上从2019年开始,相比2018年,2019年处罚数量增加了7倍,达到143起,2020年处罚数量又相对19年增加17%达到168起。2021年欧洲数据保护机构开出了高达11亿欧元(12亿美元)的罚单,罚金总额增长了7倍。根据GDPR相关规则,如果不遵守GDPR的合规要求,罚款有可能高达企业全球年度营收的4%。自2018年GDPR的正式施行以来,欧盟的立法和执法活动都为全球范围内的数据隐私保护提供了重要参考,通过个人数据处理行为的规范来保护自然人的基本权利和自由,通过对个人数据处理的规范来保护公民的基本权利和自由,促进个人数据在欧盟境内的自由流通,是一部地地道道的以经济促进和发展为目标的法律。2简单归纳而言,GDPR的法规有如下四个主要特征:监管范围广、处罚力度强、对公开性和透明度高要求、赋予个人对抗商业的权利。具体而言:(1)GDPR将“个人数据”定义为包括任何已识别或可识别的自然人(“数据主体”)相关的信息。这意味着几乎每个企业都或多或者有参与到对个人数据的处理中,例如每次发送或接受电子邮件。对于许多企业而言,GDPR影响到企业运营的方方面面,从营销到IT,从人力资源到采购。可以说,任何处理与人员信息相关的环节,都可能伴随着GDPR项下的监管。(2)GDPR的高额罚金也是其备受瞩目的原因之一。GDPR生效不到四年,其罚款金额逐年增长:2018年仅为43.6万欧元,2019年7200万欧元,2020年1.71亿欧元,2021年上涨至惊人的10亿欧元。3在这一罚款名单上出现过大众所熟知的互联网巨头企业(例如某知名跨国电商企业曾被开出一张高达7亿欧元的罚单),也出现过不为大众熟知的小型数据处理主体(例如2019年8月瑞典监管部门依据GDPR对一家高中违规使用人脸识别技术的行为实施了罚款)。(3)GDPR对数据处理者的数据处理活动提出了有关公开透明的高标准,有关企业需要在其公司政策以及对用户作出的通知中对数据处理活动作出广泛而详细的披露。(4)GDPR明确而系统地建立了数据主体对于个人数据的控制权体系,提供为保障数据主体行使权利而采纳的类型化机制,从而实现GDPR第15条到22条所规定的包括知情访问、更正、删除、限制处理、可携带、反对等权利。4当企业日常商业活动中涉及到跨境传输数据至欧盟无法充分裁决的国家时(例如中国、美国等),企业有义务采用GDPR项下的数据传输标准合同条款(SCC),用以保护欧盟数据主体的权利和自由。在2022年12月27日以前,相关企业必须将旧的SCC合同更换成新的SCC合同,这无疑是一项合规挑战。2.美国从立法来看,美国法项下目前没有一部单一的占主导地位的数据保护立法,但是在联邦立法及各州立法级别都有大量维护数据安全以及保护隐私数据的相关法案。联邦法层面,联邦贸易委员会法 FTC Act(15 U.S.Code 41 et seq.)广泛授权了美国联邦贸易委员会(FTC)采取执法行动来保护消费者权益,使其免受不公平或欺骗性行为的影响,并执行联邦隐私和数据保护法规。联邦贸易委员会的监管标准是“deceptive practice欺骗性准则”,该准则的适用包括公司未能遵守其公布的隐私承诺,以及未能提供足够的个人信息安全,此外还包括使用欺骗性广告或营销方法。5对于关键的几个特定行业,例如金融、大健康、科技通信以及教育,美国法项下,联邦政府出台了特定法案用以规制特定行业或特定类别数据的隐私保护,比如 金融服务现代化法(The Gramm Leach Bliley Act,“GLBA”)规定了金融机构处理个人私密信息的方式;再如 儿童在线隐私保护法(COPPA)是分类化立法的典型,是针对未满13周岁的美国公民(下称“儿童”)这一特定人群的特别立法,主要规定了运营者的合规义务以及父母的权利;又如在大健康领域出台的 健康保险携带和责任法案(The Health Information Portability and Accountability Act,“HIPPA”)规定了对于个人健康医疗数据的保护路径,在新冠疫情的背景下,2022年10月,该提案还提出,要强化数据主体访问自己个人健康信息的权利;增强医疗合作和个人病例管理中的信息共享;提升家庭成员和医疗服务提供者对于紧急情况和患者健康危机的参与度;在以新冠疫情为代表的公共医疗卫生事件等具有紧迫性、威胁性的情况下,增强数据披露的灵活性。在保护个人健康医疗数据隐私的前提下,减轻HIPAA适用主体的行政负担6。从执法层面来看,目前为止,美国政府并未架设一家政府机关对数据活动进行统一监管,相关执法权力均下放到监管特定领域的相关部门,有些是联邦层面的执法部门,也有些是州层面的执法部门。对于违法行为是否可能涉及到刑事责任,则需具体结合特定领域法案及个案情节来判断,比如HIPPA项下的执法行动就可能同时带来民事和刑事责任。2022年6月3日,美国众议院和参议院发布了一项有关国家数据隐私和数据安全框架的讨论草案,意图从联邦层面推动分散的隐私立法走向统一,以更好地保护公民权利。7该提案文件里提及的法案可被称为 美国数据隐私和保护法案(以下简称“美国法案”),也是首个获得两党两院支持的联邦隐私立法草案。目前,该法尚未正式成为联邦法律,但根据相关报道,美国参议院商业、科学和运输委员会高级成员、密西西比州共和党参议员Roger Wicker,密西西比州共和党和众议院能源和商业委员会的Frank Pallone和商业委员会主席兼高级成员Cathy McMorris Rodgers共同起草了该法案,三人表示:“两党和两院对于制定全面数据隐私框架已经筹备多年,这份讨论草案的发布是一个关键的里程碑。在未来几周,将推动建立、支持并最终确定这一标准,让公民对自身的个人数据有更多的控制权。并且欢迎并鼓励更多人加入,使个人隐私得到有意义的保护,并为企业提供运营的确定性。”3.其他主要法域根据全球知名科技行业咨询公司Gartner的数据统计,到2023年,世界上65%人口的个人数据都将受到现代隐私法规的保护。站在全球视角,在过去的两年里,欧洲、美洲、亚太等地区都出台或修改了数据隐私保护的相关法律,这一趋势在未来也将继续延续。英国是全球首个系统性制定数字经济促进法的国家,旨在提升其全球数字经济领导地位。2017年4月,英国颁布替代2009年旧法的全新 数字经济法案,成为全球首部系统完整的数字经济促进法,旨在平衡技术创新与风险应对、网络开放与安全保障、数据挖掘与隐私保护、数据垄断与有序竞争,构建一个运用技术持续推动经济、社会及政府转型与变革的良性法律环境。82021年10月12日,韩国科学和信息通信技术部(MSIT)宣布,国务会议通过了数据产业振兴和利用促进基本法(以下简称“数据基本法”),旨在为发展数据产业和振兴数据经济奠定基础,并已于2022年4月全面实施。数据基本法 是全球首部规制数据产业的基本立法,对数据的开发利用进行统筹安排。9与中国相似,在日本,个人信息保护法 是日本个人信息保护领域的基本法,基于针对个人信息保护相关国际行动、信息通信技术发展、利用个人信息的新产业和新发展进行的调查分析,日本个人信息保护委员会每三年对该法进行一次审查,以积极回应数据保护的发展需求。相较于此前版本,2020年6月修订的 个人信息保护法 对运营商的信息处理义务和法律责任进行细化,同时,向个人信息的跨境流动投入了更多的关注。2020年11月,新加坡个人数据保护委员会在2012年 个人数据保护法 的基础上发布了 个人数据保护(修订)法,强化了对公民个人数据权利的私权保护和合规义务。2018年2月,新加坡议会通过 2018年网络安全法,作为网络安全领域的综合管齐下”的路径:(1)法律和政策体制体系逐步健全。相继颁布实施 网络安全法数据安全法个人信息保护法 初步搭建起网络空间治理体系的“三驾马车”,修改 电子商务法反垄断法,制定新就业形态劳动者权益保障政策,逐步健全完善行业层面的治理框架。(2)网络安全防护能力持续增强。完善关键信息基础设施安全保护、数据安全保护和网络安全审查等制度,健全国家网络安全标准体系,完善数据安全和个人信息保护认证体系,确保国家网络安全、数据和个人隐私安全。基本建成国家、省、企业三级联动的工业互联网安全技术监测服务体系;建立数字经济部际联席会议等跨部门协调机制,强化部门间协同监管。(3)数字经济治理能力持续提升。提升税收征管、银行保险业监管、通关监管、国资监管、数字经济监测和知识产权保护、反垄断、反不正当竞争、网络交易监管等领域的信息化水平,推动“智慧监管”。有序推进金融科技创新监管工具试点、资本市场金融科技创新试点、网络市场监管与服务示范区等工作,探索新型监管机制。10微观视角下,复杂的法律规定及动态变化的监管环境为企业合规带来了不小的困难。共性问题例如企业如何搭建个人信息保护合规体系?如何开展个人信息审计工作?中国版标准合同如何适用?跨国公司员工个人数据如何管理?数据出境安全评估新规出台,企业如何抓重点?处理方和接收方的权利义务如何划分?随着司法力量的介入以及跨境合作的愈发频繁,涉数据的民事、行政和刑事案件数量都在不断增加,跨国企业也可能面临外国司法调查,此时企业该如何应对?在共性问题的基础上,不同商业模式和行业特点也会碰撞出个性化的合规需求。例如在大健康行业对个人信息的特殊合规要求之下,临床试验数据如何出境?自动驾驶领域的个人信息保护合规问题,科技企业上市的数据合规问题等。网络安全与数据保护这个语境下,所涉及行业包括金融、IT与互联网、电信、移动支付、智能网联汽车、大数据、生命科学与大健康、传媒、能源、航空、化工和制造等多个领域,在科技变量的影响下,未来已7.闫晓丽:美国数据隐私和保护法案 的内容及启示8.王磊:欧美数字经济立法最新动态、基本特征及对我国启示最新提出的美国数据隐私和保护法案意图从联邦层面推动分散的隐私立法走向统一,以更好地保护公民权利。性立法,该法弥补了原有的 计算机滥用及网络安全法 在行政执法和事前事中监管方面的缺失,可操作性亦有所提升。可见,随着网络安全风险与数据价值二者的同步增长,如何在法律的适用中实现保护与发展的平衡,已成为各国共同面对的时代命题。P A R T 0 0 3规则与创新,风险与合规科技变量下的法律问题聚焦科技发展滋养了新的商业模式和商业形态,新的问题也随之而来。技术进步与改变无法被预见,从宏观上看,大多数规制数据活动的法律在制定之初,立法者们往往都会考虑留下一定灵活性,以应对瞬息万变的商业社会。从国务院最新于11月14日发布的 关于数字经济发展情况的报告 来看,为了推动数字法治的健康发展我国采用立法、安全与治理“三010CYBER SECURITY ANDDATA PROTECTIONC H A P T E R 0 1P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1信技术部(MSIT)宣布,国务会议通过了数据产业振兴和利用促进基本法(以下简称“数据基本法”),旨在为发展数据产业和振兴数据经济奠定基础,并已于2022年4月全面实施。数据基本法 是全球首部规制数据产业的基本立法,对数据的开发利用进行统筹安排。9与中国相似,在日本,个人信息保护法 是日本个人信息保护领域的基本法,基于针对个人信息保护相关国际行动、信息通信技术发展、利用个人信息的新产业和新发展进行的调查分析,日本个人信息保护委员会每三年对该法进行一次审查,以积极回应数据保护的发展需求。相较于此前版本,2020年6月修订的 个人信息保护法 对运营商的信息处理义务和法律责任进行细化,同时,向个人信息的跨境流动投入了更多的关注。2020年11月,新加坡个人数据保护委员会在2012年 个人数据保护法 的基础上发布了 个人数据保护(修订)法,强化了对公民个人数据权利的私权保护和合规义务。2018年2月,新加坡议会通过 2018年网络安全法,作为网络安全领域的综合9.信通院互联网法律研究中心:韩国率先发布全球首部 数据基本法,大力发展数据产业科技发展滋养了新的商业模式和商业形态,新的问题也随之而来。性立法,该法弥补了原有的 计算机滥用及网络安全法 在行政执法和事前事中监管方面的缺失,可操作性亦有所提升。可见,随着网络安全风险与数据价值二者的同步增长,如何在法律的适用中实现保护与发展的平衡,已成为各国共同面对的时代命题。P A R T 0 0 3规则与创新,风险与合规科技变量下的法律问题聚焦科技发展滋养了新的商业模式和商业形态,新的问题也随之而来。技术进步与改变无法被预见,从宏观上看,大多数规制数据活动的法律在制定之初,立法者们往往都会考虑留下一定灵活性,以应对瞬息万变的商业社会。从国务院最新于11月14日发布的 关于数字经济发展情况的报告 来看,为了推动数字法治的健康发展我国采用立法、安全与治理“三011CYBER SECURITY ANDDATA PROTECTIONP A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1安全稳定繁荣的网络空间,对世界各国都具有重大意义。网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。”1在加快完善数据保护同时,全球主要经济体也在积极推进着数字经济的创新发展及网络空间立法的完善,通过提出“倡议”、通过“提案”、发布白皮书等方式,展现出深化网络空间国际合作,携手各国打造安全、干净、繁荣的网络环境的美好愿景,也从立法、司法、执法等层面保障网络空间的安全,为全球市场上数据的流通与共享奠定法律基础,提供保障。P A R T 0 0 2全球范围内主要法域数据监管观察1、欧盟从全球范围内规制数据活动规则制定维度来看,针对个人数据保护的欧盟 通用数据保护条例(GDPR)自2018年5月正式生效以来一直被誉为是世界上最全面的数P A R T 0 0 1科技与法治创新发展虚拟现实、智能设备和人工智能在过去20年内革新了全球商业格局,改变了人们的生活方式。技术向前推进的过程中,立足于极大丰富且多元的数据资源以及技术上多维度、多角度、多形式的应用和衍生,得益于全球化的助力,基于数据的获取、使用及流通而开展的各类商业活动近年来在国际市场上愈发活跃。数据被称为“21世纪石油”,由此不难窥探到,数据生态产业链对全球经济、世界格局都产生了可以称其为颠覆性的影响。在商业行为中,经营者拥有何种权利、又负有何种义务?因数据共享使用产生的红利如何分配?消费者如何保障个人数据权益?相关纠纷如何合理化解?.这些都是科技这一变量为法治社会带来的全新课题,对法律法规的制定与更新、行政机关的监管以及司法机关的裁判提出了全新的挑战。2022年11月7日,国务院新闻办公室发布的 携手构建网络空间命运共同体 白皮书,其中提到“安全是发展的前提,一个据隐私保护法,其重要性不言而喻。据研究,从欧洲视角来看,2018年GDPR生效当年,欧盟监管部门仅发布了19项处罚,罚款总额不到60万欧元。而欧盟真正的执法行动实际上从2019年开始,相比2018年,2019年处罚数量增加了7倍,达到143起,2020年处罚数量又相对19年增加17%达到168起。2021年欧洲数据保护机构开出了高达11亿欧元(12亿美元)的罚单,罚金总额增长了7倍。根据GDPR相关规则,如果不遵守GDPR的合规要求,罚款有可能高达企业全球年度营收的4%。自2018年GDPR的正式施行以来,欧盟的立法和执法活动都为全球范围内的数据隐私保护提供了重要参考,通过个人数据处理行为的规范来保护自然人的基本权利和自由,通过对个人数据处理的规范来保护公民的基本权利和自由,促进个人数据在欧盟境内的自由流通,是一部地地道道的以经济促进和发展为目标的法律。2简单归纳而言,GDPR的法规有如下四个主要特征:监管范围广、处罚力度强、对公开性和透明度高要求、赋予个人对抗商业的权利。具体而言:(1)GDPR将“个人数据”定义为包括任何已识别或可识别的自然人(“数据主体”)相关的信息。这意味着几乎每个企业都或多或者有参与到对个人数据的处理中,例如每次发送或接受电子邮件。对于许多企业而言,GDPR影响到企业运营的方方面面,从营销到IT,从人力资源到采购。可以说,任何处理与人员信息相关的环节,都可能伴随着GDPR项下的监管。(2)GDPR的高额罚金也是其备受瞩目的原因之一。GDPR生效不到四年,其罚款金额逐年增长:2018年仅为43.6万欧元,2019年7200万欧元,2020年1.71亿欧元,2021年上涨至惊人的10亿欧元。3在这一罚款名单上出现过大众所熟知的互联网巨头企业(例如某知名跨国电商企业曾被开出一张高达7亿欧元的罚单),也出现过不为大众熟知的小型数据处理主体(例如2019年8月瑞典监管部门依据GDPR对一家高中违规使用人脸识别技术的行为实施了罚款)。(3)GDPR对数据处理者的数据处理活动提出了有关公开透明的高标准,有关企业需要在其公司政策以及对用户作出的通知中对数据处理活动作出广泛而详细的披露。(4)GDPR明确而系统地建立了数据主体对于个人数据的控制权体系,提供为保障数据主体行使权利而采纳的类型化机制,从而实现GDPR第15条到22条所规定的包括知情访问、更正、删除、限制处理、可携带、反对等权利。4当企业日常商业活动中涉及到跨境传输数据至欧盟无法充分裁决的国家时(例如中国、美国等),企业有义务采用GDPR项下的数据传输标准合同条款(SCC),用以保护欧盟数据主体的权利和自由。在2022年12月27日以前,相关企业必须将旧的SCC合同更换成新的SCC合同,这无疑是一项合规挑战。2.美国从立法来看,美国法项下目前没有一部单一的占主导地位的数据保护立法,但是在联邦立法及各州立法级别都有大量维护数据安全以及保护隐私数据的相关法案。联邦法层面,联邦贸易委员会法 FTC Act(15 U.S.Code 41 et seq.)广泛授权了美国联邦贸易委员会(FTC)采取执法行动来保护消费者权益,使其免受不公平或欺骗性行为的影响,并执行联邦隐私和数据保护法规。联邦贸易委员会的监管标准是“deceptive practice欺骗性准则”,该准则的适用包括公司未能遵守其公布的隐私承诺,以及未能提供足够的个人信息安全,此外还包括使用欺骗性广告或营销方法。5对于关键的几个特定行业,例如金融、大健康、科技通信以及教育,美国法项下,联邦政府出台了特定法案用以规制特定行业或特定类别数据的隐私保护,比如 金融服务现代化法(The Gramm Leach Bliley Act,“GLBA”)规定了金融机构处理个人私密信息的方式;再如 儿童在线隐私保护法(COPPA)是分类化立法的典型,是针对未满13周岁的美国公民(下称“儿童”)这一特定人群的特别立法,主要规定了运营者的合规义务以及父母的权利;又如在大健康领域出台的 健康保险携带和责任法案(The Health Information Portability and Accountability Act,“HIPPA”)规定了对于个人健康医疗数据的保护路径,在新冠疫情的背景下,2022年10月,该提案还提出,要强化数据主体访问自己个人健康信息的权利;增强医疗合作和个人病例管理中的信息共享;提升家庭成员和医疗服务提供者对于紧急情况和患者健康危机的参与度;在以新冠疫情为代表的公共医疗卫生事件等具有紧迫性、威胁性的情况下,增强数据披露的灵活性。在保护个人健康医疗数据隐私的前提下,减轻HIPAA适用主体的行政负担6。从执法层面来看,目前为止,美国政府并未架设一家政府机关对数据活动进行统一监管,相关执法权力均下放到监管特定领域的相关部门,有些是联邦层面的执法部门,也有些是州层面的执法部门。对于违法行为是否可能涉及到刑事责任,则需具体结合特定领域法案及个案情节来判断,比如HIPPA项下的执法行动就可能同时带来民事和刑事责任。2022年6月3日,美国众议院和参议院发布了一项有关国家数据隐私和数据安全框架的讨论草案,意图从联邦层面推动分散的隐私立法走向统一,以更好地保护公民权利。7该提案文件里提及的法案可被称为 美国数据隐私和保护法案(以下简称“美国法案”),也是首个获得两党两院支持的联邦隐私立法草案。目前,该法尚未正式成为联邦法律,但根据相关报道,美国参议院商业、科学和运输委员会高级成员、密西西比州共和党参议员Roger Wicker,密西西比州共和党和众议院能源和商业委员会的Frank Pallone和商业委员会主席兼高级成员Cathy McMorris Rodgers共同起草了该法案,三人表示:“两党和两院对于制定全面数据隐私框架已经筹备多年,这份讨论草案的发布是一个关键的里程碑。在未来几周,将推动建立、支持并最终确定这一标准,让公民对自身的个人数据有更多的控制权。并且欢迎并鼓励更多人加入,使个人隐私得到有意义的保护,并为企业提供运营的确定性。”3.其他主要法域根据全球知名科技行业咨询公司Gartner的数据统计,到2023年,世界上65%人口的个人数据都将受到现代隐私法规的保护。站在全球视角,在过去的两年里,欧洲、美洲、亚太等地区都出台或修改了数据隐私保护的相关法律,这一趋势在未来也将继续延续。英国是全球首个系统性制定数字经济促进法的国家,旨在提升其全球数字经济领导地位。2017年4月,英国颁布替代2009年旧法的全新 数字经济法案,成为全球首部系统完整的数字经济促进法,旨在平衡技术创新与风险应对、网络开放与安全保障、数据挖掘与隐私保护、数据垄断与有序竞争,构建一个运用技术持续推动经济、社会及政府转型与变革的良性法律环境。82021年10月12日,韩国科学和信息通信技术部(MSIT)宣布,国务会议通过了数据产业振兴和利用促进基本法(以下简称“数据基本法”),旨在为发展数据产业和振兴数据经济奠定基础,并已于2022年4月全面实施。数据基本法 是全球首部规制数据产业的基本立法,对数据的开发利用进行统筹安排。9与中国相似,在日本,个人信息保护法 是日本个人信息保护领域的基本法,基于针对个人信息保护相关国际行动、信息通信技术发展、利用个人信息的新产业和新发展进行的调查分析,日本个人信息保护委员会每三年对该法进行一次审查,以积极回应数据保护的发展需求。相较于此前版本,2020年6月修订的 个人信息保护法 对运营商的信息处理义务和法律责任进行细化,同时,向个人信息的跨境流动投入了更多的关注。2020年11月,新加坡个人数据保护委员会在2012年 个人数据保护法 的基础上发布了 个人数据保护(修订)法,强化了对公民个人数据权利的私权保护和合规义务。2018年2月,新加坡议会通过 2018年网络安全法,作为网络安全领域的综合管齐下”的路径:(1)法律和政策体制体系逐步健全。相继颁布实施 网络安全法数据安全法个人信息保护法 初步搭建起网络空间治理体系的“三驾马车”,修改 电子商务法反垄断法,制定新就业形态劳动者权益保障政策,逐步健全完善行业层面的治理框架。(2)网络安全防护能力持续增强。完善关键信息基础设施安全保护、数据安全保护和网络安全审查等制度,健全国家网络安全标准体系,完善数据安全和个人信息保护认证体系,确保国家网络安全、数据和个人隐私安全。基本建成国家、省、企业三级联动的工业互联网安全技术监测服务体系;建立数字经济部际联席会议等跨部门协调机制,强化部门间协同监管。(3)数字经济治理能力持续提升。提升税收征管、银行保险业监管、通关监管、国资监管、数字经济监测和知识产权保护、反垄断、反不正当竞争、网络交易监管等领域的信息化水平,推动“智慧监管”。有序推进金融科技创新监管工具试点、资本市场金融科技创新试点、网络市场监管与服务示范区等工作,探索新型监管机制。10微观视角下,复杂的法律规定及动态变化的监管环境为企业合规带来了不小的困难。共性问题例如企业如何搭建个人信息保护合规体系?如何开展个人信息审计工作?中国版标准合同如何适用?跨国公司员工个人数据如何管理?数据出境安全评估新规出台,企业如何抓重点?处理方和接收方的权利义务如何划分?随着司法力量的介入以及跨境合作的愈发频繁,涉数据的民事、行政和刑事案件数量都在不断增加,跨国企业也可能面临外国司法调查,此时企业该如何应对?在共性问题的基础上,不同商业模式和行业特点也会碰撞出个性化的合规需求。例如在大健康行业对个人信息的特殊合规要求之下,临床试验数据如何出境?自动驾驶领域的个人信息保护合规问题,科技企业上市的数据合规问题等。网络安全与数据保护这个语境下,所涉及行业包括金融、IT与互联网、电信、移动支付、智能网联汽车、大数据、生命科学与大健康、传媒、能源、航空、化工和制造等多个领域,在科技变量的影响下,未来已10.国务院关于数字经济发展情况的报告_中国人大网(npc.gov-.cn)微观视角下,复杂的法律规定及动态变化的监管环境为企业合规带来了不小的困难。012CYBER SECURITY ANDDATA PROTECTION C H A P T E R 0 1P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1安全稳定繁荣的网络空间,对世界各国都具有重大意义。网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。”1在加快完善数据保护同时,全球主要经济体也在积极推进着数字经济的创新发展及网络空间立法的完善,通过提出“倡议”、通过“提案”、发布白皮书等方式,展现出深化网络空间国际合作,携手各国打造安全、干净、繁荣的网络环境的美好愿景,也从立法、司法、执法等层面保障网络空间的安全,为全球市场上数据的流通与共享奠定法律基础,提供保障。P A R T 0 0 2全球范围内主要法域数据监管观察1、欧盟从全球范围内规制数据活动规则制定维度来看,针对个人数据保护的欧盟 通用数据保护条例(GDPR)自2018年5月正式生效以来一直被誉为是世界上最全面的数P A R T 0 0 1科技与法治创新发展虚拟现实、智能设备和人工智能在过去20年内革新了全球商业格局,改变了人们的生活方式。技术向前推进的过程中,立足于极大丰富且多元的数据资源以及技术上多维度、多角度、多形式的应用和衍生,得益于全球化的助力,基于数据的获取、使用及流通而开展的各类商业活动近年来在国际市场上愈发活跃。数据被称为“21世纪石油”,由此不难窥探到,数据生态产业链对全球经济、世界格局都产生了可以称其为颠覆性的影响。在商业行为中,经营者拥有何种权利、又负有何种义务?因数据共享使用产生的红利如何分配?消费者如何保障个人数据权益?相关纠纷如何合理化解?.这些都是科技这一变量为法治社会带来的全新课题,对法律法规的制定与更新、行政机关的监管以及司法机关的裁判提出了全新的挑战。2022年11月7日,国务院新闻办公室发布的 携手构建网络空间命运共同体 白皮书,其中提到“安全是发展的前提,一个据隐私保护法,其重要性不言而喻。据研究,从欧洲视角来看,2018年GDPR生效当年,欧盟监管部门仅发布了19项处罚,罚款总额不到60万欧元。而欧盟真正的执法行动实际上从2019年开始,相比2018年,2019年处罚数量增加了7倍,达到143起,2020年处罚数量又相对19年增加17%达到168起。2021年欧洲数据保护机构开出了高达11亿欧元(12亿美元)的罚单,罚金总额增长了7倍。根据GDPR相关规则,如果不遵守GDPR的合规要求,罚款有可能高达企业全球年度营收的4%。自2018年GDPR的正式施行以来,欧盟的立法和执法活动都为全球范围内的数据隐私保护提供了重要参考,通过个人数据处理行为的规范来保护自然人的基本权利和自由,通过对个人数据处理的规范来保护公民的基本权利和自由,促进个人数据在欧盟境内的自由流通,是一部地地道道的以经济促进和发展为目标的法律。2简单归纳而言,GDPR的法规有如下四个主要特征:监管范围广、处罚力度强、对公开性和透明度高要求、赋予个人对抗商业的权利。具体而言:(1)GDPR将“个人数据”定义为包括任何已识别或可识别的自然人(“数据主体”)相关的信息。这意味着几乎每个企业都或多或者有参与到对个人数据的处理中,例如每次发送或接受电子邮件。对于许多企业而言,GDPR影响到企业运营的方方面面,从营销到IT,从人力资源到采购。可以说,任何处理与人员信息相关的环节,都可能伴随着GDPR项下的监管。(2)GDPR的高额罚金也是其备受瞩目的原因之一。GDPR生效不到四年,其罚款金额逐年增长:2018年仅为43.6万欧元,2019年7200万欧元,2020年1.71亿欧元,2021年上涨至惊人的10亿欧元。3在这一罚款名单上出现过大众所熟知的互联网巨头企业(例如某知名跨国电商企业曾被开出一张高达7亿欧元的罚单),也出现过不为大众熟知的小型数据处理主体(例如2019年8月瑞典监管部门依据GDPR对一家高中违规使用人脸识别技术的行为实施了罚款)。(3)GDPR对数据处理者的数据处理活动提出了有关公开透明的高标准,有关企业需要在其公司政策以及对用户作出的通知中对数据处理活动作出广泛而详细的披露。(4)GDPR明确而系统地建立了数据主体对于个人数据的控制权体系,提供为保障数据主体行使权利而采纳的类型化机制,从而实现GDPR第15条到22条所规定的包括知情访问、更正、删除、限制处理、可携带、反对等权利。4当企业日常商业活动中涉及到跨境传输数据至欧盟无法充分裁决的国家时(例如中国、美国等),企业有义务采用GDPR项下的数据传输标准合同条款(SCC),用以保护欧盟数据主体的权利和自由。在2022年12月27日以前,相关企业必须将旧的SCC合同更换成新的SCC合同,这无疑是一项合规挑战。2.美国从立法来看,美国法项下目前没有一部单一的占主导地位的数据保护立法,但是在联邦立法及各州立法级别都有大量维护数据安全以及保护隐私数据的相关法案。联邦法层面,联邦贸易委员会法 FTC Act(15 U.S.Code 41 et seq.)广泛授权了美国联邦贸易委员会(FTC)采取执法行动来保护消费者权益,使其免受不公平或欺骗性行为的影响,并执行联邦隐私和数据保护法规。联邦贸易委员会的监管标准是“deceptive practice欺骗性准则”,该准则的适用包括公司未能遵守其公布的隐私承诺,以及未能提供足够的个人信息安全,此外还包括使用欺骗性广告或营销方法。5对于关键的几个特定行业,例如金融、大健康、科技通信以及教育,美国法项下,联邦政府出台了特定法案用以规制特定行业或特定类别数据的隐私保护,比如 金融服务现代化法(The Gramm Leach Bliley Act,“GLBA”)规定了金融机构处理个人私密信息的方式;再如 儿童在线隐私保护法(COPPA)是分类化立法的典型,是针对未满13周岁的美国公民(下称“儿童”)这一特定人群的特别立法,主要规定了运营者的合规义务以及父母的权利;又如在大健康领域出台的 健康保险携带和责任法案(The Health Information Portability and Accountability Act,“HIPPA”)规定了对于个人健康医疗数据的保护路径,在新冠疫情的背景下,2022年10月,该提案还提出,要强化数据主体访问自己个人健康信息的权利;增强医疗合作和个人病例管理中的信息共享;提升家庭成员和医疗服务提供者对于紧急情况和患者健康危机的参与度;在以新冠疫情为代表的公共医疗卫生事件等具有紧迫性、威胁性的情况下,增强数据披露的灵活性。在保护个人健康医疗数据隐私的前提下,减轻HIPAA适用主体的行政负担6。从执法层面来看,目前为止,美国政府并未架设一家政府机关对数据活动进行统一监管,相关执法权力均下放到监管特定领域的相关部门,有些是联邦层面的执法部门,也有些是州层面的执法部门。对于违法行为是否可能涉及到刑事责任,则需具体结合特定领域法案及个案情节来判断,比如HIPPA项下的执法行动就可能同时带来民事和刑事责任。2022年6月3日,美国众议院和参议院发布了一项有关国家数据隐私和数据安全框架的讨论草案,意图从联邦层面推动分散的隐私立法走向统一,以更好地保护公民权利。7该提案文件里提及的法案可被称为 美国数据隐私和保护法案(以下简称“美国法案”),也是首个获得两党两院支持的联邦隐私立法草案。目前,该法尚未正式成为联邦法律,但根据相关报道,美国参议院商业、科学和运输委员会高级成员、密西西比州共和党参议员Roger Wicker,密西西比州共和党和众议院能源和商业委员会的Frank Pallone和商业委员会主席兼高级成员Cathy McMorris Rodgers共同起草了该法案,三人表示:“两党和两院对于制定全面数据隐私框架已经筹备多年,这份讨论草案的发布是一个关键的里程碑。在未来几周,将推动建立、支持并最终确定这一标准,让公民对自身的个人数据有更多的控制权。并且欢迎并鼓励更多人加入,使个人隐私得到有意义的保护,并为企业提供运营的确定性。”3.其他主要法域根据全球知名科技行业咨询公司Gartner的数据统计,到2023年,世界上65%人口的个人数据都将受到现代隐私法规的保护。站在全球视角,在过去的两年里,欧洲、美洲、亚太等地区都出台或修改了数据隐私保护的相关法律,这一趋势在未来也将继续延续。英国是全球首个系统性制定数字经济促进法的国家,旨在提升其全球数字经济领导地位。2017年4月,英国颁布替代2009年旧法的全新 数字经济法案,成为全球首部系统完整的数字经济促进法,旨在平衡技术创新与风险应对、网络开放与安全保障、数据挖掘与隐私保护、数据垄断与有序竞争,构建一个运用技术持续推动经济、社会及政府转型与变革的良性法律环境。82021年10月12日,韩国科学和信息通信技术部(MSIT)宣布,国务会议通过了数据产业振兴和利用促进基本法(以下简称“数据基本法”),旨在为发展数据产业和振兴数据经济奠定基础,并已于2022年4月全面实施。数据基本法 是全球首部规制数据产业的基本立法,对数据的开发利用进行统筹安排。9与中国相似,在日本,个人信息保护法 是日本个人信息保护领域的基本法,基于针对个人信息保护相关国际行动、信息通信技术发展、利用个人信息的新产业和新发展进行的调查分析,日本个人信息保护委员会每三年对该法进行一次审查,以积极回应数据保护的发展需求。相较于此前版本,2020年6月修订的 个人信息保护法 对运营商的信息处理义务和法律责任进行细化,同时,向个人信息的跨境流动投入了更多的关注。2020年11月,新加坡个人数据保护委员会在2012年 个人数据保护法 的基础上发布了 个人数据保护(修订)法,强化了对公民个人数据权利的私权保护和合规义务。2018年2月,新加坡议会通过 2018年网络安全法,作为网络安全领域的综合管齐下”的路径:(1)法律和政策体制体系逐步健全。相继颁布实施 网络安全法数据安全法个人信息保护法 初步搭建起网络空间治理体系的“三驾马车”,修改 电子商务法反垄断法,制定新就业形态劳动者权益保障政策,逐步健全完善行业层面的治理框架。(2)网络安全防护能力持续增强。完善关键信息基础设施安全保护、数据安全保护和网络安全审查等制度,健全国家网络安全标准体系,完善数据安全和个人信息保护认证体系,确保国家网络安全、数据和个人隐私安全。基本建成国家、省、企业三级联动的工业互联网安全技术监测服务体系;建立数字经济部际联席会议等跨部门协调机制,强化部门间协同监管。(3)数字经济治理能力持续提升。提升税收征管、银行保险业监管、通关监管、国资监管、数字经济监测和知识产权保护、反垄断、反不正当竞争、网络交易监管等领域的信息化水平,推动“智慧监管”。有序推进金融科技创新监管工具试点、资本市场金融科技创新试点、网络市场监管与服务示范区等工作,探索新型监管机制。10微观视角下,复杂的法律规定及动态变化的监管环境为企业合规带来了不小的困难。共性问题例如企业如何搭建个人信息保护合规体系?如何开展个人信息审计工作?中国版标准合同如何适用?跨国公司员工个人数据如何管理?数据出境安全评估新规出台,企业如何抓重点?处理方和接收方的权利义务如何划分?随着司法力量的介入以及跨境合作的愈发频繁,涉数据的民事、行政和刑事案件数量都在不断增加,跨国企业也可能面临外国司法调查,此时企业该如何应对?在共性问题的基础上,不同商业模式和行业特点也会碰撞出个性化的合规需求。例如在大健康行业对个人信息的特殊合规要求之下,临床试验数据如何出境?自动驾驶领域的个人信息保护合规问题,科技企业上市的数据合规问题等。网络安全与数据保护这个语境下,所涉及行业包括金融、IT与互联网、电信、移动支付、智能网联汽车、大数据、生命科学与大健康、传媒、能源、航空、化工和制造等多个领域,在科技变量的影响下,未来已至,市场将会对企业的变通能力,立法者的思路与布局,乃至国家的现代化治理能力都提出越来越高的要求;我们将会持续关注,以法律实践助力企业发展,赋能未来。013CYBER SECURITY ANDDATA PROTECTIONP A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1中国网络安全、数据安全和个人信息保护法概览斯响俊 蔡荣伟 014CYBER SECURITY ANDDATA PROTECTION C H A P T E R 0 1P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1P A R T 0 0 1网络安全A.网安法 的适用范围与适用对象根据 网安法,在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,都将适用网安法。即使运营者仅为了内部管理目的而建设、运营内部网络,也会被认定为属于受到 网安法规制的“网络运营者”。B.网络安全等级保护制度(“等保”)根据 网安法,所有网络运营者都需要按照等保制度的要求,履行安全保护义务,包括等保定级和评估。1.等保定级等保制度包含五个级别。级别越高,相应的保护措施要求就越严格。a.等保定级的考量要素在等保定级时,需考虑以下因素(1)网络在国家安全、经济建设、社会生活中的重要程度;以及(2)一旦网络系统遭到破坏后,对国家安全、社会秩序、公共利益以及相关公民、近年来,中国政府加强了对网络安全、数据安全和个人信息保护的监管。自2016年以来,有三部重要的法律(以下简称“三大基本法”),即:(i)中华人民共和国网络安全法(“网安法”),(ii)中华人民共和国数据安全法(“数安法”)和(iii)中华人民共和国个人信息保护法(“个保法”)相继颁布,使相关领域的法律监管有据可循。一些监管部门,例如国家互联网信息办公室(“国家网信办”),已经出台了系列法规及规范性文件来贯彻落实“三大基本法”。此外,其他政府监管部门和相关机构,如全国信息安全标准化技术委员会,也发布了许多国家标准以提供更详细的合规指引。与此同时,更多的实施细则和国家标准也在筹备中。本文梳理了中国目前基于“三大基本法”而初步构建的网络安全、数据安全和个人信息保护监管体系。近年来,中国政府加强了对网络安全、数据安全和个人信息保护的监管。本文梳理了中国目前基于“三大基本法”而初步构建的网络安全、数据安全和个人信息保护监管体系。015CYBER SECURITY ANDDATA PROTECTIONP A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1P A R T 0 0 1网络安全A.网安法 的适用范围与适用对象根据 网安法,在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,都将适用网安法。即使运营者仅为了内部管理目的而建设、运营内部网络,也会被认定为属于受到 网安法规制的“网络运营者”。B.网络安全等级保护制度(“等保”)根据 网安法,所有网络运营者都需要按照等保制度的要求,履行安全保护义务,包括等保定级和评估。1.等保定级等保制度包含五个级别。级别越高,相应的保护措施要求就越严格。a.等保定级的考量要素在等保定级时,需考虑以下因素(1)网络在国家安全、经济建设、社会生活中的重要程度;以及(2)一旦网络系统遭到破坏后,对国家安全、社会秩序、公共利益以及相关公民、近年来,中国政府加强了对网络安全、数据安全和个人信息保护的监管。自2016年以来,有三部重要的法律(以下简称“三大基本法”),即:(i)中华人民共和国网络安全法(“网安法”),(ii)中华人民共和国数据安全法(“数安法”)和(iii)中华人民共和国个人信息保护法(“个保法”)相继颁布,使相关领域的法律监管有据可循。一些监管部门,例如国家互联网信息办公室(“国家网信办”),已经出台了系列法规及规范性文件来贯彻落实“三大基本法”。此外,其他政府监管部门和相关机构,如全国信息安全标准化技术委员会,也发布了许多国家标准以提供更详细的合规指引。与此同时,更多的实施细则和国家标准也在筹备中。本文梳理了中国目前基于“三大基本法”而初步构建的网络安全、数据安全和个人信息保护监管体系。法人和其他组织的合法权益的危害程度。b.等保定级的流程(1)网络运营者应当自行确定网络的安全保护等级。(2)一级网络系统的运营者不需要将定级结果提交公安部门审核。(3)对拟定为第二级以上的网络,其运营者应当(i)组织专家评审定级合理性;(ii)在评审后报请主管部门核准(如有);(iii)将结果报公安部门核准。如果核准不通过,需要重新认定。2.等保评估a.等保评估的目的在于检验网络运营者的保护措施是否能够满足相应级别的保护要求。b.等保评估的程序(1)网络运营者应该聘请由政府部门授权的测评机构进行检测评估,并出具评估报告。(2)二级或更高级别的网络系统运营者需要向相应的公安机关备案,并提交评估报告,如果该报告被核准,主管部门将颁发备案证书。C.关键信息基础设施的安全保护1.关键信息基础设施和关键信息基础设施运营者的定义关键信息基础设施是指与国家安全和公共利益相关的、重点行业的重要网络设施和信息系统。关键信息基础设施运营者是经营关键信息基础设施的实体。关键信息基础设施运营者需要根据适用的法律和法规实施特别保护措施,以保护其关键信息基础设施。2.关键信息基础设施的认定根据 关键信息基础设施安全保护条例 的要求,重点行业主管部门需结合本行业实际,制定本行业的关键信息基础设施认定规则。典型的重点行业包括公共通信服务、信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等。在实践中,被认定为关键信息基础设施运营者的实体可能会收到主管部门的通知。一旦被确定为关键信息基础设施运营者,该实体需根据相关法律法规实施更严格的安全保护措施。关键信息基础设施运营者需要根据适用的法律和法规实施特别保护措施,以保护其关键信息基础设施。016CYBER SECURITY ANDDATA PROTECTIONC H A P T E R 0 1P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1P A R T 0 0 1网络安全A.网安法 的适用范围与适用对象根据 网安法,在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,都将适用网安法。即使运营者仅为了内部管理目的而建设、运营内部网络,也会被认定为属于受到 网安法规制的“网络运营者”。B.网络安全等级保护制度(“等保”)根据 网安法,所有网络运营者都需要按照等保制度的要求,履行安全保护义务,包括等保定级和评估。1.等保定级等保制度包含五个级别。级别越高,相应的保护措施要求就越严格。a.等保定级的考量要素在等保定级时,需考虑以下因素(1)网络在国家安全、经济建设、社会生活中的重要程度;以及(2)一旦网络系统遭到破坏后,对国家安全、社会秩序、公共利益以及相关公民、近年来,中国政府加强了对网络安全、数据安全和个人信息保护的监管。自2016年以来,有三部重要的法律(以下简称“三大基本法”),即:(i)中华人民共和国网络安全法(“网安法”),(ii)中华人民共和国数据安全法(“数安法”)和(iii)中华人民共和国个人信息保护法(“个保法”)相继颁布,使相关领域的法律监管有据可循。一些监管部门,例如国家互联网信息办公室(“国家网信办”),已经出台了系列法规及规范性文件来贯彻落实“三大基本法”。此外,其他政府监管部门和相关机构,如全国信息安全标准化技术委员会,也发布了许多国家标准以提供更详细的合规指引。与此同时,更多的实施细则和国家标准也在筹备中。本文梳理了中国目前基于“三大基本法”而初步构建的网络安全、数据安全和个人信息保护监管体系。P A R T 0 0 2数据安全A.数安法 的适用范围与适用对象在中华人民共和国境内开展数据处理活动及其安全监管,适用 数安法。如果在中国境外进行的数据处理活动危及(i)中国的国家安全;(ii)中国的公共利益,或(iii)中国公民、组织的合法权益,也将适用 数安法。根据 数安法,“数据”不仅包括电子数据,还包括以非电子形式记录或存储的数据(如纸质文件中记录的数据)。B.数据分类分级保护制度数据分类分级保护制度要求相关部门根据数据的重要程度以及发生泄漏或遭滥用后所造成的损害程度对其进行分级分类。1.在工业制造、金融、电信等行业,相关行业主管部门已经发布了具有行业针对性的数据分类和分级指南。2.2021年11月,国家网信办发布了 网络数据安全管理条例(征求意见稿)(“管理条例”),向公众征求意见。管理条例将数据分为三类,即(i)一般数据,(ii)重要数据,以及(iii)核心数据。然而,管理条例并没有提供这三类数据的详细目录。3.在2021年12月,网络安全标准实践指南-网络数据分类分级指引(“数据分类分级指引”)发布。数据分类分级指引 将数据分为三个类别和四个等级。数安法设置了数据分类分级保护制度,要求相关部门根据数据的重要程度以及发生泄漏或遭滥用后所造成的损害程度对其进行分级分类。017CYBER SECURITY ANDDATA PROTECTION4.管理条例 与 数据分类分级指引的内容存在不一致之处。截至本文发布之日,管理条例 仍是一个征求意见稿,尚未正式生效。数据分类分级指引 业已生效,然而它是一个推荐性标准,并不具备法律强制力。因此,对于数据分类和分级规则的最终方案,我们尚无法得知。C.对重要数据的保护1.重要数据目录的制定数安法 要求中央政府在数据分类分级制度的基础上制定重要数据目录,而各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。2.重要数据的识别管理条例 和 信息安全技术重要数据识别指南(征求意见稿)(“重要数据识别指南”)都为识别重要数据提供了指导规则。其中,重要数据识别指南 是全国信息安全标准化技术委员会发布的非强制性的国家标准。重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。管理条例 和 重要数据识别指南 中的识别规则大致相同。然而,重要数据识别指南 明确将个人信息排除在重要数据的范围之外,但 管理条例 则要求处理一百万人以上个人信息的处理者需采取与重要数据处理者相同的安全措施。3.重要数据处理者的义务 重要数据的处理者需要(i)明确数据安全负责人;(ii)明确数据安全管理机构;(iii)对其数据处理活动定期开展风险评估以及(iv)向有关主管部门报送风险评估报告。根据 网络安全法 的要求,关键信息基础设施运营者原则上应将重要数据存储在中国。如果需要将重要数据转移到境外,则需要(i)通过国家网信办组织的安全评估;(ii)自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并(iii)将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的主管部门。2022年7月7日,国家网信办发布了数据出境安全评估办法(“安全评估办法”)。安全评估办法 要求除关键信息基础设施运营者之外的其他数据处理者在向境外传输重要数据前也应当向国家网信办申请进行安全评估。D.向境外司法机构或执法机构提供数据如处理者需要将数据传输至境外司法或执法机构,其必须事先获得来自主管部门的批准。但是,截至本文发布之日,相关批准程序和“主管部门”的具体指代仍然不明。此外,关于“外国司法或者执法机构”的定义也尚未得到明确。细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1类别级别一般数据重要数据核心数据1级数据2级数据3级数据4级数据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,不会对个人合法权益、组织合法权益造成危害。数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成轻微危害。数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成一般危害。数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成严重危害,但不会危害国家安全或公共利益。数据分类分级指引将数据分为一般数据、重要数据、核心数据三个类别和1级数据、2级数据、3级数据、4级数据四个等级。018CYBER SECURITY ANDDATA PROTECTION C H A P T E R 0 14.管理条例 与 数据分类分级指引的内容存在不一致之处。截至本文发布之日,管理条例 仍是一个征求意见稿,尚未正式生效。数据分类分级指引 业已生效,然而它是一个推荐性标准,并不具备法律强制力。因此,对于数据分类和分级规则的最终方案,我们尚无法得知。P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详C.对重要数据的保护1.重要数据目录的制定数安法 要求中央政府在数据分类分级制度的基础上制定重要数据目录,而各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。2.重要数据的识别管理条例 和 信息安全技术重要数据识别指南(征求意见稿)(“重要数据识别指南”)都为识别重要数据提供了指导规则。其中,重要数据识别指南 是全国信息安全标准化技术委员会发布的非强制性的国家标准。重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。管理条例 和 重要数据识别指南 中的识别规则大致相同。然而,重要数据识别指南 明确将个人信息排除在重要数据的范围之外,但 管理条例 则要求处理一百万人以上个人信息的处理者需采取与重要数据处理者相同的安全措施。3.重要数据处理者的义务 重要数据的处理者需要(i)明确数据安全负责人;(ii)明确数据安全管理机构;(iii)对其数据处理活动定期开展风险评估以及(iv)向有关主管部门报送风险评估报告。根据 网络安全法 的要求,关键信息基础设施运营者原则上应将重要数据存储在中国。如果需要将重要数据转移到境外,则需要(i)通过国家网信办组织的安全评估;(ii)自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并(iii)将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的主管部门。2022年7月7日,国家网信办发布了数据出境安全评估办法(“安全评估办法”)。安全评估办法 要求除关键信息基础设施运营者之外的其他数据处理者在向境外传输重要数据前也应当向国家网信办申请进行安全评估。D.向境外司法机构或执法机构提供数据如处理者需要将数据传输至境外司法或执法机构,其必须事先获得来自主管部门的批准。但是,截至本文发布之日,相关批准程序和“主管部门”的具体指代仍然不明。此外,关于“外国司法或者执法机构”的定义也尚未得到明确。细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1管理条例和信息安全技术重要数据识别指南(征求意见稿)都为识别重要数据提供了指导规则。019CYBER SECURITY ANDDATA PROTECTION4.管理条例 与 数据分类分级指引的内容存在不一致之处。截至本文发布之日,管理条例 仍是一个征求意见稿,尚未正式生效。数据分类分级指引 业已生效,然而它是一个推荐性标准,并不具备法律强制力。因此,对于数据分类和分级规则的最终方案,我们尚无法得知。P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。个保法明确了个人信息处理的合法依据。020CYBER SECURITY ANDDATA PROTECTIONC H A P T E R 0 1D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设处理个人信息应遵循最小必要原则和公开透明原则;在法定情形下,个人信息处理者应当主动删除个人信息。021CYBER SECURITY ANDDATA PROTECTIONP A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。安全评估办法安全认证规范标准合同规定为个人信息跨境传输提供指引;个人在个人信息处理活动中享有查阅、复制、可携权等权利。022CYBER SECURITY ANDDATA PROTECTIONC H A P T E R 0 1P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1CAC is more active than ever 国家网信办比以往任何时候都要活跃该部门这两年来发布的文件数量是疫情前的两倍以上authoritative releases published2014 2016 2018 2020 2022The agency is publishing more than double its pre-pandemic output 60402001.Lu S.et al.(2022,February 9).Loud and Clear:CAC s Growing Public Voice.Protocol.https:/SECURITY ANDDATA PROTECTIONP A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1蔡荣伟 合伙人 公 司业务部 上海办公室 86 21 6061 斯响俊合伙人公司业务部上海办公室 86 21 6061 The agency is publishing more than double its pre-pandemic output 在2022年及今后的一段时期,预计将会有更多的专项法规、国家标准和规范性文件陆续出台。为了能够充分准备,以应对不确定性带来的诸多挑战,网络运营者和数据处理者应密切关注国内立法动态,必要时向专业人士寻求法律意见。(曹泽坤对本文亦有贡献)网络运营者和数据处理者应密切关注国内立法动态,必要时向专业人士寻求法律意见。024CYBER SECURITY ANDDATA PROTECTIONC H A P T E R 0 1P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1超大型互联网平台合规之路:中欧监管趋势异同侯彰慧 许聿宁 李梦涵025CYBER SECURITY ANDDATA PROTECTIONP A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1指南主体责任指南 提出的合规要求,以期帮助企业更好理解中欧对超大型平台的监管思路,提高企业的合规水平。P A R T 0 0 1守门人的认定思路DMA第2条和第3条规定,提供核心平台服务的经营者,若(a)同时满足欧盟营业额门槛和核心平台用户规模门槛,或(b)虽不满足相关门槛但根据其它考量因素可以认定符合相关标准,其可能被认定为守门人,受到DMA的监管。(一)核心平台服务DMA列出了10类核心平台服务,除“网络浏览器”“虚拟助理”“在线广告服务”3类外,其他核心平台服务均在 分类分级指南 中有所体现。通过对比可以发现,DMA对核心平台服务的分类更侧重于其功能,而 分类分级指南 对平台服务类型的分类更侧重于其内容。2022年7月18日,欧盟理事会最终批准了 数字市场法案(Digital Markets Act,DMA),旨在规范大型网络平台的竞争行为,维持核心平台服务市场的可竞争性和公平性。DMA的出台突破了传统竞争法的监管思路,只要互联网平台符合DMA的适用条件而被认定为守门人(Gate-keeper),DMA就可以对其特定行为进行规制,而无需就“相关市场”“支配地位”“竞争影响”等问题展开分析论证。无独有偶,中国市场监督管理总局曾于2021年10月29日发布 互联网平台分类分级指南(征求意见稿)(“分类分级指南”)和 互联网平台落实主体责任指南(征求意见稿)(“主体责任指南”),拟对互联网平台进行分类分级,并对符合标准的超大型互联网平台(“超大型平台”)进行行为规制。分类分级指南 和 主体责任指南 两部征求意见稿与DMA的监管思路存在诸多近似之处,在公平竞争、平等治理、开放生态、平台内部治理、经营者集中申报等方面均有所突破。本文尝试以尽可能简洁的方式,通过制度对比,梳理并总结DMA和 分类分级本文尝试以尽可能简洁的方式,通过制度对比,梳理并总结DMA和分类分级指南主体责任指南提出的合规要求,以期帮助企业更好理解中欧对超大型平台的监管思路,提高企业的合规水平。026CYBER SECURITY ANDDATA PROTECTIONC H A P T E R 0 1P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1数字市场法案分类分级指南1 2“在线中介服务(online intermediation services)”指满足下列各项条件的服务:(1)属于应服务接受者要求,以电子方式提供的有偿远程服务;(2)允许商业用户向消费者提供商品或服务,促进商业用户和消费者之间的直接交易;(3)在与商业用户的合同关系基础上,向为消费者提供商品或服务的商业用户提供服务。“独立于号码的人际通信服务(number-independent interpersonal communica-tions services)”指不与公开分配的号码资源相连接的通信服务,以及不与国家或国际的通信号码计划中的任何号码进行通信的通信服务。1网络销售类平台,包括但不限于:(1)综合商品交易类:专门或者主要从事提供衣帽鞋靴、箱包饰品、数码电器、食品洗护等各类商品的综合平台。(2)垂直商品交易类:专门或者主要从事某一类型产品交易的平台,具有精准的差异化定位和独特的品牌附加值。(3)商超团购类:专门或者主要从事供给蔬菜水果、肉蛋水产、粮油调味、酒水饮料、日用百货等生活用品,并提供团购等配送服务的平台。生活服务类平台,包括但不限于:(1)出行服务类:专门或者主要从事提供出行相关服务的平台,如共享单车、打车软件、公交地铁查询软件等。(2)旅游服务类:专门或者主要从事招徕、接待游客、为其提供交通、游览、住宿、餐饮、购物、文娱等服务的平台,如旅游定制、门票购买、酒店预订等。(3)配送服务类:专门或者主要从事外卖、物流等服务的平台,如外卖送餐、同城配送、快递配送等。(4)家政服务类:专门或者主要从事保姆、护理、保洁、家庭管理等家政服务的平台。(5)房屋经纪类:专门或者主要从事房地产销售、租赁的平台,包括房屋买卖、房屋租赁等。社交娱乐类平台:即时通讯类:专门或者主要从事即时传递文字讯息、档案、语音与视频交流的平台。1.实践中,独立于号码的人际通信服务通常包括应用程序提供的互联网通信服务,例如 WhatsApp、Messenger、Zoom 等,以及 SkypeOut 等半在线通信服务。DMA对核心平台服务的分类更侧重于其功能,而分类分级指南对平台服务类型的分类更侧重于其内容。027CYBER SECURITY ANDDATA PROTECTIONP A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1数字市场法案分类分级指南3 4 5 6 7“在线社交网络服务(online social networking services)”指使终端用户能够通过多重设备,以聊天、发帖、视频和推荐等形式,相互连接、交流、分享以及发现的平台。“视频共享平台(video-shar-ing platform services)”指为提供信息、教育或娱乐等目的,通过呈现、标记和排序视频,向公众提供其不具有编辑责任的节目和用户制作的视频的平台。“在线搜索引擎(online search engines)”指允许用户以关键词、语音、短语等输入形式进行查询并以任何格式反馈与用户请求相关的内容的数字服务。“操作系统(operating sys-tems)”指控制硬件或其他软件的基本功能,并能使其他软件在其上运行的系统软件。“云计算服务(cloud comput-ing services)”指提供对可扩展和弹性的可共享计算资源池的访问的数字服务。社交娱乐类平台:即时通讯类:专门或者主要从事即时传递文字讯息、档案、语音与视频交流的平台。信息资讯类平台:用户内容生成(UGC)类:专门或者主要从事用户将自己原创内容上传到互联网或者提供给其他用户的平台。社交娱乐类平台,包括但不限于:(1)视听服务类:专门或者主要从事供给各类多媒体资料的平台,包括歌曲、电影等。(2)直播视频类:专门或者主要从事利用互联网及流媒体技术进行直播的平台。(3)短视频类:专门或者主要从事几秒到几分钟不等的短视频内容推送的平台,包括技能分享、幽默搞怪、时尚潮流、社会热点、街头采访、公益教育、广告创意、商业定制等主题。信息资讯类平台:搜索引擎类:专门或者主要从事对互联网上采集的信息进行组织和处理后,为用户提供检索服务,并将检索的相关信息展示给用户的平台。计算应用类平台:操作系统类:专门或者主要从事移动操作系统、分布式操作系统等操作系统的研发、生产、销售等的平台。计算应用类平台:云计算类:专门或者主要从事为企业提供云计算服务的平台,包括提供网络基础设施服务(IAAS)、平台服务(PAAS)、应用软件服务(SAAS)等的平台。028CYBER SECURITY ANDDATA PROTECTION C H A P T E R 0 1P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1数字市场法案分类分级指南8 9 10“网络浏览器(web browsers)”指使终端用户能够访问发布于联网的服务器上的内容并与该等内容互动的软件应用程序,包括独立的网络浏览器以及集成或嵌入软件的网络浏览器。“虚拟助理(virtual assis-tants)”指能够处理用户的需求、任务或问题的软件,包括基于音频、视频、文字输入、姿势或动作进行处理的软件,以及可以基于该等需求、任务或问题,向用户提供对其他服务的访问或对物理设备的控制的软件。“在线广告服务(online advertising services)”指向上述各项核心平台服务的经营者提供在线广告互联服务、在线广告交换服务等在线广告中介服务的平台。无对应平台服务类型无对应平台服务类型无对应平台服务类型(二)认定标准DMA根据“对内部市场具有重大影响”“提供核心平台服务,且该服务是商业用户与终端用户接触的重要门户”和“在其经营中占据稳固且持久的地位,或者可预见其将在不久的将来占据稳固且持久的地位”3项定性标准认定守门人,并针对这3项标准设计了可量化的“营业额门槛”和“用户规模门槛”。同时,DMA还设计了兜底条款,欧盟委员会可以基于“企业规模”029CYBER SECURITY ANDDATA PROTECTIONP A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。6.要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。P A R T 0 0 4我们的展望中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。1(二)认定标准DMA根据“对内部市场具有重大影响”“提供核心平台服务,且该服务是商业用户与终端用户接触的重要门户”和“在其经营中占据稳固且持久的地位,或者可预见其将在不久的将来占据稳固且持久的地位”3项定性标准认定守门人,并针对这3项标准设计了可量化的“营业额门槛”和“用户规模门槛”。同时,DMA还设计了兜底条款,欧盟委员会可以基于“企业规模”“用户锁定效应”“网络效应”“纵向整合”和“集团结构”等其他考量因素,将未达到“营业额门槛”和“用户规模门槛”,但仍然符合3项定性标准的企业认定为守门人。对于欧盟委员会认定结论,企业具有提出异议的权利。2 主体责任指南 则是根据“用户规模”“经济体量”“业务情况”和“限制能力”4项标准界定超级平台。与DMA不同的是,主体责任指南 仅关注过去1年的“用户规模”数据和“经济体量”数据,且其对“业务情况”和“限制能力”标准的评价缺乏量化指标,企业自我评估时存在一定不确定性。数字市场法案主体责任指南经济体量用户规模限制能力业务情况欧盟营业额在过去三个财务年度内均达到或超过75亿欧元,或者其在过去三个财务年度中的平均市值或等值市场公允价值均达到或超过75亿欧元,并且其在至少三个成员国提供相同的核心平台服务。3 三个财务年度中,其每个年度提供的核心平台服务中,均有4500万月活跃终端用户建立或位于欧盟境内,并且有1万家年活跃商业用户设立于欧盟境内。4 无类似规定无类似规定上年底市值(或估值)不低于1000亿人民币在中国的上年度年活跃用户不低于5000万具有较强的限制平台内经营者接触消费者(用户)能力具有表现突出的主营业务2.见 数字市场法案 第三条第5款(a)项。3.见 数字市场法案 第三条第2款(a)项。4.见 数字市场法案 第三条第2款(b)项。主体责作指南根据“用户规模”“经济体量”“业务情况”和“限制能力”4项标准界定超级平台。P A R T 0 0 3个人信息保护A.什么是个人信息?根据 个保法,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。B.个保法 的适用范围与效力1.个保法 适用于在中国进行的所有个人信息处理活动。2.个保法 也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:a.以向境内自然人提供产品或者服务为目的;b.分析、评估境内自然人的行为;或c.法律、行政法规规定的其他情形。3.境外的个人信息处理者,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式报送履行个人信息保护职责的部门。该点的详细实施细则还有待立法者进一步明确。C.个人信息处理的合法性依据1.根据 个保法,个人信息处理者可以根据以下依据之一来处理个人信息。a.取得个人的同意;b.为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;c.为履行法定职责或者法定义务所必需;d.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;e.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;f.依照 个保法 规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或 g.法律和法规规定的其他情况。2.值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。D.处理个人信息的原则 1.最小必要原则个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。2.公开透明原则 个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使 个保法 项下权利的行权方式。E.个人信息的删除1.有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。a.处理目的已实现、无法实现或者为实现处理目的不再必要;b.个人信息处理者停止提供产品或者服务,或者保存期限已届满;c.个人撤回同意;d.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;e.个人行使其权利要求个人信息被删除。2.如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。F.个人信息的跨境传输 1.跨境传输的要求 a.处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照 个保法 规定取得个人的单独同意。b.处理者需要对该等跨境传输进行个人信息保护影响评估。c.如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。d.如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据 安全评估办法的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。e.如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。2.2022年6月24日,全国信息安全标准化技术委员会发布了 网络安全标准实践指南个人信息跨境处理活动安全认证规范(“安全认证规范”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但 安全认证规范 仅为推荐性的指南文件,并不具有强制力。3.2022年6月30日,国家网信办发布了 个人信息出境标准合同规定(征求意见稿)(“标准合同规定”)以及标准合同模板。但是,标准合同规定 以及标准合同模板目前均为征求意见稿,尚未正式实施。G.个人的权利个人在个人信息处理活动中享有以下权利。1.查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。2.可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。3.更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。4.请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。5.撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当
 18人已浏览
 2023-01-17
318页
 5星级
|