中国个人信息保护法将促使全球公司更加谨慎地处理跨境个人信息

来源：Smederevac / Getty Images

重点概述

中国于2021年8月21日颁布了《个人信息保护法》PIPL，这一全面的数据隐私法律将于2021年11月1日生效。这项法律与中国新实施的《数据安全法》相结合，预计将对所有在中国开展业务的美国和全球公司施加一系列新的数据隐私和安全义务。根据PIPL的规定，处理中国公民个人信息的组织必须满足特定条件，而且用户必须同意数据被处理。

国家安全和公共利益相结合

PIPL的框架受到欧盟严格的《一般数据保护条例》GDPR的影响，从国家安全和公共利益的角度创建了一个法律体系。该法旨在实现以下四个目标：

保护个人的权利和利益规范个人信息处理活动保障数据的合法和“有序流动”促进个人信息的合理使用

与西方的隐私框架如GDPR和加州消费者隐私法CCPA不同，PIPL更侧重于国家安全，并包含关于中国数字主权的相关条款，旨在限制海外实体对中国公民权利的侵犯，并保护国家安全。

水母加速器注册

处理中国公民数据的组织必须满足的条件

根据PIPL的规定，处理中国公民个人信息的“个人信息处理者”只能在满足以下条件之一的情况下进行数据处理：

处理者获得个人同意信息对于签署和履行合同是必要的，或者在人力资源管理中的实施根据法律和集体合同的规定是必要的信息是履行法定义务所必需的信息在公共卫生紧急情况下是必要的，或在紧急情况下保护自然人的生命、健康和财产安全是必要的信息用于新闻报道、舆论监督及其他公共利益的活动，并在合理范围内处理个人信息根据信息披露的法律要求在合理范围内处理个人信息依照法律和行政法规的其他规定处理信息

该法律强调用户必须同意其数据被处理，并需要充分知情。个体有权随时撤回他们的同意。此外，处理者不能拒绝向拒绝允许信息被处理或利用的个人提供商品或服务。

合规的问题尚不明确

尽管PIPL可能在11月份生效，但如何遵守这部复杂法律的具体规定目前仍不清楚，因为有关合规的监管程序尚未进行。“这是一部全新且相当复杂的法律，正在中国运营的美国公司才刚刚开始关注这部法律，并试图弄清楚它将如何影响他们的运营，”吉布森邓公司的合伙人Judith Alison Lee在接受CSO采访时表示。

此外，尽管PIPL可能在11月生效，具体的实施细则将在后续各个中国部委发布相关规定后才能明朗化。新美国基金会的中国数字经济研究员Rogier Creemers提到，“许多中国法律，如个人信息保护法，功能上是框架性法律。”

“例如，新法律要求对个人数据出口进行安全审查。但负责这一领域的网络空间管理局有权制定这些规则。所以，在这些具体规则出台之前，我们无法知道将会发生什么。”

跨境信息流通及规避制裁是首要任务

不过，处理任何形式个人数据的组织可以开始针对法律的关键方面进行优先安排，以便在进一步的监管明确之前做好准备。“与跨境个人信息流动相关的条款是最重要的，这些条款至关重要，”Creemers表示。

“我的业务重点关注OFAC财政部外资管控办公室的制裁，因此一个特别关注的领域是这部新法律是否会妨碍企业确保遵守OFAC制裁的努力，”吉布森邓公司的Lee补充道。“这通常涉及到对客户、供应商、员工和业务伙伴的个人