До 2021 г. сфера персональных данных в Китае была достаточно расплывчата и сегментирована. С принятием нового Закона о защите персональной информации (Personal information protection law), далее — PIPL — сфера регулирования ПДн в Китае приняла более структурированный и прозрачный формат.
PIPL не единственный закон, затрагивающий обработку персональной информации. Имеется множество других федеральных, региональных, общих и секторальных законов, стандартов, регламентов и руководств, посвящённых ПДн. Тем не менее именно PIPL является «системообразующим» нормативным актом, задающим общий тренд регулирования ПДн в Китае. В первой части обзора мы познакомимся именно с ним.
ОБЩИЕ СВЕДЕНИЯ
Надзорный орган
Центральным органом по вопросам персональной информации в Китае является Управление по вопросам Киберпространства Китая (Cyber Administration of China), далее — CAC. CAC отвечает за комплексное планирование и координацию деятельности по вопросам защиты персональной информации, а также связанные с ними надзор и контроль.
Уполномоченные органы в сфере персональных данных
Народный Банк Китая (People’s Bank of China, PBC). Является секторальным уполномоченным органом. РВС может осуществлять мониторинг за соблюдением требований о ПДн, а также издавать стандарты и правила обработки в рамках своей юрисдикции.
Комиссия по регулированию банковской и страховой деятельности Китая (China Banking and Insurance Regulatory Commission, CBIRC). Является секторальным уполномоченным органом. CBIRC может осуществлять мониторинг за соблюдением требований о ПДн, а также издавать стандарты и правила обработки ПДн в финансовых и страховых организациях.
Министерство промышленности и информационных технологий (Ministry of Industry and Information Technology, MIIT). Ответственно за регулирование и надзор в области ПДн в рамках своей юрисдикции (например, при разработке и использовании мобильных приложений).
Министерство общественной безопасности (Ministry of Public Security, MPS). Является ключевым органом по борьбе с киберпреступностью. MPS также отвечает за уголовные расследования незаконного получения, продажи и раскрытия ПДн.
Государственное управление по регулированию рынка (State Administration for Market Regulation, SAMR). Осуществляет регулирование и надзор в области обработки персональной информации в рамках защиты прав и интересов потребителей.
Национальный Технический Комитет по Стандартизации информационной безопасности (Technical Committee 260, ТС260). Занимается разработкой и унификацией национальных стандартов в области кибербезопасности, включая обработку и защиту персональных данных.
PIPL и GDPR
PIPL является гибридом европейского и китайского подходов к регулированию ПДн, построен по примеру GDPR и имеет много общего с европейским регламентом, например структуру, принципы и основания обработки ПДн, права субъектов и обязанности операторов и обработчиков, а также требования к трансграничной передаче данных.
Отличие китайского подхода
В рамках национальных стандартов в Китае детализируются виды данных, которые могут приравниваться к ПДн в том числе биометрическим и чувствительным. Национальные стандарты прямо отмечают, что такая информация, как список друзей в социальных сетях или список групп и чатов, также является персональными данными субъекта. Данные о финансовых счетах и геолокации признаются чувствительными ПДн.
Данные как государственно значимый актив
Персональные данные являются государственно значимым «активом», который особо защищается в целях обеспечения национальной безопасности и суверенитета КНР. Этим объясняются специфические требования к порядку трансграничной передачи ПДн, например получение в ряде случаев разрешения уполномоченного органа на передачу или прохождение специальной государственной сертификации.
ЗАКОН О ЗАЩИТЕ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ (PIPL)
PIPL вступил в силу 1 ноября 2021 г., он состоит из 74 статей. Структура и основные положения закона перекликаются с GDPR, поэтому специалистам, знакомым с европейским регламентом, легко ориентироваться в PIPL. Китай создал гибрид режима персональных данных, взяв за основу европейский подход к обработке ПДн и адаптировав его с учётом «китайской специфики».
Территориальное действие
PIPL устанавливает экстерриториальный характер действия. Его положения по общему правилу применяются к обработке персональной информации на территории КНР, а также к обработке за пределами Китая с целью:
Ключевые принципы:
Основания обработки (ст. 13 PIPL):
Требования к согласию:
Отдельные согласия
В ряде случаев PIPL предусматривает обязанность по сбору «отдельных согласий»:
Всегда ли нужно отдельное согласие, как того требует PIPL?
Статья 13 PIPL предусматривает перечень базовых оснований обработки ПДн. Ряд особых положений Закона также предусматривает обязательность получения согласия для обработки ПДн в конкретных обстоятельствах.
Вместе с тем ст. 13 устанавливает, что в случае, когда иные положения PIPL требуют получения согласия субъекта на обработку ПДн, получение такого согласия не является обязательным, если применяется одно из базовых оснований обработки по ст. 13 PIPL.
Так, положения о трансграничной передаче обязывают оператора получать отдельное согласие субъекта и, в отличие от GDPR, не предусматривают такое основание, как передача для целей реализации договора по ст. 49. Однако на практике трансграничная передача ПДн зачастую является одним из этапов общего процесса обработки ПДн, которая может осуществляться на основании заключения/реализации договора, стороной которого является субъект.
В отсутствие устоявшейся практики и разъяснений уполномоченных органов на данный момент сложно прийти к окончательному ответу на вопрос, обязательно ли получение отдельного согласия в случае, описанном выше.
Следует отметить, что анонимные данные исключены из действия PIPL. При этом обезличенные данные продолжают считаться ПДн. Правила обезличивания содержатся в Руководстве по деидентификации персональной информации от 2019 г.
Также PIPL запрещает отказывать в предоставлении товаров и услуг в случае непредставления ПДн субъектом, если такие данные не являются необходимыми для оказания соответствующих услуг.
Примечательно, что в апреле 2022 г. аналогичные поправки были приняты в России к Закону «О защите прав потребителей» № 2300-1.
Права субъектов
Права субъектов ПДн, предусмотренные PIPL, схожи с перечнем прав по GDPR и включают:
Управление данными и безопасность
PIPL предусматривает обязанность операторов данных принимать меры организационного и технического характера для обеспечения:
В ряде случаев назначение DPO является обязательным.
Закрепляется требование о назначении представителя на территории Китая для компаний, которые зарегистрированы и ведут свою деятельность за рубежом.
Оператор данных обязан на регулярной основе проводить комплаенс-аудиты.
Вводится характерный для GDPR механизм проведения оценок DPIA. Проведение DPIA является обязательным перед началом обработки ПДн в случаях:
Уведомление о нарушениях
По аналогии с GDPR, PIPL устанавливает обязанность информировать надзорный орган и в ряде случаев субъектов ПДн о нарушениях безопасности ПДн. Данная обязанность возлагается только на операторов данных, но не на обработчиков.
Уведомление надзорного органа: во всех случаях.
Уведомление субъектов: оператор не обязан информировать субъектов в случаях, когда им были предприняты достаточные меры для предотвращения вреда субъектам. Тем не менее в случаях, когда надзорный орган приходит к выводу о риске вреда субъектам, он может обязать оператора уведомить субъектов о таком нарушении.
Сроки: PIPL не устанавливает конкретный срок подачи соответствующего уведомления, ограничиваясь требованием о том, чтобы оно было подано «незамедлительно».
ОБМЕН ДАННЫМИ — УПРАВЛЕНИЕ ПОТОКАМИ ДАННЫХ
Обмен данными между операторами
Перед передачей ПДн от одного оператора к другому передающая сторона обязана:
Операторы, совместно определяющие цели и методы обработки, должны заключить соответствующее соглашение, регулирующее их права и обязанности в отношении обработки.
Поручение на обработку
При поручении обработки третьему лицу (обработчику) необходимо заключить договор, определяющий:
Как и в GDPR, не допускается привлечение субобработчиков без предварительного согласия оператора. Обработчик обязан действовать строго в рамках поручения на обработку ПДн.
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДН
Особенность: «политический» характер защиты китайских данных как актива, имеющего государственное значение.
Реторсии: PIPL допускает принятие ограничительных мер в отношении зарубежной страны (региона) в ответ на принятие ею дискриминирующих запретов или ограничений в отношении КНР. К зарубежным физическим или юридическим лицам, осуществляющим обработку ПДн в нарушение прав и интересов граждан Китая, либо во вред национальным интересам Китая, могут применяться ограничивающие меры вплоть до полного запрета обработки ПДн.
Запросы зарубежных госорганов. Передача данных зарубежным государственным органам допускается только при получении предварительного одобрения компетентного органа КНР.
Перед передачей ПДн за пределы Китая оператор обязан:
1. Получить отдельное информированное согласие субъекта, которое должно включать:
2. Провести оценку DPIA.
3. Выполнить одно из дополнительных специальных условий:
Стоит отметить, что в настоящее время разрабатывается Руководство по оценке безопасности при трансграничной передаче данных. Проект документа находится на публичном обсуждении.
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЯ
Следуя мировым тенденциям последних лет, PIPL устанавливает весьма ощутимые штрафы за нарушения требований к обработке ПДн. Также PIPL предусматривает как ответственность оператора, так и персональную ответственность лица, виновного в нарушении.
Максимальный размер административного штрафа — 50 млн юаней (около 510 млн рублей, или $7,5 млн) или 5% от оборота за предыдущий год.
ИНЫЕ АКТЫ КИТАЯ В СФЕРЕ ОБРАБОТКИ И ЗАЩИТЫ ПДН
Как было отмечено, PIPL не единственный закон, затрагивающий вопросы обработки ПДн. Для получения более полного понимания регулирования сферы ПДн в Китае рекомендуется ознакомиться со следующими правовыми актами (перечень не является исчерпывающим).
Действующие:
На рассмотрении:
Окончание обзора в следующем номере...
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных