Статьи
Новый закон о персональных данных в Китае: что важно знать разработчикам
1 ноября 2021 года в Китае вступил в силу закон о защите личной информации, сокращенное название которого – «PIPL». Во многом PIPL повторяет принципы и правила GDPR, включая экстерриториальный характер и применение к трансграничной передаче данных, однако имеет свои особенности – например, понятие «персональные данные» заменяет термин «личная информация».
1 ноября 2021 года в Китае вступил в силу закон о защите личной информации, сокращенное название которого – «PIPL». Во многом PIPL повторяет принципы и правила GDPR, включая экстерриториальный характер и применение к трансграничной передаче данных, однако имеет свои особенности – например, понятие «персональные данные» заменяет термин «личная информация».
Поэтому теперь IT компаниям, ориентированным на глобальный рынок мобильных приложений и онлайн-услуг, важно принимать во внимание PIPL и соблюдать его требования, аналогично GDPR.
Юристы Versus.legal изучили положения PIPL, затрагивающие иностранные компании и трансграничную передачу личной информации, и подготовили обзор, который поможет IT-компаниям адаптировать свою политику конфиденциальности в соответствии с PIPL Китая.
Как регулировалась обработка персональных данных до PIPL?
Основным ориентиром для IT-компаний являлся Закон о кибербезопасности (CSL) 2017 года, направленный на локализацию данных на территории КНР и обеспечение государственной безопасности КНР в процессе деятельности поставщиков сетевых продуктов и услуг.
Другой важный акт – Закон об электронной коммерции 2019 года, сфокусированный на обороте персональных данных в узком ключе: только в связи с электронной коммерцией.
В течение 2021 года власти Китая приняли серию законодательных актов, детализирующих особенности обработки персональных данных китайских пользователей. Например, Положение «Об объеме необходимых персональных данных для распространенных типов мобильных приложений», которое ограничивает объем обрабатываемых персональных данных в 39 разных типах мобильных приложений.
По отношению к ранее принятым актам PIPL носит общий характер рамочного закона, устанавливающего общеобязательные правила управления данными в Китае и передачу их за рубеж.
PIPL также не отменяет и не прекращает действие всех ранее принятых законов в области защиты персональных данных. PIPL будет сосуществовать вместе с ними, отчасти дублируя их положения.
Принятие PIPL не является точкой в процессе формирования нормативной базы о защите персональных данных в Китае. Предполагается, что детальное регулирование, обеспечивающее применение PIPL, будет дополняться и развиваться государственным органом – Администрацией по киберпространству Китая (CAC).
На кого распространяется PIPL?
По общему правилу, PIPL применяется к физическим и юридическим лицам, находящимся на территории Китая. В то же время, аналогично GDPR, закон имеет экстерриториальный характер. Поэтому PIPL может оказывать эффект на компании, осуществляющие обработку персональных данных за пределами Китая.
PIPL применяется к незарегистрированным в Китае компаниям, если они обрабатывают персональные данные физических лиц, находящихся на территории Китая, в контексте
(1) предложения товаров и услуг для китайских граждан и резидентов, или
(2) анализа и оценки поведения китайских граждан и резидентов, где бы они ни находились.
PIPL будет оказывать эффект на компанию – оператора персональных данных, вне зависимости от регистрации и работы на территории Китая, если соблюдается одно из альтернативный условий:
1. Личная информация обрабатывается в целях предложения товаров и услуг физическим лицам, находящимся на территории КНР
Закон не устанавливает, насколько тесной должна быть связь между обработкой данных и предпринимательской деятельностью в Китае. Возможно, позднее регулятор выпустит разъяснения с критериями.
С учетом схожести общих черт GDPR и PIPL, можно предположить, что будет использован подход, аналогичный пункту 23 Преамбулы GDPR. Например, факторами, позволяющими установить направленность деятельности на территорию Китая, могут быть:
- возможность доставки товара на территорию Китая – например, на сайте интернет-магазина ASOS указано, что доставка товаров осуществляется по всему миру – worldwide, есть опция выбора Китая в качестве страны назначения:
- использование китайского языка при предложении и продаже товаров и услуг – например, сайт интернет-магазина «Л’Этуаль» использует китайский язык в качестве главной альтернативы русскому языку:
С точки зрения ограничений пункта 23 Преамбулы GDPR, английский язык не является фактором, определяющим направленность предложения товаров и услуг гражданам и резидентам ЕС, поскольку он является международным.
PIPL, напротив, не устанавливает языковых ограничений для реализации своих положений относительно предложения товаров и услуг пользователям из Китая. - указание китайских юаней в качестве возможного варианта валюты платежа,
- предложение товаров и услуг на национальном домене верхнего уровня для Китая
- упоминание клиентов или пользователей, находящихся на территории Китая – например, в отзывах или комментариях, даже если сам отзыв или комментарий сделан не на китайском языке:
2. В отношении физических лиц на территории Китая проводится мониторинг поведенческой активности
В данном случае мониторинг может включать:
- отслеживание поведения китайского пользователя в сети Интернет;
- обработка данных для фильтрации отдельных лиц, их поведения или их отношения к чему-либо в целях таргетированной рекламы – например, анализ или прогнозирование личных предпочтений.
3. При наличии иных обстоятельств, предусмотренных законами и подзаконными актами
Варианты 1 и 2 и их внутренние опции повторяют положения о сфере действия пункта 2 статьи 3 GDPR. Однако вариант 3 четко не прописан и предполагает широкую свободу китайских властей. Это создает определенные риски для IT-компаний, которым необходимо следить за развитием практики применения PIPL и обновлениями законодательства Китая, чтобы скорректировать свои процессы и документы по требования PIPL.
Среди операторов персональных данных, на которых распространяется действие PIPL, можно выделить две особенные категории:
- Оператор критически важной информационной инфраструктуры (КВИИ). С точки зрения PIPL, это компании, занятые в сферах общественных коммуникаций и информационных услуг, энергетики, транспорта, финансах и «на любых других важных сетевых объектах или в информационных системах», которые могут оказывать влияние на национальную безопасность и общественные интересы в случае повреждения или утечки данных.
- Оператор больших объемов персональных данных. PIPL не устанавливает пороговое значение для определения «большого объема». Величину объема, согласно статье 52 PIPL, должен установить Государственный департамент кибербезопасности и информатизации. Однако конкретные критерии сейчас отсутствуют.
Если компания относится к одной из этих категорий, то она будет нести больший объем обязанностей и повышенную ответственность при сборе, обработке и передаче данных. Например, оператор больших объемов персональных данных должен назначить ответственное лицо по защите данных – Personal Information Protection Officer, чья деятельность аналогична Data Protection Officer в соответствии с GDPR.
Что считается персональными данными?
В PIPL используется термин «личная информация», вместо «персональные данные». Определение личной информации похоже на определение персональных данных из GDPR. Это любая информация, записанная с помощью электронных или иных средств, которая относится к идентифицированному или идентифицируемому физическому лицу, за исключением информации, которая подверглась анонимизации.
В отличие от GPDR или других законов о персональных данных, PIPL не содержит примеров личной информации. Широкая формулировка позволяет квалифицировать в качестве персональных данных большой набор информации о физических лицах.
Специальные категории личной информации
Кроме того, в PIPL предусмотрена категория чувствительной персональной информации. Это такая информация, утечка или незаконное использование которой приведет к серьезному ущербу для физических лиц, их безопасности, а также безопасности их имущества. В частности:
- Биометрическая информация;
- Религиозные убеждения;
- Информация о здоровье;
- Информация о счетах в финансовых учреждениях;
- Информация о геопозиции пользователя.
Также к чувствительным персональным данным относится личная информация несовершеннолетних до 14 лет.
Перечень чувствительных персональных данных в GDPR значительно меньше и сформулирован конкретнее. Например, информация о геопозиции и финансах пользователей к специальным категориям не относится. При этом формулировка PIPL позволяет отнести к чувствительным любые другие непоименованные данные, для которых соблюдается критерий существенного ущерба.
В отношении чувствительных данных оператор должен получить отдельное согласие. А если речь идет о данных несовершеннолетних, то согласие должны дать родители.
Обязанности оператора
Закон предусматривает общий набор обязанностей для операторов, который значительно пересекается с GDPR. Кроме того, для компаний, которые оказывают важные услуги интернет-платформ, предусмотрены дополнительные обязанности.
Общие обязанности
1. Разработать и опубликовать Политику конфиденциальности
Политика должна быть доступна неограниченному кругу пользователей до начала обработки персональных данных и должна содержать следующую информацию:
- Наименование и контактные данные оператора;
- Категории персональных данных, которые обрабатываются;
- Цели обработки;
- Срок хранения персональных данных; При этом срок хранения должен быть минимально возможным для выполнения целей обработки персональных данных.
- Способы реализации прав субъектов персональных данных;
- Иные положения, которые требует законодательство.
2. Получать согласие на обработку персональных данных
Согласие необходимо, если иные основания для обработки не подходят. Например, обработка для заключения и исполнения договора, стороной которого является субъект.
Для передачи персональных данных другому оператору требуется отдельное и независимое согласие пользователя. Также необходимо предоставить информацию о получателе персональных данных. Если цели или способы обработки персональных данных получателем изменятся, то нужно повторно запрашивать согласие пользователей.
3. Принять надлежащие меры защиты персональных данных
В частности, шифрование, деидентификацию пользователей. Также оператор должен установить внутренние операционные лимиты на обработку данных и проводить регулярные обучения для сотрудников по обеспечению безопасности данных.
Оператор также должен разработать и внедрить внутренний план по реагированию на различные инциденты, касающиеся персональных данных.
4. Назначить лицо, ответственное за защиту персональных данных
Если компания обрабатывает большой объем данных, который превышает порог, установленный Администрацией по киберпространству, то она должна назначить специального сотрудника, который будет следить за мерами защиты личной информации. На сегодняшний день такой порог не установлен.
5. Иностранный оператор должен назначить своего представителя в Китае
Такой представитель будет нести ответственность за обработку персональных данных оператором.
6. Оператор должен регулярно проводить аудит процессов обработки и защиты данных
Если соблюдаются одно из условий ниже, то оператор должен проводить оценку воздействия на защиту личной информации:
- Обработка чувствительной личной информации;
- Использование личной информации для автоматизированного принятия решений;
- Привлечение к обработке персональных данных третьих лиц, а также передача персональных данных третьим лицам;
- Трансграничная передача персональных данных;
- Иная деятельность по обработке персональных данных, которая значительно влияет на пользователей.
7. Обеспечить хранение персональных данных в Китае
Оператор, обрабатывающий большой объем персональных данных либо являющийся владельцем критически важной информационной инфраструктуры, должен обеспечить хранение персональных данных на территории Китая. Передача персональных данных может осуществляться только после аудита китайским регулятором.
Специальные обязанности
Компании, которые оказывают важные услуги интернет-платформ, должны соблюдать дополнительные обязанности:
1. Разработать и внедрить систему защиты личной информации в соответствии с законодательством
Для проверки системы необходимо учредить независимый орган, который не должен включать работников компании.
2. Разработать и внедрить правила платформы
В них необходимо установить стандарты обработки персональных данных провайдерами товаров или услуг внутри платформы, а также их обязанности по защите личной информации.
3. Блокировать провайдеров, которые нарушают законодательство в сфере персональных данных
4. Регулярно публиковать отчеты о защите личной информации для общественного обсуждения, учитывать комментарии общественности
Особенности трансграничной передачи данных в соответствии с PIPL
Если компания передает персональные данные пользователей с территории Китая в другие страны, у нее появляются дополнительные обязанности. Можно выделить два типа обязанностей для таких компаний:
- общие обязанности, применимые ко всем компаниям, передающим персональные данные за пределы Китая, включая случаи сбора данных на зарубежные сервера, если присутствует хотя бы один фактор, позволяющий установить направленность деятельности на территорию Китая;
- специальные обязанности, применимые только к операторам критически важной информационной инфраструктуры (КВИИ) и к операторам больших объемов персональных данных.
Общие обязанности
1. Выполнить одно из следующих условий:
- Пройти процедуру сертификации защиты персональных данных, которая проводится специализированным органом;
- Заключить договор с иностранным получателем персональных данных по стандартной форме, утвержденной Государственным департаментом кибербезопасности и информатизации, устанавливающей права и обязанности обеих сторон.
Дополнительно PIPL предусматривает вариант выполнения «иных условий, предусмотренных законодательством или подзаконными административными актами».
Помимо изложенных вариативных условий, PIPL допускает, что трансграничная передача данных может осуществляться, если это предусмотрено международными договорами между государством приема персональных данных и КНР.
При этом PIPL устанавливает, что стандарт защиты персональных данных, полученных при трансграничной передаче, за пределами Китая должен быть не ниже стандарта защиты, установленного PIPL.
Операторы персональных данных, осуществляющие трансграничную передачу за пределы Китая и подпадающие под действие PIPL, должны принимать необходимые меры, чтобы иностранные получатели личной информации соответствовали стандартам защиты PIPL. Они несут ответственность за последующую обработку персональных данных получателями.
2. Оператор персональных данных должен предоставить субъекту данных следующую информацию:
- сведения об иностранной принимающей стороне,
- способ передачи,
- цель обработки,
- методы обработки,
- категорию передаваемой личной информации,
- информацию о способах и (или) процедуре защиты прав субъектов персональных данных в соответствии с PIPL в отношениях с иностранной принимающей стороной.
3. Получить согласие на трансграничную передачу данных:
PIPL устанавливает, что согласие должно быть дано физическими лицами при условии полной осведомленности. Заявление о согласии должно быть добровольным и явным.
Согласие лица должно быть получено повторно в случае изменения цели обработки, метода обработки или категорий обрабатываемой личной информации.
Специальные обязанности
Операторы КВИИ и больших объемов персональных данных должны провести оценку безопасности передачи данных совместно с Государственным департаментом кибербезопасности и информатизации. PIPL не уточняет характер оценки и каким критериям для ее прохождения необходимо соответствовать.
Однако если оценка оказалась неудовлетворительной, операторы обязаны хранить персональные данные, собранные и обрабатываемые на территории Китая, в пределах национальной юрисдикции и не могут передавать их за рубеж.
Передача данных по запросу судебных и правоохранительных органов иностранных государств ограничена. PIPL предусматривает обязанность получить согласие на передачу данных от компетентных органов Китая, даже если КНР является участником международного договора, в основу которого положены принципы равенства и взаимной выгоды сторон.
Санкции за несоблюдение PIPL
PIPL устанавливает ряд административных наказаний для операторов персональных данных, которые не выполняют обязательства по защите персональных данных китайских пользователей.
1. Штрафы. Компании и частные лица могут быть оштрафованы на сумму до 1 миллиона юаней (около 155 000 долларов США), если они не исправят действия, признанные нарушением PIPL. При этом директор компании также может быть оштрафован на сумму от 10 000 до 100 000 юаней (примерно от 1600 до 15 500 долларов США) и получить запрет выполнять функции директора / руководителя / старшего менеджера, в том числе в аффилированных компаниях, в течение определенного периода времени.
2. Временное приостановление или прекращение работы мобильных приложений, сайтов и иных программ для ЭВМ, используемых компанией для проведения незаконного сбора или обработки персональных данных.
3. Внесение компании-нарушителя в черный список, что приведет к абсолютным ограничениям на получение персональных данных в будущем.
4. Получение иска от народных прокуроров или правозащитных организаций, аккредитованных Государственным департаментом кибербезопасности и информатизации, в случае если нарушение PIPL произошло в отношении нескольких лиц.
К сожалению, PIPL отличается высокой неопределенностью: он не дает ясности в отношении того, что представляет собой нарушение прав китайских граждан на личную информацию или что квалифицируется как нанесение ущерба национальной безопасности или общественным интересам Китая. Также отсутствует градация по видам нарушений, за которые назначается штраф или иной вид юридической ответственности.
Компании подвергаются особенно строгим наказаниям в тех случаях, когда нарушения квалифицируются «серьезными». Определение серьезного нарушения в PIPL отсутствует.
1. Штрафы.
PIPL предусматривает штрафы для компаний в размере до 50 миллионов юаней (примерно 7 700 000 долларов США) или в размере 5% годового дохода. PIPL не устанавливает предельной величины штрафа.
Стоит отметить, что штрафы за серьезные нарушения в соответствии с GDPR гораздо выше и могут составлять до 20 миллионов евро (примерно 23 486 300 долларов США) или до 4% от общего мирового дохода предприятия за предыдущий финансовый год (в зависимости от того, что выше).
Руководители компаний, ответственные за «серьезные нарушения», могут быть оштрафованы на сумму от 100 000 до 1 миллиона юаней (примерно от 15 500 до 155 000 долларов США), а также могут быть лишены права занимать определенные должности, включая директора, CEO или сотрудника, ответственного за соблюдение требований по защите персональных данных в компании, в течение определенного периода времени.
2. Приостановка деятельности, нарушающей PIPL, до устранения нарушений.
3. Полное прекращение деловой деятельности и аннулирование всех полученных лицензий.
Что в итоге?
1. Китай унифицировал правила и требования для обработки персональных данных. При этом прежнее регулирование остается и работает вместе с новым.
2. Многие концепции PIPL заимствовал из GDPR, что должно облегчить адаптацию к новым правилам. Однако есть ряд уникальных для Китая требований. Например,
- Для трансграничной передачи данных из Китая нужно пройти сертификацию, то есть фактически получить согласие государственных органов;
- Для передачи данных по запросу иностранных судебных и правоохранительных органов необходимо согласие китайского ведомства.
3. Одна из ключевых обязанностей, отличающих PIPL от GDPR, обязанность локализовать персональные данные на территории Китая, а передавать их за границу только после аудита китайским регулятором. Эта обязанность предусмотрена для отдельных категорий, но их критерии сформулированы настолько широко, что могут применяться китайским ведомством произвольно.
4. Формулировки закона прописаны крайне широко и неопределенно. Это создает риск, что проверяющий орган сможет толковать требования так, как ему захочется. Также значительная часть вопросов должна быть урегулирована подзаконными актами государственных органов.
Возможно, из-за этого часть транснациональных IT компаний заявила об уходе с китайского рынка. Например, LinkedIn и Yahoo заявили о прекращении работы своих сервисов в Китае из-за чрезмерных обязанностей, которые налагает PIPL на компании.
5. Закон носит экстерриториальный характер. Следовательно, компании, ориентированные на Китай, должны его соблюдать.
6. Если будет установлено нарушение, компания не только может заплатить штраф, но и лишиться китайского рынка в целом.
-
Приложения3 часа назад
Перевод по фото для iOS и Android 2025
-
Приложения2 дня назад
Решение уравнений по фотографии — приложения для математиков
-
Исследования3 недели назад
Поможет ли новая архитектура React Native отобрать лидерство у Flutter в кроссплатформенной разработке?
-
Интегрированные среды разработки4 недели назад
Лучшая работа с Android Studio: 5 советов