01
Compliance начинается с карты данных
Компания описывает категории данных, субъектов, цели, системы, местонахождение серверов, получателей, сроки хранения и международные потоки. Только после этого можно определить PIPL, важные данные, отраслевые правила и data export route.
- Субъекты
- Клиенты, сотрудники, кандидаты, представители контрагентов и посетители
- Системы
- CRM, HRIS, ERP, email, cloud, CCTV, website и mobile app
- Получатели
- Китайские vendors, материнская компания и глобальные провайдеры
- Потоки
- Сбор → использование → предоставление → экспорт → удаление
02
Consent — не единственное основание, но его нельзя подразумевать
PIPL предусматривает несколько оснований: consent, необходимость заключения или исполнения договора с физическим лицом, HR-management по законно установленным правилам, выполнение юридической обязанности, защита жизни и здоровья, отдельные публичные сценарии и иные законные основания.
- Цель
- Конкретная, ясная и разумная
- Минимизация
- Только объём, необходимый для заявленной цели
- Срок
- Не дольше необходимого, если закон не требует хранения
- Изменение цели
- Повторная оценка notice, consent и договоров
03
Notice должен предшествовать обработке
До обработки субъекту сообщают личность обработчика, контакт, цели, способы, категории, срок хранения и порядок осуществления прав. Consent должен быть информированным, добровольным и доказуемым; отдельный consent требуется для предусмотренных законом сценариев.
Сайт, договор, CRM, call recording, marketing и международная передача требуют согласованной системы notices и оснований, а не одной общей фразы.
04
Sensitive PI требует конкретной необходимости
Биометрия, религиозные убеждения, специальные идентификаторы, медицинские и финансовые сведения, точное местоположение и данные несовершеннолетних до 14 лет относятся к повышенному риску. Нужны конкретная цель, строгая защита, отдельный consent и специальное уведомление о влиянии на права.
05
Разделяйте entrusted processing и independent sharing
Если подрядчик обрабатывает данные по поручению, договор фиксирует цель, срок, способ, категории, меры защиты, права и контроль. При самостоятельном предоставлении другому обработчику требуются отдельное информирование и, как правило, отдельный consent.
- Due diligence
- Местонахождение, субподрядчики, security и data export
- DPA
- Роли, инструкции, конфиденциальность, инциденты и удаление
- Audit
- Право проверки и evidence of compliance
- Exit
- Возврат или удаление данных и подтверждение
06
Удалённый доступ из-за рубежа — тоже data export
Экспортом может быть не только физическая отправка файла, но и доступ зарубежной материнской компании или cloud support к данным, хранящимся в Китае. До передачи выполняются PI protection impact assessment, notice, отдельный consent при необходимости, договор с получателем и выбор процедуры CAC.
Для важных данных, CII и потоков выше установленных порогов.
SCC с зарубежным получателем плюс impact assessment и filing.
Одобренная процедура сертификации защиты PI.
Только если поток точно попадает под исключение правил 2024 года.
07
Порог считается по данным за период, а не по одной передаче
Правила CAC 2024 года учитывают статус critical information infrastructure operator, наличие important data и совокупный объём PI, предоставленной за рубеж с 1 января соответствующего года. Для обычного обработчика применяются освобождения и разные процедуры в зависимости от объёма и sensitive PI.
В расчёт включаются связанные системы и получатели, а important data анализируется отдельно. Пороговый тест документируется и пересматривается при росте бизнеса.
08
Организационные меры важны не меньше IT
- Governance
- Ответственное лицо, политики, реестр и регулярные проверки
- Access
- Least privilege, MFA, logging и периодический review
- Protection
- Шифрование, segmentation, backup и vulnerability management
- Incident
- Обнаружение, containment, оценка вреда, уведомления и evidence
- Deletion
- Сроки, legal hold и проверяемое уничтожение
09
HR-данные не становятся «внутренними» вне PIPL
HR-management может иметь специальное основание, но работодатель всё равно соблюдает notice, минимизацию, безопасность и права сотрудников. Передача глобальной HRIS, payroll, background check или performance data за рубеж анализируется как отдельный поток.
10
Compliance roadmap
- 01
Data inventory и карта китайских и трансграничных потоков.
- 02
Классификация PI, sensitive PI, important data и отраслевых данных.
- 03
Основания, notices, consent records и retention schedule.
- 04
Vendor due diligence, DPA и правила sub-processing.
- 05
PIPIA и выбор security assessment, SCC, certification или exemption.
- 06
Security controls, incident plan и обучение сотрудников.
+7 (495) 221 31 46Обсудить задачу