MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Vad är den kinesiska lagen om skydd av personuppgifter? En översikt från dess införande till åtgärder som japanska företag bör vidta

General Corporate

Vad är den kinesiska lagen om skydd av personuppgifter? En översikt från dess införande till åtgärder som japanska företag bör vidta

För juridiska ansvariga på företag som planerar att expandera sin verksamhet i Kina, eller som redan har etablerat sig där, kan frågor kring skyddet av personuppgifter i Kina ofta vara en utmaning.

I denna artikel kommer vi att omfattande presentera de lagar och regleringar som är bra att känna till när man expanderar sin verksamhet i Kina. Vi kommer även att förklara hur man kan hantera dessa regler och vilka punkter japanska företag särskilt bör uppmärksamma. Använd denna information som en referens för att förstå Kinas lagar om skydd av personuppgifter och börja planera dina åtgärder.

Bakgrund och syfte med Kinas lag om skydd av personuppgifter

Kinas flagga

Tidigare fanns det ingen lag i Kina som omfattande reglerade skyddet av personuppgifter på samma sätt som den japanska lagen om skydd av personuppgifter. Det har dock länge funnits en rörelse mot att utforma en sådan lag, och den 1 november 2021 (Reiwa 3) trädde “Kinas lag om skydd av personuppgifter” i kraft, vilket var första gången Kina införde en lag som omfattande reglerar skyddet av personuppgifter.

Även om lagar som “Cybersäkerhetslagen” och “Datalagstiftningen” har starka inslag av nationell säkerhet, fokuserar Kinas lag om skydd av personuppgifter mer på att skydda individens rättigheter.

Strukturen i Kinas lag om skydd av personuppgifter verkar vara starkt påverkad av internationella regleringar som “EU:s allmänna dataskyddsförordning (GDPR)”, men detaljerna kring lagliga grunder och individens rättigheter har unika aspekter, vilket kräver specifika åtgärder för att hantera dem.

Regleringsobjekt enligt Kinas lag om skydd av personuppgifter

Måltavla

I det här kapitlet förklarar vi vilka som omfattas av regleringen enligt Kinas lag om skydd av personuppgifter.
Om följande villkor är uppfyllda blir du föremål för regleringen, så det är viktigt att vara uppmärksam.

  • När syftet är att erbjuda varor eller tjänster till personer inom Kina
  • När syftet är att analysera eller utvärdera beteenden hos personer inom Kina
  • I andra fall som definieras av lagar och förordningar

Kinas lag om skydd av personuppgifter kan i vissa fall ha juridisk effekt inte bara inom Kina utan även utomlands. Även om verksamheten sker utanför Kina, om den riktar sig mot ‘individer’ som befinner sig i Kina för försäljning eller beteendeanalys, blir lagen tillämplig. Det är därför viktigt att vara medveten om detta.

Nyckelpunkter för att förstå den kinesiska lagen om skydd av personuppgifter

I det här kapitlet kommer vi att förklara åtta nyckelpunkter för att förstå skyddet av personuppgifter i Kina.

Laglig grund

Företag får endast hantera personuppgifter om de uppfyller något av de lagliga grunder som anges i den kinesiska lagen om skydd av personuppgifter.

De sju grunderna är följande:

  • Den registrerades samtycke
  • Fullgörande av avtal
  • Uppfyllande av lagstadgade skyldigheter
  • Offentlig hälsa
  • Allmänhetens intresse
  • Hantering av offentliggjorda personuppgifter
  • Andra omständigheter som anges i lagar och andra författningar

Som det framgår saknas den “legitima intresset” som finns i GDPR. Därför kan man förvänta sig att det i jämförelse med GDPR blir fler situationer där man måste hantera personuppgifter baserat på den registrerades samtycke.

Dessutom måste samtycket vara definierat som något som “den registrerade när som helst enkelt kan återkalla”. Det krävs omsorg om att göra användargränssnittet för återkallande av samtycke enkelt och att tydligt och koncist beskriva metoden för återkallande.

Informationsförsörjning

Företag måste, innan de hanterar personuppgifter, på ett klart och lättförståeligt sätt informera den berörda personen om de punkter som krävs enligt den kinesiska lagen om skydd av personuppgifter (Chinese Personal Information Protection Law).

Det krävs inte bara att man informerar om syftet med hanteringen, utan även om detaljer såsom metod för behandling, vilka typer av personuppgifter som hanteras, lagringstid, samt hur och genom vilka förfaranden den berörda personen kan utöva sina rättigheter.

Överenskommelse med uppdragstagaren

När personuppgifter ska hanteras av en uppdragstagare, är det nödvändigt att komma överens om behandlingens syfte, tidsram, metod och skyddsåtgärder genom ett uppdragsavtal.

Samtidigt tar man på sig ansvaret för att övervaka den delegerade behandlingen. När personuppgifter hanteras gemensamt med ett annat företag, bör man på samma sätt som vid uppdrag komma överens i förväg om syftet med och metoden för behandlingen av personuppgifterna, samt båda parters rättigheter och skyldigheter.

Reglering av gränsöverskridande överföringar

När personuppgifter som samlats in inom Kina ska tillhandahållas till en tredje part utanför landet, krävs följande två åtgärder.

Den första är att informera om namnet och kontaktuppgifterna till mottagaren av personuppgifterna, syftet med behandlingen, behandlingsmetoderna, typerna av personuppgifter, samt hur den registrerade kan utöva sina rättigheter gentemot mottagaren, inklusive förfarandet för detta. Dessutom måste man inhämta individuellt samtycke från personen i fråga.

Den andra är att genomföra någon av följande fyra åtgärder:

  • Ha klarat en nationell säkerhetsutvärdering
  • Ha erhållit certifiering för skydd av personuppgifter från en specialistorganisation
  • Ha ingått ett avtal med mottagaren utanför regionen baserat på standardkontrakt
  • Uppfylla andra villkor som fastställs av den nationella avdelningen för internetinformation

Beroende på innehållet i de personuppgifter som ska överföras kan en nationell säkerhetsutvärdering vara obligatorisk. Därför bör man enligt ‘Lagen om säkerhetsutvärdering för datatransfer utomlands’ (Data Cross-Border Transfer Security Assessment Measures) kontrollera om en nationell säkerhetsutvärdering är nödvändig innan man väljer vilken åtgärd som ska vidtas.

Om rättigheter

Den kinesiska lagen om skydd av personuppgifter (Chinese Personal Information Protection Law) ger individer rättigheter såsom rätten att bli informerad, rätten att granska, rätten att kopiera, rätten att återkalla samtycke, rätten till dataportabilitet, rätten att korrigera och rätten att radera sina personuppgifter.

Dessutom erkänns “rättigheter för avlidna” i denna lag, vilket inte är fallet med GDPR. “Rättigheter för avlidna” innebär att när en person avlider, kan nära släktingar utöva dessa rättigheter på den avlidnes vägnar. Därför är det viktigt att också vara uppmärksam på skyddet av avlidnas information.

Skyldighet att rapportera incidenter

För att förhindra läckage av personuppgifter krävs att företag vidtar åtgärder som liknar de som efterfrågas i ISMS (Information Security Management System).

Nedan följer exempel på åtgärder som krävs.

  • Utveckling av interna riktlinjer
  • Klassificeringshantering baserad på konfidentialitetsnivå
  • Kryptering vid behov
  • Genomförande av pseudonymisering
  • Genomförande av utbildning för anställda
  • Utveckling av en incidentresponsprocess

Åtgärder för säkerhetsstyrning regleras även av lagar som den japanska Cybersecurity Act och Data Security Act, så det är rekommenderat att noggrant organisera kraven från dessa tre lagar och verifiera dina åtgärder.

Relaterad artikel: Vad är den kinesiska Cybersecurity Act? Förklaring av viktiga punkter för efterlevnad[ja]

Relaterad artikel: Vad är den kinesiska Data Security Act? Förklaring av åtgärder som japanska företag bör vidta[ja]

Skyldighet att utse en DPO och en representant

Företag är skyldiga att utse en DPO (Data Protection Officer) när mängden personuppgifter de hanterar når en viss volym.

Dessutom måste företag som omfattas av extraterritoriell tillämpning etablera en representant inom Kina och rapportera namn och kontaktuppgifter till den ansvariga myndigheten.

Skyldighet att genomföra en bedömning av personuppgifters påverkan

Företag är skyldiga att i förväg genomföra en riskbedömning och på ett adekvat sätt kontrollera riskerna om något av följande fem kriterier är uppfyllda:

De fall där det finns en skyldighet att genomföra en bedömning är följande:

  • När känslig information hanteras
  • Vid automatiserade beslutsprocesser
  • När personuppgifter delegeras till en tredje part eller tillhandahålls till en tredje part
  • Vid överföring av personuppgifter till ett annat land
  • När det finns en betydande påverkan på individens rättigheter och intressen

Straff för brott mot personuppgiftslagen i Kina

Varning

Vid överträdelser riskerar man höga sanktioner (upp till 50 miljoner yuan eller 5% av föregående års omsättning i böter). Eftersom lagen även tillämpas extraterritoriellt, måste japanska företag som bedriver verksamhet i Kina agera snabbt för att anpassa sig.

Åtgärder för personuppgiftsskydd som japanska företag bör vidta

Kontroll

I det här kapitlet introducerar vi fyra åtgärder för personuppgiftsskydd som japanska företag bör vidta.

Översyn av interna strukturer

Först bör ni överväga att se över era interna strukturer. Det finns ett krav på att utse en representant eller en DPO (Data Protection Officer), vilket gör det nödvändigt att revidera företagets interna organisation.

Exempel på detta kan vara att inrätta en specialiserad avdelning för juridik och teknik som ansvarar för compliance med avseende på all data som innehåller personuppgifter, att organisera arbetsflöden och genomföra detaljerad datakartläggning.

Uppdatera regler och policyer

Det är också viktigt att uppdatera regler och policyer. Det är nödvändigt att uppdatera dem för att följa de kinesiska datalagarna.

Utöver att bara utforma regler som reflekterar lagkraven, krävs det att man etablerar operativa procedurer som alla anställda kan genomföra.

Förstå verkligheten i driften

Eftersom personuppgiftslagen trädde i kraft den 1 november 2021 (Reiwa 3), är det nödvändigt att kontinuerligt vidta åtgärder medan man förstår hur lagen faktiskt tillämpas. Dessutom är alla anställda i ett företag bundna av regler som kräver korrekt hantering och strikt efterlevnad av lagar.

Därför bör företag genomföra regelbunden utbildning för sina anställda för att öka medvetenheten om de senaste lagarna och procedurerna.

Bygga ett samarbete med experter

Att bygga och förstärka ett samarbete med experter är också avgörande. Genom att etablera ett samarbete med experter som är kunniga i kinesisk lagstiftning kan ni agera snabbt. Företag behöver också regelbundet övervaka och utvärdera sin compliance med avseende på personuppgiftsskydd. Därför kan man säga att det är nödvändigt att bygga ett samarbete med externa experter.

Sammanfattning: Förstå flera lagstiftningar och agera korrekt

Dokumentbeskrivning

Den 1 november 2021 (Reiwa 3) trädde Kinas första omfattande lag om skydd av personuppgifter, “Kinesiska lagen om skydd av personuppgifter”, i kraft. För företag som bedriver verksamhet globalt är de kinesiska datalagstiftningarna (Cybersäkerhetslagen, Datalagstiftningen och Lagen om skydd av personuppgifter) lagar som inte kan ignoreras, med tanke på marknadens betydelse och regleringarnas stränghet. I vissa fall bör man säkerställa att man har en struktur på plats som möjliggör att nödvändiga praktiska åtgärder kan genomföras, eventuellt med hjälp av experter.

Information om åtgärder från vår byrå

Monoliths juristbyrå har en omfattande erfarenhet inom IT, särskilt internet och juridik. I takt med att den globala affärsverksamheten expanderar, ökar behovet av juridisk granskning av experter. Vår byrå erbjuder lösningar inom internationell juridik.

Monoliths juristbyrås expertisområden: Internationell juridik och utlandsverksamhet[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Tillbaka till toppen