Usvojen u avgustu, Zakon o zaštiti ličnih podataka stupio je na snagu 1. novembra. U njemu se određuju pravila o prikupljanju, korišćenju i skladištenju podataka, kao i šta međunarodne kompanije moraju da urade kada prenose podatke van zemlje. Kineski zakon o zaštiti ličnih podataka (Personal Information Protection Law – PIPL) koji je sada na snazi, postavlja osnovna pravila o tome kako se podaci prikupljaju, koriste i čuvaju. Takođe, navodi zahteve za obradu podataka za kompanije sa sedištem van Kine, uključujući prolazak bezbednosne procene koju sprovode državni organi. Multinacionalne korporacije koje prenose lične podatke iz zemlje takođe će morati da dobiju sertifikat o zaštiti podataka od profesionalnih institucija, kako se navodi u novom zakonu.
Zakon je usvojen u avgustu, nakon što je prošao kroz nekoliko revizija od kada je prvi put predstavljen u oktobru prošle godine. Počevši od 1. novembra, novi zakon je bio neophodan da bi se pozabavio „haosom“ koji je nastao pri prikupljanju podataka, čemu su doprinele i onlajn platforme koje preterano prikupljaju lične podatke, saopštila je kineska vlada. Lični podaci se definišu kao sve vrste podataka evidentiranih bilo elektronski ili u drugim oblicima, a koji se odnose na identifikovana lica ili ona koje je moguće identifikovati. Definicija ne obuhvata podatke koji su prošli proces anonimizacije.Zakon se primenjuje i na inostrane organizacije koje obrađuju lične podatke u inostranstvu u svrhu, između ostalog, pružanja proizvoda i usluga kineskim potrošačima, kao i analize ponašanja kineskih potrošača. Oni će takođe morati da osnuju određene agencije ili da imenuju predstavnike sa sedištem u Kini koji će preuzeti odgovornost za pitanja u vezi sa zaštitom ličnih podataka.
Novi zakon obuhvata poglavlje koje se posebno odnosi na prekogranični prenos podataka, u kojem se navodi da kompanije koje treba da prenesu lične podatke iz Kine moraju prvo da izvrše „procenu uticaja na zaštitu ličnih informacija“, kako se navodi u Kancelariji poverenika za privatnost ličnih podataka u Hong Kongu. Osim toga, kompanije će morati da pribave poseban pristanak pojedinaca da se njihovi lični podaci prenesu, a uz to moraće da ispune jedan od nekoliko uslova. Među njima je i pristanak na sklapanje „standardnih ugovora“ koje izdaju vlasti koje nadgledaju pitanja sajber-prostora, kao i ispunjavanje uslova navedenih u drugim zakonima i propisima koje su utvrdile vlasti, saopštio je komesar.
Te multinacionalne kompanije bi takođe morale da sprovedu neophodne mere kako bi osigurale da se drugi inostrani partneri uključeni u obradu podataka pridržavaju standarda za očuvanje bezbednosti podataka propisanih novih zakonom.
Nije jasno šta obuhvata bezbednosna procena
Leo Sin, viši saradnik advokatske firme Pinsent Masons, opisao je zakon kao „prekretnicu“ u kineskom pravnom postupku za zaštitu podataka i pozvao multinacionalne kompanije da obrate posebnu pažnju na pravila o prekograničnom prenosu podataka. Leo je u svojoj objavi rekao: „Još uvek postoje određene oblasti koje ostaju nejasne i zahtevaju detaljna pravila primene, kao što je postupak bezbednosne procene, kako izgledaju klauzule modela za prenos podataka koje je formulisala Kineska administracija za sajber-prostor, kakav će biti postupak davanja odobrenja ako postoji zahtev inostranih pravosudnih organa ili agencija za sprovođenje zakona za pristup ličnim podacima.“
Zakon dalje zahteva da rukovanje ličnim podacima bude jasno, razumno i ograničeno na „minimalni obim koji je neophodan“ da bi se postigao cilj obrade informacija.
Advokat je preporučio da multinacionalne kompanije počnu da procenjuju potencijalni uticaj novog zakona na njihovu IT infrastrukturu i aktivnosti obrade podataka. Prema stavu Kancelarije komesara, novi zakon takođe obuhvata obradu podataka pomoću „automatizovanog donošenja odluka“, u kojoj se IT sistemi koriste za automatsku analizu i donošenje odluka o ponašanju potrošača, kao i navikama, interesima, finansijama i zdravlju potrošača. Kompanije će morati da obezbede da takvi procesi donošenja odluka budu transparentni i pošteni. Potrošačima se takođe mora pružiti mogućnost da odustanu od primanja personalizovanog sadržaja. Moraju se obaviti procene uticaja na bezbednost, a ti izveštaji moraju da se čuvaju najmanje tri godine.
Kompanije koje krše pravila propisana novim zakonom mogu da dobiju nalog ili upozorenje da svoje postupke isprave. Kineske vlasti takođe mogu da konfiskuju bilo koji „nezakoniti prihod“, navodi se u Kancelariji komesara. Svi oni koji ne ispoštuju naredbe za otklanjanje propusta biće kažnjeni novčanom kaznom do 1 milion juana (150.000 dolara), dok osoba odgovorna za osiguranje usklađenosti može biti kažnjena od 10.000 juana (1.500 dolara) do 100.000 juana (15.000 dolara). Za „teške“ slučajeve, kineske vlasti takođe izriču kazne u iznosu do 50 miliona juana (7,5 miliona dolara) ili 5 procenata godišnjeg prometa kompanije za prethodnu fiskalnu godinu. Pored toga, njeno poslovanje može biti suspendovano ili joj se mogu oduzeti poslovne dozvole i licence.
Administracija Pekinga je prošlog meseca obavestila lokalne medije da će preduzeti „ciljane mere“ za rešavanje problema za koje smatra da i dalje postoje u digitalnoj ekonomiji, kao što je loše upravljanje podacima. Prema South China Morning Postu, Ministarstvo industrije i IT je nastavilo sa istraživanjem internet sektora u okviru šestomesečne kampanje koja je počela u julu. Ministarstvo je nedavno naložilo da 43 aplikacije izvrše ispravke nakon što je utvrđeno da su obavile nezakonit transfer korisničkih podataka. Kineska uprava za sajber-prostor je u julu naredila kineskoj platformi za usluge taksi prevoza (slična je Uberu) da ukloni svoju aplikaciju iz lokalnih prodavnica aplikacija, nakon što je prekršila propise koji regulišu prikupljanje i korišćenje ličnih podataka. Kompanija je dobila nalog da otkloni „postojeće probleme“ i „efikasno zaštiti“ lične podatke korisnika.
U maju je Uprava opomenula 33 mobilne aplikacije zbog toga što su prikupljale više korisničkih podataka nego što se smatra potrebnim da bi ponudile svoje usluge. Tim kompanijama, među kojima su Baidu i Tencent Holdings, naređeno je da isprave propuste.