【环球律师事务所】《云计算(2024版)》之中国篇(英)

近日，环球律师事务所（Global Law Office）发布了《云计算（2024版）》之中国篇报告，该报告深入探讨了中国在云计算领域的法律实践和数据隐私规定。报告涵盖了数据隐私、数据安全、数据所有权、供应商管理、数据泄露通知、国际数据传输、合规与审计等多个方面，为在华企业及国际公司提供了宝贵的法律指导和实践建议。这份报告是理解中国云计算法律环境的重要资源，其中包含了丰富的信息和深刻的行业洞察。

云计算在中国：法律实践与数据隐私挑战

随着云计算技术的迅猛发展，数据隐私和安全问题日益成为公众关注的焦点。在中国，这一议题尤为紧迫，因为中国拥有庞大的互联网用户群体和快速发展的数字经济。本文将探讨中国云计算领域的法律实践，特别是数据隐私和安全方面的规定。

中国的云计算法律框架主要由三部国家级法律构成：《网络安全法》（CSL）、《数据安全法》（DSL）和《个人信息保护法》（PIPL）。这些法律不仅适用于云计算，还涵盖了相关的数据处理活动。例如，根据PIPL第4条，个人数据被定义为以电子或其他方式记录的、能够识别特定个人的各种信息，不包括匿名信息。而敏感个人数据，如生物识别信息、宗教信仰、特定身份、医疗健康信息等，则受到更加严格的保护。

在云计算环境中处理个人数据，需要遵循PIPL的相关规定。处理个人数据的主要要求是获得数据主体的同意，或者存在法律规定的其他合法依据。例如，PIPL第13条规定，处理个人数据应有合法依据，包括同意，或者其他可以豁免同意的法律依据。这意味着，在处理个人数据之前，数据控制者必须向数据主体真实、准确、完整地告知相关信息。

数据跨境传输是中国云计算法律框架中的另一个重要议题。CSL、DSL和PIPL为跨境数据传输提供了一般性框架。根据这些法律，数据控制者应承担跨境数据传输的法律责任，数据处理器则应遵守数据控制者的跨境传输指示。例如，PIPL第38条规定，数据控制者在向境外传输个人数据时，应选择适当的合规机制，如申请安全评估、签订标准合同条款等。

违反数据隐私法规的处罚在中国法律中也有明确规定。数据控制者和数据处理器都可能面临行政、民事甚至刑事责任。例如，PIPL第66条规定，数据控制者若未履行报告义务，可能会面临警告或高达5000万元人民币或上一年度营业额5%的罚款。

在数据安全措施方面，中国法律要求云服务提供商和客户共同保障云计算环境的安全。CSL第10条要求运营商遵守法律法规和强制性国家标准，采取技术措施和其他必要措施，以确保云服务的安全性和可用性。此外，还有一系列推荐性国家标准，如GB/T 31167-2023，为云服务的安全措施提供了具体指导。

数据所有权和控制权在云协议中也非常重要。通常，云服务客户拥有并控制其数据，除非另有约定。云协议应明确客户对数据的所有权和控制权，确保云服务提供商不干涉客户的权利，并提供机制让客户能够高效地访问和管理其数据。

数据泄露通知是中国云计算法律框架中的另一个关键组成部分。CSL、DSL和PIPL规定了数据泄露的报告义务。例如，PIPL第57条规定，如果个人数据控制器采取的措施可以有效防止数据泄露造成的伤害，可以免除通知受影响的个人数据主体的义务，除非特别要求。

国际数据传输方面，中国法律并没有一般适用和绝对的数据本地化要求。但CSL、DSL和PIPL对某些特定类型的数据施加了本地化要求，并概述了跨境传输这些数据的行政要求。例如，关键信息基础设施运营者（CIIO）必须在中国境内存储其收集和处理的个人数据，任何跨境数据传输都需要事先获得政府相关部门的批准。

合规和审计是中国云计算法律实践的另一个重要方面。PIPL在2021年引入了个人数据处理合规审计的概念，相关监管要求自那时起逐渐形成。2023年，中国网信办发布了《个人信息保护合规审计管理规定》（“审计规定”）草案，尽管至今尚未生效。合规审计是确认和确定个人数据控制者是否依法处理个人数据的独立监督机制，是强制性的。

这篇文章的灵感来自于《云计算（2024版）》之中国篇报告。除了这份报告，还有一些同类型的报告也非常有价值，推荐阅读，这些报告我们都收录在同名星球，可以自行获取。

以上为节选样张，关注公众号【蝉鸣报告】回复领取PDF完整电子版（无广告）。

【蝉鸣报告】每日更新最新硬核报告，覆盖产业报告、全球化、经济报告、趋势等全领域。