В КНР относительно недавно был принят Гражданский Кодекс, который вступит в силу 1 января 2021 года. Принятие подобного законодательного акта – значимое событие в правовой истории юрисдикции; он представляет собой первый комплексный кодифицированный гражданско-правовой документ КНР со времен Империи Цин.
Гражданским Кодексом регламентируются все правоотношения в рамках китайского гражданского права, включая имущественные, договорные, деликтные и семейные аспекты. Кроме того, Кодексом урегулирована защита и обеспечение конфиденциальности персональной информации.
Большинство положений Гражданского Кодекса о защите персональных данных не являются правовыми нововведениями. Подавляющая часть положений Гражданского кодекса представляет собой переформулированные консолидированные действовавшие нормы об обеспечении конфиденциальности, закрепленные в Решении Постоянного комитета при Собрании народных представителей об усилении защиты сетевой информации, Законе о кибербезопасности и Законе о защите прав и интересов потребителей. При этом Гражданским кодексом расширяется сфера действия отдельных положений, в частности, более подробно разъясняются основания для физических лиц для подачи исков в случае нарушения их права на частную жизнь.
Как и ранее действовавшее законодательство КНР, положения Гражданского кодекса о защите персональных данных не являются настолько детальными по сравнению с положениями гонконгского Ордонанса и персональных данных (конфиденциальности) или Общего Регламента ЕС о защите данных (Регламенте Европейского Парламента и Совета (EU) 2016/679). Однако китайские законодатели намерены принять отдельный закон о защите персональной информации и закон о безопасности данных, которые, как ожидается, будут носить более узкий характер.
Положения Части IV Гражданского Кодекса, регламентирующей сферу защиты персональной информации, разделены на несколько логических блоков:
- Ст. 990 – 1000 содержат общие положения о «правах личности», которые включают право физического лица на частную жизнь;
- в Ст. 1032 и 1033 установлен запрет на осуществление деятельности, ущемляющей право физического лица на частную жизнь; речь идет о шпионаже, несанкционированном извлечении информации, фото- и видеосъемке частей тела или личного пространства или отправлении сообщений без явного согласия соответствующего лица; и
- Ст. 1034 – 1039 регламентируют сферу обработки персональной информации.
Законодатели намеренно связали понятия «право на частную жизнь» и «персональная информация». В гражданском кодексе закреплен принцип, согласно которому положения об обеспечении конфиденциальности применяются к «частной информации» в рамках персональных данных; при отсутствии данных положений действуют нормы о защите персональной информации.
Физические лица вправе использовать средства правовой защиты в целях предотвращения нарушения своих прав личности или получения компенсации в том случае, если нарушение имело место. Гражданским кодексом прямо не предусмотрены случаи нарушения прав личности, но при этом в Части IV содержатся рекомендации относительно отнесения к подобным случаям деятельности, запрещенной согласно Ст. 1032 и 1033, и обработки персональной информации в нарушение положений Статей 1034 – 1039. Исключением является информационная журналистика в государственных интересах, но только в том объеме, в котором использование ФИО и прочей персональной информации физического лица является обоснованной мерой.
Под «персональной информацией» понимается информация, фиксируемая в электронной или иной форме, которая позволяет идентифицировать определенное физическое лицо на автономной основе или в совокупности с другой информацией, включая ФИО, дату рождения, номер документа, удостоверяющего личность, биометрическую информацию, адрес, телефон, адрес электронной почты, информацию о состоянии здоровья и месте нахождения. Ключевые положения об обработке персональной информации включают:
- необходимость осуществления обработки персональной информации, которая должна являться законной, обоснованной, и необходимой и не должна являться чрезмерной;
- возможность обработки персональной информации только с прямого согласия физического лица или в соответствии с требованиями закона; при этом Статьей 1036 предусмотрено, что разумная обработка персональной информации допускается также в том случае, если: (а) физическое лицо на добровольной основе раскроет свою персональную информацию и прямо не возражает против обработки; или (б) обработка информации осуществляется в целях защиты государственных интересов или законных прав и интересов физического лица;
- наличие у физических лиц права на получение доступа к персональной информации, которой владеет распорядитель данных о них, и права на корректировку информации, если она является неточной;
- наличие у физических лиц права требовать от распорядителя данных удалять информацию, если обработка данных осуществляться в нарушение закона или соглашения между сторонами;
- обязанность принятия распорядителями данных необходимых мер технического и иного характера в целях обеспечения безопасности персональной информации, которой они владеют; и
- обязанность своевременного принятия распорядителями данных компенсирующих мер в случае нарушения безопасности данных и сообщения информации о нарушении затронутым физическим лицам и соответствующему компетентному органу.
Большинство указанных положений известны международным игрокам, соблюдающим положения Общего Регламента ЕС о защите данных или других нормативно-правовых актов об обеспечении конфиденциальности. Однако по некоторым аспектам они носят более жесткий характер. В частности, согласно Гражданскому кодексу существует крайне малое количество ситуаций, по сравнению со многими другими актами о защите персональных данных, при которых персональная информация может обрабатываться без согласия физического лица.
Как было указано выше, профильные положения о защите информации, включенные в ГК, по сути, дублируют нормы, содержащиеся в Решении об усилении защиты сетевой информации, Законе о кибербезопасности и Законе о защите прав и интересов потребителей. Однако сфера их применения является более широкой. К примеру:
- Решение об усилении защиты сетевой информации ограничивается защитой персональной информации, представленной в электронной форме, а действие Гражданского кодекса распространяется на все формы персональных данных;
- Закон о кибербезопасности применяется только к сетевым операторам, а ГК – ко всем предприятиям, осуществляющим обработку персональной информации, вне зависимости от того, осуществляют ли они управление компьютерными сетями; и
- Законом о защите прав и интересов потребителей защищаются права потребителей товаров и услуг, в то время как положения Гражданского Кодекса применяются ко всем физическим лицам.
Наиболее существенным аспектом в современном урегулировании рассматриваемых правоотношений является упрощение использования физическими лицами средств правовой защиты в случае нарушения безопасности данных. Действовавшим законодательством не были прямо предусмотрены права физических лиц по использованию подобных средств; регламентировалось только полномочие органов власти налагать административные штрафы и предусматривать прочие санкции. Поэтому физическим лицам было затруднительно получать компенсацию в случае нарушения безопасности персональной информации. По одному резонансному делу 42 истца не смогли добиться компенсации от портала Amazon за утечку персональной информации
Гражданским Кодексом разъясняется, что физическое лицо обладает правом обратиться в суд в целях предотвращения фактического или потенциального нарушения своего права на частную жизнь и получения компенсации за понесенный в связи с этим ущерб (в том числе моральный). Суд также вправе вынести распоряжение относительно опубликования извинений или иного публичного заявления. В случае смерти лица, соответствующие права которого были нарушены, в суд с исковым заявлением могут обратиться члены его семьи.
* * *
Новый Гражданский Кодекс, по большей части, дублирует действовавшее законодательство КНР об обеспечении конфиденциальности и защите персональной информации. При этом в его рамках обеспечивается более широкое применение соответствующих положений, и упрощается процедура подачи исковых заявлений в случае нарушения права на защиту персональных данных. Эксперты рекомендуют компаниям, осуществляющим обработку персональной информации в Китае, тщательно проанализировать свою практику гарантирования конфиденциальности персональных данных в целях обеспечения соблюдения положений нового Гражданского Кодекса с 1 января 2021 года.