Кроме того, ЗПД устанавливает правила защиты ПД умерших, что также расширяет предел защиты ПД. Статья 49 ЗПД касается обращения, связанного с информацией, оставшейся в интернете после смерти физического лица в эпоху больших данных: «В случае смерти физического лица его (ее) близкие родственники могут в своих законных интересах воспользоваться правами на доступ к соответствующим ПД умершего, их копированию, исправлению и удалению». Эта статья улучшает соответствующие положения в ГК КНР, потому что в нынешнюю цифровую эпоху физические лица часто имеют много цифровых учетных записей в интернете, которые обычно содержат большой объем личной конфиденциальной информации, а также информации, касающейся других. Закон обогащает и совершенствует соответствующие положения о защите личности умершего. Добавились положения, согласно которым близкие родственники имеют право на просмотр ПД умершего, их копирование, исправление, удаление и т. д. Например, чтобы унаследовать имущество умершего, ближайшим родственникам необходимо найти информацию о его банковском счете. Наконец, необходимо уважать завещание покойного, поэтому ст. 49 ЗПД также гласит: «.. .за исключением случаев, когда умерший имел другой план до своей смерти».
2.3.2. Права физических лиц на обработку данных
Одна из целей защиты ПД -- защита права гражданина (субъекта персональных данных) на распоряжение своими ПД. Статья 1 ЗПД предусматривает право гражданина на защиту своих ПД, а в ст. 44 предусмотрено, что основной целью этого является обеспечение права распоряжаться своими ПД, а также формирование основывающейся на самостоятельном решении целостной системы правомочий в отношении своих ПД. Исходя из положений ГК КНР, касающихся защиты ПД, ЗПД уточнил и добавил следующие субъективные права.
Во-первых, ЗПД конкретизирует положения о правах на запрос ПД, их копирование, исправление, удаление и т. д., чтобы помочь людям лучше контролировать информационные права и интересы для самостоятельного управления ПД, прогнозирования и предотвращения рисков. В ГК КНР предусмотрено, что ПД физических лиц охраняются законом, устанавливаются права физических лиц на запрос ПД, их копирование и исправление при обработке. Основываясь на ст. 1037 ГК КНР, ЗПД расширяет запрос на право удаления, дополняет исключения и в то же время требует от обработчиков ПД установления механизма приема и обработки заявлений физических лиц для осуществления их прав.
Во-вторых, добавлены положения о праве на передачу ПД (the right to data portability). В соответствии с п. 3 ст. 45 ЗПД, «если физическое лицо запрашивает передачу ПД назначенному им обработчику ПД и соответствует условиям, предусмотренным Национальными органами по управлению интернетом и информацией, обработчик ПД должен предоставить средства для передачи». Закон устанавливает право на передачу данных, которое направлено на реализацию права человека принимать независимые решения в отношении ПД. Это положение облегчает пользователям контроль и использование данных, позволяет пользователям переносить свои данные на другие веб-платформы, что усиливает контроль пользователя над своими данными и обеспечивает удобство распоряжения ими. Ведь если передача данных не разрешена, пользователям необходимо повторно накапливать данные после переноса на другую веб-платформу, а это не только увеличивает расходы, но и препятствует использованию ранее накопленных ПД. Наконец, указанная норма позволяет разрушить монополию на данные и способствует их распространению и использованию.
В-третьих, конкретизированы соответствующие права субъектов ПД в алгоритме и автоматизированном принятии решений. Техническим ядром автоматизированного принятия решений выступает применение алгоритмов. Обработчики данных (предприятия) могут использовать алгоритмы для различного отношения к лицам с разными идентификационными данными, а также в целях персонализации ценообразования для отдельных лиц. В некоторых случаях такое дифференцированное отношение является нормальным деловым поведением, например предоставлением рекомендаций и услуг по разным ценам группам с разной покупательной способностью. Однако это также может привести к алгоритмической дискриминации и ценовой дискриминации существующих клиентов с использованием больших данных, а некоторые компании даже используют алгоритмы для доминирования над отдельными лицами и даже мошенничества. Закон о защите персональных данных установил, что использование ПД для автоматизированного принятия решений должно обеспечивать прозрачность принятия решений, а также справедливость и беспристрастность результатов; запрещается необоснованное дифференцированное отношение к физическим лицам для определения цен и других условий сделок (ст. 24 ЗПД).
2.3.3. Усиление обязательств по защите обработчиков персональных данных
Уважение и реализация права самостоятельно определять объем ПД во многом зависят от уважения таких прав обработчиками данных и выполнения обязательств по законодательной защите. Таким образом, гл. 5 ЗПД предусматривает, что обработчики ПД несут ответственность за свою деятельность и принимают необходимые меры для обеспечения безопасности обрабатываемых ими ПД. Закон также проводит различие между крупными и малыми обработчиками ПД и подробно конкретизирует обязательства по их защите.
Так, подробно излагаются обязательства обработчиков данных при обработке ПД по закону. В ст. 51 ЗПД перечислены меры, гарантирующие законность деятельности по обработке ПД.
Кроме того, создан институт защиты ПД. В соответствии со ст. 52 ЗПД обработчики ПД, которые обрабатывают ПД до объема, установленного государственными органами кибербезопасности и информатизации, должны назначить лицо, ответственное за защиту ПД. На него возлагается ответственность по надзору за обработкой ПД и принимаемыми мерами защиты (ст. 51 ЗПД). Институт лица, ответственного за защиту ПД, имеет определенное сходство с институтом офицеров по защите данных (Data Protection Officer, DPO) в Европейском союзе. Цели данного института -- содействие профессионализму и независимости защиты ПД предприятий и укрепление внутреннего управления этими предприятиямиWP 243 “Guidelines on Data Protection Officers (DPOs)” issued on 13 December 2016 and revised on 5 April 2017. Дата обращения 23 декабря, 2020. https://ec.europa.eu/newsroom/article29/item-detail. cfm?item_id=612048.. Кроме того, в соответствии со ст. 53 ЗПД обработчики ПД физических лиц на территории КНР также должны создать специальные учреждения или назначить полномочного представителя на территории КНР, который в соответствии с законом будет нести ответственность за решение вопросов, связанных с защитой ПД.
Также создан институт оценки воздействия на защиту ПД. Согласно ст. 55 и 56 ЗПД, при обработке конфиденциальных ПД, использовании ПД для принятия автоматизированных решений, поручении другим субъектам обработки ПД, предоставлении ПД другим обработчикам, раскрытии ПД, предоставлении ПД иностранным странам и в деятельности по обработке ПД, которая оказывает существенное влияние на личные права и интересы, обработчики обязаны провести оценку воздействия на защиту ПД. С точки зрения модели управления данный новый институт определяет модель саморегулирования и самоуправления рисками организации. По сравнению с другими институтами, данный вариант более динамичен и требует от компании всегда знать риски, связанные с защитой ПД, и обращаться с ПД таким образом, чтобы они оказывали наименьшее воздействие на отдельных лиц.
Наконец, предусмотрены особые обязательства по защите ПД обработчиков данных, которые предоставляют услуги на важных интернет-платформах. Крупные интернет-платформы обладают значительными возможностями для предотвращения рисков, связанных с действиями по обработке личной информации на платформе, и являются надлежащими субъектами для контроля рисков и предотвращения опасностей, а потому должны нести большие юридические обязательства. Таким образом, ст. 58 ЗПД устанавливает особые обязательства для обработчиков личной информации (таких как крупнейшие компании Tencent Tencent. Дата обращения 1 августа, 2022. https://www.tencent.com/zh-cn., Alibaba Alibaba. Дата обращения 25 июля, 2022. https://www.alibabagroup.com. и т. д.), которые оказывают услуги как важные интернет-платформы, имеют множество пользователей и ведут сложный бизнес. Эти обязательства включают в себя создание независимой организации, состоящей в основном из внешних членов, для надзора за защитой личной информации; веб-платформа может прекращать предоставлять услуги субъектам, которые серьезно нарушают законы и правила, регулярно выпускает отчеты об общественной ответственности за защиту личной информации и т. д. (ст. 58 ЗПД). Малые предприятия с меньшим объемом обрабатываемых данных, ведущие простую деятельность по обработке ПД и имеющие низкий технический уровень, должны соблюдать общие обязательства обработчиков ПД, включая соблюдение правил внутреннего управления и технической эксплуатации, внедрение технических мер безопасности, таких как дифференцированные управления и деидентификация ПД, а также уточнение полномочия по эксплуатации и план действий в чрезвычайных ситуациях и т. д. Закон о защите ПД предусматривает ответственность обработчиков за защиту данных, усиливает предотвращение рисков и заставляет обработчиков нести юридическую ответственность (принудительное исполнение, штрафы и даже уголовные наказания) за меры защиты, которые не соответствуют закону (ст. 71 ЗПД).
2.3.4. Правила защиты конфиденциальных персональных данных
Закон о защите персональных данных имеет следующие особенности в области защиты конфиденциальной личной информации.
Прежде всего, четко перечисляются понятие и конкретные виды конфиденциальных ПД. С точки зрения сравнительного правоведения существуют модели конкретного юридического перечисления и модели комплексного учета конфиденциальных ПД (Ху Вэньтао 2018, 235). Статья 28 ЗПД принимает модель законодательства «обобщение + перечисление» для определения конфиденциальных ПД. С одной стороны, в ней четко определено понятие конфиденциальных ПД как «персональных данных, которые в случае утечки или незаконного использования могут причинить ущерб честности физических лиц или поставить под угрозу личную и имущественную безопасность» (Ван Лимин 2022, 3). Данное определение обеспечивает четкий стандарт оценки для идентификации различных новых типов конфиденциальных ПД, которые появляются на практике. С другой стороны, в статье конкретно перечислены категории конфиденциальных ПД, включая биометрические данные, религиозные убеждения, специфические признаки личности, состояние здоровья, финансовые счета, местонахождение и другие данные, а также ПД о несовершеннолетних в возрасте до 14 лет. Законодательная модель с обобщенными определениями достаточно гибкая и открытая, чтобы справляться с быстрым появлением меняющихся и бесконечных видов информации в эпоху интернета. Перечисленные определения обеспечивают работоспособность нормы закона, т. е., помимо категорий, указанных в ст. 28, при условии, что они соответствуют общему определению конфиденциальных ПД, также применяются вышеуказанные правила обработки конфиденциальных ПД.
Кроме того, усилена защита ПД несовершеннолетних. Хотя в Общем регламенте по защите ПД11 (General Data Protection Regulation, GDPR) Европейского союза предусмотрены особые виды данных, требующих особой защиты, он не включает данные о несовершеннолетних. В Соединенных Штатах положения о защите ПД несовершеннолетних сосредоточены в Законе о защите конфиденциальности детей в интернете General Data Protection Regulation. 2018. Дата обращения 21 июля, 2022. http://www.cioall. com/uploads/f2018081609020280812.pdf. Children's Online Privacy Protection Act. 2000. Дата обращения 20 августа, 2022. https://wenku. baidu.com/view/a5c1e940bb4ae45c3b3567ec102de2bd9705de54.html. (Children's Online Privacy Protection Act, COPPA) и не содержат особо строгих правил защиты ПД. Китайский ЗПД включает персональные данные несовершеннолетних в возрасте до 14 лет в категорию конфиденциальных персональных данных, расширяя объект защиты и обеспечивая всесторонние правила защиты групп несовершеннолетних. В то же время в соответствии со ст. 31 ЗПД обработчики ПД должны получать согласие родителей или других опекунов при обработке ПД несовершеннолетних в возрасте до 14 лет, а также формулировать специальные правила обработки ПД.
Наконец, устанавливаются строгие правила по обработке конфиденциальных ПД. В значительной степени защита конфиденциальных ПД заключается не в определении формы специальной юридической ответственности, она в основном предусматривает специальные методы обработки ПД в процессе обработки. Чем строже требования к обработчикам конфиденциальных ПД, тем больше это способствует защите таких ПД. Закон устанавливает следующие специальные правила обработки для защиты конфиденциальных ПД: 1) более строгие предварительные условия обработки; ст. 28 уточняет принцип необходимости обработки ПД и принцип необходимых мер для обеспечения безопасности ПД; если обработка ПД нужна только для оказания общих услуг или функций продукции, она не будет соответствовать предпосылке обработки конфиденциальных ПД; 2) отдельное согласие и получение письменного согласия по закону; все конфиденциальные персональные данные должны быть согласованы отдельно, но не путем обезличенного согласия, обязательного разрешения, принудительного или замаскированного принуждения физических лиц к согласию на обработку данных; такое согласие также выступает явным согласием, а не намеком на согласие; например, ограничивается применяемая технология распознавания лиц, система контроля и управления доступом в любом микрорайоне для входа и выхода жителей -- необходимо получить явное согласие отдельного лица; 3) предусмотрено специальное обязательство по уведомлению; согласно ст. 30 ЗПД, обработка конфиденциальных ПД должна не только выполнять основное обязательство по уведомлению, но и информировать физических лиц о необходимости обработки конфиденциальных ПД и ее влиянии на личные права и интересы.
2.3.5. Деятельность государственных органов по обработке персональных данных
Государственные органы собирают большой объем ПД в процессе административного управления. Эффективное регулирование деятельности государственных органов при обращении с ПД -- важная часть системы защиты ПД. Одна из первоначальных целей ПД как права на личность -- предотвращение ненадлежащего обращения государственных органов с ПД. Общепринята тенденция включать органы государственной власти в сферу регулирования законами о конфиденциальности данных. В Китае государственные органы собирают персональные данные в значительной степени для нужд государственного и социального управления. Генеральный секретарь Си Цзиньпин подчеркнул, что «большие данные должны использоваться для повышения уровня модернизации государственного управления» (Си Цзиньпин 2017). Цифровое правительство является не только важной опорой для содействия построению Цифрового Китая и достижения качественного экономического развития, но и важной движущей силой для продвижения модернизации государственного управления. В этом контексте государственные органы выступают крупнейшими обработчиками и держателями ПД, их работа должна включать в себя обработку ПД граждан. Однако некоторые случаи утечек ПД показали, что отдельные государственные органы слабо осведомлены о защите ПД, а неправильные процедуры обработки и неадекватные меры защиты могут нанести ущерб ПД. Соответственно ЗПД КНР предусматривает, что деятельность государственных органов по обработке ПД регулируется этим законом, а государственные органы, как обработчики ПД, также должны соблюдать соответствующие законы и правила.