Серьезное нарушение конфиденциальности персональных данных в Китае может повлечь за собой уголовное наказание.
В Китае принят ряд законов, правил и положений, регулирующих сбор, использование и обработку персональных данных. В частности, Закон о защите персональных данных (PIPL), вступивший в силу с 1 ноября 2021 года, регулирует использование и раскрытие персональных данных в Китае.
Недавно, 28 декабря 2022 года, Верховный народный суд издал «Руководящие дела» № 35 (далее – «Руководящие дела»), призванные внести ясность в порядок уголовного преследования. В «Руководстве» № 35 даются определения уголовным правонарушениям, связанным с персональными данными, в рамках четырёх уголовных дел. Также устанавливается конкретный перечень персональных данных, защищаемых в соответствии с уголовным законодательством, включая:
- Распознавание лиц,
- Удостоверение личности резидента,
- Номер аккаунта в социальных сетях,
- Номер мобильного подтверждения.
Уголовная ответственность
Незаконное получение такой личной информации считается серьезным правонарушением, и нарушителям грозит лишение свободы на срок до трех лет или арест, а также одновременное или раздельное наказание в виде штрафа.
При этом, если обстоятельства признаны особо тяжкими, лицо наказывается лишением свободы на срок от трёх до семи лет с одновременным назначением штрафа (статья 253а Уголовного кодекса).
Поэтому важно разработать механизмы контроля и кодекс поведения сотрудников для снижения рисков и своевременного выявления и устранения нарушений, чтобы избежать негативного общественного мнения.
Случай первый: распознавание лиц
Распознавание лиц относится к технологии распознавания лиц и технологиям, основанным на генерации информации о лицах, включая:
- может определить личность конкретного физического лица или;
- в совокупности с другой информацией отражает деятельность конкретного физического лица.
И определяется как личная информация гражданина в соответствии с Уголовным кодексом.
В рамках дела обвиняемый создал хакерское программное обеспечение, замаскированное под приложение для распознавания лиц, чтобы незаконно получать фотографии пользователей, скачавших это приложение. Обвиняемый был приговорён к трём годам тюремного заключения и штрафу в размере 10 000 юаней.
Кроме того, сбор данных распознавания лиц считается биометрией и относится к конфиденциальной персональной информации. Компании, обрабатывающие биометрические данные, обязаны соблюдать строгие требования, такие как защита таких данных и получение специального согласия на их раскрытие. Компании также обязаны информировать пользователя о необходимости и влиянии биометрических данных на его права и интересы.
Случай второй: Идентификация резидента
Идентификация резидента включает в себя имя физического лица, информацию о распознавании лиц, персональный идентификационный номер, адрес резидента и другую персональную информацию. Она определяется как персональная информация, которая может повлиять на безопасность человека или его имущества.
В данном случае ответчик, сотрудник Baidu, нарушил конфиденциальные обязательства и совершил серьёзный проступок, продав персональные данные жителя. В связи с этим ответчик был приговорён к трём годам лишения свободы и штрафу в размере 10 000 юаней.
Случай третий: номер аккаунта в социальных сетях
Номер учётной записи в социальных сетях, например, в WeChat, считается персональной информацией и напрямую связан с идентификацией физического лица. Использование учётных записей в социальных сетях с поддельными идентификационными данными считается нарушением прав на персональные данные. Кроме того, это деяние считается незаконным использованием персональных данных без получения согласия и раскрытия объёма, цели и использования персональных данных граждан.
В данном случае обвиняемый приобрел неиспользуемые аккаунты WeChat и подделал личные данные, используя чужие личные данные. Таким образом, незаконные аккаунты использовались для онлайн-активности, такой как массовые сообщения, добавление друзей и создание онлайн-групп. Обвиняемый был приговорён к двум годам и двум месяцам тюремного заключения и штрафу в размере 50 000 юаней.
Случай четвертый: мобильный проверочный номер
Номер мобильного подтверждения — это набор цифр, букв и т. д., выдаваемых поставщиками услуг для конкретных номеров мобильных телефонов, как по отдельности, так и в сочетании. Он уникален и конфиденциальен и может идентифицировать конкретное физическое лицо или отражать его действия как самостоятельно, так и в сочетании с другой информацией. В соответствии с уголовным законодательством он определяется как персональная информация гражданина.
В рамках дела обвиняемый незаконно получал номера мобильных телефонов и коды подтверждения для регистрации аккаунтов на платформах электронной коммерции. Он также получал прибыль от каждой новой регистрации. Обвиняемый был приговорён к 8 месяцам лишения свободы.
Для компаний
Хотя вышеперечисленные случаи относятся к отдельным нарушениям, компании, ненадлежащее обращение с персональными данными, определёнными в уголовном законодательстве, могут быть подвергнуты серьёзным гражданским и уголовным наказаниям. Компании должны продемонстрировать наличие механизмов контроля. Кроме того, любые инциденты должны регистрироваться и устраняться. В противном случае компания может быть признана неспособной снизить риски, связанные с данными. Следовательно, при серьёзных обстоятельствах это может повлиять на национальную безопасность и общественный порядок.
Более подробную информацию о кибербезопасности и данных можно найти в наших предыдущих статьях ниже:
Вопросы и ответы по кибербезопасности, безопасности данных и личной информации
Использование и раскрытие личной информации
Связаться с нами
Если у вас есть вопросы или сомнения относительно оценки соответствия вашей политики управления данными или политики в отношении сотрудников требованиям PIPL, свяжитесь с нами по адресу talktous@horizons-advisory.com , чтобы запланировать консультацию. Horizons предоставит вам ценную информацию, экспертные знания и оптимальные решения.
Хотите поделиться своими мыслями?