Inrecentyears,theChinesegovernmenthastightenedtheregulationofcybersecurity,datasecurity,andpersonalinformationprotection.Since2016,threeimportantlaws(hereinafterreferredtoasthe“ThreeBasicLaws”),namely,(i)theCybersecurityLawofthePeople'sRepublicofChina/《中华人民共和国网络安全法》(“CybersecurityLaw”),(ii)theDataSecurityLawofthePeople'sRepublicofChina/《中华人民共和国数据安全法》(“DataSecurityLaw”)and(iii)thePersonalInformationProtectionLawofthePeople'sRepublicofChina/《中华人民共和国个人信息保护法》(“PIPL”)havebeenpromulgatedtolaydownthefoundationfortheregulationintheseareas.
Governmentauthorities,suchastheCyberspaceAdministrationofChina(“CAC”),haveissuedvariousregulationstoimplementthe“ThreeBasicLaws”.Inaddition,othergovernmentandsemi-governmentagencies,suchasChina’sNationalInformationSecurityStandardizationTechnicalCommittee,havealsoreleasedmanynationalstandardsformoredetailedguidance.Moreimplementingregulationsandnationalstandardsarebeingoryettobedrafted.
ThisarticlesummarizesChina’scurrentregulatorysystemofcybersecurity,datasecurityandpersonalinformationprotectionbasedonthe“ThreeBasicLaws”.
本文梳理了中国目前基于“三大基本法”而初步构建的网络安全、数据安全和个人信息保护监管体系。
II.Cybersecurity
网络安全
A.JurisdictionoftheCybersecurityLaw《网安法》的适用范围与适用对象
TheCybersecurityLawappliestoallnetworkoperatorsinChina,includingnetworkowners,operators,andserviceproviders.AnentitythatestablishesandoperatesaninternalnetworkforitsinternalmanagementpurposeisalsoregardedasanetworkoperatorundertheCybersecurityLaw.
根据《网安法》,在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,都将适用网安法。即使运营者仅为了内部管理目的而建设、运营内部网络,也会被认定为属于受到《网安法》规制的“网络运营者”。
B.Multi-LevelProtectionScheme(“MLPS”)网络安全等级保护制度(“等保”)
UndertheCybersecurityLaw,allnetworkoperatorsarerequiredtofulfilltheobligationsunderMLPS,includingMLPSleveldeterminationandMLPSassessment.
根据《网安法》,所有网络运营者都需要按照等保制度的要求,履行安全保护义务,包括等保定级和评估。
1.MLPSLevelDetermination
等保定级
TherearefivelevelsundertheMLPS.Thehigherthelevel,thestrictertherequiredprotectionmeasures.
等保制度包含五个级别。级别越高,相应的保护措施要求就越严格。
a.FactorsofMLPSLevelDeterminatio
等保定级的考量要素
IndeterminingtheMLPSlevel,thefollowingfactorswillbeconsidered:
在等保定级时,需考虑以下因素
(1)importanceofthenetworksysteminnationalsecurityandsocialandeconomicdevelopment;and
网络在国家安全、经济建设、社会生活中的重要程度;以及
(2)degreeofdamagethatmaybecausedtonationalsecurity,socialandeconomicdevelopment,andlegitimaterightsandinterestsofotherindividualsororganizationsincaseofdamageofthenetworksystem.
b.ProcessofMLPSLevelDetermination
等保定级的流程
(1)Anetworkoperatorisresponsibletodetermineitsownnetworksystem’sMLPSlevel.
网络运营者应当自行确定网络的安全保护等级。
(2)Anoperatoroflevel-1networksystemsdoesnotneedtofiletheleveldeterminationresulttothepublicsecurityauthorityforreview.
一级网络系统的运营者不需要将定级结果提交公安部门审核。
(3)Anoperatoroflevel-2orhigher-levelnetworksystemsneedsto:(i)organizeexpertstoreviewtherationalityofthedetermination;(ii)obtaintheapprovalfromthecompetentindustryauthority(ifany);and(iii)filetheresulttothepublicsecurityauthorityforreview.Ifitfailsthereview,re-determinationisneeded.
对拟定为第二级以上的网络,其运营者应当(i)组织专家评审定级合理性;(ii)在评审后报请主管部门核准(如有);(iii)将结果报公安部门核准。如果核准不通过,需要重新认定。
2.MLPSAssessment
等保评估
a.TheMLPSassessmentistoassesswhetheranetworkoperator’sprotectionmeasurescanmeettherequirementsofthecorrespondingMLPSlevel.
等保评估的目的在于检验网络运营者的保护措施是否能够满足相应级别的保护要求。
b.ProcessofMLPSAssessment
等保评估的程序
(1)Anetworkoperatorshouldengageanassessmentserviceproviderrecognizedbythegovernmenttoconducttheassessmentandissueanassessmentreport.
(2)Anoperatoroflevel-2orhigher-levelnetworksystemsisrequiredtofilesuchassessmentreporttothecompetentpublicsecurityauthority,whichwillissueafilingcertificateifsuchreportisapproved.
二级或更高级别的网络系统运营者需要向相应的公安机关备案,并提交评估报告,如果该报告被核准,主管部门将颁发备案证书。
C.ProtectionofCriticalInformationInfrastructures(“CII”)关键信息基础设施的安全保护
1.DefinitionofCIIandCIIO
关键信息基础设施和关键信息基础设施运营者的定义
CIIreferstokeynetworkfacilitiesandinformationsystemsofkeyindustriesrelatedtonationalsecurityandpublicinterest.
ACIIoperator(“CIIO”)isanentitythatoperatesCII.ACIIOisrequiredtoimplementspecialprotectionmeasurestoprotectitsCIIinaccordancewithapplicablelawsandregulations.
关键信息基础设施运营者是经营关键信息基础设施的实体。关键信息基础设施运营者需要根据适用的法律和法规实施特别保护措施,以保护其关键信息基础设施。
2.IdentificationandProtectionofCII
关键信息基础设施的认定
PursuanttotheRegulationsontheSecurityProtectionofCriticalInformationInfrastructures/《关键信息基础设施安全保护条例》,governingauthoritiesofkeyindustriesareresponsibleforformulatingCIIidentificationrulesfortheirrespectiveindustries.
根据《关键信息基础设施安全保护条例》的要求,重点行业主管部门需结合本行业实际,制定本行业的关键信息基础设施认定规则。
Typicalkeyindustriesincludepubliccommunicationsandinformationservice,energy,transportation,waterconservancy,finance,publicservices,e-government,andnationaldefenseindustries.
典型的重点行业包括公共通信服务、信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等。
Inpractice,anentitythatisidentifiedasaCIIOmayreceiveaspecificnotificationfromtheauthority.OnceidentifiedasaCIIO,theentityshouldimplementmorestringentsecurityprotectionmeasuresaccordingtotheapplicablelawsandregulations.
III.DataSecurity
数据安全
A.JurisdictionoftheDataSecurityLaw数据安全法的适用范围与适用对象
TheDataSecurityLawappliestoalldataprocessingactivitiesconductedinChina.
在中华人民共和国境内开展数据处理活动及其安全监管,适用《数安法》。
IfdataprocessingactivitiesconductedoutsideChinajeopardize(i)China'snationalsecurity;(ii)China’spublicinterests,or(iii)thelegitimaterightsandinterestsofChinesecitizensororganizations,theywillalsobesubjecttotheDataSecurityLaw.
如果在中国境外进行的数据处理活动危及(i)中国的国家安全;(ii)中国的公共利益,或(iii)中国公民、组织的合法权益,也将适用《数安法》。
UndertheDataSecurityLaw,“data”includesnotonlyelectronicdata,butalsodatarecordedorstoredinnon-electronicforms(suchasdatarecordedinpaperfiles).
根据《数安法》,“数据”不仅包括电子数据,还包括以非电子形式记录或存储的数据(如纸质文件中记录的数据)。
B.DataClassifiedandGradedSystem数据分类分级保护制度
Thedataclassifiedandgradedsystemrequiresrelevantauthoritiestoclassifyandgradedatabasedonitsimportanceandthedegreeofharmthatwillbecausedbyleakageorillegaluse.
1.Governingauthoritiesinchargeofsomesectors,suchasindustrialmanufacturing,finance,andtelecommunications,havealreadyissuedtheirdataclassificationandgradingguidelinesfortheirrespectivesectors.
2.InNovember2021,CACreleasedthedraftAdministrativeRegulationsonNetworkDataSecurity(DraftforComment)/《网络数据安全管理条例(征求意见稿)》(“AdministrativeRegulations”)forpubliccommenting,whichdividesdataintothreecategories,namely(i)ordinarydata,(ii)importantdata,and(iii)coredata.However,theAdministrativeRegulationsdoesnotprovidedetaileddatacataloguesunderthesethreecategories.
2021年11月,国家网信办发布了《网络数据安全管理条例(征求意见稿)》(“《管理条例》”),向公众征求意见。《管理条例》将数据分为三类,即(i)一般数据,(ii)重要数据,以及(iii)核心数据。然而,《管理条例》并没有提供这三类数据的详细目录。
3.InDecember2021,thePracticeGuidelinesforCybersecurityStandards—GuidelinesforNetworkDataClassificationandGrading/《网络安全标准实践指南—网络数据分类分级指引》(“DataClassificationandGradingGuidelines”)wasreleased,dividingdataintothreecategoriesandfourlevels.
在2021年12月,《网络安全标准实践指南-网络数据分类分级指引》(“《数据分类分级指引》”)发布。《数据分类分级指引》将数据分为三个类别和四个等级。
点击可查看大图
4.ThereareinconsistenciesbetweentheAdministrativeRegulationsandtheDataClassificationandGradingGuidelines.Asofthedateofthisarticle,theAdministrativeRegulationsisstilladraftforpubliccommentingandhasnotbeenofficiallyadopted.TheDataClassificationandGradingGuidelineshasalreadytakeneffect,butitisarecommendedstandardwithoutmandatorypower.Itisstillunclearwhatthefinaldataclassificationandgradingruleswouldbe.
《管理条例》与《数据分类分级指引》的内容存在不一致之处。截至本文发布之日,《管理条例》仍是一个征求意见稿,尚未正式生效。《数据分类分级指引》业已生效,然而它是一个推荐性标准,并不具备法律强制力。因此,对于数据分类和分级规则的最终方案,我们尚无法得知。
C.ProtectionofImportantData对重要数据的保护
1.FormulationoftheCatalogueofImportantData
重要数据目录的制定
China’scentralgovernmentisrequiredbytheDataSecurityLawtoformulateacatalogueofimportantdatabasedonthedataclassifiedandgradedsystem,whilerelevantauthoritiesindifferentregionsandindustriesarethenrequiredtoidentifyimportantdataandformulatedetailedimplementingcataloguesfortheirrespectiveregionsandindustries.
2.IdentificationofImportantData
重要数据的识别
BoththeAdministrativeRegulationsandtheInformationSecurityTechnology-GuidelinesforImportantDataIdentification(DraftforComments)/《信息安全技术重要数据识别指南(征求意见稿)》(“GuidelinesforImportantDataIdentification”),anon-mandatorynationalstandardissuedbyChina’sNationalInformationSecurityStandardizationTechnicalCommittee,providerulesforidentifyingimportantdata.
《管理条例》和《信息安全技术重要数据识别指南(征求意见稿)》(“《重要数据识别指南》”)都为识别重要数据提供了指导规则。其中,《重要数据识别指南》是全国信息安全标准化技术委员会发布的非强制性的国家标准。
Importantdatareferstothedatathatmayendangernationalsecurityorpublicinterestsoncetampered,damaged,leaked,illegallyobtained,orillegallyutilized.
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
IdentificationrulesundertheAdministrativeRegulationsandtheGuidelinesforImportantDataIdentificationaregenerallyconsistentwitheachother.However,althoughtheGuidelinesforImportantDataIdentificationexpresslyexcludespersonalinformationfromthescopeofimportantdata,theAdministrativeRegulationsrequiresprocessorsofpersonalinformationwithanamountofmorethan1millionpeopletotakesecuritymeasuresequivalenttothoseofimportantdataprocessors.
《管理条例》和《重要数据识别指南》中的识别规则大致相同。然而,《重要数据识别指南》明确将个人信息排除在重要数据的范围之外,但《管理条例》则要求处理一百万人以上个人信息的处理者需采取与重要数据处理者相同的安全措施。
3.ObligationsofImportantDataProcessors
重要数据处理者的义务
Aprocessorofimportantdataneedsto(i)designateapersoninchargeofdatasecurity;(ii)setupasecuritymanagementdepartment;(iii)conductregularriskassessmentforitsprocessingactivities,and(iv)reporttheassessment’sresulttotherelevantauthority.
重要数据的处理者需要(i)明确数据安全负责人;(ii)明确数据安全管理机构;(iii)对其数据处理活动定期开展风险评估以及(iv)向有关主管部门报送风险评估报告。
AccordingtotherequirementofCybersecurityLaw,aCIIOshouldstoreimportantdatainChina.IfitneedstotransferimportantdataoutofChina,itneedsto(i)gothroughsecurityassessmentorganizedbyCAC;(ii)conductbythemselvesorentrustcybersecurityserviceinstitutionstoconductthetestingandassessmentoftheircybersecurityandpotentialrisksatleastonceayear,and(iii)filesuchreportstothelocalcyberspaceadministration.
OnJuly7,2022,CACpromulgatedtheSecurityAssessmentMeasuresforOutboundDataTransfer/《数据出境安全评估办法》(“SecurityAssessmentMeasures”).TheSecurityAssessmentMeasuresrequiresnotonlyCIIOs,butalsootherdataprocessorstofileforCAC’ssecurityassessmentbeforetransferringimportantdataoutofChina.
2022年7月7日,国家网信办发布了《数据出境安全评估办法》(“《安全评估办法》”)。《安全评估办法》要求除关键信息基础设施运营者之外的其他数据处理者在向境外传输重要数据前也应当向国家网信办申请进行安全评估。
D.ProvidingDatatoForeignJudicialorLawEnforcementAgencies向境外司法机构或执法机构提供数据
IfaprocessorneedstotransferitsdataoutofChinatoaforeignjudicialorlawenforcementagency,itmustobtainpriorapprovalfromtherelevantauthoritybeforeprovidingthedata.However,asofthedateofthisarticle,relevantproceduretoobtainsuchapprovalandtheidentityof“relevantauthority”remainsunknown.Also,whataredeemedas“foreignjudicialorlawenforcementagencies”remainunclear.
IV.ProtectionofPersonalInformation
个人信息保护
A.WhatisPersonalInformation?什么是个人信息?
UnderPIPL,“personalinformation”referstoallkindsofinformationrelatedtoanidentifiedoridentifiablenaturalpersonstoredinbothelectronicandnon-electronicform.Anonymizedinformationwillnotbedeemedaspersonalinformation.
根据《个保法》,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
B.JurisdictionofPIPL个保法的适用范围与效力
1.PIPLisapplicabletoallpersonalinformationprocessingactivitiesconductedinChina.
《个保法》适用于在中国进行的所有个人信息处理活动。
2.PIPLalsohasextraterritorialjurisdiction.ProcessingactivitiesconductedoutsideChinawillalsobesubjecttoPIPL,if:
《个保法》也有域外适用效力。在中国境外处理中国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
a.thepurposeoftheprocessingistoprovideproductsorservicestonaturalpersonsinChina;
以向境内自然人提供产品或者服务为目的;
b.thepurposeoftheprocessingistoanalyzeandevaluatethebehaviorofnaturalpersonsinChina;or
分析、评估境内自然人的行为;或
c.othercircumstancesprovidedbylawsandadministrativeregulations.
法律、行政法规规定的其他情形。
3.IfanoverseasentityissubjecttoPIPL,itneedstosetupspecializedagenciesordesignaterepresentativesinChinatohandlepersonalinformationprotectionrelatedmattersandsubmittheirnamesandcontactinformationtorelevantauthorities.However,thedetailedimplementingruleshaveyettobeclarified.
C.LegalBasisforProcessingPersonalInformation个人信息处理的合法性依据
1.AccordingtoPIPL,aprocessormayprocesspersonalinformationononeofthefollowinglegalbases:
根据《个保法》,个人信息处理者可以根据以下依据之一来处理个人信息:
a.theindividual'sconsenthasbeenobtained;
取得个人的同意;
b.thepersonalinformationisnecessaryfortheconclusionorperformanceofacontracttowhichtheindividualisaparty,orfortheimplementationofhumanresourcemanagementpursuanttoalawfullyconcludedcollectiveemploymentcontract;
为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
c.theprocessingofpersonalinformationisnecessaryfortheperformanceofstatutorydutiesorobligations;
为履行法定职责或者法定义务所必需;
d.theprocessingofpersonalinformationisnecessaryfortheresponsetoapublichealthemergency,ortoprotectthelife,healthandpropertysafetyofnaturalpersonsinanemergency;
为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
e.theprocessingofpersonalinformationisnecessaryforcarryingoutactivitiesforpublicinterests,suchasnewsreportingandsupervisionbypublicopinion,andtheprocessingiscarriedoutwithinareasonablescope;
为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
f.personalinformationthathasbeenlegallydisclosedisprocessedwithinareasonablescopeinaccordancewiththePIPL;or
依照《个保法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;或
g.othercircumstancesprovidedbylawsandregulations.
法律和法规规定的其他情况。
2.Itisnoteworthythatifthelegalbasisisindividual’sconsent,theprocessorshouldbeartheburdenofproofintheeventofadisputeoverthevalidityoftheindividual’sconsent.
值得注意的是,如果是基于个人的同意而进行处理的,在对同意的有效性产生争议时,个人信息处理者应承担举证责任。
D.PrinciplesforProcessingPersonalInformation处理个人信息的原则
1.PrincipleofMinimalityandNecessity
最小必要原则
Thescopeofpersonalinformation’scollectionandprocessingshouldbekepttotheminimumextentthatisnecessarytoachievethepurposeofprocessing.Theprocessingactivity’simpactontheindividuals’legitimaterightsandinterestsshouldalsobeminimized.
个人信息的收集和处理范围应控制在实现处理目的所必需的最小范围。处理行为对个人合法权益的影响也应被控制在最小范围内。
2.PrincipleofOpennessandTransparency
公开透明原则
Thepersonalinformationprocessorshouldclearlydisclosetotheindividualsof(i)thescopeofpersonalinformationtobecollected,(ii)rulesandpurposeoftheprocessingactivity,(iii)nameandcontactinformationoftheprocessor,and(iv)thewaysforindividualstoexercisetheirstatutoryrightsunderPIPL.
个人信息处理者应向个人明确披露:(i)收集个人信息的范围,(ii)处理活动的规则和目的,(iii)处理者的名称和联系方式,以及(iv)个人行使《个保法》项下权利的行权方式。
E.DeletionofPersonalInformation个人信息的删除
1.Underanyofthefollowingcircumstances,aprocessorshoulddeleteanindividual’spersonalinformation.Iftheprocessordoesnotdeletethepersonalinformation,theindividualhastherighttorequestdeletion.
有下列情形之一的,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除。
a.thepurposeofprocessingpersonalinformationhasbeenachieved,cannotbeachieved,ortheprocessingactivityisnolongernecessaryforachievingthepurpose;
处理目的已实现、无法实现或者为实现处理目的不再必要;
b.thepersonalinformationprocessorsstopprovidingproductsorservices,orthestorageperiodhasexpired.;
个人信息处理者停止提供产品或者服务,或者保存期限已届满;
c.theindividualwithdrawshis/herconsent;
个人撤回同意;
d.theprocessingactivitybytheprocessorviolatesthelaws,administrativeregulationsortheagreement;or
个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
e.theindividualexerciseshis/herrightstorequestdeletion.
个人行使其权利要求个人信息被删除。
2.Iflawsandregulationsrequirethecontinuousstorageofpersonalinformation,theprocessorshouldtakemeasurestoensurethatsuchpersonalinformationwillnotbeusedforanypurposeotherthanstorage.
如果法律和法规要求长期存储个人信息,处理者应采取相应措施,确保这些个人信息不会被用于存储以外的任何目的。
F.OutboundTransferofPersonalInformation个人信息的跨境传输
1.RequirementsofOutboundTransfer
跨境传输的要求
a.Theprocessorshouldinformindividualsof(i)thenameandcontactinformationofthereceiver;(ii)thereceiver’sprocessingmethodandpurpose;(iii)thetypeofpersonalinformationtobetransferred,and(iv)thewaysfortheindividualstoexercisetheirrelevantrightsagainstthereceiver,andtheprocessorshouldalsoobtaintheindividuals’separateconsent.
处理者应告知个人(i)接收方的名称或者姓名和联系方式;(ii)接收方的处理方法和目的;(iii)将要传输的个人信息的类型,以及(iv)个人向接收方行使权利的方式。除此之外,处理者应当依照《个保法》规定取得个人的单独同意。
b.Theprocessoralsoneedstoconductpersonalinformationprotectionimpactassessment(“PIPIA”)forsuchoutboundtransfer.
处理者需要对该等跨境传输进行个人信息保护影响评估。
c.IftheprocessorisaCIIO,itshouldpassthesecurityassessmentorganizedbyCACinadvance.
如果处理者是关键信息基础设施运营者,它应该事先通过国家网信办组织的安全评估。
d.IftheprocessorisnotaCIIO,dependingonthevolumeandnatureofthepersonalinformationtobetransferred,theCAC’ssecurityassessmentmayormaynotberequired.Morespecifically,accordingtotheSecurityAssessmentMeasures,ifanon-CIIOprocessorprocessespersonalinformationofmorethan1millionindividuals,orhastransferredpersonalinformationof100,000peopleorsensitivepersonalinformationof10,000peopleoverseassinceJanuary1ofthepreviousyear,itshouldfileforCAC’ssecurityassessmentbeforetransferringpersonalinformationoutofChina.
如果处理者不是关键信息基础设施运营者,根据其需要转移的个人信息的数量和性质,有可能需要通过国家网信办的安全评估。具体来说,根据《安全评估办法》的规定,如果处理者并非关键信息基础设施运营者,且(i)处理一百万人以上的个人信息或(ii)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的,应当在向境外传输个人信息前向国家网信办申请进行安全评估。
e.IftheprocessorisnotaCIIOandCAC’ssecurityassessmentdoesnotapply,itshouldmeetoneofthefollowingrequirements:(i)obtainingpersonalinformationprotectioncertificationissuedbyaprofessionalorganization;(ii)enteringintoastandarddataprotectioncontractwiththereceiverinaccordancewithCAC’sstandardcontracttemplate;or(iii)satisfyingotherrequirementsstipulatedbylawsandregulationsorCAC.
如果处理者不是关键信息基础设施运营者,且无需接受国家网信办的安全评估,则应满足以下要求之一:(i)获得专业机构颁发的个人信息保护认证;(ii)按照国家网信办的标准合同模板与接收方签订标准的数据保护合同;或(iii)满足法律、行政法规或者国家网信部门规定的其他要求。
2.OnJune24,2022,China’sNationalInformationSecurityStandardizationTechnicalCommitteeissuedthePracticeGuidelinesforCybersecurityStandards—SecurityCertificationSpecificationsforCross-borderProcessingofPersonalInformation/《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(“SecurityCertificationSpecifications”).Thisdocumentservesasguidancetohowpersonalinformationsecuritycertificationshouldbeconductedforcross-bordertransferofpersonalinformation.However,theSecurityCertificationSpecificationsisonlyarecommendedguidelinewithoutmandatorypower.
2022年6月24日,全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(“《安全认证规范》”)。该文件为如何针对个人信息跨境传输进行个人信息安全认证提供了指引。但《安全认证规范》仅为推荐性的指南文件,并不具有强制力。
3.OnJune30,2022,CACissuedtheProvisionsonStandardContractforOutboundTransferofPersonalInformation(DraftforComment)/《个人信息出境标准合同规定(征求意见稿)》(“StandardContractProvisions”)andthestandardcontracttemplateforthecross-bordertransferofpersonalinformation.However,boththeStandardContractProvisionsandthestandardcontracttemplateareonlydraftsforcommentsandhavenotbeenofficiallyadopted.
2022年6月30日,国家网信办发布了《个人信息出境标准合同规定(征求意见稿)》(“《标准合同规定》”)以及标准合同模板。但是,《标准合同规定》以及标准合同模板目前均为征求意见稿,尚未正式实施。
G.Individuals’Rights个人的权利
Individualshavethefollowingrights:
个人在个人信息处理活动中享有以下权利:
1.Therightofaccessandreplication.Individualshavetherighttoaccessandreplicatethepersonalinformationcollectedbyprocessors.
查阅和复制的权利。个人有权向个人信息处理者查阅、复制其个人信息。
2.Therightofportability.Individualshavetherighttorequesttheirprocessorstotransfertheirpersonalinformationtootherprocessors,iftheconditionsprescribedbyCACaremet.
可携权。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信办规定条件的,个人信息处理者应当提供转移的途径。
3.Therightofcorrectionandsupplementation.Individualshavetherighttocorrectorsupplementtheirinaccurateorincompletepersonalinformation.
更正和补充的权利。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
4.Therightofdeletion.Individualshavetherighttorequestprocessorstodeletetheirpersonalinformation,iftheconditionsprescribedbylawsandregulationsaremet.
请求删除的权利。如果满足法律规定的条件,个人有权要求处理者删除其个人信息。
5.Therightofwithdrawalofconsent.Ifthelegalbasisofprocessingpersonalinformationistheconsentfromindividuals,individualshavetherighttowithdrawtheconsenttotheprocessingoftheirpersonalinformation.Theprocessorshouldprovideconvenientmeanstowithdrawconsent.
撤回同意的权利。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
6.Therightforanexplanation.Individualshavetherighttorequesttheirprocessorstoexplaintherulesforprocessingtheirpersonalinformation.
要求解释的权利。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
V.OurOutlook
我们的展望
China'sregulatorysystemofcybersecurity,datasecurity,andpersonalinformationprotectionisstillintheprocessofdynamicdevelopment,andmanyimplementationissueshaveyettobeclarified.AccordingtoProtocol,aUStechmedia,inthelastseveralmonths,CAConaverageissued40noticeseachmonth.[1]
中国的网络安全、数据安全和个人信息保护的监管体系仍处于高速发展的过程中,众多问题仍亟待解决。据美国科技媒体Protocol报道,在过去的几个月里,国家网信办平均每个月发出40份官方通知。[2]
《国家网信办比以往任何时候都要活跃——该部门这两年来发布的文件数量是疫情前的两倍以上》
Moreregulations,nationalstandardsandnoticesmaybeissuedin2022andgoingforward.Tobewellpreparedforthechallengesbroughtaboutbytheuncertaintiesdowntheroad,networkoperatorsanddataprocessorsshouldpaycloseattentiontolegislativedevelopmentsandseekprofessionaladvicewhennecessary.