Как назначить представителя в Китае по PIPL: пошаговое руководство для бизнеса
- 23 января, 2024
- Бизнес, Законодательства
Иностранные компании, которые работают с персональными данными граждан Китая, обязаны назначить представителя по закону PIPL. Эта статья поможет разобраться в ключевых требованиях китайского Закона о защите персональной информации (PIPL) к назначению представителя, сравнит их с нормами GDPR и укажет на практические сложности, с которыми сталкиваются зарубежные компании.
Мы рассмотрим, кто может быть представителем, какие у него обязанности, какие требования действуют при трансграничной передаче данных в Китай, и почему отсутствие ясности в формулировках PIPL создаёт риски. Также обсудим, на кого ложится ответственность за назначение и какие квалификационные требования к представителю предъявляются.
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Введение
С момента вступления в силу Закона КНР о защите персональной информации (Personal Information Protection Law, PIPL) в 2021 году его применение остаётся предметом активных дискуссий. Причины — размытые формулировки, отсутствие подробных разъяснений от китайского регулятора Cyberspace Administration of China (CAC), а также практические сложности у иностранных компаний.
Одной из наиболее неоднозначных норм стала статья 53 PIPL, устанавливающая требование о назначении представителя на материковой части Китая для зарубежных компаний, подпадающих под экстерриториальное действие закона (статья 3). Именно эта обязанность вызывает множество вопросов — от того, кто может выступать в роли представителя, до того, какие у него функции и каковы последствия несоблюдения.
«Согласно ст. 3 закон применяется к любой деятельности по обработке персональной информации в границах КНР.
…
Данная ст. также предусматривает экстерриториальное применение закона вне границ КНР в следующих случаях:
1. Если персональная информация обрабатывается в целях предложения товаров и услуг физическим лицам, находящимся на территории КНР.
2. Если анализируется или оценивается деятельность физических лиц на территории КНР.
3. При наличии иных обстоятельств, предусмотренных законами или административными подзаконными актами.»
Назначение представителя – обязанность
Иностранные компании, обрабатывающие персональные данные физических лиц, находящихся в Китае, обязаны назначить официального представителя или создать агентство на территории материкового Китая. Этот представитель отвечает перед регулятором за выполнение требований PIPL и взаимодействие по вопросам обработки данных. Контактные данные представителя необходимо передать Cyberspace Administration of China (CAC), а также указать в политике приватности или приложении к ней — это не только хорошая практика, но и логически вытекающее требование из принципов транспарентности и актуальности данных.
Важно: при замене представителя его контактные данные должны быть своевременно обновлены как в документах для регулятора, так и в политике конфиденциальности.
Хотя требование напоминает статью 27 GDPR, китайское законодательство не предусматривает исключений для компаний, которые обрабатывают данные нерегулярно или с низким риском. Более того, в контексте статьи 53 PIPL ключевым критерием является не гражданство или регистрация компании, а фактическое место её деятельности по обработке данных — даже если оно за пределами Китая.
📌 Нужна помощь с PIPL?
Назначение представителя в Китае — это только один из элементов соответствия закону PIPL. Мы помогаем компаниям понять, какие требования применимы, и как обеспечить полное соответствие китайскому законодательству о защите персональных данных.
Что мы предлагаем?
- Анализ вашей деятельности на предмет экстерриториального действия PIPL.
- Разработка или аудит политики приватности с учётом китайских требований.
- Консультации по трансграничной передаче данных в Китай.
- Сопровождение в коммуникации с CAC.
Оставьте заявку на консультацию — разберём ваш кейс и подскажем, с чего начать. Для этого заполните форму ниже или напрямую свяжитесь с нами любым удобным для вас способом.
Кто такой представитель по PIPL и в чём его реальная роль?
Закон PIPL упоминает представителя иностранных компаний всего трижды — дважды в статье 53 и один раз в статье 64. При этом его функции, ответственность и квалификационные требования прямо не определены.
В статье 64 указано, что китайские регуляторы могут провести официальную беседу (conduct a talk) с представителем в случае выявления серьёзных рисков в обработке персональных данных. Однако что именно подразумевается под этим разговором, закон не уточняет. Тем не менее, ясно одно: в случае проблем именно представитель будет привлечён к диалогу с регулятором.
➡️ Поэтому назначать такого представителя “для галочки” — рискованная стратегия. Это должно быть уполномоченное лицо, знакомое с внутренними процессами компании, бизнес-контекстом и базовыми положениями китайского законодательства в области защиты данных.
Представитель и трансграничная передача данных
Если вы подпадаете под экстерриториальное действие PIPL (статья 3), то вопрос трансграничной передачи персональных данных в Китай рано или поздно неизбежно встанет.
В таких случаях заявка на сертификацию (один из механизмов трансграничной передачи) может быть подана через представителя (designated representative, как указано в статье 53 PIPL), назначенного в соответствии с законом.
При этом важно различать два совершенно разных типа представителей.
📎 “Генеральный” представитель компании в Китае (general representative, нередко используется для регистрации компании и ведения бизнеса в целом) — действует от имени компании в общем правовом поле (налоги, контракты и т.п.).
📎 Представитель по PIPL (PIPL representative или designated personal information protection representative) — действует исключительно в рамках закона о персональных данных, взаимодействует с CAC и может подавать документы на сертификацию трансграничной передачи.
Эти роли не взаимозаменяемы: general representative не может выступать от имени компании по вопросам, регулируемым PIPL. Только PIPL representative, назначенный по статье 53, обладает такими полномочиями.
Хорошая новость — необязательно нанимать представителя в штат. Закон допускает передачу полномочий внешним юридическим консультантам или специализированным агентствам, работающим на рынке материкового Китая. Это особенно удобно для небольших и средних компаний, не имеющих собственного офиса в стране.
Что важно помнить?
📎 Обязанность назначить представителя распространяется на всех иностранных операторов персональных данных, подпадающих под действие PIPL.
📎 Полномочия представителя на практике могут быть довольно широкими — от подачи документов до общения с регуляторами.
📎 Хотя закон не описывает напрямую санкции за неназначение представителя, отсутствие такого лица в случае проверки может привести к официальному разбирательству со стороны CAC.
Поэтому назначение представителя по PIPL — это не формальность, а важный элемент стратегии по снижению правовых и операционных рисков при выходе на китайский рынок.