Представитель иностранной компании в КНР по вопросам персональных данных: назначение и полномочия

23 января, 2024

Данная статья предоставляет обзор фактов и неопределенностей, сопровождающих реализацию Закона КНР о защите персональных данных китайского закона о защите персональных данных (The Personal Information Protection Law of the People’s Republic of China, PIPL) в контексте назначения представителей для зарубежных компаний. В статье автор рассматривает требования к представителям, подчеркивает различия с GDPR и выделяет важные аспекты вопроса, такие как отсутствие четких полномочий представителя и правила трансграничной передачи данных. Автор также выявляет необходимость дополнительных уточнений относительно ответственности за наназначение представителя и квалификационных требований к последнему.

Представитель иностранной компании в КНР

С момента принятия и вступления в силу Закона Китайской Народной Республики о защите персональных данных – Personal Information Protection Law (далее – PIPL) – в 2021 году, относительно различных аспектов его применения возникло немало дискуссий и споров. Связано это может быть с пространностью языка, которым он написан, отсутствием долгожданных по многим вопросам разъяснений от китайского регулятора киберпространства (Cyberspace Administration of China, далее – CAC) или с иными причинами. Так или иначе, споры то и дело возникали как среди практикующих юристов, так и среди теоретиков права. Одна из норм, которые трактуются неоднозначно, содержится в статье 53 PIPL, регулирующей назначение представителя на материковой части Китая для зарубежных компаний, подпадающих под экстерриториальное действие PIPL (статья 3).

«Согласно ст. 3 закон применяется к любой деятельности по обработке персональной информации в границах КНР.

Данная ст. также предусматривает экстерриториальное применение закона вне границ КНР в следующих случаях:

1. Если персональная информация обрабатывается в целях предложения товаров и услуг физическим лицам, находящимся на территории КНР;

2. Если анализируется или оценивается деятельность физических лиц на территории КНР;

3. При наличии иных обстоятельств, предусмотренных законами или административными подзаконными актами.»

Назначение представителя – обязанность

Так, компании, осуществляющие за пределами Китая деятельность, связанную с персональными данными физических лиц в Китае, должны сформировать специализированное агентство или назначить представителя в Китае, который будет отвечать за вопросы, связанные с обрабатываемой ими персональной информацией. Контактные данные такого агентства или представителя следует сообщить в CAC. Имплицитным законодательным требованием и в целом хорошей практикой является также указание данных представителя в политике приватности или приложении к ней. Логично, что в случае замены представителя контактные данные должны быть вновь своевременно доведены до сведения регулятора и обновлены в политике приватности в соответствии с принципами транспарентности и точности. Требование о представителе в значительной степени аналогично требованию GDPR в отношении представителя (статья 27), однако Китай не предусмотрел исключений для организаций, которые занимаются обработкой ПД только время от времени (occasionally) или с низким уровнем риска. Примечательно также, что по смыслу статьи 53 PIPL определяющее значение имеет именно физическое место нахождения обработчиков данных, а не их привязка к государству гражданства или государственной регистрации.

Роль и полномочия представителя

Важным является вопрос о роли представителя и его полномочиях. PIPL не определяет их, а само упоминание представителя встречается в тексте лишь три раза – дважды в статье 53 и один раз – в статье 64. Согласно положениям последней, органы власти могут провести беседу, разговор (conduct a talk) с представителем (агентством), обрабатывающим персональные данные, в случае обнаружения значительного риска в обработке персональных данных. Что конкретно следует понимать под таким разговором, нигде по тексту не уточняется. PIPL не устанавливает ни квалификационных требований для такого лица, ни ответственности за назначение представителя. Вместе с тем именно представитель в случае каких-либо проблем или нарушений будет вызван на разговор в компетентный орган. Соответственно, назначить представителя просто «для галочки» не получится – этот человек должен быть глубоко вовлечен в процессы и практики работы с данными внутри компании, быть знаком с бизнесом, что предполагает наличие соответствующих знаний, в том числе о правовом регулировании обработки персональных данных в Китае.
Представитель иностранной компании в КНР
Далее, если personal information processor (PIP) – так PIPL называет лицо, которое организует обработку персональных данных, определяет ее цели и средства (в GDPR это лицо названо контролером) – подпадает под действие статьи 53, то с большой вероятностью рано или поздно может возникнуть и вопрос о трансграничной передаче персональных данных. Зарубежные PIP могут подавать заявки на сертификацию (одно из условий, позволяющих осуществить трансграничную передачу персональных данных) через свои специализированные агентства или назначенных представителей, созданных в Китае, которые также могут взять на себя юридическую ответственность от имени PIP. Таким образом, локальный представитель является лицом, подающим заявку на сертификацию для трансграничной передачи персональных данных. Данное разъяснение напрямую указывает именно на представителя в смысле статьи 53 PIPL, а не “генерального” представителя интересов иностранной компании в Китае (которого иностранные компании также обязаны иметь). Последние как раз не имеют права подавать заявку на сертификацию – подобным полномочием обладает лишь сама компания и ее представитель по персональным данным. То есть, совместить функции “генерального” представителя в КНР с функциями представителя по статье 53 PIPL не выйдет – это два совершенно разных требования закона. Удобство состоит в том, что представителя по защите персональных данных не обязательно нанимать в штат, его полномочия можно отдать на аутсорсинг. Этим занимаются многие юридические компании на рынке материкового Китая.

Таким образом, назначение представителя для материковой части Китая – это прямая обязанность иностранных компаний, организующих обработку персональных данных физических лиц в Китае, однако процедура назначения такого представителя, равно как его полномочия или санкции за неисполнение такой обязанности в PIPL до сих пор напрямую не закреплены. Несмотря на это в качестве проактивной меры и при наличии возможности рекомендуется назначить такого представителя во избежание разбирательства со стороны китайского надзорного органа.

Автор: Андрей Чолак, младший консультант

Подписывайтесь на рассылку

Data Privacy Office

Консалтинг по национальным законам

Приведение проектов, процессов, продуктов и компании в соответствии с международными и локальными законами: GDPR, ССPA, UAE PDPL, PIPL и других.

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму и наши менеджеры свяжутся с вами с ближайшее время.