Закон КНР о защите персональных данных PIPL. Подробный разбор в 2023.

Китайский закон о защите персональных данных (PIPL), что это такое?

Китайский закон о защите персональных данных (PIPL) был принят 20 августа 2021 года на 30-й сессии Постоянного комитета 13-го Национального народного конгресса. Это первый закон национального уровня, который комплексно регулирует вопросы, связанные с защитой личной информации.

Когда вступил в силу Закон PIPL?

Закон PIPL вступил в силу с 1 ноября 2021 года.

Почему важно соответствовать данному закону

Если  вкратце, то если у вас есть китайский сайт (не обязательно на китайском языке), либо приложение в котором предусмотрены средства сбора и анализа персональных данных, куда могут попасть данные граждан КНР (к этому относятся формы обратной связи, регистрации, CRM, аналитика и тд. ), то вам необходимо соответствовать данному закону.

Расположение сайта и юрисдикция компании значения не имеют, так как закон экстерриториальный. И к вам в случае невыполнения может применены штрафные санкции, такие как блокировка ресурса или штраф от 10 000 до 50 000 000 юаней, либо 5% от оборота.

Естественно, что если ваша деятельность не связанна с Китаем, то важность данного закона для вас не очень велика. Но в случае работы с КНР или в случае возможной перспективы, желательно привести ваш сайт в соответствие с PIPL.

Команда Thedimsum.com может вам с этим помочь. Хотите привести ваш сайт в соответствие с PIPL просто свяжитесь с нами.

Далее в статье мы попробуем более детально разобрать данный закон.

Что такое личная информация (PI)?

Личная информация определена как любой вид информации, записанной в электронном или ином виде, относящейся к идентифицированному или определенному физическому лицу на территории Китайской Народной Республики (КНР). Закон PIPL исключает анонимную информацию, которая не может использоваться для идентификации конкретного физического лица и не может быть восстановлена после анонимизации. PIPL ст. 4.

Что означает обработка (или обращение) с личной информацией?

Обработка (иногда переводится как «обращение») включает сбор, хранение, использование, изменение, передачу, предоставление, раскрытие, удаление и т.д. личной информации. PIPL ст. 4.

Какова территориальная сфера действия Закона PIPL?

Закон PIPL применяется к действиям по обработке личной информации на территории КНР. Аналогично Общему регламенту по защите данных (GDPR), Закон PIPL имеет вне территориальный характер. Любая обработка личной информации за пределами Китая также будет подпадать под действие Закона PIPL, если происходит одно из следующих условий:

• Цель обработки — предоставление товаров или услуг физическим лицам, находящимся в пределах КНР.
• Обработка предназначена для анализа или оценки поведения физических лиц, находящихся в пределах КНР.
• Другие обстоятельства, предусмотренные законами и нормативными актами. КНР ст. 3.

Какие виды обработки данных исключены из PIPL?

Обработка данных для личных или семейных дел является исключением из закона. PIPL ст. 72.

Применяется ли PIPL к данным умерших лиц?

Да. Ближайшие родственники умершего человека, в целях защиты законных и легитимных интересов, могут получить доступ, копировать, исправлять или удалять соответствующие данные умершего, если перед смертью не было иного указания. PIPL ст. 49.

Что такое чувствительная информация о личности (SPI)?

PIPL определяет SPI как данные о личности, которые, если раскрыты или незаконно использованы, могут нанести ущерб безопасности или достоинству физического лица. SPI включает информацию о биометрических характеристиках, религиозных убеждениях, специфической идентичности, здоровье, банковских счетах, отслеживании местоположения и т. д. Кроме того, любая информация о личности несовершеннолетнего до 14 лет считается SPI. PIPL ст. 28.

Обрабатывается ли SPI отлично от PI?

Да. Обработка SPI требует определенной цели, достаточной необходимости и более строгих мер защиты. Также требуется отдельное согласие, также может потребоваться письменное согласие, если это предусмотрено другими законами и правилами. PIPL ст. 29.

Кроме того, обработчики данных должны информировать лиц о необходимости обработки SPI и воздействии обработки SPI на их права и интересы. PIPL ст. 30.

Для несовершеннолетних, перед обработкой должно быть получено отдельное согласие родителя или другого опекуна. PIPL ст. 31.

Какие права имеют физические лица (т.е. субъекты данных)?

Если иное не предусмотрено законами или административными правилами, PIPL предоставляет физическим лицам право знать, принимать решения, ограничивать использование или возражать против использования их PI. PIPL ст. 44.

PIPL также предоставляет физическим лицам право на доступ и копирование своей PI с определенными исключениями, а также право на исправление или дополнение своей PI, если она некорректна или неполна. PIPL ст. 45; PIPL ст. 46.

Физические лица могут запросить обработчиков удалить PI, если:

1. обработка больше не является необходимой для указанной цели;
2. обработчик больше не предоставляет продукт или услугу, или истек срок хранения;
3. физические лица отозвали согласие;
4. обработка нарушает определенные законы, правила или соглашения;
5. другие законы или правила предусматривают это. PIPL ст. 47.

PIPL также создает право на передачу данных, при условии, что любая передача новому обработчику удовлетворяет условиям, предусмотренным соответствующими контролирующими органами.

Какие принципы необходимо соблюдать обработчикам персональных данных:

• Законность, справедливость, необходимость и добросовестность. PIPL ст. 5.
• Ограничение цели и минимизация данных. PIPL ст. 6.
• Открытость и прозрачность. PIPL ст. 7.
• Точность и полнота. PIPL ст. 8.
• Безопасность и ответственность. PIPL ст. 9.
• Ограниченное хранение данных. PIPL ст. 19.

Каковы правовые основания для обработки PI?

Китайский закон о защите персональных данных (PIPL) предоставляет несколько правовых оснований для обработки PI:

• Получение согласия физических лиц.
• Если это необходимо для выполнения контракта, стороной которого является соответствующее физическое лицо, или для реализации управления человеческими ресурсами.
• Если это необходимо для выполнения законных обязанностей или обязательств.
• Если это необходимо для реагирования на чрезвычайные ситуации в области общественного здравоохранения или для защиты жизни, здоровья или имущества физических лиц в случае чрезвычайной ситуации.
• Для целей новостного сообщения и других деятельностей, представляющих общественный интерес.
• Для целей обработки PI, уже раскрытых самими физическими лицами или  раскрытых иным законным образом.
• В случаях, когда это разрешено другими законами и правилами.

Что является действительным согласием?

Если согласие служит правовым основанием для обработки PI, согласие физического лица должно быть дано свободно, добровольно, явно и на основе полной информированности. Если цели или способы обработки меняются, или если меняются категории PI, от лица должно быть получено новое согласие на изменение. PIPL ст. 14.

Что такое отдельное согласие?

PIPL требует, чтобы обработчики получали «отдельное согласие» в определенных случаях, не давая определения или пояснения того, что означает «отдельное согласие».

В каких случаях требуется отдельное согласие на обработку персональных данных?

Отдельное согласие на обработку персональных данных требуется в следующих случаях:

• При передаче PI другому обработчику PI. PIPL ст. 23.
• При иных случаях раскрытия PI. PIPL ст. 25.
• При обработке PI, собранной с помощью устройств общественного наблюдения, в целях, отличных от обеспечения общественной безопасности. PIPL ст. 26.
• При обработке SPI.
• При передаче PI за пределы Китайской Народной Республики. PIPL ст. 39.

Есть ли какие-либо специфические требования к рекламе?

В той мере, в которой PI используется для рекламы с помощью автоматического принятия решений, PIPL требует, чтобы обработчики предоставляли физическим лицам возможность не таргетировать рекламу на основе характеристик физических лиц или предоставлять метод отказа от такой рекламы. PIPL ст. 24.

Что такое автоматическое принятие решений?

Автоматическое принятие решений означает использование компьютерных программ для автоматического анализа или оценки поведения, привычек, интересов или увлечений физических лиц или финансового, медицинского или кредитного статуса физических лиц и т.д. PIPL ст. 73.

Обработчики, использующие PI в автоматическом принятии решений, должны обеспечивать прозрачность, справедливость и соблюдение правопорядка в автоматизированных результатах. Обработчикам запрещается осуществлять неразумное дифференцированное обращение с физическими лицами на основе автоматического принятия решений. PIPL ст. 24.

Если использование автоматического принятия решений существенно влияет на права и интересы физического лица, это лицо может потребовать от обработчика объяснения использования такого принятия решений и может запретить обработчику принимать решения, основанные только на его использовании. PIPL ст. 24.

Что такое обработчик Персональных данных?

Обработчик PI (личной информации) означает организации и физические лица, которые самостоятельно определяют цели и способы обработки PI.

PIPL предписывает обработчикам PI следующие обязательства:

• Принять и реализовать программу защиты конфиденциальности, которая классифицирует и управляет PI в соответствии с законами и нормами, включает соответствующие меры безопасности, предотвращает утечки и несанкционированные разглашения, обучает сотрудников и персонал правилам обработки PI и содержит план реагирования на инциденты. PIPL ст. 51.
• Назначить уполномоченного по защите данных (DPO), если обработчик обрабатывает персональные данные, соответствующие еще не определенному порогу, установленному соответствующими контролирующими органами. Обработчики также должны сообщать имя и контактную информацию DPO этим органам. PIPL ст. 52.
• Назначить местного представителя или организацию, ответственную за практику защиты данных, если обработчик работает за пределами Китая и попадает под экстерриториальную юрисдикцию Обработчик должен сообщить имя и контактную информацию этого представителя или организации соответствующим контролирующим органам. PIPL ст. 53.
• Проводить регулярные проверки на соответствие практики защиты данных. PIPL ст. 54.
• Подготовить оценки воздействия на защиту персональной информации (PIPIA) при:

1. обработке SPI;
2. использовании PI для автоматического принятия решений;
3. разглашении PI «доверенным сторонам» (то есть обработчикам данных), другим обработчикам или третьим сторонам;
4. передаче PI за границу;
5. вовлечении в любые другие действия с обработкой, которые существенно влияют на отдельных лиц. PIPL ст. 55.

• Немедленно принять корректирующие меры и уведомить соответствующие контролирующие органы.

Контролирующие органы могут:

• Проводить проверки соблюдения требований PIPL и соответствующих законов и нормативных актов;
• Требовать от управляющих персональными данными представления документов, отчетов, информации и т.д.;
• В случае обнаружения нарушений, вводить штрафные санкции и применять иные административные меры;
• Передавать материалы об административных правонарушениях в суды;
• Участвовать в разрешении споров, связанных с персональными данными.

В случае если управляющий персональными данными отказывается отвечать на запросы контролирующего органа, препятствует проведению проверки или скрывает факты нарушений законодательства, контролирующий орган может наложить штраф или передать дело в суд. PIPL Art. 70.

Доверенное лицо и каковы его основные обязанности?

«Доверенное лицо» аналогично «обработчику данных» в рамках GDPR. Когда обработчик PI поручает обработку PI другому лицу на основании договора, доверенное лицо должно обрабатывать PI согласно договоренностям и не может передавать обработку без согласия обработчика PI. Доверенное лицо не определяет цели и способы обработки, и не может обрабатывать PI за пределами целей и средств, установленных в договоре. PIPL Art. 21.

Доверенное лицо должно принимать необходимые меры для защиты безопасности PI, которую оно обрабатывает, и помогать обработчикам PI выполнять свои обязанности. PIPL Art. 59.

Существуют ли специальные требования для обработки PI несовершеннолетних?

Да. Правила, касающиеся несовершеннолетних, включают в себя:

• PI несовершеннолетнего в возрасте до 14 лет составляет SPI. PIPL Art. 28.
• обработчик, обрабатывающий PI лиц моложе 14 лет, должен подготовить оценку воздействия на защиту PI (PIPIA). PIPL Art. 55.
• Обработчики PI лиц моложе 14 лет должны получить согласие родителя или опекуна. PIPL Art. 31.
• Обработчики PI лиц моложе 14 лет должны принимать «особые правила обработки». PIPL Art. 31.

Есть ли специальные требования к интернет-гигантам?

Да, управляющие персональными данными (PI-обработчики), предоставляющие «крупные» интернет-платформы с большим числом пользователей и сложными видами бизнеса, имеют дополнительные обязательства, изложенные в PIPL Art. 58, включая:

• Установление программы соблюдения защиты ПИ, контролируемой независимым надзорным органом, в составе которого преобладают внешние лица.
• Формулирование правил платформы в соответствии с принципами открытости, справедливости и правосудия, и уточнение стандартов обработки ПИ поставщиками продуктов или услуг внутри платформы.
• Прекращение обслуживания любого поставщика продуктов или услуг, который серьезно нарушает законы и правила обработки ПИ.
• Регулярная подготовка и публикация «отчетов о социальной ответственности» по защите ПИ.

Содержит ли PIPL требования к локализации данных?

Да. PIPL устанавливает несколько сценариев, в которых управляющие ПИ обязаны хранить ПИ, которую они обрабатывают внутри КНР, следующим образом:

• Обработка ПИ государственными органами. PIPL Art. 36. •
• ПИ, собираемая или создаваемая внутри критической информационной инфраструктурой (КИИ) КНР. PIPL Art. 40.

Можно ли передавать ПИ за пределы Китая?

Управляющий ПИ может передавать ПИ за пределы КНР, но только после:

• Получения отдельного информированного согласия от лиц, чьи ПД будут переданы (ст. 39 PIPL);
• Проведения и документирования оценки воздействия на защиту ПД (PIPIA) (ст. 55 PIPL); и
• Соблюдения одного из следующих условий, установленных в ст. 38 PIPL:

1. Пройти оценку безопасности, которую разработают компетентные органы по кибербезопасности правительства.
2. Получить сертификацию защиты ПД, проведенную специализированным органом, определенным компетентными органами по кибербезопасности правительства.
3. Согласиться, вместе с импортером данных, на условия стандартного контракта, который будет разработан компетентными органами по кибербезопасности правительства.
4. Соблюдать другие условия, предусмотренные законом или правилами, установленными компетентными органами по кибербезопасности правительства.
5. Обработчики должны принимать меры, чтобы защита ПД у получателей за рубежом, была эквивалентна стандарту, установленному PIPL (ст. 38 PIPL).

При каких обстоятельствах необходима оценка влияния на защиту персональной информации (PIPIA)?

Организации, обрабатывающие персональную информацию, должны проводить и документировать оценку влияния на защиту персональной информации (PIPIA) перед любым из следующих действий:

• Обработка особо важной персональной информации.
• Использование персональной информации для автоматизированного принятия решений.
• Раскрытие персональной информации доверенным сторонам (т.е. обработчикам данных), другим организациям или третьим лицам.
• Трансграничный перенос персональной информации.
• Осуществление любых других действий по обработке, которые существенно влияют на права и интересы физических лиц. PIPL Art. 55.

Отчеты по оценке влияния на защиту персональной информации должны храниться не менее трех лет. PIPL Art. 56.

Что должно быть включено в отчет по оценке влияния на защиту персональной информации (PIPIA)?

В соответствии с PIPL Art. 56 отчет о PIPIA должен содержать все следующее:

• Являются ли цели или методы обработки персональной информации законными, легитимными и необходимыми.
• Влияние на права и интересы физических лиц, а также любые риски безопасности.
• Являются ли защитные меры законными, эффективными и соответствующими степени риска.

Кто осуществляет контроль за выполнением закона КНР о защите персональных данных  (PIPL)?

Контроль за выполнением PIPL осуществляют определенные органы кибербезопасности, а также соответствующие ведомства под руководством Госсовета, например Министерство общественной безопасности, Государственная администрация по регулированию рынка, Министерство науки и технологий.

Относительно незначительных нарушений любой из вышеуказанных органов может наложить штраф в размере не более 1 миллиона юаней (около 157 000 долларов США), но, если дело серьезное, штраф может наложить только провинциальный или вышестоящий орган власти в размере до 50 миллионов юаней (около 8 миллионов долларов США) или 5% годового дохода. Статья 66 PIPL.

Какие могут быть наложены штрафы в случае нарушения?

В случае незначительного нарушения органы могут наложить:

• Приказ о корректировке, конфискацию незаконных доходов или временную приостановку или прекращение неправомерных практик.
• Штраф до 1 миллиона юаней против нарушителей, которые отказываются исправить свои действия.
• Штраф в размере от 10 000 до 100 000 юаней против прямо ответственного лица. Статья 66 PIPL.

В случае серьезного нарушения провинциальный или вышестоящий орган власти может наложить:

• Приказ о корректировке, конфискацию незаконных доходов, приостановку или закрытие соответствующего бизнеса или отзыв лицензии на осуществление бизнеса.
• Штраф до 50 миллионов юаней или 5% оборота за предыдущий год.
• Штраф в размере от 100 000 до 1 миллиона юаней против прямо ответственного лица.
• Запрет прямо ответственным лицам занимать руководящие должности и должности на определенный период. Статья 66 PIPL.

В обоих случаях такие незаконные действия будут включены в кредитную историю и будут обнародованы.

Какие средства защиты доступны физическим и юридическим лицам (то есть субъектам данных) в случае нарушения PIPL?

Любая организация или физическое лицо имеет право подать жалобу на незаконные практики обработки персональной информации (PI) контролерами в компетентные органы надзора. PIPL Art. 65.

Если контролер отклоняет запросы физических лиц на осуществление своих прав, они могут подать иск в суд. PIPL Art. 50.

В случае незаконной обработки PI, причинившей ущерб правам и интересам физических лиц, прокуратура, потребительские организации, предписанные законом, и другие организации, назначенные соответствующими органами надзора, могут предъявить иск в суд. PIPL Art. 70.