סין מחדדת את חוקי הגנת פרטיות שלה וכדאי שתכירו את זה!

 חוק הגנת הפרטיות הסיני Personal Information Protection Law

במידה ואתם פעילים בסין ומתכננים להוציא מידע מסין  – כדאי שתדעו שהוצאת מידע מחוץ לסין תמיד הייתה נושא רגיש אך החל מסוף 2022 הנושא יעוגן תחת חוק חדש.

בסוף 2020, הקונגרס העממי הלאומי ("NPC") המשמש כגוף המחוקק הבכיר ביותר בסין, פרסם את הטיוטה הראשונה לחוק הגנת המידע האישי, המכונה חוק הגנת הפרטיות (Private Information Protection Law).

מדובר בשינוי חקיקה משמעותי שכן הנושא לא הוסדר לפני כן באמצעות חקיקה. ההשראה לחוק זה נשאבה מה-GDPR האירופי.

טיוטת החוק זו הינה המשך ישיר, ואף מתכתבת עם מספר חוקים קשורים אחרים, שגם הם תוקנו לאחרונה, כגון:

  • (טיוטת) חוק אבטחת נתונים ( Data Security), עם דגש מיוחד על נתונים החשובים לביטחון המדינה;
  • חוק פיקוח על היצוא (Export Control) המקים "רשימה שחורה" המגבילה או אוסרת על ארגונים זרים רשומים לקבל מידע אישי מסין (מוזמנים לקרוא על חוק פיקוח היצוא במאמר שכאן) 
  • וחוק הגנת הסייבר ( Cyber Security ) שמתמקד באבטחת סייבר, עליו נכתוב בהמשך.

במאמר זה נתייחס לנושאים המהותיים העולים מטיוטת החוק ומהשינוי בגישת המחוקק הסיני שכדאי שחברות ישראליות הפעילות בסין יכירו.

  • העברת מידע אישי חוצה גבולות

במידה ובוצע איסוף של מידע פרטי על ידי ארגונים זרים (ללא קשר האם יש להם ישות משפטית או פעילות בסין) במטרה לספק מוצרים או שירותים למקומיים, ארגונים אלה יהיו כפופים לתחום השיפוט של החוק.  נוסף על כך, על גורמים זרים המנתחים או מעריכים התנהגות של אזרחים סינים, החוק יחול גם כן.

תחת מדיניות הגנת הנתונים הנוכחית בסין (טרם טיוטת חוק הגנת הפרטיות), העברה של מידע אישי חוצה גבולות נמצאת בדרגות מסוימות של אי וודאות. לדוגמה, חוק אבטחת הסייבר מחייב שמפעילי תשתיות מידע קריטיות (CIIO) יאחסנו מידע אישי בסין עצמה ויבצעו אומדן לפני שהם מייצאים מידע אישי. עם זאת, רוב הארגונים אינם פועלים כמפעילי תשתיות מידע קריטיות ואין זה ברור האם הם רשאים להעביר מידע אישי לחו"ל והאם יש צורך בהסכמה אישית. בהקשר הזה טיוטת חוק הגנת הפרטיות עושה סדר באי הודאות, ומאפשרת אופציות לייצא מידע אישי:

(1) לפי אומדן האבטחה שנקבע על-ידי מנהלת אבטחת הסייבר;

(2) להשיג את האישור המוסמך להגנת מידע אישי (PI);

(3) התקשרות חוזית עם נמענים מעבר לים.

אופציות (2) ו- (3) הועתקו כפי שהן מה- GDPR, אך בניגוד ל- GDPR, טיוטת החוק הסיני דורשת שטרם ייצוא של מידע אישי מחוץ לסין תחול על הארגונים החובה ליידע יחידים ולבקש את הסכמתם.

ההשראה לדרישה ל"הסמכה על ידי ארגונים ייעודיים" נשאבה מה-GDPR, ודרישת "כריתת החוזה" קשורה לסעיפים החוזיים הסטנדרטיים במסגרת ה- GDPR. בנוסף, על פי סעיף 12, המדינה תשתתף באופן פעיל בניסוח חוקים בינלאומיים בנושא הגנת מידע אישי ותקדם הכרה הדדית בחוקים וסטנדרטים להגנת המידע האישי עם מדינות, אזורים וארגונים בינלאומיים אחרים. מכך ניתן להסיק כי בעתיד יכרתו יותר בריתות אזוריות לתנועה חופשית של נתונים באמצעות הכרה הדדית בינלאומית או אמצעים הסכמיים אחרים.

  • בעיית כדאיות

החוק מתייחס ל"מעבדים האוספים מידע אישי בכמות העוברת את הגבול". כיצד אוכפים משהו שעובר את הגבול? כשלא ברור מהו הגבול מלשון החוק.  כיצד  תחושב כמות המידע המחושב? כנראה שהנושא יהיה נתון לפרשנות הרשות האוכפת האמונה.

  •   סנקציות

החוק מטיל סנקציות פליליות. כמו כן, סעיף 42 לטיוטת החוק קובע כי אם ארגונים זרים או גורמים אחרים עוסקים בפעולות איסוף מידע אישי הפוגעות בזכויות אזרחי סין, או מסכנות את ביטחון המדינה או האינטרסים הציבוריים, סין עשויה לכלול אותם ב"רשימה שחורה" אשר תגביל או תאסור עליהם לקבל מידע אישי.

לסיכום,

"חוק אבטחת הסייבר", "חוק אבטחת מידע" ו"חוק הגנת המידע האישי" הם עמודי התווך העיקריים להגנה על פרטיות המידע האישי ועל ביטחון הציבור בסין. מתוכם, "חוק אבטחת מידע" ו"חוק הגנת מידע אישי" נמצאים עדיין בשלבי הדיון בחקיקה.

נראה שהמחוקק הסיני ממשיך לעשות סדר בתחומים בהם לא נקט עמדה ברורה בעבר. חוק הגנת הפרטיות תואם כללים ותקנים בינלאומיים בנושא ההגנה על מידע אישי. אזכיר שהחל משנת 2016 עם ההכרזה על ה- GDPR ולאחר שנת 2018 עם כניסת ה- GDPR לתוקף, עסקים רבים מחוץ לאיחוד האירופי ולאזור הכלכלי האירופי (EEA) שהיו בעלי עסקים משמעותיים באיחוד האירופי וב- EEA החלו במאמצים משמעותיים לבחון את פרטיות הנתונים ושיטות הגנה בכדי להתאים את שיטות העבודה שלהם לדרישות ה-GDPR, לרבות חברות ישראליות.

אך ניכר שסין נוקטת בעמדה שמרנית בכל הנוגע להגנה על מידע אישי,  גישה זו מחזקת את הצורך של חברות זרות המעוניינות בכניסה לשוק הסיני, בחבירה עם שותף מקומי חזק ולו בשל הצורך לעמוד בתקנות הנדרשות.

חברות ישראליות האוספות מידע אישי כחלק מעסקיהן בסין ואין להן ישות משפטית בסין, צריכות לעקוב אחר יישומן של הדרישות החוץ-טריטוריאליות של טיוטת החוק להגנת הפרטיות ולהיערך בהתאם. החוק צפוי לעבור עוד 2 סבבי ההתייעצויות עם הציבור ולהיכנס לתוקף לקראת סוף 2022.

כתמיד, מוזמנים לפנות אליי ולצוות הנספחות!

אהבתם? שתפו

שיתוף ב facebook
שתפו בפייסבוק
שיתוף ב twitter
שתפו בטוויטר
שיתוף ב linkedin
שתפו בלינקדאין
שיתוף ב email
שתפו במייל