随着大数据、云计算的发展,信息传递的快捷性愈发凸显,网络安全保护及个人信息安全保护的难度也不断增大。《中华人民共和国网络安全法》(以下简称《网络安全法》)作为中国第一部全面规范网络空间安全管理的基础性法律,自实施以来,对企业网络安全相关制度产生了更加深刻的影响。
对于《网络安全法》规制的主体,几乎在中国境内“建设、运营、维护和使用网络”的所有企业都被囊括在内。这里的“企业” 并无内资与外资之分,也就是说,无论是中资企业,还是外资企业,只要在中国境内建设、运营、维护和使用网络,都应遵守《网络安全法》的规定。以对客户个人信息进行经常性处理和跨境传输的跨国企业为例,需注意履行与个人信息保护相关的合规义务。
首先,相关跨国企业应当明确“个人信息”的标准。例如,企业为业务发展需要所收集的特定客户的资料,可能因可以识别出接受服务的“特定个人”而被认定为“个人信息”。
其次,企业应制定严格的个人信息收集和使用制度。如何获取、使用、储存客户个人信息,都需纳入企业的考虑范围。同时,获得信息主体的授权或同意也至关重要。进一步讲,如果涉及将中国境内的用户信息向境外传输的问题,那么境外接受信息方的情况也应及时向信息主体披露。
建议相关企业制定信息数据跨境传输的操作指南,明确个人信息跨境传输的主要负责人,严禁与业务不相关的个人在工作中随意接触并向境外传输个人信息,避免可能产生的法律风险。
综上,我们建议相关投资企业,在进行跨境投资业务的同时,将个人信息保护的最新规定纳入考量范围,了解《网络安全法》的各项条款,以避免相关合规风险。