中国数据保护法实务指南——外资企业需要知道的五件事

ByJianxing Pan

中国数据保护法实务指南——外资企业需要知道的五件事

三部法律、四条合规路径、一个足以让你在中国失去业务的错误。基于真实跨境数据合规项目的实操指南。

三部法律框架

中国的数据保护制度建立在三个支柱之上,全部在三年窗口期内颁布或大幅修订:

  • 《网络安全法》——2017年6月施行,要求关键信息基础设施运营者(CIIO)将个人信息和重要数据在境内存储,数据出境前须进行安全评估。
  • 《数据安全法》——2021年9月施行,建立了涵盖所有数据(不仅是个人信息)的分类分级制度,对所有数据处理者设定了义务。
  • 《个人信息保护法》(PIPL)——2021年11月施行,中国的GDPR对标法。规范个人信息的收集、使用、存储、传输和删除。具有域外效力:适用于在中国境外处理中国境内个人信息的实体。

对在中国经营——或从境外向中国消费者销售产品——的外国公司来说,三部法律都可能适用。问题在于哪些条款适用于你,以及你需要为此做些什么。

门槛问题:你是不是CIIO?

中国数据制度下最重要的分类就是你是否是关键信息基础设施运营者(CIIO)。义务差异巨大:

义务 CIIO 非CIIO(普通处理者)
数据本地化 须在中国境内存储 无本地化要求
跨境传输机制 强制安全评估 标准合同、认证或安全评估
安全评估时间 数月 标准合同:仅需备案(数日至数周)

CIIO的认定不由企业自行选择——由相关行业主管部门确定。实践中,支付机构、持牌金融机构、电信运营商和大型云平台运营商最可能被认定。普通商业企业——制造企业、贸易公司、电商卖家——通常不是CIIO,除非运营关键网络基础设施。

标准合同路径:没有听起来那么难

根据《个人信息出境标准合同办法》(2023年6月施行),普通个人信息处理者可以与境外接收方签署国家网信办发布的标准合同,并向省级网信办备案,即可向境外传输个人信息。

流程:

  1. 开展个人信息保护影响评估(PIPIA)。任何跨境传输前都须完成。评估须评价:传输目的的合法性和比例性、数据的数量和敏感程度、接收方的数据保护能力以及对数据主体的风险。
  2. 签署网信办标准合同。合同条款由法规规定,实质内容不能修改。要求境外接收方提供与PIPL同等水平的保护。
  3. 向省级网信办备案。签署的合同和PIPIA报告须在合同生效后十个工作日内完成备案——是备案,不是审批。

最常见的错误:把企业数据当成个人数据

在为一个跨境支付公司提供顾问服务时,我们给出的最有价值的一条建议是:企业信息不是个人信息。

把商户的营业执照、公司名称、统一社会信用代码和经营范围传给境外支付机构——不触发PIPL跨境传输义务,因为这些都不是法律定义的”个人信息”。个人信息是与已识别或可识别自然人有关的信息。

但一旦你还传了:法定代表人的身份证、股东的护照号码、持卡人姓名和卡号、包含付款人信息的交易记录、或商户联系人手机号——你就越过了界限,进入了个人信息出境范畴。

我们为客户实施的实操方案:分离数据流。企业注册数据走一条通道,个人信息——身份证件、持卡人数据、联系方式——走标准合同通道。不要捆在一起传。捆的不是效率,是风险。

单独同意:”单独”到底是什么意思

PIPL第三十九条要求个人信息主体对跨境传输给予”单独同意”。”单独”这两个字不是装饰性的,它意味着:

  • 不能把同意埋在通用隐私政策或服务条款里。需要独立文件
  • 不能把它作为众多勾选框中的一个。对跨境传输的同意必须在视觉上和功能上与其他同意独立开
  • 必须告知:境外接收方的身份和联系方式、处理目的和方式、个人信息种类、以及个人向境外接收方行使权利的方式和程序。

我们为客户起草一份一页纸的《个人信息出境告知同意书》。它放在主服务协议之外——不是内含于——并排签署。数据主体单独签字。与开户材料一同存档。这不复杂,但必须真的做。

搞错的代价

违反PIPL的后果是沉重的:

  • 行政处罚:最高五千万元或上一年度营业额百分之五以下的罚款,以较高者为准。
  • 个人责任:直接负责的主管人员可处最高一百万元罚款,并可能被禁止担任某些职务。
  • 停业整顿:监管部门可责令暂停相关业务、吊销许可证、关闭网站或应用程序。
  • 刑事责任:涉及非法出售或提供个人信息的,刑法第二百五十三条之二规定最高七年有期徒刑。
  • 民事责任:PIPL第六十九条规定了私人诉权。数据主体可以起诉索赔,且过错举证责任倒置——处理者须自证无过错。

外资企业的实操步骤

  1. 绘制数据流图。你在收集中国境内的什么个人信息?存储在哪里?谁有访问权限?有没有任何数据传输到境外——包括境外人员远程访问?如果你对最后一个问题的答案是”不知道”,这就是你的第一个合规缺口。
  2. 判断你是否是CIIO。如果你不在金融、电信、能源或关键基础设施行业,大概率不是。但请中国律师确认——不要自行诊断。
  3. 如果向境外传输个人信息,选定合规路径。对大多数普通处理者而言,标准合同是最实际的选择。完成PIPIA。签署网信办标准合同。备案。
  4. 分离企业数据和个人数据。越少传个人信息,合规负担越小。分离开数据流。
  5. 实施单独同意。独立的跨境传输同意书。单独签署。单独存档。这不是可选项。
  6. 一切留痕。在执法行动中,罚款和警告之间的区别往往在于你的文件质量。你能向监管机关出示你的PIPIA报告、已签署的标准合同、备案回执和同意书吗?如果能,你的处境比拿不出的公司好得多。

总结

中国的数据保护法不是纸老虎。执法正在加强——网信办已对国内外企业开展公开调查、处以罚款、责令合规整改。但合规不是黑箱。标准合同路径清晰明确。企业数据与个人数据的区分边界清楚。单独同意是流程问题,不是技术问题。

把数据合规做对的,不是法务预算最多的外国公司。是那些把数据合规当作运营必需——如同税务申报或财务报告——而不是法律补救的公司。

本文基于作者为跨境支付和技术公司提供中国数据合规顾问服务的经验。已隐去全部客户识别信息。仅供法律实务探讨,不构成正式法律意见。数据合规义务因具体情况而异,请就您的情况咨询具备中国执业资质的律师。

作者:潘建兴 律师
北京市长安律师事务所 合伙人
北京/深圳办公室
lawyerpan@vip.163.com

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *