spacer
search icon cross white
spacer bookmark cross
search icon
Search Tags

  Total: Bookmarks

 Bookmark(s) Click icon to add bookmark(s) to my profile

  •  Local Bookmark is Empty

 User Profile Bookmark(s)

  •  Profile is Empty
MENU
spacer
bookmark cross white
A
search icon cross white
search icon
Search Tags

  Total: Bookmarks

Click icon to add bookmark(s) to my profile

 Bookmark(s)

 User Profile Bookmark(s)

close
captcha-image

Forgot password / username Re-send activiation email Register an account Help with web login

最新的中國數據安全法對公司有何影響?

羅兵咸永道香港風險管理及內部控制合夥人鐘嘉鈺

 

資料數據已成為許多企業的重要資產。以符合道德的安全方式將數據轉化成價值,是企業未來十年的當務之急。雖然數據安全法有利於企業利用資料以推動業務目標及策略,為企業帶來巨大機遇,不過這也為企業在處理數據運作方面帶來了很大的合規挑戰。 

 

近期有若干針對多家企業而採取包括網絡安全性審查等的執法行動,並特別針對那些能存取中國內地廣泛不同類型消費者資料的互聯網公司。監管機構在資料數據範疇上頒佈了多條重要法律條文,例如《網絡安全法》、《數據安全法》和《個人信息保護法》,為中國內地資料數據主權上奠下了重要基石。

 

這些法律覆蓋了各種在中國內地進行的數據處理活動,並為這些活動定下具有約束力的履約義務。根據其境外的法律效力,即使相關公司並未在內地設有業務,但其產品或服務若涉及中國內地個人資料的處理,則同樣受到這些法律約束。

 

下文列出的新關鍵要求,將會影響會計人士如何評估數據價值鏈及週期所涉及的業務風險。

 

數據本地化:如果相關公司符合關鍵信息基礎設施運營者的標準,或涉及處理大量來自中國內地的個人資料,則須遵守數據本地化要求。

跨境數據轉移:若將個人資料轉移至中國內地以外地區,除了需要得相關個別人士的多層同意之外,還須進行安全風險評估,並採取安全措施以保護數據。跨境數據轉移合規將變得更加複雜和耗時,它不僅涉及公司集團內部,還牽涉公司與外國供應商、客戶、投資者及其他相關第三方人士數據轉移的合規性,某些業務安排還需要依法調整。

 

數據處理協議:數據處理者在申請安全評估時,應提交其與海外接收者簽訂的協議或其他法律文件。在此類協議中,必須訂明轉移目的、方式及範圍,相關數據的海外儲存要求,海外接收者的義務和責任,以及爭議解決機制等。

 

數據負責人:在內地沒有設立業務的外國公司需委任代表或專門機構,以監督公司的資料數據合規事宜。

 

儘管最新的數據安全法可能令許多企業面臨關鍵轉折點,這同時亦是加強個人資料保護的重要措施。監管機構將對不合規行為展開嚴格執法,公司必須開始對中國內地市場制定和更新其數據管理策略。

 

 

貝克·麥堅時國際律師事務所合夥人許峰

 

為了進一步履行保護個人信息承諾,中國內地採用了新的《個人信息保護法》,該法賦予個人相關權利以控制和決定以何種方式、與哪些主體、以及出於何種目的而共享、分析或處理其個人信息。

 

典型的合規調查很可能會涉及獲取和分析員工的個人信息。此外,公司的內部調查團隊還可能會聘請外部專業人士協助,或與位於中國內地境外的總部共享有關信息。根據《個人信息保護法》,這些活動需要個人信息主體的一般或單獨同意,而鑒於調查的敏感性和機密性,獲取相應的同意可能難實現。因此,《個人信息保護法》中新義務將會對企業在落實公司合規和內控制度過程中所進行的內部調查帶來實際挑戰。

 

這些涉及個人信息的調查活動包括:收集員工的個人信息(如學歷和工作經驗),審查有可能違反合規活動或事項之工作郵件記錄,以及利用舉報者所提供信息。此外,這亦包括獲取員工的敏感信息,如銀行戶、費用和報銷記錄及其相關時期所處位置,存取及處理包括商業夥伴客戶個人信息。

 

一旦調查開始,要獲得被調查的當事人之明確同意提供個人信息就會變得困難重重。除了須獲取明確同意外,《個人信息保護法》第13條還規定在處理個人信息時,有六種情況可豁免獲取明確同意的情況,當中有三項豁免情與合規調查相關。雖則如此,我們認為這些豁免存在一定的局限。

 

根據現行規則,內部調查何時必須徵當事人的明確同意以及何時獲得豁免,在實際情況下劃定兩者之間的界限。展開內部調查的公司需要了解豁免情形的限制,而不應完全依賴上述情況,以規避《個人信息保護法》述的義務。如果未能提前解決這些問題,內部調查報告的可信度可能會受到影響在最壞的情況下,甚至可能會導致調查無法繼續。

 

林朱律師事務所合夥人鄭寶玉

 

中國內地《數據安全法》和《個人信息保護法》已分別於202191日和2021111日生效。這些法律條文對會計師事務所產生的影響十分深遠,尤其是對一些在內地營運或向內地客戶提供服務的會計師事務所。它們在將數據轉移至內地以外地方及處理內地人士的個人信息時,均需遵守《數據安全法》和《個人信息保護法》。

 

當中一個需要考慮的關鍵問題,就是會計師事務所或其內地客戶是否屬關鍵信息基礎設施運營者。而關鍵信息基礎設施運營者會受到額外法律要求所規管。

 

《數據安全法》數據轉移方面作出規管,其規定關鍵信息基礎設施運營者須將其在內地收集和產生的重要數據儲存在內地從廣義而言,重要數據泛指與國家安全、經濟社會發展或公共利益的密切相關數據。此類數據須在內地進行審查,如必須將數據轉移至海外進行審查,則首先必須對其進行安全評估。

 

根據《個人信息保護法》有關要求在內地處理個人信息的規定,若關鍵信息基礎設施運營者及處理個人信息達到國家網信部門規定數量的個人信息處理者,則必須將在內地收集及生產的個人信息存儲在內地。如果個人信息處理者希望將這些信息轉移至境外,則必須通過安全評估,按照國家互聯網信息辦公室的規定獲得專業機構的認證,或者與海外接收者簽訂標準合同,其合同內容必須清楚說明雙方各自的權利和義務。此外,他們還必須獲得相關個人的單獨同意,並告知他們若干事項,包括接收者的身份和聯繫方式、轉移目的和處理方法等。

 

在處理來自國司法或執法機構的數據請求時也應格外謹慎。根據《數據安全法》和《個人信息保護法》的規定,未經內地相關當局批准,禁止向任何國司法或執法機構提供存儲內地的數據/或個人信息。

 

《數據安全法》和《個人信息保護法》還有其他要求,可能會產生其他影響。會計師事務所應評估其內地業務情況,以及與內地客戶就數據存取及轉移達成的安排是否符合所有法律要求。

 

 

本文為編譯版本,原文What do China’s new data security laws mean for companies?首發於香港會計師公會會員雜誌《A Plus2021年第12期。

 

gotop