Китай ужесточает требования к обработке персональных данных

Новый закон вводит целый ряд дополнительных требований в части защиты и обеспечения безопасности и конфиденциальности данных ко всем международным компаниям, ведущим бизнес в Китае


08:37 08.09.2021   |   3778 |  Синтия Брамфилд |  CSO Magazine, США

Рубрика Индустрия



Закон о защите персональной информации заставит глобальные компании, ведущие бизнес в Китае, быть более осторожными при передаче информации такого рода через границу.

В рамках растущего внимания к технологическому сектору в Китае принят новый всеобъемлющий закон о защите персональной информации (Personal Information Protection Law, PIPL), вступающий в силу 1 ноября 2021 года. В сочетании с недавно принятым в Китае и все еще недостаточно изученным Законом о защите данных, который действует с 1 сентября 2021 года, новые положения вводят целый ряд требований в части защиты и обеспечения безопасности и конфиденциальности данных ко всем международным компаниям, ведущим бизнес в Китае.

Эти важные законы вписываются в широкую «политику информатизации» Китая, которую председатель КНР Си Цзиньпин назвал современным эквивалентом индустриализации. Впрочем, закон о защите данных в большей степени соответствует роли закона о кибербезопасности, нежели PIPL. А председатель Си, стремящийся в сделать из Китая сверхдержаву в киберпространстве, как-то сказал, что «кибербезопасность и информатизация – два крыла одного тела и два колеса одного двигателя».

Национальная безопасность и интересы общества

Смоделированный частично на основе европейского регламента General Data Protection Regulation (GPDR), закон PIPL определяет правовой режим для всех данных с точки зрения как перспектив национальной безопасности, так и общественных интересов. Он направлен на достижение четырех основных целей, к которым относятся:

  • Защита прав и интересов физических лиц.
  • Регулирование деятельности по обработке персональных данных.
  • Обеспечение «законного и упорядоченного прохождения» данных.
  • Содействие разумному использованию персональной информации.

Акцент на обеспечение национальной безопасности отходит от западных регламентов конфиденциальности GDPR и CCPA (California's Consumer Privacy Act). PIPL отличается от них тем, что содержит положения о цифровом суверенитете Китая. Эти положения призваны ограничить возможности зарубежных организаций в части нарушения прав граждан Китая и нивелировать угрозы национальной безопасности страны.

Требования к организациям, обрабатывающим данные граждан Китая

В документе PIPL говорится, что «обработчики персональной информации» (то есть любая организация, обрабатывающая персональные данные граждан Китая) могут осуществлять соответствующую деятельность лишь при условии выполнения ряда условий.

  1. Обработчик получает личное согласие физического лица.
  2. Информация необходима для заключения и исполнения договора, участником которого является физическое лицо, или для управления человеческими ресурсами в соответствии с трудовыми нормами и правилами, а также с коллективным договором, подписанным в соответствии с законом.
  3. Информация нужна для выполнения установленных законом обязанностей или обязательств.
  4. Информация используется при реагировании на чрезвычайные ситуации в области общественного здравоохранения или для защиты жизни, здоровья и имущества физических лиц в чрезвычайных обстоятельствах.
  5. Информация необходима для публикации новостей, отслеживания общественного мнения и выполнения других действий в интересах общества, а также для обработки личной информации в разумных границах.
  6. Обработка персональных данных, раскрытых физическими лицами, или другой законно полученной личной информации осуществляется в разумных пределах и в соответствии с положениями настоящего закона.
  7. Информация может обрабатываться при других обстоятельствах, оговоренных в законах и административных регламентах.

В законе подчеркивается, что пользователи должны быть полностью информированы и дать согласие на обработку своих данных. Физические лица имеют право отозвать свое согласие в любой момент. Обработчикам информации запрещается ограничивать в выборе товаров или услуг тех лиц, которые отказались выдать разрешение на обработку или использование своих персональных данных.

Как будет осуществляться контроль за соблюдением PIPL, пока неясно

Что предстоит сделать организациям, ведущим бизнес в Китае, для соблюдения сложных положений PIPL, пока неясно. Предстоит принять еще множество нормативных процедур, регламентирующих порядок выполнения требований закона. «Речь идет о новом и довольно сложном законе, который международные компании, ведущие бизнес в Китае, еще только пытаются осмыслить», – указала партнер компании Gibson Dunn и сопредседатель International Trade Practice Group Джудит Элисон Ли.

«Хотя PIPL должен вступить в действие уже в ноябре, разъяснения к нему появятся позже, когда профильные китайские министерства разработают соответствующие подзаконные акты, – добавил Роджер Кримерс, научный сотрудник Лейденского университета, специализирующийся на вопросах права, управления и цифровой экономики Китая. – Многие китайские законы, в том числе и закон о защите персональной информации, являются, по сути, рамочными законами. К примеру, в новом законе сказано об обязательной проверке безопасности при экспорте персональных данных. Но соответствующие правила уполномочена устанавливать Администрация киберпространства Китая, регулирующая этот сектор. Так что, пока не появятся конкретные правила, мы не знаем, что произойдет».

Приоритеты – трансграничный обмен информацией и избежание санкций

Тем не менее, организации, имеющие дело с любыми формами персональных данных в Китае, могут начать уделять повышенное внимание основным положениям закона еще до появления регулирующих норм. «Очевидно, что наиболее важные положения касаются передачи информации через границу, – подчеркнул Кримерс. – Это будет иметь решающее значение».

«Моя практика связана с санкциями американского Управления министерства финансов по контролю за иностранными активами (Office of Foreign Assets Control, OFAC), – указала Ли. – Один из вопросов заключается в том, будет ли новый закон препятствовать усилиям компаний по соблюдению ими санкций OFAC. Обычно сюда относится проверка персональной информации клиентов, поставщиков, сотрудников и бизнес-партнеров на присутствие их в запрещенных списках. Иногда эти проверки выполняются за пределами Китая. Если компании нарушат санкции OFAC, им могут грозить большие денежные штрафы, поэтому американские компании боятся попасть под перекрестный огонь противоречащих друг другу законов США и Китая».

Какую бы форму ни принял окончательный закон, очевидно, что для выполнения некоторых его положений многим международным организациям придется набирать дополнительный персонал. Закон, к примеру, требует, чтобы организации, обрабатывающие персональные данные китайских граждан за пределами Китая, создали специальный орган или назначили представителя в Китае, который будет отвечать за соответствующую обработку.


Теги: Информационная безопасность Персональные данные показывать на главной Самое интересное Китай
На ту же тему: