+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Китай
    16 сентября 2022

    Китай

     

    ЗАКОНОДАТЕЛЬСТВО КИТАЯ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства. Основные нормативные правовые акты

    Закон «О защите персональных данных» от 2021 года (中华人民共和国 个人 信息 保护 法; The Personal Information Protection Law (далее – PIPL) является специальным комплексным правовым актом в сфере персональных данных Китая.

    Закон «О кибербезопасности» от 2017 года (中华人民共和国 网络 安全 法; The Cybersecurity Law (далее – CSL) содержит требования, применимые к организациям, использующим автоматизированные информационные системы. Закон нацелен на регулирование отношений по защите критически важных информационных систем, расследований атак, сертификации устройств.

    Закон «О безопасности данных» от 2021 года (中华人民共和国 数据 安全 法; The Data Security Law (далее – DSL) фундаментальный закон, регулирующий настройку систем защищенности данных, включая категоризацию и классификацию данных, контроль рисков, реагирование на инциденты.

    Положения об управлении алгоритмическими рекомендациями в сети Интернет от 2022 года (互联网信息服务算法推荐管理规定, Internet Information Service Algorithmic Recommendation Management Provisions), которые нацелены на обеспечение большей прозрачноности и стандартизации работы рекомендательных алгоритмов, предотвращение дискриминации, стимулирование здорового развития информационных услуг в сети Интернет.

    Территориальное действие законодательства о персональных данных

    Законодательство применяется к обработке персональных данных, которая осуществляется на территории Китая.

    Кроме того, законодательство применяется к случаям обработки персональных данных граждан Китая, если обработка осуществляется за пределами Китая в целях:

    • продажи товаров или оказания услуг резидентам;
    • анализа поведения резидентов;
    • в иных случаях, предусмотренных в законе.

    В случаях, когда нарушения зарубежными организациями или физическими лицами прав граждан Китая, либо если их обработка создает угрозу национальной безопасности Китая, такие организации или физические лица могут быть включены в список субъектов, передача данных которым запрещена или ограничена.

    Основные понятия

    Персональные данные – любые сведения, относящиеся к идентифицированному или идентифицируемому физическому лицу, записанные на электронных или иных носителях, за исключением данных обрабатываемых анонимно.

    Чувствительные персональные данные – сведения, которые в случае раскрытия или иного незаконного использования могут причинить вред достоинству физического лица или безопасности его имущества. К таким данным относятся: биометрия, религиозные взгляды, здоровье, финансы, геолокация, данные лиц, не достигших 14 лет лиц.

    Биометрические персональные данные – биометрические образцы, биоподписи, модели биоподписей, биометрические свойства, биометрические данные или комбинация перечисленных данных.

    Решения, принимаемые исключительно на основании автоматизированной обработки – действия по использованию компьютерными программами персональных данных в виде автоматического анализа и оценки поведения и привычек, интересов и хобби, финансовых, данных о здоровье и кредитного статуса физического лица.

    Де-идентификация – процесс обработки данных, в результате которого становится невозможным идентифицировать конкретных субъектов без дополнительной информации.

     Анонимизация – процесс обработки данных, в результате которого безвозвратно теряется возможность идентифицировать конкретных субъектов.

    Основания для обработки персональных данных

    Персональные данные обрабатываются, если:

    • получено согласие субъекта персональных данных. Согласие должно быть информированным, добровольным и явным. В отдельных случаях требуется получать отдельное или письменное согласие. К примеру, отдельное согласие требуется в случае передачи данных третьему лицу или публикации персональных данных субъекта;
    • обработка необходима для исполнения договора, в котором субъект является стороной;
    • обработка необходима для выполнения требований закона;
    • обработка необходима в связи с чрезвычайной ситуацией в сфере здравоохранения, либо для защиты жизни, здоровья, имущества субъектов персональных данных;
    • персональные данные субъекта законно обнародованы. При этом обработка должна осуществляться с той же целью. Если цели не совпадают, требуется согласия субъекта;
    • обработка необходима для публикации статей, мнений и совершения иных действий, вытекающих из публичного интереса.

    Оператор и процессор

    Вместо понятия оператор (или контролер) используется термин «обработчик персональных данных», под которым понимается организация или физическое лицо, независимо определяющее цели и способы обработки персональных данных.

    Лица могут договориться о совместной обработке персональных данных. Для этого они должны заключить соглашение о взаимном распределении прав и обязанностей. Несмотря на соглашение, субъект вправе обращаться к любому лицу для реализации своих прав. Лица, осуществляющие совместную обработку, несут совместную ответственность.

    Обязанности обработчика персональных данных:

    • формулирование внутренних правил обращения с данными;
    • внедрение многоуровневого и разбитого на категории менеджмента обработки персональных данных;
    • применение необходимых технических мер защиты, к примеру, шифрование;
    • определение обоснованных объемов, обрабатываемых персональных данных и проведение тренингов для сотрудников;
    • продумывание и организация мер реагирования на инциденты;
    • иные меры.

    Лица, обрабатывающие персональные данные за пределами Китая, обязаны иметь на территории Китая представителя, ответственного за обработку. Обработчик обязан проводить регулярные аудиты соответствия обработки требованиям закона.

    Обработчики должны проводить оценку рисков в отношении следующих случаев обработки:

    • обработка чувствительных данных;
    • принятие решений, основанных исключительно на основании автоматизированной обработки;
    • делегирование обработки третьему лицу;
    • передача персональных данных за границу;
    • иные виды обработки, существенно воздействующие на субъекта.

    Оценка рисков предполагает: законны ли цели, методы обработки персональных данных, степень влияния обработки на права человека, применяются законные меры защиты и проверка из законности, эффективности.

    В случае утечки, обработки обязан незамедлительно сообщить надзорному органу.

    Процессор – закон допускает сценарий делегирования обработки персональных данных другому лицу, однако не содержит понятия «процессор».

    При делегировании обработки персональных данных обязательно заключение соглашения между сторонами, в котором должны быть указаны:

    • цель обработки персональных данных;
    • период и способы обработки;
    • категории персональных данных, которые будут обрабатываться;
    • меры защиты персональных данных;
    • права и обязанности обеих сторон.

    В дальнейшем лицо, делегировавшее обработку (обработчик персональных данных), обязано контролировать соблюдение соглашения. В случае расторжения соглашения, лицо, которому была делегирована обработка, обязано удалить персональные данные.

    Лицо, которому была делегирована обработка, вправе делегировать ее иному лицу с согласия обработчика персональных данных.

    Данные о детях

    Обработка данных детей требует получения согласия его родителей или иных законных представителей. К детям относятся лица, которым 14 и менее лет. Кроме того, лицо, обрабатывающее персональные данные, обязано прописать отдельную политику обработки для детей.

    Права субъектов: 

    • право быть проинформированным об условиях обработки в соответствующей политике (сведения о лице, обрабатывающем данные; цели и способы обработки; сведения об обработке чувствительных персональных данных; сведения о принятии решений на основании исключительно автоматизированной обработке и тд.);
    • право доступа к данным – субъект вправе запросить сведения о том, какие персональные данные о нем обрабатываются, а также получать копии документов, содержащие его персональные данные;
    • право уточнения – субъект вправе требовать исправления неточных, неполных или неактуальных персональных данных;
    • право требовать удаления данных – субъект вправе требовать прекращения обработки и удаления данных, если: цель обработки достигнута; субъект отозвал согласие; обработка осуществляется незаконно; в иных случаях.
    • право возражать против обработки, отозвать opt-out согласие;
    • право ограничивать обработку;
    • право на перенос данных – субъект вправе требовать перенесения его персональных данных от одного лица, обрабатывающего персональные данные, к другому;
    • право отозвать согласие на обработку персональных данных;
    • право возражать против обработки персональных данных в целях маркетинга;
    • право возражать против принятия решений, основанной исключительно на основании автоматизированной обработки персональных данных;
    • при использовании автоматизированных систем принятия решений обработчик обязан обеспечить максимальный уровень прозрачности, честности и обоснованности такой обработки;
    • право направлять жалобы в надзорный орган.

    Лицо, обрабатывающее персональные данные, не вправе отказать в продаже товара или оказании услуги, если субъект отказался от обработки его персональных данных. Исключение составляют случаи, когда без обработки персональных данных невозможно исполнить обязательства по договору.

    Трансграничная передача персональных данных

    Закон разрешает трансграничную передачу при условии соблюдения хотя бы одного из следующих условий:

    • прохождение оценки обеспечения безопасности Управлением по вопросам кибербезопасности Китая (Cyberspace Administration of China (CAC);
    • получение сертификата о защите персональных данных от специализированных CAC органов;
    • заключение соглашения с иностранным получателем данных, контроль обработки персональных данных иностранным получателем и соблюдения им стандартов законодательства по защите данных;
    • иные условия, предусмотренные законом или подзаконными актами, в том числе актами CAC.

    Перед трансграничной передачей персональных данных требуется получить согласие субъектов, а также проинформировать субъектов о реквизитах и контактных данных получателя данных за рубежом, о целях и способах обработки, обрабатываемых данных и порядке, в котором субъект может реализовать свои права.

    Закон обязывает операторов критических информационных инфраструктур, а также лиц, обрабатывающих персональные данные в объемах, предоставляемых государственным департаментом кибербезопасности и информатизации, хранить данные в пределах границ Китая. При необходимости передачи данных за границу должна быть проведена оценка безопасности. В порядке исключения некоторые специальные законы разрешают трансграничную передачу без согласования.

    Организациям и физическом лицам может быть полностью запрещена трансграничная передача, если она причиняет вред правам и законным интересам гражданам Китая, либо создает угрозу национальной безопасности.

    Если одна из стран применяет дискриминационные запреты и ограничения против Китая в сфере защиты персональных данных, то Китай может принять ответные меры.

    Значимые особенности регулирования:

    • обработка чувствительных персональных данных в отдельных случаях требует получения лицензии;
    • в законе содержится отдельное положение о порядке передачи прав и обязанностей в отношении обработки персональных данных в результате слияний, разделений и иных преобразований компаний. В таких случаях обработчик обязан информировать субъектов о реквизитах и контактах лица, которое становится новым обработчиком;
    • в законе прописан запрет третьим лицам использовать технологию реидентификации, если им были переданы анонимизированные данные;
    • отдельная статья посвящена установке оборудования по сбору изображений субъектов и распознаванию личности в общественных местах. Такие данные могут обрабатываться только для обеспечения общественной безопасности;
    • опубликованные данные можно обрабатывать только в рамках цели, для которой они были изначально опубликованы. Обработчик должен проинформировать субъекта и получить у него согласие в случае, если обработка опубликованных данных осуществляется в целях, отличающихся от целей публикации данных, или оказывает существенное влияние на субъекта.

    Урегулирование споров

    Субъекты персональных данных вправе требовать от обработчика персональных данных компенсации морального вреда в случае нарушения прав и законных интересов незаконной обработкой. Суд определяет размер компенсации исходя из индивидуальных особенностей дела.

    Обработчик освобождается от ответственности, если докажет свою невиновность в случившемся инциденте с персональными данными.

    В случае массового нарушения прав субъектов персональных данных Прокуратура, а также Управление по вопросам кибербезопасности управомочены подать коллективный иск в суд.

    Ответственность

    Обработчики обязаны устранить допущенные нарушения порядка обработки персональных данных. В случае неустранения нарушения они могут быть оштрафованы на сумму до 150 000 долларов. К ответственности в том числе могут быть привлечены их сотрудники в размере от 1 500 до 15 000 евро.

    В случае серьезных нарушений штраф для лиц, осуществляющих обработку, может достигать 7,5 млн евро или 5% от годового оборота. Помимо штрафов в качестве меры ответственности применяется приостановление деятельности до момента исправления нарушений.

    Размер ответственности для сотрудников за серьезные нарушения может составлять от 15 000 евро до 150 000 евро. Помимо прочего им может быть запрещено занимать определенные должности: директора, ответственного за обработку лица, топ-менеджера.

    Надзорный орган в сфере персональных данных, его полномочия

    В соответствии с китайским законодательством осуществлять надзор в сфере обработки персональных данных уполномочены несколько органов. Преимущественно этим занимается Управление по вопросам кибербезопасности Китая (Cyberspace Administration of China (CAC). Наряду с ним надзор осуществляют соответствующие Департаменты государственного Совета, а также региональные департаменты. Госорганы, занимающиеся конкретным сектором, в том числе отвечают за надзор за соблюдением правил обработки персональных данных в рамках своей сферы деятельности. Например, Комиссия по регулированию банковской и страховой деятельности (банковская сфера и страхование), Национальная комиссия по здравоохранению и планированию семьи (здравоохранение), Национальное управление по медицинским изделиям (медицина) и так далее.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению В.А. Ширманова на законодательство     Китайской Народной Республики

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.