PIPL a gyakorlatban: Mit kell tenniük a külföldi vállalkozásoknak

Egy berlini termékmenedzser egy funkciófrissítést hajt végre. Egy londoni növekedési csapat kampányt folytat egy sanghaji ügynökségen keresztül. Egy szingapúri SaaS-szolgáltató csendben tárolja az ügyfélszolgálati átiratokat, amelyek tartalmazzák a csengtui felhasználók nevét, telefonszámát és azonosító töredékeit. E csapatok egyike sem gondolja magát Kínában tevékenykedőnek. A személyes adatok védelméről szóló törvény értelmében valamennyien kínai személyes adatok feldolgozói – és mindegyik a hatálya alá tartozik.

Három évvel a személyes adatok védelméről szóló törvény hatályba lépése után a szabályozási kép annyira rendeződött, hogy "várjuk, hogyan ráz ki" már nem védhető testhelyzet. A kínai kibertér-adminisztráció végrehajtási intézkedéseket adott ki, felülvizsgálta azokat, és pontosította a küszöbértékeket. A külföldi vállalkozásoknak most már elegendő jelük van ahhoz, hogy működőképes megfelelési alapvonalat építsenek ki. Ez a darab azt mutatja be, hogyan néz ki ez az alapvonal a gyakorlatban.

Az extraterritoriális kiváltó tényezőt a legtöbb csapat alábecsüli

A PIPL vonatkozik a Kínán belüli feldolgozásra, és – kritikusan – a Kínán kívüli feldolgozásra, amely Kínában tartózkodó személyeket céloz meg termékek vagy szolgáltatások nyújtása, illetve viselkedésük elemzése céljából. A megfogalmazás széleskörű és szándékos. Egy mandarin nyelven elérhető fogyasztói alkalmazás egy globális alkalmazásboltban, egy B2C webhely, amely szárazföldi címekre szállít, egy elemzési folyamat, amely kínai városok szerint szegmentálja a felhasználókat: mindegyik elfogadható kiváltó tényező.

A gyakorlati következmény az, hogy a hatókör ritkán egyértelmű igen vagy nem. Kérdés, hogy mely termékvonalak, mely felhasználói csoportok és mely adatkészletek férnek el a törvény hatályán belül. Az első megfelelési feladat tehát nem az adatvédelmi nyilatkozat megfogalmazása. Ez feltérképezési adat: azonosítja, hogy a kínai személyes adatok hol lépnek be a rendszerbe, hol tárolják azokat, ki érinti meg, és honnan távoznak. Amíg ez a térkép nem létezik, minden lefelé irányuló vezérlés csak találgatás.

Hozzájárulás: törvényes alap, nem jelölőnégyzet

A PIPL-t gyakran beleegyezésen alapuló rezsimként írják le, és a külföldi tárgyalótermekben ezt „jelölőnégyzet hozzáadásaként” fordítják. Ez alábecsüli a kötelezettséget. A PIPL számos jogalapot ismer – szerződéses szükségszerűség, törvényi kötelezettség, HR adminisztráció, közérdek és egyebek –, de a beleegyezés továbbra is az igásló, és a törvény magas mércét szab arra nézve, ami számít.

A PIPL szerinti hozzájárulásnak tájékozottnak, önkéntesnek és kifejezettnek kell lennie. Ha a feldolgozás érzékeny személyes adatokat (pénzügyi számlák, egészségi állapot, biometrikus adatok, 14 év alatti kiskorúak személyes adatai, helymeghatározás és hasonló kategóriák) vagy határokon átnyúló továbbítást foglal magában, külön hozzájárulás szükséges. A „külön” pontosan azt jelenti, hogy: egy különálló, konkrét megállapodás, nem pedig az általános feltételek elfogadásába rejtett bekezdés.

A külföldi vállalkozások működőképes hozzájárulási architektúrája általában a következőket tartalmazza:

1. Részletes közlemény, amely egyszerű kínai nyelven közli a feldolgozó kilétét, a személyes adatok kategóriáit, a célokat, a megőrzési időszakot és a felhasználó jogait.
2. Résztes kapcsolók az érzékeny feldolgozási kategóriákhoz és a marketinghez, elkülönítve az alapszolgáltatási hozzájárulástól.
3. Egy külön határokon átnyúló hozzájárulási folyamat, amely megnevezi a tengerentúli címzettet, a célország joghatóságát és az átvitel célját.
4. Visszavonási mechanizmus, amely ugyanolyan könnyen használható, mint az eredeti hozzájárulási folyamat, sötét minták nélkül.
5. Ausztrálási napló, amely felhasználónként rögzíti, hogy mihez, mikor és melyik verzió ellenében adtak hozzájárulást.

Az utolsó pont többet számít, mint amire a csapatok számítanak. A szabályozó hatóságok és a szerződő felek egyre gyakrabban kérnek bizonyítékokat, nem állításokat.

Határon átnyúló transzfer: három útvonal, egy döntés

A kínai személyes adatok offshore mozgatása az a terület, ahol a külföldi vállalkozások leggyakrabban azt tapasztalják, hogy meglévő architektúrájuk nem megfelelő. A PIPL három fő mechanizmust biztosít, amelyeket a későbbi CAC-intézkedések finomítanak:- CAC biztonsági értékelés. Kötelező a kritikus információs infrastruktúra üzemeltetőinek, a személyes adatokat az előírt mennyiségi küszöbérték felett kezelő feldolgozóknak, valamint a "fontos adatok" továbbításánál. Ez egy kormány által vezetett felülvizsgálat, nem pedig öntanúsítás.

• Standard Contractual Clauses (Kínai SCC-k). A kínai exportőr és a tengerentúli címzett között létrejött szerződésminta, amelyet a tartományi CAC-hoz kell benyújtani a személyes adatok védelmére vonatkozó hatásvizsgálattal együtt. Alkalmas közepes volumenű, az értékelési küszöb alatti átvitelekhez.
• Személyes adatvédelmi tanúsítvány. CAC által akkreditált testületek állítják ki. A gyakorlatban ez az útvonal a multinacionális vállalatokon belüli csoporton belüli transzfereknél a leghasznosabb.

A 2024-es könnyítések mentességet vezettek be bizonyos kis volumenű átutalások, az egyénnel kötött szerződés teljesítéséhez szükséges átutalások (határon átnyúló e-kereskedelem, utazási foglalások, vízumkérelmek), valamint a határon átnyúló foglalkoztatás kezeléséhez szükséges HR-transzferek esetében. Ezek a mentességek valósak, de szűkek. Bekapcsolják a mennyiségi számlálást, a szerződéses szükségesség természetét és azt, hogy érzékeny személyes adatokról van-e szó. Gyakori hiba, ha a felmentést állandó testtartásként kezelik rendszeres felülvizsgálat nélkül.

Bármelyik útvonalat is alkalmazzák, minden határokon átnyúló adattovábbításhoz személyes adatok védelmére vonatkozó hatásvizsgálat szükséges – dokumentálva, legalább három évig megőrizve, és frissítve, ha az adatfeldolgozás lényegesen megváltozik.

A reális megfelelési alapérték

Egy közepes méretű, kínai felhasználói adatokat kezelő külföldi vállalkozás esetében a védhető alaphelyzet nagyjából így néz ki:

• Az összes kínai személyes információáramlást lefedő adattérkép, amelyet legalább évente frissítenek.
• Kínai nyelvű adatvédelmi közlemény és beleegyezési architektúra, amely megkülönbözteti az általános, bizalmas és határokon átnyúló hozzájárulást.
• Egy Kínán belüli kijelölt képviselő vagy szervezet, ahol szükséges, elérhetőségi adatainak közzétételével.
• Egy választott határokon átnyúló átviteli mechanizmus – értékelés, SCC-k vagy tanúsítás – az alapul szolgáló hatásvizsgálattal.
• Szállítói gondosság minden olyan továbbfeldolgozóra, amely hozzáér az adatokhoz, beleértve a felhő- és elemzési szolgáltatókat is.
• Egy incidensre adott válasz eljárás, amely megfelel a PIPL értesítési elvárásainak mind a szabályozó hatóságok, mind az érintett személyek felé.
• Belső képzés a termék-, mérnöki és marketingcsapatok számára arról, hogy mi váltja ki az új hatásvizsgálatot.

Ezek egyike sem egzotikus. Ez nagyjából ugyanaz a tudományág, amelyet egy kiforrott GDPR-program már gyakorol, a beleegyezés részletességére, a határokon átnyúló bejelentésekre és a nyelvre vonatkozó kínai-specifikus fedvényekkel.

Ahol a külföldi csapatok általában tévednek

Három minta ismétlődik. Először is, a PIPL-t egy GDPR közlemény fordítási gyakorlataként kezelni – a két rendszer átfedésben van, de eltér a beleegyezés, a határokon átnyúló mechanika és az állam szerepe tekintetében. Másodszor, feltételezve, hogy mivel az adatokat Kínán kívül tárolják, a PIPL nem érvényes; Az extraterritorialitás a szabály, nem a kivétel. Harmadszor, addig hagyja a határokon átnyúló bejelentést, amíg egy szabályozó hatóság vagy egy kínai kereskedelmi partner meg nem kéri, ekkor már nem az Öné az idővonal.

A CAC biztonsági értékelési útvonala különösen nem olyan folyamat, amely az utolsó pillanatban végzett felkészülést jutalmazza. Az SCC-benyújtások gyorsabbak, de még mindig kellően alátámasztott hatásvizsgálatot igényelnek.

Kína adatvédelmi megfelelése végső soron a működési érettség kérdése, nem pedig a jogi okosság. A szabályok ismertek. Figyelmen kívül hagyásuk költsége – végrehajtási intézkedések, blokkolt átutalások, elveszett kereskedelmi ügyletek a kínai partnerekkel, akik most maguk is felteszik a kérdéseket – egyre konkrétabbak.

Azok a külföldi csapatok, amelyeknek Kínából származó minősítésű tanácsra van szükségük egy adott átigazolási struktúrával, beleegyezési folyamattal vagy bejelentéssel kapcsolatban, a Serene Jade [kínai ügyvéd] (/termékek/kínai ügyvéd) szolgáltatása párosítja Önt a bárban bejegyzett anyaországi és hongkongi ügyvéddel.

GYIK

Szükségünk van egy kínai entitásra csak az SCC-k benyújtásához? Nem feltétlenül. Az SCC-k értelmében a kínai exportőr az, aki a személyes adatokat Kínán belül birtokolja – ez lehet az Ön helyi leányvállalata, egy vegyesvállalati partner vagy egy kínai platform, amelyen keresztül működik. Ha egyáltalán nincs jelen, felmerül a kérdés, hogy ki kell-e jelölnie a PIPL 53. cikke szerinti kijelölt képviselőt.Határon átnyúló átvitelnek számít az adatok Hongkongba küldése? Igen. A PIPL szempontjából Hongkongot Kínán kívülinek tekintik, így az oda történő átutalásokhoz a három mechanizmus valamelyike ​​vagy érvényes mentesség szükséges, ugyanúgy, mint a Londonba vagy Frankfurtba történő átutalásokhoz.

A SaaS-ügyfeleink adataira támaszkodhatunk a szerződéses szükségszerűség alóli mentességre? Csak akkor, ha az átruházás valóban szükséges a magánszemély által kötött szerződés teljesítéséhez – például egy általa leadott megrendelés teljesítéséhez. A végfelhasználói adatok B2B SaaS-átvitele, az elemzések és a legtöbb marketinghasználati eset kívül esik ezen, és SCC-ket, tanúsítványt vagy értékelést igényel.