Закон Китайской Народной Республики о защите личной информации

Закон Китая о защите личной информации
Закон Китая о защите личной информации
Всекитайское собрание народных представителей
	скрывать Длинное название Закон Китайской Народной Республики о защите личной информации ;
Территориальная протяженность	Китайская Народная Республика, Китая за исключением специальных административных районов
Принят	13-й Всекитайское собрание народных представителей
Принят	20 августа 2021 г.
Началось	1 ноября 2021 г.
Соответствующее законодательство
	Закон Китайской Народной Республики о кибербезопасности Закон Китайской Народной Республики о безопасности данных
Краткое содержание
	Этот закон сформулирован в целях защиты прав и интересов личной информации, регулирования деятельности по обработке личной информации, а также содействия рациональному использованию личной информации.
Ключевые слова
	Гражданский кодекс
	Статус: Действует

Закон Китайской Народной Республики о защите личной информации (китайский: Zhonghuá Renmin Gongheguó gèren xinxī bǎohù fώ ) называется о защите личной информации Законом Китайской Народной Республики . (« PIPL »), защищающая права и интересы личной информации , стандартизирующая деятельность по обработке личной информации и способствующая рациональному использованию личной информации. Он также касается передачи персональных данных за пределы Китая.

PIPL был принят 20 августа 2021 г. и вступает в силу 1 ноября 2021 г. ^{[ 1 ]} и основывается на них . Он связан с Законом Китая о кибербезопасности («CSL») и Законом Китая о безопасности данных («DSL») ^{[ 2 ]}^: 131

Справочная английская версия была опубликована 29 декабря 2021 г.

История

20 августа 2021 г. Постоянный комитет Всекитайского собрания народных представителей 13-го созыва принял Закон о защите частной информации или («PIPL»). Закон, вступивший в силу 1 ноября 2021 года, распространяется на деятельность по обращению с личной информацией физических лиц на территории Китая.

По сравнению со странами Запада, Китай со временем развивал свои законы о конфиденциальности более медленными темпами. Однако в последние годы Китай более активно разрабатывает правила, поскольку страна считается «глобальной киберсилой». Политика Китая отличается от политики западных стран тем, что их восприятие конфиденциальности отличается по историческим и культурным причинам. ^{[ 3 ]}

ЕС по защите данных («GDPR»), а в некоторых областях PIPL внимательно следит за GDPR. Общий регламент В процессе разработки в качестве модели использовался ^{[ 2 ]}^: 252

Положения

Объем

PIPL обычно распространяется на все организации, работающие в Китае и обрабатывающие личную информацию.

Юрисдикция длинной руки

Некоторые положения также включают длинную юрисдикцию в отношении сбора данных и процессов организаций за пределами Китая. Они применяются, когда:

Целью является предоставление продуктов или услуг физическим лицам внутри границ;
Анализ или оценка деятельности физических лиц внутри границ;
Другие обстоятельства, предусмотренные законами или административными регламентами.

Вероятно, это относится к оффшорным или транснациональным компаниям с китайскими клиентами в Китае. ^{[ 4 ]} например, Amazon , который может доставлять товары китайскому покупателю, или Apple , у которой могут быть китайские пользователи в американском App Store .

Все такие организации обязаны создать специальную организацию или назначить представителя в Китае.

Исключения

Есть несколько исключений, но одно, которое было добавлено во время поздней разработки, обеспечивает юридическую основу для обработки данных сотрудников без согласия, хотя согласие сотрудника по-прежнему необходимо для перевода за границу, например, в глобальную материнскую компанию. ^{[ 5 ]}^{[ 6 ]}

Ключевые темы

личности Конфиденциальность , контроль и согласие являются последовательными темами во всем законе, который устанавливает ключевые принципы, в том числе:

Личная информация — определение личной информации, включая конфиденциальную информацию;
Правовая основа. Весь сбор данных должен иметь правовую основу для сбора. Существует несколько оснований, но, в отличие от GDPR , здесь нет основы законных интересов;
Согласие . Ключевой правовой основой является согласие, которое, в отличие от GDPR, должно быть получено для каждого типа деятельности по обработке данных, особенно для передачи личных данных за границу. Согласие также должно быть «информировано» различными типами уведомлений и необходимым содержанием, указанными в законе;
Конфиденциальные данные. Некоторые типы личной информации являются конфиденциальными, и закон предоставляет открытый список примеров (в отличие от конкретного списка «особых категорий» GDPR), включая биометрию, религию, особый статус, медицинское здоровье, финансовые счета. и отслеживание местоположения;
Защита детей. Вся личная информация несовершеннолетних в возрасте до 14 лет является конфиденциальной, и для обработки этой информации требуется специальное согласие родителей. Это гораздо строже, чем в GDPR;
Индивидуальные права. PIPL предоставляет отдельным лицам несколько ключевых прав на их информацию, например, право исправлять, удалять, просматривать или передавать собранные о них данные.
Обязанности. В нескольких статьях излагаются различные обязанности различных сторон по сбору, передаче и обработке личной информации;
Использование личной информации правительством. PIPL определяет, когда и как государственные учреждения могут собирать и обрабатывать данные о физических лицах, в том числе в целях национальной безопасности , чрезвычайных ситуаций и других целях;
Передача за границу — особые ограничения на передачу персональных данных за пределы Китая;
Правоприменение – суровые наказания за нарушения.

Определения

Закон определяет следующее:

Персональная информация — любой тип информации, которая идентифицирует или может идентифицировать физических лиц, записанная в электронном виде или с помощью других средств, но не включает анонимную информацию.
Конфиденциальная личная информация. Личная информация, которая в случае утечки или незаконного использования может легко привести к посягательствам на достоинство физических лиц или нанесению вреда их личности или имуществу; включая такую информацию, как биометрические данные (включая распознавание лиц), религиозную веру, личные данные, медицинское обслуживание и здоровье, финансовое положение и отслеживание местоположения, а также личную информацию несовершеннолетних в возрасте до 14 лет.
Физические лица — люди, чьи данные собираются для обработки (аналогично субъекту данных GDPR ).
Обработчики личной информации: - Организации или частные лица, которые самостоятельно принимают решения о целях и методах обработки личной информации в деятельности по обработке личной информации.
Доверенные лица — внешние лица, которым Обработчики информации поручают обработку личной информации, по существу, третьим лицам.
Крупные процессоры — компании, которые обрабатывают большие объемы данных, как это определено в статье 40, включая операторов критической информационной инфраструктуры («CIIO») из Положений Китая о критической инфраструктуре.
Обработка личной информации: Обработка личной информации включает сбор, хранение, использование, обработку, передачу, предоставление, раскрытие, удаление личной информации и т. д.
Автоматизированное принятие решений: использование компьютерных программ для автоматического анализа, оценки и принятия решений о личной информации о привычках личного поведения, хобби или экономике, здоровьем, кредитном статусе и так далее.
Де-идентификация: процесс обработки личной информации, чтобы сделать невозможным идентифицировать конкретного естественного человека без помощи дополнительной информации.
Анонимизация: процесс, в котором личная информация обрабатывается так, чтобы ее нельзя было использовать для идентификации конкретного естественного человека и не может быть восстановлен после того, как его обрабатывают.

Юридическая основа

Весь сбор и обработка личной информации должен иметь одну из следующих юридических баз: ^{[ 7 ]}

Полученное согласие отдельных лиц;
При необходимости заключить или выполнить договор, в котором лицо является заинтересованной стороной, или, если это необходимо, для управления человеческими ресурсами в соответствии с законно сформулированными трудовыми правилами и структурами и законно заключенными коллективными контрактами;
При необходимости для выполнения уставных обязанностей и ответственности или уставных обязательств;
При необходимости реагирования на внезапные происшествия в области общественного здравоохранения или защиты жизни и здоровья физических лиц или безопасности их имущества в чрезвычайных ситуациях;
Обработка личной информации в разумных пределах для освещения новостей, наблюдения за общественным мнением и другой подобной деятельности в общественных интересах;
При обращении с персональной информацией, раскрытой самими лицами или иным образом уже раскрытой на законных основаниях, в разумных пределах в соответствии с положениями настоящего Закона.
Иные обстоятельства, предусмотренные законами и административными регламентами.

В отличие от GDPR , здесь нет основы законных интересов. ^{[ 8 ]} Таким образом, большинство потребителей, скорее всего, будут защищены путем предоставления своего прямого согласия (например, на файлы cookie, информационные бюллетени и т. д.) или выполнения контракта (например, на доставку им товаров или предоставление услуг).

Согласие является основной заботой PIPL и ключевой правовой основой, на которой обработчики могут обрабатывать личную информацию.

Если нет другого правового основания для обработки данных, обработчики должны получить согласие на сбор и обработку данных, и это согласие может быть отозвано любым лицом в любое время. Обработчикам не разрешается отказываться от предоставления продуктов или услуг, если физическое лицо отказывается или отзывает свое согласие на несущественную обработку.

Отдельное согласие также требуется в ряде ситуаций:

Передача персональных данных контролерами данных третьим лицам (статья 23);
Публикация персональных данных (статья 25);
Публикация или предоставление персональных данных, собранных с помощью оборудования, установленного в общественных местах в целях безопасности, например личных изображений (статья 26);
Обработка конфиденциальных персональных данных (статья 29); и
Трансграничная передача персональных данных (статья 39).

Согласие в таких ситуациях не может быть «объединено» и, следовательно, должно быть получено отдельно от человека. ^{[ 9 ]}

В случае изменения цели обработки личной информации, метода обработки или категорий обрабатываемой личной информации согласие физического лица должно быть получено повторно. ^{[ 7 ]}

Индивидуальные права

Физические лица имеют несколько конкретных прав в соответствии с PIPL: они могут: ^{[ 7 ]}

Знай и решай: отказывайся и ограничивай обработку своих данных.
Доступ и копирование — просмотр и копирование своих данных.
Правильный или полный — запрос на исправление неточных данных.
Удаление — запросить удаление их информации и/или отозвать согласие.
Объяснение . Обработчики запросов объясняют, как они обращаются с личной информацией человека.
Переносимость — запрос на перемещение своих данных в другой обработчик.

Автоматизированное принятие решений

В PIPL существуют конкретные правила автоматического принятия решений, включая право отдельных лиц отказаться от участия, например, отключение рекомендаций по продуктам.

Закон конкретно требует, чтобы «прозрачность принятия решений, а также честность и справедливость результатов обработки были гарантированы, и они не могут применять необоснованное дифференцированное обращение с отдельными лицами в торговых условиях, таких как торговая цена и т. д.». ^{[ 7 ]}

Компаниям, продвигающим доставку или коммерческие продажи физическим лицам с помощью автоматизированных методов принятия решений, необходимо одновременно предоставить возможность не ориентироваться на характеристики человека или предоставить ему удобный способ отказаться.

Когда использование автоматизированного принятия решений приводит к принятию решений, оказывающих существенное влияние на права и интересы человека, они имеют право требовать от обработчиков личной информации объяснений по этому вопросу, а также имеют право отказать в принятии решений обработчиками личной информации. исключительно за счет автоматизированных методов принятия решений.

Автоматизированное принятие решений определяется как «относится к использованию компьютерных программ для автоматического анализа или оценки личного поведения, привычек, интересов или хобби, а также финансового, медицинского, кредитного или другого статуса и принятия решений». ^{[ 7 ]}

Распознавание лиц

PIPL конкретно охватывает использование распознавания лиц в общественных местах, в том числе то, что его можно использовать только по соображениям общественной безопасности, если каждый человек отдельно не дает согласия:

«Установка оборудования для сбора изображений или распознавания личности в общественных местах должна осуществляться в соответствии с требованиями обеспечения общественной безопасности и соблюдения соответствующих государственных правил, а также должны быть установлены четкие указывающие знаки. Собранные личные изображения и информация о личных отличительных характеристиках личности могут использоваться только для с целью обеспечения общественной безопасности; оно не может использоваться для других целей, за исключением случаев, когда получено отдельное согласие отдельных лиц». ^{[ 7 ]}

Обязанности хендлера

Обработчики личной информации имеют несколько конкретных обязательств: ^{[ 7 ]}

Формирование внутренних структур управления и правил работы;
Внедрение категоризированного управления личной информацией;
Принятие соответствующих технических мер безопасности, таких как шифрование, деидентификация и т. д.;
Разумно определять оперативные ограничения на обработку личной информации и регулярно проводить обучение и обучение сотрудников вопросам безопасности;
Формирование и организация реализации планов реагирования на инциденты, связанные с безопасностью личной информации;
Другие меры, предусмотренные законами или административными регламентами.

Все обработчики должны «регулярно проводить проверки обработки своей личной информации и соблюдения законов и административных правил».

Сотрудники по защите личной информации

Кроме того, в определенном (еще не определенном) масштабе обработки данных обработчики должны назначить «сотрудников по защите личной информации, которые будут отвечать за надзор за деятельностью по обработке личной информации, а также за принятые меры защиты и т. д.».

Оценка воздействия

При следующих обстоятельствах обработчики должны провести оценку воздействия на защиту личной информации и сообщить о результатах: ^{[ 7 ]}

Обработка конфиденциальной личной информации;
Использование личной информации для проведения автоматизированного принятия решений;
Поручение обработки личной информации, предоставление личной информации другим обработчикам личной информации или раскрытие личной информации;
Предоставление личной информации за рубежом;
Другая деятельность по обработке личной информации, имеющая большое влияние на отдельных лиц.

Такие оценки должны включать:

Являются ли цель обработки личной информации, метод обработки и т. д. законными, законными и необходимыми;
Влияние на права и интересы граждан и риски безопасности;
Являются ли принятые защитные меры законными, эффективными и соответствующими степени риска.

Локализация данных

PIPL предъявляет особые требования к локализации данных , хранению и обработке личной информации в Китае. ^{[ 8 ]}

Безопасность данных

Обработчики информации имеют ряд обязанностей, включая принятие следующих мер для обеспечения соответствия обработки личной информации положениям законов и административных правил, а также предотвращения несанкционированного доступа, а также утечки, искажения или потери личной информации :

Формирование внутренних структур управления и правил работы;
Внедрение категоризированного управления личной информацией;
Принятие соответствующих технических мер безопасности, таких как шифрование, деидентификация и т. д.;
Разумно определять оперативные ограничения на обработку личной информации и регулярно проводить обучение и обучение сотрудников вопросам безопасности;
Формирование и организация реализации планов реагирования на инциденты, связанные с безопасностью личной информации;
Другие меры, предусмотренные законами или административными регламентами.

Оценка воздействия

Оценка воздействия требуется в ряде ситуаций, в том числе:

Обработка конфиденциальной личной информации;
Использование личной информации для проведения автоматизированного принятия решений;
Поручение обработки личной информации, предоставление личной информации другим обработчикам личной информации или раскрытие личной информации;
Предоставление личной информации за рубежом;
Другая деятельность по обработке личной информации, имеющая большое влияние на отдельных лиц.

Договорные элементы

Соглашения необходимы, когда обработчик поручает обработку персональных данных другому обработчику. Некоторые юридические фирмы предположили, что это будет отражено в конкретных стандартных договорных положениях («SCC»), аналогичных GDPR . ^{[ 9 ]}

Уведомление о нарушении

Обо всех утечках данных необходимо сообщать внутри компании, и если «возможно причинение вреда», от них могут потребовать уведомить пострадавших лиц. Сведения об уведомлении должны включать:

Категории информации, причины и возможный вред, причиненный утечкой, искажением или потерей, которые произошли или могли произойти;
Меры по исправлению положения, принимаемые обработчиком личной информации, и меры, которые отдельные лица могут принять для уменьшения вреда;
Способ связи с обработчиком личной информации.

Большие обработчики

Крупномасштабные операторы, например те, которые «предоставляют важные услуги интернет-платформы, имеют большое количество пользователей и чьи бизнес-модели сложны», также несут обязательства:

Создать и завершить работу систем и структур по обеспечению соблюдения требований по защите личной информации в соответствии с государственными нормами, а также создать независимый орган, состоящий в основном из внешних членов, для надзора за обстоятельствами, связанными с защитой личной информации;
Соблюдать принципы открытости, честности и справедливости; сформулировать правила платформы; и уточнить стандарты обработки личной информации внутриплатформенными поставщиками продуктов или услуг и их обязанности по защите личной информации;
Прекратить предоставление услуг поставщикам продуктов или услуг на платформе, которые серьезно нарушают законы или административные правила при обработке личной информации;
Регулярно публиковать отчеты о социальной ответственности за защиту личной информации и принимать на себя надзор со стороны общества.

Трансферы за границу

Перемещение личной информации за пределы Китая разрешено только при соблюдении одного из этих условий: ^{[ 7 ]}

Прохождение оценки безопасности, организуемой Государственным департаментом кибербезопасности и информатизации в соответствии со статьей 40 настоящего Закона;
Прохождение сертификации по защите личной информации, проводимой специализированным органом в соответствии с положениями Государственного департамента кибербезопасности и информации;
Заключение договора с иностранной принимающей стороной в соответствии со стандартным договором, сформулированным Государственным департаментом киберпространства и информации, согласовывающим права и обязанности обеих сторон;
Другие условия, предусмотренные законами или административными правилами или Государственным департаментом кибербезопасности и информации.

Все такие передачи требуют отдельного согласия каждого лица и уведомления об «имени или личном имени иностранной принимающей стороны, методе контакта, цели обработки, методах обработки и категориях личной информации, а также о способах или процедурах, позволяющих физическим лицам осуществлять права, предусмотренные в настоящем документе». Право с иностранной принимающей стороной и другие подобные вопросы». ^{[ 7 ]}

Обмен данными с правительствами иностранных государств

Обработчикам информации запрещено передавать любую личную информацию иностранным судебным или правоохранительным органам с разрешения. ^{[ 7 ]}

Это вызвало обеспокоенность среди юридических фирм по поводу того, как транснациональные корпорации будут или могут реагировать на судебные запросы в других странах, такие как ордер на получение данных о китайском гражданине, хранящихся в этих странах.

Государственные ведомства

PIPL включает правовую основу того, как правительство («государственные органы») может собирать и обрабатывать данные. Как правило, правительство должно следовать тем же правилам, что и неправительственные организации, включая уведомления. Есть некоторые исключения, например, когда это «препятствует выполнению государственными органами своих уставных обязанностей и обязанностей». ^{[ 7 ]}

См. также

Цитаты

^ «Закон Китайской Народной Республики о защите личной информации_Сеть Национального народного конгресса Китая» www.npc.gov.cn Проверено 16 октября 2023 г.
^ Перейти обратно: ^а ^б Чжан, Анджела Хуюэ (2024). High Wire: как Китай регулирует крупные технологические отрасли и управляет своей экономикой . Издательство Оксфордского университета . дои : 10.1093/oso/9780197682258.001.0001 . ISBN 9780197682258 .
^ «Недавнее развитие правовой защиты неприкосновенности частной жизни в Китайской Народной Республике» . iris.uniroma1.it . Проверено 6 октября 2023 г.
^ «Китай принимает Закон о защите личной информации, который вступит в силу 1 ноября» . Гибсон Данн . 10 сентября 2021 г. Проверено 29 сентября 2021 г.
^ «Защита личной информации сотрудников в Китае: вы в курсе?» . ООО «Кроуэлл и Моринг» . 25 августа 2021 г. Проверено 29 сентября 2021 г.
^ Брифинг, Китай (2 февраля 2021 г.). «Работодатели в Китае должны быть готовы к соблюдению требований согласно проекту PIPL» . Информационные новости Китая . Проверено 30 сентября 2021 г.
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л «Перевод: Закон Китайской Народной Республики о защите личной информации | DigiChina» . digichina.stanford.edu . Проверено 29 сентября 2021 г.
^ Перейти обратно: ^а ^б «Закон Китая о защите личной информации (PIPL): ответы на ключевые вопросы | Моррисон и Ферстер» . www.mofo.com . Проверено 29 сентября 2021 г.
^ Перейти обратно: ^а ^б «Путешествие только началось: Китай принимает Закон о защите личной информации» . www.hoganlovells.com . Проверено 29 сентября 2021 г.

[1] «Закон Китайской Народной Республики о защите личной информации_Сеть Национального народного конгресса Китая» www.npc.gov.cn Проверено 16 октября 2023 г.

[:Zhang2-2] Перейти обратно: ^а ^б Чжан, Анджела Хуюэ (2024). High Wire: как Китай регулирует крупные технологические отрасли и управляет своей экономикой . Издательство Оксфордского университета . дои : 10.1093/oso/9780197682258.001.0001 . ISBN 9780197682258 .

[3] «Недавнее развитие правовой защиты неприкосновенности частной жизни в Китайской Народной Республике» . iris.uniroma1.it . Проверено 6 октября 2023 г.

[4] «Китай принимает Закон о защите личной информации, который вступит в силу 1 ноября» . Гибсон Данн . 10 сентября 2021 г. Проверено 29 сентября 2021 г.

[5] «Защита личной информации сотрудников в Китае: вы в курсе?» . ООО «Кроуэлл и Моринг» . 25 августа 2021 г. Проверено 29 сентября 2021 г.

[6] Брифинг, Китай (2 февраля 2021 г.). «Работодатели в Китае должны быть готовы к соблюдению требований согласно проекту PIPL» . Информационные новости Китая . Проверено 30 сентября 2021 г.

[:2-7] Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л «Перевод: Закон Китайской Народной Республики о защите личной информации | DigiChina» . digichina.stanford.edu . Проверено 29 сентября 2021 г.

[:1-8] Перейти обратно: ^а ^б «Закон Китая о защите личной информации (PIPL): ответы на ключевые вопросы | Моррисон и Ферстер» . www.mofo.com . Проверено 29 сентября 2021 г.

[:0-9] Перейти обратно: ^а ^б «Путешествие только началось: Китай принимает Закон о защите личной информации» . www.hoganlovells.com . Проверено 29 сентября 2021 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

v т и Конфиденциальность
Principles	Right of access to personal data Expectation of privacy Right to privacy Right to be forgotten Post-mortem privacy
Privacy laws	Australia Brazil Canada China Denmark England European Union Germany Ghana New Zealand Russia Singapore Sri Lanka Switzerland United Kingdom United States California, amended in 2020
Data protection authorities	Australia Denmark European Union France Germany India Indonesia Ireland Isle of Man Netherlands Norway Philippines Poland South Korea Spain Sweden Switzerland Thailand Turkey United Kingdom
Areas	Consumer Digital Education Medical Workplace
Information privacy	Law Financial Internet Facebook Google Twitter Email Personal data Personal identifier Social networking services Privacy-enhancing technologies Privacy engineering Privacy-invasive software Privacy policy Privacy software Secret ballot Virtual assistant privacy
Advocacy organizations	American Civil Liberties Union Center for Democracy and Technology Computer Professionals for Social Responsibility Data Privacy Lab Electronic Frontier Foundation Electronic Privacy Information Center European Digital Rights Future of Privacy Forum Global Network Initiative International Association of Privacy Professionals NOYB Privacy International
See also	Anonymity Cellphone surveillance Data security Eavesdropping Global surveillance Identity theft Mass surveillance Panopticon PRISM Search warrant Wiretapping Human rights Personality rights
Category