U jesen 2021. stupila su na snagu dva nova kineska zakona koja se bave sigurnošću podataka i privatnošću i koja će vjerojatno utjecati na mnoge multinacionalne tvrtke koje posluju u Kini ili čija operativa dotiče Kinu. Ova dva zakona - Zakon o sigurnosti podataka i Zakon o zaštiti osobnih podataka - pružaju više specifičnosti u vezi sa zahtjevima za lokalizaciju podataka, izvoz podataka i zaštitu podataka, terminima koji su se prvi put pojavili u kineskom zakonu o kibernetičkoj sigurnosti iz 2017.
Zakon o sigurnosti podataka
Zakon o sigurnosti podataka (DSL) postavlja okvir koji klasificira podatke prikupljene i pohranjene u Kini na temelju njihovog potencijalnog utjecaja na kinesku nacionalnu sigurnost te regulira njihovu pohranu i prijenos ovisno o razini klasifikacije podataka. Zakon se općenito smatra odgovorom na američki Zakon o pojašnjavanju zakonite upotrebe podataka u inozemstvu (CLOUD Act), koji američkim agencijama za provođenje zakona daje ovlast da prisile tvrtke koje potpadaju pod jurisdikciju SAD-a da proizvode tražene podatke bez obzira na to gdje su ti podaci pohranjeni. Kategorije podataka „Osnovni podaci” prema DSL-u - široko definirani kao svi podaci koji se tiču kineske nacionalne i ekonomske sigurnosti, dobrobiti kineskih građana i značajnih javnih interesa - imaju najviši stupanj zaštite i regulacije. "Važni podaci" je sljedeća najosjetljivija razina podataka, ali njihov opseg ostaje nedefiniran. Očekuje se da će relevantna nacionalna, regionalna i sektorska tijela u dogledno vrijeme izdati smjernice za ono što se smatra "važnim podacima".
DSL se primjenjuje na sve podatkovne aktivnosti koje se odvijaju u Kini, kao i van teritorija, ako se smatra da aktivnosti s podacima narušavaju nacionalnu sigurnost i javni interes Kine. Lokalizacija i prijenos podataka DSL pojašnjava i proširuje zahtjeve za lokalizaciju podataka i prijenos podataka za "osnovne" i "važne" podatke i za određene vrste rukovatelja podacima. Operatori kritične informacijske infrastrukture ("CIIO") koji rukuju podacima koji se odnose na informacijske mreže, infrastrukturu i prirodne resurse moraju osigurati da se podaci koji su generirani u Kini pohranjuju u Kini i da se samoprocjena sigurnosti provodi prije no što se podaci šalju u inozemstvo. Nadalje, DSL nalaže da se razviju dodatna pravila i propisi za ne-CIIO. I CIIO-ima i onima koji nisu CIIO-ima zabranjeno je davati bilo kakve podatke pohranjene u Kini (bez obzira na razinu osjetljivosti podataka i bez obzira na to jesu li podaci prvobitno prikupljeni u Kini), bilo kojem stranom pravosudnom tijelu ili agenciji za provedbu zakona bez prethodnog odobrenja vlasti NR Kine.
Tvrtke za koje se utvrdi da krše propise koji se odnose na "osnovne podatke" suočavaju se s kaznama do 10 milijuna RMB (1,56 milijuna USD), prisilnim zatvaranjem poslova i potencijalnom kaznenom odgovornošću. Tvrtke za koje se utvrdi da krše propise o "važnim podacima" suočavaju se s kaznama do 5 milijuna RMB (780.000 USD). Oni koji rukovode podacima, a ne postupe u skladu s ovim zahtjevima mogu se suočiti s kaznama do 2 milijuna RMB (300.000 USD), prisilnim zatvaranjem tvrtki i opozivom poslovnih licenci. Sigurnost podataka DSL zahtijeva od tvrtki koje posluju u Kini da uspostave i poboljšaju svoje sustave sigurnosti podataka, provedu korektivne mjere kada se otkriju nedostaci u sigurnosti podataka i da odmah obavijeste korisnike i nadležna tijela o bilo kakvim povredama podataka. Tvrtke koje rukuju podacima čija se osjetljivost penje barem na razinu "važnih podataka" dužne su imenovati službenika ili upravljački tim koji je odgovoran za sigurnost podataka i dostavljati redovite procjene rizika nadležnim tijelima NR Kine. Tvrtke koje ne zaštite svoje podatke mogu se suočiti s kaznama do 500.000 RMB (77.700 USD). Ako tvrtka ne uspije ispraviti kvarove svojih sustava ili ako su kvarovi rezultirali velikim curenjem podataka, može se suočiti s kaznama do 2 milijuna RMB (300.000 USD), prisilnim zatvaranjem poslovanja i opozivom poslovnih licenci.
Zakon o zaštiti osobnih podataka
Zakon o zaštiti osobnih podataka (PIPL) je prvi sveobuhvatni kineski zakon koji regulira zaštitu osobnih podataka, a napravljen je po uzoru na Opću uredbu o zaštiti podataka Europske unije. “Osobni podaci” su široko definirani tako da obuhvaćaju “sve informacije povezane s identificiranim ili prepoznatljivim fizičkim osobama pohranjene u elektroničkom ili bilo kojem drugom formatu”. Sve dok su informacije "povezane s identificiranim ili prepoznatljivim fizičkim osobama", čak i ako informacije nisu dovoljne za identifikaciju određene osobe, PIPL se i dalje primjenjuje.
Međutim, osobni podaci koji su nepovratno anonimizirani nisu obuhvaćeni. PIPL se općenito primjenjuje na sve vrste aktivnosti podataka (npr. prikupljanje, pohranu, korištenje, reorganizaciju, prijenos, pružanje, otkrivanje i brisanje) koje uključuju osobne podatke ispitanika u Kini, kao i aktivnosti izvan Kine koje su usmjerene na pružanje proizvode ili usluge pojedincima u Kini. Kršenja PIPL-a mogu se suočiti s kaznama do 50 milijuna RMB (7,78 milijuna USD), 5 posto godišnjeg prihoda tvrtke i odbacivanjem svih nezakonitih dobitaka. PIPL nameće sljedeće ključne obveze rukovateljima podacima: Zahtjev za pristanak prije prikupljanja ili rukovanja nečijim osobnim podacima, rukovatelj podataka mora dobiti dobrovoljni, jasan i informirani pristanak nositelja podataka. Rukovatelji podacima koji prikuplja ili rukuje "osjetljivim osobnim podacima" - kategorijom koja uključuje biometriju ispitanika, vjerska uvjerenja, zdravlje, financije, geografska mjesta i malu djecu - mora, osim toga, pokazati specifičnu svrhu i nužnost prikupljanja podataka i slijediti stroge mjere zaštite podataka navedene u PIPL-u.
Međutim, postoji niz iznimaka prema zakonu u kojima nije potrebna prethodna suglasnost, uključujući, na primjer, izvršavanje ugovorne ili zakonske dužnosti, reagiranje na hitne slučajeve koji uključuju život i imovinu, izvješćivanje o pitanjima od javnog interesa i tamo gdje se informacija već nalazi u javnoj domeni. Zahtjeve za lokalizaciju podataka i brisanje podataka PIPL predviđa u slučaju kada količina osobnih podataka kojima rukuje rukovatelj podataka dosegne određene pragove, i tada se onda može pokrenuti zahtjev za lokalizaciju podataka, a rukovatelj podacima je dužan imenovati službenika za zaštitu podataka koji će nadzirati pravilno rukovanje i zaštitu prikupljenih osobnih podataka.
Ograničenja prijenosa osobnih podataka trećim stranama i inozemstvu
Prije nego rukovatelj podataka može prenijeti osobne podatke trećim stranama, bilo unutar Kine ili u inozemstvu, prvo mora dobiti informirani pristanak ispitanika i osigurati da primatelj podataka koristi podatke i metode rukovanja podacima u skladu s uvjetima. Za prekogranične prijenose, rukovatelj podataka također mora osigurati da strani primatelj podataka ima zahtjeve u pogledu zaštite podataka koji nisu ništa manje strogi od onih koje nameće PIPL. Ovisno o klasifikaciji rukovatelja podacima na temelju osjetljivosti i količine podataka koje posjeduje, mogu se primijeniti dodatni zahtjevi. Na primjer, CIIO-i i tvrtke koje posjeduju veliku količinu osobnih podataka moraju završiti obaveznu sigurnosnu provjeru koju vodi Kineska uprava za kibernetički prostor prije prijenosa bilo kakvih podataka u inozemstvo. Opći zahtjevi usklađenosti PIPL zahtijeva od tvrtki koje rukuju osobnim podacima da provode redovite samorevizije kako bi procijenile svoje rizike informacijske sigurnosti i implementirale odgovarajuće politike i zaštitne mjere. Mogu se primjenjivati i stroža pravila ovisno o tome hoće li se tvrtka kvalificirati kao „velika platforma internetskih usluga“, ima li „veliki broj“ korisnika i bavi li se „složenim poslovnim aktivnostima“, ali ti pojmovi nisu definirani u zakonu.
Tvrtke koje koriste algoritme i slične automatizirane funkcije donošenja odluka za analizu osobnih podataka ispitanika moraju se pridržavati određenih načela "transparentnosti" i "poštenosti" utvrđenih u PIPL-u koji zabranjuju određene vrste diskriminirajućih cijena i marketinških aktivnosti na temelju osobnog statusa kao i zaštićena svojstva nositelja podataka.
S donošenjem DSL-a i PIPL-a, multinacionalnim tvrtkama koje posluju u Kini bilo bi dobro da procijene i, ako je potrebno, rekonfiguriraju svoje sustave informacijske tehnologije kako bi osigurali usklađenost sa zakonom NR Kine te da zatraže savjet lokalnog kineskog savjetnika prije izvoza podatke koji su u početku prikupljeni u Kini ili koji su trenutno pohranjeni u Kini. Prije su multinacionalne tvrtke koje posluju u Kini mogle izravno odgovoriti na pozive stranih regulatora i zahtjeve za informacijama, bez prethodnog dobivanja odobrenja kineskih vlasti, čak i ako su se traženi podaci odnosili na kineske pojedince ili operacije multinacionalnih tvrtki u Kini. Slično, u vezi s inozemnim parničnim postupcima, multinacionalne tvrtke mogle su prikupiti relevantne dokumente u Kini i dostaviti ih odvjetniku bez prethodnog odobrenja vlasti NR Kine. To više nije slučaj prema novousvojenim DSL-om i PIPL-om. Zajedno s drugim zakonima koje su vlasti NR Kine donosile od 2018. - na primjer, Zakon o kaznenoj pravosudnoj pomoći i članak 177. kineskog Zakona o vrijednosnim papirima - tvrtke koje žele ispuniti zahtjeve američkih i drugih stranih regulatora za informacijama ili ispuniti svoje obveze, trebaju se konzultirati s kineskim odvjetnikom prije nego što takve informacije prenesu u inozemstvo.
Ograničenja marketinških aktivnosti
PIPL donosi i nove zahtjeve koji reguliraju marketinške aktivnosti tvrtki koristeći osobne podatke njihovih potencijalnih kupaca. Kao što je gore navedeno, PIPL regulira korištenje algoritama i drugih automatiziranih sustava koji imaju učinak diskriminacije prema određenim klasama potrošača. Pristanak je također potreban u većini slučajeva. Multinacionalnim tvrtkama koje žele plasirati svoje proizvode i usluge potencijalnim kineskim kupcima koristeći osobne podatke bilo bi mudro potražiti pravni savjet prije poduzimanja takvih marketinških aktivnosti. (N.G.K.)