适用场景
适用于所有涉及中国境内数据收集、存储、处理或向境外传输的中国出海企业,尤其是在Web3.0、互联网、汽车等数据密集型行业运营的企业,以及服务中国用户或从中国收集数据的境外实体。无论企业处于初创期还是扩张期,只要涉及中国数据,都需关注。
核心要点
1. 中国数据保护双轨制:重要数据与个人信息
中国数据保护法规主要关注“重要数据”和“个人信息”两大类。这两类数据在跨境传输时,尤其可能引发国家安全考量,需企业高度重视。
2. 重要数据的识别与跨境传输要求
重要数据指一旦泄露、篡改或非法使用可能对国家安全和社会公共利益造成重大不利影响的数据。其具体范围由行业目录界定(如汽车行业目录已发布),跨境传输需通过国家网信部门的安全评估。
3. 个人信息的定义与一般保护原则
个人信息指任何与已识别或可识别的自然人相关的信息。处理个人信息需遵循告知同意原则,并在特定高风险场景(如敏感个人信息处理、跨境传输)进行个人信息保护影响评估(PIA)。
4. 个人信息跨境传输的合规路径
个人信息出境通常需取得个人单独同意、进行PIA,并与境外接收方签订数据保护合同。若涉及大量个人信息(如处理超100万人,或累计出境超10万人/1万敏感个人信息),则需额外通过国家网信部门的安全评估。
5. Web3.0模式下的数据合规考量
Web3.0业务的去中心化和匿名化特性可能减少对个人信息的收集,从而降低PIPL的适用风险。但若涉及中国境内用户数据,仍需审慎评估是否构成重要数据或达到个人信息跨境传输的安全评估门槛。
实务建议
- 密切关注并及时评估企业所处行业的重要数据目录,识别并分类处理从中国境内收集的数据。
- 对于涉及中国境内用户数据的境外Web3.0公司,若非专门针对中国市场且数据量不大,可适当降低PIPL合规的紧迫性,但仍需了解其域外效力。
- 若业务模式允许,尽量采用匿名化或去中心化技术,减少对个人身份信息的收集,从而降低PIPL的合规负担。
- 对于必须进行跨境传输的重要数据或达到特定门槛的个人信息,务必提前启动国家网信部门的安全评估流程。
- 在收集中国境内个人信息时,确保履行充分告知义务,并取得合法有效的同意(特别是单独同意)。
- 定期进行数据安全风险评估和个人信息保护影响评估,并根据评估结果完善数据处理流程和安全措施。
- 与境外数据接收方签订符合中国法律要求的数据保护协议,明确双方责任和义务。
风险提示
- 未经国家网信部门安全评估擅自跨境传输重要数据,或境外实体绕过评估从中国境内收集重要数据,将面临严重的执法风险。
- 《个人信息保护法》具有域外效力,境外公司若大规模收集中国境内个人信息,即使目前执法案例不多,未来仍可能面临合规挑战。
- 对“重要数据”和“个人信息”的范围界定存在模糊地带,企业需结合自身业务特点和行业监管动态进行专业判断。
- Web3.0的去中心化特性不等于免除合规责任,一旦涉及可识别的个人信息或被认定为重要数据,仍需遵守相关法规。
- 中国对加密货币业务的禁令意味着涉及此类业务的Web3.0公司无法在中国境内合法运营,也应避免向中国境内用户提供服务。