Начало статьи — в BIS Journal №4 (47) 2022.
ГРАЖДАНСКИЙ КОДЕКС КНР (2021)
中华人民共和国民法典
Глава 6 (ст. 1032–1039) Гражданского кодекса КНР (далее — ГК КНР) посвящена вопросам приватности и защиты персональной информации. Вводится понятие приватность, под которой понимается право физического лица на частную жизнь, на личное пространство, личные занятия и личную информацию, которую такое лицо не хочет раскрывать другим (ст. 1032). Отдельно акцентируется внимание на том, что никто не имеет права вмешиваться в личную жизнь человека, разглашать или публиковать её подробности.
ГК КНР вводит прямой запрет на действия, которые могут нарушить приватность человека ввиду их интрузивности. К числу таких действий относятся:
Такие действия разрешены только при наличии предварительного явного согласия или иных оснований, предусмотренных законом.
В соответствии со ст. 1034 ГК КНР, персональная информация — это информация, записанная электронно или иным образом, которая самостоятельно или в комбинации с иной информацией может использоваться для идентификации физического лица, включая имя, дату рождения, идентификационный номер, биометрическую информацию, адрес проживания, телефонный номер, адрес электронной почты, информацию о здоровье, местоположение и иное.
ГК КНР включает общие принципы обработки ПДн, такие как законность, минимизация данных и др., а также стандартные права субъектов ПДн — право на получение копий обрабатываемых данных, право на изменение и удаление ПДн.
Лицо, обрабатывающее данные, обязано уведомить надзорный орган и субъектов ПДн о нарушении безопасности ПДн.
В отличие от ГК КНР, PIPL не обязывает:
Открытым остаётся вопрос, требуется ли отдельное согласие на передачу ПДн обработчику?
Согласно ст. 25 PIPL оператор данных не может разглашать обрабатываемые ПДн, за исключением случаев получения отдельного согласия на такое раскрытие. Ст. 1038 ГК КНР также запрещает раскрывать ПДн третьим лицам в отсутствие согласия субъекта ПДн.
Исходя из данных требований, представляется, что во всех случаях, прямо не предусмотренных законом, оператор обязан получать согласие субъекта на раскрытие его данных третьей стороне. В связи с тем остаётся открытым вопрос обеспечения правового основания на передачу ПДн в рамках договора поручения обработки ПДн. Так, PIPL прямо предусматривает обязанность получения отдельного согласия субъекта на передачу персональных данных между самостоятельными операторами. Однако законодатель опускает этот момент в положениях, регулирующих передачу данных от оператора обработчику, привлекаемому оператором по договору поручения.
Если исходить из того, что PIPL разрабатывался на базе GDPR, такое согласие не требуется, вместе с тем общие положения как гражданского законодательства, так и PIPL налагают запрет на раскрытие (предоставление/передачу) ПДн третьим лицам в отсутствие согласия субъекта.
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДН
В последнее время с Китаем связаны большие надежды и чаяния отечественного бизнеса. Многие отечественные компании принимают решение о переориентации бизнеса с запада на восток и выходе на китайский рынок. В связи с этим приобретают особую актуальность вопросы, связанные с трансграничной передачей ПДн. Помимо общих требований к трансграничному обмену ПДн, предусмотренных в PIPL и Руководстве по защите персональной информации (信息安全技术:个人信息安全规范), детальные вопросы трансграничной передачи ПДн представлены в Руководстве по сертификации деятельности по трансграничной обработке ПДн (网络安全标准实践指南 — 个人信息跨境处理活动安全认证规范) (далее — Руководство) и Мерах по оценке безопасности трансграничной передачи ПДн (数据出境安全评估办法) (далее — Меры по оценке безопасности). Данные документы регулируют вопросы проведения оценки безопасности трансграничной передачи ПДн, требования к договору между экспортёром и зарубежным импортёром данных, требования к назначению лица, ответственного за обработку ПДн (DPO), права субъектов ПДн в части трансграничной передачи, порядок подачи заявки в надзорный орган на прохождение государственной оценки безопасности трансграничной передачи ПДн и др. Например, при подаче заявки на прохождение государственной оценки безопасности трансграничной передачи оператор данных обязан представить в уполномоченный орган следующий пакет документов:
При этом государственная оценка безопасности трансграничной передачи требуется не всегда, а только в случаях, перечень которых содержится в Мерах по оценке безопасности:
В случае если государственная оценка безопасности трансграничной передачи ПДн не требуется, следует выполнить одно из стандартных условий, предусмотренных ст. 38 PIPL (приведены в первой части статьи).
Практические рекомендации по построению системы обработки ПДн в соответствии с китайским законодательством
Учитывая повышенный интерес бизнеса к китайскому рынку, а также экстерриториальный характер действия PIPL, видится полезным предложить читателю практические рекомендации по приведению компании в соответствие с требованиями законодательства КНР о ПДн.
1. Назначить лицо, ответственное за осуществление контроля за обработкой и защитой ПДн (далее — DPO) (Основание: Ст. 52 PIPL);
2. Довести контактные данные DPO до надзорного органа Китая, а также опубликовать контактные данные DPO в публичном домене (Основание: Ст. 52 PIPL);
3. Назначить лицо, ответственное за обеспечение кибербезопасности (далее — CISO) (Основание: Ст. 21 Закона о Кибербезопасности);
4. Разработать и внедрить внутренние нормативные документы компании, включая:
Политику обработки ПДн;
(Основание: Ст. 14–17, 51, 55–57 PIPL, Ст. 21 Закона о Кибербезопасности, Ст. 25 Закона о Кибербезопасности [См. также Emergency Response Law of the People’s Republic of China, Production Safety Law of the People’s Republic of China]);
5. Уведомить субъектов ПДн об обработке ПДн до её начала (Основание: Ст. 17 PIPL);
6. Провести анализ и учёт процессов обработки ПДн:
(Основание: Ст. 6, 10, 13, 17, 19 PIPL);
7. Организовать процесс удаления/уничтожения ПДн, обеспечить наличие артефактов, подтверждающих удаление/уничтожение ПДн (Основание: Ст. 47 PIPL);
8. Провести оценку DPIA в случаях, предусмотренных законом, а также обеспечить фиксацию результатов проведённой оценки (Основание: Ст. 55, 56 PIPL; Руководство по оценке воздействия на защиту персональной информации, GB/T 39335-2020);
9. Обеспечить локализацию баз данных на территории КНР в случаях, предусмотренных законом:
(Основание: Ст. 40 PIPL);
10. Заключить договоры с третьими лицами, с которыми планируется обмен данными (по форме Оператор — Оператор, Оператор — Обработчик). Обеспечить наличие правового основания на передачу ПДн третьим лицам (Основание: Ст. 20, 21, 22, 23, 55, 59 PIPL);
11. Обеспечить законность трансграничной передачи ПДн:
– пройти государственную оценку безопасности (в Cyber Security Administration);
– пройти оценку со стороны специализированного органа КНР;
– заключить с контрагентом SCC установленного образца;
(Основание: Ст. 38–40 PIPL);
12. Внедрить технические и организационные меры защиты ПДн, направленные на предотвращение несанкционированного доступа, утечек, искажения и утраты ПДн:
– построение системы сетевой защиты;
– внедрение технических мер защиты от компьютерных вирусов, кибератак и др.;
– внедрение системы мониторинга и фиксации инцидентов безопасности;
– внедрение мер классификации данных,
– внедрение мер резервного копирования, шифрования, обезличивания и др.
(Основание: Ст. 9, 51 PIPL; Ст. 21 Закона о Кибербезопасности);
13. Разработать и внедрить план реагирования на инциденты безопасности, включая порядок уведомления надзорного органа об инцидентах безопасности (Ст. 9, 51, 57 PIPL);
14. Обеспечить проведение систематического аудита деятельности по обработке ПДн (Ст. 54 PIPL);
15. Организовать для сотрудников регулярное обучение в области безопасности ПДн (Ст. 51 PIPL);
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных