Вступивший в силу с 1 ноября 2021 года Закон Китая о защите личной информации (PIPL) является первым значительным для страны и, как ожидается, окажет глубокое влияние как на местные, так и на иностранные компании, инвестирующие средства, ведущие бизнес в Китае и с Китаем.
Вероятно, это будет строго соблюдаться, и многие компании выражают озабоченность по поводу соблюдения новых правил.
На недавно проведенном вебинаре, организованном Dezan Shira & Associates 2 ноября 2021 года, Томас Чжан, ИТ-директор группы Dezan Shira & Associates, представил PIPL и объяснил несколько ключевых соображений для компаний, чтобы составить дорожную карту для соблюдения.
Здесь мы выбрали несколько типичных вопросов, задаваемых компаниями, с краткими ответами. Чтобы прослушать и скачать Закон Китая о защите личной информации.
• PIPL заявляет, что компания должна назначить «лицо, ответственное за защиту личной информации» (个人信 人 人) при обработке личной информации в больших масштабах на основе критериев, указанных CAC. Следовательно, является ли назначение Сотрудника по защите данных (DPO) обязательным в соответствии с PIPL?
– Нет, это не обязательно; однако для компаний, которые не имеют офиса в Китае и всё ещё хотят предоставлять услуги в Китае, необходим генеральный директор или представитель. В общих случаях, когда у компании есть офис в Китае, и они могут найти местного представителя для выполнения роли представителя, нет необходимости иметь DPO. Но мы видели, что у многих компаний недостаточно внутренних ресурсов для поддержки этого, поэтому с этой точки зрения внешний DPO может быть очень полезен для компаний.
• Может ли компания отправлять агрегированную информацию, полученную из личной информации, через границы? Если он не содержит какой-либо конкретной личной информации о гражданах Китая, можем ли мы собрать эти данные и отправить их через границы?
– Да, потому что мы говорим об агрегированных данных, в которых нет никакой конкретной личной информации отдельных лиц. Это означает, что это будут «абстрактные» данные, которые нельзя отследить до одного человека. В этом случае данные не будут рассматриваться как личная информация или как конфиденциальная личная информация, и вам разрешается передавать их за пределы Китая.
• Мы обмениваемся данными с нашей штаб-квартирой в Германии через SAP. Будет ли это рассматриваться как трансграничная передача и потребует оценки воздействия на защиту данных (DPIA)?
– Да. Если ваша ИТ-система расположена в Германии, но ваши бизнес-операции в Китае обрабатывают личную информацию, вам потребуется DPIA. Разрешено ли вам передавать личную информацию за пределы страны или нет, зависит от масштаба личной информации. Администрация киберпространства Китая (CAC) определит критерии, по которым не будет разрешено передавать личную информацию, но пока нам нужно будет дождаться более подробной информации от правительства.
• Если персональные данные передаются в Гонконг, Макао или Тайвань, будет ли это считаться международной передачей данных?
– Да, на данный момент это было бы так, поскольку Гонконг, Тайвань и Макао применяют законы, отличные от законов материкового Китая.
• Требуется ли нам отдельное согласие наших сотрудников, одно для расчёта заработной платы в Китае, а другое для целей управления персоналом, при условии, что все данные будут переданы за пределы Китая в штаб-квартиру в Сингапуре? Необходимо ли в этой ситуации два согласия от сотрудников в Китае?
– Мы считаем, что вы можете использовать одну единственную форму согласия. В этом случае мы понимаем, что цель обработки этой информации для расчёта заработной платы и управления персоналом довольно близка/связана друг с другом. Это обычная практика для компаний обрабатывать зарплату и отдел кадров вместе, поэтому в данном случае мы считаем, что вы можете использовать одну единую форму согласия.
• Существует множество международных школ, хранящих данные об учащихся. Как насчет защиты данных для детей в возрасте до 14 лет? Существуют ли специальные меры защиты в соответствии с PIPL?
– Да. Информация от лиц младше 14 лет будет рассматриваться как конфиденциальная информация. Если вы собираетесь обрабатывать конфиденциальную личную информацию, вы должны получить отдельное согласие и провести DPIA.
• Имя сотрудника и номер мобильного телефона в MS Azure active directory считаются личной информацией?
– Да. Определение личной информации в соответствии с PIPL очень широкое. Для любой информации, которая может быть привязана к одному отдельному лицу, она считается личной информацией. Например, номера мобильных телефонов в Китае привязаны к реальным именам и могут быть подключены к отдельному лицу. Имена также являются своего рода личной информацией. Хотя имя может быть общим и использоваться несколькими людьми, в соответствии с PIPL оно по-прежнему считается личной информацией.
• Как насчёт журналов безопасности (например, брандмауэра и active directory)? Считаются ли они личной информацией, поскольку они обычно связаны с IP-адресом или именем учётной записи и не могут быть легко связаны напрямую с пользователем?
– Да. В соответствии с GDPR IP-адреса определяются как личная информация, и это то же самое для PIPL. Мы знаем, что IP-адреса являются динамическими, но с точки зрения ИТ мы всё ещё можем отслеживать человека по его IP-адресу большую часть времени с определенными усилиями, делая IP-адреса одним из видов личной информации в соответствии с PIPL.
• Если мы храним обработанную личную информацию через стороннего поставщика, такого как Google Диск, входит ли в обязанности поставщика разработка надлежащей защиты информации, соответствующей PIPL?
– Аналогично GDPR, в соответствии с PIPL ответственность за защиту личной информации берёт на себя информационный контроллер – тот, кто принимает решения о том, как собирать и хранить данные. Таким образом, если вы являетесь контролером информации, и вы принимаете решение о сборе личной информации и принимаете решение о её передаче для сохранения на Google Диске, вы несёте ответственность за всё. Конечно, вы можете заключить соглашение об обслуживании со своим поставщиком, чтобы указать, какие меры следует принять для защиты личной информации.
• Если IP-адрес является частным IP-адресом компании, например, 10.0.0.1, считается ли он личной информацией?
– С технической точки зрения, да, это так. Например, в Китае киберполиция требует от компаний установить брандмауэр или устройство безопасности, которое может позволить компании отслеживать журналы доступа пользователей к веб-сайту. Это означает, что даже если вы используете частный IP-адрес своей компании, ваш брандмауэр или система безопасности всё равно могут отслеживать эти записи, и они могут использовать эти записи для отслеживания личности, использующей этот IP-адрес. Однако на практике на текущем этапе информация об IP-адресе действительно является второстепенным фактором для властей. Есть и другие более важные вопросы, на которые власти должны обратить внимание.
Статья «Вопросы и ответы: Как понять внедрение PIPL в Китае?», подготовлена Порталом PRC.TODAY по материалам агентства China Briefing и Thomas Zhang.
Если вам понравилась статья или появились вопросы, оставьте ваш комментарий или обсудите эту статью на форуме.
