1 сентября 2021 г. вступил в силу Закон КНР «О безопасности данных», принятый Постоянным комитетом Всекитайского собрания народных представителей КНР (ПК ВСНП) в июне. Новый закон определяет основы правового регулирования в сфере обеспечения безопасности, управления, обработки и экспорта данных, а также устанавливает юридическую ответственность за правонарушения.
Закон КНР «О безопасности данных» является одним из трех важнейших законов в сфере регулирования данных и вместе с Законом КНР «О сетевой безопасности» (вступил в силу с 1 июня 2017 г.) и Законом КНР «О защите персональных данных» (вступает в силу с 1 ноября 2021 г.) создает полноценную систему правового регулирования данных и информации. Первый проект нового закона был опубликован для общественных консультаций в июле 2020 г.; для подготовки окончательного проекта и его одобрения ПК ВСНП понадобилось менее года.
Определение данных
В соответствии с Законом КНР «О безопасности данных» к данным относятся различного рода записи сведений в электронной и другой форме. В свою очередь безопасностью данных является состояние эффективной защиты и правомерного использования данных, достигаемое посредством применения необходимых мер, а также способность обеспечения устойчивого состояния безопасности.
Ранее в КНР отсутствовало общее определение для термина «данные» (数据). Закон КНР «О сетевой безопасности» предусматривает определения только «сетевых данных» (электронных цифровых данных в информационных сетях) и «персональных данных» (персональной информации). Определение, предусмотренное Законом КНР «О безопасности данных», относит к данным любые записи вне зависимости от того, находятся ли они в электронной цифровой форме или нет.
Пределы применения закона
Закон КНР «О безопасности данных» регулирует ведение на территории КНР деятельности по обработке данных, к которой относится сбор, хранение, использование, переработка, передача, предоставление, раскрытие и осуществление других операций с данными. Данный закон обязателен для всех операторов данных, ведущих деятельность на территории КНР, за исключением: а) обработки данных, имеющих отношение к государственной тайне; и б) обработки военных данных.
Кроме того, ч. 2 ст. 2 Закона КНР «О безопасности данных» допускает привлечение к юридической ответственности в КНР зарубежных операторов данных, если их деятельность по обработке данных причиняет вред государственной безопасности, публичным интересам и (или) правам и законным интересам китайских организаций и граждан. Следовательно, новый закон обладает ограниченным экстерриториальным действием и позволяет привлечь к ответственности зарубежные организации, осуществляющие операции с данными китайского происхождения с нарушением норм нового закона.
Ответственные госорганы
Основным ответственным органом, ответственным за руководство работой по обеспечению безопасности данных, в соответствии со ст. 5 Закона КНР «О безопасности данных» является Центральный комитет государственной безопасности (ЦКГБ), созданный в 2014 г. при Центральном комитете Коммунистической партии Китая (ЦК КПК). ЦКГБ несет ответственность за разработку и реализацию государственной стратегии в области безопасности данных, а также создает механизм для координации работы по обеспечению безопасности данных для руководства работой по составлению перечней важных данных и предупреждения угроз безопасности данных.
Ответственность за обеспечение безопасности данных в отдельных регионах и отраслях распределяется между соответствующими территориальными госорганами и органами отраслевого управления.
Осуществление контроля за безопасностью данных новый закон возлагает на соответствующие органы отраслевого управления (в сфере промышленности, телекоммуникаций, транспорта, финансов, природных ресурсов, здравоохранения, образования, науки и техники), а также органы общественной безопасности и органы государственной безопасности.
Руководство работой по обеспечению безопасности и осуществления контроля за безопасностью сетевых (цифровых) данных возложено на Государственную канцелярию по делам интернет-информации (CAC).
Кроме того, Закон КНР «О безопасности данных» предусматривает усиление отраслевого саморегулирования: отраслевые ассоциации обязаны определять нормы поведения и коллективные стандарты в области безопасности данных и содействовать усилению защиты безопасности данных организациям-участницам ассоциаций.
Классификация и многоуровневая защита данных
Закон КНР «О безопасности данных» предусматривает создание классификации данных и создание нескольких уровней защиты данных в зависимости от их значимости для социально-экономического развития и вред, который может быть причинен в случае их нарушения, раскрытия, искажения или незаконного использования. При этом законом выделены две особые категории: «государственные основные данные» (высочайшая степень значимости) и «важные данные» (данные повышенного значения).
К государственным основным закон относит данные, затрагивающие государственную безопасность, жизненные артерии национальной экономики, важнейшие вопросы народного благосостояния, важнейшие публичные интересы и другие виды данных, отнесенные к данной категории. Закон КНР «О безопасности данных» не уточняет, какие именно данные должны быть отнесены к государственным основным, но предусматривает строгий режим защиты и повышенную ответственность за нарушение правил регулирования государственных основных данных.
К важным должны быть отнесены данные, включенные в перечни важных в силу их значимости и потенциального вреда, который может быть причинен в случае их раскрытия, искажения, незаконного предоставления или незаконного использования (хотя термин «важные данные» не является новым для законодательства КНР, Закон КНР «О безопасности данных» и остальные законы не содержат точного определения важных данных). Перечни важных данных и повышенные меры защиты важных данных устанавливаются на общегосударственном, отраслевом и региональном уровне.
На общегосударственном уровне предусмотрено создание перечней важных данных всеми министерствами и ведомствами под руководством ЦКГБ. На отраслевом и региональном уровне Закон КНР «О безопасности данных» предусматривает разработку перечней важных данных правительствами регионов и ведомствами отраслевого управления для каждого региона и отрасли (сферы деятельности) по отдельности.
Обязанности по защите безопасности данных
Общие обязанности по защите безопасности данных определены ст. 27 Закона КНР «О безопасности данных»: при ведении деятельности по обработке данных необходимо соблюдать нормы законов и подзаконных актов, создавать и совершенствовать системы управления безопасностью данных в течение всего процесса, организовывать проведение обучения и подготовке в области безопасности данных, предпринимать соответствующие технические и другие необходимые меры для обеспечения безопасности данных. Если обработка данных осуществляется с использованием информационных сетей, дополнительно необходимо соблюдение системы защиты сетевой безопасности.
Операторы данных обязаны проводить мониторинг угроз и при выявлении дефектов, уязвимостей и других угроз безопасности предпринимать корректирующие меры. При возникновении происшествий, касающихся безопасности данных, операторы данных обязаны предпринимать меры для ликвидации последствий и своевременно информировать пользователей и соответствующие госорганы.
Операторы данных, отнесенных к важным, в дополнение к мониторингу угроз в обычном режиме обязаны регулярно представлять в соответствующие госорганы отчетность об оценке угроз, содержащую виды и количество важных данных в распоряжении, сведения о деятельности, виды возникающих угроз безопасности и соответствующие меры реагирования.
При осуществлении сделок с данными посредники на рынке данных обязаны требовать от поставщика данных подтверждения законности происхождения данных, проводить проверку сторон сделки и сохранять сведения о результатах проверки и транзакциях (ст. 33 Закона КНР «О безопасности данных»).
Кроме того, от операторов данных оказания содействия органам общественной безопасности и органам государственной безопасности в получении данных при расследовании преступлений и в целях защиты государственной безопасности (ст. 35 Закона КНР «О безопасности данных»).
Ограничения на трансграничное перемещение данных
Закон КНР «О безопасности данных» предусматривает ограничения на экспорт важных данных, предоставление данных зарубежным судам и органам правоприменения, а также перемещение данных, имеющих отношение к контролируемым товарам, услугам и технологиям.
Во-первых, в соответствии со ст. 31 Закона КНР «О безопасности данных» экспорт важных данных, собранных или созданных операторами ключевой информационной инфраструктуры при ведении деятельности на территории КНР, осуществляется в соответствии с нормами Закона КНР «О сетевой безопасности». При экспорте важных данных, собранных или созданных другими операторами данных, правила экспорта должны быть определены отдельно.
Скорее всего, экспорт данных вне зависимости от их источника (наличия или отсутствия связи с эксплуатацией ключевой информационной инфраструктуры) потребует проверки на безопасность в соответствии с «Правилами проверки сетевой безопасности», которые сейчас определяют порядок проверки безопасности только при закупке важнейшего оборудования и услуг. В июле 2021 г. CAC был опубликован проект о внесении изменений в «Правила проверки сетевой безопасности», по которому правила проверки предлагается распространить на операторов данных.
Во-вторых, ст. 36 Закона КНР «О безопасности данных» запрещает китайским организациям и физическим лицам предоставлять данные зарубежным судам и органам правоприменения без разрешения компетентных органов КНР. При необходимо получения данных иностранный суд или орган правоприменения обязан направить запрос в компетентный китайский орган, который вправе принять решение о предоставлении данных на основании закона, международного соглашения или договора (например, двустороннего договора о правовой помощи) или в соответствии с принципом взаимности.
В соответствии со ст. 25 Закона КНР «О безопасности данных» государство обязано в целях защиты государственной безопасности, интересов государства и выполнения международных обязательств ограничивать экспорт данных, имеющих отношение к предметам контроля. В свою очередь, в соответствии с принятым в октябре 2020 г. Законом КНР «Об экспортном контроле» к предметам контроля относятся товары двойного назначения, военные и другие товары, технологии и услуги, включенные в перечни контролируемых, а также сопутствующие «технические материалы и другие данные» (ст. 2 Закона КНР «Об экспортном контроле»). Следовательно, Закон КНР «О безопасности данных» подтверждает правило, по которому экспортный контроль в отношении контролируемых товаров, услуги и технологий должен распространяться на сопутствующие данные.
Кроме того, ст. 26 Закона КНР «О безопасности данных» позволяет КНР вводить ограничения на трансграничное перемещение данных в отдельные государства и территории в качестве реторсий, если соответствующее государство (территория) вводит в отношении КНР ограничения дискриминационного характера в области данных, технологий разработки и использования данных, а также в сфере торговли, инвестиций и других видах деятельности.
Открытые данные
Закон КНР «О безопасности данных» предусматривает создание государством перечня открытых правительственных данных и единого общегосударственного портала открытых данных для размещения данных для свободного использования. Кроме того, новый закон обязывает государственные органы своевременно раскрывать правительственные данные при соблюдении принципов беспристрастности, справедливости и удобства населению (за исключением данных, которые в соответствии с законодательством не подлежат раскрытию).
Сейчас порталы открытых правительственных данных в КНР существуют на региональном уровне: например, собственные порталы открытых данных созданы правительствами Шанхая, Ханчжоу, Шэньчжэня и других крупных городов. На центральном уровне часть правительственных данных для свободного использования раскрывается Государственным статистическим управлением. После вступления в силу нового закона в КНР будет создана единая площадка для размещения открытых данных на центральном уровне.
Юридическая ответственность
За совершение правонарушений Закон КНР «О безопасности данных» предусматривает юридическую ответственность в форме предупреждений, штрафов (которые могут быть наложены и на организацию-правонарушителя, и на ее ответственных руководящих лиц и других лиц, несущих прямую ответственность), выдачу предписаний о приостановлении деятельности, упорядочивании деятельности, а также аннулирования ранее выданных лицензий или принудительной ликвидации. Если в результате нарушения закона был причинен вред другим лицам, совершено нарушение общественного порядка или преступление, то виновное лицо привлекается соответственно к гражданской ответственности, ответственности за нарушение общественного порядка или уголовной ответственности.
В случае невыполнения обязанностей по защите безопасности данных компетентный госорган в соответствии со ст. 45 Закона КНР «О безопасности данных» издает предписание об устранении нарушений, выносит предупреждение и вправе применить штраф в размере от 50 тыс. до 500 тыс. юаней жэньминьби; к напрямую ответственным компетентным лицам и другим лицам, несущим прямую ответственность, допускается применение штрафа в размере от 10 тыс. до 100 тыс. юаней жэньминьби. Если нарушение привело к раскрытию данных в значительном объеме или других негативных последствий, может составлять от 500 тыс. до 2 млн. юаней жэньминьби (для ответственных компетентных лиц и других лиц, несущих прямую ответственность – от 50 тыс. до 200 тыс. юаней жэньминьби); кроме того, допускается издание предписаний о приостановлении деятельности, упорядочивании деятельности, аннулировании лицензий или принудительной ликвидации.
Нарушение правил регулирования государственных основных данных, угрожающее государственному суверенитету, безопасности или интересам развития, наказывается штрафом в размере от 2 млн. до 10 млн. юаней жэньминьби. В дополнение к штрафу компетентный госорган в зависимости обстоятельств обязан вынести предписание о приостановлении деятельности, упорядочивании деятельности, аннулировании лицензии или принудительной ликвидации.
Перемещение важных данных за рубеж в нарушение правил проверки безопасности может наказываться предупреждением, штрафом в размере от 100 тыс. до 1 млн. юаней жэньминьби (для ответственных компетентных лиц и других лиц, несущих прямую ответственность – от 10 тыс. до 100 тыс. юаней жэньминьби), а также предписанием устранить нарушения. При наличии отягчающих обстоятельств сумма штрафа может составлять от 1 млн. до 10 млн. юаней жэньминьби (для ответственных компетентных лиц и других лиц, несущих прямую ответственность – от 100 тыс. до 1 млн. юаней жэньминьби); кроме того, допускается издание предписания о приостановлении деятельности, упорядочивании деятельности, аннулировании лицензии или принудительной ликвидации.
Если оператор предоставляет данные зарубежным судам и органам правоприменения без разрешения соответствующего китайского органа, допускается вынесение предупреждения и штраф в размере от 100 тыс. до 1 млн. юаней жэньминьби (для ответственных компетентных лиц и других лиц, несущих прямую ответственность – от 10 тыс. до 100 тыс. юаней жэньминьби). При наличии тяжелых негативных последствий суммы штрафа может составлять от 1 млн. до 5 млн. юаней жэньминьби; кроме того, допускается издание предписания о приостановлении деятельности, упорядочивании деятельности, аннулировании лицензии или принудительной ликвидации.
Заключение
Закон КНР «О безопасности данных» предусматривает множество нововведений, которые повлияют на деятельность операторов данных в КНР и за рубежом. Часть нововведений перед введением на практике требуют уточнений и дополнений, которые могут появиться в подзаконных ведомственных актах и соответствующих государственных стандартах.
Среди самых очевидных изменений можно назвать повышение ответственности за правонарушение и более определенные ограничения на экспорт и предоставление данных за рубеж. Во-первых, все нарушения закона с тяжелыми негативными последствиями могут наказываться достаточно высокими штрафами (до 10 млн. юаней жэньминьби), а также ограничениями на деятельность или принудительной ликвидации организации. В большинстве случаев ответственность за правонарушение несет не только организация-правонарушитель, но и ее руководители и другие сотрудники, несущие прямую ответственность за совершение правонарушения.
Во-вторых, закон не содержит строгого запрета на экспорт любых данных и допускает возможность предоставления данных зарубежным судам и органам правоприменения в рамках сотрудничества с компетентными китайскими госорганами, а также экспорта важных данных при условии проверки на соответствие требованиям государственной безопасности. Закон не запрещает и не ограничивает экспорт данных, которые не относятся к государственным основным или важным, и допускает их свободное трансграничное перемещение (при этом необходимо учесть, что экспорт обычных данных может быть ограничен другими законами, например, Законом КНР «Об экспортном контроле» или Законом КНР «О защите персональных данных»).
Среди важнейших вопросов, требующих уточнений и дополнений: детальные критерии, по которым данные могут быть отнесены к важным и государственным основным. Закон КНР «О безопасности данных» не определяет порядок и правила отнесения данных к государственным основным и наделяет правом относить данные к категории важных слишком много госорганов. В процессе применения закона на практике КНР необходимо точно разграничить категории данных и отделить от обычных все виды данных, на которые распространяются особые меры защиты и ограничения.
Регистрация юридических лиц в Китае, составление и экспертиза договоров, защита интеллектуальной собственности, юридический консалтинг.
