20 августа была опубликована финальная редакция Закона о защите персональной информации, который вступит в силу 1 ноября текущего года. Напомним, что данная версия документа — третий вариант, предложенный законодателем, с даты принятия первичного законопроекта 21октября 2020 года.
Закон станет значимым нормативно-правовым актом, регламентирующим сферу конфиденциальности персональной информации, наряду с новым Законом о защите данных и принятым ранее Законом о кибербезопасности. По своему характеру Закон о защите персональной информации основан, в частности, на Общем регламенте по защите данных (речь идет о Регламенте (EU) 2016/679 Европейского Парламента и Совета от 27 апреля 2016 года о защите физических лиц в связи с обработкой персональных данных и о свободной передаче таких данных), но вместе с тем для него характеры отдельные уникальные правовые особенности, соответствующие именно китайскому подходу регулирования профильных правоотношений.
Предлагаем кратко осветить основные требования и риски в рамках Закона о защите персональной информации для компаний, работающих на китайском рынке или нацеленных на него.
Общие принципы обработки персональной информации — уведомление и согласие
В соответствии с Законом ключевым принципом сбора и обработки персональной информации является доктрина уведомления и согласия, за некоторыми исключениями, включая обусловленную договором необходимость для вступления в договорные отношения с физическим лицом или для исполнения установленных законом обязанностей.
Для придания согласию юридической силы уведомление должно включать, помимо прочего, информацию о цели, объеме и методе обработки данных. Кроме того, объем сбора и хранения персональной информации должен являться минимально необходимым для достижения цели обработки информации, которая, в свою очередь, должна являться точной и разумной.
Предоставление дополнительной информации при уведомлении и согласии требуется в случае совершения определенных действий, включая локальную и трансграничную передачу сведений, а также обработку чувствительных конфиденциальных данных, определение которых соответствует положениям Общего регламента по защите данных.
Операторы не могут отказать в оказании услуг на основании отказа дать согласие на обработку персональной информации, если такие сведения не являются существенными для оказания услуг.
Пользователи могут отозвать свое согласие, и лица, обрабатывающие персональную информацию, должны предоставлять возможность направления подобных запросов, а также сообщения информации в случае возникновения прочих затруднений.
Экстерриториальное действие Закона
Как было предусмотрено и в предыдущих версиях Закона, сфера его действия распространяется в отношении физических и юридических лиц, которые осуществляют деятельность за пределами Китая, если задействуется персональная информация физических лиц в Китае, и если целью такой деятельности является предоставление товаров или оказание услуг физическим лицам внутри юрисдикции или для проведения анализа или оценки их деятельности. Данный подход потенциально может иметь ряд существенных последствий для многих компаний, в том числе для компаний, осуществляющих деятельность исключительно за пределами Китая, но пока неизвестно, насколько агрессивно власти КНР будут обеспечивать соблюдение соответствующих положений или какие механизмы они будут использовать в первую очередь.
Так, в частности, в рамках параллельного требования предлагается, чтобы иностранные лица, осуществляющие обработку персональной информации, открывали агентства или назначали специальных представителей в Китае, которые отвечали бы за вопросы, связанные с защитой персональной информации, и обеспечивали бы взаимодействие с представителями власти. Опять же подобный механизм не был апробирован на практике, но вполне возможно, что регуляторы будут стремиться налагать штрафные санкции на представительства за нарушения со стороны их руководителей. Местные филиалы иностранных компаний, обрабатывающих персональную информацию, также могут привлекать внимание ведомств в данном ключе.
Трансграничная передача информации
В случае трансграничной передачи персональной информации компании, обрабатывающие персональные данные, должны получить отдельное согласие от субъекта персональных данных, который раскрывает сведения об иностранном получателе, цели и методе обработки информации.
В отношении операторов критически важной информационной инфраструктуры и компаний, обрабатывающих персональную информацию, которые осуществляют обработку больших объемы данных (отметим, что конкретное пороговое значение на законодательном уровне еще не было установлено), действуют дополнительные ограничения. Указанные организации должны хранить персональную информацию в пределах территории Китая, и трансграничная передача данных оценивается на предмет безопасности со стороны Администрации киберпространства КНР.
Прочие компании, участвующие в обработке персональной информации, могут передавать данные на трансграничной основе только в случае необходимости и при условии выполнения одного из следующих условий:
- обеспечение проведения оценки на предмет безопасности,
- получение сертификата защиты персональной информации, выдаваемого профильным ведомством, или
- заключение соглашения о передаче данных по форме, разработанной государственным органом по регулированию правоотношений в рамках киберпространства.
В отношении определенных категорий данных действует полный запрет на трансграничную передачу.
Так, новым Законом установлен запрет для организаций, осуществляющих обработку персональной информации, на предоставление персональной информации, хранящейся на территории Китая, иностранным правоохранительным или судебным органам без предварительного разрешения компетентных органов КНР. Как и в случае с упомянутыми выше положениями об экстерриториальном характере действия Закона, пока точно не известно, каким образом данная норма будет интерпретироваться и применяться, в особенности в части того, распространяется ли ее действие на персональную информацию, которая хранится как внутри, так и за пределами КНР (т. е. в случае дублирования информации). В любом случае наличие данного положения может породить определенные затруднения для организаций, которые получают запросы на предоставление информации от правоохранительных органах в нескольких юрисдикциях, хотя в рамках Закона о защите персональной информации также предполагается, что китайская сторона будет соблюдать все договоры о совместном использовании данных, стороной которых она является.
Обработка информации с привлечением третьих лиц
Сторонняя обработка информации не является оптимальным решением. Прежде чем привлекать третье лицо для обработки персональной информации, управляющий данными должен провести оценку влияния подобного подхода на защиту информации. Помимо прочего, к соглашению об обработке данных, которое должно быть заключено между такими сторонами, применяются особые требования, включая указание цели, периода и метода обработки по договору, вида обрабатываемой персональной информации, обязательств обеих сторон и т. д. Управляющий данными должен контролировать действия по обработке информации, совершаемые стороной по договору, и вести отчетность, связанную с такой деятельностью.
Организации по обработке персональной информации также должны раскрывать субъекту персональных данных информацию о третьем лице, цели, методе обработки данных, виде обрабатываемой информации, а также должны получить конкретное согласие на обработку информации со стороны именно данного третьего лица.
Поставщики значимых услуг в рамках Интернет платформ
Законом предусмотрено, что организации, обрабатывающие персональную информацию, которые оказывают значимые услуги в рамках Интернет платформ, имеют большое количество пользователей и / или осуществляют определенные сложные виды деятельности, будут нести дополнительные обязательства, как то создание системы соответствия требованиям защиты персональной информации и регулярное опубликование отчетов о защите персональных данных. Отметим, что конкретные критерии для отнесения организации к данной категории субъектов, еще не определены.
Автоматизированный процесс принятия решений
Если организации, обрабатывающие персональную информацию, используют автоматическую систему принятия решений, законодатель требует, чтобы используемый процесс являлся прозрачным, чтобы результаты являлись справедливыми и беспристрастными, и чтобы отсутствовало необоснованное дифференцированное отношение к отдельным лицам с точки зрения договорных цен или других условий сделок. Физическим лицам также должна быть предоставлена возможность отказаться от персонализации на основе автоматизированного процесса принятия решений.
Законом также предусмотрено, что если решение, принятое организацией, обрабатывающей персональную информацию, посредством автоматизированного процесса принятия решений, оказывает существенное влияние на права и интересы физического лица, оно имеет право требовать от данной организации предоставления соответствующего разъяснения, а также право отказаться от решений, принимаемых исключительно посредством автоматизированного процесса.
Данные положения имеют довольно широкий смысл, поэтому для уточнения технических требований целесообразно ожидать принять профильных подзаконных актов.
Штрафы
Законом о защите персональной информации вводятся административные санкции за совершение различных видов нарушений, включая существенные денежные штрафы.
В случае если обработка персональной информации осуществляется в нарушение положений Закона или без принятия необходимых мер защиты, организация, осуществляющая обработку персональных данных, получает предупреждение, и все незаконные доходы подлежат конфискации. При этом приостанавливается или прекращается работа приложения, через которое осуществляется незаконная обработка персональной информации. Если организация откажется исполнять предупреждение, оператор обязан уплатить штраф в размере до 1 млн юаней (около 154 тыс. долларов США). Кроме того, лица, несущие непосредственную ответственность, обязаны уплатить штраф в размере от 10 000 до 100 000 юаней (примерно от 1,5 до 15 тыс. долларов США).
Если обстоятельства дела будут признаны существенными, операторы получат указанное предупреждение, их незаконная прибыль будет конфискована и они должны будут уплатить штраф в размере до 50 млн юаней (около 7,7 млн долларов США) или 5% от их годового оборота за предыдущий год. В их отношении также могут быть вынесены приказы о приостановлении связанной деятельности или приостановлении действия лицензии на ведение бизнеса. Лица, несущие непосредственную ответственность, должны будут уплатить штраф в размере от 100 000 юаней (около 15 тыс. долларов США) до 1 млн юаней (около 154 тыс. долларов США).