查看原文
其他

中国发布《个人信息保护法》、《数据安全法》等新法规

Dow Jones 道琼斯风险合规 2022-07-26

图片来源:BRIAN STAUFFER

中国近日发布了《个人信息保护法》、《数据安全法》及《汽车数据安全管理若干规定》等一系列重要法律法规。
其中与汽车数据安全有关的新规,要求开展汽车数据处理活动的企业,应当保护从车辆上收集的个人信息。汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。
这项新规将于2021年10月1日生效,适用的对象包括在中国开展汽车数据处理活动的汽车制造商、零部件和软件供应商、汽车经销商以及其他一些服务公司。

根据中国国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部等部委联合公布的新规,企业在收集和使用车主和乘客的个人数据前,应当充分告知个人相关信息,取得个人同意。


图片来源:http://www.cac.gov.cn/2021-08/20/c_1631049984897667.htm


这项新规还明确了汽车数据的类型以及相应的处理方式。根据新规,“重要数据”应当依法在中国境内存储,“重要数据”包括:军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;车辆流量、物流等反映经济运行情况的数据;汽车充电网的运行数据;涉及个人信息主体超过10万人的个人信息等。

新规称,其他类型的数据可以出于商业目的向境外提供,但应当得到网信部门和其他政府机构的批准。

随着越来越多的车辆变得电动化或具有更强的自主能力,汽车制造商和其他公司一直在从汽车上收集更多的数据。这些举动加剧了官员们对数据安全和数据管理相关风险的担忧。

据《华尔街日报》(The Wall Street Journal)此前报道,中国已经限制军人和主要国有企业的员工使用特斯拉(Tesla Inc., TSLA)的车辆。

新规还制定了处理汽车数据的原则,要求减少不必要的和任意的数据收集和共享。根据新规,在处理数据之前,应该对其进行脱敏处理,以防止任何滥用。

图片来源:http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml

新规还要求处理“重要数据”的公司每年向有关部门报送年度汽车数据安全管理情况,这与中国将于2021年9月1日生效的《数据安全法》(Data Security Law)一致。

这是中国首次在国家层面制定的数据安全法。当前无论是国际还是国内民众,都对网络欺诈、数据盗窃、数据野蛮收集及跨境数据传输行为越来越感到不安。因此严格规范数据处理活动,保障数据安全,保护个人和组织的合法权益非常重要。

我们注意到《数据安全法》适用于在中国境内开展数据处理活动及其安全监管。但如果在境外开展数据处理活动,损害中国国家安全、公共利益或者公民、组织合法权益的,也会被依法追究法律责任。

仔细阅读《数据安全法》,我们会发现其中的内涵很丰富,该法除了维护数据安全之外,还鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,这充分体现了“数据安全与发展”的治理逻辑。

图片来源:http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

8月20日,中国还通过了重要的《个人信息保护法》(Personal Information Protection Law),这是一部全面的隐私保护法,生效日期是2021年11月1日。该法类似于欧洲的《通用数据保护条例》(General Data Protection Regulation,简称GDPR),后者堪称全球目前最严格的隐私保护法之一。

根据最新公布的法案,该法将要求处理中国公民个人数据的任何组织或个人尽量减少数据收集,并且收集前要事先征得用户同意。其中强调个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务(处理个人信息属于提供产品或者服务所必需的除外)。

上述新的法案禁止机构收集超出履行“法定职责”所需的数据,其中适用范围也涵盖了政府机构。法规特别规定"国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度"。如果国家机关不履行法律规定的个人信息保护义务的,将会对直接负责的主管人员和其他直接责任人员依法给予处分;如果履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,也会依法给予处分。

根据《个人信息保护法》第六十六条的法律责任,违反该法的代价很高昂:情节严重的违法活动将被处以5,000万元人民币(约合770万美元)以下或者上一年度营业额5%以下的罚款。

可以预见的是科技公司的合规成本将会大幅增加,第三方数据合规管理服务的市场机会将增加很多。当然最为关键的是公民个人信息能够得到真正有效的安全保护。

Singapore editors / Johnson Ma

更多阅读:


道琼斯公司(Dow Jones) 创建于1882年,旗下有道琼斯指数, Barron's, WSJ, MarketWatch, Factiva, Risk& Compliance等品牌。“道琼斯风险合规”是全球风险管理和合规治理品牌,由道琼斯风险合规中国团队运营。欢迎关注公众号或联系:Johnson.Ma@dowjones.com




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存