Что такое закон о защите персональных данных в Китае? Объяснение от причин принятия до мер, которые должны предпринять японские компании
Возможно, юридические специалисты компаний, которые планируют или уже осуществляют бизнес-деятельность в Китае, часто сталкиваются с проблемами, связанными с защитой персональных данных в Китае.
В данной статье мы представляем всеобъемлющий обзор законодательных регулирований, которые необходимо знать при ведении бизнеса в Китае. Также мы понятно объясним методы реагирования и аспекты, на которые должны обратить внимание японские компании. Используйте эту информацию в качестве руководства для понимания закона о защите персональных данных в Китае и начала разработки соответствующих мер.
Фон и цели принятия закона о защите персональных данных в Китае
До недавнего времени в Китае не существовало закона, который бы комплексно регулировал защиту персональных данных, подобно Японскому закону о защите персональных данных. Однако попытки разработать такой закон предпринимались уже давно, и 1 ноября 2021 года (Reiwa 3) в Китае впервые был принят закон, комплексно регулирующий защиту персональных данных, под названием “Китайский закон о защите персональных данных”.
Хотя такие законы, как “Закон о кибербезопасности” и “Закон о безопасности данных”, имеют сильную связь с национальной безопасностью, Китайский закон о защите персональных данных фокусируется на защите прав личности.
Структура Китайского закона о защите персональных данных во многом была под влиянием современных законодательных регулирований других стран, таких как Общий регламент ЕС по защите данных (GDPR). Тем не менее, точки, признаваемые в качестве оснований для законности, и детали, касающиеся прав субъектов данных, имеют уникальный характер, что требует разработки специфических мер реагирования.
Регулирование защиты персональных данных в Китае
В этой главе мы рассмотрим объекты регулирования в области защиты персональных данных в Китае.
Обратите внимание, что регулирование применяется в следующих случаях:
- Когда целью является предоставление товаров или услуг физическим лицам в Китае
- Когда целью является анализ или оценка поведения физических лиц в Китае
- В других случаях, определенных законодательством
Закон о защите персональных данных в Китае может иметь юрисдикцию не только внутри страны, но и за ее пределами. Следует учитывать, что даже за пределами Китая, если ваш бизнес направлен на продажу товаров или услуг физическим лицам, находящимся в Китае, или на анализ их поведения, то на такую деятельность будет распространяться действие данного закона.
Ключевые аспекты китайского закона о защите персональных данных
В этой главе мы рассмотрим восемь ключевых аспектов, которые необходимо понимать для осмысления китайского закона о защите персональных данных.
Основания законности
Компании могут обрабатывать персональные данные только в случаях, когда это соответствует одному из оснований законности, установленных в Китайском законе о защите персональных данных.
Существует семь таких оснований:
- Согласие субъекта данных
- Исполнение контракта
- Выполнение законных обязательств
- Общественное здравоохранение
- Интересы общественности
- Обработка обнародованных персональных данных
- Прочие обстоятельства, предусмотренные законодательством и прочими нормативными актами
Как видно, в отличие от GDPR, здесь не включено понятие «законный интерес». Следовательно, можно предположить, что в сравнении с GDPR, ситуаций, когда обработка персональных данных должна основываться на согласии субъекта, будет больше.
Кроме того, согласие должно быть определено как таковое, которое субъект данных может легко отозвать в любое время. Требуется внимание к таким аспектам, как разработка пользовательского интерфейса, позволяющего легко отозвать согласие, и ясное, понятное описание способов отзыва согласия.
Информирование
Компании должны, перед обработкой персональных данных, уведомить субъекта данных в ясной и понятной форме о всех аспектах, требуемых Китайским законом о защите персональных данных.
Кроме того, необходимо предоставить подробную информацию не только о целях обработки, но и о методах обработки, типах персональных данных, сроках хранения, а также о способах и процедурах осуществления прав субъекта данных.
Соглашение с подрядчиком
При передаче обработки персональных данных подрядчику необходимо заранее достичь согласия по вопросам цели обработки, сроков, методов обработки и мер защиты в рамках договора о подряде.
Кроме того, вы также будете нести ответственность за контроль за обработкой данных подрядчиком. При совместной работе с другими компаниями по обработке персональных данных необходимо, так же как и в случае с подрядчиком, заранее договориться о целях обработки данных, методах и взаимных правах и обязанностях сторон.
Регулирование перекрестного перемещения данных
При передаче собранных внутри Китая персональных данных третьим лицам за пределами страны требуется выполнение следующих двух мер.
Первая мера заключается в уведомлении о названии и контактных данных получателя персональной информации, целях обработки, методах обработки, типах персональных данных, а также о способах и процедурах, которыми личность может реализовать свои права в отношении получателя. Кроме того, необходимо получить индивидуальное согласие субъекта данных.
Вторая мера требует выполнения одной из следующих четырех процедур:
- Прохождение национальной оценки безопасности
- Получение сертификации защиты персональных данных от специализированных организаций
- Заключение контракта с получателем данных за пределами региона на основе стандартных договоров
- Соответствие другим условиям, установленным национальным департаментом интернет-информации
В зависимости от содержания передаваемых персональных данных может потребоваться национальная оценка безопасности. Поэтому, следуя «Методике оценки безопасности передачи данных за границу», необходимо сначала проверить необходимость национальной оценки безопасности, а затем выбрать соответствующие меры.
О правах
Китайский закон о защите персональных данных (Chinese Personal Information Protection Law) предоставляет субъекту данных ряд прав, включая право на информацию, право на доступ, право на копирование, право на отзыв согласия, право на переносимость данных, право на исправление и право на удаление данных.
Кроме того, в отличие от GDPR, в Китае признаются также «права умерших». «Права умерших» позволяют близким родственникам умершего осуществлять его права после смерти. Поэтому важно также учитывать защиту информации усопших.
Обязанность сообщать об инцидентах
Для предотвращения утечки персональных данных компаниям требуется принимать меры, аналогичные тем, что предписаны системой управления информационной безопасностью ISMS (Information Security Management System).
Примеры требуемых мер:
- Разработка внутренних правил
- Классификация управления в соответствии с уровнем конфиденциальности
- Шифрование по необходимости
- Применение псевдонимизации и других методов
- Проведение обучения сотрудников
- Разработка процесса реагирования на инциденты и т.д.
Поскольку меры по обеспечению безопасности также регулируются Законом о кибербезопасности и Законом о защите данных, рекомендуется тщательно организовать требования всех трех законов и проверить соответствующие меры.
Связанные статьи: Что такое китайский закон о кибербезопасности? Основные моменты, которые необходимо соблюдать[ja]
Связанные статьи: Что такое китайский закон о защите данных? Меры, которые должны принять японские компании[ja]
Обязанность назначения DPO и представителя
Компании обязаны назначить DPO (Ответственного за защиту данных), когда объем обрабатываемой ими персональной информации достигает определенного количества.
Кроме того, компании, подпадающие под внешнее применение законодательства, должны установить представителя в Китае, а также сообщить основные данные, такие как название и контактную информацию, в компетентные органы.
Обязанность проведения оценки воздействия на защиту персональных данных
Компаниям необходимо проводить предварительную оценку рисков и адекватно контролировать их, если они соответствуют хотя бы одному из следующих пяти условий:
Случаи, когда обязательно должна быть проведена оценка воздействия:
- При обработке чувствительной информации
- При осуществлении автоматизированного принятия решений
- При поручении обработки персональных данных третьим лицам или при передаче персональных данных третьим лицам
- При международной передаче персональных данных
- В случаях, когда действия могут оказать серьезное влияние на права и интересы физических лиц
Штрафные санкции за нарушение закона о защите персональных данных в Китае
В случае нарушения закона предусмотрены высокие штрафные санкции (до 50 миллионов юаней или до 5% от годовой выручки предыдущего года). Поскольку закон применяется и за пределами страны, японским компаниям, ведущим бизнес в Китае, необходимо незамедлительно принять соответствующие меры.
Меры по защите персональных данных, которые должны предпринять японские компании
В этой главе мы представим четыре меры по защите персональных данных, которые должны предпринять японские компании.
Пересмотреть внутреннюю структуру компании
Прежде всего, стоит пересмотреть внутреннюю структуру компании. Поскольку существует обязанность назначения представителя или DPO (Data Protection Officer), необходимо пересмотреть организационную структуру.
К примеру, можно установить специализированные отделы, ответственные за соблюдение нормативных требований в отношении данных, включая персональные данные, организовать рабочие процессы и провести детальное картографирование данных.
Обновить нормативные акты и политики
Также важно обновить нормативные акты и политики. Необходимо обновить их в соответствии с требованиями трех основных законов Китая о данных.
Кроме того, необходимо не только разработать положения, отражающие законодательные требования, но и обеспечить возможность их практического применения всеми сотрудниками.
Понимать реальное положение дел в области операционной деятельности
Поскольку Закон о защите персональных данных был принят 1 ноября 2021 года и с тех пор прошло немного времени, необходимо постоянно осуществлять меры, понимая реальное положение дел в области операционной деятельности. Также для всех сотрудников компании установлены правила по надлежащему обращению с данными и строгому соблюдению законодательства.
Поэтому компаниям следует регулярно проводить обучение сотрудников, чтобы углубить их понимание актуальных законов и процедур.
Построить систему сотрудничества со специалистами
Построение и укрепление системы сотрудничества со специалистами также является неотъемлемой частью. Сотрудничество с экспертами, знакомыми с китайским законодательством, позволит быстро реагировать на изменения. Кроме того, компании должны регулярно мониторить и оценивать соблюдение требований по защите персональных данных. Поэтому создание системы сотрудничества с внешними экспертами является необходимым условием.
Итог: Понимание множественных законодательных регулирований и точное их соблюдение
1 ноября 2021 года в Китае впервые вступил в силу Закон о защите персональных данных, который комплексно регулирует защиту личной информации. Для компаний, ведущих глобальный бизнес, китайское законодательство, связанное с данными (Закон о кибербезопасности, Закон о безопасности данных, Закон о защите персональных данных), является непреодолимым правовым актом, учитывая важность рынка и строгость регулирования. В некоторых случаях следует обратиться за помощью к специалистам и тщательно подготовиться к выполнению необходимых рабочих процедур.
Информация о мерах, предпринимаемых нашей юридической фирмой
Юридическая фирма “Монолит” обладает обширным опытом в области IT, особенно в интернете и праве. В последние годы глобальный бизнес продолжает расширяться, и потребность в профессиональной юридической проверке становится всё более актуальной. Наша фирма предоставляет решения, связанные с международными юридическими вопросами.
Сферы деятельности юридической фирмы “Монолит”: Международное право и зарубежный бизнес[ja]