Lei de proteção de informações pessoais da China

Nos últimos anos, com o desenvolvimento contínuo de big data, computação em nuvem e internet móvel, a conformidade de dados tem atraído cada vez mais atenção em todos os setores e autoridades governamentais em todo o mundo. A conformidade de dados inclui segurança de dados, supervisão de dados, armazenamento de dados, outras questões de segurança física e todos os aspectos do processamento de informações pessoais.

A Lei de Proteção de Informações Pessoais da República Popular da China (“PIPL”) entrará em vigor em 1 de novembro de 2021, marcando uma nova era no sistema de legislação de proteção de informações pessoais da China. A introdução do PIPL fornece uma base jurídica abrangente e sistemática para proteger os direitos e interesses das informações pessoais, as obrigações dos processadores de informações e as funções e poderes das autoridades competentes. Além disso, ele constrói uma rede protetora de segurança de informações pessoais.

O PIPL se aplica ao processamento de informações pessoais dentro do território da República Popular da China e ao processamento de informações pessoais fora do território da China com a finalidade de fornecer produtos ou serviços a pessoas físicas localizadas na China, ou análise e avaliação de pessoas físicas localizadas na China.

DEFINIÇÕES IMPORTANTES

As informações pessoais referem-se a todos os tipos de informações sobre as pessoas físicas identificadas ou identificáveis ​​registradas por meios eletrônicos ou outros. O processo de informação anonimamente não está incluído.

As informações pessoais confidenciais referem-se ao tipo de informação pessoal que pode prejudicar a dignidade do indivíduo, a segurança pessoal ou a segurança da propriedade, se divulgada ou usada ilegalmente. Exemplos de informações pessoais confidenciais são identificação biométrica, crença religiosa, identidade específica, saúde médica, conta financeira, vestígios de paradeiro e as informações pessoais de menores de 14 anos.

O processamento de informações pessoais significa a coleta, armazenamento, uso, processamento, transmissão, fornecimento, divulgação e exclusão, etc., de informações pessoais.

Um Processador de Informações Pessoais (“Processador”) refere-se a uma organização ou indivíduo que determina de forma independente a finalidade e o método de processamento de informações pessoais. Um Processador de informações pessoais deve ser responsável pelo processamento das informações pessoais e tomar as medidas necessárias para garantir a segurança das informações pessoais processadas.

DESTAQUES

  1. Estabelecendo Princípios de Proteção de Informações Pessoais
  •     O processador não pode processar informações pessoais por meio de engano, fraude, coerção, etc.
  •     O processamento de informações pessoais deve ser para um propósito definido e razoável. Além disso, a forma de processamento de informações pessoais deve minimizar o impacto sobre os direitos e interesses pessoais. A coleta de informações pessoais deve ser limitada ao escopo mínimo que atinja seu propósito.
  •     O Processador deve tornar conhecido o público sobre suas regras, propósito, método e escopo de processamento de informações pessoais.
  •     A qualidade das informações pessoais deve ser garantida. As informações pessoais processadas não devem infringir direitos e interesses pessoais devido à sua inexatidão ou incompletude.

2. Estabelecimento de regras para processamento de informações pessoais. O PIPL estipula que, nas seguintes circunstâncias, o processamento de informações pessoais é permitido e não é necessário obter o consentimento do indivíduo em questão:

  • Quando for necessário para a preparação ou execução de um contrato ou para a implementação da gestão de recursos humanos de acordo com as normas e regulamentos trabalhistas.
  • Ao cumprir deveres ou obrigações legais.
  • Quando for necessário para atender a uma emergência de saúde pública ou para a proteção da vida, saúde e segurança patrimonial de uma pessoa física.
  • Quando for para fins de reportagem de notícias e supervisão de opiniões públicas e o processamento de informações pessoais estiver dentro do escopo razoável.
  • Quando as informações pessoais já são divulgadas ao público por auto-divulgação ou outros meios legais e o processamento está dentro do escopo razoável.
  • Outras circunstâncias prescritas por leis e regulamentos administrativos.

Se o processamento de informações pessoais estiver fora dos cenários acima, o Processador DEVE obter o consentimento da pessoa em questão. Além disso, o Processador deve fornecer um método conveniente para o indivíduo retirar seu consentimento. Se um indivíduo não concordar em processar suas informações pessoais ou retirar seu consentimento, o Processador não pode se recusar a fornecer produtos ou serviços ao indivíduo, a menos que as informações pessoais sejam necessárias para o fornecimento de produtos / serviços.

3. Proibindo o sistema automatizado de tomada de decisão habilitado para Big Data com base nas características pessoais do indivíduo

“Tomada de decisão automatizada” refere-se a o uso de programas de computador para analisar ou avaliar automaticamente comportamentos e hábitos individuais, interesses e hobbies ou situações relacionadas a finanças, saúde ou status de crédito, etc., e se envolver em atividades de tomada de decisão.

Os reguladores reconheceram que certas empresas costumam usar a análise de big data para identificar as características pessoais dos indivíduos e usar sistemas de tomada de decisão automática para impor um tratamento diferenciado aos indivíduos em relação ao preço e às condições da transação. O PIPL exige que esse processamento de informações garanta a transparência do processo de tomada de decisão e a justiça dos resultados. O Processador deve fornecer uma maneira conveniente para os indivíduos envolvidos rejeitarem que

4. Estabelecimento de regras para processamento de informações pessoais confidenciais

O PIPL estipula que o processamento de informações pessoais sensíveis deve ser para um propósito e necessidade específicos, e consentimento separado deve ser obtido do indivíduo em questão. Além disso, o Processador deve informar o indivíduo sobre a necessidade e o impacto em seus direitos e interesses, exceto em certas circunstâncias em que o PIPL exclui a divulgação.

5. Estabelecendo Deveres, Escopo e Limite de Processamento de Informações Pessoais pelas Autoridades

O PIPL também fornece disposições especiais relacionadas a circunstâncias em que as autoridades governamentais precisam processar informações pessoais durante o desempenho de seus deveres legais. Nesse cenário, o princípio da transparência deve ser aplicado, a menos que o tratamento deva ser mantido em sigilo por lei, ou a informação impeça as autoridades de cumprirem seus deveres estatutários.

Se for necessário fornecer informações pessoais a uma parte no exterior, uma avaliação de segurança será conduzida antes de transmitir as informações pessoais no exterior.

6. Estabelecimento de regras para o fornecimento transfronteiriço de informações pessoais

Se um processador precisar fornecer informações pessoais fora do território da China devido a negócios ou outras necessidades, o processador deve garantir que atenda a qualquer uma das seguintes condições:

  •     Ser aprovado na avaliação de segurança pela Administração do Ciberespaço da China;
  •     Ser certificado por uma agência especializada para proteção de informações pessoais de acordo com as disposições da Administração do Ciberespaço da China;
  •     Celebrar um contrato com o destinatário no exterior sob o contrato padrão formulado pela Administração do Ciberespaço da China, especificando os direitos e obrigações de ambas as partes; ou
  •     Cumprir outras condições prescritas por leis, regulamentos administrativos ou pela Administração do Ciberespaço da China

Além de atender a uma das condições acima, o processador também deve:

  •     Informar o indivíduo do nome do destinatário estrangeiro, informações de contato, finalidade e método de processamento, tipo de informações pessoais.
  •     Fornecer o método e procedimento para o indivíduo exercer seus direitos contra o destinatário estrangeiro; e
  •     Obtenha o consentimento individual do indivíduo.

Quando houver tratados ou acordos internacionais em vigor, as disposições relevantes sobre as condições para o fornecimento de informações pessoais fora da China podem prevalecer.

É importante notar que o PIPL também estende sua aplicação a organizações ou indivíduos no exterior, caso sejam considerados violadores dos direitos e interesses de informação pessoal dos cidadãos chineses ou que ponham em risco a segurança nacional e os interesses públicos da China. Sob tais circunstâncias, a organização ou indivíduo estrangeiro em questão pode ser adicionado, pela Administração do Ciberespaço da China, à lista de sujeitos proibidos ou restringidos de receber informações pessoais.

Qualquer processador de informações pessoais fora da China deve designar um representante na China como responsável pelo tratamento de questões relacionadas à proteção de informações pessoais. O nome do representante e as informações de contato devem ser enviados às autoridades competentes na China.

7. Fortalecimento das obrigações dos processadores de informações pessoais

Para proteger as informações pessoais, o PIPL exige que os processadores de informações pessoais realizem as seguintes ações:

  •     Formular sistemas de gestão internos e procedimentos operacionais
  •     Categorizar informações pessoais
  •     Implementar método de criptografia e desidentificação
  •     Conduzir educação e treinamento em segurança de informações pessoais
  •     Elaborar planos de emergência para incidentes de segurança de informações pessoais
  •     Realizar auditorias de conformidade regularmente em seu processamento de informações pessoais
  •     Realizar uma avaliação de impacto sobre a proteção de informações pessoais de antemão sob certas circunstâncias listadas pelo PIPL

Nossas Recomendações

Após a promulgação do Código Civil da China, Lei de Segurança Cibernética e Lei de Comércio Eletrônico, a China posteriormente implementou a Lei de Segurança de Dados e Lei de Proteção de Informações Pessoais, significando seu compromisso de construir uma estrutura legal abrangente para conformidade de dados de maneira constante .

Prevemos que haverá mais leis e regulamentos sobre conformidade de dados em um futuro próximo. A implementação do PIPL aumentará um nível mais alto de requisitos de conformidade a serem atendidos por empresas estrangeiras que operam na China. Todas as empresas com investimento estrangeiro devem criar uma força-tarefa especializada para realizar o trabalho de conformidade de dados e estabelecer regras e regulamentos relevantes para lidar com as informações pessoais de funcionários, clientes, fornecedores e outras partes interessadas relevantes. Em particular, listamos algumas ações recomendadas:

  •     Educar a gestão e os funcionários sobre o PIPL
  •     Melhorar a política interna da empresa em relação ao processamento e proteção de informações pessoais do funcionário
  •     Revisar a infraestrutura de TI atual e aplicar as atualizações necessárias ao sistema de TI com base nos requisitos exigidos pelo PIPL.
  •     Analisar se os processos de negócios da empresa e identificar as áreas onde as informações pessoais de seus parceiros de negócios (como fornecedores ou clientes) são processadas e faça alterações nos documentos externos relevantes para garantir o cumprimento de suas obrigações de divulgação
  •     Realizar uma avaliação de impacto sobre o uso de informações pessoais confidenciais para tomada de decisão automatizada, divulgação pública e transmissão internacional
  •     Formule medidas de resposta de emergência em incidentes de informações pessoais

Escrito pela Equipe de Consultoria da China, CW CPA