中国的个人信息保护法是什么?从制定背景到日本企业应采取的对策解析
计划在中国展开业务,或者已经在中国展开业务的企业法务人员,您是否经常为中国的个人信息保护问题感到困扰?
本文将全面介绍在中国开展业务时需要了解的法律法规。同时,我们也将清晰地解释应对方法以及日本企业应当注意的事项。请务必参考本文,理解中国的个人信息保护法,并开始采取相应措施。
中国个人信息保护法的制定背景与目的
在此之前,中国并没有像日本个人信息保护法那样全面规定个人信息保护的法律。然而,中国早已有制定个人信息保护法的动向,并于2021年11月1日首次实施了全面规定个人信息保护的《中国个人信息保护法》。
尽管《网络安全法》和《数据安全法》这些法律在国家安全保障方面的成分较重,但中国个人信息保护法更加侧重于保护个人权利。
中国个人信息保护法的框架在很大程度上受到了近年来其他国家法律规制的影响,例如欧盟通用数据保护条例(GDPR)。然而,作为合法性依据的认可点以及个人权利等细节方面,中国个人信息保护法具有其独特性,因此需要采取针对性的应对措施。
中国个人信息保护法的监管对象
本章将解释中国个人信息保护法的监管对象。
如果满足以下条件,您的活动将受到监管,请务必注意。
- 目的是向中国境内个人提供商品或服务
- 目的是分析或评估中国境内个人的行为
- 法律规定的其他情形
中国的个人信息保护法在某些情况下不仅在中国境内有效,也可能适用于国外。即使在国外,如果您的业务涉及销售给中国境内的“个人”或对其行为进行分析,同样需要遵守该法律,请特别留意。
理解中国个人信息保护法的要点
在本章中,我们将分别解释理解中国个人信息保护法的八个关键点。
合法性的依据
企业仅在符合中国个人信息保护法所规定的合法性依据之一的情况下,才能处理个人信息。
这些依据共有七条,如下所示:
- 本人同意
- 合同履行
- 法定义务履行
- 公共卫生
- 公共利益
- 处理公开的个人信息
- 法律等规定的其他情形
由此可见,与GDPR中的“正当利益”不同,中国个人信息保护法并未包含此项。因此,与GDPR相比,预计在更多情况下必须以个人同意为依据来处理个人信息。
此外,同意本身必须定义为“本人随时可以轻易撤回的”。因此,需要考虑到使用户界面(UI)能够简单地执行同意撤回,以及将撤回方法简洁明了地说明。
信息披露
在处理个人信息之前,企业必须按照《中国个人信息保护法》的要求,用清晰易懂的语言向当事人明确通知相关内容。
此外,企业不仅要说明处理目的,还需要提供处理方式、个人信息的类型、存储期限、行使权利的方法和程序等详细信息。
委托方与受托方的协议
在委托处理个人信息时,必须与受托方就处理目的、期限、方法以及保护措施等内容通过委托合同等形式达成一致。
同时,也将承担对委托处理活动的监督责任。若与其他企业共同处理个人信息,应像处理委托事务一样,事先就处理个人信息的目的和方法、双方的权利义务达成共识。
跨境转移中的监管要求
在中国境内收集的个人信息向境外第三方提供时,需要采取以下两项措施。
首先,必须通知个人信息的接收方的名称、联系方式、处理目的、处理方式、个人信息的类型、个人如何对接收方行使权利以及相关程序。然后,必须单独获得当事人的同意。
其次,必须实施以下四项措施中的任一项:
- 通过国家安全评估
- 获得专业机构的个人信息保护认证
- 基于标准合同与境外接收方签订协议
- 满足国家互联网信息部门规定的其他条件
根据转移的个人信息内容,可能必须进行国家安全评估。因此,应依照《数据跨境传输安全评估办法》(Japanese 数据跨境传输安全评估办法)确定是否需要国家安全评估,并选择相应的措施。
关于权利
中国个人信息保护法赋予了数据主体包括了解权、查阅权、复制权、撤回权、数据可携带权、更正权和删除权等一系列权利。
此外,该法律还承认了GDPR中未包含的“死者权利”。所谓“死者权利”,指的是个人死亡后,其近亲属可以代替死者行使其权利。因此,我们也应当注意对逝者信息的保护。
事件报告义务
为了防止个人信息泄露,企业需要采取与信息安全管理体系(ISMS)要求的类似措施。
以下是一些被要求采取的措施示例:
- 制定内部规程
- 根据机密性进行分类管理
- 根据需要进行加密
- 实施化名处理等
- 对员工进行教育
- 制定事件响应流程等
关于安全管理措施,由于在《中国网络安全法》和《中国数据安全法》中也有相应规定,因此建议您仔细整理这三法的要求,并确认相应的对策。
相关文章:什么是中国数据安全法?解析日本企业应采取的措施[ja]
DPO及代表人设立义务
企业在处理的个人信息数量达到一定规模时,必须任命DPO(数据保护责任人)。
此外,适用域外规定的企业需要在中国境内设立代表人,并向主管当局报告其名称和联系方式等信息。
个人信息保护影响评估的实施义务
企业在以下五种情况之一适用时,必须事先进行风险评估,并适当控制风险。
需要实施义务的情况如下:
- 处理敏感信息时
- 进行自动化决策时
- 委托处理个人信息或向第三方提供个人信息时
- 将个人信息跨境转移时
- 对个人权利和利益产生重大影响时
中国个人信息保护法的处罚规定
一旦违反该法律,企业可能面临高额的处罚(最高可达5000万元人民币或上一财年销售额的5%)。由于该法律的适用范围扩展到境外,因此在中国开展业务的日本企业需要迅速采取应对措施。
日本企业应采取的个人信息保护法对策
本章将介绍日本企业应采取的四项个人信息保护对策。
审视内部体制
首先,应考虑审视内部体制。由于存在代表人或数据保护官(DPO)的设立义务,必须重新审视公司内部体制。
例如,可以设立专门负责包含个人信息的数据合规工作的法务和技术部门,整理业务流程,实施详细的数据映射等多种措施。
更新规定和政策
更新规定和政策也是至关重要的。需要更新符合中国数据三法的规定和政策。
此外,不仅要制定反映法律要求的规程,还要确保所有员工都能执行的操作流程。
掌握运营实际情况
由于个人信息保护法是在2021年11月1日(令和3年)制定的,距今时间不长,因此需要在掌握运营实际情况的同时,持续采取对策。同时,公司员工也被规定必须适当处理个人信息并严格遵守法律。
因此,企业应定期对员工进行培训,加深他们对最新法律和程序的认识。
构建与专家的合作体系
构建或加强与专家的合作体系也是必不可少的。通过与熟悉中国法规的专家建立合作体系,可以实现快速响应。此外,企业需要定期监控和评估个人信息保护的合规状况。因此,可以说,建立外部专家的合作体系是必须的。
总结:理解多项法规并做出准确的应对
2021年11月1日,中国首次实施了全面规定个人信息保护的《中国个人信息保护法》。对于在全球范围内开展业务的企业来说,中国的数据相关法规(网络安全法、数据安全法、个人信息保护法)是不可忽视的法律,无论是从市场的重要性还是规制的严格程度来看。在必要时,应借助专家的帮助,确保能够执行所需的实务工作。
本所提供的对策介绍
Monolith法律事务所是一家在IT领域,尤其是互联网和法律方面拥有丰富经验的律师事务所。近年来,全球商务不断扩大,专业的法律审查需求也日益增加。我们事务所提供国际法务解决方案。
Monolith法律事务所的业务范围:国际法务・海外业务[ja]
