中國本周通過的《個人信息保護法》,被認為是全球最嚴格的數據保護法案之一,在很多方面都參照了歐盟的《通用數據保護條例》。不過,學者指出,兩者之間還是存在著很大的不同;對於歐洲在華企業而言,這意味著一定的風險。
8月20日,中國全國人大常委會表決通過了《個人信息保護法》,並於今年11月1日起生效施行。這部法案的正式文本尚未發布;此前公布的二讀草案文本在"總則"中強調,制訂此法案的目的是"保護個人信息權益,規範個人信息處理活動,保障個人信息依法有序自由流動,促進個人信息合理利用",並且強調了"自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益";"處理個人信息應當具有明確、合理的目的,並應當限於實現處理目的的最小範圍"。
全國人大常委會法工委發言人臧鐵偉幾天前曾對媒體透露,此次會議是對《個人信息保護法》草案的第三次審議,與此前二讀草案相比,最新版文本主要增加了針對APP過度收集個人信息、"大數據殺熟"等問題的規範,並且將不滿十四周歲未成年人的個人信息作為敏感個人信息。個人信息跨境提供的規則也有所修改,"對按照我國締結或者參加的國際條約、協定向境外提供個人信息、對轉移到境外的個人信息的保護不應低於我國的保護標準等作出規定"。
路透社分析指出,《個人信息保護法》與之前已經通過的《數據安全法》共同構成了中國今後管理互聯網的兩個主要法律支柱。後者即將在9月1日生效實施,其側重點在於數據的經濟價值以及國家安全事項。這兩部法律都要求在中國境內經營的所有企業檢視其數據儲存以及數據處理的方式。
就在今年7月,中國網信辦宣布對科技企業滴滴展開調查,原因包括"滴滴出行"APP涉嫌侵犯用戶隱私。國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局等部門聯合進駐滴滴出行科技有限公司,開展網絡安全審查。
除了數據安全,阿里巴巴、騰訊等諸多中國科技巨頭近幾個月還接連遭到了反壟斷等各類調查。分析人士指出,中國當局正在全面加強對私營經濟的監管力度。在這一背景下,即將生效的《數據安全法》和《個人信息保護法》也讓在華經營的企業感到不安。
德國不來梅大學研究中國數據安全立法的學者基普克(Dennis-Kenji Kipker)在接受德國之聲采訪時指出,即便歐洲企業沒有在中國設立分公司,也有可能面臨在中國銷售商品所獲得的客戶數據是否能轉移出中國境外之類的問題;或者是德企在華員工收集到的數據只能在中國境內處理。"中國的許多此類法規往往初看很清晰,細看之下就會發現很多模糊的地方。這對外國企業是一個不小的風險:一方面,中國此類涉及到境外的法規越來越多;另一方面,要想准確理解這類法律也變得越來越難。"
為國家安全設立例外
此次通過的《個人信息保護法》,在某種程度上也與歐盟的《通用數據保護條例》相似。不過,有所不同的是,中國的這部法律並沒有對政府部門獲取個人數據做出太多限制,只是籠統規定"國家機關為履行法定職責處理個人信息,應當依照法律、行政法規規定的權限、程序進行,不得超出履行法定職責所必需的範圍和限度"。根據此前的二讀草案,這部法律為政府部門留出了不少例外條款,比如"國家機關不得公開或者向他人提供其處理的個人信息,法律、行政法規另有規定或者取得個人同意的除外"。
不來梅大學的法學家基普克也指出,盡管中國的《個人信息保護法》在很多方面都參照了歐盟《通用數據保護條例》,但是雙方的數據保護並不可同日而語。"而且在中國,數據保護還具有一定的國家安全色彩。"
中國公共場所遍布的監控攝像、人臉識別設備,就在《個人信息保護法》中獲得了例外待遇。盡管這部法案指出,種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等敏感個人信息"一旦洩露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害"。但是同時也寫道:"在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,並設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用於維護公共安全的目的,不得公開或者向他人提供;取得個人單獨同意或者法律、行政法規另有規定的除外。"
一些國際人權組織指出,中國當局尤其在新疆地區利用人臉識別、生物特征識別等技術,有針對性地對維吾爾等少數民族群體進行打壓。
© 2021年德國之聲版權聲明:本文所有內容受到著作權法保護,如無德國之聲特別授權,不得擅自使用。任何不當行為都將導致追償,並受到刑事追究
