В августе 2021 года Постоянный комитет Всекитайского собрания народных представителей принял первый в Китае всеобъемлющий закон о конфиденциальности данных - Закон о защите персональной информации (PIPL), который вступил в силу 1 ноября 2021 года.
Схожий по размеру и масштабу с Общим регламентом ЕС по защите данных (GDPR), PIPL вводит серьезные ограничения на сбор, использование и управление персональными данными.
Наряду с Законом Китая о безопасности данных, PIPL сформирует основу, которая предоставит правительству Китая широкие возможности для правоприменения и создаст строгие условия для соблюдения требований для крупных технологических компаний страны и международных компаний, работающих в Китае, на годы вперед.
В этой статье мы расскажем о том, что нам известно о PIPL, его требованиях к обработке данных и согласию, а также о том, как он соотносится с GDPR с точки зрения интернет-маркетинга.
Каковы цели PIPL в Китае?
Заявленные цели Закона о конфиденциальности PIPL в Китае - "защита прав и интересов физических лиц" и содействие "разумному использованию" личной информации посредством регулирования деятельности по обработке личной информации.
Четыре официальные заявленные цели закона следующие:
1. Защита прав и интересов физических лиц.
2. Регулировать деятельность по обработке личной информации.
3. Обеспечение законного и "упорядоченного потока" данных.
4. Способствовать разумному использованию личной информации.
На кого распространяется действие PIPL?
Правила, изложенные в PIPL, распространяются на любую организацию, которая обрабатывает личную информацию граждан Китая с целью предоставления им продуктов или услуг, анализа или оценки их поведения или для "других целей, которые будут определены законами и правилами".
Закон распространяется не только на китайские компании, но и на иностранные фирмы, обрабатывающие такие данные, даже если обработка происходит за пределами Китая.
Для того чтобы обрабатывать данные китайских граждан, иностранные "субъекты обработки персональной информации" должны следовать определенным руководящим принципам и требованиям, изложенным ниже.
Закон о конфиденциальности PIPL в Китае не будет препятствовать доступу правительства Китая к персональным данным или их обработке.
Хотя PIPL во многом повторяет роли обработчика и контролера данных, установленные GDPR, номенклатура была изменена.
Согласно Закону о конфиденциальности PIPL в Китае, то, что обычно называется контролером данных, является обработчиком, а то, что мы обычно называем обработчиком, является доверенным лицом. Для ясности я буду использовать оригинальные термины GDPR во всей этой статье.
Что считается законным основанием для обработки данных в соответствии с PIPL?
Как и GDPR до него, согласно китайскому закону PIPL, любая организация, обрабатывающая личную информацию, должна иметь законное основание для этого.
В статье 6 закон предусматривает, что любая обработка личной информации "имеет четкую и разумную цель" и должна быть "ограничена наименьшим объемом для реализации цели обработки".
Помимо согласия, которое мы более подробно рассмотрим в следующем разделе, законным основанием для обработки в соответствии с PIPL считается следующее:
1. Обработка, необходимая для заключения или исполнения договора, стороной которого является физическое лицо.
2. Обработка, необходимая для управления человеческими ресурсами в соответствии с правилами трудового распорядка и коллективными договорами, заключенными в соответствии с законодательством.
3. Обработка, необходимая для реагирования на чрезвычайные ситуации в области общественного здравоохранения или для защиты безопасности здоровья и имущества физического лица в чрезвычайной ситуации.
4. Обработка в целях подготовки новостей и мониторинга СМИ в интересах общества, в разумных пределах.
5. Другие обстоятельства, предусмотренные законом.
Какие требования к согласию существуют в соответствии с PIPL?
Требования к согласию в соответствии с PIPL во многом повторяют требования, установленные GDPR. Согласие пользователя считается действительным только в том случае, если оно дано сознательно и явно, с полной информацией об объеме обработки личной информации.
Пользователи также имеют право отозвать свое согласие в любое время, и для этого должна быть предусмотрена легкая возможность сделать это.
Закон о конфиденциальности PIPL в Китае также предусматривает, что согласие должно быть получено при обработке такой личной информации, как медицинская информация или информация о состоянии здоровья, биометрические данные или финансовые записи.
Для практических целей это означает, что баннеры согласия и опт-ауты, установленные для соответствия GDPR, скорее всего, пройдут проверку PIPL. Наконец, согласие также потребуется для проведения маркетинга среди физических лиц посредством обработки личной информации.
PIPL предусматривает, что предприятия должны предлагать потребителям варианты, которые не направлены на обработку персональных данных, или предлагать способ отказаться от обработки этих данных.
Любое приложение, которое незаконно обрабатывает персональные данные без согласия, подлежит приостановке или прекращению.
Какие требования и ограничения существуют для обработки данных?
Для организаций, доказавших наличие правовой основы для обработки персональных данных, PIPL устанавливает ряд требований и ограничений.
Они диктуют правила обработки, включая специальные правила для международных организаций, работающих на территории Китая или предназначенных для обработки данных китайских граждан.
Закон о конфиденциальности PIPL в Китае предусматривает следующее:
1. Организации, расположенные в материковом Китае или Гонконге, должны создать специализированное агентство или назначить представителя для соблюдения требований к данным.
2. Трансграничная передача данных должна быть представлена на утверждение Администрации киберпространства Китая.
3. Иностранные компании, работающие в Китае, должны назначить местного представителя, который будет нести ответственность за соблюдение PIPL.
4. Между контролерами и обработчиками данных должны заключаться договоры на обработку данных.
5. "Крупные обработчики данных" должны локализовать данные в пределах материкового Китая. CAC определит, что является крупным обработчиком данных.
6. Организации должны проводить оценку рисков перед обработкой конфиденциальных данных, передачей данных за границу или использованием конфиденциальных данных для автоматизированного принятия решений.
7. Онлайн-платформы должны назначать комитеты по проверке конфиденциальности и публиковать отчеты о социальной ответственности.
Существует ли частное право на иск в соответствии с PIPL?
В соответствии с PIPL не существует частного права на иск. Однако нарушители закона обязаны компенсировать ущерб, включая установленные законом убытки, причиненные их нарушениями.
Какие штрафы предусмотрены за несоблюдение PIPL? Как будет обеспечиваться соблюдение закона?
Нарушение закона влечет за собой штрафы в размере от 7,7 млн. долларов США до 5% от дохода компании за предыдущий год.
Закон будет применяться Администрацией киберпространства Китая (CAC), национальным регулятором киберпространства и защиты данных.
Как PIPL соотносится с GDPR?
Хотя многие формулировки в Законе о конфиденциальности PIPL в Китае черпают вдохновение из GDPR, другие ключевые принципы отличают его от предшественника.
Значительное внимание уделяется трансграничной передаче данных и широким правительственным правам - не будет несправедливо охарактеризовать этот закон как законодательство о национальной безопасности, по крайней мере, в отношении международных организаций.
Например, PIPL подтверждает намерение Китая защищать то, что он называет цифровым суверенитетом. По сути, это означает, что все, что, по мнению правительства, нарушает права граждан, ставит под угрозу национальную безопасность или противоречит общественным интересам, будет подвергаться ограничениям.
Эти ограничения могут запретить некоторым компаниям вести там бизнес.
Компаниям, которым необходимо передавать данные на международном уровне, потребуются одобренные государством контракты, практика обработки данных должна быть сертифицирована уполномоченным государством органом, а также может потребоваться пройти проверку безопасности китайскими регуляторами.
И, как отмечалось выше, организации, которые Китай считает "операторами критической информационной инфраструктуры" или обрабатывают большие объемы пользовательских данных, должны будут хранить данные на территории Китая.
Одним из интересных отличий от GDPR является запрет PIPL на алгоритмическую ценовую дискриминацию. Согласно закону, если личная информация используется для автоматизированного принятия решений, этот процесс должен быть прозрачным, а для отдельных лиц не могут быть установлены разные условия сделки.
Это означает, что платформы не могут показывать пользователям разные цены, основываясь на предположениях алгоритма о ситуации пользователя, его способности или готовности платить.
Как оценить соответствие требованиям PIPL?
Одной из проблем, связанных с соблюдением PIPL, является отсутствие конкретики во многих положениях закона, а также его быстрое внедрение. Если GDPR давал организациям два года на подготовку к внедрению, то PIPL вступил в силу менее чем через три месяца после принятия закона.
Тем не менее, если вы собираете или обрабатываете личную информацию физических лиц в Китае, вам необходимо соблюдать требования закона.
Ниже приведены семь ключевых областей, которые компаниям необходимо рассмотреть в рамках усилий по соблюдению PIPL:
• Определите четкое законное основание для обработки данных;
• Проанализировать и внедрить требования о согласии;
• Управлять трансграничными потоками данных;
• Провести формальную оценку воздействия защиты данных;
• Создать систему управления запросами субъектов данных;
• Назначить сотрудника по защите данных и представителя в Китае;
• Проанализируйте положения о защите данных.
Определите четкое законное основание для обработки данных
Одна из первых вещей, которые необходимо сделать организациям для обеспечения соответствия требованиям PIPL, - это пересмотреть свои стандарты обработки данных.
Согласно Закону о конфиденциальности PIPL в Китае, компании должны иметь законное основание для сбора, хранения или обработки любых данных, относящихся к гражданам Китая.
Согласно PIPL, личная информация должна быть ограничена наименьшим объемом для выполнения этой цели.
У вас должна быть четкая и разумная цель для сбора или использования данных.
В настоящее время к таким целям относится обработка данных, необходимая для того чтобы:
• Заключить или выполнить контракт;
• Осуществлять управление кадрами/персоналом в соответствии с трудовой политикой или коллективным договором;
• Выполнять юридические обязанности;
• Реагировать на инциденты в области общественного здравоохранения или защищать права и интересы граждан Китая;
• Сообщать о новостях или осуществлять надзор за средствами массовой информации для защиты общественных интересов.
В то время как GDPR использует "законный интерес" в качестве законного использования, например, коммерческие интересы или маркетинг, PIPL не имеет такого положения.
Предприятиям, которые используют данные для целей, не входящих в перечисленные здесь, необходимо тщательно проанализировать свою политику обработки данных и проконсультироваться с юристом.
Пересмотрите и внедрите требования о согласии
В большинстве случаев Закон о конфиденциальности PIPL в Китае требует, чтобы организации получали согласие на сбор и обработку данных.
Компаниям следует пересмотреть свою политику сбора и использования данных, чтобы убедиться, что согласие получено там, где это необходимо.
Это включает согласие на использование данных, например:
• Обмен с другими обработчиками данных;
• Предоставление персональных данных получателям за пределами Китая;
• Обнародование персональных данных;
• Обработка конфиденциальных данных;
• Данные несовершеннолетних в возрасте до 14 лет.
Статьи 14 и 15 PIPL разъясняют, что согласие является действительным только в том случае, если физические лица добровольно и явно дают такое согласие с полным пониманием того, как данные будут обрабатываться для каждого вида использования.
Баннеры о согласии должны быть очевидными. Потребители также должны иметь простой и удобный способ отозвать согласие.
Управление трансграничными потоками данных
В PIPL существуют значительные ограничения в отношении данных, которые пересекают границы. Например, организации, отнесенные к операторам критической информационной инфраструктуры (CII), должны пройти обязательную оценку безопасности, проводимую Администрацией киберпространства Китая (CAC).
Для компаний, не входящих в состав КИИ, передача данных за пределы китайских границ требует, чтобы организации прошли добровольную оценку безопасности, были сертифицированы агентствами, назначенными ККИ, или заключили соглашение с ККИ.
После того, как данные покидают пределы Китая, те же меры защиты продолжают применяться, включая данные, используемые сторонними процессорами.
Провести формальную оценку воздействия на защиту данных
Организации, обрабатывающие данные китайских граждан, обязаны проводить оценку воздействия на защиту данных (DPIA) и вести учет деятельности по обработке данных.
Это служит положительным подтверждением того, что организации соблюдают требования PIPL и применяют адекватные меры защиты для обеспечения безопасности данных, находящихся в их распоряжении.
Создайте систему управления запросами субъектов данных
Согласно Закону о конфиденциальности PIPL в Китае, потребители имеют право запрашивать доступ и копии коллекций данных, а также исправления или удаления данных, отзыва согласия в любое время или переноса данных.
Аналогично положениям GDPR, организации должны внедрить внутренние процессы и политики для оперативного реагирования на запросы.
Назначение сотрудника по защите данных и представителя в Китае
Чтобы соответствовать требованиям PIPL, вам также может потребоваться назначить сотрудника по защите данных (DPO), если вы превысите определенный порог, установленный CAC. Однако в Законе о конфиденциальности PIPL в Китае PIPL не указано, каков этот порог.
Вы также должны учредить местного представителя в Китае для решения вопросов, связанных с обработкой личной информации.
На крупные платформы налагаются дополнительные обязательства, которые включают создание независимого надзорного органа с внешними членами для того чтобы:
• Помогать в создании и управлении правилами по защите персональных данных;
• Отклонять поставщиков продуктов или услуг, нарушающих PIPL;
• Публиковать периодические отчеты о политике защиты персональных данных.
Организациям стоит проанализировать положения о "привратнике" в PIPL со своим юристом.
Я уже соответствую требованиям GDPR, делает ли это меня соответствующим требованиям PIPL?
Во многих отношениях соблюдение GDPR поможет выполнить многие требования PIPL.
Однако существуют ключевые различия, которые выходят за рамки положений GDPR, в том числе:
Иное определение законной основы. Некоторые виды использования в соответствии с GDPR могут быть неприемлемы в соответствии с PIPL.
1. Классификация финансовых данных как конфиденциальной информации, в то время как GDPR этого не делает.
2. Дополнительные требования к локализации данных и различные правила трансграничной передачи данных.
3. Предоставление прав на персональные данные после смерти.
4. Требование наличия представителей в Китае.
5. Требование немедленного уведомления о любых нарушениях данных, а не в течение 72 часов, как это предусмотрено GDPR.
Одним словом, обеспечение соответствия GDPR позволит достичь многих целей PIPL, но не всех.
Автор: pimka21
Еще советуем:
