易路洞察：个人信息保护法为何是企业数据安全合规的红线

2023-09-14

“数据是新时代的石油。”这句名言经英国数学家Clive Humby于2006年提出，传播甚广，其主旨意在体现数据是一种珍贵的、可提炼的新型能源。和石油不同的是，数据具有强大的可复制性与可再生性，且便于存储与转移，因而成为了极易被泄露与多方窃取的“香饽饽“。

为此，数据隐私、保护和治理工作在互联网飞速发展进程中，早早提上了各国政府的待办日程，“数据安全“一词也屡登热度榜单。

21年7月，某知名打车软件轰轰烈烈的下架事件，把个人信息安全问题再度拉入了大众视野。同年6月，《数据安全法》颁布；同年8月，《个人信息保护法》通过，11月1日生效。这一密集的节奏表明了国家对于维护信息安全、数据安全的坚定态度。

企业微信截图_16946642119536.png

PIPL出台：科技时代的数据隐忧

以荒诞和讽刺见长的迷你剧《黑镜》第六季于今年开播，唤醒了一波对未来科技的警醒与迷思，第一集更是极度夸张且喜感地表现了个人信息在流媒体滥用带来的种种危机，例如我们日常生活中无处不在的APP隐私条款，指尖一个轻盈的“同意”，可能就使得信息永久泄露在了屏幕之下。

这些经过艺术加工的作品实则空穴来风，有许多真实案例依据，往远了看，2016年雅虎30亿用户数据泄露、19年某博5.38亿账户在暗网出售；往近了看， 2023某银行因违反个人金融信息保护规定等23项违法行为被罚764万元，今年9月初某知名学术平台因违法处理个人信息行为被罚5000万……此类事件在这个“没有秘密“的科技时代比比皆是、令人惊心。

而这部个人信息的“保护符”——《中华人民共和国个人信息保护法》，简称「PIPL」（Personal Information Protection Law），同欧盟GDPR、加拿大PIPEDA、荷兰DPA一样，均是为了保护公民个人数据不受侵害，监管数据控制者和数据处理者而诞生的。

PIPL存在的意义，除了警示个人，无疑也给所有企业一个提醒：不要试图越线。

截至2022年，已发布隐私保护相关法律的国家地区（数据来源于网络）

从PIPL看数据出境：合规升级、监管趋严是常态

PIPL引领中国的数据安全合规进入新阶段，从业界近年来十分热门的“数据出境”议题上可见一斑。在合规升级、监管趋严的大趋势下，PIPL及相关法律将严抓严打的触角延伸至了境外。无论身处何处，只要涉嫌违法收集、接收、处理或存储中华人民共和国居民个人信息的组织，一定会受到严格查处。

22年6月，《个人信息出境标准合同规定 (征求意见稿) 》发布；2022年7月，《数据出境安全评估办法》颁布，同年9月施行；22年11月，《网络安全标准实践指南一个人信息跨境处理活动安全认证规范》(v2.0-征求意见稿) 发布；23年2月，《个人信息出境标准合同办法》发布。

这些相关法规法条的出台，无疑给数据出境的企业拉紧了监管的红线。违反个人信息安全法律的代价，是面临巨额的经济处罚（一般违规100万元以下，严重违规最高可达5000 万元人民币或最高上一年度营业额的5%），还可能处以责令改正、警告、没收违法所得、吊销营业执照等重大措施。数据合规，已成为出海企业能否平稳航行的掌风舵。