bst365体育平台中国《个人信息保》与欧盟《数据

 bst365资讯     |      2021-09-23 23:10

  中国《小我私家信息保》(下称《个信法》)曾经公布,将于2021年11月1日见效。能够料定,中国社会中的小我私家信息处置举动(本文提到这个观点,是指受《个信法》统领的小我私家信息处置举动。下同),将会呈现一段由乱入治的历程。

  鉴于中欧经济交换的深度与广度,关于两部法例停止比力研读,关于机构,出格是有跨境营业的企业和公家机构,成立同时满意两部法令请求的构造架构及轨制,非常无益。

  欧盟:庇护小我私家数据相干自在和权益,但不得因而限定或制止欧盟范畴内的信息自在活动(第1(2)(3)条)。

  小我私家信息保的须要性,是跟着电子信息财产的大开展而日趋闪现出来的。因为信息财产的兴旺,处置小我私家信息的范围、速率及对小我私家糊口的影响与此前的时期大相迳庭,不成等量齐观。可是小我私家信息的利用又是数字化经济情况下很多经济举动的根底。因而,中欧法令都一样夸大了二者的均衡。

  《个信法》夸大,匿名化后的信息就不属于小我私家信息(第四条)。这只是对“与已辨认大概可辨认的天然人有关”这一点的进一步论述,并未减少小我私家信息观点的内涵。

  《个信法》还夸大,能否以电子方法记载,不是界说小我私家信息的要件(第四条)。GDPR则划定,只需小我私家数据进入文档体系,便属于小我私家数据,不管该文档体系能否是主动化的(第2(1)条)。鉴于主动化的文档体系只能是电子的,而在电子文档体系中存在的信息只能是电子方法记载的,以是,在这一点上,两部法令表述方法差别,但结果是一样的。

  中国:小我私家信息处置者是指在小我私家信息处置举动中自立决议小我私家信息的搜集、存储、利用、加工、bst365体育登陆传输、供给、公然、删除等处置目标、处置方法的构造、小我私家(第四条二款,七十三条一款一项)。

  欧盟:数据掌握者是指单独或结合决议数据处置目标和方法的小我私家或法人、大众政府、机构或构造(第4(7)条第一句);数据处置者是指代表数据掌握者搜集、记载、构造、建构、存储、改编或改动、取回、征询、利用、表露、校准或兼并、限定、删除或拆解数据的小我私家或法人、大众政府、机构或构造(第4(2),(8)条)。

  《个信法》中只要“处置者”,而没有“掌握者”。可是,《个信法》中的处置者是能决议处置目标和处置方法的小我私家或构造,因而该当了解为包罗了欧盟法意义上的掌握者,由于只要掌握者才气决议处置的目标和方法。

  另外一方面,由于即便是狭义意义上的处置者,好比供给数据处置效劳的自力第三方,固然在处置目标上不克不及自立,但在数据处置方法上一定有某种范畴的自立权,好比存储效劳器设于那边,效劳器怎样加密,接纳光纤仍是电缆传输等,不然就不成其为自力第三方,而是掌握者的联系关系公司了。

  因而,《个信法》中的小我私家信息处置者也包罗欧盟法意义上的处置者。总之,《个信法》上的小我私家信息处置者的范畴,与GDPR的“掌握者+处置者”的范畴,并没有本质区分。

  中国:在中国境内停止的小我私家信息处置举动,受统领(第三条一款)。在中国境外停止的处置中国境内天然人小我私家信息的举动,假如该举动是以向中国境内天然人供给产物或效劳为目标,或该举动是在阐发、评价中国境内天然人的举动,或有法令法例划定的情况,也受统领(第三条二款)。

  欧盟:由欧盟境内的信息掌握人或处置人的机构停止的数据处置举动受统领,不管处置举动能否发作在欧盟境内(第3(1)条)。设立的在欧盟境外的信息掌握人或处置人停止的数据处置举动,假如该举动是为了向欧盟境内的数据主体供给产物或效劳,或该举动是为了监控欧盟境内发作的举动,也受统领(第3(2)条)。

  值得辨析的是中国“在境内停止的处置举动”与欧盟“境内掌握人或处置人的机构停止的举动”二者的差别。由于成绩较为庞大,以是我们举个例子来测试这个成绩:假定,一家景内公司的境外机构处置有关境外人的信息,工作怎样?

  第一种,当境外机构的举动是自力的,好比境外机构为境外第三方供给信息处置效劳。此时,按PIPL的划定,因举动不在中国境内,故分歧用。但在GDPR来看,谜底就不明白。有的以为GDPR分歧用,由于此时境内公司既非处置人,也不是掌握人。但笔者曾效劳的一家欧盟公司总部的信息宁静专员以为合用GDPR,故其请求此中国子公司要服从GDPR,虽然此中国公司中没有欧盟人的小我私家信息。

  第二种,当境外机构的举动受境内机构某种范畴的掌握。此时,在GDPR来看,是明白有统领权的,由于属于欧盟境内掌握人的机构处置的举动。但在PIPL仿佛就可以够争议。由于,好比中国总部请求境外机构贯彻某种手艺尺度或效劳尺度,是否是PIPL界说的“自立决议处置方法”?谜底尚不愿定。

  要提示的是,信息掌握人或处置人的“机构”,GDPR英文版的表述“establishment”不克不及了解为是一个公司,以至不克不及了解为一个办公室。法令情势并非尺度。一个延聘的参谋,也可组成establishment。

  中国:小我私家信息处置者该当采纳须要步伐,保证境外领受方处置小我私家信息的举动到达本法划定的小我私家信息庇护尺度(第三十八条3款)。

  欧盟:小我私家数据掌握人或处置人只要在采纳了得当保证步伐,而且以数据主体的权益能够施行和法令布施路子能够得到为条件,除非欧盟曾经认定第三国的庇护程度充足。任何有关向境别传输小我私家数据的划定都应保证GDPR的保证程度没有减弱(第44、46(1)条)。

  虽然法令为向境别传输小我私家信息设置了许多请求,假如境外领受人在获得数据后不施行怎样办?中欧两法律王法公法律都对其境内数据掌握者、处置者付与了“保证”任务。

  这实践上一方面是请求境内机构谨慎地检查境外领受方的保照顾念、办法、才能等,另外一方面是请求境内机构该当经由过程和谈等东西对境外领受方加以掌握,以便在发作损害小我私家信息权时,小我私家信息主体、境内机构能够经由过程恰当的路子追求布施,好比根据和谈对境外机构提告状讼。

  固然,没有实行“保证”任务的境内机构,按照情节差别,能够会遭到行政惩罚。在中国境内的义务人,也有能够被追查刑事义务。

  小我私家信息庇护合规成绩,关于信息处置者,特别是企业来讲,是一个需求从管理层面上重点存眷的成绩:企业该当按照法令请求在内部设置适宜的小我私家信息庇护机构,投入充足的资金建立信息庇护根底设备并对职员供给充足的培训,同时制定恰当的规章轨制,确保员工的职务举动符合法令请求。