1 ноября джунгли требований конфиденциальности станут еще более непролазными. Именно тогда в Китае вступил в силу Закон о защите личной информации (Personal Information Protection Law, PIPL). Портал TechBeacon проводит сравнение PIPL с Общим регламентом ЕС по защите данных (GDPR), который вступил в силу 25 мая 2018 г., и выделяет четыре главных отличия.
Оба закона представляют собой широкие схемы защиты данных, предусматривающие значительные потенциальные штрафы и «юрисдикцию длинной руки». Как и GDPR, PIPL распространяет свою применимость на весь мир на основе как географии обработки данных, так и географии лица, чьи данные обрабатываются. В любом конкретном случае PIPL может быть применен, если какой-то из этих пунктов находится в пределах границ Китая — независимо от местонахождения нарушителя данных.
Тем не менее, эти законы не совсем одинаковы, и их различия выходят за рамки незначительных технических аспектов. Ниже приведены четыре наиболее заметных отличия.
1. PIPL по-иному определяет «конфиденциальную информацию»
Не вся личная информация является одинаковой, и законы о защите частной жизни, как правило, признают этот факт. Обычно более высокий уровень конкретной правовой защиты имеет «чувствительная личная информация» (sensitive personal information, SPI).
В GDPR не используется собственно термин SPI, но четко обозначены и описаны категории персональных данных, к обработке которых применяются более высокие стандарты. Статья 9 этого закона устанавливает ограниченные обстоятельства, при которых могут обрабатываться данные, относящиеся к любой из перечисленных ниже категорий:
- раса/этническая принадлежность;
- политика;
- религия;
- философия;
- членство в профсоюзе;
- генетика;
- биометрические данные, используемые для однозначной идентификации человека;
- здоровье;
- половая жизнь;
- сексуальная ориентация.
PIPL также создает дополнительные меры защиты для SPI. Однако зонтик данных, которые квалифицируются как SPI, в PIPL, по-видимому, шире, чем специальные исключения в GDPR. Статья 28 PIPL предлагает широкое определение SPI: «личная информация, которая после утечки или незаконного использования может легко нанести ущерб достоинству [или] серьезный ущерб личной или имущественной безопасности».
Далее в статье 28 перечисляются некоторые примеры такой информации; как и GDPR, PIPL предлагает усиленную защиту личной информации, касающейся биометрии, религии и здоровья.
PIPL также предлагает другие конкретные примеры SPI:
- данные, связанные со «специально определенным статусом» человека;
- данные, связанные с финансовыми счетами человека;
- данные отслеживания местоположения.
Хотя не все конкретные исключения из GDPR перечислены среди примеров SPI в PIPL, эти категории данных все равно могут квалифицироваться как SPI согласно PIPL из-за того, что они широко определены.
Тем не менее, существует еще одна категория данных, которую PIPL специально относит к категории SPI.
2. PIPL по-иному относится к обработке личной информации несовершеннолетних
PIPL специально определяет любую и всю личную информацию несовершеннолетнего в возрасте до 14 лет как SPI. Согласно PIPL, обработка такого типа данных требует еще более жестких мер защиты, включая получение согласия родителей или опекунов на обработку личной информации и «разработку специальных правил обработки личной информации» для данных несовершеннолетних.
В этом вопросе GDPR является одновременно более строгим и менее строгим. Для целей обработки личной информации GDPR относит к категории несовершеннолетних тех, кто не достиг
Это не единственная область, где GDPR в некоторых областях строже, чем PIPL, а в других — менее строг.
3. В PIPL действуют иные стандарты государственного надзора за процессами оценки рисков
Согласно GDPR, контролеры данных должны проводить оценку воздействия на приватность данных (data-privacy impact assessment, DPIA) своих планов по обработке данных в обстоятельствах, «которые могут привести к высокому риску для прав и свобод физических лиц» — например, когда речь идет о новых технологиях, массовом наблюдении и/или особых категориях SPI. DPIA должна содержать:
- систематическое описание предполагаемых операций по обработке;
- аналогичное описание целей операций по обработке данных, включая законный интерес контролера данных;
- необходимость и соразмерность указанных операций по обработке данных;
- риски, которые эти операции представляют для прав и свобод субъектов данных;
- предусмотренные меры для фактической обработки/уменьшения этих рисков.
Как правило, контролер данных может проводить DPIA самостоятельно. Однако из этого общего правила есть несколько исключений. В руководящем документе, выпущенном консультативным органом ЕС до вступления в силу GDPR, четко указано, что контролеры данных должны консультироваться с надзорным органом, если они не могут найти достаточные меры для снижения рисков до приемлемого уровня или когда это предписывает законодательство государства-члена ЕС в отношении обработки данных, связанных с общественными интересами.
PIPL требует, чтобы обработчики персональных данных проходили оценку воздействия на защиту персональных данных (personal-information protection impact assessment, PIPIA) в аналогичных обстоятельствах. Однако, в отличие от DPIA в рамках GDPR, PIPL не требует, чтобы организация консультировалась с регулирующим органом, если PIPIA выявляет риски, которые организация не может устранить.
Рассмотрим случай трансграничной передачи личной информации. Примечательно, что PIPL рассматривает передачу данных за пределы Китая как изначально рискованную деятельность, которая автоматически вызывает необходимость в PIPIA. В таких случаях, хотя PIPL может и не требовать прямого государственного надзора для целей PIPIA, он обычно требует его в форме отдельной оценки безопасности, организованной Государственным департаментом кибербезопасности и информатизации. Эта оценка будет проводиться после того, как организация самостоятельно проведет оценку риска исходящей передачи данных и представит отчет регулирующим органам.
GDPR также предусматривает проведение оценки безопасности деятельности по обработке данных, связанных с персональной информацией, хотя и в общем виде, не ограничиваясь трансграничной передачей данных. Однако эти оценки могут проводиться самостоятельно.
Тем не менее, ни самостоятельно проведенные оценки безопасности согласно GDPR, ни самостоятельно проведенные PIPIA согласно PIPL не означают, что организация-субъект может почивать на лаврах. Наказания за несоблюдение требований обеих систем могут быть весьма серьезными.
4. PIPL потенциально намного суровее
В течение примерно двух лет, прошедших с момента принятия GDPR государствами-членами ЕС в 2016 г. до дня его вступления в силу, деловой мир был в панике. Да, GDPR — это масштабная правовая база, претендующая на всеобщий охват. Но даже компании, обычно подчиняющиеся нормам ЕС, были обеспокоены — из-за потенциальных штрафов.
До вступления GDPR в силу максимальные штрафы за ошибки, связанные с персональными данными, были скромными по сравнению с сегодняшним днем. Но GDPR повысил ставки. Нарушители положений GDPR в случае грубейших нарушений могут понести максимальное наказание в размере либо 20 млн. евро, либо 4% от общего годового дохода по всему миру — в зависимости от того, что больше. Корпоративные гиганты и средние фирмы обратили на это внимание, а малые предприятия забеспокоились, опасаясь банкротства.
PIPL идет еще дальше. Компании, совершившие «серьезное» нарушение закона, могут понести наказание в виде штрафа в размере до 5% от общего годового дохода (или, если это больше, 50 млн. юаней, что соответствует примерно 7,26 млн. евро). Если этот дополнительный процентный пункт кажется вам недостаточно пугающим, следует отметить, что такие штрафы не являются реституционными; в дополнение к ним все «незаконные доходы» нарушителя PIPL могут быть конфискованы. Чтобы усугубить положение тех, кто переступает черту, китайские власти могут также приостановить или отозвать у нарушителя лицензию на ведение бизнеса в Китае.
Как бы много ни потеряли предприятия в целом за нарушение PIPL, отдельные сотрудники и должностные лица могут потерять еще больше. PIPL вводит персональную ответственность для отдельных лиц. Сотрудники, «непосредственно ответственные» за грубейшие нарушения, могут быть оштрафованы на сумму до 1 млн. юаней.
Длительный ущерб может быть нанесен их средствам к существованию (а возможно, и самому образу жизни). После признания сотрудника непосредственно ответственным за нарушение PIPL, ему может быть запрещено занимать руководящие должности или должности, связанные с конфиденциальностью, «в течение определенного периода». Даже по истечении этого срока запись о нарушении может преследовать работника; статья 67 PIPL предусматривает, что нарушения станут частью социально-кредитного досье человека.
Таким образом, даже если немедленные штрафы за нарушения в области обработки данных, предусмотренные PIPL, являются приемлемыми, глобальные предприятия и их сотрудники потенциально могут поставить на карту гораздо больше, чем в случае с GDPR.
