Китай: Для публичного обсуждения опубликован проект национального закона о защите персональных данных, часть 2

(Окончание, начало см. https://rusrim.blogspot.com/2020/11/1.html )

Специальные (чувствительные) персональные данные

Проект закона предусматривает дополнительные ограничения на обработку специальных (высокочувствительных) персональных данных. К этой категории относится информация, которая вследствие утечки или злоупотребления ею может нанести ущерб личной репутации или поставить под серьезную угрозу личную безопасность и безопасность имущества. К специальным данным относятся сведения о расе, национальности, религии, биометрическая информация, сведения о здоровье, о финансовых счетах, о местонахождении человека, а также иная информация. Обработка специальных персональных данных разрешается только в том случае, если обработчик персональных данных ставит конкретную цель обработки, необходимость которой достаточно обоснована, и получает отдельное согласие или письменное согласие от субъектов персональных данных.

Обработчик данных обязан информировать субъекта данных о необходимости проведения обработки специальных персональных данных и о последствия такой обработки для субъекта данных.

Изображение человека, полученное оборудованием, установленным в общественных местах

Изображение человека и персональные данные, собранные с помощью установленного в публичном месте устройства для фиксации изображений и идентификации лиц, могут быть использованы только в целях поддержания общественной безопасности, и не могут быть раскрыты или предоставлены другим сторонам без согласия физического лица, - если только такое раскрытие/передача не разрешены законами или нормативными актами.

Раскрытые персональные данные

Что касается раскрытых персональных данных, их обработка должна соответствовать тем целям, для которых они были раскрыты. В случаях обработки данных, выходящей за разумные рамки заявленной цели обработки, обработчики данных обязаны проинформировать субъектов данных и получить их согласие до начала обработки.

Если в момент раскрытия персональных данных цель их раскрытия была не ясна, обработчики данных обязаны обрабатывать персональные данные, проявляя разумность и осмотрительность. В случае, если обработка раскрытых персональных данных может оказать существенное негативное влияние на субъектов данных, обработчики данных обязаны проинформировать субъектов данных и получить их согласие.

Трансграничная передача персональных данных

Проект закона предусматривает три метода трансграничной передачи персональных данных. Как правило, трансграничная передача персональных данных должна быть одобрена уполномоченными государственными органами, либо обработчик данных должен заключить соглашение о трансграничной передаче с их получателем, находящимся за пределами Китая, и обеспечить соответствие обработки стандарту защиты, предусмотренному в законе Китая о защите персональных данных. Если обработчик данных относится к категории оператора критической информационной инфраструктуры, или если объём обрабатываемых обработчиком данных превышает уровень, установленный Администрацией киберпространства Китая, то трансграничная передача персональных данных должна пройти оценку безопасности, проводимую Администрацией киберпространства Китая.

В случаях трансграничной передачи персональных данных обработчик данных должен сообщить субъектам данных имя/название и контактную информацию зарубежной принимающей стороны, цель обработки данных, способ обработки, тип обрабатываемых персональных данных и способ реализации субъектами данных своих прав, предусмотренных данным законом, - а также получить отдельное согласие от субъектов данных.

Что касается трансграничной передачи персональных данных с целью оказания международной судебной и правоохранительной помощи органов, такая передача должна быть одобрена компетентным органом.

Согласно проекту закона, если юридическое или физическое лицо нарушает интересы китайских граждан в отношении персональных данных, или если какая-либо страна или регион принимают необоснованные меры в отношении Китая в вопросах, связанных с защитой персональных данных, то Администрацией киберпространства Китая вправе принять определенные контрмеры против такой страны или региона.

Локализация

В дополнение к требованию одобрения трансграничной передачи персональных данных, применимому в отношении к операторам критической информационной инфраструктуры и обработчикам данных, которые обрабатывают данные, превышающие установленный объём, - эти обработчики данных обязаны хранить персональные данные в Китае.

Права субъектов данных в отношении обработки данных

Субъекты данных имеют право знать, право принимать решения и право ограничивать либо возражать против обработки их персональных данных иными сторонами. Субъекты данных также имеют право на доступ и копирование своих персональных данных, находящихся в распоряжении обработчиков данных, и право требовать от обработчиков данных исправления или дополнения их персональных данных. При определенных обстоятельствах субъекты данных имеют право потребовать удаления своих персональных данных, право отозвать согласие и право потребовать, чтобы обработчик данных объяснил правила обработки.

Обработчик данных обязан реализовать механизм, позволяющий субъекту данных осуществлять свои права.

Обязанности обработчика данных

В проекте закона отдельная глава посвящена обязанностям обработчиков данных в отношении обработки данных. Обязательства включают установление внутренних административных политик и оперативных процедур, обеспечение конфиденциальности и иерархического администрирования персональных данных, принятие разумных решений относительно разрешений на обработку данных, проведение регулярных тренингов и обучения, создание и выполнение планов действий в чрезвычайных ситуациях, принятие технических мер безопасности и проведение регулярных аудитов деятельности по обработке персональных данных.

Уполномоченное лицо по защите персональных данных

Если объем обрабатываемых персональных данных достигает порога, установленного Администрацией киберпространства Китая, обработчик данных обязан назначить уполномоченное лицо по защите персональных данных, ответственное за обработку персональных данных. Имя и контактная информация такого лица должны быть опубликованы и переданы в соответствующий уполномоченный орган государственной власти.

Предварительная оценка рисков

Обработчик данных обязан заранее провести оценку рисков до начала обработки специальных персональных данных, трансграничной передачи персональных данных, автоматического принятия решений на основе персональных данных, передачи персональных данных на обработку третьей стороне, предоставления персональных данных третьей стороне и раскрытия персональных данных. Отчет об оценке и условиях уничтожения данных должен храниться в течение трех лет.

Утечки данных

В случае утечки данных обработчик данных обязан немедленно принять меры по исправлению положения и уведомить соответствующий уполномоченный орган и субъектов данных. В проекте закона регламентировано, какие сведения должны быть включены в уведомление. Тем не менее, предусмотрено одно исключение из требования об уведомлении субъектов данных. Если принятые обработчиком данных меры позволяют избежать ущерба, который мог быть нанесёт ввиду раскрытия персональных данных, то обработчик данных не обязан уведомлять субъектов данных, если только уполномоченный государственный орган не определит, что раскрытие всё-таки может причинить ущерб.

Гражданско-правовая ответственность

Проект закона расширяет диапазон наказаний помимо тех, что предусмотрены Законом о кибербезопасности. Помимо исправления недостатков, конфискации незаконных доходов, предупреждений, штрафов до 1 миллиона юаней, приостановки деловой деятельности, приостановки деятельности для исправления недостатков и отзыва соответствующих разрешений или лицензий в соответствии с Законом о кибербезопасности, - проект данного закона также предусматривает, что в серьезных случаях на обработчиков данных могут быть наложены штрафы в размере до 50 миллионов юаней или до 5% от выручки за предыдущий год.

Автор: фирма Hunton Andrews Kurth LLP

Мой комментарий: Китайский закон, на первый взгляд, очень похож на наш Закон о персональных данных и на европейский закон GDPR – но, естественно, с определенными национальными особенностями. Связанные с персональными данными проблемы и без того стали постоянным источником головной боли для многих (достаточно вспомнить нескончаемые столкновения между США и Евросоюзом по этому поводу), - а теперь ещё придётся принимать во внимание и особенности нового китайского закона…

Источник: издание «Национальное правовое обозрение» (National Law Review)
https://www.natlawreview.com/article/china-issues-draft-personal-information-protection-law