10 июня 2021 года Постоянный комитет 13-го созыва Всекитайское собрание народных представителей приняло Закон о безопасности данных Китайской Народной Республики («Закон о безопасности данных»), вступающий в силу с 1 сентября 2021 года.

Закон устанавливает всеобъемлющую структуру регулирования обработки и управления данными в соответствии с интересами национального суверенитета, безопасности и развития. Согласно Закону о безопасности данных, определение данных включает в себя любую запись информации в электронной или иной форме. Закон также распространяется на обработку и управление данными, связанными с Китаем, и распространяется на экстерриториальное применение. Поэтому компаниям следует внедрить изменения к предстоящей дате вступления в силу в сентябре.

В компании Horizons мы консультируем клиентов, имеющих коммерческие интересы в Китае, по вопросам оценки обработки и управления данными. В частности, мы рекомендуем назначить специального специалиста по управлению данными в Китае. Этот специалист должен разработать политики соответствия и обеспечить их корректное внедрение для защиты компании. Ниже мы рассмотрим основные выводы и практические рекомендации для компаний, ведущих бизнес в Китае или с Китаем.

Объем данных

Закон о безопасности данных определяет объем данных и их обработку следующим образом в статье 3:

  • Под данными понимается любая запись информации в электронной или иной форме.
  • Обработка данных означает сбор, хранение, использование, обработку, передачу, предоставление и раскрытие данных.
  • Безопасность данных означает возможность обеспечить эффективную защиту данных, их законное использование и хранение в безопасном состоянии путем принятия необходимых мер.

На практике Закон о безопасности данных фокусируется на безопасности данных, электронных и неэлектронных формах, а также на деятельности по обработке данных. Закон о кибербезопасности, принятый 1 июня 2017 года, регулирует надзор и управление информационными и сетевыми системами. Таким образом, сфера действия Закона о безопасности данных шире и распространяется на все компании, обрабатывающие данные как онлайн, так и офлайн.

Классификация данных

Закон обязывает государство создать механизм классификации и оценки данных, основанный на двух аспектах:

  • степень важности для экономического и социального развития.
  • уровень ущерба национальной безопасности, общественным интересам или организациям в случае подделки, уничтожения, утечки или незаконного получения или использования данных.

Для данных, отнесённых к важным, каждый регион и департамент должен разработать специальный каталог. Регионы и департаменты должны определить и классифицировать важные данные в соответствии с отраслевой принадлежностью и областями, а также установить более строгие требования к защите данных. Аналогичным образом, данные, относящиеся к национальной безопасности, жизненно важным ресурсам национальной экономики, основным источникам средств существования населения и важным общественным интересам, должны быть классифицированы как основные данные и подлежать более строгой системе управления.

В связи с этим компаниям следует ожидать более строгих обязательств по управлению данными. В частности, для многонациональных корпораций, занимающихся трансграничной передачей данных, важные или национальные данные могут быть определены как контролируемые категории и подпадать под экспортный контроль.

Обязательства по защите безопасности данных

Мы рекомендуем компаниям назначить специального сотрудника или руководство для надзора за управлением данными.

Для всех компаний, осуществляющих деятельность по обработке данных, Закон о безопасности данных предусматривает следующие обязательства:

  • создать и усовершенствовать систему управления безопасностью данных на протяжении всего рабочего процесса;
  • использовать законные и надлежащие методы сбора данных, а также получение данных незаконными способами запрещено;
  • организовывать и проводить обучение и тренинги по безопасности данных;
  • принять соответствующие технические меры и другие необходимые меры для обеспечения безопасности данных; и
  • принять немедленные меры по утилизации, уведомить пользователей по мере необходимости и сообщить о проблеме в соответствующий компетентный отдел.

Для компаний, обрабатывающих данные, классифицированные как важные, предусмотрены следующие обязательства:

  • определить ответственных сотрудников и органы управления по обеспечению безопасности данных;
  • полностью выполнять обязанности по защите безопасности данных;
  • периодически проводить оценку рисков при обработке данных;
  • периодически представлять отчет об оценке рисков в компетентный департамент
  • Оценка риска должна включать категории и объемы важных данных, обрабатываемых организацией, порядок обработки данных, любые возникшие риски безопасности данных и контрмеры.

Более того, организации и частные лица обязаны сотрудничать с органами общественной и национальной безопасности, которым требуются их данные для обеспечения национальной безопасности или проведения уголовных расследований. На практике политика конфиденциальности данных должна быть пересмотрена соответствующим образом. В случаях, когда законы о защите данных других юрисдикций пересекаются, например, с Общим регламентом по защите данных, применение этих двух законов может быть сложным, и следует обратиться за специализированной консультацией.

Экстерриториальное применение

Хотя Закон о безопасности данных распространяется на деятельность по обработке данных в Китайской Народной Республике (КНР), соответствующая обработка данных за пределами КНР может стать предметом расследования. В частности, согласно статье 2, если обработка данных за пределами КНР наносит ущерб национальной безопасности, общественным интересам или законным правам и интересам граждан или организаций КНР, юридическая ответственность подлежит расследованию. Хотя конкретные виды ответственности не указаны, нарушения Закона о безопасности данных влекут за собой гражданские, административные и уголовные наказания. Следовательно, компании за пределами Китая, работающие с китайскими данными, должны по-прежнему применять специфичные для Китая политики соответствия требованиям законодательства, чтобы избежать непреднамеренных нарушений и риска возникновения ответственности в будущем.

Нарушение Закона о безопасности данных влечет за собой штраф в размере от 50 000 до 2 миллионов юаней, а также компании могут быть вынуждены приостановить свою деятельность или отозвать лицензию на ведение бизнеса. Следовательно, защита данных имеет важное значение и не должна недооцениваться.

Закон о безопасности данных отводит государству важную роль в развитии и защите данных в условиях развития цифровой экономики Китая. Ненадлежащее управление данными, особенно теми, кто работает с важными данными, может повлечь за собой серьёзную ответственность как для компании, так и для физического лица.