Blog/Change Management/解读中国《个人信息保护法》:数据控制者与数据处理者
本文将概述中国《个人信息保护法》(PIPL),并阐明企业作为数据控制者、数据处理者或双重角色的具体责任。您还将了解IT Consultis如何为在华品牌提供数字化转型服务时,统筹应对这些复杂性。
免责声明
本文内容不构成且无意提供关于中国《个人信息保护法》(PIPL)及其他相关法律法规的法律意见。
尽管经过充分研究,所有信息仅作为一般性指南,帮助您理解PIPL对企业在中国市场运营的影响。
中建议基于合作伙伴TEKID的专业知识及ITC(上海数字化转型咨询机构)的实践经验。
需注意,PIPL及相关法规将持续演进,本文内容未来可能不再完全适用。
引言
过去十年间,中国监管部门日益重视网络安全与数据隐私保护,以规范国内科技巨头及跨国企业利用超十亿消费者市场的行为。
2021年出台的PIPL正是加强消费者保护的重要一步,其对国内外企业的运营均产生深远影响。
然而,合规并非不可逾越。只要企业明确自身作为数据控制者和/或数据处理者的责任,仍可持续拓展在华数字化业务。
首先,我们来看一下这条法律的具体内容:
目录
什么是中国PIPL?
《个人信息保护法》建立了包含执行机制与处罚指南的监管框架,规范企业处理个人信息的行为。
其最显著特点是:适用于所有处理中国境内个人数据的实体(后文详述)。
不遵守《公共利益保护法》的公司将面临严厉处罚,包括最高可达 5000 万元人民币(约 750 万美元)或公司前一年年收入 5% 的罚款。
PIPL 于 2021 年 8 月 20 日首次通过。当时,世界各地的公司有两个月的时间来准备如何应对新的数据保护法,直到 2021 年 11 月 1 日该法生效。
它实际上是国家总体网络安全和数据处理计划的一部分。该计划被称为“三驾马车”,包括:
- 《网络安全法》(2017年6月 - 旨在维护网络空间主权、安全和社会公共利益)
- 《数据安全法》(2021年9月 - 旨在规范一般不涉及个人信息的数据处理、使用和安全)
- 《个人信息保护法》(PIPL)
PIPL中的“个人信息”如何定义?
根据中国全国人大常委会2021年12月发布的官方英文参考译文:
“个人信息指以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
“各种信息”:包括视频、语音、图像等任何形式的数据
“匿名化信息”:经处理后无法识别特定自然人且不可复原的数据
中国的“敏感个人信息”指哪些?
“一旦泄露或非法使用,可能导致自然人人格尊严受损或人身、财产安全受到危害的个人信息。”
包括:生物识别信息、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹,以及14岁以下未成年人信息。
PIPL适用于哪些主体?
PIPL首次提出“个人信息处理者”概念,适用于以下情形中处理中国境内自然人信息的国内外企业及受托方:
- 为中国境内自然人提供产品或服务
- 分析/评估中国境内自然人的行为
- 其他法律/行政法规规定的情形
处理行为涵盖:收集、存储、使用、加工、传输、提供、公开、删除等全生命周期。
企业为何需关注?
全球性影响
只要企业处理源自中国的个人数据,无论是否在华运营,均可能受PIPL约束。包括无中国业务的第三方数据处理者。
风险与成本上升
为满足监管要求,企业需增加合规投入以降低风险,尤其在跨境数据传输与数据本地化方面。
但在深入研究这些方面之前,您需要了解数据控制者和第三方数据处理者的角色之间的区别:
数据控制者 vs 数据处理者
数据控制者
指直接获取数据主体授权并决定数据处理方式的实体。据数字风险咨询公司TEKID CEO Maxime Oliva解释,数据控制者“对数据主体承担直接义务”。
其亦可能同时担任数据处理者角色,但须遵守以下原则:
- 仅处理与明确合理目的直接相关的必要数据
- 最小化对个人权益的影响
- 公开透明披露处理规则(目的、方式、范围等,如清晰的条款声明)
- 保障所涉个人信息质量
- 禁止非法收集、使用、交易、提供或披露数据,或从事危害国家安全、公共利益的活动
第三方数据处理方
然而,许多企业并不独立处理数据。它们通常与第三方数据处理方合作,由后者代为处理数据。通过这种方式,数据控制方可以借助外部专业知识,充分发挥数据的价值。
例如,IT Consultis(ITC)就是一家第三方数据处理方。我们为雄心勃勃的品牌提供一系列服务,助力其在中国市场的数字化转型。
因此,我们经常处理客户数据,帮助其制定并实施高效策略,以实现投资回报最大化(下文将详细说明)。
尽管第三方数据处理方对客户没有直接义务,但仍需遵守中国《个人信息保护法》(PIPL)。如果其运营范围在中国境外,由于涉及个人信息跨境传输,合规要求会更加复杂。
跨国企业的跨境数据传输与数据本地化
跨境数据传输
在ITC,我们与许多在中国设有分支机构的全球品牌合作。这些企业通常需要将在中国境内收集的数据传回其位于其他国家的全球总部进行统一处理。
此外,如前所述,部分品牌也可能将数据传输给位于境外的第三方数据处理方。
值得庆幸的是,中国PIPL仍然允许企业通过以下三种主要合法途径跨境共享数据:
- 通过国家网信部门的安全评估
- 获得相关机构的个人信息保护认证
- 与境外接收方签订标准合同,明确双方权利义务
其中,标准合同被视为全球通行的做法,也是最可行的选择。签署标准合同需满足以下四项条件:
- 企业属于非关键信息基础设施运营者(Non-CIIO),且为数据处理方
- 处理的数据涉及人数少于100万
- 自上年1月1日起,向境外提供的个人信息累计少于10万人
- 自上年1月1日起,向境外提供的敏感个人信息累计少于1万人
不确定自己是否属于CIIO?无需担心!
监管机构负责识别并通知CIIO。这类实体通常涉及重要行业或领域,如公共通信、能源和金融等。
因此,如果您像ITC的许多客户一样,是一家在中国搭建电商渠道的普通零售品牌,通常可以满足第一条标准。
如果不符合上述任何条件,则需向国家网信部门申请安全评估,以获得跨境数据传输资格。
数据本地化
关键信息基础设施运营者(CIIO)处理的信息一旦丢失或泄露,可能严重危害国家安全、国民经济和公民福祉。
因此,为加强网络安全和数据安全保护,中国PIPL要求CIIO将个人数据100%存储在中国境内。
只有在通过监管部门的安全评估后,才被允许向境外传输数据。
PIPL与数字化转型:ITC如何确保合规
如前所述,ITC是一家数字化转型咨询公司,可被视为第三方数据处理方,因为我们的服务涉及处理客户从消费者处获取的数据。
ITC已与600多家国内外品牌合作,支持其在中国的数字化转型。在此过程中,我们积累了丰富经验,能够与客户的法律团队及合作伙伴(如TEKID)协作,协助品牌履行PIPL义务,具体包括:
制定数据政策与透明度报告
我们的网络安全专家合作伙伴Maxime指出,品牌需尽快完善所有可见元素,因为用户(和监管机构)会首先接触这些内容,尤其是隐私政策和服务条款。
ITC可协助起草这些政策,以保护用户隐私和数据权利,同时确保企业在滥用或诉讼情况下的权益。
这些政策应易于查找,并以透明、准确、直接的方式告知用户以下内容:
- 数据处理方的名称及联系方式
- 个人信息处理的目的、方式、类别及存储期限
- 个人行使权利的方法和程序
- 其他根据法律法规需告知的事项
案例:瑞士奢侈腕表品牌宝齐莱(Carl F. Bucherer)除了设置《使用条款》页面外,还专门设立了《数据保护条款》页面,以确保符合中国及其他地区的隐私法规。
该页面清晰列明了品牌联系方式,以及数据收集、处理和使用的范围与目的。
获取用户授权
IT Consultis还可帮助企业通过勾选框等方式,获取用户对数据收集、处理及跨境传输的授权。如果ITC为您定制数字工具(如微信小程序、网站、App或H5等),我们将确保授权选项清晰且位置合理,以符合PIPL第14条规定的“个人同意应当自愿、明确和充分知情”的要求。
案例:LVMH旗下瑞士奢侈腕表品牌宇舶(Hublot)的微信小程序在用户注册时,要求其阅读并同意《个人信息处理规则》(包括跨境数据传输条款)。
通过这种方式,宇舶既能有效获取有价值的数据,又能让用户选择享受统一的服务标准及额外权益(如延长腕表保修期)。
此外,如果用户后续希望撤回授权,ITC也会协助客户设计简单便捷的流程,同时确保不影响其接收产品或服务。
数据分析与自动化决策流程
作为数字化转型咨询公司,我们常以数据处理方身份直接处理数据,以支持以下工作:
由于监管部门对个人信息传输和处理的严格管控,获取第二方和第三方数据的难度加大。因此,企业需从微信公号、小程序等私域流量渠道获取更多第一方数据,以实现100%的数据所有权。
在这一领域,品牌具有天然优势——它们可以直接与用户沟通数据处理意图和方式,包括通过营销自动化、社交型CRM和企业微信实现的自动化决策,以获取用户授权。
案例:在协助亚洲某领先教育集团从中国招募学生时,ITC为其微信公众号接入了社交型CRM工具,以高效培育潜在客户。
我们的策略包括从用户处收集关键数据,基于定制化的线索评分系统自动处理,并将其归类为不同潜客群体。
根据PIPL第24条,该集团需向用户解释自动化决策(如信息推送和营销行为)的逻辑,并在必要时提供非个性化选项,以确保透明和公平。
跨境系统同步/集成
如前所述,许多客户需要全球化服务,以实现中国与全球系统的数据同步。ITC提供数字系统集成服务,确保数据无缝流通、展示和追踪。
然而,由于PIPL的限制,这一过程并不简单。尽管ITC并非法律专家,但基于过往经验,我们可以就数据托管、本地化要求及可出境数据范围等问题提供建议。
通过这种方式,在合规的前提下,您的全球与本地数字系统可以实现智能化交互。
