大多数在中国开展业务或与中国开展业务的欧洲和美国公司已经做了大量工作,以遵守欧盟的《通用数据保护条例》("GDPR"),甚至可能是《加州消费者隐私法案》("CCPA")。他们可能已经起草了新的隐私政策,重新设计了他们的网站,并采取了更多的内部控制,以更好地处理数据。
如果他们要去中国,很多东西都需要改变。
全球新隐私法的一个共同趋势是,收集或控制一个人的数据的人一般必须有合法、正当的理由。每个采用隐私制度的政府实体都修改了这些理由,在许多情况下,如果收集或使用数据的理由不在清单上,就不合法。
拥有更健全的隐私法的国家(如欧盟内部的国家)正越来越多地转向基于同意的处理,这意味着企业必须实际告知用户他们为什么要处理用户数据并获得他们的同意。这些国家通常不要求所有的处理都要征得同意。通常有列举的同意的例外情况,或者只是列出其他处理的理由。当涉及到GDPR时,两个重要的非同意处理的理由是:(1)处理是履行双方合同所必需的,以及(2)处理是为了数据控制者(通常是公司)的合法利益,并且不侵犯主体的基本权利。
合同履行理由使控制用户数据的企业在与一方签订合同时,可以灵活地使用客户数据。企业可能并不总是知道他们究竟将如何使用数据来履行对客户的义务,而向客户解释他们打算做的一切可能过于复杂。
合法利益理由更像是一个全面的规定,也允许企业在没有明确同意的情况下处理数据。值得注意的是,它需要仔细平衡控制者的利益和主体的权利,但在许多情况下,即使没有主体的同意,它仍然允许处理数据。
在GDPR对企业施加的众多义务中,这些同意的例外情况至少给了欧盟公司一些喘息的空间。中国是一个完全不同的故事。
中国《个人信息安全规范》是中国关于收集和处理个人信息的国家标准。2018年5月版《规范》的英文版本可以在这里找到。最近,中国对2018年5月的《规范》提出了修改意见。
2018年5月的《规范》明确规定,同意是数据收集的首选依据。第5.4节列举了一些同意的例外情况,包括为履行合同,但不包括合法利益。然而,在拟议的修改中,合同履行被删除。换句话说,GDPR规定的两个最重要的处理理由(除同意外)在中国是不允许的。
我无法充分强调这些与GDPR的区别的重要性。如果你的企业在中国做任何涉及收集数据的事情,你将很快需要遵守GDPR规则(这将对外国--特别是美国公司--非常严格地执行),但你也必须完全修改你以美国或欧盟为中心的隐私政策和(可能)网站,以明确地获得同意。这将是一项艰巨的工作。
在中国做生意的美国或欧盟公司将不能依靠与中国公民签订的合同来处理他们的数据。他们现在需要煞费苦心地解释他们将使用数据的所有方式,并获得使用数据的同意,除非其他几个非常狭窄的例外情况之一适用。如果你想在收集数据并获得同意后改变处理数据的方式,大多数情况下,这将是非常糟糕的,除非有其他例外。你将需要回到过去,重新获得同意。换句话说,正如我们的许多客户一直希望我们确认的那样,你为遵守GDPR和美国/加州数据隐私法所做的工作对你在中国并没有什么帮助。你将需要为中国进行完全独立和不同的合规工作。
不用说,我们的客户对此并不高兴,许多人正确地指出这将增加麻烦、成本和时间。其中一些人不无隐晦地提到这一切是多么荒谬,以及 "除了中国的数据隐私律师,这似乎没有人受益"。我们对此的回应是同意,然后指出中国在几乎所有的互联网上总是走自己的路,因为它围绕互联网的目标与西方的目标不一致。我们的一位中国数据隐私律师经常说,当考虑欧盟/GDPR数据隐私目标时,要考虑隐私,当考虑美国数据隐私法律时,要考虑有隐私的利润。当考虑中国的数据隐私法律时,要考虑中国政府保护其互联网不受外国公司影响的目标,以及不给私人公司提供太多关于中国内部运作的信息。
为了避免你认为这些都不适用于你,因为你在中国或欧洲没有公司,你很可能错了。中国的数据隐私法和GDPR都具有全球影响力。在欧盟或中国完全没有足迹的公司都可能要遵守其庞大而复杂的数据隐私法。即使是只在美国存在的公司,如果只在美国销售商品,也会受到GDPR的约束,中国也是如此。
如果有什么是明确的,那就是中国的新数据隐私法将成为外国公司的头疼问题,即使是那些已经领先于GDPR和/或CCPA曲线的公司,遵守这些法律也是困难的。
对不起。
