BRICSPULSE
$1 = 71.01 $1 = 6.79 ¥$1 = 95.81
Back
cn flagChinaSoftwareLawActive

Data Security Law

Jun 10, 2021
ChineseEnglishRussian

Закон КНР о безопасности данных -- Комплексный обзор

Краткое резюме

Закон Китайской Народной Республики о безопасности данных был принят 10 июня 2021 года на 29-м заседании Постоянного комитета Всекитайского собрания народных представителей 13-го созыва и вступил в силу 1 сентября 2021 года. Данный закон является базовым нормативным правовым актом в сфере безопасности данных Китая, формируя одну из трёх опор правовой системы управления данными КНР наряду с Законом о кибербезопасности (2017) и Законом о защите персональных данных (2021).

Закон состоит из семи глав и пятидесяти пяти статей, системно устанавливающих правовую основу защиты безопасности данных. Документ формулирует четыре взаимосвязанные законодательные цели: регулирование деятельности по обработке данных, обеспечение безопасности данных, содействие разработке и использованию данных, а также защита законных прав и интересов граждан, организаций и государственного суверенитета. Важно отметить, что закон не ограничивается исключительно защитными мерами, но одновременно акцентирует внимание на использовании данных и развитии цифровой экономики, воплощая законодательную концепцию «баланса развития и безопасности».

Закон использует расширительное определение «данных» как «любой записи информации в электронной или иной форме» и определяет «обработку данных» как охватывающую полный жизненный цикл: сбор, хранение, использование, обработку, передачу, предоставление и раскрытие. Столь широкий охват определений обеспечивает всеобъемлющую применимость закона практически ко всем видам деятельности с данными в цифровую эпоху.

Ключевые положения

Система регулирования безопасности данных. Закон устанавливает четыре основных институциональных механизма. Первый -- система классифицированной и уровневой защиты данных (статья 21), категоризирующая данные по степени их значимости для экономического и социального развития и степени ущерба от компрометации. Данное положение вводит понятие «базовых государственных данных» (национальных ключевых данных) -- данных, связанных с национальной безопасностью, жизненно важными интересами национальной экономики, критически значимым общественным благосостоянием и крупными общественными интересами, -- подлежащих наиболее строгому режиму управления. Второй -- централизованный, единый, эффективный и авторитетный механизм оценки рисков, отчётности, обмена информацией, мониторинга и раннего предупреждения (статья 22). Третий -- механизм экстренного реагирования на инциденты безопасности данных (статья 23). Четвёртый -- система проверки безопасности данных (статья 24), согласно которой проверке подвергается деятельность по обработке данных, затрагивающая или способная затронуть национальную безопасность, причём решения по итогам проверки являются окончательными и не подлежат обжалованию.

Обязанности по защите безопасности данных. Закон обязывает всех операторов данных создать комплексные системы управления безопасностью данных на протяжении всего процесса обработки (статья 27). Обработчики важных данных обязаны назначить ответственных за безопасность данных и создать специализированные управленческие структуры. Предписывается непрерывный мониторинг рисков (статья 29) с немедленным принятием корректирующих мер при обнаружении дефектов безопасности. Обработчики важных данных обязаны проводить периодическую оценку рисков и направлять отчёты компетентным органам (статья 30).

Управление трансграничными потоками данных. Закон устанавливает жёсткий контроль за вывозом данных. Вывоз важных данных операторами критической информационной инфраструктуры регулируется Законом о кибербезопасности (статья 31). Без одобрения компетентных китайских органов внутренние организации и граждане не вправе предоставлять данные, хранящиеся в Китае, иностранным судебным или правоохранительным органам (статья 36). В случае дискриминационных мер любой страны в отношении инвестиций или торговли, связанных с данными, Китай вправе принять ответные зеркальные меры (статья 26). Статья 25 устанавливает экспортный контроль в отношении данных, относящихся к контролируемым объектам.

Безопасность и открытость правительственных данных. Специальная глава (глава 5, статьи 37-43) регулирует управление государственными данными. Государственные органы обязаны обеспечивать конфиденциальность персональных данных, коммерческой тайны и иной охраняемой информации, одновременно содействуя упорядоченному открытию государственных данных через единые, стандартизированные, взаимосвязанные и безопасные платформы.

Юридическая ответственность. Закон устанавливает ступенчатую систему санкций. Обычные нарушения влекут штрафы от 50 000 до 500 000 юаней; грубые нарушения -- от 500 000 до 2 млн юаней с возможным приостановлением деятельности или отзывом лицензии. Нарушения режима базовых государственных данных караются штрафами от 2 до 10 млн юаней, при наличии состава преступления -- уголовной ответственностью. Несанкционированное предоставление важных данных за рубеж влечёт штраф от 100 000 до 10 млн юаней. Посредники в торговле данными несут ответственность в размере от однократной до десятикратной суммы незаконного дохода. Персональная ответственность распространяется на непосредственных руководителей и иных ответственных лиц.

Цели и сроки

Закон вступил в силу 1 сентября 2021 года, ознаменовав формальное создание правовой базы безопасности данных Китая. Будучи фундаментальным законом постоянного действия, он не устанавливает явных поэтапных сроков. Однако его положения предписывают каждому региону и ведомству определить конкретные перечни важных данных для своих территорий и отраслей в рамках системы классифицированной и уровневой защиты.

Национальный координационный механизм по безопасности данных отвечает за координацию работы соответствующих ведомств по формированию каталогов важных данных. Каждый отраслевой регулятор (промышленность, телекоммуникации, транспорт, финансы, природные ресурсы, здравоохранение, образование, наука и техника) несёт ответственность за надзор в области безопасности данных в своей сфере, что требует постепенной разработки отраслевых правил управления безопасностью данных.

Фактически закон задаёт непрерывный график реализации, поскольку система классифицированной защиты, каталоги важных данных и отраслевые нормативные акты требуют постоянного развития и совершенствования множеством государственных органов на национальном, провинциальном и местном уровнях.

Механизмы реализации

Закон выстраивает многоуровневую архитектуру регуляторного исполнения. На центральном уровне Центральный руководящий орган по национальной безопасности отвечает за высшее руководство и координацию работы по обеспечению безопасности данных, формируя национальный координационный механизм. Канцелярия по делам киберпространства (CAC) отвечает за общую координацию сетевой безопасности данных и смежного регулирования. На отраслевом уровне регуляторы соответствующих отраслей осуществляют надзор за безопасностью данных в своих сферах. Органы общественной безопасности и государственной безопасности выполняют надзорные функции в пределах своей компетенции. На местном уровне каждый регион отвечает за данные, собранные и сгенерированные в рамках его управленческой деятельности.

Инструменты правоприменения включают: механизм регуляторных бесед (статья 44) для устранения значительных рисков безопасности; административные взыскания (статьи 45-48), формирующие градуированную шкалу от предупреждений до отзыва лицензий; гражданско-правовую ответственность за причинённый ущерб (статья 52); механизмы уголовного преследования. Закон также поощряет отраслевые организации к разработке кодексов поведения и групповых стандартов в области безопасности данных (статья 10), содействуя отраслевой саморегуляции. Механизм жалоб и обращений граждан (статья 12) обеспечивает дополнительный общественный контроль.

Влияние на отрасль

Закон о безопасности данных оказал глубокое и многоплановое воздействие на IT-отрасль и цифровую экономику Китая.

Затраты на соответствие и построение систем. Вступление закона в силу побудило предприятия к комплексному созданию систем управления безопасностью данных: назначению ответственных за безопасность данных, построению систем классификации и грейдирования данных, проведению регулярных оценок рисков, разработке планов экстренного реагирования. Для крупных технологических и платформенных компаний штат специалистов по комплаенсу значительно расширился, расходы на соответствие существенно возросли. Это создало как вызовы для существующего бизнеса, так и возможности для поставщиков услуг в сфере безопасности данных.

Трансграничные потоки данных. Жёсткое регулирование трансграничной передачи данных существенно повлияло на деятельность транснациональных корпораций. Ограничения статьи 36 на предоставление данных иностранным судебным или правоохранительным органам непосредственно затронули архитектуру комплаенса зарубежных компаний, работающих в Китае. В сочетании с последующими «Мерами по оценке безопасности вывоза данных» (вступили в силу в сентябре 2022 года) сформировалась завершённая система регулирования экспорта данных. Компании, включая крупнейших облачных провайдеров, технологические фирмы и финансовые институты, были вынуждены перестроить архитектуру данных и создать решения по локализации данных, специфичные для Китая.

Рынки торговли данными. Требование статьи 19 о создании системы управления торговлей данными заложило правовую основу для развития регулируемого рынка данных. Учреждение и функционирование Шэньчжэньской и Шанхайской бирж данных опирается на данный закон как правовую основу, формируя зарождающуюся, но растущую экосистему легитимных транзакций с данными.

Индустрия безопасности данных. Закон катализировал стремительное развитие новых сервисных секторов: оценка, сертификация и аудит безопасности данных. Рынок продуктов и решений в области безопасности данных демонстрирует быстрый рост, стартапы в этой сфере привлекают значительные инвестиции, спрос на кадры резко увеличился. Данный сегмент стал одним из наиболее динамично развивающихся направлений индустрии кибербезопасности Китая.

Регулирование платформенной экономики. В сочетании с Антимонопольным законом и Законом о защите персональных данных, Закон о безопасности данных предоставил критически важные правовые инструменты для усиления регулирования платформенной экономики, обеспечив проведение проверок соответствия требованиям безопасности данных крупнейших интернет-платформ.

Международное измерение. Положения о экстерриториальном действии (статья 2, часть 2) и ответных мерах (статья 26) отражают твёрдую позицию Китая по вопросу суверенитета в сфере данных. Закон устанавливает рамки, утверждающие юрисдикцию КНР над обработкой данных, осуществляемой за пределами Китая, если такая деятельность наносит ущерб национальной безопасности, общественным интересам или правам граждан и организаций Китая.

История изменений

Закон КНР о безопасности данных был принят 10 июня 2021 года на 29-м заседании Постоянного комитета ВСНП 13-го созыва, обнародован Указом Президента КНР № 84 и вступил в силу 1 сентября 2021 года. В настоящее время действует без изменений.

В ходе законодательного процесса закон прошёл три чтения: первый проект был рассмотрен ПК ВСНП в июне 2020 года, второе чтение состоялось в апреле 2021 года, третье чтение завершилось принятием в июне 2021 года. От проекта до окончательного принятия закон претерпел существенные доработки в части системы классифицированной защиты данных, управления трансграничными потоками данных и положений об ответственности. Определение «базовых государственных данных» и связанные с ними санкции были заметно усилены в окончательной редакции.

Связанные документы

  • Закон КНР о кибербезопасности (вступил в силу 1 июня 2017 года)
  • Закон КНР о защите персональных данных (вступил в силу 1 ноября 2021 года)
  • Закон КНР о государственной тайне
  • Положение о защите безопасности критической информационной инфраструктуры (вступило в силу 1 сентября 2021 года)
  • Меры по оценке безопасности вывоза данных (вступили в силу 1 сентября 2022 года)
  • Положение об управлении безопасностью сетевых данных
  • План развития цифровой экономики на период 14-й пятилетки (Госсовет КНР [2021] № 29)
  • Закон КНР об электронной коммерции
  • Общий регламент ЕС по защите данных (GDPR) -- международная сравнительная справка