不管您是否意识到数据所带来的变化，“数据”的经济价值已获确认并被视为一种新的生产要素[1]，数据利益影响着每一个公共部门、行业、实体和个人。中国已经制定了新的数据安全和隐私保护法律制度。本文将讨论中国这一新的数据制度对外国投资者在中国的投资或业务将产生的影响以及涉及的关键问题。

数据本身并不是一个新概念。数据从字面上来说就是信息，包括所有类型的文档、文件、图片、音频、视频，或其他以电子形式或物理形式或任何其他媒介存储的任何信息。根据《中华人民共和国数据安全法》（2021年9月1日生效（“数据安全法”），数据被定义为任何以电子或者其他方式对信息的记录。根据《中华人民共和国个人信息保护法》（2021年11月1日生效）（“个人信息保护法”），个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

信息的处理包括信息的收集、存储、使用、加工、传输、提供、公开、删除等。

需要注意的是，数据法律监管制度解决的主要问题是如何保护数据安全和个人隐私，而不是限制数据流动。数据法律监管制度所创设的新义务主要是对数据处理者或者关键信息基础设施运营者应当采取相应程度的保护措施，以保护国家利益和个人隐私权益。主要的法律依据如下：

（1）保护国家利益的法律依据主要包括：

数据安全法

《中华人民共和国网络安全法》（2017年6月1日生效）（“网络安全法”）；

《网络安全审查办法》（2020年6月1日生效）（“网络安全审查办法”）以及2021年12月28日发布的新修订的网络安全审查办法(2021)，其将于2022年2月15日生效；

《关键信息基础设施安全保护条例》（2021年9月1日生效）(“关基保护条例”)以及其他有关法律法规的规定。

（2）保护个人隐私权益的法律主要依据为《中华人民共和国民法典》（2021年1月1日生效）、个人信息保护法、以及其他有关个人信息保护的相关法律法规和司法解释，保护个人隐私权益。请注意，数据安全法是数据领域基本法，该法也规定了个人信息保护法的基本原则。

根据数据安全法的规定，数据依其在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护：

（1）重要数据。根据数据安全法第二十一条和第三十条，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

（2）核心数据。根据数据安全法第二十一条，关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。虽然核心数据的范围规则不是很明确，但从逻辑上讲，应该被解释为一种重要数据，需要最高级别的安全保护。

（3）一定数量的个人数据。根据数据安全法第二十一条，重要数据包括个人数据。然而，个人数据通常只有达到一定规模时才对大数据技术应用有用。根据2021年12月28日发布的网络安全审查办法（2021）第7条，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。此外，根据国家互联网信息办公室2021年11月14日关于《网络数据安全管理条例（征求意见稿）》公开征求意见的通知，申请赴香港上市的数据运营者如对国家安全产生影响的，亦应申报网络安全审查。

首先，就法律实体运营期间所产生或采集的数据（包括整个生命周期）保护而言，数据级别不同，安全保护义务程度不同。如果运营者所持有的数据对国家经济、安全和公共利益具有重要意义，运营者应为此承担最高程度的安全保护义务。

根据2021年9月1日生效的《关键信息基础设施安全保护条例》（“关基保护条例”），经营以下业务的企业将被视为关基运营者：

关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

根据关基保护条例，有关保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。因此，如果您没有收到相关政府部门的通知，则您不是关基运营者。

根据2021年1月18日生效的国家发展和改革委员会（NDRC）和商务部（MOFCOM）令第37号《外国投资安全审查办法》的规定，外国投资者投资关系国家安全的重要基础设施（不涉及军事利益）并取得所投资企业的实际控制权，除还需获得有关政府部门的行业批准外，应当在实施投资前申请外商投资国家安全审查。

根据数据安全法第三十一条和网络安全法第三十七条，关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

根据数据安全法第二十五条，国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据实施出口管制。

关基运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照国家互联网信息办公室[2]牵头负责并发布的网络安全审查办法进行网络安全审查。请注意，网络安全审查办法生效后仅1个月，在滴滴美国上市的背景下，引发了国家对跨境数据传输的安全担忧，随即《网络安全审查办法（修订草案征求意见稿）》于2021年7月10日发布并公开征求意见，如前所述，这一草案于2021年12月28日正式发布，其所规定的网络安全审查制度，除了适用于关基运营者，还扩展适用于掌握超过100万用户个人信息且赴国外上市的运营者，此外如上文第一节第三条所述，根据《网络数据安全管理条例（征求意见稿）》，网络安全审查也扩展适用于申请赴香港上市的数据运营者（如涉及国家安全利益），我们将密切关注这一草案的进展。

根据关基保护条例，关基运营者应采取安全措施确保网络设施和信息系统的安全运行，其需要采取的主要措施和行动如下：

（一）建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。请注意，关基运营者应对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。

（二）安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。

（三）自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估。

（四）采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。（参见上文“ 运营者购买关键信息基础设施产品的网络安全审查 ”）

（五）与供应商签订安全和保密协议，明确规定技术支持、安全和保密，并监督供应商的履行。

建立良好的数据保护实践是必要的，这将帮助企业赢得员工、供应商和业务合作伙伴的信任，从而加强组织的生态发展。

中国采纳了GDPR（欧盟于2018年5月25日发布的《通用数据保护条例》）关于保护个人隐私权益的内容，但存在一些细微差异，具体如下：

与欧盟采用的认定第三国“充份保护的水平”方法不同，个人信息保护法要求转让方应与境外接收方签订合同，确保合同规定境外接受方有关于与中国个人信息保护法同等程度的数据保护措施；

GDPR中规定的“被遗忘权”与个人信息保护法下的“删除权”不同。根据个人信息保护法，当数据主体撤回同意或数据不再需要处理时，或当处理的信息非法时，数据主体请求删除的权利随即产生，但这并不意味着删除后的信息不能再被第三方追踪，而GDPR所规定的遗忘权则是永久删除，不再被追踪。此外，当个人撤回同意时，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

因此，如果企业已采取符合GDPR的措施，则依据中国个人信息保护规则调整其隐私政策不会有太大困难。

了解个人信息保护法中的以下法定要求，将有助于企业制定并调整企业内部规则和公司政策，以遵守中国法律下的个人数据保护规定：

（1）处理个人数据的目的是明确和合法的，实现处理目的所用的处理信息需控制在最小范围。

（2）在收集个人数据时，注意对敏感信息采取更多安全措施，处理敏感信息的目的必须特别明确，且应有充分的依据。根据个人信息保护法列出的敏感信息，包括宗教、生物鉴定、疾病、财务账户、行踪等。

（3）在没有法定理由跳过个人（即数据主体）的明确同意的情况下，首次收集信息和随后更改目的或处理方式均需要获得个人（即数据主体）的明确同意。请注意，个人同意可以随时撤回。除上文第三节第1条所述的删除权外，个人也有权要求复制所处理信息，个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。

（4）在以下情况下无需个人同意，个人信息处理者可处理个人信息：

为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

为履行法定职责或者法定义务所必需；

为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

法律、行政法规规定的其他情形。

（5）除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

（6）如数据处理方的义务因合并、分立、解散或宣布破产而转移给接收方，应向涉及的个人信息主体发出通知，通知应包含接收方姓名和联系信息，接收方应继续承担所转让的数据保护义务。接收方变更原先的处理目的、处理方式的，应当重新取得个人同意。

雇主可以根据法律的规定处理履行雇佣合同或公司人力资源政策所必需的信息，但是，处理任何超出此目的所需的个人信息应始终获得员工的明确同意。对于员工的敏感信息，如疾病、宗教，应采取额外的安全措施来保护这些信息。例如，在雇主组织内部发送含敏感信息的员工信息时，应采取技术措施，比如对此类信息进行概括一般性描述，以避免造成其描述会引向特定个人。

根据个人信息保护法的规定，个人信息处理者只能保存最短时间的个人信息，法律或规则对此有特殊规定除外。根据《中华人民共和国劳动合同法》，雇主与员工的劳动合同终止后，雇主应保存该劳动合同至少2年以备查。由于信息保存对雇主来说是一种负担，我们建议雇主在劳动合同终止2年后尽快删除员工信息。

对于求职者，雇主或面试官只能收集与履行工作职责的能力有关的信息，并应通知求职者其将如何处理这些信息，包括保存这些信息的目的和时间。如果处理此类信息的目的或方式发生变化，则应获得求职者的明确同意。当保存此类信息的时间到期，或求职者要求删除其信息时，雇主应销毁此类信息。

商业实体应根据平等和公平、诚信、透明和数据最小化的原则，更新向其客户或用户提供的隐私政策（包括其运营的网站），以及与消费者或供应商签订的产品或服务协议，汽车和医疗保健等行业还需遵守相关行业要求。

跨国公司应谨慎处理其中国子公司的员工信息或涉及一定数量个人数据的中国个人客户信息，因为可能触发数据安全法所规定的跨境数据安全评估。尽管现行有效的法律法规中没有规定达到何种规模的数据出境需做安全评估，但根据2021年10月29日发布的《数据出境安全评估办法（征求意见稿）》第四条（尽管尚未正式发布，可以暂做参考）：

（1）如果中国子公司拥有超过100万人的个人数据，从中国产生或收集的数据如进行跨境传输，都需完成数据安全评估；

（2）累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息，如进行跨境传输，需完成数据安全评估。

对于上述个人跨境数据传输，除非另有法律豁免，应获得个人同意，并且中国子公司与母公司或其集团成员之间还应签订合同，确保外国接收者将为传输的数据提供充分的保护。

[1]2019年10月，中共十九届四中全会提出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。” 【译文参见http://www.cac.gov.cn/2020-04/11/c_1588149692584407.htm】

[2]根据《网络安全审查办法》第4条，在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广

播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。但在修改的《网络安全审查办法 (2021)》中，中国证券监督管理委员会作为第13个部委机关加入工作机制。国家互联网信息办公室设立网络安全审查办公室，负责制定网络安全审查制度和标准，组织网络安全审查工作。