早在 2020 年,我就撰写了题为 "中国网络安全:无处藏身》。而在那之前的两年,我们开始撰写关于中国《个人信息安全规范》的文章。
2022 年 7 月 7 日,中国网络空间管理局发布了《出境数据传输安全评估办法》(以下简称《安全评估办法》),将于 2022 年 9 月 1 日起施行。
安全评估措施为关键信息基础设施运营商(CIIO)和处理个人信息超过一定限额的数据控制者提供了进一步的数据管理指导;重要的是,这些措施要求 CAC 在输出任何个人信息之前进行安全评估。
安全评估措施》的表面目的是保护个人和组织的权利,但一如既往的是保护中国和执政的中国共产党(CCP)的 "国家安全利益"。
数据保护在欧盟、美国和其他许多司法管辖区都是一个重要问题,而中国在过去几年中出台的数据保护法律总体上一直在迎头赶上。然而,具有中国特色的数据保护更倾向于强化中国共产党的首要目标,即加强信息控制、维护政治稳定以及对任何公开表达异议的行为实施限制。
除了对在中国开展业务或与中国开展业务的组织和个人产生直接影响外,中国共产党制定的一整套网络安全法律也为世界上其他专制政府提供了效仿模板。正如它在其他领域所做的一样,中国希望建立一套有影响力的全球 "规范",为专制政府提供掩护,以驳斥美国和其他民主国家青睐的开放式跨境数据处理政策。
简而言之,《安全评估措施》要求,如果处理个人信息或 "敏感个人信息 "的数量超过了某些阈值,那么信息机构和数据控制者就必须申请安全评估。
在向 CAC 申请正式评估之前,CIIO 和数据控制方必须进行 "向外数据传输风险 "自 我评估,目的是评估国家安全(和个人信息安全)风险,并与接收数据的海外方签订合 同,规定接收方的数据安全保护责任和义务。
法律要求在 45 天内对申请人做出正式答复,并规定在需要进一步解释或文件时可延长答复期。申请者可以对驳回申请提出上诉,并有权在 15 天内获得重新评估,但当局随后的判决将是最终判决。积极评估为申请人提供了两年的期限,在此期间,他们可以根据与海外方签订的协议条款出口数据,两年后必须重新申请。
中国显然希望成为全球数字经济的领导者,但它一如既往地希望按照自己的方式走向世界,控制每一笔交易的方方面面,并保留随时实施进一步限制的权利。另一方面,信息想要自由。
虽然中国渴望在全球货币政策、地区安全框架和技术标准等方面成为主导力量,但其雄心远大于其成就,这在很大程度上是因为中国的政策立场明显是为自己服务的。中国共产党唯一的战略目标就是继续掌权。
成为全球数字经济的领导者是次要目标,这也是为什么中国对封锁外国社交媒体网络(包括 Facebook、Twitter、Instagram、Snapchat 和 YouTube)不闻不问。这也是为什么中国对微软 2021 年 10 月宣布Linkedin 将因 "更具挑战性的运营环境和更高的合规性要求 "而关闭在中国的业务没有意见的原因。几周后,2021 年 11 月 1 日,也就是中国《个人信息保护法》生效的当天,雅虎也宣布将停止在中国的运营。雅虎表示,离开中国是因为 "商业和法律环境的挑战性越来越大"。
2019 年,我所在律师事务所的一名数据隐私律师格里芬-索恩(Griffen Thorne)撰文谈到了中国、欧盟和加州数据隐私法之间的一个重要区别:
在中国开展业务的美国或欧盟公司将不能依靠与中国公民签订合同来处理他们的数据。他们现在需要煞费苦心地解释他们将使用数据的所有方式,并征得使用数据的同意,除非有其他少数非常狭窄的例外情况适用。如果您想在收集数据并获得同意后改变处理数据的方式,大多数情况下,除非有其他例外情况,否则就太糟糕了。你需要重新获得同意。换句话说,正如我们的许多客户一直希望我们确认的那样,您为遵守 GDPR 和美国/加州数据隐私法所做的工作对您在中国的工作并没有太大帮助。您需要针对中国开展完全不同的合规工作。
中国新的《安全评估办法》与《个人信息安全保护法》、《网络安全法》(2017 年 6 月实施)和《数据安全法》(2021 年 9 月实施)一起,为中国政府提供了一系列可用于控制中国机构和在中国开展业务的外国公司使用信息的工具。
正如我所在事务所的首席中国律师史蒂夫-迪金森(Steve Dickinson)在2019 年所写的那样:
根据《网络安全法》,中国政府有权从中国境内的任何个人或实体获取中国政府认为对中国安全有影响的任何信息。中国政府知道,外国公司和个人不愿意在中国政府提出要求时简单地向其提供信息。因此,中国网络安全局不打算礼貌地提出正式要求。新网络安全系统的基本前提是,政府将利用其对通信的控制权,在不与用户讨论的情况下直接获取信息。所有数据都将对中国政府开放。
总体而言,这些网络法律授权中国监管机构发出警告、命令公司采取纠正措施、暂停服务和/或征收罚款。合规至关重要,而实施合规机制的成本高昂。
我们的中国律师经常撰文(尤其是在过去的五年中)阐述在华经营的外国公司必须遵守中国的各项法律法规。PIPL 也是如此。如果贵公司从中国获取客户数据,就必须确保遵守中国数据隐私法。
要深入了解中国在过去几年中逐步实施的网络安全法律的影响,请参阅我在 2020 年底发表的一系列博文:
我们一如既往地欢迎您提供反馈意见(可在下方匿名提供)。中国的新网络安全法是否改变了你对中国的看法?
