Для многих компаний аналитика больших данных критически важна для определения особенностей потребления и увеличения продаж. Однако многие потребители могут выступать против такой практики, поскольку компании могут ненадлежащим образом обрабатывать персональные данные.

Закон о защите личной информации

Закон о защите персональных данных Китайской Народной Республики (ЗПИ) вступает в силу с 1 ноября 2021 года и является первым законом, направленным на борьбу с неправомерным использованием персональных данных. Компании, занимающиеся обработкой персональных данных физических лиц, находящихся в Китае, обязаны принимать необходимые меры.

Ниже мы рассмотрим обязательные требования к иностранным компаниям в соответствии с PIPL.

Согласие пользователя

В соответствии с PIPL компании могут собирать персональные данные только с согласия физического лица. Согласие должно быть добровольным, и физическое лицо должно быть об этом прямо уведомлено . Физические лица могут запросить информацию о порядке сбора и хранения их персональных данных, а также потребовать исправления и удаления этих данных.

Компании, обрабатывающие персональные данные (далее — «обработчики»), обязаны предоставить пользователю возможность отказаться от обработки персональных данных. Если пользователь отзывает своё согласие, обработчики обязаны прекратить сбор или незамедлительно удалить собранную персональную информацию.

Компании за пределами Китая не освобождены от PIPL. Любая компания за пределами Китая, обрабатывающая персональные данные физических лиц в Китае, может подпадать под действие PIPL. В частности, PIPL определяет следующие обстоятельства для компаний за пределами Китая:

  • Если целью деятельности является предоставление товара или услуги физическому лицу, находящемуся на территории Китая;
  • Если целью деятельности является анализ или оценка поведения отдельного лица в Китае; или
  • Любые другие обстоятельства, предусмотренные законом или административными правилами.

На практике компании за пределами Китая должны проводить оценку рисков, связанных с их базой персональных данных.

Равное отношение к потребителям

Закон PIPL запрещает компаниям использовать функции автоматизированного принятия решений для увеличения онлайн-продаж. Компания не имеет права применять необоснованное дифференцированное отношение к отдельным лицам, например, в отношении цен или условий. Другими словами, специальные скидки для новых клиентов не могут предоставляться без разумных оснований. У отдельных лиц также должна быть возможность отказаться от любых push-маркетинговых рассылок, основанных на автоматизированном принятии решений.

Более строгая позиция в отношении конфиденциальной личной информации

PIPL классифицирует следующую информацию как конфиденциальную персональную информацию, и компании могут обрабатывать такие данные только для определенной цели.

  • Религиозные убеждения;
  • Биометрия;
  • Конкретные идентичности, медицинские и оздоровительные;
  • Финансовые счета, местонахождение и другая информация физического лица;
  • Персональные данные несовершеннолетних в возрасте до четырнадцати лет

Компании обязаны принимать строгие меры для защиты таких данных и информировать пользователя о необходимости защиты и влиянии на его права и интересы. Для обработки персональных данных несовершеннолетнего лица, не достигшего четырнадцатилетнего возраста, обработчики должны получить согласие родителя или опекуна несовершеннолетнего.

Ужесточение требований к сбору конфиденциальной персональной информации существенно затрагивает отдел кадров и педагогов (несовершеннолетних младше четырнадцати лет). Мы рекомендуем этим отделам безотлагательно привести свою политику управления данными в соответствие с положениями PIPL.

Трансграничная передача данных

В соответствии с PIPL компании могут передавать персональные данные за пределы материкового Китая только при соблюдении одного из следующих условий:

  • Если была пройдена оценка безопасности, организованная национальным органом по киберпространству;
  • Если сертификация защиты персональных данных была предоставлена ​​профессиональным учреждением в соответствии с правилами национального органа по киберпространству;
  • Если с зарубежным получателем заключен договор, соответствующий стандартному договору, предоставленному национальным органом по киберпространству, устанавливающий права и обязанности обеих сторон; или
  • При соблюдении любых других условий, предписанных законом, административными правилами или национальным органом по киберпространству.

Для компаний, особенно многонациональных, работающих с персональными данными сотрудников и поставщиков, находящихся в Китае, реализация положений о передаче персональных данных имеет важное значение для избежания штрафных санкций.

PIPL окажет существенное влияние на компании, обрабатывающие персональные данные физических лиц, находящихся на территории материкового Китая. В частности, PIPL определяет особые права физических лиц в отношении деятельности, связанной с обработкой персональных данных, включая право на доступ к обработанным персональным данным и создание их копий.

Нарушителям грозит штраф в размере до 50 миллионов юаней (7,74 миллиона долларов США) или до пяти процентов от годового оборота. Нарушители, находящиеся за пределами материкового Китая, могут быть включены в чёрный список и объявлены публично.

Поэтому мы рекомендуем компаниям, ведущим бизнес в Китае или с Китаем, провести оценку сопоставления данных, включая тщательный анализ для определения того, какие данные собираются, хранятся, обрабатываются и имеют ли сотрудники доступ к ним. Необходимо пересмотреть политики управления данными и провести соответствующее обучение сотрудников для корректного внедрения PIPL в компании.

Связаться с нами

Если вы ищете профессионалов для оценки соответствия вашего управления данными PIPL и Закону о безопасности данных, свяжитесь с Horizons по адресу country.partners@horizons-advisory.com , и наш ответственный партнер свяжется с вами.