Новый Законопроект «О защите персональных данных» — возможен ли баланс в кибериндустрии?

Бум киберэкономики Китая отчасти объясняется тем, что интернет-гиганты обладают колоссальным доступом и могут на безвозмездной основе использовать значительный объем персональных данных граждан. Так, платформа Taobao и другие платформы электронной коммерции используют персональные данные пользователей при формировании популярного раздела рекомендованных товаров, а нашумевшая видео платформа TikTok изначально персонифицирует контент под каждого пользователя анализируя понравившиеся видео. Многие другие компании, чья деятельность связана с Интернет-пространством, в той или иной степени уже воспользовались или продолжают пользоваться преимуществами открытого доступа персональных данных. Последние также активно используются при создании искусственного интеллекта. Согласно некоторым данным, дальнейшее развитие программ в данной области потребует значительного объема вводимых данных, поэтому остается только гадать о каком объеме свободно обращаемых персональных данных идет речь.

Однако волна Интернет-бума уже не так сильна, а тенденция к монополизации экономики Интернет-гигантами становится все более и более явной. Кроме того, Китай непрерывно является объектом международной критики относительно недостаточной защиты персональных данных. Некоторые страны уже ввели запрет на деятельность платформы TikTok в связи с нарушением внутреннего регулирования персональных данных. При всем этом в Китае наблюдается рост приложений, оперирующих в «серой» зоне регулирования защиты персональных данных.

21 октября 2020 года Постоянным Комитетом Всекитайского собрания народных представителей Китая для публичного обсуждения был опубликован Законопроект «О защите персональных данных» (далее по тексту – «Законопроект»).

Следует отметить, что до принятия Законопроекта пока еще далеко, документ должен быть рассмотрен по меньшей мере трижды постоянным комитетом Всекитайского собрания народных представителей. По итогам заседаний содержание Законопроект может претерпеть значительные изменение, поэтому настоящую версию не следует принимать в качестве норм при проведении мероприятий по внутреннему компании. Однако как таковая тенденция к повышению контроля за раскрытием информации о защите персональных данных заслуживает внимания.

С 2012 года китайское законодательство в сфере защиты персональных данных претерпело немало изменений. В 2015 и 2018 годах были приняты первая и вторая редакции Закона «О рекламе», в 2016 году – Закон «О кибербезопасности», в 2017 году – Общие нормы гражданского права, в 2019 году – Закон «Об электронной торговле». В 2020 году был утвержден Закон о принятии первого Гражданского кодекса КНР, который должен вступить в силу в 2021 году. Эволюция законодательного регулирования защиты персональных данных достигла этапа рассмотрению отдельного отраслевого закона.

На этом фоне, появление Законопроекта вселяет надежду на создание разумной системы сдержек и противовесов в сфере деятельности отечественных и зарубежных Интернет-гигантов и «вывести из тени» многие компании.

Обращаясь к объекту регулирования Законопроекта, он во многом опирается на международную практику при определении понятия «персональные данные». Понятие представленное в Законопроекте в значительной степени повторяет понятие «персональной идентифицируемой информации» (далее по тексту – «ПИИ»), предусмотренное международными актами. Кроме того, Законопроект вводит понятие «конфиденциальные персональные данные». Уже сейчас, довольно явно, прослеживается намерение законодателя на расширение пределов защиты персональных данных и усиление контроля в данной сфере, поэтому компаниям, которые в своей деятельности значительно опираются или работают со значительными объемами персональных данных, стоит серьезно задуматься о пересмотре бизнес-модели.

Переходя к юрисдикции будущего закона, то Законопроект применяет характерный для американского законодательства метод «юрисдикции длинной руки». Это значит, что деятельность иностранных организаций по сбору и обработке персональных данных граждан КНР также будет подпадать под требования будущего Закона. Они будут вынуждены создать в Китае специальные подразделения или найти локальных провайдеров, которые будут отвечать за данные задачи. При этом для легального экспорта персональных данных местным компаниям будет необходимо произвести по крайней мере одно из следующих действий: (1) пройти оценку безопасности Национального департамента кибербезопасности и информатизации; (2) получить сертификацию профессиональной организации в соответствии с положениями вышеуказанного департамента; (3) подписать договор с зарубежным получателем и осуществлять надзор за деятельностью получателя в соответствии с установленными стандартами защиты данных. Операторы критической информационной инфраструктуры и обработчики персональных данных, объем обработки которых достигает предела, установленной упомянутым ранее департаментом, должны будут пройти оценку безопасности. В связи с этим, помимо существующего, сравнительно, слабого надзора, операторы, чьи серверы находятся за рубежом, или те, кто осуществляют передачу пользовательских данных иностранным лицам за рубеж, столкнутся с более строгим надзором и дополнительными требованиями к организации процесса сбора, обработки и передачи данных.

Останавливаясь на процедуре обработки информации, в Законопроекте уточняются принципы «индивидуального уведомления» и «прямого согласия». Обработчики данных должны подробно информировать лиц об обработке персональных данных и получать их индивидуальное и явное согласие. Законопроект также устанавливает несколько исключений, но все они носят чрезвычайный или неотложный характер, имеющий социальную и общественную направленность. Обход получение согласия потребителей станет практически невозможным. В сочетании с расширением сферы защиты информации данных факт может затронуть многие компании.

Что касается ответственности, то Законопроект предусматривает наложение штрафов в размере менее 1 000 000 юаней для организаций, и штрафов от 10 000 до 100 000 юаней для основных ответственных лиц. Если незаконное деяние влечет за собой тяжкие последствия, то на организацию может налагаться может налагаться фиксированная сумма штрафа в размере до 50 000 000 юаней, или штраф в размере 5% от годовой выручки компании за прошлый год, а для основных ответственных лицо Законопроект предусматривает возможность наложения фиксированного штрафа в размере от 100 000 до 1 000 000 юаней. В случае повторного нарушения Законопроект предусматривает возможность приостановления деятельности компании, приостановление и отзыв соответствующих лицензий на ведение бизнеса.

При наличии возможности причинения иностранными организациями и физическими лицами вреда национальной безопасности и общественным интересам или ущемления прав и интересов китайских граждан они также могут быть включены в так называемый черный список, доступный общественности, частично или полностью ограничены в деятельности с персональными данными и быть подвергнуты иным карательным мерам. Вышеизложенное существенно увеличивает «стоимость» нарушений и «выгодность» соблюдения регулирования.

Можно предвидеть, что подобная тенденция на повышение защиты персональных данных значительно повлияет на их обращение при проведении деловых операций. А что касается того, станет ли Закон «О защите персональных данных» новой проверкой и приведет ли к балансу интересов в пределах сети Интернет, то это покажет только время. Мы продолжим держать Вас в курсе развития Законопроекта. В случае, если у Вас появились вопросы, специалисты фирмы D’Andrea and Partners Legal Counsel будут рады проконсультировать Вас и оказать правовую поддержку, для этого пишите нам на info@dandreapartners.com.