Anwendbar ist der DSA auf alle Vermittlungsdienste, die ihre Dienstleistungen in der EU anbieten. Davon ausgenommen sind Klein- und Kleinstunternehmen. Es gilt analog zur DSGVO, die extraterritoriale Wirkung, weshalb somit auch Schweizer Online-Vermittlungsdienste, die ihre Dienstleistungen in Europa anbieten, grundsätzlich ab Inkrafttreten der Verordnung unter den DSA fallen. Nachfolgend wird zwischen vier Kategorien von Online-Intermediären unterschieden, wobei gilt, je höher die Kategorie, desto umfassender die Pflichten gemäss DSA.

Kategorie 1: Alle Vermittlungsdienste / Online-Intermediäre

• Pflicht, gegen illegale Inhalte vorzugehen und/oder Pflicht zur Herausgabe von Informationen, falls verfügt (keine Überwachungspflicht der Vermittlungsdienste / Online-Intermediäre);
• Einrichtung einer zentralen Kontaktstelle (single–point-of–contact) in der EU;
• Ernennung eines Rechtsvertreters, falls keine Niederlassung in der EU;
• Transparenzpflichten in den allgemeinen Geschäftsbedingungen;
• Mindestens jährliche Berichterstattung an den Koordinator für digitale Dienste des EU-Mitgliedstaates über Moderation von Inhalten.

Kategorie 2: Nur Hosting-Provider (inkl. Online-Plattformen)

• Alle Pflichten aus Kategorie 1 und zusätzlich:
• Pflichten zu Melde- und Abhilfeverfahren;
• Mitteilung der Gründe für Entfernung von Inhalten oder Zugangssperren;
• Veröffentlichung von anonymisierten Entscheiden.

Kategorie 3: Nur Online-Plattformen

• Alle Pflichten aus Kategorie 1 + 2 und zusätzlich:
• Beschwerde- und Rechtsbehelfsmechanismus sowie aussergerichtliche Streitbeilegung;
• Priorisierung von Meldungen von sog. „vertrauenswürdigen Hinweisgebern“;
• Massnahmen gegen missbräuchliche Meldungen sowie Gegendarstellungen;
• Sicherheitsüberprüfung von Drittanbietern;
• Transparenz von Online-Werbung gegenüber Nutzerinnen;
• Meldung von Straftaten.

Kategorie 4: Nur sehr grosse Online-Plattformen (mehr als 45 Mio. User/Monat)

• Alle Pflichten aus Kategorie 1, 2 + 3 und zusätzlich:
• Risikomanagement-Pflichten und Ernennung eines Compliance-Beauftragten;
• Jährliche externe Risikoprüfungen und öffentliche Rechenschaftspflicht;
• Transparenz der Empfehlungssysteme und Wahlmöglichkeiten für Nutzerinnen beim Zugriff auf Information;
• Datenaustausch mit Behörden aus der Forschung.

Bei Verletzungen drohen den Unternehmen empfindliche Geldbussen von bis zu 6% der Jahreseinnahmen oder des Jahresumsatzes. Zudem können Geldstrafen für fortgesetzte Verstösse in Höhe von bis zu 5% des durchschnittlichen Tagesumsatzes verhängt werden.

Besteht nun Handlungsbedarf für Ihr Unternehmen?

Zwar wird die Verordnung voraussichtlich erst 2023 in Kraft treten, wir empfehlen Ihnen jedoch, frühzeitig die kommenden Entwicklungen zum DSA zu verfolgen und insbesondere schon vorab abzuklären, ob Ihr Unternehmen unter den DSA fallen wird.

Haben Sie weitere Fragen? Das HütteLAW-Team berät Sie gerne.

Author: Stephanie Kaiser

This content appears as a courtesy of HütteLAW, a proud member of the China Collaborative Group (CCG Association). It is informational in nature and does not constitute legal advice or establish an attorney-client relationship between you and its author, publisher or any member of CCG. For more information, please visit www.huettelaw.ch.

The post Der neue Digital Services Act appeared first on China Collaborative Group.

Personal Information Protection Law (‘PIPL’), effective from 1 November 2021, regulates those collecting and handling personal information. For companies processing employee data, a robust data security system should be integrated into the IT infrastructure and in line with PIPL.

Whilst PIPL largely affects companies handling consumer data, employers are not immune from PIPL and should be fully compliant to mitigate risks. Specifically, the Civil Code of the People’s Republic of China amended in 2020 defines personal information as the below.

‘Personal information refers to any information electronically or otherwise recorded that can be used, either alone or in combination with other information, to identify a specific natural person, including the name, date of birth, identification document number, bio-metric information, address, telephone number, email address, health information or whereabouts of the natural person.’ (Article 1032)

Therefore, employers should strengthen internal employee data management systems to secure employees’ data. At Horizons, we have been advising companies in formulating compliance mechanisms. In the below, we outline the main dos and don’ts of processing employee data from our experience.

Do implement a classification management

Companies should review the existing personal information of employees and classify the information according to the level of sensitivity. Under PIPL, employers are not required to obtain employees’ consent where it is necessary for carrying out human resources management under an employment policy legally established or collective legally concluded (Art. 13). However, separate consent is required for the handling of information that is not included in employment policies or labour contracts. Namely, companies processing sensitive information that is not included in human resources management (including religious beliefs, biometrics, specific identities, medical and health and financial accounts, whereabouts, and other information of a natural person) will need to obtain a separate consent and sensitive personal information are subject to stricter measures.

We suggest companies utilise a classification system on the personal information held and establish robust policies to process the data according to PIPL.

Don’t overlook technical security measures

Companies should have already established cyber security measures under the Cyber Security Law (‘CSL’) effective from 2017. Specifically, the network system should be protected from cyber-attacks and leakage. Regularly reviewing the IT system and updating equipment and software are essential for companies to be safeguarded from new forms of cyber-attacks.

Equally, contracting the processing of personal information to third parties can be vulnerable areas. We advise companies to review related contracts/agreements to ensure third parties do not infringe on personal privacy rights. If necessary, clauses should be redrawn to comply with PIPL and CSL.

Do assess control and schedule regular training

Where necessary, companies may only transfer personal information outside of mainland China by meeting one of the conditions in Article 38 of PIPL.

• Where a security assessment organized by the national cyberspace authority has been passed under
• Article 40 of this Law;
• Where certification of personal information protection has been given by a professional institution in accordance
• with the regulations of the national cyberspace authority;
• Where a contract in compliance with the standard contract provided by the national cyberspace authority has
• been concluded with the overseas recipient, establishing the rights and obligations of both parties; or
• Where any other condition prescribed by law, administrative regulations, or the national cyberspace authority is
• met.
• Where there is any stipulation on the condition or any other stipulation for the provision of personal information to a recipient outside the territory of the People’s Republic of China in any international treaty or agreement concluded or
• acceded to by the People’s Republic of China, such stipulation may apply.

Though the national cyberspace authority has not issued the aforementioned materials yet, companies must draft a control mechanism and regular training for related personnel-in-charge to ensure international data transfer complies with PIPL and forthcoming regulations.

Don’t neglect incidents emergency response plan

The amended Civil Code addresses the protection of personal information and the right to privacy. Privacy is defined under the Civil Code as the following:

The private life of a natural person is not to be intruded upon, as well as any private space, private activity, or private information of the natural person that he or she does not want to be known by others. [And] no organization or individual may, by means of spying, intrusion, exposure, disclosure, or otherwise, infringe upon another’s right to privacy. (Article 1032)

In other words, employers must protect the employee’s personal information and their right to privacy when handling employees’ data. As a result, companies should not neglect to implement an incident emergency response plan to demonstrate their commitment to protecting personal information. The company may utilise the emergency response plan provisions under CSL as guidelines.

Both the amended Civil Code and PIPL call for employers to strictly regulate the handling of employees’ personal information. Specifically, a comprehensive internal governance system should be established to migrate penalties. Failure to perform obligations under the PIPL can be subject to a fine of CNY 1 million on the violator and any person in charge or another individual directly involved will face fines between CNY 100,000 and CNY 1 million, as well as be suspended from serving as director, supervisor, senior officer, or personal information protection officer of an enterprise for a period of time.

Consequently, severe penalties require employers to act immediately and understand PIPL obligations seriously.

This content appears as a courtesy of Horizons Corporate Advisory, a proud member of the China Collaborative Group (CCG Association). It is informational in nature and does not constitute legal advice or establish an attorney-client relationship between you and its author, publisher or any member of CCG. For more information, please visit www.horizons-advisory.com. 

The post The Dos and Don’ts of Processing Employee Data under Personal Information Protection Law in China appeared first on China Collaborative Group.

Der Digital Services Act (DSA) ist eine neue Verordnung der Europäischen Union, die damit sog. Online-Vermittlungsdienste (Online-Intermediäre) wie Marktplätze oder Social Media Plattformen stärker in die Pflicht nehmen und höhere Transparenz im Internet schaffen will. Durch den DSA soll auch die enorme Marktmacht der grossen amerikanischen Tech-Konzerne  eingeschränkt werden. Der neue Rechtsrahmen für Online-Angebote soll voraussichtlich 2023 in Kraft treten.

Anwendbar ist der DSA auf alle Vermittlungsdienste, die ihre Dienstleistungen in der EU anbieten. Davon ausgenommen sind Klein- und Kleinstunternehmen. Es gilt analog zur DSGVO, die extraterritoriale Wirkung, weshalb somit auch Schweizer Online-Vermittlungsdienste, die ihre Dienstleistungen in Europa anbieten, grundsätzlich ab Inkrafttreten der Verordnung unter den DSA fallen. Nachfolgend wird zwischen vier Kategorien von Online-Intermediären unterschieden, wobei gilt, je höher die Kategorie, desto umfassender die Pflichten gemäss DSA.

Kategorie 1: Alle Vermittlungsdienste / Online-Intermediäre

• Pflicht, gegen illegale Inhalte vorzugehen und/oder Pflicht zur Herausgabe von Informationen, falls verfügt (keine Überwachungspflicht der Vermittlungsdienste / Online-Intermediäre);
• Einrichtung einer zentralen Kontaktstelle (single–point-of–contact) in der EU;
• Ernennung eines Rechtsvertreters, falls keine Niederlassung in der EU;
• Transparenzpflichten in den allgemeinen Geschäftsbedingungen;
• Mindestens jährliche Berichterstattung an den Koordinator für digitale Dienste des EU-Mitgliedstaates über Moderation von Inhalten.

Kategorie 2: Nur Hosting-Provider (inkl. Online-Plattformen)

• Alle Pflichten aus Kategorie 1 und zusätzlich:
• Pflichten zu Melde- und Abhilfeverfahren;
• Mitteilung der Gründe für Entfernung von Inhalten oder Zugangssperren;
• Veröffentlichung von anonymisierten Entscheiden.

Kategorie 3: Nur Online-Plattformen

• Alle Pflichten aus Kategorie 1 + 2 und zusätzlich:
• Beschwerde- und Rechtsbehelfsmechanismus sowie aussergerichtliche Streitbeilegung;
• Priorisierung von Meldungen von sog. „vertrauenswürdigen Hinweisgebern“;
• Massnahmen gegen missbräuchliche Meldungen sowie Gegendarstellungen;
• Sicherheitsüberprüfung von Drittanbietern;
• Transparenz von Online-Werbung gegenüber Nutzerinnen;
• Meldung von Straftaten.

Kategorie 4: Nur sehr grosse Online-Plattformen (mehr als 45 Mio. User/Monat)

• Alle Pflichten aus Kategorie 1, 2 + 3 und zusätzlich:
• Risikomanagement-Pflichten und Ernennung eines Compliance-Beauftragten;
• Jährliche externe Risikoprüfungen und öffentliche Rechenschaftspflicht;
• Transparenz der Empfehlungssysteme und Wahlmöglichkeiten für Nutzerinnen beim Zugriff auf Information;
• Datenaustausch mit Behörden aus der Forschung.

Bei Verletzungen drohen den Unternehmen empfindliche Geldbussen von bis zu 6% der Jahreseinnahmen oder des Jahresumsatzes. Zudem können Geldstrafen für fortgesetzte Verstösse in Höhe von bis zu 5% des durchschnittlichen Tagesumsatzes verhängt werden.

Besteht nun Handlungsbedarf für Ihr Unternehmen?

Zwar wird die Verordnung voraussichtlich erst 2023 in Kraft treten, wir empfehlen Ihnen jedoch, frühzeitig die kommenden Entwicklungen zum DSA zu verfolgen und insbesondere schon vorab abzuklären, ob Ihr Unternehmen unter den DSA fallen wird.

Haben Sie weitere Fragen? Das HütteLAW-Team berät Sie gerne.

Author: Stephanie Kaiser

This content appears as a courtesy of HütteLAW, a proud member of the China Collaborative Group (CCG Association). It is informational in nature and does not constitute legal advice or establish an attorney-client relationship between you and its author, publisher or any member of CCG. For more information, please visit www.huettelaw.ch.

The post The New Digital Services Act appeared first on China Collaborative Group.

Voraussichtlich Mitte/Ende 2022 wird das neue Schweizer Datenschutzgesetz (nDSG) in Kraft treten, welches den aktuellen Erlass aus dem Jahr 1992 ersetzen wird. Dieser ist in Anbetracht der rasanten technologischen Entwicklung ziemlich in die Jahre gekommen, gab es doch bei seiner Inkraftsetzung 1992 weder Google, Facebook noch das iPhone. Das Ziel der Revision ist die Anhebung des Datenschutzrechts auf das Niveau der EU und entsprechend eine Annäherung an die EU-Datenschutzverordnung (DSGVO).

Nachfolgend die wichtigsten Neuerungen gegenüber dem geltendem Recht:

1. Kein Schutz mehr von Daten juristischer Personen

Bis anhin fielen natürliche und juristische Personen unter das Schweizer Datenschutzgesetz (DSG). Neu ist das Schweizer DSG nur noch auf natürliche Personen anwendbar, die Daten von juristischen Personen fallen nicht mehr darunter. Letztere können sich aber weiterhin z.B. auf den Persönlichkeitsschutz nach ZGB berufen.

2. Neue Kategorien von besonders schützenswerten Personendaten

Die Kategorien der besonders schützenswerten Personendaten wurden erweitert. Neu zählen auch Daten über die Zugehörigkeit zu einer Ethnie, genetische Daten und biometrische Daten, die eine natürliche Person eindeutig identifizieren, dazu.

3. Regelung des Profilings

Aktuell ist das „Profiling“ nicht explizit im Gesetz erwähnt. Neu enthält das Datenschutzgesetz eine Legaldefinition von „Profiling“ und „Profiling mit hohem Risiko“. Profiling mit hohem Risiko liegt dann vor, „wenn die automatisierte Bearbeitung von Personendaten und eine Verknüpfung von Daten die Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt.“ Bei Profiling mit hohem Risiko muss eine allenfalls erforderliche Einwilligung der betroffenen Person für die Datenbearbeitung ausdrücklich vorliegen.

4. Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Die beiden Grundsätze des „Datenschutzes durch Technik“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ sind neu im Datenschutzgesetz verankert. Datenschutz durch Technik (Privacy-by-Design) bedeutet, dass vom Verantwortlichen bereits bei der Planung der Verarbeitung von Personendaten angemessene technische und organisatorische Massnahmen getroffen werden müssen, um die Umsetzung von Datenschutzgrundsätzen zu gewährleisten (z.B. Datenminimierung, selektiver Passwortschutz, etc.). Beim Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy-by-Default) geht es darum, dass beispielsweise Apps oder Websites so gestaltet werden, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.

5. Auftragsbearbeiter

Neu darf ein Auftragsbearbeiter von Daten nur mit vorgängiger Genehmigung des Verantwortlichen einen Dritten für die Datenbearbeitung beiziehen. Im aktuellen Datenschutzgesetz ist diese Genehmigung noch nicht erforderlich.

6. Verzeichnis sämtlicher Bearbeitungstätigkeiten

Der Verantwortliche muss neu ein Verzeichnis über sämtliche Bearbeitungstätigkeiten von Daten führen. Wird die Datenbearbeitung an einen Auftragsbearbeiter delegiert, müssen der Verantwortliche und der Auftragsbearbeiter je ein separates Verzeichnis führen.

Folgende Mindestangaben müssen in einem solchen Verzeichnis enthalten sein:

– Identität des Verantwortlichen;

– Bearbeitungszweck;

– eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten;

– die Kategorien der Empfängerinnen und Empfänger;

– wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer;

– wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden);

– falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien, durch die ein geeigneter Datenschutz gewährleistet wird.

Davon ausgenommen sind Unternehmen mit weniger als 250 Mitarbeitenden, deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt.

7. Bekanntgabe von Personendaten ins Ausland

Die Bekanntgabe von Personendaten ins Ausland wird neu formell anders geregelt: der Bundesrat legt verbindlich fest, welche Staaten über einen angemessenen Datenschutzstandard verfügen und folglich wohin der Datenexport erlaubt ist. Bisher hat der EDÖB dies festgelegt, seine Länderliste war jedoch nicht verbindlich. In der Praxis dürfte diese Änderung kaum Auswirkungen haben.

8. Erweiterte Informationspflicht

Die Informationspflicht gegenüber der betroffenen Person wird im nDSG stark ausgebaut. Neu gibt es eine generelle Informationspflicht bei der Beschaffung von Personendaten, bis anhin hat die Pflicht nur die Beschaffung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen betroffen.

Der betroffenen Person sind mindestens folgende Informationen mitzuteilen: Identität und Kontaktdaten des Verantwortlichen, Bearbeitungszweck, Empfänger und Empfängerinnen oder Kategorien von Empfängern und Empfängerinnen, denen Personendaten bekannt gegeben werden, sowie bei Bekanntgabe von Daten ins Ausland zusätzlich der Staat und gegebenenfalls die Garantien für einen geeigneten Datenschutz oder einen allfälligen  Ausnahmetatbestand.

Im neuen Datenschutzgesetz ist nicht geregelt, auf welchem Weg die betroffene Person informiert werden muss. Es gibt also kein gesetzliches Formerfordernis hierfür, aber es ist eine angemessene Form zu wählen. Ob z.B. eine Datenschutzerklärung auf der Website dafür ausreichend ist, wird sich zeigen müssen.

9. Ausbau der Betroffenenrechte

Neben den erweiterten Informationspflichten erhalten Betroffene im nDSG weitere Rechte. So kann zukünftig jede Person vom Verantwortlichen kostenlos die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format verlangen.  Weiter kann Sie auch verlangen, dass ihre Personendaten an einen anderen Verantwortlichen in maschinenlesbarer Form übertragen werden. Dieses Auskunftsrecht kann unter bestimmten Voraussetzungen eingeschränkt werden. Ferner haben Betroffene bei sog. automatisierten Einzelfallentscheidungen (d.h. eine Entscheidung, die ausschliesslich von Computerprogrammen getroffen wurde) ein Widerspruchsrecht. Die Person bekommt die Möglichkeit, ihren Standpunkt darzulegen und kann verlangen, dass die Entscheidung von einer natürlichen Person geprüft wird.

10. Datenschutz-Folgenabschätzung

Vor einer Datenbearbeitung muss neu eine Datenschutz-Folgeabschätzung vom Verantwortlichen vorgenommen werden, wenn eine beabsichtige Datenbearbeitung ein hohes Risiko einer Verletzung der Persönlichkeit oder der Grundrechte der betroffenen Person mit sich bringt. D.h. der Verantwortliche muss insbesondere die geplante Bearbeitung, die entstehenden Risiken sowie geeigneten Massnahmen dagegen darlegen.

11. Meldung von Verletzungen des Datenschutzes

Der Verantwortliche muss neu dem EDÖB bei einer Datenschutzverletzung sobald wie möglich Meldung erstatten, wenn grosse Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person bestehen. Ist es zu ihrem Schutz erforderlich, muss auch die betroffene Person informiert werden. Geschah die Datenschutzverletzung bei einem Auftragsbearbeiter, muss dieser die Verletzung so rasch als möglich dem Verantwortlichen melden.

12. Ausbau der Befugnisse des EDÖB

Der EDÖB hat neu erweiterte Kompetenzen zur Durchsetzung des nDSG. Er kann von Amtes wegen oder auf Anzeige eine Untersuchung einleiten und bei Verstössen gegen Datenschutzvorschriften weitreichende Massnahmen anordnen, wie die Anpassung oder Unterbrechung der Datenbearbeitung oder gar die Datenlöschung.

Ferner stehen den betroffenen Personen zivilrechtliche Rechtsbehelfe zur Durchsetzung ihrer Ansprüche zur Verfügung. Gleichzeitig wurde die Zivilprozessordnung (ZPO) angepasst, welche die entsprechenden Gerichtsverfahren für kostenlos erklärt.

13. Verschärfte Sanktionen

Der Bussenkatalog wurde im nDSG deutlich verschärft. Neu können private Personen, d.h. die fehlbaren Entscheidungsträger, mit einer Busse von bis zu CHF 250’000.- bestraft werden, wenn sie vorsätzlich die Informations- und Auskunfts-, Mitwirkungs- oder Sorgfaltspflichten verletzen. Eventualvorsatz, also die Inkaufnahme der tatsächlich eingetretenen Verletzung, ist bereits ausreichend.

Was ist zu tun?

Bis zum Inkrafttreten des revidierten Schweizer Datenschutzgesetzes empfehlen wir Ihnen die folgenden Schritte:

• Innerhalb des Unternehmens regeln, wer Zugriff auf welche Daten hat und wer zuständig für den Datenschutz ist;
• Mitarbeitende auf die Thematik sensibilisieren und schulen;
• Prozessablauf für die Meldung von Datenschutzverletzungen festlegen;
• Bestehende Datenschutzerklärung prüfen und gegebenenfalls anpassen;
• Verzeichnis über sämtliche Datenbearbeitungen erstellen;
• Verträge mit Auftragsbearbeitern prüfen, allenfalls Einwilligung für eine Unter-Auftragsbearbeitung erteilen;
• Prozess für die Datenschutz-Folgenabschätzung einführen.

Haben Sie weitere Fragen? Das HütteLAW-Team berät Sie gerne.

Author: Stephanie Kaiser

This content appears as a courtesy of HütteLAW, a proud member of the China Collaborative Group (CCG Association). It is informational in nature and does not constitute legal advice or establish an attorney-client relationship between you and its author, publisher or any member of CCG. For more information, please visit www.huettelaw.ch.

The post Are you ready for the new Swiss Federal Act on Data Protection? appeared first on China Collaborative Group.

Over the last 5 years, China’s digital economy has developed and scaled rapidly. Technology companies continue to emerge and innovate platforms and services for consumers by utilising big data generated from online activities. Specifically, algorithms are common practices that enable consumers to make choices, aligned to their likes and dislikes. For example, a machine learning algorithm records the clicks and patterns of each consumer on a shopping platform and uses such data to recommend new products to the consumer. However, unethical practices of algorithm technology, such as differential pricing and manipulative push recommendations, can damage the rights and interests of consumers and hinder fair competition.

The Provisions regulates the utilisation of algorithm technology by requiring technology companies to adopt healthy practices. Namely, algorithm technology under the Provisions refers to information provided to users through synthesis algorithm, personalised push recommendations, sort selection, scheduling decisions, and retrieval filters. We summarise the key obligations for companies using algorithm technology (“Service providers”).

1. Robust management and technical system

Service providers shall establish management and technical system for algorithm technology that includes reviewing scientific and technological ethics, information disclosure and user registration, ensuring data security and personal information protection, preventing telecoms and online fraud, monitoring security assessment, handling emergency responses to security incidents, and publicly disclosing algorithm mechanisms.

2. Allow users to turn off algorithm technology

Users shall be provided with the option to turn off the algorithm technology and the ability to select or delete the tags related to their personal characteristics.

3. Protection of minors

Algorithms shall facilitate information beneficial to the physical and mental health of minors. Recommended content that causes unsafe conduct or induces bad habits such as internet addiction is prohibited.

4. Protection of elderly

Algorithms shall provide safe recommendations to the elderly and consider their needs in areas, such as elderly travel, medical treatment, consumption, and handling administrative affairs.

5. Unreasonable differential pricing prohibited

Consumers shall have the right to fair pricing and rights. Namely, algorithms are prohibited from rendering unreasonable or illegal forms of differential pricing based on consumer behaviour and previous purchases.

Violations can result in fines between 10,000 RMB and 100, 000 RMB, and criminal responsibility can be pursued where the violation constitutes a crime.

Though the Provisions primarily impact technology companies, fast-moving consumer goods (“FMCG”) and health companies should observe such legal obligations in their marketing strategies and advertisement campaigns. Particularly, companies who rely heavily on social media and key opinion influencers to promote FMCG and health products in the China market. Marketing messages should be aligned with the Provisions to ensure content does not damage the rights and interests of consumers – especially with minors or elderly consumers.

This content appears as a courtesy of Horizons Corporate Advisory, a proud member of the China Collaborative Group (CCG Association). It is informational in nature and does not constitute legal advice or establish an attorney-client relationship between you and its author, publisher or any member of CCG. For more information, please visit www.horizons-advisory.com. 

The post China issues algorithm provisions to protect online consumers and prohibit unfair competition behaviour appeared first on China Collaborative Group.

DPB-the highlights

As stated, the DPB comprehensively incorporates most of the governing norms on data protection.

Comprehensive Incorporation of Core Principles on Data Protection

There are several internationally recognised core norms for data protection. These include Fair and lawful processing of personal information, Purpose specification, Minimality, quality, Openness and transparency, Data subject participation, Sensitivity, Security and confidentiality and Accountability.[1]

The DPB mandates data controllers to process information fairly, in a transparent manner and subject to the data subject giving consent.[2] This suffices as lawful processing of personal data under the DPB. Section 19 of the DPB also requires specific treatment for sensitive personal data. The DPB requires purpose specification for the processing of personal data, minimality, quality.[3] Data subject participation is guaranteed under part IV of the DPB which outlines the rights of a data subject. Data security is comprehensively regulated under Part V of the DPB. In all this, it is easy to appreciate how comprehensive the DPB is in embracing the international norms and standard on data protection.

Cross-Border Transfers of Personal Data

The DPB adopts a comprehensive framework for cross-border transfer of personal data.[4] This is a great step towards ensuring data protection in cross-border online transactions. This is because the DPB effectively provides a platform against which cross-border flows of personal data can be regulated. This can be sharply contrasted from the old Electronic Transactions and Cyber Security Act, which did not contain any provisions regulating cross-border flows of personal data in electronic transactions.

The DPB can be commended on many fronts including the condition of making data flows primarily subject to a decision on the adequacy of data protection in the foreign country to which the data will be transferred. [5]  The DPB is progressive in that data transfers can be authorised where the foreign country has a law, binding corporate rules, contractual clauses, code of conduct, or certification mechanism that afford an adequate level of protection.[6] This list is exhaustive enough to ensure sufficient facilitation of cross-border flows. In the absence of an adequate level of protection of any of the foregoing, a data transfer can be authorised under these conditions: if the data subject gives consent; if the processing is necessary for performance or conclusion of contract involving the data subject; and where consent cannot be practicably given, the transfer is nevertheless in the best interest of the data subject and the data subject would not have objected to it had he been asked.[7] These exceptions are broad enough to ensure the pace of international transactions is not unnecessarily hindered.

Data Protection by Design and Default

The DPB is also very progressive in that it accords the Authority with the power to publish directions on good practices and codes of conduct in data protection including the application of data protection principles by design and default in the processing of personal data.[8] Data protection by design is a concept that dictates that in light of progressive data protection regimes, companies must ensure that in their activities they incorporate data protection. Essentially since the companies must comply with data protection they must not wait for breaches before they address data protection but rather from the commencement of any action or process data protection must be incorporate and addressed.

On the other hand, data protection by default entails that for those computer products already released, there must be adherence to the highest standard of privacy to ensure data is kept safe and secure. Further, any data necessary for the operation of the product should only be kept for the minimum possible amount of time. The incorporation of these concepts in the DPB is a remarkable step in ensuring that privacy will be respected as technology gets more sophisticated.

The DPB clearly updates the data protection landscape in Malawi to comparable international standards.  This is indeed a shift in the right direction and will ensure that Malawi takes part in the information age. In my next article I shall explore some of the weaknesses in the DPB that may yet be improved to ensure comprehensive legislation is enacted.

Author: Gonjetso Dikiya LLB(Hons) University of Malawi; LLM candidate in Information and Communications Law, University of the Witwatersrand.

Head of Legal Services- Dispute Settlement Services

This content appears as a courtesy of Ritz Attorneys at Law, a proud member of the China Collaborative Group (CCG Association). It is informational in nature and does not constitute legal advice or establish an attorney-client relationship between you and its author, publisher or any member of CCG. For more information, please visit https://ritzattorneys.com/.

[1] Roos Anneliese ‘Core Principles of Data Protection’ 2006 CILSA 102-130.

[2] S. 18 of the DPB

[3] S. 23 of the DPB.

[4] Part VI of the DPB.

[5] S. 34(1)(a) of the DPB.

[6] S. 34(1)(a) of the DPB.

[7] S 36 of the DPB.

[8] S. 13 of the DPB

The post Insights into Personal Data Protection Bill appeared first on China Collaborative Group.

The Personal Information Protection Law of the People’s Republic (“PIPL”) takes effect from 1 November 2021. Companies engaged in processing the personal information of individuals located in China are obliged to implement necessary measures.

Below, we highlight the mandatory requirements for foreign companies under the PIPL:

1. User Consent

Under PIPL, companies may only collect personal information when the individual’s consent is obtained. The consent shall be voluntary and the individual shall be explicitly informed. Individuals can request how their personal information is collected, stored, and require such information to be corrected and deleted.

Companies processing personal information (‘the processors’) are obliged to allow the individual to decline. When users withdraw their consent, the processors shall halt the collection or promptly delete the collected personal information.

Companies outside of China are not exempted from PIPL. Any company outside of China and processing the personal information data of individuals in China can be subject to PIPL. Specifically, PIPL outlines the following circumstances for companies outside of China:

• Where the purpose of the activity is to provide a product or service to an individual located within China;
• Where the purpose of the activity is to analyze or assess the behavior of an individual within China; or
• Any other circumstance as provided by law or administrative regulations.

Practically, companies outside of China should conduct a risk assessment of their personal information database.

2. Equal treatment for consumers

PIPL forbids companies from utilising automated decision-making functions to increase online sales. A company cannot implement unreasonable differential treatment of individuals – such as prices or terms. In other words, special discounts for new customers cannot be utilised, without reasonable grounds. Individuals shall also have the option to withdraw from any push marketing based on automated decision-making.

3. Stricter stance to sensitive personal information

The PIPL classifies the following as sensitive personal information and companies may only process such data for a specified purpose.

• Religious beliefs;
• Biometrics;
• Specific identities, medical and health;
• Financial accounts, whereabouts and other information of a natural person;
• Personal information of minors under the age of fourteen

Companies shall adopt strict measures to protect such data and inform the individual of the necessity and the impact on their rights and interests. For personal information of a minor under the age of fourteen, processors shall obtain the consent of a parent or guardian of the minor.

The stricter stance towards data collection of sensitive personal information significantly affects human resources and educators (minors under the age of fourteen). We advise such departments to align data management policies under the PIPL provisions, without any further delay.

4. Cross-border data transfers

Under PIPL, companies may only transfer personal information outside of mainland China by meeting one of the following conditions:

• Where a security assessment organised by the national cyberspace authority has been passed;
• Where a certification of personal information protection has been provided by a professional institution, under the regulations of the national cyberspace authority;
• Where a contract in compliance with the standard contract provided by the national cyberspace authority has been concluded with the overseas recipient, establishing the rights and obligations of both parties; or
• Where any other condition prescribed by law, administrative regulations, or the national cyberspace authority are met.

For companies, especially multinationals working with the personal information of employees and suppliers located in China, implementing the provisions to transfer personal information is essential to avoid penalties.

PIPL shall significantly affect businesses processing the personal information of individuals located in mainland China. Particularly, PIPL stipulates specific rights of individuals in activities related to the processing of personal information, including the right to access and make copies of the personal information processed.

Violators can face fines up to RMB 50 million (US$7,74 million), or up to five percent of annual turnover. Violators located outside of mainland China may be included in a blacklist and publicly announced.

Therefore, we recommend companies doing business in or with China to conduct a data mapping assessment including a thorough review to identify which data is collected, stored, process, and employee access to such data. Data management policies should be revised and relevant training provided to employees, so that PIPL is correctly implemented into the company.

This content appears as a courtesy of Horizons Corporate Advisory, a proud member of the China Collaborative Group (CCG Association). It is informational in nature and does not constitute legal advice or establish an attorney-client relationship between you and its author, publisher or any member of CCG. For more information, please visit www.horizons-advisory.com. 

The post Getting prepared for the first Personal Information Protection Law in China appeared first on China Collaborative Group.