Открыть сервис

Закон о защите личной информации КНР

Закон о защите личной информации КНР (кит. 中华人民共和国个人信息保护法, англ. Personal Information Protection Law of the People's Republic of China, сокр. PIPL) — это законодательный акт Китайской Народной Республики, регулирующий сбор, хранение, обработку, передачу и защиту персональных данных физических лиц. Принят Постоянным комитетом Всекитайского собрания народных представителей 20 августа 2021 года, вступил в силу 1 ноября 2021 года. Закон является одним из ключевых элементов китайской системы регулирования цифровой экономики наряду с Законом о кибербезопасности (2017) и Законом о безопасности данных (2021).

История принятия

Разработка закона началась на фоне стремительного роста цифровой экономики Китая и участившихся случаев утечек персональных данных, а также злоупотреблений со стороны интернет-компаний. Первый проект закона был опубликован для общественного обсуждения в октябре 2020 года. После серии консультаций и внесения поправок, финальная версия была одобрена на 30-й сессии Постоянного комитета ВСНП 13-го созыва.

Принятие PIPL было также обусловлено необходимостью гармонизации китайского законодательства с международными стандартами защиты данных, в частности с Общим регламентом по защите данных (GDPR) Европейского союза, и усилением контроля государства над информационными потоками. Закон заменил собой разрозненные нормы, содержавшиеся в различных подзаконных актах и отраслевых стандартах.

Основные положения

Сфера действия

Закон применяется к обработке персональных данных физических лиц на территории КНР. Кроме того, он имеет экстерриториальный эффект: его нормы распространяются на обработку персональных данных граждан Китая за пределами страны, если такая обработка осуществляется с целью предоставления товаров или услуг лицам, находящимся в КНР, или для оценки поведения таких лиц (например, профилирование, анализ потребительских предпочтений).

Определение персональных данных

Под персональными данными понимается любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Закон выделяет особую категорию — чувствительные персональные данные, к которым относятся:

Принципы обработки

Обработка персональных данных должна основываться на следующих принципах:

Правовые основания обработки

Обработка персональных данных допускается только при наличии одного из следующих оснований:

  1. Согласие субъекта данных.
  2. Необходимость для исполнения договора, стороной которого является субъект данных.
  3. Выполнение юридической обязанности, возложенной на оператора.
  4. Защита жизни, здоровья или имущества субъекта данных в чрезвычайных ситуациях.
  5. Обработка данных, сделанных общедоступными субъектом данных.
  6. Осуществление государственных функций или публичных интересов в соответствии с законом.
  7. Иные случаи, предусмотренные законами и административными нормативными актами.

Права субъектов данных

Закон предоставляет физическим лицам следующие права в отношении их персональных данных:

Обязанности операторов

Оператор (контроллер данных) — лицо, самостоятельно определяющее цели и средства обработки персональных данных. На операторов возлагаются следующие обязанности:

Для операторов, обрабатывающих большие объемы чувствительных данных или данные большого числа лиц, предусмотрены дополнительные требования: создание независимого органа по надзору за защитой данных, регулярные аудиты.

Передача данных за пределы КНР

Одним из наиболее строгих аспектов PIPL является регулирование трансграничной передачи персональных данных. Для передачи данных за пределы Китая оператор должен выполнить одно из следующих условий:

  1. Пройти процедуру оценки безопасности, организованную Государственным управлением по защите данных (Cyberspace Administration of China, CAC).
  2. Получить сертификацию по стандарту защиты персональных данных, выданную уполномоченным органом.
  3. Заключить со сторонами-получателями за рубежом типовой контракт, утвержденный CAC.
  4. Иные условия, установленные законами и нормативными актами.

Для критически важной информации и данных государственных органов действуют особо строгие ограничения. Передача данных в страны, не обеспечивающие адекватный уровень защиты, может быть запрещена.

Ответственность за нарушения

Закон предусматривает значительные штрафы и санкции за нарушения:

Сравнение с GDPR

PIPL во многом заимствовал структуру и принципы GDPR, однако имеет существенные отличия:

Влияние на бизнес

Принятие PIPL существенно повлияло на деятельность как китайских, так и международных компаний, работающих на китайском рынке. Многие компании были вынуждены пересмотреть свои политики обработки данных, внедрить новые технические и организационные меры, а также пересмотреть схемы трансграничной передачи данных. Особенно это коснулось технологических гигантов (Alibaba, Tencent, ByteDance), финансовых учреждений, фармацевтических компаний и платформ электронной коммерции. Некоторые международные компании, например, Meta (организация признана экстремистской и запрещена в РФ), столкнулись с дополнительными сложностями при попытке соблюдения требований PIPL.

Критика и проблемы

Закон подвергается критике по нескольким направлениям:

Источники

  1. Personal Information Protection Law of the People's Republic of China (2021). Официальный текст на китайском языке.
  2. Cyberspace Administration of China. Measures for the Assessment of Data Export Security (2022).
  3. Cyberspace Administration of China. Standard Contract for the Export of Personal Information (2023).
  4. Общий регламент по защите данных (GDPR) Европейского союза (2016/679).
  5. Закон Китайской Народной Республики о кибербезопасности (2016).
  6. Закон Китайской Народной Республики о безопасности данных (2021).
  7. Аналитические обзоры международных юридических фирм (Baker McKenzie, DLA Piper, Hogan Lovells) за 2021-2023 гг.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →