Суровый опыт Поднебесной. Система регулирования персональных данных в Китае

Суровый опыт Поднебесной. Система регулирования персональных данных в Китае

До 2021 г. сфера персональных данных в Китае была достаточно расплывчата и сегментирована. С принятием нового Закона о защите персональной информации (Personal information protection law), далее — PIPL — сфера регулирования ПДн в Китае приняла более структурированный и прозрачный формат.

PIPL не единственный закон, затрагивающий обработку персональной информации. Имеется множество других федеральных, региональных, общих и секторальных законов, стандартов, регламентов и руководств, посвящённых ПДн. Тем не менее именно PIPL является «системообразующим» нормативным актом, задающим общий тренд регулирования ПДн в Китае. В первой части обзора мы познакомимся именно с ним.

ОБЩИЕ СВЕДЕНИЯ

Надзорный орган

Центральным органом по вопросам персональной информации в Китае является Управление по вопросам Киберпространства Китая (Cyber Administration of China), далее — CAC. CAC отвечает за комплексное планирование и координацию деятельности по вопросам защиты персональной информации, а также связанные с ними надзор и контроль.

Уполномоченные органы в сфере персональных данных

Народный Банк Китая (People’s Bank of China, PBC). Является секторальным уполномоченным органом. РВС может осуществлять мониторинг за соблюдением требований о ПДн, а также издавать стандарты и правила обработки в рамках своей юрисдикции.

Комиссия по регулированию банковской и страховой деятельности Китая (China Banking and Insurance Regulatory Commission, CBIRC). Является секторальным уполномоченным органом. CBIRC может осуществлять мониторинг за соблюдением требований о ПДн, а также издавать стандарты и правила обработки ПДн в финансовых и страховых организациях.

Министерство промышленности и информационных технологий (Ministry of Industry and Information Technology, MIIT). Ответственно за регулирование и надзор в области ПДн в рамках своей юрисдикции (например, при разработке и использовании мобильных приложений).

Министерство общественной безопасности (Ministry of Public Security, MPS). Является ключевым органом по борьбе с киберпреступностью. MPS также отвечает за уголовные расследования незаконного получения, продажи и раскрытия ПДн.

Государственное управление по регулированию рынка (State Administration for Market Regulation, SAMR). Осуществляет регулирование и надзор в области обработки персональной информации в рамках защиты прав и интересов потребителей.

Национальный Технический Комитет по Стандартизации информационной безопасности (Technical Committee 260, ТС260). Занимается разработкой и унификацией национальных стандартов в области кибербезопасности, включая обработку и защиту персональных данных.

PIPL и GDPR

PIPL является гибридом европейского и китайского подходов к регулированию ПДн, построен по примеру GDPR и имеет много общего с европейским регламентом, например структуру, принципы и основания обработки ПДн, права субъектов и обязанности операторов и обработчиков, а также требования к трансграничной передаче данных.

Отличие китайского подхода

В рамках национальных стандартов в Китае детализируются виды данных, которые могут приравниваться к ПДн в том числе биометрическим и чувствительным. Национальные стандарты прямо отмечают, что такая информация, как список друзей в социальных сетях или список групп и чатов, также является персональными данными субъекта. Данные о финансовых счетах и геолокации признаются чувствительными ПДн.

Данные как государственно значимый актив

Персональные данные являются государственно значимым «активом», который особо защищается в целях обеспечения национальной безопасности и суверенитета КНР. Этим объясняются специфические требования к порядку трансграничной передачи ПДн, например получение в ряде случаев разрешения уполномоченного органа на передачу или прохождение специальной государственной сертификации.

ЗАКОН О ЗАЩИТЕ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ (PIPL)

PIPL вступил в силу 1 ноября 2021 г., он состоит из 74 статей. Структура и основные положения закона перекликаются с GDPR, поэтому специалистам, знакомым с европейским регламентом, легко ориентироваться в PIPL. Китай создал гибрид режима персональных данных, взяв за основу европейский подход к обработке ПДн и адаптировав его с учётом «китайской специфики».

Территориальное действие

PIPL устанавливает экстерриториальный характер действия. Его положения по общему правилу применяются к обработке персональной информации на территории КНР, а также к обработке за пределами Китая с целью:

• предоставления товаров и услуг физическимлицам на территории КНР;
• аналитики поведения физических лиц на территории Китая;
• по иным основаниям, предусмотренным законами КНР (без детализации).

Ключевые принципы:

• законность, необходимость и добросовестность обработки (ст. 5);
• минимизация данных и ограничение целью (ст. 6);
• прозрачность обработки (ст. 7);
• точность информации (ст. 8);
• безопасность и конфиденциальность (ст. 9);
• запрет на незаконную обработку ПДн, включая прямой запрет на незаконную продажу и покупку ПДн или обработку ПДн, наносящую вред национальной безопасности и публичным интересам (ст. 10).

Основания обработки (ст. 13 PIPL):

• согласие субъекта;
• заключение и исполнение договора с субъектом;
• подбор кадров;
• требование закона;
• публичные интересы (например, публикация в СМИ);
• реагирование на чрезвычайные ситуации (в сфере общественного здравоохранения, включая защиту жизни и здоровья граждан);
• статистические исследования.

Требования к согласию:

• добровольный характер;
• явность и конкретность;
• информированность.

Отдельные согласия

В ряде случаев PIPL предусматривает обязанность по сбору «отдельных согласий»:

• обработка чувствительных данных;
• передача ПДн другому оператору данных (передача ПДн третьим лицам);
• трансграничная передача ПДн;
• обработка изображений и отличительных идентификационных признаков для целей, отличных от обеспечения общественной безопасности.

Всегда ли нужно отдельное согласие, как того требует PIPL?

Статья 13 PIPL предусматривает перечень базовых оснований обработки ПДн. Ряд особых положений Закона также предусматривает обязательность получения согласия для обработки ПДн в конкретных обстоятельствах.

Вместе с тем ст. 13 устанавливает, что в случае, когда иные положения PIPL требуют получения согласия субъекта на обработку ПДн, получение такого согласия не является обязательным, если применяется одно из базовых оснований обработки по ст. 13 PIPL.

Так, положения о трансграничной передаче обязывают оператора получать отдельное согласие субъекта и, в отличие от GDPR, не предусматривают такое основание, как передача для целей реализации договора по ст. 49. Однако на практике трансграничная передача ПДн зачастую является одним из этапов общего процесса обработки ПДн, которая может осуществляться на основании заключения/реализации договора, стороной которого является субъект.

В отсутствие устоявшейся практики и разъяснений уполномоченных органов на данный момент сложно прийти к окончательному ответу на вопрос, обязательно ли получение отдельного согласия в случае, описанном выше.

Следует отметить, что анонимные данные исключены из действия PIPL. При этом обезличенные данные продолжают считаться ПДн. Правила обезличивания содержатся в Руководстве по деидентификации персональной информации от 2019 г.

Также PIPL запрещает отказывать в предоставлении товаров и услуг в случае непредставления ПДн субъектом, если такие данные не являются необходимыми для оказания соответствующих услуг.

Примечательно, что в апреле 2022 г. аналогичные поправки были приняты в России к Закону «О защите прав потребителей» № 2300-1.

Права субъектов

Права субъектов ПДн, предусмотренные PIPL, схожи с перечнем прав по GDPR и включают:

• право на информацию;
• право на ограничение или возражение против обработки ПДн;
• право на доступ и переносимость;
• право на изменение и удаление данных;
• право возражать против решений, принятых исключительно на основании автоматизированной обработки.

Управление данными и безопасность

PIPL предусматривает обязанность операторов данных принимать меры организационного и технического характера для обеспечения:

• соответствия требованиям законодательства (compliance);
• защиты конфиденциальности ПДн.

В ряде случаев назначение DPO является обязательным.

Закрепляется требование о назначении представителя на территории Китая для компаний, которые зарегистрированы и ведут свою деятельность за рубежом.

Оператор данных обязан на регулярной основе проводить комплаенс-аудиты.

Вводится характерный для GDPR механизм проведения оценок DPIA. Проведение DPIA является обязательным перед началом обработки ПДн в случаях:

• использования информации в процессе автоматизированного принятия решений;
• обработки чувствительных данных;
• поручения обработки обработчику, передачи данных самостоятельному оператору или раскрытие ПДн в публичном домене;
• трансграничной передачи данных;
• в иных случаях, существенным образом влияющих на права субъектов ПДн.

Уведомление о нарушениях

По аналогии с GDPR, PIPL устанавливает обязанность информировать надзорный орган и в ряде случаев субъектов ПДн о нарушениях безопасности ПДн. Данная обязанность возлагается только на операторов данных, но не на обработчиков.

Уведомление надзорного органа: во всех случаях.

Уведомление субъектов: оператор не обязан информировать субъектов в случаях, когда им были предприняты достаточные меры для предотвращения вреда субъектам. Тем не менее в случаях, когда надзорный орган приходит к выводу о риске вреда субъектам, он может обязать оператора уведомить субъектов о таком нарушении.

Сроки: PIPL не устанавливает конкретный срок подачи соответствующего уведомления, ограничиваясь требованием о том, чтобы оно было подано «незамедлительно».

ОБМЕН ДАННЫМИ — УПРАВЛЕНИЕ ПОТОКАМИ ДАННЫХ

Обмен данными между операторами

Перед передачей ПДн от одного оператора к другому передающая сторона обязана:

• информировать субъекта ПДн о деталях передачи (включая контактную информацию получающей стороны);
• получить отдельное согласие субъекта ПДн на передачу.

Операторы, совместно определяющие цели и методы обработки, должны заключить соответствующее соглашение, регулирующее их права и обязанности в отношении обработки.

Поручение на обработку

При поручении обработки третьему лицу (обработчику) необходимо заключить договор, определяющий:

• цели;
• сроки и методы обработки;
• категории ПДн;
• меры безопасности;
• права и обязанности сторон;
• право оператора на мониторинг деятельности обработчика.

Как и в GDPR, не допускается привлечение субобработчиков без предварительного согласия оператора. Обработчик обязан действовать строго в рамках поручения на обработку ПДн.

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДН

Особенность: «политический» характер защиты китайских данных как актива, имеющего государственное значение.

Реторсии: PIPL допускает принятие ограничительных мер в отношении зарубежной страны (региона) в ответ на принятие ею дискриминирующих запретов или ограничений в отношении КНР. К зарубежным физическим или юридическим лицам, осуществляющим обработку ПДн в нарушение прав и интересов граждан Китая, либо во вред национальным интересам Китая, могут применяться ограничивающие меры вплоть до полного запрета обработки ПДн.

Запросы зарубежных госорганов. Передача данных зарубежным государственным органам допускается только при получении предварительного одобрения компетентного органа КНР.

Перед передачей ПДн за пределы Китая оператор обязан:

1. Получить отдельное информированное согласие субъекта, которое должно включать:

• наименование и контактную информациюполучателя;
• цели и методы обработки;
• категории передаваемых ПДн;
• способ реализации прав в отношении зарубежного получателя.

2. Провести оценку DPIA.

3. Выполнить одно из дополнительных специальных условий:

• пройти оценку безопасности уполномоченного органа (State Cyberspace and Information department);
• получить сертификат уполномоченного органа (на данный момент требование не конкретизировано);
• заключить стандартные договорные условия по форме, утверждённой уполномоченным органом (State Cyberspace and Information department);
• исполнить иные требования, предусмотренные законом (например, в случае обработки генетических данных должны соблюдаться требования Административного регламента по вопросам человеческих генетических ресурсов).

Стоит отметить, что в настоящее время разрабатывается Руководство по оценке безопасности при трансграничной передаче данных. Проект документа находится на публичном обсуждении.

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЯ

Следуя мировым тенденциям последних лет, PIPL устанавливает весьма ощутимые штрафы за нарушения требований к обработке ПДн. Также PIPL предусматривает как ответственность оператора, так и персональную ответственность лица, виновного в нарушении.

Максимальный размер административного штрафа — 50 млн юаней (около 510 млн рублей, или $7,5 млн) или 5% от оборота за предыдущий год.

ИНЫЕ АКТЫ КИТАЯ В СФЕРЕ ОБРАБОТКИ И ЗАЩИТЫ ПДН

Как было отмечено, PIPL не единственный закон, затрагивающий вопросы обработки ПДн. Для получения более полного понимания регулирования сферы ПДн в Китае рекомендуется ознакомиться со следующими правовыми актами (перечень не является исчерпывающим).

Действующие:

• Гражданский кодекс КНР, 2021 (ст. 1032–1039);
• Закон о защите информации (DSL), 2021;
• Закон о кибербезопасности (CSL), 2017;
• Национальный стандарт по технологиям информационной безопасности — Руководство по проведению оценки воздействия на защиту персональной информации, 2020;
• Национальный стандарт по технологиям информационной безопасности — Руководство по защите персональной информации, 2020;
• Руководство Центрального Банка КНР по защите финансовой персональной информации, 2020;
• Национальный стандарт по технологиям информационной безопасности — Руководство по деидентификации персональной информации, 2019.

На рассмотрении:

• Руководство по проведению оценки воздействия на защиту персональной информации при трансграничной передаче ПДн;
• Руководство по уведомлению о конфиденциальности и согласию на обработку персональной информации;
• Руководство по защите персональной информации при обработке в публичных облаках.

Окончание обзора в следующем номере...