Суровый опыт Поднебесной. Система регулирования персональных данных в Китае

BIS Journal №1(48)2023

23 марта, 2023

Суровый опыт Поднебесной. Система регулирования персональных данных в Китае

Начало статьи —  в BIS Journal №4 (47) 2022.

 

ГРАЖДАНСКИЙ КОДЕКС КНР (2021)

中华人民共和国民法典

Глава 6 (ст. 1032–1039) Гражданского кодекса КНР (далее — ГК КНР) посвящена вопросам приватности и защиты персональной информации. Вводится понятие приватность, под которой понимается право физического лица на частную жизнь, на личное пространство, личные занятия и личную информацию, которую такое лицо не хочет раскрывать другим (ст. 1032). Отдельно акцентируется внимание на том, что никто не имеет права вмешиваться в личную жизнь человека, разглашать или публиковать её подробности.

ГК КНР вводит прямой запрет на действия, которые могут нарушить приватность человека ввиду их интрузивности. К числу таких действий относятся:

  • осуществление телефонных звонков, отправка SMS и электронных писем, использование мессенджеров и т. д.;
  • проникновение, фотографирование или подглядывание за личным пространством лица (например, домом или номером);
  • фотографирование или подглядывание за интимными частями тела человека;
  • обработка персональной информации человека и т. д.

Такие действия разрешены только при наличии предварительного явного согласия или иных оснований, предусмотренных законом.

В соответствии со ст. 1034 ГК КНР, персональная информация — это информация, записанная электронно или иным образом, которая самостоятельно или в комбинации с иной информацией может использоваться для идентификации физического лица, включая имя, дату рождения, идентификационный номер, биометрическую информацию, адрес проживания, телефонный номер, адрес электронной почты, информацию о здоровье, местоположение и иное.

ГК КНР включает общие принципы обработки ПДн, такие как законность, минимизация данных и др., а также стандартные права субъектов ПДн — право на получение копий обрабатываемых данных, право на изменение и удаление ПДн.

Лицо, обрабатывающее данные, обязано уведомить надзорный орган и субъектов ПДн о нарушении безопасности ПДн.

В отличие от ГК КНР, PIPL не обязывает:

  • операторов уведомлять субъектов ПДн в случае принятия достаточных мер для предотвращения негативных последствий для субъекта данных;
  • обработчиков уведомлять о нарушении безопасности ПДн ни надзорный орган;
  • ни субъектов данных.

 

Открытым остаётся вопрос, требуется ли отдельное согласие на передачу ПДн обработчику?

Согласно ст. 25 PIPL оператор данных не может разглашать обрабатываемые ПДн, за исключе­нием случаев получения отдельного согласия на такое раскрытие. Ст. 1038 ГК КНР также запрещает раскрывать ПДн третьим лицам в отсутствие согласия субъекта ПДн.

Исходя из данных требований, представляет­ся, что во всех случаях, прямо не предусмотрен­ных законом, оператор обязан получать согласие субъекта на раскрытие его данных третьей сто­роне. В связи с тем остаётся открытым вопрос обеспечения правового основания на передачу ПДн в рамках договора поручения обработки ПДн. Так, PIPL прямо предусматривает обязанность получения отдельного согласия субъекта на передачу персональных данных между самостоятельными операторами. Однако законодатель опускает этот момент в положени­ях, регулирующих передачу данных от оператора обработчи­ку, привлекаемому оператором по договору по­ручения.

Если исходить из того, что PIPL разрабатывался на базе GDPR, такое согласие не требуется, вме­сте с тем общие положения как гражданского законодательства, так и PIPL налагают запрет на раскрытие (предоставление/передачу) ПДн тре­тьим лицам в отсутствие согласия субъекта.

 

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДН

В последнее время с Китаем связаны большие надежды и чаяния отечественного бизнеса. Многие отечественные компании принимают решение о переориентации бизнеса с запада на восток и выходе на китайский рынок. В связи с этим приобретают особую актуальность вопросы, связанные с трансграничной передачей ПДн. Помимо общих требований к трансграничному обмену ПДн, предусмотренных в PIPL и Руководстве по защите персональной информации (信息安全技术:个人信息安全规范), детальные вопросы трансграничной передачи ПДн представлены в Руководстве по сертификации деятельности по трансграничной обработке ПДн (网络安全标准实践指南 — 个人信息跨境处理活动安全认证规范) (далее — Руководство) и Мерах по оценке безопасности трансграничной передачи ПДн (数据出境安全评估办法) (далее — Меры по оценке безопасности). Данные документы регулируют вопросы проведения оценки безопасности трансграничной передачи ПДн, требования к договору между экспортёром и зарубежным импортёром данных, требования к назначению лица, ответственного за обработку ПДн (DPO), права субъектов ПДн в части трансграничной передачи, порядок подачи заявки в надзорный орган на прохождение государственной оценки безопасности трансграничной передачи ПДн и др. Например, при подаче заявки на прохождение государственной оценки безопасности трансграничной передачи оператор данных обязан представить в уполномоченный орган следующий пакет документов:

  1. Заявку на прохождение оценки.
  2. Результаты внутренней оценки безопасности трансграничной передачи.
  3. Соглашение/договор, подлежащий подписанию экспортёром и зарубежным импортёром данных.
  4. Иные материалы по требованию проверяющего органа.

При этом государственная оценка безопасности трансграничной передачи требуется не всегда, а только в случаях, перечень которых содержится в Мерах по оценке безопасности:

  • За рубеж передаётся «важная информация», т. е. данные, которые в случае их компрометации могут нанести ущерб национальной безопасности, экономической деятельности, социальной стабильности, общественному здравоохранению или безопасности.
  • ПДн передаются за рубеж операторами критической информационной инфраструктуры или операторами ПДн, обрабатывающими личную информацию более 1 млн человек.
  • За рубеж передаются ПДн более 100 000 физ. лиц или чувствительные ПДн более 10 000 физлиц.

В случае если государственная оценка безопасности трансграничной передачи ПДн не требуется, следует выполнить одно из стандартных условий, предусмотренных ст. 38 PIPL (приведены в первой части статьи).

 

Практические рекомендации по построению системы обработки ПДн в соответствии с китайским законодательством

Учитывая повышенный интерес бизнеса к китайскому рынку, а также экстерриториальный характер действия PIPL, видится полезным предложить читателю практические рекомендации по приведению компании в соответствие с требованиями законодательства КНР о ПДн.

1. Назначить лицо, ответственное за осуществление контроля за обработкой и защитой ПДн (далее — DPO) (Основание: Ст. 52 PIPL);

2. Довести контактные данные DPO до надзорного органа Китая, а также опубликовать контактные данные DPO в публичном домене (Основание: Ст. 52 PIPL);

3. Назначить лицо, ответственное за обеспечение кибербезопасности (далее — CISO)          (Основание: Ст. 21 Закона о Кибербезопасности);

4. Разработать и внедрить внутренние нормативные документы компании, включая:

Политику обработки ПДн;

  • Регламент (Положение) обработки ПДн;
  • форму реестра процессов, в которых осуществляется обработка ПДн;
  • типовые формы документов (договоры, согласия и т. п.);
  • порядок взаимодействия с субъектами ПДн и надзорным органом, формы уведомления о нарушении безопасности ПДн;
  • ВНД в области кибербезопасности;
  • порядок реагирования на инциденты безопасности ПДн.

(Основание: Ст. 14–17, 51, 55–57 PIPL, Ст. 21 Закона о Кибербезопасности, Ст. 25 Закона о Кибербезопасности [См. также Emergency Response Law of the People’s Republic of China, Production Safety Law of the People’s Republic of China]);

5. Уведомить субъектов ПДн об обработке ПДн до её начала (Основание: Ст. 17 PIPL);

6. Провести анализ и учёт процессов обработки ПДн:

  • выявить процессы, в которых осуществляется обработка ПДн;
  • определить цели, правовые основания и сроки обработки ПДн, перечень третьих лиц, которым осуществляется передача ПДн, для каждого из процессов;
  • обеспечить сбор и систематизированное хранение согласий на обработку ПДн в случае, когда согласие выступает основанием обработки ПДн;
  • имплементировать требования ВНД в процессы;
  • обеспечить сбор и обработку минимально необходимого объёма ПДн для достижения поставленной цели;
  • составить перечень (реестр) процессов обработки ПДн.          

(Основание: Ст. 6, 10, 13, 17, 19 PIPL);

7. Организовать процесс удаления/уничтожения ПДн, обеспечить наличие артефактов, подтверждающих удаление/уничтожение ПДн (Основание: Ст. 47 PIPL);

8. Провести оценку DPIA в случаях, предусмотренных законом, а также обеспечить фиксацию результатов проведённой оценки (Основание: Ст. 55, 56 PIPL; Руководство по оценке воздействия на защиту персональной информации, GB/T 39335-2020);

9. Обеспечить локализацию баз данных на территории КНР в случаях, предусмотренных законом:

  • компания признаётся оператором критической информационной инфраструктуры (в соответствии с Законом [В соответствии со ст. 31 Закона о Кибербезопасности КНР финансовый сектор признаётся критической информационной инфраструктурой]);
  • объёмы обрабатываемых данных достигают размеров, установленных регулятором (Cyber Security Аdministration);

(Основание: Ст. 40 PIPL);

10. Заключить договоры с третьими лицами, с которыми планируется обмен данными (по форме Оператор — Оператор, Оператор — Обработчик). Обеспечить наличие правового основания на передачу ПДн третьим лицам (Основание: Ст. 20, 21, 22, 23, 55, 59 PIPL);

11. Обеспечить законность трансграничной передачи ПДн:

  • определить процессы обработки ПДн, предусматривающие трансграничную передачу ПДн, и внести соответствующую маркировку в Реестр процессов обработки ПДн;
  • исполнить одно из требований к трансграничной передаче, предусмотренных ст. 38 PIPL.

– пройти государственную оценку безопасности (в Cyber Security Administration);

– пройти оценку со стороны специализированного органа КНР;

– заключить с контрагентом SCC установленного образца;

  • удостовериться, что получающая сторона соответствует критериям обработки ПДн, установленным PIPL;
  • уведомить субъектов ПДн о передаче ПДн за рубеж, включая информацию о получателе данных;
  • обеспечить сбор отдельного согласия субъекта на трансграничную передачу ПДн;
  • провести DPIA;

(Основание: Ст. 38–40 PIPL);

12. Внедрить технические и организационные меры защиты ПДн, направленные на предотвращение несанкционированного доступа, утечек, искажения и утраты ПДн:

  • издать политики и процедуры в области защиты информации;
  • установить эксплуатационные ограничения при использовании ПДн;
  • систематически проводить обучение для сотрудников;
  • внедрить технические меры защиты, включая:

– построение системы сетевой защиты;

– внедрение технических мер защиты от компьютерных вирусов, кибератак и др.;

– внедрение системы мониторинга и фиксации инцидентов безопасности;

– внедрение мер классификации данных,

– внедрение мер резервного копирования, шифрования, обезличивания и др.

(Основание: Ст. 9, 51 PIPL; Ст. 21 Закона о Кибербезопасности);

13. Разработать и внедрить план реагирования на инциденты безопасности, включая порядок уведомления надзорного органа об инцидентах безопасности (Ст. 9, 51, 57 PIPL);

14. Обеспечить проведение систематического аудита деятельности по обработке ПДн (Ст. 54 PIPL);

15. Организовать для сотрудников регулярное обучение в области безопасности ПДн (Ст. 51 PIPL);

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

21.02.2024
«Не являлся значимым кредитором реального сектора экономики». Регулятор лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер
20.02.2024
Китай считает кибератаки из-за рубежа
20.02.2024
«Тинькофф» выявляет скамерский след в кредитных заявках
20.02.2024
Из банков утекает всё больше ПДн россиян
20.02.2024
В январе в открытый доступ попали 62 базы данный
20.02.2024
Национальная база генетической информации уже вот-вот…

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных