Ustawa o ochronie danych osobowych Chińskiej Republiki Ludowej
Według standardów europejskich ochrona danych osobowych przez długi czas odgrywała raczej podrzędną rolę w Chińskiej Republice Ludowej. Chiny nie posiadały bowiem kompleksowego systemu ochrony danych osobowych – rozproszone gwarancje dla autonomii informacyjnej jednostki znajdowały się w przepisach wielu ustaw z różnych gałęzi prawa[1]. Badacze przyczynę takiego fragmentarycznego stanu prawnego upatrywali między innymi w:
- nieuwzględnieniu w konstytucji ChRL[2] przepisu, który wprost i jednoznacznie odnosiłby się do ochrony prywatności;
- nieutworzeniu centralnego wiodącego organu nadzorczego z zakresu ochrony danych osobowych;
- zbytnim skupieniu rządu ChRL na kwestiach związanych z bezpieczeństwem narodowym[3].
Niemniej jednak w ciągu kilku ostatnich lat, chiński rząd wykazał jednak rosnące zainteresowanie budową silniejszego systemu ochrony danych osobowych i podjął szereg działań w celu zagwarantowania pewnego minimum efektywności systemu ochrony danych osobowych[4]. Starania te przyniosły efekty – 20 sierpnia 2021 r. Ogólnochińskie Zgromadzenie Przedstawicieli Ludowych przyjęło Ustawę o ochronie danych osobowych Chińskiej Republiki Ludowej (Personal Information Protection Law of the People’s Republic of China, dalej też: „PIPL”) która weszła w życie 1 listopada 2021 r. Celem nowego prawa jest poprawa ochrony danych osobowych i podjęcie bardziej zdecydowanych działań przeciwko nadużyciom w zakresie danych.
Podstawowe informacje o PIPL
PIPL składa się z ośmiu rozdziałów i 74 artykułów, na które składają się: przepisy ogólne, zasady przetwarzania danych osobowych, zasady transgranicznego udostępniania danych osobowych, prawa osób fizycznych, przepisy określające obowiązki podmiotów przetwarzających dane osobowe, przepisy dotyczące odpowiedzialności organów za egzekwowanie przepisów ustawy, przepisy określające zasady odpowiedzialności oraz przepisy uzupełniające. Na razie władze chińskie nie opublikowały oficjalnego tłumaczenia PIPL na j.angielski, co powoduje że analizując przepisy tej ustawy trzeba odnosić się do dostępnych nieoficjalnych tłumaczeń przygotowanych przez niezależnych badaczy[5].
- Podobnie jak RODO, PIPL stosuje się eksterytorialnie. Przepisy ustawy mają zastosowanie do przetwarzania danych osobowych przez podmioty spoza ChRL, gdy:
- celem przetwarzania jest oferowanie towarów lub usług osobom przebywającym w ChRL;
- celem przetwarzania jest monitorowanie i ocena zachowania osób przebywających w ChRL;
- mają miejsce inne okoliczności przewidziane w prawie krajowym;
- PIPL określa, że chińskie organy państwowe mogą przetwarzać dane osobowe jedynie w celu wypełnienia swoich prawnych obowiązków ustawowych, t.j. nie mogą przetwarzać danych w sposób wykraczający poza zakres niezbędny do wypełnienia tych obowiązków. Ponadto, organy publiczne muszą przechowywać dane osobowe wyłącznie na terenie Chin;
- PIPL przewiduje kilka podstaw przetwarzania, t.j. zgodę, niezbędność przetwarzania do zawarcia lub wykonania umowy (w tym umowy o pracę), niezbędność przetwarzania do wykonania obowiązków prawnych. Odmiennie niż RODO, PIPL nie uznaje jednak „prawnie uzasadnionego interesu administratora jako podstawy prawnej przetwarzania danych osobowych. Niemniej jednak rozszerzenie katalogu podstaw przetwarzania stanowi ważną „nowość” dla chińskiego systemu ochrony danych osobowych, ponieważ do tej pory główną podstawą przetwarzania przewidzianą w obowiązujących w ChRL ustawach (np. w chińskim kodeks cywilny) była zgoda podmiotu danych.
- w PIPL wprost zakazano podmiotom biorącym udział w obrocie danymi osobowymi traktować osoby fizyczne w obrocie handlowym w nieuzasadniony zróżnicowany sposób. Chiński prawodawca w szczególności zabronił praktyk dyskryminacji cenowej, poprzez stosowanie przez administratorów zautomatyzowanego podejmowania decyzji wobec osób, których dane dotyczą. W tym miejscu wskazać należy, że w rozumieniu przepisów PIPL „zautomatyzowane podejmowanie decyzji” to „działalność polegającą na wykorzystaniu programów komputerowych do automatycznej analizy lub oceny osobistych zachowań, nawyków, zainteresowań lub hobby, lub statusu finansowego, zdrowotnego, kredytowego lub innego, oraz podejmowania decyzji na ich podstawie”.
- Podmioty przekazujące dane osobowe poza terytorium ChRL muszą pozyskać na takie działania zgodę osoby, której dane dotyczą oraz przekazać jej m.in. następujące informacje: tożsamość odbiorcy danych spoza ChRL oraz jego dane kontaktowe; cel i sposoby przetwarzania, kategorie danych osobowych, a także sposoby lub wykonywania jej praw.
- PIPL przewiduje liczne sankcje dla podmiotów, które nie wypełniają swoich obowiązków w zakresie ochrony danych osobowych wynikających z ustawy. Organizacje naruszające przepisy PIPL w sposób rażący mogą zostać ukarane m.in. administracyjną karą pieniężną w wysokości do 50 milionów juanów lub w wysokości do 4 % jego całkowitego rocznego światowego obrotu.
- Za egzekwowanie przestrzegania przepisów PIPL i opracowywanie strategii w zakresie ochrony danych osobowych nie jest odpowiedzialny jeden organ, lecz zadania te są rozdzielone pomiędzy kilka podmiotów z sektora publicznego znajdujących się na różnych szczeblach administracji publicznej.
Komentarz
Niniejsza notatka nie ma charakteru wyczerpującego i w żadnym wypadku nie jest kompleksowym przewodnikiem po chińskim systemie ochrony danych osobowych. Jej celem jest przekazanie polskojęzycznemu odbiorcy podstawowych informacji o PIPL, aby zwrócić jego uwagę na dopsniosłe zmiany w zakresie ochrony prywatności w ChRL.
Nowe przepisy na pewno przyczynią się do zwiększenia świadomości obywateli ChRL na temat przetwarzania ich danych osobowych. Europejskie przedsiębiorstwa współpracujące z chińskimi podmiotami gospodarczymi powinny mieć zatem na uwadze przepisy PIPL w szczególności z racji eksterytorialnego zakresu stosowania ustawy. Przepisy „chińskiego RODO” mają bowiem nie tylko znaczenie lokalne, lecz aktywnie przyczyniają się do tworzenia zasad dotyczących międzynarodowego transferu danych[6]. Wielu komentujących podkreśla podobieństwa PIPL i RODO podkreślając inspirację chińskiego ustawodawcy unijnym systemem ochrony danych osobowych. Niemniej jednak administratorzy przekazujący dane osobowe do ChRL nadal powinni kierować się szczególną ostrożnością i odpowiednio zabezpieczyć transfer danych. Jest jeszcze zbyt wcześnie na jakąkolwiek ocenę PIPL. W Chinach nadal brakuje niestety (faktycznie) niezależnego, centralnego organu nadzorczego z zakresu danych osobowych, który mógłby skutecznie egzekwować przepisy PIPL i ustanowić jednolite standardy w zakresie ochrony prywatności. Tym samym istnieje ryzyko, że przepisy PIPL będą w praktyce egzekwowane instrumentalnie przez chińskie władze i staną się kolejnym (odstraszającym) narzędziem kontroli społeczeństwa, przedsiębiorców.
[1] Zob. P. De Hert, E.Papakonstantinou, The data protection regime in China, s.14, https://cris.vub.be/ws/files/17639565/pdh15_vpThe_data_protection_regime_in_ChinaIPOL_IDA_2015_536472_EN.pdf, (dostęp: 1.11.2021 r.).
[2] Konstytucja Chińskiej Republiki Ludowej z dnia 4 grudnia 1982 r. http://www.npc.gov.cn/englishnpc/constitution2019/201911/1f65146fb6104dd3a2793875d19b5b29.shtml, (dostęp: 1.11.2021 r.).
[3] Szerz. A. Geller, How Comprehensive Is Chinese Data Protection Law? A Systematisation of Chinese Data Protection Law from a European Perspective, GRUR International, Volume 69, Issue 12, December 2020, s. 1202, https://doi.org/10.1093/grurint/ikaa136., (dostęp: 1.11.2021 r.).
[4] Szerz. A. Geller, How Comprehensive Is Chinese Data Protection Law…, s. 1191.
[5] Anglojęzyczne tłumaczenie ustawy: https://digichina.stanford.edu/work/translation-personal-information-protection-law-of-the-peoples-republic-of-china-effective-nov-1-2021/, (dostęp: 1.11.2021 r.).
[6] Podobnie S. Tang, Extraterritorial Application of Chinese Personal Information Protection Law: A Comparative Study with GDPR, https://conflictoflaws.net/2021/extraterritorial-application-of-chinese-personal-information-protection-law-a-comparative-study-with-gdpr/, (dostęp: 1.11.2021 r.).