Data Protection Academy » Data Protection News » The Chinese Data Protection Law PIPL

Data Protection Law China: Personal Information Protection Law (PIPL)

Data Protection Law China: Personal Information Protection Law (PIPL)

China hat am 20. August 2021 das Gesetz zum Schutz personenbezogener Daten (Englisch „Personal Information Protection Law“ und abgekürzt „PIPL“) verabschiedet. Das neue Personal Information Protection Law (PIPL) übernimmt verschiedene Prinzipien aus der DSGVO und ist Chinas erstes umfassendes Datenschutzgesetz und wird am 1. November 2021 in Kraft treten.

PIPL ist für jedes Unternehmen mit Daten oder Geschäften in China von entscheidender Bedeutung. Es wird die Einhaltung der chinesischen Sicherheits- und Datengesetze und -vorschriften noch komplexer machen und eines von vielen in den letzten Jahren verabschiedeten Gesetzen, neben dem Cybersecurity Law, dem Data Security Law und dem Kryptografiegesetz. Wie bei allen chinesischen Gesetzen üblich, sind viele der Konzepte und Anforderungen sehr allgemein gehalten. Experten gehen davon aus, dass in den kommenden Monaten weitere Einzelheiten in Verordnungen und praktischen Anleitungen festgelegt werden. Spannend ist insbesondere ob das chinesische Datenschutzniveau mit dem europäischen Standard der DSGVO vergleichbar ist.

Das Gesetz reguliert die Verarbeitung von durch die Wirtschaft und insbesondere große Internetfirmen. Staatliche Stellen bleiben von dem Personal Information Protection Law größtenteils ausgenommen.

Wichtigste Informationen über das chinesische Personal Information Protection Law

  • Das chinesische Datenschutzgesetzt heißt im englischen Personal Information Protection Law und wird als „PIPL“ abgekürzt
  • PIPL comes into force as of 01 November 2021
  • Das neue Gesetz übernimmt Prinzipien aus der europäischen DSGVO
  • PIPL regulates the processing of personal data in the economy
  • Staatliche Stellen bleiben von dem Personal Information Protection Law größtenteils ausgenommen

Content on the topic of Personal Information Protection Law:

China Data Protection Law : Scope of Application of the PIPL

Regularien für große Tech-Konzerne Chinas

Nach Inkrafttreten des Gesetzes dürfen chinesische Tech-Konzerne personenbezogene Daten nur in bestimmten Fällen verarbeiten. Um die umfangreiche Datensammlung zu unterbinden, sollen Daten nur noch zweckgebunden gespeichert werden, zudem ist eine Einwilligung der Betroffenen notwendig. Schon seit einigen Monaten gehen chinesische Behörden zunehmend gegen Datenschutzverstöße vor.

Effects on German companies

Ähnlich wie in der DSGVO knüpft der Anwendungsbereich des Gesetzes an eine geschäftliche Tätigkeit in China, bei welcher personenbezogene Daten dortiger Bürger verarbeitet werden, so dass auch europäische Unternehmen betroffen sein können. Hieraus folgt dann die Pflicht zur Stellung eines Repräsentanten vor Ort und zur Berichterstattung gegenüber den chinesischen Aufsichtsbehörden. Ebenfalls aus der DSGVO bekannt ist die Androhung von Bußgeldern im Falle von Verstößen gegen das Gesetz. Auch in China können diese nun in die Millionen (Euro) gehen. Das chinesische Datenschutzgesetz enthält Regularien für den transfer of personal data., nach aktuellem Stand scheint die Datenübermittlung in die EU, aufgrund des geltenden hohen Datenschutzniveaus, als uneingeschränkt möglich.

PIPL vs. GDPR

Common ground

Ähnlich wie die DSGVO definiert auch PIPL "personal data" als alle Arten von Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen und in elektronischer oder anderer Form gespeichert werden, mit Ausnahme von anonymisierten Informationen.

The Chinese data protection law also understands the "processing of personal data" das Erheben, Speichern, Verwenden, Anpassung oder Veränderung, Übermitteln, Bereitstellen, Veröffentlichen und Löschen personenbezogener Daten.

Ähnlich wie in der DSGVO ergibt sich aus dem PIPL die Pflicht zur Stellung eines Repräsentanten vor Ort und zur Berichterstattung gegenüber den chinesischen Aufsichtsbehörden, bei geschäftlichen Tätigkeiten und derVerarbeitung personenbezogener Daten chinesischer Bürger.

Another common feature is the handling of Bußgeldern und Sanktionen. Auch in China sind Bußgeldstrafen in Millionenhöhe möglich.

PIPL enthält ebenfalls ein Verbot des transfer of personal data. chinesischer Staatsbürger in Staaten mit einem niedrigeren Datenschutzniveau als in China.

Differences

Ein wesentlicher Unterschied zur DSGVO ist, dass die Volksrepublik China eine gesetzlich legitimierte staatliche Überwachungspraxis durchführt. Diese Praktiken werden sich vermutlich auch nach Inkrafttreten des PIPL nicht ändern. Anders als die europäische DSGVO richtet sich das chinesische Datenschutzgesetz gegen die in China weitverbreitete Preisdiskriminierung im Onlinehandel richtet. Dabei geht datenschutzrechtlich um die Profilbildung aufgrund personenbezogener Daten und die darauf resultierende „personalisierte Preisbildung“. So bekommen in China bspw. Nutzer von Smartphone des Hersteller Apples höhere Preise beim Kauf von Reisetickets angezeigt als Nutzer anderer Herstellermarken.

Contents Personal Information Protection Law

Das PIPL besteht aus 74 Artikeln in 8 Kapiteln, nämlich:

  • General provisions;
  • Regeln für die Verarbeitung personenbezogener Daten;
  • Regeln für die grenzüberschreitende Bereitstellung von personenbezogenen Daten;
  • Rights of the individual with regard to the processing of personal data;
  • Obligations of controllers when processing personal data;
  • Behörden, die für den Schutz personenbezogener Daten zuständig sind;
  • Legal liability; and
  • Other provisions.

Extraterritorial effect

Die PIPL hat extraterritoriale Wirkung und gilt für die folgenden Verarbeitungstätigkeiten:

  • die Verarbeitung personenbezogener Daten natürlicher Personen innerhalb Chinas; und
  • die Verarbeitung außerhalb Chinas von personenbezogenen Daten natürlicher Personen, die sich in China aufhalten, wenn es sich um eine solche Verarbeitung handelt:
    • zum Zweck der Bereitstellung von Produkten oder Dienstleistungen für natürliche Personen in China;
    • um das Verhalten natürlicher Personen in China zu analysieren/auszuwerten; oder
    • andere durch Gesetze und Verwaltungsvorschriften vorgeschriebene Umstände.

Zuständige Behörden

Das PIPL sorgt für mehr Klarheit bei der Verteilung der Zuständigkeiten zwischen den Behörden und bezeichnet die zentralen und lokalen Behörden mit Zuständigkeiten nach dem Gesetz als die Behörden, die Aufgaben und Verantwortlichkeiten im Bereich des Schutzes personenbezogener Daten wahrnehmen (PI Protection Authorities). Die Aufteilung der Zuständigkeiten ist wie folgt:

  • die nationale Cyberspace-Verwaltung (z. B. die Cyberspace-Verwaltung Chinas oder CAC) ist für die umfassende Planung und Koordinierung des Schutzes personenbezogener Daten und der damit verbundenen Aufsichts- und Verwaltungsarbeit zuständig;
  • die zuständigen Ministerien und Abteilungen des Staates sind in ihrem jeweiligen Zuständigkeitsbereich für den Schutz personenbezogener Daten sowie für die Überwachung und Verwaltung zuständig; und
  • die zuständigen Abteilungen der Kommunalverwaltungen auf Kreisebene oder darüber werden ebenfalls bestimmte Aufgaben und Verantwortlichkeiten in Bezug auf den Schutz personenbezogener Daten und die damit verbundene Aufsicht und Verwaltung in Übereinstimmung mit den staatlichen Vorschriften wahrnehmen.

Grundlage für die Verarbeitung

Das PIPL sieht die folgenden Rechtsgrundlagen für die Verarbeitung personenbezogener Daten vor, von denen mindestens eine gegeben sein muss, damit die Verarbeitung rechtmäßig ist:

  • consent of the data subjects;
  • Notwendigkeit für den Abschluss oder die Erfüllung von Verträgen, an denen die betroffene Person beteiligt ist, oder Notwendigkeit für die Durchführung der Personalverwaltung in Übereinstimmung mit den gesetzlich verabschiedeten arbeitsrechtlichen Vorschriften und Systemen und den gesetzlich geschlossenen Tarifverträgen;
  • die Notwendigkeit zur Erfüllung gesetzlicher Aufgaben oder rechtlicher Verpflichtungen;
  • um auf Notfälle im Bereich der öffentlichen Gesundheit zu reagieren oder um das Leben, die Gesundheit und die Sicherheit von natürlichen Personen in Notfällen zu schützen;
  • die Verarbeitung personenbezogener Daten in angemessenem Umfang zur Durchführung von Nachrichtenberichten, zur Überwachung der öffentlichen Meinung und für andere Handlungen im öffentlichen Interesse;
  • the processing of personal data disclosed by data subjects or otherwise lawfully, within the appropriate framework and in accordance with the PIPL; and
  • other circumstances specified by laws and administrative regulations.

Data transfer of personal data

The cross-border transfer of personal data may only take place for legitimate purposes, such as business needs, and the transferor is obliged to take the necessary measures to ensure that the recipient's processing activities abroad comply with the standards of protection set out in the PIPL.
Furthermore, both an appropriate legal basis and the consent of the data subjects are required for such a transfer to be lawful.

Legal basis

The legal basis for the cross-border transfer of personal data under the PIPL includes:

  • the existence of a security clearance organised by the Cyberspace Administration if the transmitter is a critical information infrastructure operator (CRIITIS) or the volume of personal data concerned reaches the threshold set by the CAC;
  • obtain personal data protection certification from a professional agency in accordance with the rules of the CAC;
  • conclusion of an agreement with the recipient abroad on the basis of a standard contract formulated by the CAC; or
  • other conditions provided for by law, administrative regulations or the CAC.

The implementation of the cross-border transfer regime will depend on further provisions of the CAC, including the development of a standard contract form.

Consent

Data subjects must be informed about and give their separate consent to the cross-border transfer of their personal data:

  • name and contact details of the overseas recipient;
  • the purposes and methods of the processing;
  • the types of personal data concerned; and
  • the methods and procedures for exercising the rights provided for in the PIPL with the foreign recipient.

Regardless of whether there is a legal basis and consent has been given, companies are strictly prohibited from disclosing personal data stored in China to foreign judicial or law enforcement authorities without the consent of the Chinese authorities. This is a difficult issue for international companies that have reporting obligations to regulators in their own countries.

Rights of data subjects

The PIPL gives data subjects various rights in relation to their personal data, including:

  • right to know and decide regarding their personal data;
  • the right to restrict or prohibit the processing of their personal data;
  • the right to access and copy their personal data held by the processors;
  • right to portability of their personal data;
  • the right to rectification and erasure of their personal data; and
  • the right to request an explanation of the processing rules from the processors.

The close relatives of a natural person may exercise these rights for their own legitimate and justifiable interests after the death of the natural person, unless the deceased person made other arrangements during his or her lifetime.

Duties of the responsible person

The PIPL imposes various obligations on processors of personal data, including the obligation to:

  • formulate internal management systems and operating procedures;
  • implement confidential management for personal data;
  • take appropriate technical security measures such as encryption and anonymisation;
  • adequately establish operational authorisation for personal data and provide regular security education and training for operational staff;
  • formulate and implement contingency plans for security incidents involving personal data;
  • conduct regular compliance audits; and
  • take other safety measures required by laws and regulations.

Certain companies (e.g. CRITIS operators, processors of sensitive personal data, companies providing major internet platforms with a large number of users, and complex types of businesses) are subject to stricter obligations such as appointing a data protection officer and/or an independent supervisory body, carrying out data protection impact assessments for processing activities and publishing regular social responsibility reports.

In the event of a data incident, processors are required to take "immediate" remedial action and notify data protection authorities and all data subjects.

Sanctions

Violations of the PIPL can result in an administrative fine of up to 50 million renminbi (RMB) or 5 % of the company's turnover from the previous year (it is unclear whether this is a local or global amount).

Other sanctions include a demand for rectification, a warning, confiscation of illegal profits, suspension or termination of service, cessation of operations for rectification and revocation of operating licences or business licences.

The responsible person or other directly liable persons may also be held individually liable and fined or prohibited from acting as a director, supervisor, officer or data protection officer.

If the processing activity violates the rights or interests of a large number of individuals, the public prosecutor's office (i.e. the authority responsible for law enforcement), consumer protection organisations or another organisation designated by the cyberspace administration may initiate a public interest complaint.

Conclusion on the China Data Protection Act

The new law will reshape the way personal data is handled in China. This includes introducing measures to deal with evolving technologies around facial recognition, AI and data analytics. Chinese citizens will be protected as consumers from large providers and data collection.

The basic idea of the Chinese law PIPL is thus quite comparable to the European GDPR. However, the state still reserves rights that legitimise the surveillance of Chinese citizens. PIPL also does not regulate the planned social credit system "Social Score". The Chinese government plans to use personal data of Chinese citizens to enforce data-based rewards or sanctions.

Organisations that regularly process data in China or from Chinese citizens should appoint a local representative who is the competent contact for Chinese authorities in relation to data processing operations. Similar to the European GDPR, the responsible contact person must be notified to the responsible authorities.

Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

This might interest you too:

All information on quality management

The most important things about quality management: tasks, norms and standards, and setting up a quality management system.
Read more

Risk management in the company

The most important facts about risk management: definitions, instruments, norms and standards and the structure of a risk management system.
Read more

Compliance management in the company

The most important information on compliance management: corporate obligations, norms and standards, and setting up a compliance management system.
Read more