不管您是否意识到数据所带来的变化,“数据”的经济价值已获确认并被视为一种新的生产要素[1],数据利益影响着每一个公共部门、行业、实体和个人。中国已经制定了新的数据安全和隐私保护法律制度。本文将讨论中国这一新的数据制度对外国投资者在中国的投资或业务将产生的影响以及涉及的关键问题。
一、数据是什么?法律监管的内容是什么?
1.概述
数据本身并不是一个新概念。数据从字面上来说就是信息,包括所有类型的文档、文件、图片、音频、视频,或其他以电子形式或物理形式或任何其他媒介存储的任何信息。根据《中华人民共和国数据安全法》(2021年9月1日生效(“数据安全法”),数据被定义为任何以电子或者其他方式对信息的记录。根据《中华人民共和国个人信息保护法》(2021年11月1日生效)(“个人信息保护法”),个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
信息的处理包括信息的收集、存储、使用、加工、传输、提供、公开、删除等。
2.安全和隐私受到监管
需要注意的是,数据法律监管制度解决的主要问题是如何保护数据安全和个人隐私,而不是限制数据流动。数据法律监管制度所创设的新义务主要是对数据处理者或者关键信息基础设施运营者应当采取相应程度的保护措施,以保护国家利益和个人隐私权益。主要的法律依据如下:
(1)保护国家利益的法律依据主要包括:
数据安全法
3.数据保护分类和分级保护系统
根据数据安全法的规定,数据依其在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护:
(2)核心数据。根据数据安全法第二十一条,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。虽然核心数据的范围规则不是很明确,但从逻辑上讲,应该被解释为一种重要数据,需要最高级别的安全保护。
(3)一定数量的个人数据。根据数据安全法第二十一条,重要数据包括个人数据。然而,个人数据通常只有达到一定规模时才对大数据技术应用有用。根据2021年12月28日发布的网络安全审查办法(2021)第7条,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。此外,根据国家互联网信息办公室2021年11月14日关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知,申请赴香港上市的数据运营者如对国家安全产生影响的,亦应申报网络安全审查。
二、数据安全
1.什么是关键信息基础设施运营者(“关基运营者”)?
首先,就法律实体运营期间所产生或采集的数据(包括整个生命周期)保护而言,数据级别不同,安全保护义务程度不同。如果运营者所持有的数据对国家经济、安全和公共利益具有重要意义,运营者应为此承担最高程度的安全保护义务。
根据2021年9月1日生效的《关键信息基础设施安全保护条例》(“关基保护条例”),经营以下业务的企业将被视为关基运营者:
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
2.外国投资的国家安全审查
根据2021年1月18日生效的国家发展和改革委员会(NDRC)和商务部(MOFCOM)令第37号《外国投资安全审查办法》的规定,外国投资者投资关系国家安全的重要基础设施(不涉及军事利益)并取得所投资企业的实际控制权,除还需获得有关政府部门的行业批准外,应当在实施投资前申请外商投资国家安全审查。
3.跨境数据传输
根据数据安全法第三十一条和网络安全法第三十七条,关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
4.数据出口管制
5.关基运营者购买关键信息基础设施产品和服务的网络安全审查
6.关基运营者应承担哪些安全义务?
根据关基保护条例,关基运营者应采取安全措施确保网络设施和信息系统的安全运行,其需要采取的主要措施和行动如下:
(一)建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。请注意,关基运营者应对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。
(二)安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
(三)自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估。
(四)采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。(参见上文“运营者购买关键信息基础设施产品的网络安全审查”)
(五)与供应商签订安全和保密协议,明确规定技术支持、安全和保密,并监督供应商的履行。
三、隐私保护
建立良好的数据保护实践是必要的,这将帮助企业赢得员工、供应商和业务合作伙伴的信任,从而加强组织的生态发展。
中国采纳了GDPR(欧盟于2018年5月25日发布的《通用数据保护条例》)关于保护个人隐私权益的内容,但存在一些细微差异,具体如下:
因此,如果企业已采取符合GDPR的措施,则依据中国个人信息保护规则调整其隐私政策不会有太大困难。
2.中国个人信息保护法的基本要点
了解个人信息保护法中的以下法定要求,将有助于企业制定并调整企业内部规则和公司政策,以遵守中国法律下的个人数据保护规定:
(1)处理个人数据的目的是明确和合法的,实现处理目的所用的处理信息需控制在最小范围。
(2)在收集个人数据时,注意对敏感信息采取更多安全措施,处理敏感信息的目的必须特别明确,且应有充分的依据。根据个人信息保护法列出的敏感信息,包括宗教、生物鉴定、疾病、财务账户、行踪等。
(3)在没有法定理由跳过个人(即数据主体)的明确同意的情况下,首次收集信息和随后更改目的或处理方式均需要获得个人(即数据主体)的明确同意。请注意,个人同意可以随时撤回。除上文第三节第1条所述的删除权外,个人也有权要求复制所处理信息,个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
(4)在以下情况下无需个人同意,个人信息处理者可处理个人信息:
(6)如数据处理方的义务因合并、分立、解散或宣布破产而转移给接收方,应向涉及的个人信息主体发出通知,通知应包含接收方姓名和联系信息,接收方应继续承担所转让的数据保护义务。接收方变更原先的处理目的、处理方式的,应当重新取得个人同意。
3.雇主处理来自雇员和求职者的信息
雇主可以根据法律的规定处理履行雇佣合同或公司人力资源政策所必需的信息,但是,处理任何超出此目的所需的个人信息应始终获得员工的明确同意。对于员工的敏感信息,如疾病、宗教,应采取额外的安全措施来保护这些信息。例如,在雇主组织内部发送含敏感信息的员工信息时,应采取技术措施,比如对此类信息进行概括一般性描述,以避免造成其描述会引向特定个人。
4.处理客户信息
5.跨国公司处理个人数据
跨国公司应谨慎处理其中国子公司的员工信息或涉及一定数量个人数据的中国个人客户信息,因为可能触发数据安全法所规定的跨境数据安全评估。尽管现行有效的法律法规中没有规定达到何种规模的数据出境需做安全评估,但根据2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》第四条(尽管尚未正式发布,可以暂做参考):
(1)如果中国子公司拥有超过100万人的个人数据,从中国产生或收集的数据如进行跨境传输,都需完成数据安全评估;
(2)累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息,如进行跨境传输,需完成数据安全评估。
对于上述个人跨境数据传输,除非另有法律豁免,应获得个人同意,并且中国子公司与母公司或其集团成员之间还应签订合同,确保外国接收者将为传输的数据提供充分的保护。
[2]根据《网络安全审查办法》第4条,在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广