понедельник, 9 ноября 2020 г.

Китай: Для публичного обсуждения опубликован проект национального закона о защите персональных данных, часть 1

Данная статья, подготовленная специалистами юридической фирмы Hunton Andrews Kurth LLP, была опубликована 27 октября 2020 года в издании «Национальное правовое обозрение» (National Law Review, том X, номер 301).

21 октября 2020 года в Китайской народной республике (КНР) для общественного обсуждения был опубликован проект Закона о защите персональных данных (中华人民共和国个人信息保护法(草案), см. https://www.dataguidance.com/sites/default/files/china_draft_personal_data_law.pdf  , в статье используется англоязычная аббревиатура PIPL от Personal Information Protection Law – Н.Х.). Это событие предвещает введение в Китае всесторонней системы защиты персональных данных.

Закон Китая о кибербезопасности (中华人民共和国网络安全法, см. http://www.csrc.gov.cn/pub/newsite/flb/flfg/flxzsf/201805/t20180518_338285.html - Н.Х.), проект Закона о безопасности данных (中华人民共和国数据安全法(草案), см. https://npcobserver.files.wordpress.com/2020/07/data-security-law-draft.pdf - Н.Х.) и проект Закона о защите персональных данных образуют триаду основных законов о кибербезопасности и защите данных. Проект Закона о персональных данных содержит положения, касающиеся проблемных вопросов, связанных с новыми технологиями и приложениями, - при этом некоторые вопросы оставлены открытыми, и они получат свой отражение либо в будущем законодательстве, либо в необязательных руководствах.

Проект закона состоит из восьми глав и 70 статей, охватывающих такие темы, как:

  • Обработка персональных данных,

  • Трансграничная передача персональных данных,

  • Права субъектов данных в отношении обработки их персональных данных,

  • Обязанности обработчиков данных,

  • Уполномоченный орган по вопросам защиты персональных данных, и

  • Гражданско-правовая ответственность.

Под персональными данными понимаются различные типы информации, записанной в электронных или иных форматах, и относящейся к идентифицированным и идентифицируемым физическим лицам. Определение охватывает как информацию, которая может использоваться для идентификации субъектов данных, так и информацию, относящуюся к субъектам данных.

Ниже кратко излагаются некоторые ключевые положения проекта закона.

Государственные органы, ответственные за защиту персональных данных

В число органов, ответственных за защиту персональных данных, входят Администрация киберпространства Китая (国家互联网信息办公室), соответствующий департамент Государственного Совета и соответствующий департаменты местных и региональных органов власти, начиная с уровня округа и выше.

Область применения

Закон будет применяться за пределами Китая в той мере, в какой это необходимо для защиты интересов субъектов данных в Китае. В случаях, когда целью обработки персональных данных за пределами Китая является предоставление продуктов или оказание услуг лицам на территории Китае, или же анализ и оценка поведения людей, находящихся в Китае, - такая деятельность по обработке данных будут регламентироваться данным законом.

Кроме того, обработчики данных, находящиеся за пределами Китая, но подпадающие под действие данного закона, должны создавать структуры или назначать уполномоченных лиц, ответственных за защиту персональных данных. Сведения о такой структуре или имя и контактная информация уполномоченного лица должны быть сообщены в соответствующий уполномоченный государственный орган Китая.

Закон не будет применяться в отношении физического лица, обрабатывающему собственные персональные данные или персональные данные членов семьи.

Семь принципов обработки данных

Проект закона о персональных данных предусматривает семь принципов защиты персональных данных, среди которых законность, явно установленная цель обработки, обработка минимально необходимых данных, прозрачность, точность, подотчетность и безопасность данных. Это первый случай, когда точность упоминается в контексте обработки персональных данных.

Согласие на обработку и исключения из требования о получении согласия

Согласно проекту закона, обработка персональных данных не ограничивается только теми случаями, когда получено согласие (как это предусмотрено Законом о кибербезопасности). В соответствии с Законом о защите персональных данных, обработчик данных может обрабатывать персональные данные на основании:

  • Согласия субъекта персональных данных;

  • В связи с необходимостью заключения или исполнения контракта;

  • В связи с необходимость исполнения требования законодательства или установленной законодательством обязанности;

  • При реагировании на чрезвычайную ситуацию в сфере общественного здравоохранения или в случае необходимости обеспечить безопасность жизни и имущества человека; либо

  • При публикации новостей; и при надзоре, в разумных пределах и в интересах общества, со стороны общественного мнения.

Обработчик данных не должен отказывать в предоставлении продуктов или услуг на том основании, что физическое лицо не дает согласия на обработку своих персональных данных или отзывает своё согласие, - за исключением случаев, когда обработка персональных данных абсолютно необходима для предоставления продуктов или услуг.

Совместная обработка данных и обработка данных по доверенности

Если несколько обработчиков данных обрабатывают персональные данные совместно, то все они несут солидарную ответственность в случаях нарушения личных интересов.

Если обработчик данных поручает обработку персональных данных третьей стороне, то эти стороны обязаны заключить соглашение, в котором устанавливается цель обработки персональных данных, способ обработки, типы обрабатываемых персональных данных, меры защиты, а также права и обязанности обеих сторон. В подобных случаях обработчик данных должен контролировать деятельность по обработке персональных данных. В проекте закона конкретные методы надзора не указаны. После завершения исполнения договора или прекращения обработки по доверенности, персональные данные подлежат возврату или удалению.

Предоставление персональных данных третьей стороне

При предоставлении персональных данных третьей стороне, обработчик данных обязан сообщить субъекту данных название и контактную информацию третьей стороны, цель обработки данных, способ обработки и тип охватываемых обработкой персональных данных, а также получить отдельные согласие субъекта персональных данных.

Автоматическое принятие решений

Что касается автоматического принятия решений, обработчики данных обязаны обеспечивать прозрачность принятия решений и справедливость результата. В случае, если субъекты персональных данных считают, что автоматическое принятие решений оказывает существенное негативное влияние на их интересы, они имеют право запросить у обработчика данных объяснения, и субъект персональных данных может отказать обработчику данных в праве принимать решения в его отношении исключительно с использованием автоматических средств. Если обработчик данных применяет автоматическое принятие решений в целях проведения маркетинговых и рассылки пуш-сообщений, то субъект персональных данных вправе запретить обработчику данных обработку такого рода, нацеленные на личные характеристики человека.

(Окончание следует, см. https://rusrim.blogspot.com/2020/11/2.html )

Автор: фирма Hunton Andrews Kurth LLP

Источник: издание «Национальное правовое обозрение» (National Law Review)
https://www.natlawreview.com/article/china-issues-draft-personal-information-protection-law

Комментариев нет:

Отправить комментарий