Закон Китайской Народной Республики о защите личной информации

Китайский закон о правах на личную информацию

Закон Китайской Народной Республики о защите личной информации (китайский: 中华人民共和国个人信息保护法; пиньинь: Zhōnghuá rénmín gònghéguó gèrén xìnxī bǎohù fώ ), называемый Законом о защите личной информации или (« PIPL »), защищающий права на личную информацию и интересы, стандартизировать действия по обработке личной информации и способствовать рациональному использованию личной информации. Он также касается передачи персональных данных за пределы Китая.

PIPL был принят 20 августа 2021 г. и вступает в силу 1 ноября 2021 г. ^{[1] Он связан с} Законом Китая о кибербезопасности («CSL») и Законом Китая о безопасности данных («DSL») и основывается на них. .

Справочная английская версия была опубликована 29 декабря 2021 г.

История

20 августа 2021 г. Постоянный комитет Всекитайского собрания народных представителей 13-го созыва принял Закон о защите частной информации или («PIPL»). Закон, вступивший в силу 1 ноября 2021 года, распространяется на деятельность по обращению с личной информацией физических лиц на территории Китая.

По сравнению со странами Запада, Китай со временем развивал свои законы о конфиденциальности более медленными темпами. Однако в последние годы Китай более активно разрабатывает правила, поскольку страна считается «глобальной киберсилой». Политика Китая отличается от политики западных стран тем, что их восприятие конфиденциальности отличается по историческим и культурным причинам. ^[2]

Положения

Объем

PIPL обычно распространяется на все организации, работающие в Китае и обрабатывающие личную информацию.

Юрисдикция длинной руки

Некоторые положения также включают длинную юрисдикцию в отношении сбора данных и процессов организаций за пределами Китая. Они применяются, когда:

1. Целью является предоставление продуктов или услуг физическим лицам внутри границ;
2. Анализ или оценка деятельности физических лиц внутри границ;
3. Другие обстоятельства, предусмотренные законами или административными регламентами.

Предположительно, это относится к оффшорным или транснациональным компаниям с китайскими клиентами в Китае, ^[3] например , Amazon , которая может доставлять товары китайскому покупателю, или Apple , у которой могут быть китайские пользователи в американском App Store .

Все такие организации обязаны создать специальную организацию или назначить представителя в Китае.

Исключения

Есть несколько исключений, но одно, которое было добавлено во время поздней разработки, обеспечивает юридическую основу для обработки данных сотрудников без согласия, хотя согласие сотрудника по-прежнему необходимо для перевода за границу, например, в глобальную материнскую компанию. ^{[4] [5]}

Ключевые темы

Конфиденциальность личности , контроль и согласие являются последовательными темами во всем законе, который устанавливает ключевые принципы, в том числе:

• Личная информация — определение личной информации, включая конфиденциальную информацию;
• Правовая основа. Весь сбор данных должен иметь правовую основу для сбора. Существует несколько оснований, но, в отличие от GDPR , здесь нет основы законных интересов;
• Согласие . Ключевой правовой основой является согласие, которое, в отличие от GDPR, должно быть получено для каждого типа деятельности по обработке данных, особенно для передачи данных человека за границу. Согласие также должно быть «информировано» различными типами уведомлений и необходимым содержанием, указанными в законе;
• Конфиденциальные данные. Некоторые типы личной информации являются конфиденциальными, и закон предоставляет открытый список примеров (в отличие от конкретного списка «особых категорий» GDPR), включая биометрию, религию, особый статус, медицинское здоровье, финансовые счета. и отслеживание местоположения;
• Защита детей. Вся личная информация несовершеннолетних в возрасте до 14 лет является конфиденциальной, и для обработки этой информации требуется специальное согласие родителей. Это гораздо строже, чем в GDPR;
• Индивидуальные права. PIPL предоставляет отдельным лицам несколько ключевых прав на их информацию, например, право исправлять, удалять, просматривать или передавать собранные о них данные.
• Обязанности. В нескольких статьях излагаются различные обязанности различных сторон по сбору, передаче и обработке личной информации;
• Использование личной информации правительством. PIPL определяет, когда и как государственные учреждения могут собирать и обрабатывать данные о физических лицах, в том числе в целях национальной безопасности , чрезвычайных ситуаций и других целях;
• Передача за границу — особые ограничения на передачу персональных данных за пределы Китая;
• Правоприменение – суровые наказания за нарушения.

Определения

Закон определяет следующее:

• Персональная информация — любой тип информации, которая идентифицирует или может идентифицировать физических лиц, записанная в электронном виде или с помощью других средств, но не включает анонимную информацию.
• Конфиденциальная личная информация. Личная информация, которая в случае утечки или незаконного использования может легко привести к посягательствам на достоинство физических лиц или нанесению вреда их личности или имуществу; включая такую ​​информацию, как биометрические данные (включая распознавание лиц), религиозную веру, личные данные, медицинское обслуживание и здоровье, финансовое положение и отслеживание местоположения, а также личную информацию несовершеннолетних в возрасте до 14 лет.
• Физические лица — люди, чьи данные собираются для обработки (аналогично субъекту данных GDPR ).
• Обработчики личной информации: - Организации или частные лица, которые самостоятельно принимают решения о целях и методах обработки личной информации в рамках деятельности по обработке личной информации.
• Доверенные лица — внешние лица, которым Обработчики информации поручают обработку личной информации, по существу, третьим лицам.
• Крупные процессоры — компании, которые обрабатывают большие объемы данных, как это определено в статье 40, включая операторов критической информационной инфраструктуры («CIIO») из Положений Китая о критической инфраструктуре.
• Обработка личной информации. Обработка личной информации включает сбор, хранение, использование, обработку, передачу, предоставление, раскрытие, удаление личной информации и т. д.
• Автоматизированное принятие решений: использование компьютерных программ для автоматического анализа, оценки и принятия решений на основе личной информации о личных привычках поведения, хобби или экономике, здоровье, кредитном статусе и т. д.
• Деидентификация: процесс обработки личной информации, делающий невозможной идентификацию конкретного физического лица без помощи дополнительной информации.
• Анонимизация: процесс, в котором личная информация обрабатывается таким образом, чтобы ее нельзя было использовать для идентификации конкретного физического лица и нельзя было восстановить после такой обработки.

Законное основание

Весь сбор и обработка личной информации должны иметь одно из следующих правовых оснований: ^[6]

1. Получено согласие физических лиц;
2. При необходимости заключения или исполнения договора, в котором физическое лицо является заинтересованной стороной, а также при необходимости осуществления управления человеческими ресурсами в соответствии с законно сформулированными правилами и нормами труда и законно заключенными коллективными договорами;
3. При необходимости для выполнения уставных обязанностей и ответственности или уставных обязательств;
4. При необходимости реагирования на внезапные происшествия в области общественного здравоохранения или защиты жизни и здоровья физических лиц или безопасности их имущества в чрезвычайных ситуациях;
5. Обработка личной информации в разумных пределах для освещения новостей, наблюдения за общественным мнением и другой подобной деятельности в общественных интересах;
6. При обращении с персональной информацией, раскрытой самими лицами или иным образом уже раскрытой на законных основаниях, в разумных пределах в соответствии с положениями настоящего Закона.
7. Иные обстоятельства, предусмотренные законами и административными регламентами.

В отличие от GDPR , здесь нет основы законных интересов. ^[7] Таким образом, большинство потребителей, скорее всего, будут защищены путем предоставления своего прямого согласия (например, на использование файлов cookie, информационных бюллетеней и т. д.) или выполнения контракта (например, на доставку им товаров или предоставление услуг).

Согласие

Согласие является основной заботой PIPL и ключевой правовой основой, на которой обработчики могут обрабатывать личную информацию.

Если нет другого правового основания для обработки данных, обработчики должны получить согласие на сбор и обработку данных, и это согласие может быть отозвано любым лицом в любое время. Обработчикам не разрешается отказываться от предоставления продуктов или услуг, если физическое лицо отказывается или отзывает свое согласие на несущественную обработку.

Отдельное согласие также требуется в ряде ситуаций:

• Передача персональных данных контролерами данных третьим лицам (статья 23);
• Публикация персональных данных (статья 25);
• Публикация или предоставление персональных данных, собранных с помощью оборудования, установленного в общественных местах в целях безопасности, например личных изображений (статья 26);
• Обработка конфиденциальных персональных данных (статья 29); и
• Трансграничная передача персональных данных (статья 39).

Согласие в таких ситуациях не может быть «объединено» и, следовательно, должно быть получено отдельно от человека. ^[8]

В случае изменения цели обработки личной информации, метода обработки или категорий обрабатываемой личной информации согласие физического лица должно быть получено повторно. ^[6]

Индивидуальные права

Лица имеют несколько конкретных прав в соответствии с PIPL: они могут: ^[6]

• Знай и решай: отказывайся и ограничивай обработку своих данных.
• Доступ и копирование — просмотр и копирование своих данных.
• Правильный или полный — запрос на исправление неточных данных.
• Удаление — запросить удаление их информации и/или отозвать согласие.
• Объяснение . Обработчики запросов объясняют, как они обращаются с личной информацией человека.
• Переносимость — запрос на перемещение своих данных в другой обработчик.

Автоматизированное принятие решений

В PIPL существуют конкретные правила автоматического принятия решений, включая право отдельных лиц отказаться от участия, например, отключение рекомендаций по продуктам.

Закон конкретно требует, чтобы «прозрачность принятия решений, а также справедливость и справедливость результатов обработки были гарантированы, и они не могут применять необоснованное дифференцированное обращение с отдельными лицами в торговых условиях, таких как торговая цена и т. д.». ^[6]

Компаниям, продвигающим доставку или коммерческие продажи физическим лицам с помощью автоматизированных методов принятия решений, необходимо одновременно предоставить возможность не ориентироваться на характеристики человека или предоставить человеку удобный способ отказаться.

Когда использование автоматизированного принятия решений приводит к принятию решений, оказывающих существенное влияние на права и интересы человека, они имеют право требовать от обработчиков личной информации объяснений по этому вопросу, а также имеют право отказать в принятии решений обработчиками личной информации. исключительно за счет автоматизированных методов принятия решений.

Автоматизированное принятие решений определяется как «относится к использованию компьютерных программ для автоматического анализа или оценки личного поведения, привычек, интересов или хобби, а также финансового, медицинского, кредитного или другого статуса и принятия решений». ^[6]

Распознавание лиц

PIPL конкретно охватывает использование распознавания лиц в общественных местах, в том числе то, что его можно использовать только в целях общественной безопасности , если каждый человек отдельно не дает согласия:

«Установка оборудования для сбора изображений или распознавания личности в общественных местах должна осуществляться в соответствии с требованиями обеспечения общественной безопасности и соблюдения соответствующих государственных правил, а также должны быть установлены четкие указывающие знаки. Собранные личные изображения и информация о личных отличительных характеристиках личности могут использоваться только для цели обеспечения общественной безопасности; он не может использоваться для других целей, за исключением случаев, когда получено отдельное согласие отдельных лиц». ^[6]

Обязанности хендлера

Обработчики личной информации имеют несколько конкретных обязательств: ^[6]

1. Формирование внутренних структур управления и правил работы;
2. Внедрение категоризированного управления личной информацией;
3. Принятие соответствующих технических мер безопасности, таких как шифрование, деидентификация и т. д.;
4. Разумно определять оперативные ограничения на обработку личной информации и регулярно проводить обучение и обучение сотрудников вопросам безопасности;
5. Формирование и организация реализации планов реагирования на инциденты, связанные с безопасностью личной информации;
6. Другие меры, предусмотренные законами или административными регламентами.

Все обработчики должны «регулярно проводить проверки обработки своей личной информации и соблюдения законов и административных правил».

Сотрудники по защите личной информации

Кроме того, в определенном (еще не определенном) масштабе обработки данных обработчики должны назначить «сотрудников по защите личной информации, которые будут отвечать за надзор за деятельностью по обработке личной информации, а также за принятые меры защиты и т. д.».

Оценка воздействия на

При следующих обстоятельствах обработчики должны провести оценку воздействия на защиту личной информации и сообщить о результатах: ^[6]

1. Обработка конфиденциальной личной информации;
2. Использование личной информации для проведения автоматизированного принятия решений;
3. Поручение обработки личной информации, предоставление личной информации другим обработчикам личной информации или раскрытие личной информации;
4. Предоставление личной информации за рубежом;
5. Другая деятельность по обработке личной информации, имеющая большое влияние на отдельных лиц.

Такие оценки должны включать:

1. Являются ли цель обработки личной информации, метод обработки и т. д. законными, законными и необходимыми;
2. Влияние на права и интересы граждан и риски безопасности;
3. Являются ли принятые защитные меры законными, эффективными и соответствующими степени риска.

Локализация данных

PIPL предъявляет особые требования к локализации данных , хранению и обработке личной информации в Китае. ^[7]

Безопасность данных

Обработчики информации имеют ряд обязанностей, включая принятие следующих мер для обеспечения соответствия обработки личной информации положениям законов и административных правил, а также предотвращения несанкционированного доступа, а также утечки, искажения или потери личной информации :

1. Формирование внутренних структур управления и правил работы;
2. Внедрение категоризированного управления личной информацией;
3. Принятие соответствующих технических мер безопасности, таких как шифрование, деидентификация и т. д.;
4. Разумно определять оперативные ограничения на обработку личной информации и регулярно проводить обучение и обучение сотрудников вопросам безопасности;
5. Формирование и организация реализации планов реагирования на инциденты, связанные с безопасностью личной информации;
6. Другие меры, предусмотренные законами или административными регламентами.

Оценка воздействия

Оценка воздействия требуется в ряде ситуаций, в том числе:

1. Обработка конфиденциальной личной информации;
2. Использование личной информации для проведения автоматизированного принятия решений;
3. Поручение обработки личной информации, предоставление личной информации другим обработчикам личной информации или раскрытие личной информации;
4. Предоставление личной информации за рубежом;
5. Другая деятельность по обработке личной информации, имеющая большое влияние на отдельных лиц.

Договорные элементы

Соглашения необходимы, когда обработчик поручает обработку персональных данных другому обработчику. Некоторые юридические фирмы предположили, что это будет отражено в конкретных стандартных договорных положениях («SCC»), аналогичных GDPR . ^[8]

Уведомление о нарушении

Обо всех утечках данных необходимо сообщать внутри компании, и если «возможно причинение вреда», от них могут потребовать уведомить пострадавших лиц. Сведения об уведомлении должны включать:

1. Категории информации, причины и возможный вред, причиненный утечкой, искажением или потерей, которые произошли или могли произойти;
2. Меры по исправлению положения, принимаемые обработчиком личной информации, и меры, которые отдельные лица могут принять для уменьшения вреда;
3. Способ связи с обработчиком личной информации.

Большие обработчики

Крупномасштабные операторы, например те, которые «предоставляют важные услуги интернет-платформы, имеют большое количество пользователей и чьи бизнес-модели сложны», также несут обязательства:

1. Создать и завершить работу систем и структур по обеспечению соблюдения требований по защите личной информации в соответствии с государственными нормами, а также создать независимый орган, состоящий в основном из внешних членов, для надзора за обстоятельствами, связанными с защитой личной информации;
2. Соблюдать принципы открытости, честности и справедливости; сформулировать правила платформы; и уточнить стандарты обработки личной информации внутриплатформенными поставщиками продуктов или услуг и их обязанности по защите личной информации;
3. Прекратить предоставление услуг поставщикам продуктов или услуг на платформе, которые серьезно нарушают законы или административные правила при обработке личной информации;
4. Регулярно публиковать отчеты о социальной ответственности за защиту личной информации и принимать на себя надзор со стороны общества.

Трансферы за границу

Перемещение личной информации за пределы Китая допускается только при соблюдении одного из этих условий: ^[6]

1. Прохождение оценки безопасности, организуемой Государственным департаментом кибербезопасности и информатизации в соответствии со статьей 40 настоящего Закона;
2. Прохождение сертификации по защите личной информации, проводимой специализированным органом в соответствии с положениями Государственного департамента кибербезопасности и информации;
3. Заключение договора с иностранной принимающей стороной в соответствии со стандартным договором, сформулированным Государственным департаментом киберпространства и информации, согласовывающим права и обязанности обеих сторон;
4. Другие условия, предусмотренные законами или административными правилами или Государственным департаментом кибербезопасности и информации.

Все такие передачи требуют отдельного согласия и уведомления каждого лица о «имени или личном имени иностранной принимающей стороны, методе контакта, цели обработки, методах обработки и категориях личной информации, а также о способах или процедурах для физических лиц по осуществлению прав, предусмотренных в настоящем документе». Право с иностранной принимающей стороной и другие подобные вопросы». ^[6]

Обмен данными с правительствами иностранных государств

Обработчикам информации запрещено передавать любую личную информацию иностранным судебным или правоохранительным органам с разрешения. ^[6]

Это вызвало обеспокоенность среди юридических фирм по поводу того, как транснациональные корпорации будут или могут реагировать на судебные запросы в других странах, такие как ордер на получение данных о китайском гражданине, хранящихся в этих странах.

Государственные департаменты

PIPL включает правовую основу того, как правительство («государственные органы») может собирать и обрабатывать данные. Как правило, правительство должно следовать тем же правилам, что и неправительственные организации, включая уведомления. Есть некоторые исключения, например, когда это «препятствует выполнению государственными органами своих уставных обязанностей и обязанностей». ^[6]

Правоприменение

У PIPL есть несколько механизмов правоприменения, включая предупреждения, приказы о прекращении незаконной деятельности, штрафы и конфискацию незаконных доходов. Незаконные действия также могут быть зарегистрированы в системе социального кредитования Китая . Кроме того, частные лица также могут подать в суд на хендлеров за нарушение их прав.

Реакции

Первоначальная реакция была в основном со стороны многочисленных юридических фирм, публикующих уведомления и официальные документы, в которых излагаются новый закон, его ключевые положения и рекомендованные первоначальные действия по подготовке к его соблюдению.

Статьи Закона

PIPL состоит из восьми глав и 73 статей, касающихся правил обработки, конфиденциальных данных, использования государственных данных, трансграничных переводов, прав физических лиц, обязанностей процессора, юридических обязательств и различных дополнительных положений. ^[9]

Глава 1. Общие положения

• Статья 1. Цель
• Статья 2. Правовая защита личной информации
• Статья 3. Общий объем
• Статья 4. Персональная информация и определение обработки
• Статья 5. Принципы законности, правомерности, необходимости и искренности
• Статья 6. Ясная и разумная цель
• Статья 7. Открытость и прозрачность
• Статья 8. Качество личной информации
• Статья 9. Ответственность несут лица, обрабатывающие персональную информацию
• Статья 10. Запрещение незаконного сбора, использования, обработки или передачи личной информации.
• Статья 11. Структура защиты личной информации
• Статья 12. Международные правила и нормы защиты личной информации

Глава 2. Правила обращения с персональной информацией

Раздел 1: Обычные положения

• Статья 13. Правовая основа обработки
• Статья 14. Согласие и уведомление
• Статья 15. Согласие и отзыв
• Статья 16. Отсутствие отказа в услуге в случае отзыва согласия
• Статья 17. Уведомления
• Статья 18. Исключения из уведомлений
• Статья 19. Сроки хранения информации
• Статья 20. Совместное обращение
• Статья 21. Доверенное обращение
• Статья 22. Оформление переводов
• Статья 23. Предоставление информации другим обработчикам
• Статья 24. Автоматизированное принятие решений
• Статья 25. Разглашение информации запрещено
• Статья 26. Пределы распознавания лиц
• Статья 27. Обращение с публичной информацией

Раздел II: Правила обращения с конфиденциальной личной информацией

• Статья 28. Определение конфиденциальной информации
• Статья 29. Отдельное согласие на обработку конфиденциальной информации
• Статья 30. Уведомление о конфиденциальной информации
• Статья 31. Персональные данные несовершеннолетних
• Статья 32. Применение иных ограничений конфиденциальной информации

Раздел III: Специальные положения о государственных органах, обрабатывающих персональную информацию

• Статья 33. Обращение в государственные органы
• Статья 34. Требования государственного органа
• Статья 35. Обязанности по уведомлению
• Статья 36. Требование к хранению данных в Китае
• Статья 37. Общественные дела

Глава 3. Трансграничное предоставление личной информации

• Статья 38. Условия передачи
• Статья 39. Уведомление и согласие
• Статья 40. Требования к крупномасштабному процессору
• Статья 41. Запросы иностранных судебных или правоохранительных органов
• Статья 42. Нарушения и правоприменение
• Статья 43. Дискриминационные запреты в зарубежной стране или регионе

Глава 4. Права личности

• Статья 44. Право знать, решать, ограничивать и отказываться
• Статья 45. Право на ознакомление, копирование и передачу информации
• Статья 46. Право на исправление
• Статья 47. Право на удаление
• Статья 48. Право требовать объяснений
• Статья 49. Права умершего
• Статья 50. Требования к обработчикам при обработке запросов на права

Глава 5. Обязанности обработчиков личной информации

• Статья 51. Программа защиты личной информации
• Статья 52. Назначение представителей
• Статья 52. Назначение представителей международных хендлеров
• Статья 54. Аудит
• Статья 55. Критерии оценки воздействия
• Статья 56. Требования к оценке воздействия
• Статья 57. Уведомление об утечке данных
• Статья 58. Требования к интернет-платформе
• Статья 59. Требования доверенных лиц

Глава 6. Подразделения, выполняющие обязанности и ответственность по защите личной информации

• Статья 60. Функции государственного департамента кибербезопасности и информации
• Статья 61. Роли службы охраны
• Статья 62. Требования надзора
• Статья 63. Меры охраны
• Статья 64. Обеспечение защиты
• Статья 65. Жалобы и осведомители

Глава 7. Юридическая ответственность

• Статья 66. Право на обжалование
• Статья 67. Денежные взыскания
• Статья 68. Административные штрафы и уголовная ответственность
• Статья 69. Ответственность за ущерб
• Статья 70. Судебный иск
• Статья 71. Наказание и уголовная ответственность

Глава 8. Дополнительные положения

• Статья 72. Освобождение по личным и семейным делам
• Статья 73. Определения
• Статья 74. Дата начала

Смотрите также

• Закон о кибербезопасности Китайской Народной Республики (CSL)
• Информационная безопасность
• Закон о безопасности данных Китайской Народной Республики (DSL)
• Управление данными
• Конфиденциальность информации
• Общий регламент защиты данных (GDPR)
• Закон Калифорнии о конфиденциальности потребителей (CCPA)
• Закон о защите конфиденциальности детей в Интернете (COPPA)
• Программа обмена конфиденциальной информацией между ЕС и США
• Права человека
• Переносимость данных
• Не отслеживать законодательство
• Оценка влияния на конфиденциальность

Цитаты

1. "中华人民共和国个人信息保护法_中国人大网" . www.npc.gov.cn. _ Проверено 16 октября 2023 г.
2. «Недавнее развитие правовой защиты неприкосновенности частной жизни в Китайской Народной Республике». iris.uniroma1.it . Проверено 6 октября 2023 г.
3. «Китай принимает Закон о защите личной информации, который вступит в силу 1 ноября» . Гибсон Данн . 10 сентября 2021 г. Проверено 29 сентября 2021 г.
4. «Защита личной информации сотрудников в Китае - вы в курсе?». ООО «Кроуэлл и Моринг» . 25 августа 2021 г. Проверено 29 сентября 2021 г.
5. Брифинг, Китай (2 февраля 2021 г.). «Работодатели в Китае должны быть готовы к соблюдению требований согласно проекту PIPL». Информационные новости Китая . Проверено 30 сентября 2021 г.
6. «Перевод: Закон Китайской Народной Республики о защите личной информации | DigiChina». digichina.stanford.edu . Проверено 29 сентября 2021 г.
7. «Закон Китая о защите личной информации (PIPL): ответы на ключевые вопросы | Моррисон и Ферстер» . www.mofo.com . Проверено 29 сентября 2021 г.
8. «Путешествие только началось: Китай принимает Закон о защите личной информации» . www.hoganlovells.com . Проверено 29 сентября 2021 г.
9. «Закон Китая о PIPL» . www.npc.gov.cn. _ Проверено 29 сентября 2021 г.

Внешние ссылки

• База данных национальных законов и правил (китайский)
• Китай PIPL — Обзор