Портал PRC.TODAY продолжает знакомить вас с усилиями Китая по обеспечению защиты персональных данных граждан.
- Второй проект Закона о защите личной информации был обнародован китайскими властями. Третий проект будет окончательным, после дальнейших консультаций с заинтересованными сторонами.
- Интернет-компаниям и компаниям, обрабатывающим персональные данные в Китае, рекомендуется отслеживать правовые и нормативные изменения, поддерживающие Закон, чтобы быть готовыми к новым требованиям соответствия.
- Обработка персональных данных включает в себя сбор, хранение, использование, передачу, предоставление и публикацию персональных данных.
29 апреля 2021 года Китай опубликовал второй проект Закона о защите личной информации (PIPL), первого в стране всеобъемлющего законодательства о защите персональных данных.
(China Briefing) – Обновленный проект включает в себя более подробные требования о том, какую личную информацию интернет-компаниям разрешено собирать у пользователей и как они должны обрабатывать эти данные.
В частности, обновленный PIPL потребует от некоторых компаний создания независимых надзорных органов для обеспечения управления пользовательской информацией в соответствии с законом.
После очередного раунда консультаций законодатели выпустят третий и окончательный вариант законопроекта, который законодатели рассчитывают принять до конца года. Первая версия PIPL была выпущена в октябре 2020 года.
В то время как PIPL является самым значительным законом о личной информации в процессе разработки, он сопровождается другими аналогичными правовыми и нормативными усилиями, одновременно разрабатываемыми китайскими политиками.
По мере того, как эти правила будут приближаться к завершению, все предприятия с цифровым присутствием в Китае должны будут принять меры для соблюдения новых требований.
Каковы ключевые особенности Китайского Закона о защите личной информации?
PIPL – это далеко идущий закон, который будет регулировать, как личная информация собирается, хранится, используется и совместно используется в Китае. PIPL черпает вдохновение из влиятельного Общего регламента ЕС по защите данных (GDPR), являющийся самым всеобъемлющим в мире законом об управлении данными.
До PIPL использование персональных данных в основном регулировалось различными более мелкими законодательными актами или как компоненты другого национального законодательства. Одним из наиболее значимых является Закон «О кибербезопасности», который регулирует использование, хранение и трансграничную передачу различных видов персональных данных наряду с другими методами управления данными.
Согласно статье 4 проекта PIPL, личная информация – это информация, записанная электронным или иным способом, которая идентифицирует или может идентифицировать лицо. Сюда не входят анонимизированные данные, которые не могут быть прослежены до пользователя.
Основным принципом PIPL является информированное согласие пользователя. PIPL требует, чтобы компании получали согласие пользователей на сбор их информации, описывали, как их информация будет использоваться, и предоставляли пользователям возможность отказаться.
Если пользователи не согласны на обмен данными, компании могут отказать им в предоставлении услуг только в том случае, если их данные необходимы для предоставления таких услуг. Другими словами, компании не могут отказывать в услугах пользователям, которые отказываются от обмена данными, выходящими за рамки основной сферы деятельности компании. Кроме того, пользователи могут запросить просмотр своих персональных данных, хранящихся в компании, а также запросить исправления и удаления.
Компании, нарушающие PIPL, могут быть оштрафованы на сумму до 50 млн юаней (7,74 млн долларов США) или до пяти процентов годового оборота. Эти штрафы аналогичны тем, которые содержатся в GDPR.
Что изменилось во втором проекте?
Наиболее значительным обновлением во втором проекте ПИПЛ является статья 57, которая требует от некоторых компаний создавать независимые надзорные органы, укомплектованные в основном внешним персоналом. Эти надзорные органы аналогичны роли Сотрудника по защите данных (DPO) в GDPR, который является должностью, ответственной за контроль соблюдения правил защиты данных.
Это относится к компаниям, которые являются «базовыми интернет-платформами», имеют большое количество пользователей или имеют сложные операционные модели. Хотя не совсем ясно, к каким типам компаний относится PIPL, его положения, по-видимому, нацелены на интернет, социальные сети и гигантов искусственного интеллекта, таких как Alibaba, Baidu и Tencent – все они обрабатывают огромные объёмы частной информации.
Кроме того, такие компании должны будут публиковать публичные отчёты о социальной ответственности, описывающие действия, которые они предпринимают для защиты конфиденциальности пользователей – процесс, также контролируемый независимым надзорным органом. Это требование является механизмом подотчётности, позволяющим проводить общественный контроль и поощрять компании к принятию практики конфиденциальности информации, выходящей за рамки законодательного минимума.
Обновленный PIPL также включает в себя ряд небольших изменений и уточнений. Статья 49, например, гласит, что права на личную информацию умерших лиц будут осуществляться их ближайшими родственниками.
Как Китай регулирует информационные и интернет-компании?
PIPL является одним из самых важных законов, которые, как ожидают наблюдатели, Китай примет в этом году. Но это не единственный закон, который изменит нормативный ландшафт использования данных.
22 марта 2021 года Администрация киберпространства Китая, Министерство промышленности и информационных технологий (MIIT), Министерство общественной безопасности и Государственная администрация по регулированию рынка совместно выпустили правила, описывающие, какие типы данных считаются «необходимыми» для 39 различных типов мобильных приложений. Как и в PIPL, в правилах говорится, что приложения не должны отказывать пользователям в услугах, если они отказывают в доступе к личным данным за пределами своего бизнеса.
Кроме того, 23 апреля 2021 года Технический комитет по стандартизации Национальной информационной безопасности опубликовал проект правил, которые станут первым национальным стандартом Китая по данным распознавания лиц. Согласно проекту, данные распознавания лиц должны рассматриваться отдельно от других биометрических данных, в том числе требовать письменного разрешения на захват лицевых данных.
26 апреля 2021 года МИИТ опубликовал временное положение об использовании личной информации мобильными приложениями. Регламент определяет ответственность разработчиков приложений, хост-платформ и производителей устройств и подчёркивает важность информированного согласия и минимизации данных. На следующей неделе Сяо Яцин, глава MIIT, заявил, что министерство приказало удалить более 100 приложений из магазинов приложений за предыдущие три месяца за злоупотребление пользовательскими данными.
Также в конце апреля Постоянный комитет Всекитайского собрания народных представителей приступил ко второму рассмотрению проекта Закона о безопасности данных, добавив поправку, которая будет штрафовать компании за обмен данными с зарубежной полицией, судами и следователями без разрешения правительства. Закон «О безопасности данных» является ещё одним законодательным актом, который будет регулировать и ограничивать возможность как китайских, так и иностранных компаний отправлять данные, хранящиеся в Китае за рубежом.
Помимо регулирования данных, китайские регуляторы продвигают антимонопольные дела и законодательство, нацеленное на отечественных технологических гигантов страны. В апреле 2021 года китайские регуляторы наложили на Alibaba штраф в размере 18,23 миллиарда юаней (2,82 миллиарда долларов США) после того, как антимонопольное расследование установило, что компания занималась монополистической практикой и злоупотребляла своим доминирующим положением на рынке. Ма, основатель Tencent, также встречался с антимонопольными чиновниками в марте, хотя его компания до сих пор не была оштрафована.
В совокупности эти различные законы и нормативные усилия создадут новую основу для сбора, использования и обмена данными в Китае. В то время как они будут наиболее непосредственно затрагивать интернет-компании и технологические компании, аспекты будут актуальны практически для всех компаний, которые требуют доступа к персональным данным и их обработки в своей деятельности в Китае.
Таким образом, регулирование персональных данных является главным приоритетом для китайских политиков в 2021 году, и компании могут использовать проекты законов и нормативных актов, чтобы начать подготовку к стандартам соответствия, которые вступят в силу после их окончательного принятия и внедрения в ближайшем будущем.
Статья о Законе Китая «О защите личной информации», другие правила с поправками, подготовлена Порталом PRC.TODAY по материалам корреспондента информационного агентства China Briefing – Александра Чипмана Коти.
Если вам понравилась статья или появились вопросы, оставьте ваш комментарий или обсудите эту статью на форуме.
