Шесть вещей, которые вы должны знать о китайском законе о защите личной информации
Китай принял свой первый национальный закон о защите личной информации на прошлой неделе, добавив юридических оснований к проверке в стране сбора и использования личной информации и установив строгие правила в отношении того, как компании и правительственные ведомства должны обращаться с такими данными.
Закон был принят в пятницу, 20 августа 2021 года, Постоянным комитетом 13-го Всекитайского собрания народных представителей (NPC), высшим законодательным органом Китая, и вступит в силу 1 ноября. Полный текст закона был опубликован на сайте NPC.
По словам Ши Цзяю, профессора права Пекинского университета Ренминь, закон, состоящий из 74 статей в восьми главах, «предоставляет владельцам информации максимально полный набор прав» и отражает современные тенденции в защите личной информации.
Китай начал работу над конкретным законом о защите данных в 2003 году, но только в октябре прошлого года законопроект был обнародован. Законопроект обеспечит защиту данных для более чем 900 миллионов пользователей Интернета в Китае, многие из которых столкнулись с нарушениями конфиденциальности, и вступает в силу, когда Пекин усиливает надзор за интернет-индустрией и защитой данных в целом.
Вот шесть вещей, которые вам нужно знать о новом Законе о защите личной информации.
1. Информированное согласие
В законе говорится, что он основан на принципе информированного согласия, что означает, что все обработчики данных должны заранее четко проинформировать владельцев данных о том, как они планируют использовать информацию, и запросить явное согласие владельцев или их законных опекунов, прежде чем делать это.
Обработчик персональных данных определяется в законе как организация или физическое лицо, которые независимо определяют цель сбора и использования персональных данных, а также то, как это осуществляется.
Если есть какие-либо изменения в важных вопросах, связанных с обработкой личной информации, обработчики данных должны снова проинформировать владельцев данных и получить их согласие.
Принцип направлен на то, чтобы гарантировать право граждан знать и решать, как используются их личные данные. Граждане также имеют право отказывать другим в разрешении на использование их данных и ограничивать их использование.
2. Защита «конфиденциальной» информации
Закон включает главу об обработке «конфиденциальной» информации, такой как религиозные убеждения, финансовые данные, местонахождение и личная информация несовершеннолетних в возрасте до 14 лет.
Обработчики данных могут собирать и обрабатывать такую информацию только тогда, когда они имеют конкретную цель и достаточную необходимость, в соответствии со Статьей 28. Положение требует, чтобы обработчики данных выполняли «строгие» меры защиты и получали согласие отдельных лиц. Они также должны информировать людей о том, почему собирается их конфиденциальная информация и какое влияние обработка может оказать на их личные интересы.
В статье говорится, что необходимо установить конкретное правило, регулирующее обработку персональных данных несовершеннолетних.
3. Переносимость информации
Закон включает положение о праве на переносимость личной информации, которое аналогично положениям Общего регламента ЕС по защите данных, который считается одним из самых строгих законов о конфиденциальности и безопасности в мире.
Право предусматривает, что обработчики личной информации должны предоставлять людям средства для передачи их информации, если запросы соответствуют правилам Китая в отношении киберпространства.
Это положение было добавлено в пересмотренный проект, который на прошлой неделе был представлен Постоянному комитету ВСНП для третьего раунда рассмотрения. Инсайдеры юридической отрасли ранее сообщали Caixin, что включение положений о переносимости поможет предотвратить использование предприятиями широты сбора данных для формирования монополии. Это также повысит способность людей принимать решения в отношении их личной информации.
4. Устранение лазеек в больших данных
Обработчики личной информации, которые используют эти данные для автоматического принятия решений, должны обеспечить прозрачность процесса принятия решений, а также справедливость и беспристрастность результатов в соответствии со статьей 24.
По закону автоматическое принятие решений относится к любой деятельности, в которой программное обеспечение используется для анализа и оценки поведения, привычек и интересов человека, а также состояния его здоровья и кредитоспособности.
В статье говорится, что обработчики не должны обращаться с людьми «необоснованно по-разному» на основании автоматических решений, в том числе взимая с разных пользователей разную стоимость товаров или услуг. Кроме того, если автоматическое решение оказывает «значительное влияние» на права человека, они могут попросить обработчиков данных объяснить, как было принято решение.
Эта статья является ответом на современный феномен, когда все большее число компаний используют методы больших данных для анализа и оценки данных о клиентах в целях маркетинга, при этом некоторые используют эти идеи, чтобы относиться к клиентам по-разному или даже вводить в заблуждение и обманывать – сказал Юань Юлай, юрист из Чжэцзяна.
5. Регулирующие государственные учреждения
Закон включает раздел о том, как государственные органы должны обрабатывать персональные данные, требующий от них соблюдения тех же принципов согласия, что и бизнес, за исключением условий, определенных неназванным законом и нормативными актами.
Согласно статье 36 личная информация, обрабатываемая государственными органами, должна храниться внутри страны. Данные, которые необходимо передать за границу, должны сначала пройти оценку безопасности соответствующим отделом.
По словам Юаня, в последние годы некоторые случаи утечки данных выявили слабую осведомленность некоторых отделов о защите личной информации, нестандартных процедурах обработки и неадекватных мерах защиты.
6. Суровые наказания
Шестая глава закона описывает новую систему регулирования, которую будет координировать Администрация киберпространства, департаменты Госсовета и кабинет министров Китая, будут выполнять свои обязанности в соответствии с законом.
Кроме того, соответствующие государственные ведомства на уровне округа и выше также несут ответственность за защиту личной информации граждан, а также за контроль и управление использованием данных. Эти обязанности включают получение жалоб и отчетов от жителей и проведение расследований незаконного поведения.
Закон предусматривает максимальный штраф в размере 50 миллионов юаней (7,72 миллиона долларов) или эквивалент до 5% дохода за предыдущий год для тех, кто незаконно обрабатывает личную информацию, что является одним из самых суровых наказаний в мире.
Наказания также включают принудительное приостановление деятельности для исправления и потенциального отзыва бизнес-лицензий.
Авторы: Цинь Цзяньхан и Ван Синтун , Caixin Global