钱伯斯全球实践指南 云计算2024 权威的全球法律指南,提供顶级律师的比较分析 中国:法律与实践 VincentWang,XinyaoZhaoandLewisChenGlobalLawOffice CHINA 法律与实践 撰稿人:王文生、赵新耀、陈刘易斯全球律师事务所 Contents 1.数据隐私法规p.5 1.1数据隐私与云计算p.5 1.2数据隐私与跨境传输p.8 1.3违反数据隐私法规的处罚措施p.9 2.数据安全措施p.10 2.1数据安全和云第10页 3.数据所有权和控制p.12 3.1云协议中的数据所有权p.123.2数据可移植性p.133.3数据保留和删除p.13 4.供应商管理p.14 4.1尽职调查p.14 4.2云服务协议中的数据保护p.14 4.3云与数据处理协议p.15 4.4离职策略与数据迁移p.15 5.数据违规通知p.16 5.1报告数据泄露的要求p.165.2调查和纠正数据泄露p.175.3通知数据泄露p.17 6.国际数据传输p.18 6.1跨境转移条例p.186.2数据本地化 p.186.3法律冲突p.19 7.合规和审计p.19 7.1云计算和合规性/审计第19页 全球法律办公室(GLO)可追溯至中国对外贸易促进委员会法律顾问室于1979年的成立。经中华人民共和国司法部批准,GLO在1984年更名为“中国全球法律办公室”,这标志着其致力于国际视野并全面参与全球社区。在近四十年的专注努力和成长过程中, 已经成为中国法律界领先的综合性律师事务所 。自成立以来,GLO坚定践行“以全球视野服务国内外客户、打造全球化的团队和质量标准”的使命。这一承诺使它能够在动态多变的全球经济环境中始终保持行业领先地位。 Authors 魏思恒是全球律师事务所上海办公室的合伙人,其业务涵盖多个行业,在应对新颖和复杂法律问题方面具有专长。 邢亚赵是全球律师事务所的顾问。邢亚基于上海办公室工作,于2018年加入该办公室。她的主要执业领域包括网络安全与数据安全, 复杂的TMT领域法律挑战。文森特覆盖的行业包括电信、电子商务、网络安全与数据保护、电子支付、互联网相关业务、高科技制造与工程、新兴和前沿技术(如人工智能、区块链、加密货币、物联网、电动出行、云计算等)、电动汽车、新媒体和流媒体娱乐、食品与饮料 、农业及养殖业,以及跨境贸易与投资。 个人信息保护和企业合规。她在电信、互联网相关行业、物联网、汽车、电子商务、金融科技和医疗健康等领域为跨国公司和国内公司提供咨询服务。她协助知名国际企业在完成数据合规项目的过程中提供了全程支持。此外,鑫尧还帮助国内企业在美国、欧洲和东南亚地区的海外业务发展中确保数据隐私合规。 撰稿人:全球律师事务所王文思、赵新耀、陈刘易斯、 刘伟晨是全球律师事务所上海办公室的一名中高级associate 。他的主要执业领域包括隐私和数据保护、金融科技和TMT领域。 参与了知名国际公司ByteDance、GE、德勤等的法律项目,涵盖金融科技、汽车、电子商务 、物联网等行业。他还协助客户处理合规调查 与缓解、风险评估以及法律文件的准备等工作 。在加入全球律师事务所之前,Lewis在上海一家领先的国际律师事务所工作,专注于数据保护和金融科技领域。 全球法律办公室 中国上海市徐汇区淮海中路999号ICC上海1号36楼 200031 电话:(8621)23108288传真 :(8621)23108299电子邮件 :vincentwang@glo.com.cnWeb:www.glo.com.cn 1.数据隐私法规 1.1数据隐私和云计算 适用于中国云计算的数据隐私法规 在数据和隐私监管领域,中国法律目前主要有以下三大来源:(i)国家法律法规,(ii)行政法规和规章,以及(iii)国家标准。 提供有关安全管理和技术措施的建议和指导,以保护云生命周期中的数据安全。 另一个适用于在中国托管的云服务的独特安全要求是多层保护方案(MLPS)。MLPS是根据 《网络安全法》第21条的要求而设立的,主要关注云服务的基础架构安全,以保障云服务中处理的数据和个人信息的安全。 在国家法律层面,《中华人民共和国网络安全法》(CSL)、《中华人民共和国数据安全法 》(DSL)和《中华人民共和国个人信息保护法》(PIPL)是三项基本法律,专门规范数据和隐私问题,并适用于中国境内的云计算及相 个人数据和敏感数据的定义 关数据处理活动。请注意,在本指南中,“个人数据”和“个人信息” 、“敏感数据”和“敏感个人信息”互换使用,含义相同。 这三项国家法律主要通过相关部门发布的行政规定、规章和监管文件来实施。例如,《云计算服务安全评估办法》在云computing服务提供给行政机关、关键信息基础设施运营者以及党政机关的情况下,明确了《网络安全法》和 《数据安全法》的安全要求。 根据《个人信息保护法》第四条,个人数据是指以电子或其他方式记录的已识别或可识别自然人的所有类型的信息,不包括匿名信息。 根据《个人信息保护法》第28条,敏感个人信息是指泄露或非法使用可能导致个人尊严受损或人身、财产安全受到危害的个人信息,包括生物识别信息、宗教信仰、特定身份、医疗健康信息、财务账户、位置跟踪数据,以及14岁以下未成年人的个人信息。 此外,国家标准(包括强制性和推荐性标准)也在从技术、组织和法律履行措施等方面实施这三项法律中发挥着重要作用。强制性标准确立了合法合规的最低要求,而推荐性标准则展示了最佳实践。例如,《信息安全技术—云计算服务安全指南》(GB/T31167-2023) 在云中处理个人数据的要求 数据处理者在《个人信息保护法》(PIPL)中的对应方是《通用数据保护条例》(GDPR)中的数据控制者,而数据处理者的数据处理合同方则是《GDPR》中的数据处理者。区分这一点是不可避免的。 云环境中的数据控制者和数据处理者,为了方便非中国读者理解,我们在回答关于中国法律问题时使用《通用数据保护条例》(GDPR)中的术语“数据控制者”和“数据处理者”。 必须是完成处理目的所需最短的时间;•个人行使法定权利关于其个人信息的选项和程序;•以及其他法律法规要求的事项。 因此,在本文中,我们将“数据控制器”定义为根据《中华人民共和国个人信息保护法》能够自主决定数据处理目的和方式的“个人信息处理者” ;将“数据处理器”定义为应数据控制器要求处理数据的“处理受托人”。 中国法律法规对云处理个人数据没有特殊要求 。云处理个人数据需遵守《个人信息保护法》 (PIPL)对一般个人数据处理规定的相同要求 。 在中国个人信息保护法(PIPL)下,处理个人数据的主要要求是获得同意或单独同意。此外 ,还存在一些法律上明确规定的例外情况,在这些情况下无需获得同意或单独同意。 单独的同意和要求 在《个人信息保护法》(PIPL)下,涉及多项处理活动需要单独获取同意,包括处理敏感个人信息、个人信息跨境转移、向第三方提供个人信息、公开披露个人信息等。尽管PIPL本身没有对“单独同意”给出精确定义,但可以在推荐的国家标准GB/T42574-2023(信息技术——个人信息处理中告知和同意的实施指南)中找到实用指导。该标准明确指出,单独同意是指个人针对特定个人信息处理活动所给予的具体且明确的同意。至关重要的是,单独同意不涵盖同时为多个处理目的提供的宽泛同意。 同意和要求例外的同意-放弃处理 根据《个人信息保护法》第十三条,在处理个人数据时应具备适当的法律依据,包括同意,或其他可能允许免除同意的法律依据,如下所示。为确保获得知情同意,在处理个人数据之前,控制者必须以显著方式、清晰易懂的语言向个人真实、准确、完整地披露以下信息: 此外,在获得同意的基础上,个人信息处理者还可以根据其他若干合法理由处理个人信息: •Whereprocessingisnecessaryfor: (a)参与或执行个体作为当事方的合同;(b)根据合法制定或达成的劳动规则或政策或集体劳动合同来管理人力资源;(c)履行法定职责或责任;和/或 •控制者的名称和联系方式;•处理目的、方法、处理的信息类型以及存储期限(which后面的内容请继续提供以便完整翻译)。 (d)应对公共卫生事件,或在紧急情况下保护个人的生命、健康和财产安全;•出于公共利益目的进行新闻报道或公众舆论监督处理个人数据,但须保持在合理范围内;以及•处理由信息主体披露或依法披露的个人数据,但须保持在合理范围内,符合《个人信息保护法》的要求 。 在这些处理条件下,可以放弃同意。数据控制者和 云环境中的处理器 根据中国法律,在处理个人数据方面,数据控制器应承担主要的法律责任,而数据处理器则需提供必要的协助以确保合规。因为在云服务中,数据控制器是客户(云租户或平台用户) ,他们遵守法律的技术能力将受到云服务提供商(作为数据处理器)提供的技术限制的影响 。 数据控制器的义务 根据PIPL的规定,使用云服务的数据控制器必须履行以下主要义务: •数据安全:根据《个人信息保护法》第51条以及《信息安全技术—个人信息安全规范》(GB/T35273-2020)中的第6条和第7条的规定 ,数据控制者必须实施适当的技术和组织措施以确保数据的安全性、完整性和保密性。这包括使用诸如加密、匿名化、访问控制和审计日志等安全措施。 •响应数据主体请求:根据《个人信息保护法 》(PIPL)第45条、第46条和第47条的规定,数据控制者需建立有效的机制以确保数据主体能够方便地行使自己的法定权利,包括但不限于访问权、更正权、删除权以及反对处理的权利。•数据泄露通知:在发生数据泄露事件时 ,《个人信息保护法》(PIPL)第57条规定,数据控制者必须立即采取补救措施并通知相关数据保护机构及受影响的数据主体。 在云环境中,数据控制器可能期望数据处理者提供数据合规措施,或者提供技术支持机制或灵活性,以允许他们独立实施这些措施。因此 ,作为数据处理者的云服务提供商可能需要提前了解并预见这类潜在要求。 •合法性和透明度:根据《个人信息保护法》第13条和第17条的规定,数据控制者必须确保个人数据处理的合法性,并向数据主体透明地披露数据处理活动。这包括提供关于数据处理目的、方法和范围的清晰信息。 数据处理器的义务 数据处理者,通常是云服务提供商,负责代表数据控制者处理个人数据。他们的义务应旨在支持控制者的合规努力并确保遵守数据保护标准,包括: •按照指示处理数据:根据《个人信息保护法 》第21条和第59条的规定,数据处理者必须严格遵循数据控制者的指示,不得超出控制者授权的范围进行数据处理。 •合作义务:根据《个人信息保护法》第59条的规定,数据处理者有义务协助数据控制者履行其法律责任,例如提供必要的数据以响应数据主体的请求。 •子处理管理:根据《个人信息保护法》(PIPL)第21条和第59条的规定,如果数据处理任务委托给其他服务提供商进行分包处理,数据处理器必须事先获得数据控制者的书面同意 ,并确保子处理商遵守适用的数据保护要求。 •数据删除或返还:根据《个人信息保护法》(PIPL)第21条和第47条,在处理合同终止或服务结束时,数据处理者必须按照数据控制者的指示删除或返还所有个人数据,并确保不保留任何副本。 跨境转移方面的trolls的指导说明(例如,不要将个人数据转移到中国境外)。 以下是中国有关跨境数据传输的主要法律摘要 : •关于个人数据跨境转移的监管机制:数据控制者将其个人数据转移到中国境外时,应选择合适的合规机制。根据《个人信息保护法》第38条,这些机制包括申请安全评估、与外国数据接收方签署中国标准合同条款、获得个人信息保护认证,或满足其他由相关法律法规或国家互联网信息办公室(简称“网信办”)规定的条件。在监管框架下,《促进和规范数据跨境流动的规定》提供了豁免条款,旨在使与中国相关的国际企业更容易进行跨境数据转移。 1.2数据隐私和跨境转移 CSL、DSL