Правовой основой для обработки ваших личных данных являются «Условия доступа к Deutsche Bank AG через электронные средства массовой информации», согласованные между вами и нами для использования OnlineBanking.
Цели обработки данных в первую очередь зависят от конкретной услуги. Для получения дополнительных сведений о целях обработки данных см. Соответствующую договорную документацию и условия.

При необходимости мы обрабатываем ваши данные сверх фактического выполнения наших договорных обязательств, чтобы защитить законные интересы, преследуемые нами или третьей стороной.Примеры:

• Заявление судебных исков и защита в случае судебного разбирательства
• Обеспечение ИТ-безопасности банка и ИТ-операций
• Предотвращение преступлений
• Меры по управлению бизнесом и дальнейшему развитию услуг и продуктов
• Управление рисками группы

Если вы дали нам согласие на обработку персональных данных для определенных целей (например,грамм. для информационных услуг по текущим предложениям и важным финансовым вопросам) законность такой обработки основана на вашем согласии. Информацию о ваших правах в отношении предоставленного согласия см. В главе 7 этой информации о защите данных. Вы можете запросить обзор статуса предоставленных вами согласий в любое время или просмотреть некоторые из них через OnlineBanking.

Как банк, мы также несем различные юридические обязательства, т.е.e., законодательные требования (например, Закон Германии о банковской деятельности (Kreditwesengesetz — KWG), Закон Германии о борьбе с отмыванием денег (Geldwäschegesetz — GWG), Закон Германии о торговле ценными бумагами (Wertpapierhandelsgesetz — WpHG), налоговое законодательство), а также требования банковского надзора ( например, Европейский центральный банк, Европейское управление банковского надзора, Deutsche Bundesbank и Федеральное управление финансового надзора Германии (Bundesanstalt für Finanzdienstleistungsaufsicht — BaFin). Другие цели обработки включают проверки кредитоспособности, идентификацию и возраст, антифрод и борьбу с деньгами. меры по отмыванию доходов, выполнение обязательств по налоговому контролю и отчетности, а также оценка и управление рисками в банке и Группе.

Защита данных 2020 | Законы и правила | Китай

1.

1.1 Каково основное законодательство о защите данных?

Основным законодательством о защите персональных данных в Китае является Закон о кибербезопасности Китайской Народной Республики (далее « CSL »). Он устанавливает требования к защите данных для сетевых операторов.

1.2 Есть ли какие-либо другие общие законы, влияющие на защиту данных?

Существует гражданское и уголовное законодательство, которое влияет на защиту данных. В частности, 1 октября 2017 года вступили в силу Общие правила Гражданского закона , статья 111 которых предусматривает, что личные данные физических лиц находятся под защитой закона. Незаконный сбор, использование, обработка или передача личных данных других лиц запрещены.

Уголовный кодекс также устанавливает преступления, связанные с нарушением личных данных и конфиденциальности, e.g., преступление нарушения личной информации граждан в статье 253- (1), преступление отказа выполнять обязанности по обеспечению безопасности информационной сети в статье 286- (1), а также преступление кражи, покупки или незаконного раскрытия кредита других людей. информация о карте в Статье 177- (1). В изданном в 2017 году издании «Интерпретация нескольких вопросов, касающихся применения закона к уголовным делам о нарушении личных данных граждан», рассматриваемых Верховным народным судом и Верховной народной прокуратурой , дается дополнительное объяснение правонарушений, связанных с нарушением личных данных и неприкосновенности частной жизни.

Статья 2 Закона об ответственности за гражданское правонарушение определяет право на неприкосновенность частной жизни как одно из гражданских прав граждан, наряду с правом на жизнь, право на здоровье и т. Д.

1.3 Существует ли какое-либо отраслевое законодательство, влияющее на защиту данных?

В секторах банковского дела, страхования, медицины, кредитной информации, телекоммуникаций и автомобилестроения существуют определенные законодательные акты, которые влияют на защиту данных, например, Меры по осуществлению Народного банка Китая по защите прав и интересов потребителей финансовых услуг , Меры по администрированию информации о здоровье населения , Меры по ведению медицинской документации в медицинских учреждениях , Административные правила для индустрии кредитных расследований , Несколько положений по регулированию рыночного порядка информационных услуг в Интернете , Меры по администрированию служб электронной почты в Интернете и Положения о защите личной информации пользователей электросвязи и Интернета и т. Д.

1.4 Какие органы отвечают за защиту данных?

China не имеет единого органа, ответственного за обеспечение соблюдения положений, касающихся защиты личной информации.

В соответствии с CSL Управление киберпространства Китая (« CAC ») отвечает за планирование и координацию кибербезопасности и соответствующую надзорную и административную работу, в то время как Министерство промышленности и информационных технологий, департамент общественной безопасности и другие соответствующие департаменты несут ответственность за надзор и управление защитой личной информации в своих отраслях.

Например, Министерство общественной безопасности (« MPS ») и его местные отделения имеют право налагать административные штрафы, а также несут ответственность за уголовные расследования против незаконного получения, продажи или раскрытия личной информации.

Министерство промышленности и информационных технологий (« MIIT ») и телекоммуникационные администрации на провинциальном уровне несут ответственность за надзор и управление личной информацией в телекоммуникационном и интернет-секторе.

Кроме того, Государственная администрация по регулированию рынка (« SAMR ») и ее местные органы несут ответственность за надзор и управление личной информацией потребителей в соответствии с Законом «О защите прав и интересов потребителей» .

2.

2.1 Просьба предоставить ключевые определения, используемые в соответствующем законодательстве:

« Персональные данные »

«Личные данные» или личная информация, как в статье 76- (5) CSL, относится к различной информации, которая записывается в электронной или любой другой форме и используется отдельно или в сочетании с другой информацией для идентификации физического лица, включая но не ограничиваясь именем, датой рождения, идентификационным номером, личной биологической идентификационной информацией, адресом и номером телефона физического лица.

« Обработка »

Учитывая, что основное законодательство, CSL, дает определения только для нескольких ключевых терминов, некоторые из перечисленных здесь определений взяты из Национального стандарта Китайской Народной Республики по технологиям информационной безопасности — Спецификация безопасности персональных данных (далее « Стандарт ”). Стандарт выпускается Генеральным управлением по надзору за качеством, инспекцией и карантином и Управлением по стандартизации.Хотя это и не обязательно, это считается хорошей практикой. Стандарт был обновлен в марте 2020 года и вступит в силу в октябре 2020 года.

Ни CSL, ни Стандарт не определяют «Обработку», но это упоминается в Стандарте при обсуждении доверенной обработки.

«Контроллер »

CSL не определяет «Контроллер», но Раздел 3.4 Стандарта определяет его как организации или отдельных лиц, которые имеют право принимать решение о целях, методах и других аспектах обработки персональных данных.

« Процессор »

Согласно CSL и Стандарту, понятие «процессор» отсутствует. Однако Стандарт предусматривает обязательства, которые обработчики данных должны выполнять в случае «доверенной обработки» в Разделе 9.1.

« Субъект данных »

CSL не определяет «Субъект данных». Стандарт определяет это как лицо, указанное в личных данных в разделе 3.3.

« Конфиденциальные личные данные »

CSL не определяет «конфиденциальные личные данные».Раздел 3.2 Стандарта определяет его как персональные данные, которые в случае разглашения, незаконного раскрытия или злоупотребления могут нанести ущерб личной безопасности или безопасности имущества, или могут легко привести к ущербу репутации, физиологическому, а также психологическому здоровью или стать причиной нарушения здоровья человека. подвергается дискриминации. Например, идентификационный номер, личная биологическая идентификационная информация, банковский счет, запись и содержание переписки, кредитная информация и личные данные детей в возрасте до 14 лет и т. Д.

« Нарушение данных »

Ни CSL, ни стандарт не определяют «нарушение данных».

Национальный план действий в чрезвычайных ситуациях для инцидентов кибербезопасности , выпущенный CAC, определяет «инциденты кибербезопасности», которые относятся к инцидентам, которые наносят ущерб сети и информационным системам или данным в них и отрицательно влияют на общество из-за человеческого фактора, дефектов оборудования или программного обеспечения. или отказы, стихийные бедствия и т. д. Инциденты кибербезопасности можно разделить на инциденты с опасными программами, инциденты сетевых атак, инциденты уничтожения информации, инциденты безопасности информационного содержимого, отказы оборудования и объектов, катастрофические инциденты и другие инциденты.

Другие ключевые определения — укажите (например, «Псевдонимные данные», «Прямые персональные данные», «Косвенные персональные данные»)

Стандарт также предоставляет определения других ключевых терминов, которые, среди прочего, включают « Анонимизация » и « Деидентификация »:

Анонимизация, как определено в разделе 3.14, означает, что субъект данных становится неидентифицируемым или не может быть коррелирован посредством технической обработки персональных данных, и обработанная информация не может быть восстановлена.Анонимизированные личные данные больше не считаются личными данными.

Деидентификация, как определено в разделе 3.15, означает, что субъект данных становится неидентифицируемым или не может быть коррелирован, если он не объединен с другой информацией посредством технической обработки персональных данных.

3.

3.1 Распространяются ли законы о защите данных на предприятия, учрежденные в других юрисдикциях? Если да, то при каких обстоятельствах бизнес, учрежденный в другой юрисдикции, будет подпадать под действие этих законов?

Теоретически да. Статья 5 CSL предоставляет властям право отслеживать, предотвращать и управлять рисками и угрозами кибербезопасности из других юрисдикций. В соответствии со статьей 50, если какая-либо информация из других юрисдикций будет признана запрещенной законом, CAC и компетентные органы могут принять меры, чтобы заблокировать передачу такой информации.В соответствии со статьей 75 закон применяется также к зарубежным учреждениям, организациям или частным лицам, которые занимаются деятельностью, которая ставит под угрозу критически важную информационную инфраструктуру (« CII »).

Кроме того, компании, работающие по оффшорной модели, но предоставляющие услуги китайским клиентам / пользователям, также могут подпадать под действие правил защиты личных данных, установленных CSL, особенно в отношении трансграничной передачи данных.

Однако в законе четко не указано, как применять санкции.Таким образом, степень, в которой эти положения будут применяться за границей в отношении зарубежных компаний, остается неясной.

4.

4.1 Каковы основные принципы обработки персональных данных?

Прозрачная пленка

Статья 41 CSL предусматривает, что операторы сети должны обнародовать правила сбора и использования личных данных и прямо уведомлять о цели, методах и объеме такого сбора и использования.

В Разделе 4e) Стандарт также определяет прозрачность в качестве одного из основных принципов, заявляя, что объем, цель и правила обработки персональных данных должны быть общедоступными, четкими, понятными и справедливыми и подлежать внешнему надзору.

Законное основание для обработки

Статья 41 CSL требует, чтобы операторы сети соблюдали «законные, оправданные и необходимые» принципы при сборе и использовании личных данных.

Раздел 5.1 Стандарта дополнительно объясняет, что означает «законный» — контролеры данных не должны обманывать, обманывать или вводить в заблуждение субъекта данных для раскрытия личных данных, не должны скрывать, что продукт или услуга, которые они предоставляют, собирают личные данные, не должны получать личные данные. из незаконных каналов и не собирает информацию, запрещенную законом.

Среди прочего, согласие является наиболее распространенным методом достижения законности. В разделе 4c) стандарта согласие указано в качестве основного принципа, который требует от контролера персональных данных получения разрешения субъектов данных на цели, методы, объем и правила и т. Д.обработки данных.

Следует отметить, что согласие не всегда равно законности; В разделе 5.6 Стандарта также предусмотрены исключения из требования о получении согласия, когда согласие не требуется до сбора и использования персональных данных. Тем не менее, не забывайте, что Стандарт — это не юридический текст, имеющий исковую силу, а набор рекомендаций. Поэтому рекомендуется всегда получать согласие субъекта данных, где это возможно.

Ограничение цели

Статья 41 CSL требует, чтобы операторы сети не собирали никаких личных данных, не связанных с предоставляемыми услугами.В Разделе 4b) Стандарта также есть «Принцип четкой цели», согласно которому контроллер данных должен иметь четкую и конкретную цель для обработки персональных данных.

Минимизация данных

CSL прямо не предусматривает требований к минимизации данных, а лишь в целом требует, чтобы операторы сетей собирали только персональные данные, относящиеся и необходимые для предоставления их услуг субъектам данных.

Раздел 5.2 Стандарта устанавливает, что, за исключением случаев, когда иное согласовано с субъектами данных, контроллеры данных должны обрабатывать только минимальный тип и объем личных данных, необходимых для достижения цели, на которую субъект данных дал согласие.После того, как цель будет достигнута, личные данные должны быть незамедлительно удалены или обезличены.

Пропорциональность

В CSL или Стандарте нет явного правила, предусматривающего «принцип пропорциональности», но принцип минимизации данных в CSL и Стандарте по сути аналогичен «принципу пропорциональности», причем оба подчеркивают «обработку персональных данных». только в надлежащем и необходимом объеме ».

Удержание

Раздел 6.1 Стандарта предусматривает, что период хранения личной информации должен быть самым коротким временем, необходимым для реализации цели санкционированного использования личной информации, если иное не предусмотрено законами и нормативными актами или иным образом не разрешено или не согласовано субъектом личной информации.

Прочие ключевые принципы — просьба указать

« Обеспечение безопасности » Принцип

Статья 42 CSL и Раздел 4f) Стандарта предусматривают, что контролер данных должен иметь возможности безопасности, соответствующие рискам безопасности, с которыми он сталкивается, и принимать адекватные меры для защиты конфиденциальности, целостности и доступности персональных данных.

5.

5.1 Каковы основные права физических лиц в отношении обработки их личных данных?

Право доступа к данным / копиям данных

Учитывая, что в CSL прямо указаны только права на исправление и удаление, некоторые из перечисленных здесь прав предоставляются Стандартом.

Раздел 8.1 Стандарта предусматривает, что контролер данных должен предоставить субъекту персональных данных доступ к:

1. данные или тип данных о нем или о ней, которыми владеет контролер;
2. источник (-ы) и цель таких персональных данных; и
3. — личность или тип любого третьего лица, получившего вышеуказанные персональные данные.

Право на исправление ошибок

Статья 43 CSL предусматривает, что каждый человек имеет право потребовать от любого оператора сети внести исправления, если он или она обнаружил ошибки в такой информации, собранной и сохраненной таким оператором.Стандарт предусматривает аналогичные правила в Разделе 8.2.

Право на удаление / право на забвение

В соответствии со статьей 43 CSL, каждое физическое лицо имеет право потребовать от оператора сети удалить его или ее личные данные, если он или она обнаружит, что сбор или использование такой информации таким оператором нарушает законы, административные правила или соглашение и между таким оператором и им.

Помимо вышеуказанных обстоятельств, Раздел 8.3 Стандарта также предусматривает, что если контроллер данных делится и передает персональные данные третьей стороне или публично раскрывает персональные данные незаконно или в нарушение соглашения между контроллером и субъектом, и субъект требует, чтобы данные были удалено, контролер должен прекратить такое совместное использование, передачу и публичное раскрытие, а также уведомить соответствующие стороны об удалении соответствующих данных. Раздел 8.5 предусматривает, что субъекту данных будут предоставлены каналы для закрытия его или ее учетной записи, а соответствующие личные данные будут удалены / анонимизированы; Контроллеры данных не должны устанавливать ненужные или необоснованные условия, когда субъекты данных запрашивают закрытие учетной записи.Кроме того, в разделе 6.4 предусмотрено, что, если контролер личной информации приостанавливает работу в отношении своих продуктов или услуг, он должен удалить или анонимизировать личную информацию, которую он хранит.

Право на возражение против обработки

Согласно Стандарту отзыв согласия субъекта данных может рассматриваться как право возражать против обработки. Следует отметить, что в соответствии с Разделом 7.7 Стандарта субъекту персональных данных не будет предоставлено право на возражение, но будет право на подачу апелляции и право на ручной пересмотр решений, когда такие решения принимаются на основе информации. системы, основанные на автоматизированных решениях (таких как личный кредит, лимиты ссуд или проверка собеседований на основе профилей пользователей), которые существенно влияют на права и интересы субъекта данных.

Право на ограничение обработки

CSL не предоставляет явным образом право ограничивать обработку.

Право на перенос данных

CSL прямо не предусматривает права на переносимость данных. Раздел 8.6 Стандарта рекомендует контроллерам данных предоставлять субъектам данных методы получения копий их личной информации. Право на переносимость данных бывает двух видов: (1) контролер данных предоставляет копию определенных личных данных субъекту данных; и (2) контроллер данных напрямую отправляет копию третьей стороне, указанной субъектом данных, если это технически возможно.

Персональные данные, которые могут быть перенесены, ограничиваются четырьмя видами: основные персональные данные субъектов данных; личная идентификационная информация; информация о личном здоровье и физиологии; и персональное образование и профессиональная информация.

Право на отзыв согласия

Субъекты персональных данных имеют полную свободу и контроль в отношении обработки своих персональных данных. Хотя это явно не предусмотрено в CSL, Раздел 8.4 Стандарта предоставляет практические рекомендации относительно отзыва и изменения согласия и особо упоминает два различных сценария: (1) отзыв согласия для отказа в получении коммерческой рекламы; и (2) отзыв согласия на совместное использование, передачу и публичное раскрытие данных.

Право на возражение против маркетинга

Раздел 8.4 Стандарта предусматривает, что субъекты данных имеют право не получать коммерческую рекламу, основанную на их личных данных.

Право на подачу жалобы в соответствующие органы по защите данных

Право физических лиц подавать жалобу в органы по защите данных признано в ряде законодательных актов. Например, Раздел IX Решения Постоянного комитета Всекитайского собрания народных представителей по усилению защиты сетевой информации предусматривает, что любая организация или физическое лицо имеет право сообщать в соответствующие органы о незаконных или преступных действиях в виде кражи или иного незаконного приобретение, продажа или предоставление другим лицам личной электронной информации гражданина.Кроме того, CSL предусматривает в статье 14, что можно сообщать о действиях, которые ставят под угрозу безопасность сети, в CAC, телекоммуникационные органы и органы общественной безопасности.

6.

6.1 Есть ли у предприятий юридическое обязательство регистрироваться или уведомлять орган по защите данных (или любой другой правительственный орган) в отношении своей деятельности по обработке?

Есть такие требования относительно трансграничной передачи данных.В частности, сетевые операторы должны проводить оценку безопасности передачи данных за границу. Трансграничная передача личной информации (проект для комментариев) , выпущенная в июне 2019 года, предусматривает в статье 3, что перед трансграничной передачей личной информации сетевые операторы должны обратиться в местные администрации киберпространства на провинциальном уровне для оценки безопасности. для трансграничной передачи личной информации.

Кроме того, статья 28 Административных мер по безопасности данных (проект для комментариев) предусматривает, что операторы сети должны оценивать потенциальные риски безопасности до того, как раскрывать, передавать или продавать важные данные или передавать такие данные за границу, и должны отчитываться перед компетентными органами. регулирующий орган для утверждения.Если компетентный регуляторный отдел неясен, сетевые операторы должны отчитываться перед администрациями киберпространства на уровне провинции для утверждения.

6.2 Если требуется такая регистрация / уведомление, должно ли оно быть конкретным (например, перечислять все действия по обработке, категории данных и т. Д.) Или может быть общим (например, с подробным описанием соответствующих действий по обработке)?

Трансграничная передача личной информации (проект для комментариев) предусматривает в Статье 4, что операторы сети должны предоставлять следующие материалы для оценки безопасности трансграничной передачи личной информации и несут ответственность за подлинность и точность материалов:

1. анкета;
2. договоров между операторами сети и получателями;
3. отчетов об анализе рисков безопасности при трансграничной передаче личной информации и мерах безопасности; и
4. других материалов, требуемых национальной администрацией киберпространства.

Конкретно в договоре о трансграничной передаче данных должно быть указано как минимум:

1. цели трансграничной передачи личной информации, а также виды и сроки хранения такой информации;
2. субъекты персональных данных являются выгодоприобретателями по условиям договоров, затрагивающих права и интересы субъектов персональных данных;
3. , когда законные права и интересы субъектов личной информации нарушены, они могут напрямую потребовать компенсацию либо от сетевых операторов, либо от получателей, либо от обеих сторон, либо поручить это сделать агенту от своего имени, а сетевые операторы или получатели должны предоставить компенсация, если не будет доказано, что они не несут ответственности;
4. , если изменения правовой среды в странах-получателях затрудняют выполнение контрактов, контракты должны быть расторгнуты или оценка безопасности должна быть проведена повторно; и
5. прекращение контрактов не освобождает сетевых операторов и получателей от их ответственности и обязанностей, предусмотренных соответствующими условиями контрактов, касающихся законных прав и интересов субъектов личной информации, за исключением случаев, когда получатели уничтожили полученную личную информацию или анонимизировали ее. информация.

6.3 На каком основании делаются регистрации / уведомления (например, для каждого юридического лица, для каждой цели обработки, для каждой категории данных, для каждой системы или базы данных)?

Статья 3 Закона «Трансграничная передача личной информации» (проект для комментариев) определяет, что предоставление личной информации разным получателям подлежит отдельной оценке безопасности, а многократное или непрерывное предоставление личной информации одному и тому же получателю не нужно пройти несколько оценок.

Более того, статья 3 предусматривает, что новая оценка безопасности должна проводиться каждые два года или в случае изменения цели трансграничной передачи личной информации или типа или периода хранения такой информации за рубежом.

6.4 Кто должен зарегистрироваться / уведомить орган по защите данных (например, местные юридические лица, иностранные юридические лица, подпадающие под действие соответствующего законодательства о защите данных, представительства или филиалы иностранных юридических лиц, подпадающих под действие соответствующего законодательства о защите данных)?

См. Вопрос 6.1 относительно того, кто должен уведомить орган.

6.5 Какая информация должна быть включена в регистрацию / уведомление (например, данные уведомляющей организации, затронутые категории лиц, затронутые категории личных данных, цели обработки)?

См. Вопрос 6.2 относительно информации, которая должна быть включена в уведомление.

6.6 Каковы санкции за отсутствие регистрации / уведомления в случае необходимости?

Трансграничная передача личной информации (проект для комментариев) не определяет санкции для обычных сетевых операторов.Статья 18 предусматривает только то, что операторы сетей, которые передают личную информацию через границу в нарушение положений, должны быть наказаны согласно соответствующим законам и постановлениям.

Статья 66 CSL устанавливает санкции за отказ операторами CII получить одобрение властей. В частности, его следует предупредить и приказать внести исправления, и он будет подвергнут конфискации незаконных доходов и наложению штрафа в размере от 50 000 до 500 000 юаней, а также может быть приостановлен соответствующий бизнес с закрытием для исправления, закрытие веб-сайтов и отзыв бизнес-лицензий.Непосредственно ответственный надзорный орган и другие лица, несущие прямую ответственность, подлежат наложению штрафа в размере от 10 000 до 100 000 юаней.

Статья 37 Административных мер по безопасности данных (проект для комментариев) предусматривает, что в случае нарушения любого оператора сети положений, компетентные департаменты должны в соответствии с соответствующими законами и административными постановлениями и в зависимости от обстоятельств принимать дисциплинарные меры, такие как например, публичное раскрытие неправомерных действий, конфискация незаконных доходов, приостановка соответствующих деловых операций, прекращение деловых операций для исправления ошибок, закрытие веб-сайтов или отзыв соответствующих разрешений на ведение бизнеса или лицензий на ведение бизнеса.Если нарушение составляет преступление, привлекается к уголовной ответственности.

6.7 Какова плата за регистрацию / уведомление (если применимо)?

В настоящее время это остается неясным. Обычно такие уведомления бесплатны.

6.8 Как часто нужно обновлять регистрации / уведомления (если применимо)?

См. Вопрос 6.3. Кроме того, статья 9 «Трансграничная передача личной информации» (проект для комментариев) предусматривает, что сетевые операторы должны до 31 декабря каждого года сообщать о ситуациях трансграничной передачи личной информации и выполнении контрактов в текущем году. год для местных администраций киберпространства на провинциальном уровне.

6.9 Требуется ли предварительное одобрение регулирующего органа по защите данных?

Для операторов CII общепризнано, что при передаче данных за границу для деловых нужд требуется предварительное разрешение.

Что касается передачи личной информации операторами сети, статья 5 документа «Трансграничная передача личной информации» (проект для комментариев) предусматривает процедуры для администраций киберпространства по проведению оценки безопасности.В статье 2 уточняется, что, если в ходе оценки безопасности установлено, что трансграничная передача личной информации может повлиять на национальную безопасность или нанести ущерб общественным интересам, или что трудно эффективно защитить безопасность личной информации, трансграничная передача такой информации информация не допускается.

Что касается передачи важных данных, то Закон «Административные меры по обеспечению безопасности данных» (проект для комментариев) прямо требует от сетевых операторов получения предварительного одобрения компетентных регулирующих органов или администраций киберпространства.

6.10 Можно ли заполнить регистрацию / уведомление онлайн?

Остается неясным, можно ли заполнить уведомление онлайн.

6.11 Есть ли общедоступный список выполненных регистраций / уведомлений?

Нет, но есть общедоступные записи об операторах, которые нарушают положения о защите личной информации пользователей электросвязи и Интернета («Положения »).В статье 20 Положений предусмотрено, что органы электросвязи регистрируют деятельность операторов телекоммуникационного бизнеса и поставщиков информационных услуг в Интернете, которые нарушили Положения, в свои файлы социального кредитования и публикуют такую ​​информацию.

6.12 Сколько времени занимает типичный процесс регистрации / уведомления?

Статья 5 Закона «Трансграничная передача личной информации» (проект для комментариев) предусматривает, что оценка безопасности должна быть завершена в течение 15 рабочих дней, и этот срок может быть соответствующим образом продлен для тех, кто находится в сложных ситуациях.Ожидается, что будут сформулированы подробные меры или руководящие принципы реализации.

7.

7.1 Является ли назначение сотрудника по защите данных обязательным или необязательным? Если назначение сотрудника по защите данных является обязательным только при определенных обстоятельствах, укажите эти обстоятельства.

В статье 21 CSL предусмотрено, что сетевые операторы должны назначать сотрудников по безопасности сети для защиты безопасности сети. Кроме того, в статье 34 предусмотрено, что оператор CII также должен назначить сотрудника по управлению безопасностью. Назначение таких офицеров обязательно. Кроме того, в разделе 11.1 Стандарта указано, что контролер персональных данных должен назначить сотрудника по защите данных и создать отдел защиты данных.

7.2 Каковы санкции за неспособность назначить сотрудника по защите данных, когда это необходимо?

Хотя назначение сотрудника по защите данных является хорошей практикой, установленной Стандартом, в соответствии с CSL нет никаких санкций за невыполнение этого требования. Тем не менее, существуют санкции за неспособность назначить сотрудника по сетевой безопасности, а в случае оператора CII — сотрудника по управлению безопасностью в соответствии со статьей 59 CSL.

Операторы, не назначившие специалиста по сетевой безопасности, могут ожидать предупреждений и приказов об исправлениях.Штраф в размере от 10 000 до 100 000 юаней может быть наложен, если оператор отказывается вносить исправления или в случае серьезного косвенного ущерба. Штраф в размере от 5000 до 50 000 юаней может быть наложен на непосредственно ответственного лица.

CII, которые не назначили сотрудника службы безопасности, могут ожидать предупреждений и приказов об исправлениях. Штраф в размере от 100 000 до 1 миллиона юаней может быть наложен, если оператор отказывается вносить исправления или в случае серьезного косвенного ущерба.Штраф в размере от 10 000 до 100 000 юаней может быть наложен на непосредственно ответственного лица.

7.3 Защищен ли сотрудник по защите данных от дисциплинарных мер или других последствий при приеме на работу в связи с его или ее ролью в качестве сотрудника по защите данных?

Если сотрудник по защите данных не выполняет свои обязанности с должной осмотрительностью, он может быть привлечен к административной или даже уголовной ответственности в связи с его или ее ролью в качестве сотрудника по защите данных.

7.4 Может ли компания назначить одного сотрудника по защите данных для охвата нескольких организаций?

В законе и соответствующих правилах не указано, может ли компания назначить одного сотрудника по защите данных для охвата нескольких организаций.

7.5 Опишите, пожалуйста, любую конкретную квалификацию сотрудника по защите данных, требуемую законом.

Раздел 11.1 Стандарта определяет, что уполномоченным по защите данных должно быть лицо с соответствующим опытом управления и профессиональными знаниями в области защиты личной информации.

7.6 Каковы обязанности сотрудника по защите данных в соответствии с требованиями законодательства или передовой практики?

Раздел 11.1 Стандарта предусматривает, что обязанности сотрудника по защите данных включают, но не ограничиваются:

1. всесторонняя и всеобъемлющая реализация безопасности персональных данных организации и прямая ответственность за безопасность персональных данных;
2. организует разработку плана работ по защите персональной информации и контролирует его выполнение;
3. разработка, выпуск, внедрение и регулярное обновление политики конфиденциальности и соответствующих нормативных актов;
4. создание, ведение и обновление списка личных данных, хранящихся в организации (включая тип, количество, происхождение, получателя и т. Д.)личных данных) и политики авторизованного доступа;
5. проводит оценку воздействия на безопасность личных данных, предлагает контрмеры и предложения по защите личной информации и призывает к устранению рисков безопасности;
6. организация обучения безопасности персональных данных;
7. проведение тестирования продукта или услуги перед их выпуском в случае неизвестного сбора, использования, обмена и других действий по обработке персональных данных;
8. объявлять информацию, такую ​​как методы жалобы или сообщения, и оперативно принимать жалобу и сообщение;
9. проведение аудитов безопасности; и
10. общение с надзорными органами и предоставление отчетов о защите личной информации, обработке инцидентов и т. Д.

7.7 Должно ли быть зарегистрировано / уведомлено о назначении сотрудника по защите данных в соответствующие органы по защите данных?

В настоящее время закон не требует, чтобы уполномоченный по защите данных регистрировался или уведомлялся в соответствующие органы по защите данных.

7.8 Должен ли сотрудник по защите данных быть указан в общедоступном уведомлении о конфиденциальности или аналогичном документе?

Раздел 5.6 Стандарта предоставляет содержание, которое должна включать политика конфиденциальности, и имя ответственного за защиту данных не упоминается в ней. Тем не менее, рекомендуется назначить человека, с которым общественность сможет связаться с целью рассмотрения запросов и жалоб пользователей по вопросам конфиденциальности и защиты данных.

8.

8.1 Если компания назначает обработчика для обработки персональных данных от своего имени, должна ли компания заключать какие-либо соглашения с этим обработчиком?

В законе нет таких требований, но статья 9.1 Стандарта предусматривает, что контролер данных может заключить соглашение с доверенным обработчиком данных для обработки персональных данных от имени контролера.

8.2 Если необходимо заключить соглашение, каковы формальности этого соглашения (например,g., в письменной форме, с подписью и т. д.) и какие вопросы он должен решать (например, обработка личных данных только в соответствии с соответствующими инструкциями, обеспечение безопасности личных данных и т. д.)?

Нет требований к формальностям договора. Что касается содержания, статья 9.1 Стандарта предусматривает, что в нем должны быть рассмотрены обязанности и обязанности обработчика, включая требования к обработке персональных данных, возможность переназначения обработчика, помощь, которую он должен оказывать контроллеру данных, ответственность за предоставление обратной связи контроллеру данных и ответственность за расторжение соглашения.

9.

9.1 Опишите любые законодательные ограничения на отправку электронного прямого маркетинга (например, для маркетинга по электронной почте или SMS требуется ли предварительное согласие получателя?).

В соответствии со статьей 43 Закона о рекламе № ни одна организация или физическое лицо не может без получения согласия или запроса заинтересованных сторон распространять им рекламные объявления с помощью электронных средств.Рекламные объявления, распространяемые с помощью электронных средств, должны указывать истинные личности и контактные данные отправителей, а также способ отказа получателей от принятия будущих рекламных объявлений. Статья 44 также предусматривает, что рекламные объявления, публикуемые на веб-сайте в виде всплывающих окон, должны иметь на видном месте знак «закрыть».

Статья 13 Регламента Администрирования служб электронной почты в Интернете предусматривает, что слово «реклама» или «AD» должно быть указано в теме электронного письма, и запрещено отправлять электронные письма, содержащие коммерческую рекламу, без явного согласия получателей. .Статья 14 предусматривает, что если получатель электронной почты, который прямо согласился на получение прямого электронного маркетинга, впоследствии отказывается продолжать получать такие электронные письма, отправитель должен прекратить отправлять такие электронные письма, если стороны не договорились об ином. Получателям должны быть предоставлены контактные данные для прекращения получения таких электронных писем, включая адрес электронной почты отправителя, и они должны гарантировать, что такие контактные данные действительны в течение 30 дней.

9.2 Применимы ли эти ограничения только к маркетингу «бизнес-потребитель» или они также применяются в контексте «бизнес-бизнес»?

Закон о рекламе , а также Порядок Администрирования служб электронной почты в Интернете не уточняют, применимы ли они только к маркетингу между бизнесом и потребителем.

9.3 Опишите любые законодательные ограничения на отправку рекламных материалов другими способами (например,для маркетинга по телефону необходимо заранее проверить национальный регистр отказа; для маркетинга по почте не требуется согласия или отказа и т. д.).

Раздел VII Решения Постоянного комитета Всекитайского собрания народных представителей по усилению защиты сетевой информации предусматривает, что любая организация или частное лицо не должны отправлять коммерческие электронные сообщения на стационарный, мобильный телефон или электронный ящик получателя электронных сообщений. без предварительного согласия или запроса получателей или если получатели явно выражают отказ.

Операторы платформы электронной коммерции при отображении результатов поиска товаров или услуг должны пометить «рекламу» для продуктов или услуг, оцененных по ставкам, в соответствии со статьей 40 Закона об электронной торговле . Кроме того, статья 18 предусматривает, что операторы электронной коммерции, которые предоставляют результаты поиска на основе предпочтений или потребительских привычек потребителей, тем временем предоставляют варианты, не ориентированные на личные характеристики потребителей.

9.4 Распространяются ли указанные выше ограничения на маркетинговые материалы, отправленные из других юрисдикций?

CSL, Закон о рекламе и Закон об электронной коммерции применяются к операторам, предоставляющим продукты и услуги на территории КНР, в то время как для иностранных операторов, предоставляющих товары или услуги КНР по офшорной модели, закон распространяется. не уточняйте, будет ли это применяться или нет.Однако, согласно статье 3.2 проекта Руководства по оценке безопасности трансграничной передачи данных , бизнес-операторы, не зарегистрированные в Китае, но предоставляющие товары или услуги Китаю на китайском языке, осуществляют расчеты в юанях и доставляют товары в Китай. считаются «предоставляющими товары или услуги Китаю», и в этом случае мы понимаем, что соответствующие положения могут применяться.

9.5 Активны ли соответствующие органы по защите данных в обеспечении нарушений маркетинговых ограничений?

Похоже, что органы по защите данных не особенно активны, но в последнее время есть случаи, когда другие органы, такие как Администрация по регулированию рынка, принимают меры.Например, в 2017 году компания Shanghai Paipaidai Financial Information Service Co., Ltd. была оштрафована на 800 000 юаней за нарушение Закона о рекламе , включая, среди прочего, отправку прямых рекламных объявлений по электронной почте без получения предварительного согласия получателей. .

9.6 Законно ли покупать маркетинговые списки у третьих лиц? Если да, то есть ли какие-либо рекомендации по использованию таких списков?

Если источник маркетинговых списков является законным и законным, и субъект данных дал согласие, то это не запрещено.В противном случае это незаконно, поскольку поставщики сетевых услуг и другие предприятия, государственные учреждения и их сотрудники обязаны хранить в строгой конфиденциальности личную электронную информацию граждан, собранную в ходе их деловой деятельности, и не могут разглашать, фальсифицировать, повреждать, продавать или незаконно предоставлять такую ​​информацию другим лицам, как это предусмотрено в Постановлении Постоянного комитета Всекитайского собрания народных представителей по усилению защиты сетевой информации .

9.7 Каковы максимальные штрафы за отправку маркетинговых сообщений в нарушение действующих ограничений?

Статья 63 Закона о рекламе предусматривает, что отправка прямых маркетинговых сообщений без получения согласия цели может привести к штрафу в размере до 30 000 юаней.

Платформы электронной коммерции, на которых четко не указано «реклама» для продуктов с оценкой ставок, могут быть наложены штраф в размере до 100 000 юаней в соответствии со статьей 81 Закона об электронной торговле и статьей 59 Закона о рекламе .

Кроме того, статья 77 Закона об электронной коммерции предусматривает, что коммерческим операторам электронной коммерции, которые предоставляют результаты поиска в нарушение статьи 18, как описано в вопросе 9.2, предписывается внести исправления в установленный срок, их незаконный доход подлежат конфискации, и может быть наложен штраф в размере от 50 000 до 200 000 юаней. В серьезных случаях одновременно должен быть наложен штраф в размере от 200 000 до 500 000 юаней.

10.

10.1 Опишите любые законодательные ограничения на использование файлов cookie (или аналогичных технологий).

Не существует законодательства, прямо регулирующего использование файлов cookie. Учитывая, что файлы cookie подпадают под определение личной информации (CSL предусматривает, что личные данные относятся к информации, которая может использоваться отдельно или в сочетании с другой информацией для идентификации физического лица, в то время как Стандарт также предоставляет такую ​​информацию, как записи онлайн-просмотра, личные данные), подразумевается, что к использованию файлов cookie применяются общие правила в отношении личных данных.

10.2 Различают ли применяемые ограничения (если есть) разные типы файлов cookie? Если да, то каковы соответствующие факторы?

На данном этапе закон не делает различий между разными типами файлов cookie.

10.3 Были ли / приняты ли на сегодняшний день соответствующими органами по защите данных какие-либо принудительные меры в отношении файлов cookie?

Нет никаких административных действий в отношении использования файлов cookie. Тем не менее, в 2015 году использование файлов cookie поисковой системой Baidu для персонализации рекламы, нацеленной на потребителей, когда они заходят на определенные сторонние веб-сайты, было признано судом не нарушающим права человека на неприкосновенность частной жизни.

10.4 Каковы максимальные штрафы за нарушение действующих ограничений файлов cookie?

См. Максимальные штрафы за другие общие нарушения.

11.

11.1 Опишите любые ограничения на передачу персональных данных в другие юрисдикции.

CSL предусматривает, что личная информация и важные данные, собранные оператором CII во время их операций на территории КНР, должны храниться внутри страны, а трансграничная передача личной информации и важных данных оператором CII для деловых нужд должна быть подлежит оценке безопасности.

Информацию об ограничениях на международную передачу личной информации и важных данных см. В вопросах 6.1–6.12. Ожидается, что как Трансграничная передача личной информации (проект для комментариев) , так и административные меры по безопасности данных (проект для комментариев) , которые все еще рассматриваются соответствующими органами, будут подвергаться дальнейшим доработка.Остается неясным, вступят ли текущие требования в проект мер в силу в будущем.

11.2 Опишите механизмы, которые предприятия обычно используют для передачи персональных данных за границу в соответствии с применимыми ограничениями на передачу (например, согласие субъекта данных, выполнение договора с субъектом данных, утвержденные договорные положения, соблюдение юридических обязательств и т. Д. ).

С согласия субъектов данных компании могут передавать данные за границу при условии надлежащей оценки безопасности.Помимо получения согласия субъекта данных, компаниям необходимо будет доказать, что их передача личных данных за границу возникла в связи с потребностями бизнеса при определенных обстоятельствах, и представить результаты оценки безопасности в компетентные органы для утверждения в соответствии с проектом мер (см. Вопрос 11.1). .

11.3 Требуется ли для передачи персональных данных в другие юрисдикции регистрации / уведомления или предварительного разрешения соответствующих органов по защите данных? Пожалуйста, опишите, какие типы переводов требуют одобрения или уведомления, что включают в себя эти шаги и сколько времени они обычно занимают.

Для операторов CII статья 37 CSL предусматривает, что личные данные и важные данные, собранные или созданные в Китае, должны храниться внутри страны. Передача такой информации за границу, возникающая в связи с потребностями бизнеса, разрешена при условии предварительного согласия субъекта данных, завершения оценки безопасности и одобрения компетентных отраслевых органов.

Информацию о трансграничной передаче личной информации и важных данных операторами общих сетей см. В вопросах 6.1–6.12.

12.

12.1 Каков допустимый объем корпоративных горячих линий для информаторов (например, ограничения по типам вопросов, о которых можно сообщать, лицам, которые могут подавать отчет, лицам, которых может касаться сообщение, и т. Д.)?

Нет правила, прямо касающегося этого вопроса.

12.2 Запрещено ли анонимное сообщение, категорически не рекомендуется или вообще разрешено? Если это запрещено или не рекомендуется, как предприятия обычно решают эту проблему?

Анонимное сообщение обычно разрешено.

13.

13.1 Требуется ли для использования видеонаблюдения отдельная регистрация / уведомление или предварительное разрешение соответствующих органов по защите данных и / или любая конкретная форма публичного уведомления (например,г., знак повышенной видимости)?

Статья 12 Административных правил системы видеонаблюдения (предварительный проект, далее «Правила CCTV »), выпущенных Министерством общественной безопасности и регулирующих использование видеонаблюдения в целях общественной безопасности, предусматривает что любой, кто использует видеонаблюдение в целях общественной безопасности, должен уведомить местный отдел общественной безопасности о типе и местонахождении установленной камеры.

13.2 Существуют ли ограничения на цели использования данных видеонаблюдения?

В соответствии со статьей 6 Регламента видеонаблюдения запрещается получать государственные секреты, секреты работы или коммерческие тайны из системы видеоизображения общественной безопасности или посягать на частную жизнь граждан с помощью такой системы. Организации, которые создают и используют системы видеонаблюдения, обязаны хранить в тайне основную информацию (например, проект системы, тип оборудования, место установки, адресный код) и собранные данные, касающиеся государственных секретов, рабочих секретов и коммерческих секретов, и не должны незаконно разглашать данные видеонаблюдения. относительно конфиденциальности граждан.Такие данные видеонаблюдения не могут быть куплены или проданы, незаконно использованы, скопированы или распространены в соответствии со статьей 22.

В соответствии со статьей 21, следственные, прокурорские и судебные органы, органы общественной безопасности и национальной безопасности, а также административные департаменты правительства на уровне города или выше могут проверять, копировать или извлекать основную информацию или данные, собранные через систему видеонаблюдения.

Кроме того, в отношении служб безопасности статья 25 Положения об администрировании служб безопасности предусматривает, что использование оборудования видеонаблюдения не должно нарушать законные права и интересы или неприкосновенность частной жизни людей.

14.

14.1 Какие виды мониторинга сотрудников разрешены (если они есть) и при каких обстоятельствах?

С одной стороны, статья 8 Закона о трудовых договорах № предусматривает, что работодатели имеют право знать основную информацию о работнике, имеющую прямое отношение к трудовому договору между ними; поэтому разрешены некоторые типы мониторинга сотрудников, хотя ни одно конкретное правило не регулирует мониторинг сотрудников.С другой стороны, разумно, чтобы мониторинг не нарушал частную жизнь сотрудника.

14.2 Требуется ли согласие или уведомление? Опишите, как работодатели обычно получают согласие или отправляют уведомление.

Да, для сбора персональных данных обычно требуется согласие субъекта данных — этот принцип также применяется к мониторингу сотрудников. На практике такое согласие обычно получается в соответствии с положениями трудового договора, справочника сотрудника или аналогичных документов.

14.3 В какой степени производственные советы / профсоюзы / представители работников должны быть уведомлены или проконсультированы?

Статья 4 Закона о трудовых договорах требует, чтобы работодатели обсуждали с конгрессом представителей работников или со всеми работниками, а также вели переговоры с профсоюзами или представителями работников при формулировании, пересмотре или принятии решений по вопросам, непосредственно затрагивающим жизненно важные интересы работников, такие как вознаграждение. , рабочее время, периоды отдыха и выходные дни, охрана труда и здоровье, страхование и социальное обеспечение, обучение персонала, соблюдение трудовой дисциплины и квот и др.Статья 43 также предусматривает, что работодатели должны уведомлять профсоюз о расторжении трудового договора в одностороннем порядке. Однако такие обстоятельства уведомления или переговоров могут не иметь прямого отношения к мониторингу работодателем или обработке личных данных сотрудников.

15.

15.1 Есть ли общее обязательство по обеспечению безопасности личных данных? Если да, то какие объекты отвечают за обеспечение безопасности данных (например, контроллеры, процессоры и т. Д.)?

В соответствии со статьей 40 CSL операторы сети несут ответственность за принятие технических и других необходимых мер для обеспечения безопасности собираемых ими личных данных, а также за создание и совершенствование системы защиты информации пользователей. Однако, если оператор сети в качестве контролера назначает третью сторону для обработки персональных данных от его имени, он должен гарантировать, что такой обработчик обеспечит адекватный уровень защиты задействованных персональных данных, как это предусмотрено в Разделе 8.1 Стандарта.

15.2 Существует ли требование закона сообщать о нарушениях данных в соответствующие органы по защите данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.

Да. Согласно статье 42 CSL, в случае (возможного) раскрытия, повреждения или потери собранных данных сетевой оператор должен принять немедленные меры и сообщить об этом компетентному органу.Раздел 9.1 Стандарта предусматривает, что отчет должен включать тип, количество, содержание и характер затронутых субъектов данных, влияние нарушения, принятые или подлежащие принятию меры, а также контактную информацию соответствующих лиц.

15.3 Существует ли требование закона сообщать о нарушениях данных затронутым субъектам данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.

Да. Сетевой оператор должен принять немедленные меры и уведомить затронутых субъектов данных в случае (возможных) утечек данных в соответствии со статьей 42 CSL. Раздел 9.2 Стандарта предусматривает, что содержание уведомления должно включать, но не ограничиваться, характер и последствия нарушения, меры, которые были приняты или должны быть приняты, предложения для субъектов данных по снижению рисков, средства правовой защиты данных. темы и контактную информацию уполномоченного по защите данных.

15.4 Каковы максимальные штрафы за нарушение безопасности данных?

В соответствии со статьей 64 CSL, в случае серьезного нарушения, оператор или провайдер, нарушивший безопасность данных, может столкнуться с штрафом в размере до 1 миллиона юаней (или в 10 раз превышающим незаконный доход), приостановкой деятельности соответствующего бизнеса, закрытием для исправления. , закрытие любого веб-сайта (-ов) и отзыв бизнес-лицензии. Непосредственно ответственным лицам грозит штраф в размере до 100 000 юаней.

Нарушения безопасности данных также могут повлечь за собой уголовную ответственность.Статья 286 (A) Уголовного закона гласит, что поставщики сетевых услуг, которые не выполняют правовые обязательства в отношении управления безопасностью информационной сети, предусмотренные законами и административными постановлениями, и отказываются вносить исправления после получения приказа соответствующих органов (следовательно, вызывая утечку информации пользователей с серьезными последствиями), может грозить наказание в виде тюремного заключения или уголовного преследования на срок не более трех лет или наблюдения, только со штрафом или штрафом.

16.

16.1 Опишите правоприменительные полномочия органов по защите данных.

16.2 Имеет ли орган по защите данных право наложить запрет на определенную обработку? Если да, то требует ли такой запрет постановления суда?

Да, и постановление суда не требуется.Например, в соответствии со статьей 50 CSL, если будет обнаружена какая-либо информация, публикация или передача которой запрещена законами и административными постановлениями, CAC и другие компетентные органы могут потребовать от оператора сети прекратить передачу такой информации, принять такие меры, как удаление и ведение записей. Если такая информация поступает из-за границы, они могут заблокировать передачу.

16.3 Опишите подход органа по защите данных к осуществлению этих полномочий с примерами недавних дел.

CAC и соответствующие органы по защите данных могут наложить запрет в виде административного штрафа вместе с другими карательными мерами, такими как штраф, приказ о внесении исправлений и т. Д. Для соответствующих случаев см. Вопрос 18.1.

16.4 Исполняет ли орган по защите данных свои полномочия в отношении предприятий, учрежденных в других юрисдикциях? Если да, то как это обеспечивается?

На данный момент нет публичных записей о том, что китайские органы по защите данных осуществляли свои полномочия напрямую против компаний, учрежденных в других юрисдикциях.В большинстве случаев власти могут обсудить с местным филиалом международной компании нарушение CSL или других правил защиты данных.

17.

17.1 Как предприятия обычно отвечают на запросы о раскрытии информации из-за границы или запросы о раскрытии информации от иностранных правоохранительных органов?

В случае запросов на обнаружение электронных документов от иностранных правоохранительных органов компании должны получить согласие субъекта персональных данных и провести оценку безопасности в соответствующем органе, прежде чем передавать какие-либо персональные данные или важные данные за границу.Что касается оценки безопасности CII, CSL предусматривает, что если существуют другие положения в соответствии с законами и административными постановлениями, такие положения должны применяться.

Если существуют договоры или соглашения в отношении судебной помощи или сотрудничества, заключенные между Китаем и соответствующей иностранной страной, соответствующие компании могут ответить на такие запросы в соответствии с такими договорами или соглашениями. Кроме того, Закон о международной судебной помощи по уголовным делам , изданный 26 октября 2018 г., устанавливает правила и процедуры, касающиеся обеспечения соблюдения международной судебной помощи в уголовных делах в Китае, включая запросы внутренних органов иностранным властям и запросы иностранных агентств о помощи в Китае. .В соответствии со статьей 4 Закона о международной судебной помощи в уголовных делах № , отечественные предприятия должны получить разрешение от компетентного органа Китайской Народной Республики, прежде чем раскрывать какую-либо информацию или оказывать любую помощь, запрашиваемую иностранными правоохранительными органами.

17.2 Какие инструкции выпустили / выпустили органы по защите данных?

CAC не выпустил каких-либо инструкций, касающихся запросов на обнаружение электронных документов от иностранных правоохранительных органов.

18.

18.1 Какие тенденции в области правоприменения проявились за последние 12 месяцев? Опишите любую соответствующую судебную практику.

Правоохранительные органы пристально следили за защитой личной информации, предоставляемой операторами приложений, и сохраняли нормативный акцент на обработке личной информации в важных отраслях, включая финансы, кредитные расследования, здравоохранение и т. Д.

В сентябре 2019 года два поставщика услуг по управлению рисками были расследованы местным полицейским управлением по обвинению в незаконном использовании веб-сканеров и незаконной обработке личной информации.

В сентябре 2019 года Министерство информации и промышленности приказало исключить приложение с функцией смены лица из магазинов приложений для исправления в связи с предполагаемой незаконной обработкой персональной биометрической информации пользователей.

Во время кампании «Jingwang 2019», запущенной Министерством общественной безопасности (« MPS »), было обнаружено, что мобильное приложение для онлайн-покупок в Нинбо собирает личную информацию и получает авторизацию пользователей без уведомления пользователей.В декабре 2019 года местный орган общественной безопасности наложил административный штраф в размере 100 000 юаней на владельца компании-разработчика приложения и 20 000 юаней на лицо, отвечающее за обслуживание приложения.

В ноябре 2019 года CAC, MIIT, MPS и SAMR совместно выпустили уведомление под названием Метод выявления незаконного сбора и использования личной информации приложениями . В частности, в уведомлении разъясняются требования соответствия при сборе личной информации сторонними кодами или надстройками, такими как SDK, встроенные в приложения.Согласно уведомлению, если приложение не указывает одно за другим цель, метод или объем сбора или использования личной информации с помощью встроенных сторонних кодов или подключаемых модулей, такое приложение, скорее всего, будет считаться «неспособным прямо указать цель, метод и объем сбора и использования личной информации ».

18.2 Какие «горячие темы» сейчас находятся в центре внимания регулятора защиты данных?

Незаконная обработка личной информации и экологическое управление сетевой информацией в настоящее время вызывают озабоченность регулирующих органов по защите данных.

В январе 2020 года CAC запустила шесть месяцев кампанию экологического управления сетевой информации с тем чтобы исправить негатив и вредную информацию, такие как нецензурная порнография, пошлость, насилие, террор, жульничество и т.д., на вебе-сайты, мобильных телефонах, форуме публикации, инструменты обмена мгновенными сообщениями, платформы прямой трансляции и другие ключевые ссылки, а также для расследования и закрытия незаконных веб-сайтов и учетных записей.

В апреле 2020 года MPS запустило кампанию «Jingwang 2020», чтобы продолжить борьбу с посягательством на личную информацию граждан Китая.

Что такое список отзыва сертификатов (CRL) по сравнению с OCSP

Отзыв сертификата является важной и часто упускаемой из виду функцией управления жизненным циклом сертификата. В этом блоге мы рассмотрим ключевые функции отзыва сертификатов, включая списки отзыва сертификатов (CRL), протокол статуса онлайн-сертификатов (OCSP) и сшивание OCSP.

Цифровые сертификаты используются для создания доверия при онлайн-транзакциях.Двойная роль сертификатов — для шифрования связи и для аутентификации личности владельца сертификата — формирует основу инфраструктуры открытого ключа (PKI).

Каждый сертификат также имеет конечный срок действия, который с 1 сентября ^st , 2020 установлен на 13 месяцев. Однако в течение этого периода действия владелец сертификата и / или центр сертификации (ЦС), выдавший сертификат, может заявить, что ему больше не доверяют. В этих неудачных случаях необходимо отозвать ненадежные сертификаты и проинформировать пользователей.Это делается путем добавления ненадежного сертификата TLS / SSL в список отзыва сертификатов (CRL).

Вот пример предупреждения об отозванном сертификате SSL / TLS в Google Chrome (Источник изображения)

Что такое список отзыва сертификатов (CRL)?

Отзыв сертификата — критически важный компонент жизненного цикла сертификата. Существует множество определений того, что такое CRL, но если мы разберем его просто, CRL содержит список отозванных сертификатов — по сути, все сертификаты, которые были отозваны центром сертификации или владельцем и которым больше не следует доверять.

Совет безопасности CA определяет CRL как «файл с цифровой подписью, содержащий список отозванных сертификатов, срок действия которых еще не истек». Цифровая подпись файлов CRL выпускающим центром сертификации важна для подтверждения подлинности файла и предотвращения подделки.

RFC 5280 описывает CRL как «структуру данных с отметкой времени и подписи, которую центр сертификации (CA) или орган, выдающий CRL, периодически выпускает для передачи статуса отзыва затронутых цифровых сертификатов.”

В зависимости от внутренней политики центра сертификации списки отзыва сертификатов публикуются на регулярной периодической основе, которая может быть ежечасной, ежедневной или еженедельной. Статус сертификата в CRL может быть либо «отозван», если он был необратимо отозван, либо «удерживать», если он временно недействителен.

Формат CRL определен в стандарте X.509 и в RFC 5280. Каждая запись в списке отзыва сертификатов включает идентификатор отозванного сертификата и дату отзыва. Необязательная информация включает ограничение по времени, если отзыв применяется в течение определенного периода времени, и причину отзыва.

Как веб-браузеры и приложения проверяют списки отзыва сертификатов

Сертификаты содержат один или несколько URL-адресов, с которых браузер или приложение может получить ответ CRL. Когда браузер инициирует соединение TLS с сайтом, цифровой сертификат сервера проверяется и проверяется на наличие аномалий или проблем.

Во время этого процесса проверки веб-браузер проверяет, указан ли сертификат в списке отзыва сертификатов, выданном соответствующим центром сертификации. В зависимости от статуса сертификата сервера браузер либо создаст безопасное соединение, либо предупредит пользователя об отозванном сертификате и риске продолжения незашифрованного сеанса.

Проверка списков отзыва сертификатов является важным шагом в транзакции на основе PKI, поскольку они проверяют личность владельца сайта и определяют, заслуживает ли доверия связанный сертификат.

Вот иллюстрированный рабочий процесс процесса проверки отзыва сертификата с использованием CRL

Что такое точка распространения CRL (CDP)?

Когда приложение или обозреватель проверяет статус отзыва сертификата, оно извлекает текущий CRL из указанной точки распространения CRL (CDP).CDP — это место на сервере каталогов LDAP или веб-сервере, где CA публикует списки отзыва сертификатов.

После получения CRL он обычно кэшируется до истечения срока действия самого CRL. CDP должен быть доступен в любое время, чтобы устройства или приложения могли получать новый список отзыва сертификатов при необходимости. В противном случае невозможно определить статус рассматриваемого сертификата, и проверка статуса отзыва сертификата завершится ошибкой.

Почему CRL важны?

Цифровые сертификаты отзываются по многим причинам, и в последнее время есть много примеров массового отзыва сертификатов.Причины отзыва сертификата:

• Центр сертификации обнаруживает, что он неправильно и неправомерно выдал сертификат
• Сертификат считается или обнаружен поддельным
• Закрытый ключ сертификата был скомпрометирован
• Эмитент ЦС был скомпрометирован
• Владелец веб-сайта прекращает свою деятельность и больше не владеет доменным именем или сервером, указанным в сертификате
• Во время аутентификации и проверки веб-сайта запрашивающая сторона искажает некоторую информацию, используемую в процессе, или владелец веб-сайта нарушил условия своего соглашения с CA

Какой бы ни была причина для отзыва сертификата, списки отзыва сертификатов важны для защиты пользователей от атак типа «злоумышленник в середине» или связи с мошенническим сайтом, который выдает себя за законный.Без списков отзыва сертификатов пользователи столкнулись бы с многочисленными рисками безопасности и конфиденциальности, такими как:

• Нарушение данных личной или конфиденциальной информации . Злоумышленник, выполняющий атаку «человек посередине», может перехватить личные и конфиденциальные данные, которые пользователь вводит на веб-сервере. Эта информация может быть номерами социального страхования, информацией о банковском счете, номерами кредитных карт, медицинскими данными и т. Д.
• Кража личных данных и выдача себя за другое лицо . Злоумышленник может перехватить учетные данные, которые пользователь вводит для аутентификации на веб-сервере.Кража учетных данных и компрометация являются ключевой причиной атак с имитацией лица или кампаний по компрометации деловой электронной почты (BEC). Кроме того, злоумышленники могут использовать эти учетные данные для взлома учетной записи пользователя.
• Финансовые убытки . После кражи банковских, кредитных карт и учетных данных киберпреступник находится всего в шаге от кражи денег пользователя.
• Установка вредоносного ПО . Доступ к небезопасному веб-сайту позволяет злоумышленникам установить вредоносное ПО на компьютер жертвы.Затем это вредоносное ПО используется для кражи личной информации, запуска клавиатурных шпионов или взлома компьютера, чтобы стать частью более крупной DDoS-атаки. Установка вредоносного ПО также может быть финансово мотивирована с помощью варианта программы-вымогателя и шифрования всех данных на компьютере пользователя.

Рекомендации по использованию списков отзыва сертификатов

Несмотря на важность поддержания текущего CRL, этот процесс не безупречный. Несмотря на то, что каждый центр сертификации выдает отдельный список отзыва сертификатов, файл может стать довольно большим, что делает их неэффективными для использования на устройствах с ограниченной памятью, таких как смартфоны или устройства IoT.

Когда ЦС получает запрос CRL от браузера, он возвращает весь файл с отозванными сертификатами от этого ЦС. Затем браузер должен проанализировать список, чтобы определить, был ли запрошенный сертификат отозван или нет. В зависимости от размера файла этот процесс может привести к задержке и снижению производительности для веб-пользователей.

Другая проблема заключается в том, что, если у клиента нет «подходящей последней» копии CRL, он должен получить ее во время начального соединения с сайтом, что может продлить соединение.

По правде говоря, поддержка списков отзыва сертификатов не подходит для выпуска и распространения важной информации в режиме, близком к реальному времени. Поскольку браузеры кэшируют списки отзыва сертификатов, чтобы избежать накладных расходов на вычисления, может возникнуть временное окно, когда отозванный сертификат может быть принят, создавая риски конфиденциальности и безопасности для пользователей.

Сшивание OCSP и OCSP

Другой метод, используемый для передачи информации пользователям об отозванных сертификатах, — это протокол статуса онлайн-сертификатов (OCSP).Вместо того, чтобы загружать последний CRL и анализировать его, чтобы проверить, присутствует ли запрошенный сертификат в списке, браузер запрашивает статус конкретного сертификата с сервера отзыва ЦС, выдавшего сертификат.

Используя серийный номер сертификата, служба OCSP проверяет статус сертификата, затем ЦС отвечает ответом с цифровой подписью, содержащим статус сертификата. Ответ OCSP содержит одно из трех значений: «хорошо», «отозвано» или «неизвестно». Ответы OCSP меньше файлов CRL и подходят для устройств с ограниченной памятью.

Вот иллюстрированный рабочий процесс процесса проверки отзыва сертификата с использованием OCSP

Сшивание OCSP является усовершенствованием стандартного протокола OCSP и определено в RFC 6066. Включение сшивания OCSP устраняет необходимость для браузера отправлять запросы OCSP непосредственно в центр сертификации. Вместо этого веб-сервер кэширует ответ OSCP от центра сертификации, и когда клиент инициирует подтверждение TLS, веб-сервер «скрепляет» ответ OSCP с сертификатом, который он отправляет в браузер.

Вот иллюстрированный рабочий процесс процесса проверки отзыва сертификата с использованием OCSP Stapling

OCSP дает несколько преимуществ, в том числе:

• Повышенная производительность, поскольку браузер получает статус сертификата сервера, когда это необходимо, избегайте накладных расходов на обмен данными с выдающим ЦС.
• Повышенная безопасность за счет минимизации случаев ложных срабатываний и уменьшения количества векторов атаки.
• Повышенная конфиденциальность пользователей, поскольку центры сертификации получают запросы только от веб-сайтов, а не от пользователей.

Почему мониторинг CRL и OCSP важен

Если центр сертификации не работает, вы не сможете выдавать новые сертификаты, но если срок действия вашего CRL истек или он недоступен, все ваши сертификаты немедленно станут непригодными для использования. Как уже говорилось, большинству приложений необходимо проверять действительность сертификатов на сервере CRL или OCSP. Если они не могут связаться с респондентом CDP или OCSP или если срок действия самого CRL истек, пользователи не смогут получить доступ к своему приложению.

Непрерывный мониторинг отзыва сертификатов в режиме реального времени с помощью средств автоматизации жизненного цикла сертификатов, таких как Keyfactor Command, может гарантировать, что этого не произойдет (см. Видео ниже).

Все дело в эффективном управлении жизненным циклом сертификатов

Эффективный и действенный отзыв поддельных, скомпрометированных или ненадежных сертификатов обеспечивает безопасность и конфиденциальность миллионов онлайн-транзакций каждый день. Организациям необходимо автоматизировать и централизованно управлять своими цифровыми сертификатами, чтобы избежать дорогостоящих отключений или атак из-за отзыва сертификата или истечения срока его действия.

Keyfactor Command позволяет вам управлять жизненным циклом ключей и цифровых сертификатов в вашем бизнесе и получать прозрачность от обнаружения и мониторинга сертификатов до выпуска, продления и отзыва. Посмотрите наши демонстрации по запросу, чтобы узнать больше о нашей платформе сквозной PKI и автоматизации жизненного цикла сертификатов.

Закон о праве на финансовую неприкосновенность

Закон о праве на финансовую неприкосновенность частной жизни

Лучшие новости

• IRS запрашивает повестку «Джона Доу» для уклоняющихся от уплаты налогов: The Washington Post Сообщает, что Налоговая служба обратилась в семь окружных судов с просьбой разрешить «Джону Доу» получить записи об операциях по кредитным картам.IRS, пытаясь отследить скрытые активы лиц, уклоняющихся от уплаты налогов, обратилось в суд, пытаясь получить доступ к записям кредитных карт, хранящихся в более чем 40 отелях, авиакомпаниях и компаниях по аренде автомобилей. Агентство стремится идентифицировать владельцев карт MasterCard, выпущенных банками в странах с налоговыми убежищами, таких как Антигуа, Барбуда, Багамы и Каймановы острова. IRS подозревает, что некоторые американцы переводили значительные суммы в офшорные банки не только для уклонения от уплаты налогов или сборов IRS, но и в рамках мошенничества с банкротством и, возможно, схем отмывания денег.(30 августа 2002 г.).
• RFPA изменено в соответствии с Патриотическим актом США 2001 г .: Раздел 358 Патриотического акта США внесены поправки в RFPA, разрешающие раскрытие финансовой информации любому агентству разведки или контрразведки в рамках любого расследования, связанного с международным терроризмом. (Октябрь 2001 г.)

Введение

Закон о праве на финансовую неприкосновенность частной жизни 1978 года защищает конфиденциальность личных финансовых отчетов путем создания установленной четвертой поправкой закона о защите банковских записей.Закон был, по сути, реакцией на постановление Верховного суда США 1976 г. United States v. Miller , где Суд установил, что клиенты банка не имели законного права на неприкосновенность частной жизни в финансовой информации, находящейся в распоряжении финансовых учреждений. 425 U.S. 435 (1976). Как правило, RFPA требует, чтобы федеральные правительственные органы уведомляли физических лиц и предоставляли возможность возразить, прежде чем банк или другое указанное учреждение сможет раскрыть личную финансовую информацию федеральному правительственному учреждению, часто в правоохранительных целях.

История

Закон о праве на финансовую неприкосновенность частной жизни 1978 года был внесен на рассмотрение представителем Палаты представителей Джоном Кавано и 11 другими конгрессменами 30 июня 1977 года. Законопроект явился результатом рисков для конфиденциальности, связанных с расширением обслуживания и доступа к информации о клиентах в финансовых учреждениях.

Федеральные суды не отреагировали на необходимость защиты финансовой конфиденциальности так же, как Конгресс, и последовавшие за этим дела привели к многочисленным ударам по конфиденциальности потребителей.Например, в California Bankers Association против Schultz , Верховный суд США постановил, что Конституция не защищает конфиденциальность личной информации в записях, которые ведутся бизнесом и правительством. Он отклонил возражение Американского союза гражданских свобод и Ассоциации банкиров Калифорнии против Закона о банковской тайне 1970 года, который требует, чтобы финансовые учреждения делали и сохраняли микрофильмы всех чеков на определенную сумму в долларах. 31 U.S.C.§ 5311-5330. На самом деле большинство банков заполняли все чеки на микрофильме, потому что это было проще с административной точки зрения. Верховный суд поддержал Закон против аргументов о том, что он нарушает защищенную конституцией неприкосновенность частной жизни, поскольку поддержание таких финансовых операций обеспечивает «виртуальную текущую биографию отдельных клиентов».

В тот же день в 1976 году Верховный суд вынес решение по двум важным делам, что побудило Конгресс ответить через RFPA. В США v.Miller , Верховный суд постановил, что клиент банка не имеет юридически признанных ожиданий конфиденциальности в записях счетов, которые ведет банк. Интересно, что этот случай возник в результате подозрения в уклонении от уплаты налогов человеком, занимающимся производством спирта. В 1972 году заместитель шерифа ответил на наводку информатора и остановил грузовик, которым управляли двое предполагаемых сообщников ответчика (Миллера). В грузовике находились винокурня и сырье для перегонки виски.Спустя месяц на складе, арендованном Миллером, вспыхнул пожар, в ходе которого пожарные обнаружили винокурню емкостью 7500 галлонов, 175 галлонов не облагаемого налогом виски и сопутствующие принадлежности. Подозревая уклонение от уплаты налогов, Управление по алкоголю, табаку и огнестрельному оружию Министерства финансов запросило информацию о счете Миллера в его банке, который передал эту информацию без уведомления Миллера. Миллер утверждал, что его финансовые отчеты были частными документами, защищенными Четвертой поправкой; однако суд не согласился с этим, посчитав, что у него не было разумных надежд на конфиденциальность.Точно так же в Fisher v. United States , Верховный суд постановил, что физическое лицо не имеет права Пятой поправки опротестовать приказ своему поверенному предоставить отчеты о его личных финансовых делах, если записи были сделаны бухгалтером этого лица. Суд пришел к выводу, что, когда записи создаются или поддерживаются в ходе обычных деловых отношений лицом, не являющимся субъектом этих записей, субъект не рассчитывает на конфиденциальность и, следовательно, не имеет конституционной защиты.

Реакцией на решения Верховного суда стало принятие Конгрессом РФПА, которое, по сути, было направлено на отмену Miller в контексте финансовой отчетности и предоставить физическим лицам возможность жаловаться на ненадлежащее раскрытие информации о них в записях, которые ведутся финансовыми учреждениями.

Первоначально утверждалось, что RFRA преследует три цели:

1. Требовать уведомления клиентов перед раскрытием их записей правительству;
2. Предоставить клиентам возможность оспаривать выпуск своих записей перед правительством; и
3. Требовать от государственных органов ведения контрольного журнала, документирующего раскрытие информации о клиентах правительству, а также любую межведомственную передачу информации.

Положения РФПА

RFPA гласит, что «ни один государственный орган не может иметь доступ или получать копии или информацию, содержащуюся в финансовых отчетах любого клиента от финансового учреждения, если финансовые отчеты не имеют разумного описания» и

1. клиент разрешает доступ;
2. имеется соответствующая административная повестка или повестка;
3. имеется ордер на квалифицированный обыск;
4. имеется соответствующая судебная повестка; или
5. имеется соответствующий письменный запрос от уполномоченного государственного органа.

Закон требует, чтобы запрашивающее федеральное правительственное учреждение заранее уведомляло клиента о запрашиваемом раскрытии информации от финансового учреждения, тем самым давая клиенту возможность оспорить доступ правительства к записям до того, как раскрытие информации произойдет. Государственное учреждение должно вручить клиенту копию своего запроса или заказа или отправить копию клиенту по почте в дату или до даты, когда оно вручит заказ или доставит или отправит запрос по почте в финансовое учреждение, ведущее записи.Затем у клиента есть 10 дней с даты оказания услуг или 14 дней с даты отправки по почте, чтобы оспорить запрошенное раскрытие.

Закон регулирует раскрытие информации только федеральному правительству, его должностным лицам, агентам, агентствам и департаментам. Он не управляет частным бизнесом, властями штата или местного самоуправления. Кроме того, закон определяет, какие финансовые учреждения подпадают под требования закона. RFPA определяет «финансовое учреждение» как любое отделение эмитента карты, определенное в разделе 103 Закона о защите потребительских кредитов, который, в свою очередь, определяет термин «эмитент карты» как практически любое лицо, выпускающее кредитную карту.См. 15. U.S.C. §1602 (п). Это определение охватывает традиционных эмитентов банковских кредитных карт, но это определение также включает розничных торговцев и других продавцов (например, бензиновые компании), которые выпускают свои собственные кредитные карты, даже если эти организации обычно не воспринимаются как «финансовые учреждения». Например, определение было расширено, начиная с июля 2002 г., и теперь включает многие организации, которые большинство людей не считает «финансовыми учреждениями», такие как

• Депозитарное учреждение (банки, сберегательные кассы, кредитные союзы)
• Денежный бизнес
• Эмитенты, продавцы и выкупщики денежных переводов
• Эмитенты, продавцы и погашатели дорожных чеков
• U.S. Почтовая служба
• Ценные бумаги и фьючерсы
• Торговцы с комиссией по фьючерсам
• Советник по торговле сырьевыми товарами
• Казино и карточные клубы

Путаница возникла в связи с тем, включает ли определение эмитентов проездных и развлекательных карт, которые не позволяют клиентам откладывать платеж. Прецедентное право дало неоднозначные результаты по этому вопросу.

Также важно отметить, что в рамках RFPA клиентами являются физические лица или партнерства из 5 или менее человек.Корпорации, трасты, поместья, некорпоративные ассоциации, такие как союзы, и крупные товарищества не подпадают под действие RFPA. Следовательно, доступность защиты RFPA зависит от типа физического или юридического лица, записи которого запрашиваются.

Большая часть оппозиции RFPA была со стороны федеральных правоохранительных органов, которые обеспокоены тем, что предлагаемые меры защиты частной жизни помешают федеральным властям в их расследовании и судебном преследовании служащих и организованной преступности.Однако RFPA позволяет раскрывать финансовую информацию на основе гораздо более слабых данных, чем требование Четвертой поправки о вероятной причине. Закон был ослаблен в конце 1980-х, чтобы разрешить отсрочку уведомления клиентов банка о расследованиях, связанных с незаконным оборотом наркотиков и шпионажем, а также Патриотическим законом США, разрешающим раскрытие информации, когда терроризм является подозрением.

Исключения из RFPA

Существуют классы исключений, в которых определенные финансовые записи не защищены законом.В этих ситуациях раскрытие информации финансовым учреждением всегда разрешено, и никаких разрешений, повесток в суд или ордера не требуется.

• Класс 1: Раскрытие информации, не идентифицирующее конкретного клиента. Пример: Федеральное ведомство запрашивает записи о планах вознаграждения сотрудников, которые ведутся в национальном банке. См. , Донован против Национального банка Аляски , 696 F.2d 678 (9-й округ, 1983 г.).
• Класс 2: Раскрытие информации в интересах финансовых учреждений, включая совершенствование обеспечительных интересов, государственных займов, гарантий по займам и страхования займов, а также раскрытие информации, имеющей отношение к возможным нарушениям закона. Обратите внимание, что раскрытие информации правоохранительным органам допустимо, но это раскрытие ограничено именем владельца счета и «характером любой предполагаемой незаконной деятельности.» 12 U.S.C. §3403 (с). Пример: федеральное правительственное учреждение требует предоставить финансовую отчетность для подтверждения заявления о банкротстве.
• Класс 3: Раскрытие информации в связи с надзорными расследованиями и разбирательствами. Когда надзорный орган проводит расследование в отношении финансового учреждения, права клиентов не находятся под угрозой, и поэтому такое раскрытие информации допускается в соответствии с Законом. Пример: Комиссия по ценным бумагам и биржам желает расследовать подозрительные бизнес-операции национального банка.
• Класс 4: Раскрытие информации в соответствии с положениями о налоговой конфиденциальности. Пример: IRS может получать информацию от банка о клиенте без вызова или уведомления, поскольку в кодексах внутренних доходов предусмотрены собственные индивидуальные меры защиты конфиденциальности.
• Класс 5: Раскрытие информации в соответствии с другими федеральными законами или правилами, административными или судебными процедурами и законными функциями надзорных органов.Пример: Закон разрешает раскрытие информации государственному учреждению в соответствии с Федеральными правилами гражданского судопроизводства, поскольку гражданский процесс уже включает право на уведомление до раскрытия записей.
• Класс 6: Экстренное раскрытие и раскрытие информации федеральным агентствам, отвечающим за иностранную разведку, контрразведку или другие функции защиты национальной безопасности. Пример: банк может раскрыть записи о клиентах федеральному агентству, если клиент подозревается в террористической деятельности.

RFPA и отчеты о подозрительной деятельности

До 12 лет США §3403 (c), финансовые учреждения и их сотрудники имеют полный иммунитет от гражданской ответственности за сообщение об известных или предполагаемых уголовных преступлениях или подозрительной деятельности путем подачи отчета о подозрительной деятельности (SAR) в Сеть по борьбе с финансовыми преступлениями (FinCEN), входящую в состав Департамент казначейства. Эта система отчетности была разработана в 1992 году, когда Конгресс внес поправки в Закон о банковской тайне, разрешив Министерству финансов принимать требования SAR посредством Закона Аннунцио-Вайли о борьбе с отмыванием денег.Титул XV. П.Л. 102-550, 106 стат. 4044, 4059. По сути, эта поправка дала Министерству финансов право требовать сообщения о любой «подозрительной операции, имеющей отношение к возможному нарушению закона или нормативного акта». 31 U.S.C. § 5318 (g) (1). RFPA содержит большую лазейку, которая предназначена для обеспечения отчетности финансовых учреждений в соответствии с Законом о банковской тайне. 12 U.S.C. § 3413 (d). Хотя RFPA предполагает, что уведомление будет направлено клиентам при передаче финансовых отчетов из одного федерального агентства в другое, уведомление не направляется клиентам, когда FinCEN направляет SAR должностным лицам правоохранительных органов.

Обязанность сообщать личную финансовую информацию в SAR легко запускается. По сути, финансовое учреждение должно подать SAR, если обнаружена какая-либо из следующих сведений:

• Любое инсайдерское злоупотребление финансовым учреждением, связанное с любой суммой;
• Федеральные преступления против или связанные с транзакциями, проводимыми через финансовое учреждение, которое обнаруживает финансовое учреждение и которые требуют не менее 5 000 долларов США, если подозреваемый может быть идентифицирован, или не менее 25 000 долларов США, независимо от того, можно ли установить личность подозреваемого;
• Транзакции на сумму не менее 5000 долларов США, о которых учреждение знает, подозревает или имеет основания подозревать, связаны с получением средств от незаконной деятельности или имеют структуру, направленную на попытку сокрытия этих средств;
• Транзакции на сумму не менее 5000 долларов, о которых учреждение знает, подозревает или имеет основания подозревать, совершаются с целью уклонения от любых положений, установленных в соответствии с Законом о банкротстве; или
• Транзакции на сумму не менее 5000 долларов США, о которых учреждение знает, подозревает или имеет основания подозревать, не имеют коммерческой или очевидной законной цели или не относятся к тому виду, в котором обычно ожидается участие конкретного клиента, и о которых учреждение не знает разумных объяснение после должного расследования.

«Транзакции» включают любой депозит, снятие средств, перевод между счетами, обмен валюты, ссуду, предоставление кредита, покупку или продажу любых акций, облигаций или других инвестиционных ценных бумаг или любые другие платежи через финансовое учреждение.

Отчет о подозрительной деятельности можно просмотреть по адресу http://www.treas.gov/fincen/forms.html#90

Как уже упоминалось, определение «финансовое учреждение» теперь включает многие организации, которые большинство физических лиц не считает финансовыми учреждениями, включая казино и США.S. Почтовая служба. Тем не менее, эти организации обязаны сообщать о любой подозрительной деятельности на сумму не менее 5000 долларов США. Таким образом, игроки, посещающие казино, могут столкнуться с некоторыми трудностями.

Кроме того, каждое лицо, занимающееся торговлей или бизнесом, которое в ходе этой торговли или бизнеса получает более 10 000 долларов наличными в одной транзакции или в двух или более связанных транзакциях, должно подать форму 8300 в FinCEN. 31. U.S.C. §5332. Это очень широкое требование, поэтому многие организации подпадают под действие этого правила.Например, если вы покупаете ювелирные изделия за наличные на сумму более 10 000 долларов, на вас будет оформлен отчет, даже если такая деятельность не вызывает подозрений. Копию формы см. http://www.fincen.gov/reg_bsaforms.html

RFPA и Государственный закон

RFPA не распространяется на запросы на получение информации государственными и местными органами власти. Хотя Закон не содержит явных положений, касающихся его влияния на законодательство штата, история законодательства RFPA указывает на то, что Конгресс намеревался регулировать доступ к записям клиентов только федеральными агентствами и департаментами, не препятствуя штатам регулировать доступ государственных и местных агентств. к таким записям.

Следующие штаты содержат практически те же меры защиты, что и RFPA, применимые к их государственным и местным органам власти: Алабама, Аляска, Коннектикут, Иллинойс, Луизиана, Мэн, Мэриленд, Нью-Гэмпшир, Северная Каролина, Северная Дакота, Оклахома, Орегон, Юта, и Вермонт. И Флорида, и Массачусетс обеспечивают дополнительную защиту клиентов для систем финансовых электронных переводов (Fla. Stat. Ann § 659.062; Mass. Gen. Laws Ann. Ch. 167B, §7-16), в то время как Миннесота требует ежеквартального раскрытия всей информации о счете для местным властям в отношении любого родителя, не являющегося опекуном, который должен выплатить алименты.Миннесота Стат. Аня. § 13B.06. Однако в Калифорнии просто предусмотрено, что клиент банка имеет право на уведомление за десять дней до того, как следователь штата сможет получить финансовые отчеты клиента. Cal. Govt. Кодекс § 7460.

Соответствующие дела

• США против Миллера , 425 U.S. 435 (1976): Верховный суд установил, что клиенты банков не имели законного права на неприкосновенность частной жизни в финансовой информации, хранящейся в финансовых учреждениях, что привело к RFPA.
• California Bankers Association v. Schultz , 416 US 21 (1974): Верховный суд США постановил, что Конституция не защищает конфиденциальность личной информации в записях, которые ведутся бизнесом и правительством.
• Фишер против США , 425 U.S. 391 (1976):, Верховный суд постановил, что физическое лицо не имеет права по Пятой поправке опротестовать приказ своему поверенному предоставить отчеты о своих личных финансовых делах, если записи были сделаны бухгалтером этого лица.
• United States v. MacKay , 608 F.2d 830 (10-й округ 1979 г.): RFPA не распространяется на вызовы в IRS.
• Андерсон против Государственного банка Ла Хунта , Приложение для США. LEXIS 12345 (10-й округ 1997 г.): Устное раскрытие информации банком нарушает RFPA.
• США против Уилсона , 571 F. Supp. 1417 (S.D.N.Y. 1983): Суд обсудил материально-правовые стандарты раскрытия информации в соответствии с законом и пояснил, что он предоставляет клиентам банка лишь ограниченное право оспаривать повестки в суд, подаваемые федеральными агентствами в отношении банков и других финансовых учреждений.