ICANN 博文

敬请阅读 ICANN 的博文,了解最新政策制定活动和区域事务等等。

中国的《个人信息保护法》:温馨提醒

2021 年 10 月 21 日
作者:

根据 ICANN《2021-2025 财年战略规划 (FY21-25 Strategic Plan)》,并作为 ICANN 组织监测可能影响 ICANN 社群的全球立法工作的一环,我想提请大家关注中国近期的立法进展,特别是《个人信息保护法 (Personal Information Protection Law, PIPL)》,该法将于 2021 年 11 月 1 日正式生效。

每当时机合适,ICANN 组织会针对拟议立法提供技术建议以便让立法者了解该法律可能对域名系统 (Domain Name System, DNS) 产生的潜在影响。我们还努力将可能对 ICANN 的领域产生影响的新法律告知我们的社群,例如:欧盟颁布的《通用数据保护条例 (General Data Protection Regulation, GDPR)》。

ICANN 社群熟悉以 GDPR为代表的相关法律,这些法律影响到 ICANN 和签约方的运营,包括:注册数据目录服务 (Registration Data Directory Services, RDDS) 或 WHOIS。在打击 DNS 安全威胁、网络犯罪和知识产权侵权等领域,WHOIS 系统对于各利益相关方来说是一个重要工具。

类似于许多政府所做的努力,PIPL 是中国规范个人数据处理工作的一部分。该法案与 GDPR 类似,但关于个人数据处理的要求(包括个人信息的跨境转移)则有所不同。

例如,PIPL 中个人信息处理的法律基础与 GDPR 的这一部分略有不同。根据 PIPL,注册人同意将发挥重要作用,作为注册管理机构和注册服务机构按照《注册服务机构认证协议 (Registrar Accreditation Agreement,RAA)》、《注册管理机构协议 (Registry Agreements)》和共识性政策的要求来处理注册数据的法律依据。然而,PIPL 并不包括"正当利益" (legitimate interests) 的概念。而这个概念是 GDPR 规定的另一个可能适用于个人数据处理的法律基础。需要重点指出的是,RAA 要求注册服务机构向注册人提供有关数据处理的通知,并获得处理注册数据的同意。

ICANN 组织鼓励在中国开展业务的签约方在 PIPL 于 11 月 1 日生效之前确保其收集、处理和维护个人数据的协议和流程都要遵守 PIPL(及其他适用法律),并通过专业的法律咨询来评估其遵守 PIPL 时需承担的潜在义务。

Authors

Jian-Chuan Zhang

Head of China, Global Stakeholder Engagement