चीन का व्यक्तिगत जानकारी संरक्षण कानून क्या है? निर्माण की पृष्ठभूमि से जापानी कंपनियों द्वारा उठाए जाने वाले कदमों की व्याख्या

चीन में व्यापार विस्तार की योजना बना रहे या पहले से ही व्यापार विस्तार कर रहे कंपनियों के कानूनी विभाग के अधिकारियों को अक्सर चीन के व्यक्तिगत जानकारी संरक्षण को लेकर चिंता हो सकती है।

इस लेख में, हम चीन में व्यापार विस्तार करते समय जानने योग्य कानूनी नियमों को व्यापक रूप से प्रस्तुत करेंगे। साथ ही, हम उन तरीकों और बिंदुओं को भी स्पष्ट रूप से समझाएंगे जिनका जापानी कंपनियों को पालन करना चाहिए। कृपया इसे संदर्भ के रूप में लेते हुए, चीन के व्यक्तिगत जानकारी संरक्षण कानून को समझें और उपाय शुरू करें।

चीन के व्यक्तिगत जानकारी संरक्षण कानून का निर्माण पृष्ठभूमि और उद्देश्य

अब तक चीन में, जापानी व्यक्तिगत जानकारी संरक्षण कानून की तरह, व्यक्तिगत जानकारी के संरक्षण को व्यापक रूप से परिभाषित करने वाला कोई कानून मौजूद नहीं था। हालांकि, पहले से ही व्यक्तिगत जानकारी संरक्षण कानून को तैयार करने की दिशा में प्रयास हो रहे थे, और 2021 नवंबर 1 को, ‘चीनी व्यक्तिगत जानकारी संरक्षण कानून’ के रूप में, चीन में पहली बार व्यक्तिगत जानकारी के संरक्षण को व्यापक रूप से निर्धारित करने वाला कानून लागू किया गया।

विशेष रूप से ‘साइबर सुरक्षा कानून’ और ‘डेटा सुरक्षा कानून’ जैसे कानून, राष्ट्रीय सुरक्षा के तत्वों के साथ भारी कानून हैं, लेकिन चीनी व्यक्तिगत जानकारी संरक्षण कानून व्यक्तिगत अधिकारों के संरक्षण पर जोर देने वाली सामग्री है।

चीनी व्यक्तिगत जानकारी संरक्षण कानून की रूपरेखा ‘ईयू सामान्य डेटा संरक्षण विनियमन (GDPR)’ जैसे, हाल के विदेशी कानूनी नियमों के प्रभाव को बड़े पैमाने पर प्राप्त करती है। हालांकि, वैधता के आधार के रूप में स्वीकृत बिंदुओं और व्यक्ति के अधिकारों आदि के विवरण अद्वितीय सामग्री हैं, इसलिए व्यक्तिगत प्रतिक्रिया की आवश्यकता होती है।

चीन के व्यक्तिगत जानकारी संरक्षण कानून के नियमन के अधीन

इस अध्याय में, हम चीन के व्यक्तिगत जानकारी संरक्षण के नियमन के अधीन क्या है, इसकी व्याख्या करेंगे।
निम्नलिखित शर्तों को पूरा करने पर नियमन के अधीन हो जाएगा, इसलिए ध्यान दें।

• जब चीनी नागरिकों को उत्पाद या सेवाएँ प्रदान करना उद्देश्य हो
• जब चीनी नागरिकों के व्यवहार का विश्लेषण या मूल्यांकन करना उद्देश्य हो
• कानून द्वारा निर्धारित अन्य मामले

चीन के व्यक्तिगत जानकारी संरक्षण कानून का प्रभाव कभी-कभी केवल चीन के अंदर ही नहीं बल्कि विदेशों में भी हो सकता है। इसके अलावा, विदेश में होते हुए भी, अगर चीन में रहने वाले ‘व्यक्तियों’ को लक्षित करके बिक्री व्यवसाय या व्यवहार विश्लेषण किया जाता है, तो इस कानून का अनुपालन करना होगा, इसलिए ध्यान दें।

चीन के व्यक्तिगत सूचना संरक्षण कानून को समझने के लिए मुख्य बिंदु

इस अध्याय में, हम चीन के व्यक्तिगत सूचना संरक्षण को समझने के लिए आठ मुख्य बिंदुओं की व्याख्या करेंगे।

वैधता का आधार

कंपनियाँ केवल तब व्यक्तिगत जानकारी को संभाल सकती हैं, जब वे चीनी व्यक्तिगत जानकारी संरक्षण कानून (Chinese Personal Information Protection Law) में निर्धारित वैधता के आधारों में से किसी एक के अंतर्गत आती हों।

आधारों की सात श्रेणियाँ निम्नलिखित हैं:

• व्यक्ति की सहमति
• अनुबंध का पालन
• कानूनी दायित्व का पालन
• सार्वजनिक स्वास्थ्य
• सार्वजनिक हित
• प्रकाशित व्यक्तिगत जानकारी का संसाधन
• कानून आदि द्वारा निर्धारित अन्य परिस्थितियाँ

इससे स्पष्ट है कि, GDPR में उल्लिखित ‘वैध हित’ शामिल नहीं है। इसलिए, GDPR की तुलना में, व्यक्तिगत जानकारी को संभालने के लिए व्यक्ति की सहमति को आधार बनाने की आवश्यकता वाले परिदृश्य अधिक होने की संभावना है।

इसके अलावा, सहमति को ‘व्यक्ति द्वारा कभी भी आसानी से वापस लिया जा सकने वाला’ के रूप में परिभाषित किया गया है। सहमति की वापसी को आसान बनाने के लिए UI को अनुकूलित करने और वापसी की प्रक्रिया को सरल और समझने में आसान बनाने के लिए विचारशीलता आवश्यक है।

सूचना प्रदान करना

कंपनियों को, व्यक्तिगत जानकारी को संभालने से पहले, चीनी व्यक्तिगत जानकारी संरक्षण कानून (Chinese Personal Information Protection Law) में मांगे गए मुद्दों को स्पष्ट और समझने योग्य भाषा में संबंधित व्यक्ति को सूचित करना अनिवार्य है।

इसके अलावा, सिर्फ संभालने के उद्देश्य ही नहीं, बल्कि प्रक्रिया के तरीके, व्यक्तिगत जानकारी के प्रकार, संग्रहण अवधि, अधिकारों के प्रयोग के तरीके और प्रक्रियाओं जैसी विस्तृत जानकारी प्रदान करने की मांग की जाती है।

委託先との合意

जब आप व्यक्तिगत जानकारी की संभाल किसी अन्य को सौंपते हैं, तो आवश्यक है कि आप और आपके नियुक्ति स्थल के बीच प्रक्रिया के उद्देश्य, समय सीमा, प्रक्रिया के तरीके, और सुरक्षा उपायों आदि के बारे में एक नियुक्ति अनुबंध के माध्यम से सहमति बनानी चावली होती है।

इसके साथ ही, आपको नियुक्ति प्रक्रिया की निगरानी की जिम्मेदारी भी उठानी पड़ेगी। अगर आप अन्य कंपनियों के साथ मिलकर व्यक्तिगत जानकारी को संभालते हैं, तो नियुक्ति के मामले में भी वैसे ही, व्यक्तिगत जानकारी को संभालने के उद्देश्य और तरीके, और दोनों पक्षों के अधिकार और दायित्वों के बारे में पहले से सहमति बना लेना चाहिए।

अंतर्राष्ट्रीय स्थानांतरण में नियमन

चीन के भीतर एकत्रित की गई व्यक्तिगत जानकारी को देश के बाहर तीसरे पक्ष को प्रदान करते समय, निम्नलिखित दो उपायों की आवश्यकता होती है।

पहला, व्यक्तिगत जानकारी के प्राप्तकर्ता का नाम और संपर्क जानकारी, प्रक्रिया का उद्देश्य, प्रक्रिया की विधि, व्यक्तिगत जानकारी के प्रकार, व्यक्ति द्वारा प्राप्तकर्ता के प्रति अधिकारों का प्रयोग करने की विधि, और प्रक्रियाओं को सूचित करना शामिल है। और, व्यक्ति की सहमति को व्यक्तिगत रूप से प्राप्त करना आवश्यक है।

दूसरा, निम्नलिखित चार में से किसी एक उपाय को लागू करना आवश्यक है।

• राष्ट्रीय सुरक्षा मूल्यांकन में पास होना
• विशेषज्ञ संस्थान द्वारा व्यक्तिगत जानकारी संरक्षण का प्रमाणीकरण प्राप्त करना
• मानक अनुबंध के आधार पर क्षेत्र के बाहर के प्राप्तकर्ता के साथ अनुबंध करना
• राष्ट्रीय इंटरनेट जानकारी विभाग द्वारा निर्धारित अन्य शर्तों को पूरा करना

स्थानांतरित की जाने वाली व्यक्तिगत जानकारी की सामग्री के आधार पर, राष्ट्रीय सुरक्षा मूल्यांकन अनिवार्य हो सकता है। इसलिए, ‘डेटा अंतर्राष्ट्रीय स्थानांतरण सुरक्षा मूल्यांकन विधि’ के अनुसार, राष्ट्रीय सुरक्षा मूल्यांकन की आवश्यकता की पुष्टि करें और फिर उठाए जाने वाले उपायों का चयन करें।

अधिकारों के बारे में

चीनी व्यक्तिगत जानकारी संरक्षण कानून (Chinese Personal Information Protection Law) व्यक्ति को जानने का अधिकार, देखने का अधिकार, प्रतिलिपि बनाने का अधिकार, वापस लेने का अधिकार, पोर्टेबिलिटी, सुधार का अधिकार, हटाने का अधिकार आदि विभिन्न अधिकारों को मान्यता देता है।

इसके अलावा, GDPR में मान्यता प्राप्त नहीं “मृतकों के अधिकार” भी मान्यता प्राप्त हैं। “मृतकों के अधिकार” से तात्पर्य है कि यदि व्यक्ति की मृत्यु हो जाती है, तो निकट संबंधी मृतक के स्थान पर उनके अधिकारों का प्रयोग कर सकते हैं। इसलिए, मृतक की जानकारी की सुरक्षा पर भी ध्यान देना चाहिए।

इंसिडेंट की रिपोर्टिंग दायित्व

व्यक्तिगत जानकारी के लीक होने को रोकने के लिए, कंपनियों से ISMS (जानकारी सुरक्षा प्रबंधन प्रणाली) द्वारा आवश्यकता के समान प्रतिक्रिया की अपेक्षा की जाती है।

निम्नलिखित प्रतिक्रियाओं की अपेक्षा की जाती है।

• आंतरिक नियमों का निर्माण
• गोपनीयता के अनुसार वर्गीकरण प्रबंधन
• आवश्यकता अनुसार एन्क्रिप्शन
• कानामीकरण आदि का कार्यान्वयन
• कर्मचारियों को शिक्षा प्रदान करना
• इंसिडेंट रिस्पॉन्स प्रोसेस का निर्माण आदि

सुरक्षा प्रबंधन के उपायों के बारे में, साइबर सुरक्षा कानून और डेटा सुरक्षा कानून में भी प्रत्येक के लिए नियम निर्धारित किए गए हैं, इसलिए तीनों कानूनों की आवश्यकताओं को अच्छी तरह से व्यवस्थित करके उपायों की पुष्टि करना सुझावित है।

संबंधित लेख：चीनी साइबर सुरक्षा कानून क्या है? अनुपालन के लिए मुख्य बिंदुओं की व्याख्या[ja]

संबंधित लेख：चीनी डेटा सुरक्षा कानून क्या है? जापानी कंपनियों द्वारा उठाए जाने वाले उपायों की व्याख्या[ja]

DPO・प्रतिनिधि की स्थापना की अनिवार्यता

यदि किसी कंपनी द्वारा संभाली जा रही व्यक्तिगत जानकारी की संख्या एक निश्चित मात्रा तक पहुँच जाती है, तो DPO (डेटा सुरक्षा अधिकारी) की नियुक्ति अनिवार्य हो जाती है।

इसके अलावा, क्षेत्र के बाहर लागू होने वाली कंपनियों को चीन के भीतर एक प्रतिनिधि की स्थापना करनी होगी, और उनके नाम और संपर्क जानकारी को मुख्य नियामक प्राधिकरण को सूचित करना होगा।

व्यक्तिगत जानकारी संरक्षण प्रभाव मूल्यांकन के कार्यान्वयन की अनिवार्यता

यदि कंपनियां निम्नलिखित पांच में से किसी एक स्थिति में आती हैं, तो उन्हें पूर्व में जोखिम मूल्यांकन करने और जोखिमों को उचित रूप से नियंत्रित करने की आवश्यकता होती है।

कार्यान्वयन की अनिवार्यता वाले मामले निम्नलिखित हैं:

• संवेदनशील जानकारी को संभालने के मामले में
• स्वचालित निर्णय लेने के मामले में
• व्यक्तिगत जानकारी को सौंपने या तीसरे पक्ष को प्रदान करने के मामले में
• व्यक्तिगत जानकारी को विदेश में स्थानांतरित करने के मामले में
• व्यक्तियों के अधिकारों और हितों पर महत्वपूर्ण प्रभाव डालने के मामले में

चीन में व्यक्तिगत जानकारी संरक्षण कानून के दंड

उल्लंघन की स्थिति में, उच्च राशि के दंड (अधिकतम 5,000 वान या पिछले वर्ष की बिक्री का 5% तक का जुर्माना) लगाए जाने का जोखिम होता है। इसका अनुप्रयोग क्षेत्र के बाहर भी होता है, इसलिए चीन में व्यापार विस्तार करने वाली जापानी कंपनियों को तत्काल प्रतिक्रिया देने की आवश्यकता है।

जापानी कंपनियों को करने चाहिए व्यक्तिगत जानकारी संरक्षण कानून के उपाय

इस अध्याय में, हम जापानी कंपनियों द्वारा किए जाने वाले व्यक्तिगत जानकारी संरक्षण उपायों के चार तरीके प्रस्तुत करेंगे।

संगठनात्मक संरचना की समीक्षा करें

सबसे पहले, संगठनात्मक संरचना की समीक्षा पर विचार करें। प्रतिनिधि और DPO की नियुक्ति की आवश्यकता होने के कारण, संगठनात्मक संरचना की समीक्षा आवश्यक है।

उदाहरण के तौर पर, व्यक्तिगत जानकारी सहित डेटा के समग्र अनुपालन कार्यों को संभालने वाले कानूनी और तकनीकी विशेषज्ञ विभागों की स्थापना, कार्य प्रवाह की व्यवस्था, और विस्तृत डेटा मैपिंग का कार्यान्वयन शामिल है।

नियम और नीतियों को अपडेट करें

नियम और नीतियों को अपडेट करना भी महत्वपूर्ण है। चीनी डेटा 3 कानूनों के अनुपालन में नियम और नीतियों को अपडेट करने की आवश्यकता है।

इसके अलावा, केवल कानूनी आवश्यकताओं को प्रतिबिंबित करने वाले नियमों का निर्माण करने के बजाय, सभी कर्मचारियों द्वारा कार्यान्वित किए जा सकने वाले संचालन की व्यवस्था करना आवश्यक है।

संचालन की वास्तविकता को समझें

व्यक्तिगत जानकारी संरक्षण कानून (2021) 1 नवंबर 2021 को लागू हुआ था, इसलिए संचालन की वास्तविकता को समझते हुए निरंतर उपाय करने की आवश्यकता है। इसके अलावा, कंपनी के सभी कर्मचारियों के लिए उचित व्यवहार और कानूनी अनुपालन को नियम के रूप में निर्धारित किया गया है।

इसलिए, कंपनियों को अपने कर्मचारियों के लिए नियमित रूप से प्रशिक्षण कार्यक्रम आयोजित करना चाहिए और नवीनतम कानूनों और प्रक्रियाओं के बारे में जागरूकता बढ़ानी चाहिए।

विशेषज्ञों के साथ सहयोग की व्यवस्था बनाएं

विशेषज्ञों के साथ सहयोग की व्यवस्था का निर्माण और मजबूती भी अनिवार्य है। चीनी कानूनी विनियमों में विशेषज्ञता रखने वाले विशेषज्ञों के साथ सहयोग करके, आप त्वरित प्रतिक्रिया दे सकते हैं। इसके अलावा, कंपनियों को व्यक्तिगत जानकारी संरक्षण के अनुपालन की स्थिति की नियमित रूप से निगरानी और मूल्यांकन करने की आवश्यकता है। इसलिए, बाहरी विशेषज्ञों के साथ सहयोग की व्यवस्था का निर्माण अनिवार्य है।

सारांश: विभिन्न कानूनी विनियमों को समझें और सटीक प्रतिक्रिया दें

2021年11月1日 (2021年11月1日) को चीन में पहली बार व्यक्तिगत जानकारी की सुरक्षा को व्यापक रूप से निर्धारित करने वाला ‘चीनी व्यक्तिगत जानकारी सुरक्षा कानून’ लागू हुआ। वैश्विक स्तर पर व्यापार करने वाली कंपनियों के लिए, चीनी डेटा संबंधित विनियमन (साइबर सुरक्षा कानून, डेटा सुरक्षा कानून, व्यक्तिगत जानकारी सुरक्षा कानून) बाजार के महत्व और विनियमन की कठोरता को देखते हुए, अनदेखा करने योग्य नहीं हैं। आवश्यकता पड़ने पर विशेषज्ञों की मदद लेते हुए, आवश्यक कार्यवाही को संपन्न करने के लिए एक मजबूत प्रणाली का निर्माण करें।

हमारे कार्यालय द्वारा उपायों का परिचय

मोनोलिथ लॉ फर्म, IT और विशेष रूप से इंटरनेट और कानून के दोनों क्षेत्रों में व्यापक अनुभव रखने वाला एक कानूनी कार्यालय है। हाल के वर्षों में, वैश्विक व्यापार तेजी से विस्तारित हो रहा है, और विशेषज्ञों द्वारा कानूनी जांच की आवश्यकता बढ़ती जा रही है। हमारा कार्यालय अंतर्राष्ट्रीय कानूनी मामलों पर समाधान प्रदान करता है।

मोनोलिथ लॉ फर्म के विशेषज्ञता के क्षेत्र: अंतर्राष्ट्रीय कानूनी मामले और विदेशी व्यापार[ja]