另外,个人信息处理者亦须取得有关个人的单独同意,并向个人告知接收方的身份及联系方式、处理目的及方式、个人信息的种类以及有关个人的权利。
2021年10月29日,国家网信部门发布了《数据出境安全评估办法(征求意见稿)》(“征求意见稿”)[1],以就《网络安全法》、《数据安全法》及《个人信息保护法》下有关安全评估的要求提供更详细的规定。如征求意见稿一经通过,符合以下其中一项的数据处理者将须在数据出境到中国境外前通过安全评估:
- 处理关键信息基础设施的运营者所收集及产生的个人信息及重要数据的数据处理者;
- 向境外提供重要数据的数据处理者;
- 处理个人信息达到一百万人的个人信息处理者;
- 累计向境外提供超过十万人以上个人信息,或一万人以上敏感个人信息的数据处理者;
- 国家网信办规定的其他需要申报数据出境安全评估的情形。
除了上述限制,《数据安全法》及《个人信息保护法》也禁止向外国司法或执法机构提供存储于中国境内的个人信息。《中华人民共和国证券法 (2019修订)》亦同样禁止向境外提供与证券业务活动有关的文件和资料,得到中国证券监督管理委员会同意除外。
哪些行业的数据相对较敏感?
各组织可以从《数据安全法》、《网络安全法》、《个人信息保护法》及其实施办法中获取关于比较敏感的数据类型以及可能拥有该类数据的行业的指引。
《数据安全法》把与国家安全、经济发展、民生或公共利益密切相关的数据定义为国家核心数据(因此需要更严格的保护)。虽然《数据安全法》并没有具体定义重要数据,但其明确要求加强对重要数据的保护。而组织可以参考《数据安全管理办法(征求意见稿)》[2] ,因其将重要数据定义为可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,例如未公开的政府信息及大面积人口、基因健康、地理,及/或矿产资源。
《网络安全法》,连同2021年9月1日起生效的《关键信息基础设施安全保护条例》[3],指明属以下行业的网络运营者为关键信息基础设施的运营者,标志着其所持数据的敏感性:公共通信及信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等[4]行业,以及其他拥有一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生,及/或公共利益的重要网络设施、信息系统等。
《个人信息保护法》也将某些类型的个人信息确定为敏感个人信息。该等类型包括一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害,或人身、财产安全受到危害的个人信息,例如生物识别、宗教信仰、特定身份、健康及医疗记录、金融账户、行踪轨迹等信息,以及不满十四岁未成年人的个人信息。
组织该如何做好准备?
最近推出的《数据安全法》及《个人信息保护法》,连同《网络安全法》,使中国内地现在拥有一套全面的数据保护制度,以管治在中国内地经营的企业的整个数据周期。各组织应通过实施细则以及执法行动,密切关注法律的实施情况。现时,行业监管机构(亦称为“保护部门”)被授权制定识别关键信息基础设施的实施规则,各组织应密切关注该些实施规则,并评估其业务是否属于关键信息基础设施的分类。此外,各组织,特别是从事跨境业务的组织,必须制定及实施一个全面的数据治理框架,以确保于不断变化的监管环境中保持合规性。
