С момента введения в действие «Закона о кибербезопасности» в 2017 году китайское законодательство и новые нормативные требования, направленные на защиту личной конфиденциальности, безопасности данных и сетевой безопасности, всегда находились под пристальным вниманием предприятий, занимающихся электронной коммерцией, полагаясь на интернет, большие данные и пользователей сети. 4 июля 2021 года Администрация киберпространства Китая впервые публично запустила процедуру проверки сетевой безопасности на предприятиях и, таким образом, провела проверку нескольких поставщиков услуг онлайн, в том числе ведущую службу вызова такси DiDi Chuxing, и объявило, что DiDi «имеет серьезные проблемы со сбором и использованием частной информации, что нарушает законы и правила». Администрация выпустила наказание в виде блокировки приложения, прекращения регистрации новых пользователей и требования исправления, дав таким образом строгий нормативный сигнал.

Только 10 июня 2021 года постоянный комитет всекитайского собрания народных представителей принял Закон о безопасности данных КНР, который вступит в силу 1 сентября 2021 года, что ознаменовало ускорение законодательного процесса в правовой системе Китая по сетевой информационной безопасности. Хотя в вышеупомянутом исследовании сетевой безопасности против DiDi администрация цитировала Закон о кибербезопасности в качестве правовой основы, вполне предсказуемо, что в подобных случаях в будущем Закон о безопасности данных будет иметь не меньшее значение, чем Закон о кибербезопасности.

 

Юрисдикция

Закон о безопасности данных в основном регулирует всю деятельность по обработке данных на территории Китайской Народной Республики, включая сбор, хранение, использование, обработку, передачу, предоставление и раскрытие данных. Если действия по обработке данных могут нанести ущерб национальной безопасности, общественным интересам или законным правам и интересам граждан или организаций Китайской Народной Республики, юрисдикция может распространяться на иностранных физических и юридических лиц. Почти все предприятия, использующие интернет, большие данные и личную информацию пользователей для работы, будут затронуты законом.

 

Значимость

Принятие Закона о безопасности данных знаменует собой следующий шаг в структуре системы надзора за безопасностью данных в Китае с момента вступления в силу Закона о кибербезопасности и закладывает основу для создания соответствующих правовых систем. Как специальный закон, Закон о безопасности данных является подзаконным актом Закона о национальной безопасности. Он будет служить основным и руководящим правовым документом и станет правовой основой для разработки ряда последующих законов. В будущем система проверки безопасности данных и трансграничной передачи данных, предусмотренная Законом о безопасности данных, будет связана и дополнена законами и постановлениями, такими как Закон о кибербезопасности (2017 г.), Закон о защите личной информации (ведется обсуждение проекта второго закона) и меры по оценке безопасности передачи личной информации и важных данных за границу (проект).

 

Регулирование операций с данными

Впервые в Законе о безопасности данных указывается, что система торговли данными устанавливается и регулируется государством. Это означает, что впервые в законодательстве была признана законность транзакций данных и поставщиков услуг транзакций данных. В настоящее время под руководством правительства были налажены обмены большими данными в Пекине, Шанхае, Шэньчжэне и т. д. Мы ожидаем, что транзакции с данными станут более регулируемыми, получат более рациональное и глубокое развитие.

 

Ответственный отдел

Закон о безопасности данных расширяет полномочия компетентного департамента, отвечающего за эти вопросы, от департамента сетевой информации до департамента национальной безопасности. Комиссия национальной безопасности создаст механизм координации всех регионов и департаментов в области правоприменения, в то время как департамент национальной сетевой информации будет отвечать за безопасность сетевых данных и связанную с этим нормативную работу для общего планирования и координацию. Как и следовало ожидать, надзор и управление безопасностью данных станут важной частью защиты национальной безопасности Китая. Все предприятия должны укреплять связь с соответствующими компетентными подразделениями, а также своевременно и эффективно совершенствовать управление внутренней системой защиты данных и построение компании.

 

Ожидания в отношении соответствия предприятий

В соответствии с Законом о безопасности данных, лица, осуществляющие деятельность по обработке данных, должны, будь то предприятия или частные лица, выполнять обязательства по защите данных, обязательства по отчетности о безопасности данных и оценке рисков безопасности данных.

Основной Закон о безопасности данных требует, чтобы обработчики данных рассматривали национальную безопасность и общественные интересы как фактор первого уровня при осуществлении деятельности по обработке данных, и чтобы были приняты более строгие меры по управлению и защите Национальных основных данных, которые имеют отношение к национальной безопасности, важным линиям национальной экономики, основным средствам к существованию людей и основным общественным интересам.

Более конкретно, статья 27 закона предусматривает, что обработчики данных должны «создать и усовершенствовать систему управления безопасностью данных на протяжении всего рабочего процесса, организовать и провести обучение и подготовку по вопросам безопасности данных, а также принять соответствующие технические меры и другие необходимые меры для обеспечения безопасности данных.» Между тем, “те, кто обрабатывает важные данные, должны четко указать ответственных сотрудников и органы управления за безопасность данных и полностью выполнять обязанности по защите данных.»

Более того, Закон о безопасности данных ограничивает трансграничную передачу данных для иностранной судебной правоохранительной деятельности и требует, чтобы эта деятельность была одобрена соответствующими органами.

По сравнению с Законом о кибербезопасности, который требует, чтобы операторы критически важной информационной инфраструктуры проводили проверку и оценку безопасности при трансграничной передаче данных, Закон о безопасности данных также вводит обязательства по проверке и оценке безопасности для общих обработчиков данных в отношении важных основных данных; то есть, если обычные предприятия совершают обработку данных, также необходимо обеспечить соблюдение внутреннего контроля безопасности данных. В соответствии со статьей 31 Закона о безопасности данных, требования к управлению безопасностью данных будут соответствовать законам и нормативным актам, отдельно предусмотренным компетентными органами. Такие вспомогательные законы и нормативные акты еще не приняты, надзор и требования к соблюдению еще не ужесточены.

 

Обязательства

В соответствии с Законом о безопасности данных, если предприятие не выполнит вышеупомянутые обязательства, такие как обязательства по защите данных, обязательства по отчетности и обязательства по оценке рисков, при нормальных условиях предприятие столкнется с такими обязательствами, как распоряжение об исправлении, предупреждение и штраф от 50 000 до 500 000 юаней. Лицу, непосредственно ответственному за это, может грозить штраф в размере от 10 000 до 100 000 юаней. Если обстоятельства сбоя серьезны, предприятию могут грозить такие обязательства, как приостановление деятельности, отзыв лицензии или бизнес-сертификата, а также штраф от 500 000 до 2 000 000 юаней. Лицу, непосредственно ответственному за это, будет грозить возможный штраф в размере от 50000 до 200 000 юаней.

Между тем, если будут нарушены обязательства, связанные с трансграничной передачей данных, предприятию может грозить штраф в размере до 5 миллионов юаней, а ответственному лицу-штраф в размере до 500 000 юаней; если будут нарушены правила системы управления основными данными государства и будет нанесен ущерб национальному суверенитету, безопасности и интересам развития, предприятию может грозить штраф в размере до 10 миллионов юаней, а ответственному лицу-штраф в размере до 1 миллиона юаней.

Конкретные обстоятельства применения вышеупомянутых обязательств должны быть обнародованы соответствующими административными правилами и мерами отдельно.

 

Заключение

В целом Закон о безопасности данных охватывает прочную и четкую основу национальной безопасности, при этом соответствующие меры по реализации должны быть четко обнародованы в будущем. Тем не менее, для отечественных предприятий важно рассматривать меры по соблюдению требований к данным в качестве одного из ключевых факторов в повестке дня, касающейся дизайна продукции и размещения на рынке. Важной частью должна быть координация с государством для создания системы классификации и защиты данных и создания внутреннего механизма контроля за управлением данными.

Стоит ожидать, что в ближайшее время будет издано несколько вспомогательных административных регламентов, и этот закон вступит в силу 1 сентября 2021 года, включая административные регламенты министерств, а также меры по реализации и нормативные акты местных органов власти. С практической точки зрения Закон о безопасности данных, несомненно, окажет глубокое влияние на функционирование бизнеса и внутреннее управление предприятиями.