中國本周通過的《個人信息保護法》,被認為是全球最嚴格的數據保護法案之一,在很多方面都參照了歐盟的《通用數據保護條例》。不過,學者指出,兩者之間還是存在著很大的不同;對於歐洲在華企業而言,這意味著一定的風險。
8月20日,中國全國人大常委會表決通過了《個人信息保護法》,並於今年11月1日起生效施行。這部法案的正式文本尚未發布;此前公布的二讀草案文本在"總則"中強調,制訂此法案的目的是"保護個人信息權益,規範個人信息處理活動,保障個人信息依法有序自由流動,促進個人信息合理利用",並且強調了"自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益";"處理個人信息應當具有明確、合理的目的,並應當限於實現處理目的的最小範圍"。
全國人大常委會法工委發言人臧鐵偉幾天前曾對媒體透露,此次會議是對《個人信息保護法》草案的第三次審議,與此前二讀草案相比,最新版文本主要增加了針對APP過度收集個人信息、"大數據殺熟"等問題的規範,並且將不滿十四周歲未成年人的個人信息作為敏感個人信息。個人信息跨境提供的規則也有所修改,"對按照我國締結或者參加的國際條約、協定向境外提供個人信息、對轉移到境外的個人信息的保護不應低於我國的保護標準等作出規定"。
路透社分析指出,《個人信息保護法》與之前已經通過的《數據安全法》共同構成了中國今後管理互聯網的兩個主要法律支柱。後者即將在9月1日生效實施,其側重點在於數據的經濟價值以及國家安全事項。這兩部法律都要求在中國境內經營的所有企業檢視其數據儲存以及數據處理的方式。
就在今年7月,中國網信辦宣布對科技企業滴滴展開調查,原因包括"滴滴出行"APP涉嫌侵犯用戶隱私。國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局等部門聯合進駐滴滴出行科技有限公司,開展網絡安全審查。
除了數據安全,阿里巴巴、騰訊等諸多中國科技巨頭近幾個月還接連遭到了反壟斷等各類調查。分析人士指出,中國當局正在全面加強對私營經濟的監管力度。在這一背景下,即將生效的《數據安全法》和《個人信息保護法》也讓在華經營的企業感到不安。
德國不來梅大學研究中國數據安全立法的學者基普克(Dennis-Kenji Kipker)在接受德國之聲采訪時指出,即便歐洲企業沒有在中國設立分公司,也有可能面臨在中國銷售商品所獲得的客戶數據是否能轉移出中國境外之類的問題;或者是德企在華員工收集到的數據只能在中國境內處理。"中國的許多此類法規往往初看很清晰,細看之下就會發現很多模糊的地方。這對外國企業是一個不小的風險:一方面,中國此類涉及到境外的法規越來越多;另一方面,要想准確理解這類法律也變得越來越難。"