Суровый опыт Поднебесной. Система регулирования персональных данных в Китае

BIS Journal №1(48)2023

23 марта, 2023

Суровый опыт Поднебесной. Система регулирования персональных данных в Китае

Начало статьи —  в BIS Journal №4 (47) 2022.

 

ГРАЖДАНСКИЙ КОДЕКС КНР (2021)

中华人民共和国民法典

Глава 6 (ст. 1032–1039) Гражданского кодекса КНР (далее — ГК КНР) посвящена вопросам приватности и защиты персональной информации. Вводится понятие приватность, под которой понимается право физического лица на частную жизнь, на личное пространство, личные занятия и личную информацию, которую такое лицо не хочет раскрывать другим (ст. 1032). Отдельно акцентируется внимание на том, что никто не имеет права вмешиваться в личную жизнь человека, разглашать или публиковать её подробности.

ГК КНР вводит прямой запрет на действия, которые могут нарушить приватность человека ввиду их интрузивности. К числу таких действий относятся:

  • осуществление телефонных звонков, отправка SMS и электронных писем, использование мессенджеров и т. д.;
  • проникновение, фотографирование или подглядывание за личным пространством лица (например, домом или номером);
  • фотографирование или подглядывание за интимными частями тела человека;
  • обработка персональной информации человека и т. д.

Такие действия разрешены только при наличии предварительного явного согласия или иных оснований, предусмотренных законом.

В соответствии со ст. 1034 ГК КНР, персональная информация — это информация, записанная электронно или иным образом, которая самостоятельно или в комбинации с иной информацией может использоваться для идентификации физического лица, включая имя, дату рождения, идентификационный номер, биометрическую информацию, адрес проживания, телефонный номер, адрес электронной почты, информацию о здоровье, местоположение и иное.

ГК КНР включает общие принципы обработки ПДн, такие как законность, минимизация данных и др., а также стандартные права субъектов ПДн — право на получение копий обрабатываемых данных, право на изменение и удаление ПДн.

Лицо, обрабатывающее данные, обязано уведомить надзорный орган и субъектов ПДн о нарушении безопасности ПДн.

В отличие от ГК КНР, PIPL не обязывает:

  • операторов уведомлять субъектов ПДн в случае принятия достаточных мер для предотвращения негативных последствий для субъекта данных;
  • обработчиков уведомлять о нарушении безопасности ПДн ни надзорный орган;
  • ни субъектов данных.

 

Открытым остаётся вопрос, требуется ли отдельное согласие на передачу ПДн обработчику?

Согласно ст. 25 PIPL оператор данных не может разглашать обрабатываемые ПДн, за исключе­нием случаев получения отдельного согласия на такое раскрытие. Ст. 1038 ГК КНР также запрещает раскрывать ПДн третьим лицам в отсутствие согласия субъекта ПДн.

Исходя из данных требований, представляет­ся, что во всех случаях, прямо не предусмотрен­ных законом, оператор обязан получать согласие субъекта на раскрытие его данных третьей сто­роне. В связи с тем остаётся открытым вопрос обеспечения правового основания на передачу ПДн в рамках договора поручения обработки ПДн. Так, PIPL прямо предусматривает обязанность получения отдельного согласия субъекта на передачу персональных данных между самостоятельными операторами. Однако законодатель опускает этот момент в положени­ях, регулирующих передачу данных от оператора обработчи­ку, привлекаемому оператором по договору по­ручения.

Если исходить из того, что PIPL разрабатывался на базе GDPR, такое согласие не требуется, вме­сте с тем общие положения как гражданского законодательства, так и PIPL налагают запрет на раскрытие (предоставление/передачу) ПДн тре­тьим лицам в отсутствие согласия субъекта.

 

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДН

В последнее время с Китаем связаны большие надежды и чаяния отечественного бизнеса. Многие отечественные компании принимают решение о переориентации бизнеса с запада на восток и выходе на китайский рынок. В связи с этим приобретают особую актуальность вопросы, связанные с трансграничной передачей ПДн. Помимо общих требований к трансграничному обмену ПДн, предусмотренных в PIPL и Руководстве по защите персональной информации (信息安全技术:个人信息安全规范), детальные вопросы трансграничной передачи ПДн представлены в Руководстве по сертификации деятельности по трансграничной обработке ПДн (网络安全标准实践指南 — 个人信息跨境处理活动安全认证规范) (далее — Руководство) и Мерах по оценке безопасности трансграничной передачи ПДн (数据出境安全评估办法) (далее — Меры по оценке безопасности). Данные документы регулируют вопросы проведения оценки безопасности трансграничной передачи ПДн, требования к договору между экспортёром и зарубежным импортёром данных, требования к назначению лица, ответственного за обработку ПДн (DPO), права субъектов ПДн в части трансграничной передачи, порядок подачи заявки в надзорный орган на прохождение государственной оценки безопасности трансграничной передачи ПДн и др. Например, при подаче заявки на прохождение государственной оценки безопасности трансграничной передачи оператор данных обязан представить в уполномоченный орган следующий пакет документов:

  1. Заявку на прохождение оценки.
  2. Результаты внутренней оценки безопасности трансграничной передачи.
  3. Соглашение/договор, подлежащий подписанию экспортёром и зарубежным импортёром данных.
  4. Иные материалы по требованию проверяющего органа.

При этом государственная оценка безопасности трансграничной передачи требуется не всегда, а только в случаях, перечень которых содержится в Мерах по оценке безопасности:

  • За рубеж передаётся «важная информация», т. е. данные, которые в случае их компрометации могут нанести ущерб национальной безопасности, экономической деятельности, социальной стабильности, общественному здравоохранению или безопасности.
  • ПДн передаются за рубеж операторами критической информационной инфраструктуры или операторами ПДн, обрабатывающими личную информацию более 1 млн человек.
  • За рубеж передаются ПДн более 100 000 физ. лиц или чувствительные ПДн более 10 000 физлиц.

В случае если государственная оценка безопасности трансграничной передачи ПДн не требуется, следует выполнить одно из стандартных условий, предусмотренных ст. 38 PIPL (приведены в первой части статьи).

 

Практические рекомендации по построению системы обработки ПДн в соответствии с китайским законодательством

Учитывая повышенный интерес бизнеса к китайскому рынку, а также экстерриториальный характер действия PIPL, видится полезным предложить читателю практические рекомендации по приведению компании в соответствие с требованиями законодательства КНР о ПДн.

1. Назначить лицо, ответственное за осуществление контроля за обработкой и защитой ПДн (далее — DPO) (Основание: Ст. 52 PIPL);

2. Довести контактные данные DPO до надзорного органа Китая, а также опубликовать контактные данные DPO в публичном домене (Основание: Ст. 52 PIPL);

3. Назначить лицо, ответственное за обеспечение кибербезопасности (далее — CISO)          (Основание: Ст. 21 Закона о Кибербезопасности);

4. Разработать и внедрить внутренние нормативные документы компании, включая:

Политику обработки ПДн;

  • Регламент (Положение) обработки ПДн;
  • форму реестра процессов, в которых осуществляется обработка ПДн;
  • типовые формы документов (договоры, согласия и т. п.);
  • порядок взаимодействия с субъектами ПДн и надзорным органом, формы уведомления о нарушении безопасности ПДн;
  • ВНД в области кибербезопасности;
  • порядок реагирования на инциденты безопасности ПДн.

(Основание: Ст. 14–17, 51, 55–57 PIPL, Ст. 21 Закона о Кибербезопасности, Ст. 25 Закона о Кибербезопасности [См. также Emergency Response Law of the People’s Republic of China, Production Safety Law of the People’s Republic of China]);

5. Уведомить субъектов ПДн об обработке ПДн до её начала (Основание: Ст. 17 PIPL);

6. Провести анализ и учёт процессов обработки ПДн:

  • выявить процессы, в которых осуществляется обработка ПДн;
  • определить цели, правовые основания и сроки обработки ПДн, перечень третьих лиц, которым осуществляется передача ПДн, для каждого из процессов;
  • обеспечить сбор и систематизированное хранение согласий на обработку ПДн в случае, когда согласие выступает основанием обработки ПДн;
  • имплементировать требования ВНД в процессы;
  • обеспечить сбор и обработку минимально необходимого объёма ПДн для достижения поставленной цели;
  • составить перечень (реестр) процессов обработки ПДн.          

(Основание: Ст. 6, 10, 13, 17, 19 PIPL);

7. Организовать процесс удаления/уничтожения ПДн, обеспечить наличие артефактов, подтверждающих удаление/уничтожение ПДн (Основание: Ст. 47 PIPL);

8. Провести оценку DPIA в случаях, предусмотренных законом, а также обеспечить фиксацию результатов проведённой оценки (Основание: Ст. 55, 56 PIPL; Руководство по оценке воздействия на защиту персональной информации, GB/T 39335-2020);

9. Обеспечить локализацию баз данных на территории КНР в случаях, предусмотренных законом:

  • компания признаётся оператором критической информационной инфраструктуры (в соответствии с Законом [В соответствии со ст. 31 Закона о Кибербезопасности КНР финансовый сектор признаётся критической информационной инфраструктурой]);
  • объёмы обрабатываемых данных достигают размеров, установленных регулятором (Cyber Security Аdministration);

(Основание: Ст. 40 PIPL);

10. Заключить договоры с третьими лицами, с которыми планируется обмен данными (по форме Оператор — Оператор, Оператор — Обработчик). Обеспечить наличие правового основания на передачу ПДн третьим лицам (Основание: Ст. 20, 21, 22, 23, 55, 59 PIPL);

11. Обеспечить законность трансграничной передачи ПДн:

  • определить процессы обработки ПДн, предусматривающие трансграничную передачу ПДн, и внести соответствующую маркировку в Реестр процессов обработки ПДн;
  • исполнить одно из требований к трансграничной передаче, предусмотренных ст. 38 PIPL.

– пройти государственную оценку безопасности (в Cyber Security Administration);

– пройти оценку со стороны специализированного органа КНР;

– заключить с контрагентом SCC установленного образца;

  • удостовериться, что получающая сторона соответствует критериям обработки ПДн, установленным PIPL;
  • уведомить субъектов ПДн о передаче ПДн за рубеж, включая информацию о получателе данных;
  • обеспечить сбор отдельного согласия субъекта на трансграничную передачу ПДн;
  • провести DPIA;

(Основание: Ст. 38–40 PIPL);

12. Внедрить технические и организационные меры защиты ПДн, направленные на предотвращение несанкционированного доступа, утечек, искажения и утраты ПДн:

  • издать политики и процедуры в области защиты информации;
  • установить эксплуатационные ограничения при использовании ПДн;
  • систематически проводить обучение для сотрудников;
  • внедрить технические меры защиты, включая:

– построение системы сетевой защиты;

– внедрение технических мер защиты от компьютерных вирусов, кибератак и др.;

– внедрение системы мониторинга и фиксации инцидентов безопасности;

– внедрение мер классификации данных,

– внедрение мер резервного копирования, шифрования, обезличивания и др.

(Основание: Ст. 9, 51 PIPL; Ст. 21 Закона о Кибербезопасности);

13. Разработать и внедрить план реагирования на инциденты безопасности, включая порядок уведомления надзорного органа об инцидентах безопасности (Ст. 9, 51, 57 PIPL);

14. Обеспечить проведение систематического аудита деятельности по обработке ПДн (Ст. 54 PIPL);

15. Организовать для сотрудников регулярное обучение в области безопасности ПДн (Ст. 51 PIPL);

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных