Закон о защите личной информации КНР
Закон о защите личной информации КНР (кит. 中华人民共和国个人信息保护法, англ. Personal Information Protection Law of the People's Republic of China, сокр. PIPL) — это законодательный акт Китайской Народной Республики, регулирующий сбор, хранение, обработку, передачу и защиту персональных данных физических лиц. Принят Постоянным комитетом Всекитайского собрания народных представителей 20 августа 2021 года, вступил в силу 1 ноября 2021 года. Закон является одним из ключевых элементов китайской системы регулирования цифровой экономики наряду с Законом о кибербезопасности (2017) и Законом о безопасности данных (2021).
История принятия
Разработка закона началась на фоне стремительного роста цифровой экономики Китая и участившихся случаев утечек персональных данных, а также злоупотреблений со стороны интернет-компаний. Первый проект закона был опубликован для общественного обсуждения в октябре 2020 года. После серии консультаций и внесения поправок, финальная версия была одобрена на 30-й сессии Постоянного комитета ВСНП 13-го созыва.
Принятие PIPL было также обусловлено необходимостью гармонизации китайского законодательства с международными стандартами защиты данных, в частности с Общим регламентом по защите данных (GDPR) Европейского союза, и усилением контроля государства над информационными потоками. Закон заменил собой разрозненные нормы, содержавшиеся в различных подзаконных актах и отраслевых стандартах.
Основные положения
Сфера действия
Закон применяется к обработке персональных данных физических лиц на территории КНР. Кроме того, он имеет экстерриториальный эффект: его нормы распространяются на обработку персональных данных граждан Китая за пределами страны, если такая обработка осуществляется с целью предоставления товаров или услуг лицам, находящимся в КНР, или для оценки поведения таких лиц (например, профилирование, анализ потребительских предпочтений).
Определение персональных данных
Под персональными данными понимается любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Закон выделяет особую категорию — чувствительные персональные данные, к которым относятся:
- биометрические данные;
- данные о состоянии здоровья;
- финансовые данные;
- данные о местонахождении;
- данные о несовершеннолетних в возрасте до 14 лет;
- информация о политических взглядах, религиозных убеждениях, сексуальной ориентации (последняя категория де-факто не применяется в КНР в силу ограничений на распространение такой информации).
Принципы обработки
Обработка персональных данных должна основываться на следующих принципах:
- Законность, справедливость и прозрачность: обработка должна иметь законное основание, быть добросовестной и понятной субъекту данных.
- Минимизация данных: сбор данных должен быть ограничен целями обработки.
- Целевое ограничение: данные могут обрабатываться только для конкретных, явных и законных целей.
- Точность: данные должны быть точными и при необходимости обновляться.
- Ограничение хранения: данные должны храниться не дольше, чем это необходимо для достижения целей обработки.
- Целостность и конфиденциальность: должны быть приняты меры для защиты данных от несанкционированного доступа, утраты или повреждения.
Правовые основания обработки
Обработка персональных данных допускается только при наличии одного из следующих оснований:
- Согласие субъекта данных.
- Необходимость для исполнения договора, стороной которого является субъект данных.
- Выполнение юридической обязанности, возложенной на оператора.
- Защита жизни, здоровья или имущества субъекта данных в чрезвычайных ситуациях.
- Обработка данных, сделанных общедоступными субъектом данных.
- Осуществление государственных функций или публичных интересов в соответствии с законом.
- Иные случаи, предусмотренные законами и административными нормативными актами.
Права субъектов данных
Закон предоставляет физическим лицам следующие права в отношении их персональных данных:
- Право на информацию и доступ: знать, какие данные обрабатываются, и получать к ним доступ.
- Право на исправление: требовать исправления неточных или неполных данных.
- Право на удаление: требовать удаления данных при определенных условиях (например, при отзыве согласия, при достижении цели обработки, при незаконной обработке).
- Право на ограничение обработки: в определенных случаях.
- Право на переносимость данных: при соблюдении технических условий.
- Право на отзыв согласия: в любой момент, без ущерба для законности обработки до момента отзыва.
- Право на возражение: против обработки данных в целях прямого маркетинга или автоматизированного принятия решений.
Обязанности операторов
Оператор (контроллер данных) — лицо, самостоятельно определяющее цели и средства обработки персональных данных. На операторов возлагаются следующие обязанности:
- Разработать и опубликовать политику обработки персональных данных.
- Назначить ответственного за защиту персональных данных.
- Проводить оценку влияния на защиту персональных данных (Data Protection Impact Assessment, DPIA) для операций, представляющих высокий риск.
- Вести журнал учета операций по обработке.
- Уведомлять субъектов данных и регулирующие органы об утечках данных в установленные сроки (в течение 72 часов для уведомления регулятора, незамедлительно для уведомления субъектов).
- Обеспечить меры технической и организационной защиты (шифрование, контроль доступа, резервное копирование и т.д.).
Для операторов, обрабатывающих большие объемы чувствительных данных или данные большого числа лиц, предусмотрены дополнительные требования: создание независимого органа по надзору за защитой данных, регулярные аудиты.
Передача данных за пределы КНР
Одним из наиболее строгих аспектов PIPL является регулирование трансграничной передачи персональных данных. Для передачи данных за пределы Китая оператор должен выполнить одно из следующих условий:
- Пройти процедуру оценки безопасности, организованную Государственным управлением по защите данных (Cyberspace Administration of China, CAC).
- Получить сертификацию по стандарту защиты персональных данных, выданную уполномоченным органом.
- Заключить со сторонами-получателями за рубежом типовой контракт, утвержденный CAC.
- Иные условия, установленные законами и нормативными актами.
Для критически важной информации и данных государственных органов действуют особо строгие ограничения. Передача данных в страны, не обеспечивающие адекватный уровень защиты, может быть запрещена.
Ответственность за нарушения
Закон предусматривает значительные штрафы и санкции за нарушения:
- Для компаний: штраф до 50 миллионов юаней (около 7 миллионов долларов США) или до 5% годового оборота за предыдущий финансовый год.
- Для должностных лиц: штраф от 100 000 до 1 миллиона юаней, а также запрет на занятие определенных должностей на срок до 10 лет.
- Возможна приостановка деятельности, конфискация незаконно полученных доходов, отзыв лицензий.
- В случаях, повлекших тяжкие последствия, может наступать уголовная ответственность.
Сравнение с GDPR
PIPL во многом заимствовал структуру и принципы GDPR, однако имеет существенные отличия:
- Более широкий экстерриториальный эффект: PIPL применяется к обработке данных граждан КНР за рубежом, даже если оператор не имеет присутствия в Китае.
- Более жесткие требования к трансграничной передаче: обязательная оценка безопасности или сертификация, в отличие от GDPR, где достаточно адекватного уровня защиты.
- Отсутствие единого надзорного органа: в Китае функции надзора распределены между CAC, Министерством промышленности и информатизации, Министерством общественной безопасности и другими ведомствами.
- Государственный контроль: PIPL содержит нормы, позволяющие государству получать доступ к данным в интересах национальной безопасности и общественного порядка, что не предусмотрено GDPR.
- Меньший акцент на согласии: согласие является лишь одним из оснований обработки, наряду с государственными функциями и публичными интересами.
Влияние на бизнес
Принятие PIPL существенно повлияло на деятельность как китайских, так и международных компаний, работающих на китайском рынке. Многие компании были вынуждены пересмотреть свои политики обработки данных, внедрить новые технические и организационные меры, а также пересмотреть схемы трансграничной передачи данных. Особенно это коснулось технологических гигантов (Alibaba, Tencent, ByteDance), финансовых учреждений, фармацевтических компаний и платформ электронной коммерции. Некоторые международные компании, например, Meta (организация признана экстремистской и запрещена в РФ), столкнулись с дополнительными сложностями при попытке соблюдения требований PIPL.
Критика и проблемы
Закон подвергается критике по нескольким направлениям:
- Неопределенность формулировок: многие положения сформулированы расплывчато, что создает правовую неопределенность для бизнеса.
- Чрезмерный государственный контроль: нормы о доступе государства к данным и о передаче данных в интересах национальной безопасности могут подрывать доверие пользователей.
- Сложность и дороговизна соблюдения: особенно для малого и среднего бизнеса, а также для иностранных компаний.
- Отсутствие независимого надзора: система регулирования фрагментирована, что затрудняет правоприменение.
- Потенциальное ограничение инноваций: строгие требования к трансграничной передаче данных могут замедлить развитие международных цифровых сервисов и научных исследований.
Источники
- Personal Information Protection Law of the People's Republic of China (2021). Официальный текст на китайском языке.
- Cyberspace Administration of China. Measures for the Assessment of Data Export Security (2022).
- Cyberspace Administration of China. Standard Contract for the Export of Personal Information (2023).
- Общий регламент по защите данных (GDPR) Европейского союза (2016/679).
- Закон Китайской Народной Республики о кибербезопасности (2016).
- Закон Китайской Народной Республики о безопасности данных (2021).
- Аналитические обзоры международных юридических фирм (Baker McKenzie, DLA Piper, Hogan Lovells) за 2021-2023 гг.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →