4 ноября 2022 г. Государственная канцелярия по делам интернет-информации КНР (CAC) и Главное государственное управление по регулированию рыночной деятельности КНР (SAIC) опубликовали совместное объявление о начале проведения сертификации охраны персональных данных. Вместе с объявлением опубликованы правила, определяющие основные принципы и требования к сертификации.
Сертификация охраны персональных данных может понадобиться при передаче персональных данных за рубеж. В соответствии со ст. 38 Закона КНР «О защите персональных данных» при передаче персональных данных за пределы КНР оператор обязан пройти оценку безопасности, сертификацию охраны персональных данных или заключить с зарубежным получателем персональных данных договор на основе стандартного договора, разработанного CAC.
Сертификация будет проводиться в соответствии с требованиями государственного стандарта GB/T 35273. При передаче персональных данных за рубеж оператор персональных данных должен соответствовать требованиям «Правил сертификации безопасности деятельности по трансграничной обработке персональных данных» (TC260-PG-20222A).
В соответствии с правилами сертификация будет состоять из технической экспертизы проекта, основанного на типе и объеме персональных данных, выездной проверки, оценки результатов сертификации и последующего контроля. Сроки проведения сертификации самостоятельно определяются организациями, которые вправе проводить сертификацию операторов персональных данных.
После прохождения сертификации оператор персональных данных получает право использовать специальное обозначение для обычной сертификации и сертификации для трансграничной передачи персональных данных:
где:
- PIP: защита персональных данных (personal information protection);
- CB: трансграничная передача данных (cross-border);
- ABCD: заменяется на код организации, проводящей сертификацию охраны персональных данных.
Срок действия сертификации составляет 3 года. В течение срока действия сертификации сертификата сохраняет действительность при условии последующего контроля за соответствием оператора персональных данных требованиям. При необходимости продления срока действия оператор обязан повторно обратиться в организацию, проводившую сертификацию, в течение 6 месяцев до истечения срока действия сертификации. Если оператор соответствует государственным стандартам и требованиям, организация перевыпускает подтверждение без повторного прохождения полной сертификации.
Проверка контрагентов в КНР, составление договоров, регистрация компаний и защита интеллектуальной собственности в Китае.
