中国数据保护法的最新进展

s由于任何企业的最终目标都是为客户提供更好的服务，因此从他们那里收集信息是不可避免的。 但是，客户信息通常包含敏感的个人信息，因此收集、处理或共享这些数据需要事先征得同意和某些程序。 在不遵守规定的情况下，除了数十项其他潜在处罚外，还可能处以高达公司年收入 5% 的巨额罚款。

因此，企业必须充分了解数据合规立法，并采用监管良好的合规制度。

框架

数据安全法（DSL）和个人信息保护法（PIPL）于2021年颁布实施。与2017年生效的网络安全法一起，这三部法律构成了数据管理的基本法律框架。中国。 他们有不同的主张：《国家安全法》、《网络安全法》、DSL侧重于保护国家安全和公共利益，而PIPL侧重于在处理个人信息的同时保护个人信息的权益。

在上述法律框架下，各立法部门和监管机构纷纷出台实施要求。 同时，行业监管委员会和行业监管机构也在相应更新行业规则，起草国家标准，提供实践指导。 例如，《网络安全审查办法》于2022年1月4日发布，2022年2月15日起实施。

总体而言，数据管理领域的法律框架已经形成，具体的监管规则和实践指南正在逐步制定和完善。

执法

据21世纪经济报道不完整数据显示，仅2021年，中国人民银行、银监会、国家外汇管理局对信息采集违规行为的行政处罚共计119起，其中罚款总额达4650万元人民币（690万美元）。

上述处罚通常与金融机构未能遵守个人数据保护或网络安全法规有关。 这些违规行为主要包括：未按照规定收集和使用个人信息； 未经同意查询个人信息或公司信用信息； 在披露个人不当行为信息之前不通知他人； 或泄露客户信息。

数据生命周期管理

PIPL和DSL都要求建立安全管理体系，以确保数据在其生命周期内的安全管理，包括其收集、存储、使用、处理、传输、提供和披露。 数据安全管理必须融入整个工作流程，渗透到每一个具体的业务流程中。

尤其是银行和金融行业的数据合规要求高于其他行业。 中国人民银行（PBoC）于 2020 年 9 月 23 日发布了《金融数据安全——数据安全分类指引》，由中国金融标准化技术委员会（CFSTC）主管。 该指南规定，财务数据应分为不同级别，每个级别在数据的整个生命周期（包括收集、使用、存储、传输和删除）中都需要不同的一般合规义务和相关要求。

尽管这些指导方针是建议性的而不是规定性的，但它们可以作为在银行业引入正式数据合规监管之前的重要参考，特别是考虑到 CFSTC 由中国人民银行 (PBoC) 管理和管理，并且在很大程度上得到认可. 即将出台的行业法规。

强调交易所和证监会的数据合规审查。 任何寻求在中国证券交易所首次公开募股（IPO）的公司必须在发行前按照中国证券监督管理委员会（CSRC）制定的规则通过严格的合规审查，让公众有机会衡量其水平。特定公司的合规性，例如确保其遵守 2021 年底颁布的数据保护法律的交易所。

根据对 2017 年至 2022 年 IPO 的不完全数据分析，交易所审计查询的数据合规性因时代和行业而异。 在 2021 年 DSL 和 PIPL 颁布之前，合规的商业方面得到了更多的关注。 然而，在过去的 15 个月中，数据安全管理、数据生命周期管理以及数据法律法规的更新已成为首要关注点，以下趋势证明了这一点。

建立数据安全体系，确保合规。 有两个方面的查询，第一是是否已经建立了保护数据收集和处理的系统； 其次，在数据安全方面是否有任何事件或处罚。

贯穿数据生命周期的合规管理。 数据收集是数据生命周期的开始，因此对于整体合规性至关重要。 交易所经常询问数据来源是否合法，无论历史是否被主动收集或购买。 对于拟上市的公司，交易所往往会关注实际数据使用范围是否超过预先约定的限制。 因此，来源、类别、收集方式和使用许可均需审核。

数据处理是另一个关键步骤。 在审计高科技公司时，股票市场会密切审查数据处理是否存在任何过度使用或任何其他形式的滥用。 如果数据处理构成公司核心业务不可分割的组成部分，交易所将审查其数据处理实践是否与一般行业实践有显着差异，以及行业实践是否符合法律。

快速响应立法更新。 随着数据保护立法的不断发展，证券交易所正在审查公司是否能够快速适应未来立法带来的变化，以及是否实施了适当的机制来检测潜在的违规风险。

遵守数据保护法是所有在中国经营的公司的强制性义务。 作者认为，企业必须建立健全的数据合规机制，同时补充端到端的业务流程和数据生命周期管理。 该机制应每年审查并在必要时进行更新。

Sharon Shi 是锦天城律师事务所的高级合伙人，Ben Jia 是律师

所有闪亮的律师事务所
11 / F 12 / F 上海中心
银城中路501号
浦东新区
中国上海 200120
来电者数据：
电话：+86 21 2051 1000
传真：+86 21 2051 1999
电子邮件：

[email protected]
[email protected]

www.allbrightlaw.com