1 сентября Китай принял закон о защите данных, который уже известен как самый строгий в мире. Заявленная цель закона предотвратить сбор конфиденциальной информации технологическими компаниями и решить проблему онлайн-мошенничества и кражи данных. Но сейчас это создало проблемы для технологических компаний. Мы расскажем, что это за проблемы и какие уроки Россия может извлечь из них.
Закон о защите данных и закон о защите данных
Закон о конфиденциальности КНР распространяется на сбор информации внутри страны и за рубежом. Второй случай — это информация, которая может «нанести ущерб национальной безопасности или общественным интересам КНР или законным правам китайских граждан или организаций». Данные — это вся информация, записанная в электронном или любом другом виде.
«Манипулирование данными» включает сбор, хранение, использование, обработку, передачу, предоставление и раскрытие данных. В частности, впервые закон регулирует коммерческую «торговлю» данными. Два типа информации остаются вне сферы действия закона: государственная тайна, в отношении которой существует Закон о защите государственной тайны, и информация, относящаяся к юрисдикции Центральной военной комиссии.
Информация в соответствии с законом регулируется в соответствии со специальной классификацией — ее важность и конфиденциальность зависят от важности для экономического развития государства, национальной безопасности, общественных интересов, а также законных прав и интересов физических и юридических лиц. Затем государственные органы различных уровней определяют, какие данные являются «важными», и затем усиливают их защиту. Это означает, что в дополнение к «основным правительственным данным» муниципалитеты и промышленность могут сами решать, какую информацию они считают «важной».
На международном уровне наиболее важной частью закона являются положения о трансграничных данных. Их регулирование частично регулируется Законом о кибербезопасности 2017 года. Он уже запретил поставщикам онлайн-услуг собирать и продавать личные данные пользователей. Тогда международные компании обратились к регулятору с просьбой отложить применение закона, так как это нанесет значительный ущерб их работе.
Одним из основных нововведений в законе стала концепция «критической инфраструктуры», то есть общественных коммуникаций и информационных услуг, энергетики, ирригационных систем, транспорта, финансов, обороны, здравоохранения и других ключевых отраслей и секторов. Ущерб, незаконное использование и утечка данных из этих зон представляют серьезную угрозу национальной безопасности и общественным интересам. Фактически это означало, что международным компаниям, которые так или иначе работали с данными, стало чрезвычайно трудно работать в Китае.
Согласно Закону о кибербезопасности от 2017 года, компании, работающие с «критической инфраструктурой», должны хранить все данные в КНР. Вам необходимо получить разрешение на отправку данных за границу. Ответственность за соблюдение закона полностью лежит на компании, включая ежегодную переаттестацию. Интересно, что его развертывание буквально создало рабочие места — теперь всем компаниям, занимающимся «критической инфраструктурой», было приказано нанять специалиста по кибербезопасности для своих сотрудников. Однако руководитель компании по-прежнему несет ответственность за соблюдение всех требований законодательства — от найма необходимых специалистов до выполнения требований надзорного органа после проверок.
В некотором смысле Закон о защите данных вместе с другим новым законом — о персональных данных — это попытка улучшить тот же закон 2017 года. Например, в законе о персональных данных впервые была предпринята попытка законодательно четко определить именно те данные, сбор которых был запрещен в 2017 году.
Новый закон часто сравнивают с аналогичным законом Европейского Союза — здесь, как и там, под личными данными понимается информация, которая в случае утечки или кражи может нанести личный вред владельцу или поставить под угрозу его личную безопасность. В Китае закон должен был вступить в силу 1 ноября, но фактически он вступил в силу после третьего чтения 20 августа. Еще 22 августа Центральный банк Китая наложил штрафы в размере 1,77 миллиона долларов на четыре финансовых учреждения на его основе, и многие компании, скорее всего, будут вынуждены платить, потому что не успеют адаптироваться ко всем требованиям регулятора.
Что это означает для компаний и инвесторов
Эти законы не должны серьезно затрагивать компании, которые работают в Китае и уже разместили сбор данных внутри страны. Это повлияет на компании с большим объемом личных данных и в критически важных секторах инфраструктуры. Сюда входят такие технологические гиганты, как Alibaba, Tencent, JD.com, Huawei и другие. Согласно Закону о персональных данных, его юридическая сила в Китае выше международного права.
Есть также опасения, что такие законы отпугнут некоторых инвесторов, и они небезосновательны. По данным Wall Street Journal, Пекин обсуждает возможный запрет США на IPO для китайских компаний, которые хранят слишком много данных. Если такой закон будет принят, он сильно ударит по технологическим компаниям и международным инвесторам.
В конце августа акции крупных китайских компаний, таких как Meituan и Alibaba, рухнули после ряда жестких законов, регулирующих технологические компании, в том числе законов о данных. Иностранные инвесторы уже крайне неохотно вкладываются в акции технологических компаний. «Многие инвесторы спрашивают нас, не пора ли инвестировать в технологические акции Китая. Короткий ответ — нет », — цитирует Bloomberg главного стратега Saxo Bank Питера Гарнри.
Хотя в стране действуют ограничения на иностранные инвестиции, такие компании, как Tencent, Alibaba и Didi, нашли лазейку для выхода на биржу. Они создали отделения в других странах и уже через них проводили листинг. Пекин серьезно подходит к регулированию онлайн-пространства с прошлого года, что точно подпадает под действие двух новых законов о данных.
Закон Китая о защите данных и Закон о личных данных являются логическим продолжением ранее принятых законов и ужесточения регулирования в различных областях по всей стране. Китайские технологические компании долгое время развивались без слишком активного государственного вмешательства, что помогло им вырасти до сегодняшних объемов и стать реальными конкурентами на мировом рынке. Более того, этот рост сделал технологических гигантов, а точнее их основателей, как в случае с Джеком Ма, потенциальной политической угрозой. В результате официальный Пекин начал принимать жесткие меры и ужесточить контроль над территорией.
Опыт разработки, реформирования и принятия законов достаточно большой и начался не несколько лет назад. По мере развития технологической области постепенно менялось и соответствующее законодательство. В отличие от Китая, Закон о персональных данных в России действует с 2006 года. Однако с увеличением частоты утечек информации и бумом мошенничества стало ясно, что его также необходимо изменить. Так или иначе, правоприменительная практика в будущем году будет развиваться в соответствии с законодательством Китая. Тогда станет ясно, соответствует ли он заявленной цели или это скорее политический инструмент.
