Es kann eine der strengsten Gesetze zum Schutz personenbezogener Daten weltweit sein.
Chinas erstes Gesetz zum Schutz personenbezogener Daten („PIPL“) wurde am 21. August 2021 verkündet und tritt am 1. November 2021 in Kraft.
Das Gesetz enthält insgesamt 74 Artikel. Die 15 wichtigsten Punkte des Gesetzes, die am meisten beachtet werden sollten, sind die folgenden.
1. Gilt Chinas PIPA für ausländische Unternehmen?
Solange Sie mit den personenbezogenen Daten natürlicher Personen in China umgehen, müssen Sie PIPA einhalten. (Artikel 3)
Das Gesetz gilt auch für Aktivitäten außerhalb Chinas, die unter folgenden Umständen mit personenbezogenen Daten von natürlichen Personen umgehen, die sich in China aufhalten:
(1) Die Tätigkeiten dienen der Bereitstellung von Produkten oder Dienstleistungen für natürliche Personen in China.
(2) Die Tätigkeiten dienen der Analyse und Bewertung des Verhaltens natürlicher Personen in China.
(3) andere Umstände, die durch andere chinesische Gesetze und Verwaltungsvorschriften festgelegt sind.
2. Können personenbezogene Daten in China außerhalb Chinas übertragen werden?
Ja, sofern die folgenden beiden Voraussetzungen erfüllt sind.
Zunächst wurde die Übertragung von den chinesischen Aufsichtsbehörden genehmigt. (Artikel 38)
Zweitens hat der Verarbeiter der personenbezogenen Daten zu diesem Zweck die gesonderte Zustimmung dieser Person eingeholt. (Artikel 39)
3. Können personenbezogene Daten, die in China gesammelt und generiert werden, außerhalb Chinas gespeichert werden?
Im Prinzip nein. (Artikel 40)
Erstens können Betreiber kritischer Informationsinfrastrukturen personenbezogene Daten nur innerhalb Chinas speichern.
Zweitens, wenn ein Verarbeiter personenbezogener Daten personenbezogene Daten bis zu dem von den Aufsichtsbehörden festgelegten Betrag verarbeitet, kann er personenbezogene Daten nur innerhalb Chinas speichern.
4. Werden ausländische Unternehmen für den Verstoß gegen Chinas PIPA bestraft?
Ja.
Die chinesischen Aufsichtsbehörden können sie in die Liste der eingeschränkten oder verbotenen personenbezogenen Daten aufnehmen und anderen Personen die Bereitstellung personenbezogener Daten einschränken oder verbieten. (Artikel 42)
5. Können ausländische Justizorgane und Strafverfolgungsbehörden Zugang zu in China gespeicherten personenbezogenen Daten verlangen?
Ausländische Justizorgane können solche personenbezogenen Daten nur im Wege der Rechtshilfe erlangen. (Artikel 41)
Der Verarbeiter personenbezogener Daten darf diese personenbezogenen Daten nicht ohne Zustimmung der zuständigen chinesischen Behörden an ausländische Justiz- oder Strafverfolgungsbehörden weitergeben.
6. Wie löst China Konflikte mit ausländischen Vorschriften zum Schutz personenbezogener Daten?
Wenn ein Land oder eine Region gegenüber China diskriminierende Verbote, Beschränkungen oder ähnliche Maßnahmen zum Schutz personenbezogener Daten ergreift, kann China entsprechend der tatsächlichen Situation wechselseitige Maßnahmen gegen dieses Land oder diese Region ergreifen. (Artikel 43)
7. Welche Art von Informationen regelt Chinas PIPA?
Persönliche Informationen. Sofern die Informationen einer bestimmten natürlichen Person zugeordnet werden können, handelt es sich um personenbezogene Daten. (Artikel 4)
8. Welche Aktivitäten regelt Chinas PIPA?
Der Umgang mit personenbezogenen Daten umfasst die Erhebung, Wiederherstellung, Nutzung, Verarbeitung, Übermittlung, Bereitstellung, Offenlegung und Löschung personenbezogener Daten. (Artikel 4)
9. Unter welchen Umständen können personenbezogene Daten verarbeitet werden?
Der Verarbeiter personenbezogener Daten kann personenbezogene Daten in zwei Fällen verarbeiten: wenn die Einwilligung der betroffenen Person eingeholt wurde; oder wenn die Einwilligung der betroffenen Person für die Verarbeitung der Informationen nicht erforderlich ist.
Fälle, in denen keine individuelle Zustimmung erforderlich ist, umfassen:
(1) Der Verarbeiter personenbezogener Daten schließt einen Vertrag mit einer natürlichen Person ab und die Erhebung personenbezogener Daten ist zur Vertragserfüllung erforderlich;
(2) Ein Unternehmen erhebt notwendige Mitarbeiterinformationen für das Personalmanagement.
(3) Personenbezogene Daten werden erhoben, um auf einen gesundheitlichen Notfall reagieren zu können.
(4) Personenbezogene Daten werden für die Presseberichterstattung im öffentlichen Interesse erhoben.
(5) Personenbezogene Daten, die öffentlich gemacht wurden (auf einen bestimmten Zweck beschränkt).
10. Wie holt ein Verarbeiter personenbezogener Daten die Einwilligung einer Person ein?
Vor dem Umgang mit personenbezogenen Daten muss der Verarbeiter personenbezogener Daten die Person wahrheitsgetreu, genau und vollständig, in auffälliger Weise und in klarer und verständlicher Sprache über die folgenden Informationen informieren:
(1) Die Identität des Verarbeiters personenbezogener Daten.
(2) Wie die personenbezogenen Daten verarbeitet werden.
(3) Wie die Person ihre Rechte in Bezug auf personenbezogene Daten ausübt.
11. Welche Rechte hat eine Person in Bezug auf ihre personenbezogenen Daten?
Einzelpersonen haben das Recht, ihre personenbezogenen Daten zu kennen und über den Umgang mit ihnen zu entscheiden. (Artikel 44)
Um genau zu sein,
(1) Einzelpersonen haben das Recht, ihre personenbezogenen Daten von der Person, die ihre personenbezogenen Daten verarbeitet, einzusehen und zu kopieren; (Artikel 45)
(2) Einzelpersonen haben das Recht, vom Verarbeiter personenbezogener Daten die Berichtigung oder Ergänzung ihrer personenbezogenen Daten zu verlangen, wenn sie feststellen, dass die Informationen unrichtig oder unvollständig sind; (Artikel 46)
(3) Die Betroffenen haben das Recht, ihre Einwilligung jederzeit zu widerrufen (Artikel 15)
(4) Die Personen haben das Recht, vom Auftragsverarbeiter zu verlangen, die Regeln für den Umgang mit ihren personenbezogenen Daten zu erläutern und klarzustellen. (Artikel 48)
12. Wie gehen staatliche Organe mit personenbezogenen Daten um?
Staatliche Organe können personenbezogene Daten zur Erfüllung ihrer gesetzlichen Pflichten verarbeiten, müssen dies jedoch gemäß den gesetzlichen Befugnissen und Verfahren tun. (Artikel 34)
Staatliche Organe informieren Einzelpersonen über den Umgang mit ihren personenbezogenen Daten. Die staatlichen Organe dürfen die Personen jedoch nicht informieren, wenn das Gesetz eine vertrauliche Behandlung vorsieht. (Artikel 35, Artikel 18)
13. Können Auftragsverarbeiter personenbezogene Daten an öffentlichen Orten sammeln?
Ja, sie können, sofern folgende Voraussetzungen erfüllt sein müssen (Artikel 26):
(1) die Erhebung ist für die öffentliche Sicherheit erforderlich;
(2) die Sammlung den einschlägigen gesetzlichen Bestimmungen entspricht;
(3) Der Inkasso richtet eine auffällige Mahnung ein.
14. Kann ein Verarbeiter personenbezogener Daten personenbezogene Daten verwenden, um geschäftliche Entscheidungen zu treffen?
Ja, aber sie müssen die Transparenz der Entscheidung sowie die Fairness und Unparteilichkeit der Ergebnisse gewährleisten. (Artikel 24)
Um genau zu sein:
(1) Auftragsverarbeiter dürfen Einzelpersonen keine personalisierten Geschäftsbedingungen wie Preisdiskriminierung anbieten.
(2) Einzelpersonen können personalisiertes Informations-Pushing und kommerzielles Marketing durch Verarbeiter personenbezogener Daten an sie verweigern.
(3) Einzelpersonen können automatisierte Entscheidungen ablehnen, die ihnen von Auftragsverarbeitern gegenüber getroffen werden.
15. Wer ist die Aufsichtsbehörde für den Schutz personenbezogener Daten in China?
Die Cyberspace Administration of China und ihre Pendants in den lokalen Regierungen sind die Regulierungsbehörden in diesem Bereich.
Photo by Isaac Chou on Unsplash
Anbieter: CJO-Mitarbeiterteam