Изменения в законодательстве Гонконга о защите персональных данных

29 сентября 2021 г. Законодательный совет САР Гонконг одобрил проект внесения изменений в Ордонанс «О персональных данных (частной жизни)», которые вводят уголовную ответственность за доксинг и сговор в целях доксинга и наделяют ответственное лицо по защите персональных данных (Privacy Commissioner for Personal Data) новыми полномочиями для расследования преступлений.

Гонконгский Ордонанс «О персональных данных (частной жизни)» (Cap. 486 Personal Data (Privacy) Ordinance; далее — PDO) действует с декабря 1996 г. и является одним из последних законодательных актов, принятых до включения Гонконга в состав КНР в качестве специального административного района, и одним из старейших законов в Азии, посвященным защите персональных данных. PDO предусматривает: а) шесть основных принципов защиты персональных данных (цели и способы сбора; точность данных и длительность хранения; использование персональных данных; безопасность данных; открытость и прозрачность; доступ и внесение исправлений); б) создание специального органа для защиты персональных данных (офис комиссионера по защите персональных данных); и в) ответственность за нарушение законодательства о защите персональных данных, которая может как в форме штрафа, так и лишения свободы. Кроме того, PDO определяет перечень исключений, при которых обработка персональных данных освобождена от соблюдения отдельных требований.

Криминализация доксинга

В соответствии с внесенными в PDO изменениями в Гонконге будут криминализованы доксинг и сговор в целях доксинга. В соответствии со ст. 64(3А) PDO раскрытие любых персональных данных субъекта персональных данных (data subject) без его согласия с умыслом на причинение квалифицированного вреда (specified harm) субъекту персональных данных или члену его семьи или по неосторожности без возникновения вреда является преступлением, которое может наказываться лишением свободы на срок до 2 лет и штрафом в размере до 100 тыс. гонконгских долларов.

Если незаконное раскрытие персональных данных привело к причинению установленного вреда субъекту персональных данных и (или) членам его семьи, совершенное преступление в соответствии со ст. 64(3D) PDO преследуется по обвинительному акту (indictment) и может наказываться штрафом в размере до 1 млн. гонконгских долларов и лишением свободы на срок до 5 лет.

К квалифицированному вреду (specified harm) относятся: а) приставания, третирование, нарушение покоя, угрозы или устрашение лица; б) причинение физического или психологического вреда лицу; в) причинение вреда, который может вызвать разумно обоснованное беспокойство за собственную безопасность или благополучие; или г) причинение вреда имуществу лица.

Ранее в Гонконге ответственность за незаконное раскрытие персональных данных в целях причинения психологического вреда субъекту персональных данных была предусмотрена только в том случае, когда информация была получена от оператора персональных данных (data user) и использовалась без его согласия (что осложняет привлечение к ответственности, поскольку не всегда удается установить оператора персональных данных и доказать факт раскрытия сведений без его согласия). Внесенные в закон изменения позволяют привлекать к ответственности за незаконное распространение персональных данных вне зависимости от источника их получения (достаточно отсутствия согласия субъекта данных) и при отсутствии причиненного вреда; кроме того, они позволяют привлекать к ответственности за причинение вреда или возникновение угрозы причинения вреда не только самому субъекту, но и членам его семьи.

Кроме того, PDO в новой редакции вводит ответственность за отказ от предоставления материалов и оказание содействия комиссионеру в проведении расследования, предоставление ложных сведений и материалов, препятствование в проведении обысков и невыполнение предписаний.

Расширение полномочий офиса комиссионера

Внесенные в PDO изменения наделяют комиссионера по защите персональных данных и служащих офиса комиссионера особыми полномочиями по расследованию доксинга и сопутствующих преступлений, предусмотренных законом (specified investigation). При проведении расследования служащие офиса комиссионера вместо полиции вправе требовать предоставления материалов и оказания содействий путем направления обязательных для исполнения предписаний, проводить задержания, а также обыски помещений, лиц и электронных устройств.

Во-первых, комиссионер вправе направлять предписания с требованием: а) предоставления любых материалов, которые находятся во владении или под контролем соответствующего лица или имеют отношение к проведению расследования; б) явки для проведения допроса; в) представления письменного ответа или заявления в ответ на запросы; или г) предоставления другого содействия, которое комиссионер сочтет необходимым для проведения расследования. PDO не допускает возможности отказа от представления сведений и материалов и допускает привлечение к ответственности за представление заведомо ложных или вводящих в заблуждение сведений и материалов.

Во-вторых, при проведении расследования комиссионер вправе проводить обыск помещений и электронных устройств при условии получения в магистратском суде судебного ордера на обыск. В отдельных случаях обыск и изъятие электронного устройства может проводиться без судебного ордера (ст. 66G(8) PDO).

В-третьих, PDO разрешает служащим офиса комиссионера без судебного ордера проводить задержания и личные обыски подозреваемых в совершении преступлений, отнесенных к подследственности комиссионера. В случае противодействия или уклонения допускается применение разумно обоснованного принуждения для задержания или проведения обыска.

Кроме того, комиссионер может от собственного имени (вместо Департамента юстиции САР) предъявлять обвинение в совершении преступлений и сговоре для совершения преступлений. Вместе с тем, в соответствии со ст. 64C(2) PDO рассмотрение уголовного дела по обвинению, предъявленному от имени Комиссионера, осуществляется только в упрощенном порядке в магистратском суде, что уместно только при привлечении к ответственности за преступления небольшой тяжести.

Прекращение доступа к персональным данным

В соответствии со ст. 66M PDO комиссионер по защите персональных данных вправе требовать прекращения доступа (cessation action) к раскрытым для всеобщего доступа персональным данным гонконгских физических лиц от поставщиков услуг и других лиц, которые (по мнению комиссионера) способны выполнить необходимые действия.

Требование может быть направлено как к лицам, которые находятся на территории Гонконга (гонконгским организациям и физическим лицам), так и к иностранным поставщикам услуг, оказывающим услуги для гонконгских организаций и физических лиц за пределами Гонконга. Следовательно, требование может быть направлено любой иностранной организации, которая не ведет деятельности на территории Гонконга и не имеет в Гонконге представительства, но при этом разрешает регистрацию и использование собственных сервисов гонконгскими жителями и организациями.

Прекращение доступа может достигнуто при помощи: а) удаления раскрытых персональных данных; б) прекращения или ограничения доступа к сведениям на интернет-сайте, в приложении (в том числе – прекращения или ограничения доступа к отдельным сегментам сайтов и приложений или полностью ко всему сайту или приложению); в) прекращения хостинга для интернет-сайта или удаление приложения из магазина приложений, если на сайте или в приложении раскрыты персональные данные гонконгского физического лица.

PDO допускает возможность обжалования требования в Совет по административным апелляциям в течение 14 дней после вручения требования. Обжалование требования не приостанавливает его исполнения.

Невыполнение требования прекратить доступ к раскрытым персональным данным является преступлением и наказывается: а) при первом совершении преступления: штрафом в размере до 50 тыс. гонконгских долларов и лишением свободы на срок до 2 лет с дополнительной уплатой штрафа в размере 1 тыс. гонконгских долларов за каждый день в случае совершения длящегося преступления; б) при каждом последующем преступлении: штрафом в размере до 100 тыс. гонконгских долларов и лишением свободы на срок до 2 лет с дополнительной уплатой штрафа в размере 2 тыс. гонконгских долларов за каждый день в случае совершения длящегося преступления.

Кроме того, комиссионер вправе обращаться в Суд первой инстанции Высокого суда САР Гонконг для получения обеспечительного судебного запрета.

Заключение

Personal Data (Privacy) Ordinance в новой редакции предусматривает несколько новых обязанностей для поставщиков информационных услуг. Во-первых, закон в новой редакции приобретает экстерриториальное действие: вне зависимости от места ведения деятельности и наличия/отсутствия коммерческого присутствия в Гонконге поставщики услуг в соответствии с PDO в новой редакции обязаны исполнять предписания, направленные гонконгским комиссионером по защите персональных данных и требующие прекращения доступа к раскрытым персональным данным гонконгских жителей (резидентов САР Гонконг и лиц, находящихся на территории Гонконга).

Требования о прекращении доступа могут быть направлены в адрес гонконгских и иностранных владельцев интернет-сайтов, интернет-платформ, хостингов и других поставщиков информационных услуг в интернете. Если требование не будет исполнено при отсутствии разумно обоснованной причины (например, отсутствия технической возможности для выполнения предписания), комиссионер может привлечь к ответственности организацию или физическое лицо за совершение преступления.

Во-вторых, PDO требует оказания содействия в проведении расследований. Применительно к поставщикам информационных услуг речь может идти о предоставлении сведений и материалов по запросу комиссионера по защите персональных данных, а также дешифровке сообщений. Отказ от содействия в получении сведений или препятствование доступу к сведениям будет признано преступлением.

Для соблюдения закона организациям и физическим лицам необходимо, по крайней мере, своевременно реагировать на запросы сведений и требования о прекращении доступа, направляемые от имени комиссионера по защите персональных данных. Для уменьшения риска привлечения к ответственности владельцы интернет-сайтов и приложений могут внести явно выраженный запрет на использование сайта или приложения для доксинга в правила использования и регулярно проверять соблюдение закона пользователями.

Регистрация юридических лиц, проверка контрагентов в Китае, составление и экспертиза договоров, защита интеллектуальной собственности, юридический консалтинг.

 

Об авторе

Фото аватара

Павел Бажанов

Специалист и автор книг по законодательству КНР. Павел Бажанов занимается юридическим сопровождением российского бизнеса в Китае.

Просмотреть все сообщения
Подписаться
Уведомить о
guest
0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии