Закон о безопасности данных КНР
Закон о безопасности данных КНР — это нормативный правовой акт Китайской Народной Республики, регулирующий сбор, хранение, обработку, передачу и защиту данных, направленный на обеспечение национальной безопасности, общественных интересов и законных прав граждан. Закон был принят Постоянным комитетом Всекитайского собрания народных представителей 10 июня 2021 года и вступил в силу 1 сентября 2021 года. Он является частью более широкой китайской правовой системы в сфере информационной безопасности, наряду с Законом о кибербезопасности (2017) и Законом о защите персональной информации (2021).
История и предпосылки принятия
Разработка Закона о безопасности данных КНР началась в конце 2010-х годов на фоне стремительного роста цифровой экономики, увеличения объёмов обрабатываемых данных и усиления геополитической напряжённости в сфере технологий. Китайское правительство стремилось создать единую правовую базу для регулирования всех типов данных, включая персональные, коммерческие, государственные и трансграничные потоки. Предшествующий Закон о кибербезопасности (2017) в основном касался сетевой инфраструктуры и защиты персональных данных, но не охватывал все аспекты обработки данных, особенно в контексте национальной безопасности.
Проект закона был опубликован для общественного обсуждения в 2020 году и вызвал широкий резонанс как внутри Китая, так и за рубежом. Основные опасения международного сообщества касались требований к локализации данных и механизмов государственного контроля. После доработок закон был окончательно принят в июне 2021 года.
Основные положения закона
Закон определяет данные как любую информацию, записанную в электронной или иной форме. Он устанавливает классификацию данных по уровню важности для национальной безопасности и общественных интересов, вводя категории «обычные», «важные» и «критические» данные. Критерии отнесения данных к той или иной категории определяются подзаконными актами, в частности, Положением о безопасности данных (2022).
Классификация данных
- Обычные данные — информация, не представляющая угрозы для национальной безопасности или общественных интересов (например, личные записи пользователей, коммерческая статистика).
- Важные данные — данные, утечка или неправомерное использование которых может нанести ущерб национальной безопасности, экономике, общественному порядку или здоровью населения (например, данные о транспортной инфраструктуре, энергоснабжении, финансовых потоках).
- Критические данные — информация, связанная с государственной тайной, обороной, ядерной энергетикой, космической деятельностью и другими стратегическими отраслями. Обработка таких данных подлежит особо строгому регулированию.
Обязанности операторов данных
- Система защиты данных: операторы (юридические и физические лица, обрабатывающие данные) обязаны разрабатывать и внедрять системы управления безопасностью данных, включая политики, процедуры и технические меры.
- Оценка воздействия на безопасность: для обработки важных и критических данных требуется проведение предварительной оценки рисков и получение разрешения от уполномоченных органов.
- Уведомление об инцидентах: в случае утечки, потери или несанкционированного доступа к данным операторы обязаны немедленно уведомить об этом государственные органы и пострадавших лиц.
Трансграничная передача данных
Одно из ключевых положений закона — требование локализации данных. Операторы, обрабатывающие важные или критические данные, обязаны хранить их на территории КНР. Для передачи таких данных за границу необходимо пройти процедуру оценки безопасности, проводимую специальным комитетом. Исключения возможны только для случаев, когда передача требуется для международного сотрудничества или выполнения контрактных обязательств, при условии получения соответствующего разрешения.
Государственный контроль и санкции
Закон предоставляет государственным органам широкие полномочия по мониторингу и проверке соблюдения требований безопасности данных. Нарушение закона влечёт за собой административные штрафы (до 5% от годового оборота компании), приостановление деятельности, конфискацию незаконно полученных доходов и, в серьёзных случаях, уголовную ответственность для должностных лиц. Для иностранных компаний, нарушивших закон, могут быть введены ограничения на ведение бизнеса в Китае.
Влияние на международные отношения
Закон о безопасности данных КНР вызвал обеспокоенность у иностранных компаний и правительств, особенно в США, Европейском союзе и Японии. Основные претензии касаются:
- Неопределённости критериев: понятия «важные данные» и «критические данные» остаются расплывчатыми, что создаёт риски для бизнеса.
- Требований к локализации: иностранные компании вынуждены создавать локальную инфраструктуру хранения данных, что увеличивает издержки.
- Государственного доступа: закон позволяет китайским властям запрашивать данные у операторов без судебного решения, что противоречит стандартам защиты данных в других странах (например, GDPR).
В ответ на принятие закона ряд стран ввели или ужесточили собственные требования к трансграничной передаче данных, что усилило фрагментацию глобального цифрового пространства. Китай, в свою очередь, продвигает собственную инициативу «Глобальная инициатива по безопасности данных» (2021), предлагая международные принципы управления данными.
Критика и правоприменительная практика
Критики закона отмечают его чрезмерную направленность на государственный контроль и недостаточную защиту прав граждан. Правозащитные организации, в том числе Amnesty International (организация признана нежелательной в РФ), указывают на возможность использования закона для подавления политического инакомыслия, поскольку под определение «важных данных» могут подпадать сведения о протестах или критике властей. Однако китайские официальные лица подчёркивают, что закон направлен исключительно на противодействие киберпреступности и защиту национального суверенитета.
Практика применения закона с 2021 года включает несколько громких дел:
- В 2022 году китайские регуляторы оштрафовали крупную технологическую компанию Didi Global на 8,026 млрд юаней (около 1,2 млрд долларов США) за нарушение требований к безопасности данных, включая незаконный сбор персональных данных пользователей и передачу их за границу без оценки.
- В 2023 году были заблокированы несколько международных сервисов облачных вычислений за несоблюдение требований локализации данных.
Сравнение с другими правовыми режимами
Закон о безопасности данных КНР часто сравнивают с Общим регламентом по защите данных (GDPR) Европейского союза и Законом о конфиденциальности потребителей Калифорнии (CCPA) в США. Основные различия:
- Цель: GDPR фокусируется на защите прав субъектов данных, тогда как китайский закон ставит во главу угла национальную безопасность.
- Сфера действия: китайский закон охватывает все типы данных, включая государственные, в то время как GDPR регулирует только персональные данные.
- Санкции: максимальный штраф по GDPR — 4% от годового оборота, по китайскому закону — до 5% или полная конфискация доходов.
Перспективы развития
Ожидается, что в ближайшие годы Китай продолжит совершенствовать правовую базу в сфере данных. В 2023 году были приняты дополнительные подзаконные акты, уточняющие процедуры оценки безопасности трансграничной передачи данных и классификации важных данных. Также обсуждается возможность введения единого реестра операторов данных и усиления ответственности за нарушения. В международном контексте Китай активно продвигает свои стандарты через инициативу «Пояс и путь» и двусторонние соглашения, что может привести к дальнейшей регионализации правил управления данными.
Источники
- Закон Китайской Народной Республики о безопасности данных (принят 10 июня 2021 г., вступил в силу 1 сентября 2021 г.).
- Положение о безопасности данных КНР (2022 г.).
- Официальные разъяснения Государственного управления по защите данных КНР (2021–2023 гг.).
- Доклады международных организаций: «China’s Data Security Law: Implications for Global Business» (2022), «The Data Security Law and Its Impact on International Data Transfers» (2023).
- Публикации Министерства иностранных дел КНР по Глобальной инициативе по безопасности данных (2021).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →