Закон КНР о безопасности данных

Научно-технический центр провел анализ закона о безопасности данных Китайской Народной Республики.

Закон Китайской Народной Республики о безопасности данных (далее – Закон) был принят 10 июня 2021 года и вступит в силу 1 сентября 2021 года и направлен на регулирование отношений, связанных с обработкой данных. В соответствии с Законом предусмотрено дальнейшее принятие подзаконных актов в целях детализации требований Закона.

В последние годы Китай обращает пристальное внимание на обработку данных. В новом экономическом пятилетнем плане подчеркивается необходимость усиления влияния правительства на данные частных компаний. Кроме названного Закона, обработка данных в Китае также регулируется Законом о кибербезопасности 2017 года, который предусматривает локализацию данных на территории КНР. В настоящий момент, закончились консультации по второму проекту Закона о защите персональных данных, которым будут регулироваться отношения, связанные непосредственно с обработкой персональных данных. Ожидается, что он будет принят к началу 2022 года. В перспективе именно эти три закона образуют систему регулирования отношений, связанных с обработкой различных видов данных в КНР. Принимаются и иные нормативные акты регуляторов, которые значительно влияют на обработку данных в Китае. В частности, 1 мая 2021 года вступили в силу Положения об объеме необходимых персональных данных для распространенных типов мобильных приложений, которыми ограничивается объем обрабатываемых персональных данных в разных типах мобильных приложений. Нормативные акты в этой сфере уже активно применяются. Например, китайский регулятор постановил заблокировать мобильное приложение компании DiDi до приведения обработки персональных данных в соответствие с новыми правилами.

Регулирование сферы обработки данных Китаем направлено прежде всего на установление преимущества Китая как цифрового государства на глобальной арене и на недопущение создания альтернативных центров силы в виде крупных технологических компаний внутри страны. Более того, власти опасаются, что организации могут делиться данными с иностранными компаниями и государствами, что подрывает национальную безопасность Китая. Китай настоящим Законом подчеркивает, что данные, накопленные частными компаниями, следует рассматривать как национальный актив, использование которого осуществляется или ограничивается в соответствии с потребностями государства.

Смысл Закона заключается в создании управляемой государством системы защиты данных посредством установления государственного контроля и доступа к данным. Целями Закона указываются стандартизация обработки данных, обеспечение безопасности данных, содействие разработке и использованию данных, защита законных прав и интересов физических лиц и организаций КНР, а также защита национального суверенитета, безопасности и иных интересов.

Закон применяется к обработке данных на территории материковой части КНР, в том числе иностранными компаниями. Кроме того, Закон распространяется на обработку данных за пределами материковой части КНР, если обработка данных в иностранных государствах наносит ущерб национальной безопасности, общественным интересам или законным правам и интересам граждан или организаций КНР. Термин «данные» трактуется широко и означает любую информацию, записанную в электронной или иной форме. Таким образом, можно охватить наибольшее число видов данных, в том числе большие данные, сырые данные и др.

Закон устанавливает, что государство должно реализовать стратегию в отношении больших данных, в том числе создать инфраструктуру данных, поощрять и поддерживать инновационное применение данных во всех областях. В связи с этим, государство должно создать систему категоризации и классификации защиты данных в соответствии со степенью важности данных для развития государства (Multi-Level Protection System). В соответствии с такой системой налагаются различные требования безопасности в зависимости от ущерба национальной безопасности, общественным и иным интересам, который может быть причинен при нарушениях безопасности данных. В том числе это касается изменения, уничтожения, утечки, незаконного получения или использования данных в непредусмотренных целях. На основе этой системы также должны быть созданы «каталоги важных данных».

Также государство создаст механизм реагирования на чрезвычайные ситуации в области безопасности данных и механизм для проверки безопасности данных. Кроме того, должны быть созданы каталоги открытых государственных данных. В Законе отдельно указано, что при принятии дискриминационных запретов и иных аналогичных мер против КНР иностранными государствами Китай может принять ответные меры в отношении таких государств. В целях национальной безопасности и иных целях может быть предусмотрен экспортный контроль за передачей данных в соответствии с законодательством КНР.

В Законе ключевое место занимают термины «национальные ключевые данные» (national core data) и «важные данные» (important data). Национальные ключевые данные – данные, которые влияют на национальную безопасность, экономику и общественные интересы. Важные данные как понятие не определены в Законе или в других нормативных актах. Поскольку важные данные имеют ключевое значение для Закона, отсутствие определения может создать правовую неопределенность, как и в случае с Законом о кибербезопасности 2017 года, в отношении которого еще не были изданы правила его применения. Однако, как было указано выше, должны быть созданы каталоги важных данных, а также существуют проекты подзаконных актов, в которых определения важных данных вводятся относительно конкретных сфер экономики. Например, 12 мая 2021 года Управление киберпространства Китая (CAC) выпустило на общественное обсуждение Проект Правил управления безопасностью автомобильных данных, в котором излагается объем важных данных для автомобильной промышленности.

Закон устанавливает следующие обязательства частных организаций по защите безопасности данных:

  • Создание системы управления безопасностью данных;
  • Организация и проведение обучения и тренингов по вопросам безопасности данных;
  • Внедрение технических и иных мер, необходимых для обеспечения безопасности данных в соответствии с государственной системой категоризации и классификации защиты данных;
  • Принятие оперативных мер по исправлению и устранению нарушений безопасности данных;
  • Уведомление пользователей и государственных органов при нарушении безопасности данных;
  • Для поставщиков услуг по торговле данными устанавливаются обязательства по предоставлению информации об источниках получения данных, проверке личности сторон сделок, учету всех проводимых трансакций. Также такие поставщики услуг по торговле данными должны получить государственную лицензию на такую деятельность. Однако нет ясности относительно того, кто такую лицензию будет выдавать и какие компании будут считаться такими поставщиками.

В отношении компаний, которые обрабатывают важные данные, вводятся дополнительные обязательства:

  • Назначение ответственного за безопасность данных и/или создание специального отдела для выполнения обязательств по защите безопасности данных;
  • Внедрение эффективного мониторинга рисков по безопасности данных;
  • Периодическое проведение оценки рисков и предоставление отчетов об оценке рисков, которые включают тип и объем обрабатываемых важных данных, обстоятельства обработки данных, возникающие риски безопасности данных и меры по их устранению и т.д.;
  • В отношении безопасности важных данных и данных, собираемых или сгенерированных операторами критической информационной инфраструктуры, которые передаются за пределы материковой части КНР, должны применяться особые меры безопасности (outbound security management) в соответствии с Законом о кибербезопасности. Прежде всего, по-видимому, речь идет о предусмотренной Законом о кибербезопаности локализации данных, собранных и сгенерированных в КНР, а также об обязательном проведении оценки безопасности перед передачей данных за границу. Важные данные должны будут храниться на серверах на материковой части КНР. Иностранные компании должны будут арендовать ЦОДы или иным образом хранить данные на территории КНР.

Закон прямо запрещает предоставление данных, хранящихся в Китае, правоохранительным органам или судебным органам за пределами Китая без предварительного разрешения правительства Китая. В соответствии с законодательными требованиями большинства государств компании обязаны передавать данные в соответствии с официальными мотивированными запросами государственных органов. Требование китайского Закона окажет значительное влияние на такую трансграничную передачу данных государственным органам других стран, так как потребуется предварительное одобрение китайских органов.

Кроме того, нет ясности относительно того, каким образом можно передавать важные данные в рамках одной группы компаний. Исходя из буквального толкования Закона ограничения по трансграничной передаче важных данных могут повлиять и на такие передачи внутри группы юридических лиц.

Закон устанавливает достаточно строгие наказания для организаций, нарушающих его положения. В соответствии с Законом для организаций предусмотрены следующие виды юридической ответственности:

  • Предписания об исправлении нарушений и предупреждения;
  • Штрафы для организаций за нарушение положений Закона в размере до 500 тыс. юаней (прибл. 6 млн руб.) и для руководителей организации или ответственных за безопасность данных – в размере до 100 тыс. юаней (прибл. 1 млн руб.);
  • При повторных или серьезных нарушениях, таких как утечки данных, организации могут быть оштрафованы на сумму до 2 млн юаней (прибл. 23 млн руб.);
  • При наличии угрозы национальной безопасности штраф в размере до 10 млн юаней (прибл. 115 млн руб.);
  • При передаче важных данных за границу материковой части КНР с нарушениями Закона может быть наложен штраф в размере до 1 млн юаней (прибл. 12 млн руб.), а также возможно приостановление деятельности организации или отзыв соответствующей лицензии на осуществление деятельности. При этом, на руководителей организации или ответственных за безопасность данных может быть наложен на сумму до 1 млн юаней (прибл. 12 млн руб.);
  • За отказ сотрудничать с китайскими властями в запросах на предоставление данных, а также за предоставление данных иностранным судебным или правоохранительным органам без разрешения соответствующих китайских властей возможен штраф в размере до 500 тыс. юаней (прибл. 6 млн руб.). При этом, руководители организации или ответственные за безопасность данных могут быть оштрафованы на сумму до 100 тыс. юаней (прибл. 1 млн руб.).

Этот Закон может оказать значительное влияние на практики обработки данных китайских компаний и иностранных компаний, обрабатывающих данные из Китая. Несмотря на то что в дальнейшем должны быть изданы подзаконные акты, разъясняющие применение Закона, в настоящий момент нет ясности в отношении многих его положений. В частности, это касается отсутствия определения ключевого понятия Закона – важных данных, а также разъяснений относительно связи настоящего Закона с планируемым к принятию Законом о защите персональных данных и его сферой действия. Нет объяснений и относительно того, каким образом можно будет передавать данные из Китая в рамках одной компании или группы компаний. Законом установлены строгие наказания за его нарушение, в том числе высокие штрафы для организаций и руководителей, а также приостановление деятельности компаний на территории Китая.

Посредством введения требования хранения всех данных, собираемых и сгенерированных в Китае, а также широкого доступа государственных органов КНР к данным частных компаний, может быть создана основа для последующей национализации всех данных. Такие изменения законодательства в Китае могут послужить примером для других стран, которые не захотят потерять конкурентное преимущество в цифровом развитии.

Поделиться