Вопросы регулирования обработки, хранения и трансграничной передачи персональных данных и конфиденциальной информации в Китайской Народной Республике определяется требованиями ряда нормативно-правовых актов.
Основными из них являются:
- Закон о кибербезопасности (Cybersecurity Law, CSL).
- Закон о безопасности данных (Data Security Law, DSL).
- Закон о защите личной информации (Personal Information Protection Law, PIPL).
- Закон о борьбе со шпионажем.
В соответствии с положениями CSL вся личная информация и данные, собираемые и создаваемые операторами связи, должны храниться на серверах, расположенных на территории материкового Китая. Срок хранения не менее 6 месяцев. Для сбора и использования персональных данных (ПД) требуется согласие физического лица. В 2022 году в закон был внесен ряд поправок, которые усилили ответственность за нарушение обязательств по общей безопасности функционирования сети, защиту критической информационной инфраструктуры (КИИ), сетевой информационной безопасности и защиту ПД.
При этом под КИИ понимаются «важные сетевые объекты и информационные системы» в сферах общественной связи и информационных услуг, энергетики, транспорта, водосбережения, финансов, государственных услуг, электронного правительства, национальной обороны, науки и техники, а также отрасли, в которых любой ущерб, потеря функций или утечка данных могут серьезно угрожать национальной безопасности, национальной экономике и средствам к существованию людей или общественным интересам.
В случаях, когда необходимо предоставить информацию и данные зарубежной стороне в связи с потребностями бизнеса, оценка безопасности должна проводиться в соответствии с мерами, сформулированными Администрацией кибербезопасности Китая (Cyberspace Administration of China, CAC) и соответствующими департаментами при Государственном совете КНР.
Положения DSL регламентируют деятельность технологических компаний в части использования и хранения данных на территории КНР. Для передачи данных за пределы страны компания должна получить соответствующее разрешение правительства и пройти проверку безопасности. DSL применяется не только к компаниям, работающим в Китае, но и к любым организациям, которые ведут бизнес, предоставляя товары и услуги в стране.
Закон о защите личной информации дополняет существующие нормативные акты и правила в части, касающейся персональных данных. Применяется в отношении государственных организаций и коммерческих компаний. Так, в соответствии с его положениями операторы КИИ и обработчики ПД, которые обрабатывают данные более одного миллиона человек, должны хранить собранную информацию на территории КНР. В случае необходимости предоставить данные стороне, находящейся за пределами Китая, решение о возможности такой передачи принимается по результатам оценки безопасности, организованной CAC.
В частности, документ устанавливает, что организации и их агенты, осуществляющие свою деятельность либо инструктирующие и финансирующие китайские и иностранные учреждения и отдельных лиц, вступающих в сговор с целью осуществления кибератак, нарушения функционирования объектов КИИ, представляют собой шпионскую деятельность. Сфера применения нового закона имеет экстерриториальную юрисдикцию и распространяется на организации и их агентов, занимающихся шпионской деятельностью в отношении третьей страны на территории Китая или использующих китайских граждан, организации или другие средства, которые представляют угрозу для национальной безопасности.
Как Китай управляет киберпространством и борется с киберугрозами Вы можете узнать из нашей статьи на vc.ru. В блоге представлены актуальные аналитические материалы из мира кибербеза — подписывайтесь.
В соответствии с положениями закона расширенное толкование понятия «шпионская деятельность», на практике может создать дополнительные риски для полноценного функционирования иностранных предприятий в следующих ситуациях:
1. Утечка коммерческой тайны.
Иностранное предприятие нанимает технического специалиста из отечественной компании, который имел доступ к ключевой технологии до ухода с предыдущего места работы. Когда технический специалист начинает работать на иностранном предприятии, он применяет эту технологию в продукции новой компании. Хотя технология не является государственной тайной, она все же тесно связана с национальной безопасностью и интересами страны. В этом случае технический специалист может быть признан занимающимся шпионажем, а иностранное предприятие может быть подвергнуто расследованию и наказанию.
2. Обмен данными в совместных проектах.
Иностранное предприятие сотрудничает с китайским предприятием в рамках проекта, связанного с КИИ. В ходе сотрудничества по проекту обе стороны должны обмениваться данными, которые могут трактоваться спецслужбами как относящиеся к вопросам национальной безопасности. В случае утечки информации во время процесса обмена, даже если она была непреднамеренной, то иностранное предприятие может рассматриваться как участвующее в шпионской деятельности, в связи с чем в отношении него может быть инициировано соответствующее расследование.
3. Исследование рынка, проведенное за рубежом.
Зарубежная дочерняя компания иностранного предприятия проводит маркетинговые исследования с целью выхода на китайский рынок и собирает необходимую информацию о конкурентах в национальной отрасли, некоторые из которых могут квалифицироваться как связанные с национальной безопасностью. Несмотря на то, что целью дочерней компании является изучение конкурентов, ее поведение может быть расценено как шпионская деятельность, создающая юридические риски для материнской компании.
4. Агрессивная политика подбора персонала.
В процессе найма иностранная компания может использовать агрессивную стратегию привлечения китайского персонала, поощряя их оставить свои прежние рабочие места и перейти на их предприятие. Если предыдущие работодатели кандидатов связаны с деятельностью по обеспечению национальной безопасности, то такие стратегии найма могут быть расценены как шпионаж и могут повлечь юридические риски для иностранной компании.
5. Наем бывших государственных служащих.
Иностранные предприятия могут нанимать бывших государственных служащих в качестве консультантов или руководителей, используя их опыт и связи в конкретных отраслях или политике. В соответствии с законом это может быть расценено как «подстрекательство, соблазн, принуждение или подкуп государственных служащих к переходу на другую работу» и квалифицировано как шпионская деятельность.
6. Трансграничные совместные проекты.
Иностранные предприятия могут быть вовлечены в передачу технологий и обмен информацией при сотрудничестве с китайскими предприятиями в рамках совместных проектов. Если технология или информация имеют отношение к национальной безопасности, даже если обе стороны действуют в рамках обычного делового взаимодействия, такое сотрудничество может рассматриваться как шпионская деятельность.
7. Центры обработки данных и облачные сервисы.
Предоставляя услуги центров обработки данных и облачных сервисов, иностранные предприятия могут осуществлять хранение, обработку и передачу большого объема конфиденциальных данных. Если некоторые из них будут признаны относящимися к национальной безопасности, то такая деятельность может рассматриваться в качестве шпионской.
Помимо основных нормативных актов в Китае существует ряд законов и правил, в том числе и на уровне провинций, положения которых регулируют сбор и использование частной информации в зависимости от отрасли применения и фактического контекста самих актов (личная информация, полученная в ходе деятельности финансовых учреждений и предприятий электронной коммерции, а также личная информация, собранная поставщиками телекоммуникационных или интернет-услуг и др.).
В частности, к ним относятся Уголовный закон КНР, Закон об электронной коммерции, Закон о защите прав потребителей и местные законы о данных на уровне регионов, а также ряд отраслевых норм запрещают банкам, агентствам кредитных расследований, охранным компаниям, медицинским и медицинским центрам, платформам онлайн-бронирования такси, поставщикам картографических услуг в Интернете и т.д. передавать/распространять свои данные за пределы Китая.
Больше полезной информации об ИТ и ИБ — в наших соцсетях:
Telegram
ВКонтакте
Одноклассники
vc.ru