On November 1, 2021, China’s Personal Information Protection Law (PIPL) came into effect. We are delighted to have had the opportunity to advise one of our clients, an international FinTech start-up, on PIPL compliance.
PIPL is the first comprehensive legal act regulating the protection of personal data in China. As with the GDPR, PIPL not only applies to businesses based in China, but it is also extra-territorial in scope, therefore companies providing products to Chinese individuals are seeking to find ways to best ensure compliance with the Chinese privacy law.
Some key takeaways:
Companies that already comply with the EU’s General Data Protection Regulation (GDPR) are likely to a large extent to comply with PIPL. But it's worth noting that PIPL regulates certain areas differently (e. g., consent is required for certain operations that raise higher risks) and in certain cases, there are additional requirements (e. g., certain companies must store data within China).
The protection granted by the GDPR is centered around individuals, and the protection granted by the PIPL, to a significant extent, is also centered around national security. Therefore, it should be kept in mind that companies may be at a certain risk to become geopolitical targets. Article 43 of the PIPL states that where any country or region adopts discriminatory [...] measures against China in the area of personal information protection, China may adopt reciprocal measures against the said country or region.
Overseas companies that violate PIPL or harm the interests of the national security of China may be placed on a blacklist, which could ban them from processing Chinese personal data. Breaches of the law may result in a fine of up to RMB 50 million (approx. EUR 6.75 million) or 5% of a company’s annual revenue for the prior fiscal year.
--
2021 m. lapkričio 1 d., Kinijoje įsigaliojo Asmens duomenų apsaugos įstatymas (PIPL). Džiaugiamės, kad turėjome galimybę patarti vienam iš savo klientų, tarptautiniam FinTech startuoliui, dėl atitikties PIPL.
PIPL yra pirmasis išsamus teisės aktas, reglamentuojantis asmens duomenų apsaugą Kinijoje. Kaip ir Bendrasis duomenų apsaugos reglamentas (BDAR), PIPL taikomas ne tik Kinijoje įsikūrusioms įmonėms, bet ir yra eksteritorinio pobūdžio, todėl įmonės, pardavinėjančios prekes ir paslaugas Kinijos gyventojams, ieško būdų, kaip geriausiai užtikrinti atitiktį Kinijos privatumo įstatymui.
Keletas svarbiausių išvadų:
Įmonės, kurios jau laikosi Bendrojo duomenų apsaugos reglamento (BDAR) turėtų didžiąją dalimi atitikti PIPL. Tačiau verta pažymėti, kad Kinijos įstatymas tam tikras sritis reglamentuoja skirtingai (pvz., reikalauja sutikimo kai kurioms didesnę riziką keliančioms duomenų tvarkymo operacijoms), o tam tikrais atvejais yra papildomų reikalavimų (pvz., tam tikros įmonės turi saugoti duomenis Kinijoje).
BDAR suteikiama apsauga yra orientuota į asmenis, o PIPL taip pat siekiama užtikrinti Kinijos naconalinio saugumo interesą. Reikėtų nepamiršti, kad įmonėms gali kilti tam tikra rizika tapti geopolitiniu Kinijos institucijų taikiniu. 43 PIPL straipsnyje teigiama: jeigu kuri nors šalis ar regionas imasi diskriminacinių [...] priemonių prieš Kiniją asmens duomenų apsaugos srityje, Kinija gali imtis atsakomųjų priemonių prieš minėtą šalį ar regioną.
Užsienio bendrovės, kurios pažeidžia PIPL arba kenkia Kinijos nacionalinio saugumo interesams, gali būti įtrauktos į juodąjį sąrašą ir joms gali būti uždrausta tvarkyti Kinijos asmens duomenis. Už įstatymo pažeidimus gali būti taikomos baudos iki 50 mln. Kinijos juanių (apytiksliai 6.75 milijonų eurų) arba 5% bendrovės metinių pajamų praėjusiais mokestiniais metais.
