תהילה לוי-לאטי, נתנאל שפיגלמן
לאחרונה, נכנס לתוקף בסין חוק פרטיות המידע– "חוק להגנת המידע האישי", העשוי להשפיע דרמטית על האופן בו תוכלנה חברות טכנולוגיה לפעול בסין. החוק אימץ את מודל הגנת המידע הכללי של האיחוד האירופי, והוא מטיל הגבלות משמעותיות על איסוף והעברת נתונים. הוא מתמקד בעיקר באפליקציות המשתמשות במידע אישי לשם מיקוד ("טירגוט") צרכנים, וכמו כן מגביל העברת מידע אישי למדינות בהן נהוגה רמת הגנה פחותה על נתונים.
החוק החדש מתייחס באופן נרחב לכל סוג מידע שהוא, המתועד או מעובד בכל מדיום שהוא – אלקטרוני ושאינו – הנוגע לאנשים פרטיים, המזוהה עמם או מאפשר לזהותם. משכך, אין בחוק הגבלות על איסוף ואחסנת מידע אנונימי. עיבוד מידע כולל איסוף, אחסון, שימוש, שידור, מסירה, חשיפה ומחיקה. החוק אף מגביל את השימוש במידע האישי שנאסף בהתאם להגבלות המוטלות, לצורך מטרות מוגדרות וסבירות בלבד. איסוף המידע מוגבל להיקף המינימלי הדרוש למטרה. מעבדי המידע יישאו באחריות לצמצום היקף השימוש, כמו גם לכך שהמידע המעובד יאובטח ברמה הנדרשת.
עיבוד מידע מזהה מותר אך ורק כאשר ניתנה הסכמה מראש; במקרה בו הדבר נחוץ לצורך בירור על צד לשם כריתת חוזה, לרבות ניהול משאבי אנוש על פי מדיניות העסקה שנקבעה כדין; עיבוד של מידע שכבר נחשף לציבור על ידי המזוהה או בדרך אחרת, בהיקף סביר; נסיבות אחרות שנקבעה בחוק ובתקנות הרלוונטיים.
לעיבודו של מידע אישי רגיש נדרשים מטרה מוגדרת והכרח מספק, אמצעי בטיחות נוקשים, והסכמת הפרט מושא האיסוף. מידע אישי רגיש הוא כזה שדליפתו עלולה לפגוע בקלות בכבוד האדם, בביטחונו האישי, ברכושו. בכלל זאת מידע ביומטרי, דתי, רפואי, פיננסי, ומיקום אישי. מידע על קטינים למטה מגיל 14 מוגדר אוטומטית כמידע אישי רגיש.
בנוסף, תחולתו הטריטוריאלית של החוק רחבה והיא מגבילה גם איסוף ואחסון נתונים מחוץ לסין, ככל שמטרת הפעילות היא אספקת מוצרים ושירותים לאזרחים סיניים; ניתוח והערכת פעילות של אזרחי סין ונסיבות אחרות הקבועות בחוקים ובתקנות הרלוונטיים.
פרק הזמן הקצר שחלף בין חקיקת החוק באוגוסט לבין תחולתו בראשית נובמבר, מנע מחברות טכנולוגיה רבות – כמו גם מכאלו שפעילותן העסקית כרוכה באחזקת מידע על עובדים ולקוחות – את היכולת להתארגן כיאות. עם זאת, חברות שכבר יישמו ופעלו בהתאם לתקינה האירופית התמודדו ביתר נוחות עם החקיקה החדשה. לעומתן, חברות אמריקאיות רבות – אשר פעלו בהתאם לתקינה האמריקאית – צריכות לפלס את דרכן בסבך ההגבלות החדשות על העברת מידע אישי מסין לארצות הברית.
אנו ממליצים לחברות אלו ליידע את עובדיהן או המועמדים לעבודה אצלן לגבי מטרת איסוף המידע האישי, וקבלת הסכמה לעיבודו. במקביל, לשם אבטחת המידע כנדרש בחוק, יש לנסח מדיניות סדורה הנוגעת לעיבוד מידע אישי כחלק מכללי ניהול העסק. כאשר המידע האישי נאסף ומנוטר במיקור חוץ – יש לוודא את יכולת הקבלן לפקח על תהליך עיבוד המידע. בנוסף, שומה על חברות המפעילות אתרי אינטרנט או אפליקציות בסין, לסקור שנית את הצהרות הפרטיות שלהן, ולוודא כי הן עומדות בדרישות החוק כיאות.