Постоянный комитет Всекитайского собрания народных представителей КНР недавно опубликовал новые проекты законов, которые существенно повлияют на то, как компании, работающие в Китае или заключающие сделки с китайскими резидентами, могут собирать, обрабатывать и передавать данные. “Закон о безопасности данных” будет регулировать обработку “важных данных”, а “Закон о защите персональных данных” – обработку личной информации граждан.
Заметные изменения в проекте Закона о безопасности данных включают введение иерархической системы классификации данных и дополнительные ограничения на передачу “важных данных” из Китая, особенно изменения могут коснуться компаний, передающих в рамках своей обычной деловой деятельности информацию за рубеж. Такие ограничения потенциально могут повлиять даже на передачу данных между аффилированными юридическими лицами. Новый проект также увеличивает штрафы за нарушение Закона о безопасности данных. Для юридических лиц они будут составлять от 100 000 до 1 млн юаней (от 15 500 до 155 000 долларов США), для физических лиц от 10 000 до 200 000 юаней (от 1550 до 31 000 долларов США). В свою очередь, Закон о защите персональных данных также приготовил немало сюрпризов в части экстерриториального применения и трансграничной передачи информации.
Аналог GDPR
В прошлом в Китае не было всеобъемлющего закона, касающегося персональных данных. Закон о кибербезопасности 2017 года больше сфокусирован на защите информации, связанной с национальной безопасностью. Правительство КНР при помощи нового закона решило обеспечить защиту данных потребителей и создать общий режим защиты личной информации. В качестве модели был избран Общий регламент по защите данных Европейского Союза (GDPR). Как и GDPR, китайский проект достаточно широко трактует понятие персональных данных, а именно “все виды информации, записанные с помощью электронных или других средств, связанных с идентифицированными или идентифицируемыми физическими лицами, исключая информацию после анонимизации” (статья 3).
Проект нацелен на применение не только на территории КНР, но и за ее пределами в отношении данных физических лиц, находящихся, на территории Китая. Как и GDPR, экстерриториальный принцип применяется, если информация обрабатывается в иностранных государствах с целью (1) предоставления продуктов или услуг физическим лицам в Китае или (2) анализа и оценки деятельности людей в Китае. Однако китайская версия потенциально имеет более широкий охват, так как содержит формулировку “если иное требуется законом”. По аналогии с GDPR, зарубежные “обработчики персональных данных” должны создать “специальные учреждения или назначенных представителей” на территории Китая для решения вопросов, связанных с Законом о защите персональных данных, от имени зарубежной организации.
Основные обязательства, предусмотренные проектом, относятся к “обработчикам персональных данных”, которые определяются как “организации или физические лица, которые самостоятельно принимают решения по вопросам обработки личной информации, таким как цель и меры обработки” (статья 72(1)). Этот термин коррелирует с ролью “контролера” по GDPR (статья 4(7) GDPR). Соответственно, компаниям и иностранным инвесторам, ведущим бизнес в Китае, необходимо быть в курсе последних изменений и учитывать все нововведения.
На “обработчиков персональных данных” возлагается приличный объем обязательств: принять целостную программу соблюдения требований защиты персональных данных для защиты персональных данных на протяжении всего жизненного цикла персональных данных, такую как регулярные проверки соблюдения требований, оценка рисков, периодическое обучение сотрудников, учет деятельности по обработке персональных данных, протоколы реагирования на запросы субъектов данных, отчетность о нарушениях данных, меры по исправлению нарушений данных и назначение ответственного за защиту данных лица. Интересно также то, что китайский законодатель предусмотрел для физических лиц право отозвать согласие на обработку персональных данных и корреспондирующую обязанность обработчика предоставить удобный способ отзыва согласия (статья 16). Как эта и другие обязанности будут реализованы, пока непонятно.
Трансграничная передача данных
Согласно 38 статье проекта “обработчик персональных данных” может передавать личную информацию за границу только при соблюдении по крайней мере одного из следующих условий:
- пройти оценку безопасности, проводимую специализированным органом;
- пройти сертификацию;
- заключить соглашение с принимающей иностранной стороной по стандартной форме, разработанной Правительством, чтобы деятельность по обработке персональных данных соответствовала стандарту защиты, предусмотренному законодательством КНР.
- другие условия, предусмотренные законами или административными регламентами.
На наш взгляд, самый простой способ передачи данных за границу – заключение специального соглашения по стандартному образцу. Однако форма соглашения пока не опубликована. На перспективу, обязательства, налагаемые данной формой на экспортеров и импортеров данных, будут иметь решающее значение для продолжения трансграничных потоков данных с участием Китая.
Помимо вышесказанного, экспортеры информации должны будут уведомлять субъектов данных об обстоятельствах передачи, проводить оценку рисков, а также следить за тем, чтобы иностранные получатели не подпадали под действие списка ограничений/запретов на экспорт данных, который может быть объявлен правительством Китая. Можно сделать вывод, что государство намерено не столько полностью взять под контроль трансграничную передачу персональных данных, сколько оставить за собой мощные рычаги влияния
“Важные данные” и национальная безопасность
Законопроект о защите данных предусматривает разделение информации по категориям с присвоением определенного уровня безопасности. Согласно проекту, необходимо разбить данные на уровни потенциального ущерба национальной безопасности, общественным интересам или правам и интересам граждан или организаций, который будет причинен после изменения, уничтожения, утечки или незаконного получения, или использования данных. На основе этой системы должен быть создан “Каталог важных данных”.
Для начала стоит понять, что имеется в виду под “важными данными”? Ответа на этот вопрос, к сожалению, пока нет. В Законе о кибербезопасности 2017 года уже кратко упоминалось, что операторы сети должны классифицировать данные и принимать меры по резервному копированию и шифрованию “важных данных”. Однако ни в новом законопроекте, ни в законе 2017 года не содержится четкого определения “важных данных”. Китайский законодатель не первый раз предпочитает не вносить конкретику там, где она требуется, а действовать ситуативно при помощи подзаконного регулирования. Более того, в законопроекте говорится о создании отдельных каталогов для различных регионов и секторов (статья 20). Пока нет сведений о том, будет ли эта инициатива выведена на общенациональный уровень. Сложно предположить, как в таком случае будет работать система, откуда можно будет получить сведения, не говоря уже о прозрачности регулирования.
Новый проект также предусматривает многоуровневую систему защиты, которая предполагает базовые требования по обеспечению безопасности на протяжении всего процесса использования и обработки данных. Организации, обрабатывающие “важные данные”, должны будут назначить персонал и сформировать органы управления, отвечающий за безопасность данных, а также периодически проводить оценку рисков и представление отчетов об этих оценках соответствующим органам.
Последствия для бизнеса
В случае с “важными данными” ситуация самая неоднозначная, так как непонятно что включает эта категория и на кого законом будут возложены дополнительные обязательства. Одно известно точно – проект дает прямую ссылку на Закон о кибербезопасности, а он предусматривает локализацию информации, собранную и сгенерированную в КНР. То есть “важные данные” должны будут храниться на серверах в Китае. Это в свою очередь может повлечь существенные экономические затраты, например на аренду ЦОДов для иностранных компаний, собирающих любую статистику. Придется несладко компаниям, которые в рамках своей деловой деятельности ежедневно передают данные заграницу. Проект никак не регулирует трансграничную передачу, оставляя этот вопрос на усмотрение Правительства. Возможно, потребуется получать специальное разрешение. Также потенциально могут быть введены ограничения на предоставление определенной информации иностранным правоохранительным и судебным органам.
Что касается Закона о персональных данных, то, также как с GDPR, бизнесу скорее всего придется существенно потратиться на комплаенс, нанять сотрудников или сторонних консультантов, которые будут следить за соблюдением всех требований законодательства. Более того, “обработчики персональных данных” обязаны обеспечить техническую возможность для физических лиц отказаться от обработки. Этот небольшой пункт в законе может обойтись компаниям в миллионы.
В сочетании с Законом о кибербезопасности 2017 года новые законы сформируют три столпа правового режима управления данными и кибербезопасности в Китае. Как и в случае с Законом о кибербезопасности, широта, расплывчатость и сложность новых документов обеспечат властям максимальную свободу в правоприменении.