סין פירסמה טיוטת חוק הגנת פרטיות חדש

לראשונה בתולדות סין, פורסמה בתחילת השבוע להערות הציבור טיוטה לחוק הגנת פרטיות (תרגום לא רשמי לאנגלית - כאן). החוק הכולל 70 סעיפים, וכשיכנס לתוקף יהיה החוק הראשון בתולדות המדינה העוסק בהגנת מידע אישי באופן מרוכז ומקיף. הוא יאגד, ובמקרים מסוימים יחליף, פיסות הרגולציה שכיום פזורות לאורך ולרוחב ספר החוקים בסין.

טיוטת החוק קובעת עקרונות שונים לרבות שקיפות, הוגנות, צמידות מטרה, מזעור איסוף המידע, שמירת המידע לזמן מוגבל, דיוק המידע ואחריות בעל מאגר המידע. law.co.il מעיר כי ניכר בטיוטה דמיון לתקנות הגנת המידע האירופאיות (GDPR).

התחולה הטריטוריאלית של החוק משתרעת על כל יחיד או ארגון המבקש לאסוף או לעבד מידע בתוך גבולותיה הטריטוריאליים של סין, אודות יחידים הנמצאים בסין, למטרות שיווק או אספקת מוצרים לאותם יחידים, ניתוח התנהגותם או בנסיבות אחרות המפורטות בחוקים מקומיים סיניים אחרים.

ההגדרות של "מידע אישי" ו"עיבוד מידע" רחבות כמעט כמו המונחים המקבילים להם ב-GDPR. למשל, מידע אישי כהגדרתו בהצעת החוק הוא כל מידע הנאסף באמצעים אלקטרוניים או אמצעים אחרים אודות בני אדם, המזהה או הקשור למידע המזהה את אותו אדם, למעט מידע שעבר תהליך אנונימיזציה. בנוסף, ארגונים "זרים" שמקום מושבם הוא מחוץ לגבולות סין, יידרשו למנות נציג או להקים התארגנות מקומית לענייני פרטיות וכן לדווח ולהעביר מידע רלוונטי לרגולטורים הסיניים במקרים מסוימים.

בניגוד לחלוקת האחריות ב-GDPR, בחוק הפרטיות הסיני המוצע אין הפרדה טרמינולוגית בין "בעל השליטה במידע" (Controller) לבין "מעבד המידע" (Processor). במקום זה, טיוטת החוק מטילה אחריות על מי שקובע באופן עצמאי את היקף, אופן ומטרות איסוף המידע - הגדרה דומה לזו של "בעל השליטה במידע" תחת ה- GDPR.

טיוטת החוק קובעת באופן מספר בסיסים חוקיים (עילות) לעיבוד מידע, בהם צורך בביצוע חוזה שנושא המידע הוא צד לו, אינטרס ציבורי חיוני (לרבות סכנה לחיים, לבריאות או לרכוש של נושא המידע או אחרים), וכמובן הסכמת נושא המידע לאיסוף המידע עליו. החוק גם דורש כי הסכמה תהיה אקטיבית (מנגנון opt-in), מדעת ומרצון. מנגנוני ההסכמה המקובלים ואופן עיגון הסכמת נושאי המידע מפורטים pגם הם בטיוטת החוק ודומים לאלו הקבועים ב- GDPR. החוק גם מבקש להטיל מגבלה רחבה יותר על העברת מידע אישי מחוץ לגבולות סין מכפי שקיים כעת בחקיקה בסין. לפי הצעת חוק, היקף מסוים של העברת מידע מחוץ לגבולות סין יהיה טעון את אישורם של הרגולטורים בסין.