新闻动态

中国新网络安全法入门:隐私,跨境传输要求和数据本地化

中国新的《网络安全法》是我们今年将要看到的最重要的隐私和网络安全法规之一,各种规模的公司都需要了解其要求,无论它们是否在中国设有办事处。新法律将于2017年6月1日生效,这意味着公司还有几周的时间来熟悉法律并努力实现合规性。但是,仅仅回顾法律本身是不够的:为了真正理解法律的要求,重要的是在更广泛的中国法律制度背景下退后一步来查看法律。这篇文章详细介绍了这项复杂的新法律及其对企业的影响,并提供了从更全面的角度理解中国隐私法前景所需的其他背景。

中国新网络安全法入门:隐私,跨境传输要求和数据本地化

首先,中国的数据保护法现状如何? 像美国一样,与世界上越来越多的国家不同,中国没有综合性的数据保护法。相反,它通过许多行业特定的法律来规范隐私和网络安全问题,例如《执业医师法》,《商业银行法》,《邮政法》以及《保护电信和互联网用户个人信息的规定》。此外,中国没有一个中央数据保护机构负责执行隐私法。缺乏集中的数据保护机构意味着要跟上执法行动和发布任何法律指南可能会更加困难,尤其是对于不熟悉中国法律环境的外国公司。

更复杂的是,《网络安全法》是在其他两项重要法律之后通过的:《国家安全法》和《反恐怖主义法》。这三部法律协同运作,以规范中国网络安全和隐私法的许多方面,同时有可能赋予中国政府更广泛的监视权。一般而言,联合国人权事务高级专员因其“范围极为广泛”而措辞模糊的《国家安全法》允许政府采取“一切必要”措施维护中国的主权(包括中国的主权)。通过实施广泛的监视措施进行推测)。与此同时,《反恐怖主义法》要求电信和互联网提供商允许访问并向政府当局提供其他形式的帮助(例如解密),以防止和调查恐怖袭击。简而言之,中国新的《网络安全法》在本已复杂的数据保护法律法规中增加了新的皱纹,其中至少有一些表面上旨在抵御对中国主权的威胁(真实或想象中的威胁)。

新的网络安全法的本质是什么?它是像《欧盟数据隐私指令》这样的综合法律吗? 不完全是。经过数次立法草案的公众咨询后,中国立法机关于去年11月通过了新的《网络安全法》,尽管该法律实际上直到2017年6月1日才生效。最近,4月11日,政府发布了该草案。个人信息和重要数据的跨境传输安全评估措施,旨在成为《网络安全法》的主要实施规则(以下简称“实施细则草案”)。如果最终确定实施细则草案,则将对某些数据从中国的转移施加额外的限制(如下文进一步详细讨论)。虽然不是一部涵盖各个行业隐私和网络安全各个方面的综合法律。

《网络安全法》的主要规定是什么? 该法律涵盖了一系列主题,从个人信息的隐私到安全标准。一般来说,网络运营商必须:

无论数据用途的预期用途或类型如何,都应征得数据当事人的知情同意,以收集其个人信息。目前尚不清楚是否必须表达同意或暗示同意。 保留网络安全事件日志,并将该日志保留不少于六个月; 实施网络安全事件计划; 发现任何安全漏洞后,应立即进行补救,并对其服务进行安全维护(如果网络运营商通过其网络提供服务); 在其组织内工作以确保其网络安全性的完整性; 备份并加密数据。 同时,CII提供者必须:

参与与网络运营商相同的网络安全实践,以及一些其他要求,例如每年对其网络安全实践进行审查; 在中国存储个人信息和“重要数据”(有关更多信息,请参见下文)。 此外,法律要求网络安全产品在出售前必须经过认证,符合某些标准(尚待阐明)。有人推测此要求是中国政府获取某些产品和数据的一种手段。

另一个要点与“个人数据”的定义有关。虽然先前的法律草案将个人信息定义为仅属于中国公民,但法律的最终草案将个人数据称为“自然人”。因此,法律似乎适用于非公民和公民的个人数据。

上一篇:中国的跨境数据传输新措施草案

下一篇:关于跨境数据传输的相关问题

关注云语科技

wechat qrcode

微信扫一扫,获取最新资讯