Мой комментарий: О работе над проектом закона я уже рассказывала на блоге в постах: https://rusrim.blogspot.com/2020/11/1.html и https://rusrim.blogspot.com/2021/05/blog-post_148.html
20 августа 2021 года Постоянный комитет Всекитайского собрания народных представителей 13-го созыва принял Закон о защите персональных данных (中华人民共和国个人信息保护法его текст см. http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml , в статье используется англоязычная аббревиатура PIPL от Personal Information Protection Law – Н.Х.).
Как мы уже отмечали (см. https://www.natlawreview.com/article/china-issues-draft-personal-information-protection-law , перевод на русский язык здесь: https://rusrim.blogspot.com/2020/11/1.html - Н.Х.), закон PIPL - это первый всеобъемлющий закон Китая о защите персональных данных. Он частично разработан на основе комплексных режимов защиты данных в других юрисдикциях, включая закон Евросоюза о защите персональных данных («Общие правила защиты персональных данных» - General Data Protection Regulation, GDPR). Закон PIPL вступит в силу 1 ноября 2021 года. Ниже приведены некоторые из его ключевых положений.
Применение закона PIPL
Закон будет регулировать действия по обработке персональных данных, выполняемые юридическими или физическими лицами внутри Китае. Кроме того, - так же, как и GDPR - закон PIPL будет применяться к деятельности организаций по обработке персональных данных, осуществляемой за пределами Китая, и, следовательно, к незарегистрированным в Китае организациям, если те обрабатывает персональные данные о физических лицах, находящихся в Китае, в контексте (1) предложения товаров или услуг для людей, проживающих в Китае, или (2) анализа и оценки поведения людей в Китае.
Концепция обработки персональных данных
Закон устанавливает всестороннюю концепцию, регламентирующую обработку персональных данных. Как и GDPR, китайский закон требует, чтобы компании соблюдали определенные принципы защиты персональных данных, включая минимизацию данных и ограничение целей их обработки. Закон также требует, чтобы подпадающие под него лица и организации уведомляли субъектов персональных данных, в соответствии с установленным законом требованиям к содержанию таких уведомлений.
Кроме того, как и GDPR, закон PIPL требует наличия правовой основы для обработки персональных данных; однако обеспечиваемая им правовая основа уже, чем та, которую предусматривает GDPR. Согласно китайскому закону, «уведомление и согласие» является основной правовой основой для законной обработки персональных данных (ПДн). В этой связи, индивидуальное согласие на обработку, вероятно, станет основной правовой основой, на которую будут полагаться компании. Существуют исключения из требований об уведомлении и получении согласия, в зависимости от сложности и обстоятельств обработки персональных данных. Например, операторы ПДн могут обрабатывать персональные данные без предварительного получения согласия, если это необходимо для заключения или исполнения контракта. Кроме того, операторы ПДн могут обрабатывать персональные данные без предварительного получения согласия, если это необходимо для целей управления кадрами.
Примечательно, что независимо от имеющейся правовой основы для обработки ПДн, отдельное согласие требуется в следующих случаях:
- раскрытие персональных данных третьим лицам;
- обработка «чувствительных» персональных данных; а также
- передача персональных данных за пределы Китая.
Закон PIPL также устанавливает правила, регулирующие определенные виды деятельности по обработке (такие, например, как совместная обработка; обработка ПДн третьими сторонами – например, поставщиками; совместное использование данных; публикация персональных данных и автоматизированное принятие решений), - равно как и правила, применимые к различным типам данных, таких как «чувствительные» персональные данные. Кроме того, китайский закон запрещает ценовую дискриминацию в отношении существующих клиентов, опирающуюся на обработку их персональных данных.
Оценка защищённости и передача персональных данных за пределы Китая
Согласно закону PIPL операторы критически-важной информационной инфраструктуры (critical information infrastructure, CII), а также стороны, обрабатывающие персональные данные в объёмах, превышающих объём, определяемый Администрацией киберпространства Китая (Cyberspace Administration of China, CAC), должны (1) хранить на территории Китая персональные данные, которую они собирают и производят в Китае; и (2) пройти государственную оценку безопасности в той степени, в которой они стремятся передавать персональные данные за пределы Китая. Как отмечалось выше, все стороны, включая операторов критически-важной информационной инфраструктуры, также должны получить от физических лиц специальное согласие перед передачей их персональных данных за пределы Китая.
Права субъектов данных и обязанности обработчика данных
Как мы писали ранее, рассказывая о проекте данного закона, закон PIPL предоставляет субъектам ПДн ряд прав, включая права доступа, исправления и удаления персональных данных. Большинство обязанностей обработчиков ПДн в окончательной версии закона совпадают с теми, что были предусмотрены второй редакцией его проекта.
Государственные органы, ответственные за защиту персональных данных
Различные органы власти, включая Администрацию киберпространства Китая (国家互联网信息办公室), соответствующие департаменты Государственного совета и органы местного самоуправления уровня выше уезда, в соответствии с законом будут иметь обязанности по надзору, планированию, координации и администрированию. Штрафы за серьезные нарушения закона PIPL могут достигать сумм, ненамного меньших 50 миллионов юаней или 5% годовой выручки компании за предыдущий год.
Автор: фирма Hunton Andrews Kurth LLP
Источник: издание «Национальное правовое обозрение» (National Law Review)
https://www.natlawreview.com/article/china-passes-personal-information-protection-law
Комментариев нет:
Отправить комментарий