Leyes propuestas por China afectarán investigaciones de seguridad


China publicó recientemente los segundos borradores de su Ley de seguridad de datos (DSL) y su Ley de protección de información personal (PIPL) para comentarios públicos (consulte el análisis aquí ). 

Antilavadodedinero / FCPA

Entre otras disposiciones, las dos leyes impondrían un nuevo requisito de que, si una agencia judicial o de ejecución fuera de China solicita datos almacenados en China, ya sean datos personales o datos no personales, las empresas deben obtener primero la aprobación del gobierno chino antes de transferir los datos, o enfrentarse a posibles sanciones, como multas.

Una vez promulgadas, DSL y PIPL se sumarán a un mosaico de leyes y regulaciones que afectan las transferencias de datos fuera de China, incluida, por ejemplo, la Ley de Secretos de Estado revisada en 2010 y la Ley de Asistencia Judicial Penal Internacional (ICJAL) en 2018 (que sobre lo que escribimos para el Blog de la FCPA aquí y aquí ). Un cuadro que compara las restricciones de transferencia relacionadas con la aplicación en el borrador de DSL, el borrador de PIPL y la ICJAL está disponible a pedido.

Fuera del contexto de la investigación y el litigio, el DSL y el PIPL, junto con la Ley de Ciberseguridad de China, establecerán un marco regulador complejo de protección de datos y ciberseguridad que regirá las transferencias transfronterizas de datos personales y no personales.

Las disposiciones propuestas en DSL y PIPL complementarían las leyes existentes de varias maneras:

(1) DSL y PIPL juntos cubren una amplia gama de datos

(2) el DSL y el PIPL se aplican a todas las solicitudes de agencias judiciales y de ejecución fuera de China, sin distinguir entre solicitudes (a diferencia de la ICJAL, que se aplica solo a asuntos penales), y

(3) estas leyes imponen sanciones por violaciones (a diferencia de la ICJAL, que no tiene sanciones por incumplimiento).

Las nuevas disposiciones hacen limitar el alcance de los datos sujetos a dichas restricciones a los datos almacenados “en China”, aunque este término se deja sin definir en ambas leyes.

El artículo 35 de la DSL establece que si una agencia judicial o de ejecución fuera de China solicita datos almacenados dentro de China, dichos datos no se proporcionarán sin la aprobación de una “agencia gubernamental competente” no especificada en China (presumiblemente el Ministerio de Justicia y posiblemente otros ), excepto para las solicitudes de datos que están sujetas a un tratado o acuerdo separado, donde China, como parte del tratado o acuerdo, “puede” cumplir con dichas solicitudes. El DSL establece que no se aplica a secretos de estado, información personal o datos militares, pero se aplica a todos los demás escenarios en los que las empresas procesan datos no personales.

El artículo 46 de la DSL describe las posibles sanciones por infracciones, que van desde una advertencia hasta una multa entre 100.000 yuanes y 1 millón de yuanes (entre 15.500 y 155.000 yuanes) para las empresas y una multa entre 20.000 y 200.000 yuanes (entre 3.100 y 31.000 yuanes). para empleados responsables.

El artículo 41 de la PIPL incluye una prohibición casi idéntica de transferir información personal almacenada en China a una agencia judicial o de ejecución fuera de China sin aprobación previa. La PIPL define “información personal” como “varios tipos de información electrónica o registrada de otra manera relacionada con una persona física identificada o identificable”, que es en gran medida coherente con las definiciones utilizadas por el Reglamento general de protección de datos (GDPR) de Europa y la Ley de ciberseguridad de China.

La PIPL no incluye una multa específica por violar este artículo, pero las empresas que violen la PIPL pueden estar sujetas a una multa de referencia de hasta 1 millón de RMB (aproximadamente $ 155,000). Si la infracción se considera “grave”, la multa, además de la devolución de ingresos ilegales, puede aumentarse a 50 millones de yuanes (unos 7,8 millones de dólares) o al cinco por ciento de los ingresos anuales de la empresa durante el año financiero anterior. La infracción también puede incluirse en el historial de la empresa en el sistema de crédito social de China .

El borrador de DSL y PIPL deja sin respuesta una serie de preguntas, incluyendo qué agencias de fuera de China pueden calificar como “agencias judiciales y de ejecución”, cómo se pueden ver afectadas las solicitudes de datos almacenados en Hong Kong y Macao, qué datos se pueden considerar como “almacenados ”En China, y el proceso de aprobación preciso para transferir datos fuera de China.

Aunque persisten las incertidumbres con respecto al plan del gobierno chino para implementar estas disposiciones, las restricciones propuestas en DSL y PIPL complican aún más el dilema que una empresa multinacional puede enfrentar cuando se enfrenta a una solicitud del gobierno o una orden judicial para producir datos o documentos almacenados en China: cumplir con la solicitud y enfrentarse a posibles sanciones y dificultades por violar la ley china, solicitar la aprobación del gobierno chino (que puede llevar un tiempo prolongado o no tener éxito en última instancia, e incluso puede estar prohibido por las leyes del país solicitante), o negarse a Cumplir con la solicitud y enfrentar consecuencias adversas bajo las leyes del país solicitante. Sobre este trasfondo,

Estos factores pueden incluir:

Según el plan legislativo de China, es probable que tanto el DSL como el PIPL se promulguen en los próximos dos o tres meses. Aunque el momento es menos seguro, las regulaciones de implementación deben seguir a partir de entonces para proporcionar más orientación regulatoria sobre cómo se interpretarán e implementarán estas dos disposiciones.

Salir de la versión móvil