מאת: עו"ד ושותפה תהילה לוי לאטי ורביד רום
ב-21 באוקטובר 2020 פורסמה טיוטת חוק הגנת המידע האישי, המכילה 70 סעיפים הנוגעים להטלת קנסות כבדים כנגד הפרות הנוגעות להגנה על נתונים אישיים. מדובר בחוק המקיף הראשון של סין בתחום הזה – מה שעשוי להשפיע משמעותית על חברות הפועלות בסין או מעוניינות לפתוח בפעילות בשוק הסיני.
טיוטת החוק תשפיע בהגברת האבטחה, בכך שמפעילי תשתית מידע וגופים מרכזיים המטפלים בכמות משמעותית של מידע אישי אשר מעבירים מידע אישי לחו"ל יחויבו לעבור הערכת אבטחה מצד הרשויות הסיניות. טיוטה זו אינה מספקת מידע לגבי ההגדרה מהי כמות משמעותית, בשונה מטיוטה קודמת מ-2017, ככל הנראה כדי לאפשר הרחבה של ההגנה וגמישות בנוגע ליישומה. אם יתגלה כי ארגונים או יחידים מעבר לים פגעו בזכויות אזרחי סין בכל הנוגע למידע אישי או מעורבים בפעילויות הקשורות בנתונים אישיים ופוגעים בביטחון הלאומי ובאינטרסים הציבוריים של סין, הם יוכנסו לרשימה שחורה על ידי מרחב הסייבר הסיני. פגיעה מעין זו כוללת שימוש במידע בדרכים לא חוקיות, פסולות, המבוססות על הונאה והטעיה באשר לעיבוד המידע, וכן דרכים ללא מטרה ברורה וסבירה או שאינן קשורות למטרת העיבוד וכן ללא הסכמה אישית.
עולם הנתונים, עיתוי פרסום הטיוטה ותקופת הקורונה קשורים אלה באלה. עולם הדאטה גדל במהירות רבה בסין, ומסייע רבות למשל בהתמודדות עם הנגיף, על ידי מעקב וניטור קשרים של חולים מאומתים דרך פלטפורמות מקוונות וזיהוי מהיר של מסלולים של חולים פוטנציאליים. עם זאת, הפרות רבות קורות באופן בוטה בעיקר ברשתות החברתיות. כך לפי מומחים, עיתוי פרסום הטיוטה נועד לפנות דווקא לחברות זרות, שבשנים האחרונות הדליפו מידע אישי והפרו לא אחת את הפרטיות של משתמשי הפלטפורמות ברשת. למרות זאת, בשל הצורך בפיתוח טכנולוגיות חדשות (להן יש משמעות חשובה בכל התחומים) המבוססות על נתונים אישיים, ייתכן והטיוטה תיאכף בזהירות כדי להימנע מתמריץ שלילי בפיתוח.
נתונים אישיים שחוסה עליהם פרטיות המובהרים בטיוטה הם: גזע, אתניות, דת, נתונים ביומטריים, נתונים רפואיים ופיננסיים ונתוני מסלול אישי. הטיוטה חלה על עיבוד הנתונים האישיים של יחידים בסין ללא קשר למוצאם במקור, ובכך מציעה יישום חוץ-טריטוריאלי ברור וספציפי לגופים ויחידים בחו"ל המעבדים את הנתונים האישיים של נושאי נתונים בסין לצורך אספקת מוצרים ושירותים, לניתוח או הערכת התנהגותם של בעלי נתונים בסין או בנסיבות אחרות המפורטות ברגולציה הסינית. ארגונים או אנשים מחוץ לסין אשר נופלים במסגרת ההגדרות בטיוטה יצטרכו להקים ארגון ייעודי או למנות נציג בסין ולדווח על המידע הרלוונטי לרשויות בסין.
בעוד שבאופן מסוים הטיוטה כוללת חוקים שכבר קיימים ונמצאים באופן מפוזר בחוקים ותקנות שונות בנושא אבטחת סייבר והגנת נתונים, היא גם מחדשת בכך שמחייבת מעבדי נתונים אישיים לאמץ תוכנית compliance לתאימות ובקרה בכדי להגן על נתונים אישיים של משתמשים.
להפרות חמורות של הטיוטה ואי נקיטת אמצעים מספקים שהכרחיים להגנה על נתונים אישיים, יש השלכות שיכולות לבוא לידי ביטוי בקנסות גבוהים בסכום של עד 50,000,000 RMB או עד 5% מהכנסות השנה הקודמת, מה שעשוי לפגוע קשות בארגונים וביחידים שאוספים מידע אישי, משתמשים בו וסוחרים בו שלא כדין ולמטרות רווח.
מבחינת האחריות האישית בהקשר של הפרה של הטיוטה, הצוות או האדם שאחראי באופן ישיר על המידע האישי ועל עיבודו עלולים להיות מחויבים בסכום של מיליון RMB. הטיוטה מניחה שמעבד הנתונים האישיים הוא אשם אם עולות טענות מעין אלו כנגדו על ידי האחראי על תחום מערכת הנתונים, אלא אם האחרון יוכיח אחרת. גם אם יוכיח אחרת, ההכרעה עדיין בידי בית המשפט הסיני ועל סמך שיקול דעתו, ולכן יהיה קשה להוכיח שהוא לחלוטין נטול כל אחריות.
טיוטת החוק מספקת באופן ספציפי עקרונות הגנת נתונים שונים, כולל שקיפות, הוגנות, מזעור נתונים ודיוקם, שמירה מוגבלת והטלת אחריות. התוצאה לטווח הארוך הנלמדת מפרסום הטיוטה היא החמרת הסנקציות והאכיפה כנגד הגורמים שמקבלים ומעבדים נתונים אישיים והגנה מוגברת על דאטה ונתונים אישיים ופרטיותם של אזרחי סין.
