Глобализация и цифровая экономика ускорили международный поток данных. Передача персональных данных за границу из Китая может быть непростой задачей, особенно для компаний с большим объёмом данных.

Многие компании передают персональные данные отдельных лиц для ежедневных деловых операций, таких как трансграничный бизнес или туризм, зарубежное облачное хранение данных или поддержка ИТ-технологий, глобализированное управление сотрудниками в многонациональных корпорациях, трансграничная электронная коммерция и т. д.


Персональные данные – это конфиденциальная информация, имеющая отношение к частной жизни, личной собственности и личной безопасности. Поэтому утечка и незаконное получение данных могут нанести ущерб правам на неприкосновенность частной жизни и репутацию. Например, утечка данных банковских счетов и паролей может привести к потере имущества. Незаконное использование персональных данных может поставить под угрозу личную безопасность.


Кроме того, персональные данные являются важным социальным ресурсом и имеют решающее значение для экономического развития и социального прогресса. В определённых областях персональные данные связаны с национальной безопасностью и социальной стабильностью.

В связи с этим становится всё более необходимым и важным регулировать передачу персональных данных, обеспечивая защиту прав граждан и национальной безопасности. Ниже мы рассмотрим законодательство Китая, регулирующее передачу персональных данных за рубеж.

Стандартные договорные меры для исходящей трансграничной передачи персональной информации

24 февраля 2023 года Администрация киберпространства Китая опубликовала Стандартные меры по контракту на исходящую трансграничную передачу персональных данных («Стандартные меры по контракту») . Это второе специальное положение, выпущенное Государственным департаментом интернет-информации, которое устанавливает систему для нескольких исходящих маршрутов в соответствии с Законом о защите персональных данных Китайской Народной Республики («ЗПИ») и Мерами по оценке безопасности исходящих передач данных, опубликованными в прошлом году («Меры по оценке безопасности»).

Применимая область применения

Стандартные меры по контракту эффективно дополняют меры по оценке безопасности, особенно в применимой области. Положения Стандартных мер по контракту полностью охватывают различные сценарии исходящей передачи персональных данных.

Если исходящие данные содержат персональные данные, меры оценки безопасности применяются в любом из следующих случаев:

  • Операторы ключевой информационной инфраструктуры;
  • Обработка персональных данных 1 миллиона человек;
  • Предоставление персональных данных 100000 человек за рубежом с 1 января прошлого года;
  • Предоставление конфиденциальной личной информации 10000 человек за рубежом с 1 января прошлого года.

Важно отметить, что стандартные меры по контракту могут применяться и за пределами перечисленных обстоятельств.

Многоуровневая система управления безопасностью

Стандартные меры по контракту и меры по оценке безопасности образуют многоуровневую систему регулирования. Меры по оценке безопасности применяются к исходящим передачам, связанным с большим объёмом персональных данных и высоким уровнем риска. Стандартные меры по контракту применяются к исходящим передачам, связанным с небольшим объёмом персональных данных и низким уровнем риска. Меры по оценке безопасности предусматривают более строгие нормативные требования, такие как предварительная проверка. Стандартные меры по контракту предусматривают менее строгие нормативные требования, такие как последующая подача документов.

Правовые и практические последствия стандартных контрактных мер

Определение операторов некритической информационной инфраструктуры

Компании могут задаться вопросом, как определяются «операторы некритической информационной инфраструктуры». Согласно статье 10 Положения о правилах обеспечения безопасности критической информационной инфраструктуры: «Отдел защиты отвечает за организацию идентификации ключевой информационной инфраструктуры в отрасли и сфере в соответствии с правилами идентификации, своевременно уведомляет операторов о результатах идентификации, а также уведомляет отдел общественной безопасности Госсовета».

Отдел защиты направит предприятию уведомление, в котором укажет, что предприятие является оператором ключевой информационной инфраструктуры. Предприятие может считаться оператором неключевой информационной инфраструктуры, если оно не было определено отделом защиты как оператор ключевой информационной инфраструктуры и не получило соответствующее уведомление.

Обработка личной информации менее 1 миллиона человек

Компании должны правильно понимать, что подразумевается под условием «обработки персональных данных менее 1 миллиона человек». Основываясь на толковании законодательного намерения и обобщении практики, мы полагаем, что это условие определяется следующим образом:

  • Показатель измерения 1 миллион — это 1 миллион субъектов персональных данных, а не 1 миллион единиц персональных данных;
  • Диапазон расчета 1 миллион представляет собой количество обработанных персональных данных, а не количество экспортированных персональных данных;
  • Если обрабатывается персональная информация более 1 миллиона человек, даже если экспортируется хотя бы одна часть персональной информации, компания должна подать заявку на оценку безопасности экспорта данных.

Оценка состояния личной информации менее 100 000 человек и конфиденциальной личной информации менее 10 000 человек за рубежом с 1 января 2022 года

С точки зрения текстовой интерпретации, это условие можно понимать как «с 1 января 2022 года по 27 февраля 2023 года». Это предполагает, что 27 февраля 2023 года является датой оценки и вынесения решения о деятельности предприятия. Таким образом, если компания предоставляет за рубеж персональные данные менее 100 000 человек или конфиденциальные персональные данные менее 10 000 человек, она соответствует этому условию. Компания может осуществлять исходящую деятельность по передаче персональных данных, подписав «Стандартный договор».

На практике мы рекомендуем компаниям оценить весь объём трансграничной персональной информации за два года. Оценка должна основываться на фактической ситуации с предыдущими деловыми операциями.

Кроме того, компаниям следует оценить, вступает ли в силу обязательство по объявлению оценки безопасности исходящих данных до выполнения следующих действий:

  • выполнение обязательства по объявлению оценки безопасности исходящих данных; и
  • подписание «Типового договора» в соответствии с положениями законодательства.

Эти две рекомендации должны способствовать дальнейшему развитию и стабилизации бизнес-процессов. Кроме того, это должно предотвратить необходимость для компаний удалять исходящие данные из-за несоблюдения требований.

Когда компании достигают масштаба оценки безопасности исходящих данных, соответствующие материалы должны быть подготовлены заранее. Это должно обеспечить бесперебойную и упорядоченную работу.

Проведение оценки воздействия

Статья 5 Типового договора определяет ключевое содержание оценки воздействия на защиту персональных данных. Такая оценка должна проводиться при их передаче на борт.

Важно отметить, что статья 5 посвящена реализации. Дальнейшие разъяснения содержатся в статьях 55 и 56 Закона о публичном управлении.

По сравнению с PIPL оценка воздействия на защиту персональных данных включает в себя более подробный контент.

PIPL, статья 56

В соответствии со статьей 56 PIPL должно быть включено следующее содержание:

  • Является ли цель, метод или любой другой аспект обработки персональной информации законным, правомерным и необходимым;
  • Влияние на личные права и интересы и уровень риска;
  • Являются ли принятые меры безопасности законными, эффективными и соразмерными уровню риска.

Стандартная договорная мера, статья 5

Статья 5 Стандартных мер по контракту дополнительно разъясняет детали следующим образом:

Статья 5: Перед предоставлением какой-либо личной информации зарубежному получателю обработчик личной информации должен провести оценку воздействия на защиту личной информации, уделив особое внимание следующим вопросам:

  • Законность, правомерность и необходимость цели, объема и способа обработки персональных данных обработчиком персональных данных и зарубежным получателем;
  • Количество, объем, тип и конфиденциальность личной информации, передаваемой за границу, а также риск, который исходящая трансграничная передача может представлять для прав и интересов в отношении личной информации;
  • Обязанности и обязательства, которые берет на себя иностранный получатель, а также достаточны ли управленческие и технические меры и возможности иностранного получателя по выполнению таких обязанностей и обязательств для обеспечения безопасности передаваемой персональной информации;
  • Риск подделки, порчи, раскрытия, потери или незаконного использования персональной информации после её передачи за границу. Наличие бесперебойного канала защиты прав и интересов в отношении персональной информации;
  • Влияние политик и правил защиты персональных данных в стране или регионе, где находится иностранный получатель, на выполнение Стандартного договора; а также
  • Другие вопросы, которые могут повлиять на безопасность персональной информации, передаваемой за границу.

Заключение

Компании, передающие персональные данные за границу из Китая, должны были внедрить внутренние меры. С момента принятия Закона о кибербезопасности 1 июня 2017 года законодательство о кибербезопасности и безопасности данных быстро превратилось в сложную и строго регулируемую систему. Поэтому компаниям следует строго контролировать данные.

Связаться с нами

Если вам нужна дополнительная информация о передаче персональных данных за границу , отправьте нам электронное письмо по адресу talktous@horizons-advisory.com , и Horizons с вами свяжется специалист .