В начале июня Китай официально ввел в действие правила о стандартных контрактах на трансграничную передачу персональных данных, которые требуют от обработчиков данных (включая компании, обрабатывающие данные менее 1 миллиона человек) заключать контракты с зарубежными получателями перед передачей данных.
Новые правила являются частью усилий Пекина по ужесточению контроля над внутренними данными во имя защиты национальной безопасности.
В настоящее время основная правовая база страны по управлению конфиденциальностью данных состоит из трех законов: Закона о кибербезопасности, Закона о конфиденциальности данных и Закона о защите персональной информации.
Соответственно, центральное правительство установило режим управления экспортом персональных данных. Помимо мер, предусмотренных стандартным договором, этот режим включает правила, обязывающие компании проводить оценку безопасности в национальном органе по надзору за интернетом или подавать заявки на получение сертификата о защите персональных данных от компетентного органа.
Сюй Кэ, директор исследовательского центра цифровой экономики и правовых инноваций в Университете международного бизнеса и экономики, заявил, что регулирующие органы пытаются найти баланс между повышением безопасности данных и содействием экономическому росту на основе данных.
Большое количество компаний, низкий уровень одобрения
В соответствии с требованиями оценки безопасности трансграничной передачи данных, которые вступили в силу 1 сентября, компании, обрабатывающие персональные данные более 1 миллиона человек, должны пройти оценку безопасности, если они хотят передавать данные за границу.
Компании должны предоставить отчеты о самооценке безопасности местным сетевым регуляторам и Администрации киберпространства Китая (CAC) для двух раундов проверки.
В настоящее время передача данных за границу считается законной, если передающая сторона подписывает договор с получателем и подтверждает, что передаваемые данные прошли проверку безопасности компетентного органа.
Хотя меры вступили в силу в сентябре, их реализация была затруднена из-за большого количества компаний и нехватки человеческих ресурсов для оценки их отчетов по безопасности.
К концу апреля управление киберпространства Шанхая получило более 400 отчетов об оценке, из которых лишь 0,5 процента были одобрены CAC.
Аналогичная ситуация наблюдается и в других регионах. По данным источников Caixin, по всей стране власти получили более 1000 заявок на передачу данных за рубеж, из которых менее 10 прошли два этапа рассмотрения.
На национальном уровне большую часть работы по рассмотрению утверждений отчетов по безопасности выполняет технический центр кибербезопасности CNCERT/CC, общая численность персонала которого составляет около 100 человек.
«Неопределенные» критерии
Помимо ограничений по персоналу, отсутствие ясности в критериях оценки замедляет процесс утверждения, поскольку регулирующие органы и компании расходятся во мнениях относительно того, почему необходима запрашиваемая передача данных.
Например, заявитель должен объяснить, почему передача данных иностранной стороне для обработки является законной, обоснованной и необходимой, но никаких дополнительных указаний не предоставляется.
Г-н Сюй Кэ предупредил, что применение механизма «все в одном» может привести к чрезмерным ограничениям для определенных отраслей и секторов, что затруднит свободный поток данных, поскольку уровень возникновения проблем с национальной безопасностью будет разным.
Хэ Юань, исполнительный директор Центра исследований права данных при Шанхайском университете Цзяотун, отметил, что нагрузка на местные регулирующие органы может значительно возрасти, поскольку с июня компаниям с численностью сотрудников менее 1 миллиона человек также придется подписывать стандартные контракты.
С 2023 года власти материкового Китая активизировали информационную работу, в частности, выпуская рекомендации для корпораций по ознакомлению с правилами передачи данных.
Однако высокие затраты на соблюдение требований, трудности в общении с зарубежными получателями и неопределенность в нормативно-правовой сфере — вот те факторы, которые Пекину не удалось решить для бизнеса.
Дорогой
Чтобы избежать проблем, компании, как правило, консультируются со сторонними агентствами по вопросам предоставления отчетов об оценке безопасности.
Однако стоимость услуг этих консалтинговых агентств может легко достигать сотен миллионов юаней, что ставит небольшие компании в невыгодное положение. Качество услуг этих агентств также может варьироваться.
Даже при помощи консультантов многим компаниям всё ещё сложно получить одобрение. По словам Чжан Яо, партнёра шанхайской юридической фирмы Sun & Young Partners, многие заявки, поданные впервые, не полностью соответствуют нормативным требованиям.
Хотя регулирующие органы уточнили требования по основным вопросам, касающимся того, какие данные необходимо передавать за границу, через какие системы, кому и существуют ли риски безопасности, «решение этих вопросов требует больших затрат и усилий» со стороны компаний.
А многонациональным компаниям, даже если им удастся отправить персональные данные за границу, все равно придется тратить средства на обеспечение соответствия требованиям при их последующем использовании, говорит Чэнь Цзихун, партнер пекинской юридической фирмы Zhong Lun.
Более того, передающая данные сторона должна предоставить информацию о зарубежном получателе в отчёте, чем готовы поделиться лишь немногие компании. Например, гигант Microsoft публично заявил, что «не будет сотрудничать» с запросами Китая на оценку безопасности данных.
(По данным Nikkei Asia)
Источник
![[Инфографика] Традиционная дружба Вьетнама и Сенегала](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/7/23/4c96a604979345adb452af1d439d457b)
Комментарий (0)