Контроль без деталей: эксперты о новом законе безопасности данных в Китае

Время чтения: 4 мин
Серверные стойки в серверной комнате облачного дата-центра. Изображение: BigStock/Kwarkot

(Автор: Саванна Биллман)

Китай рассматривает возможность широкомасштабных изменений правовой основы сектора безопасности данных. Китайские эксперты раскритиковали проект за недостаток конкретных деталей. 3 июля проект Закона о безопасности данных был открыт для рассмотрения Постоянным комитетом Всекитайского собрания народных представителей (ПК ВСНП).

Почему это важно: Проект Закона о безопасности данных будет окончательно доработан ВСНП в этом году. Это попытка исправить годы слабого регулирования, основанного на путанице из предыдущих законов. Проект ужесточает правила доступа и распространения данных, создает новые управленческие обязанности для организаций, работающими с данными на территории материкового Китая, а также продвигает использование государственных данных. Все эти вопросы ранее не рассматривались в законодательстве.

  • Организации, которым требуется доступ к китайским пользовательским данным, должны будут соблюдать новые строгие требования безопасности данных, такие как создание специальных руководящих должностей и регулярное проведение оценки рисков, или уплата огромных штрафов до 1 млн юаней ($143 тыс.).

Закон о безопасности данных является основополагающим законом, который окажет большое воздействие на их защиту в Китае, особенно в области управления безопасностью данных, трансграничную передачу данных и ответные действие на дискриминационные меры в отношении Китая.

— Ма Цзюнь, Ningren Law

Детали: Новый законопроект означает, что защита «кладезя» информации, собранного в результате ставки страны на большие данные, является главным приоритетом для правительства.

  • Сфера применения закона расширяется, позволяя Китаю принимать юридические меры против тех, кто стремится нанести ущерб национальной безопасности и интересам страны.
  • Он также обещает принятие соответствующих мер в отношении стран, ограничивающих потоки данных и трансфер технологий в Китай.
  • Отдельные регионы и учреждения должны классифицировать то, что считается важными данными на основании экономического развития, национальной безопасности и общественных интересов.
  • Делающие ставку на большие данные правительственные учреждения провинциального и более высокого уровня, должны будут разработать планы развития цифровой экономики.
  • Военные данные, государственная тайна и личная информация будут регулироваться отдельными положениями.

Данные являются основным ресурсом для построения цифровой экономики. Ценность данных заключается в их свободном потоке, развитии и использовании. Предпосылкой всего этого является гарантия безопасности данных.

— Ци Айминь, Chongqing University School of Law

Требует доработок: 5 июля на онлайн-конференции, проведенной Китайским институтом коммуникаций (China Institution of Communications), эксперты указали на пробелы в законе. Во время вебинара проректор Китайского университета политических наук и права Ши Цзяньчжун заявил, что в настоящее время конкретные положения проекта документа недостаточно отражают разнообразные законодательные цели.

Сотрудник научно-исследовательского центра развития Госсовета Ли Гуанцянь отметил, что Закон о безопасности данных охватывает все аспекты защиты данных, но в нем все еще существуют недостатки. С точки зрения защиты отраслевых данных, каждый их вид имеет свои особые характеристики, поэтому их требования к безопасности также различаются.

Ли также выразил обеспокоенность по поводу терминологических различий между понятиями «данные» и «информация»: Статья 3 законопроекта определяет данные как «любую запись информации в электронной или неэлектронной форме». Объединение этих двух терминов потенциально создает трудности для юристов, которые будут интерпретировать эту статью в будущем.

В целом Закон о безопасности данных недостаточно конкретен, чтобы успокоить юристов. По словам Ма Цзюня, положения системы безопасности, положения об обязательствах и ответственности нуждаются в дальнейшем уточнении для улучшения практичности.

Устранение пробелов: За последние несколько лет индустрия данных в Китае управлялась множеством регламентов, а не одним всеобъемлющим законом. Эти законы регулировали лишь небольшую часть отрасли, оставляя вопросы без ответа и огромные пробелы.

  • В соответствии с законом о кибербезопасности 2017 года пользователи должны предоставлять информацию о реальных именах. Также закон требует, чтобы китайские данные хранились в сети на материковых серверах.
  • Спецификация безопасности персональных данных (Personal Information Security Specification) вступила в силу в мае 2018 года и была пересмотрена в январе 2019 года. Она специально нацелена на управление личными данными, такими как реальные имена и адреса, идентификационные номера, коммуникационные записи и другое.
  • Гражданский кодекс Китая, который вступит в силу в 2021 году, гарантирует частным лицам право на неприкосновенность частной жизни, но не разъясняет, каким образом это будет защищаться или регулироваться.
  • Закон о безопасности данных основан на этих трех положениях. Эксперты обеспокоены тем, как юристы будут справляться с этим дублированием.
  • Закон о защите персональных данных все еще находится на стадии обсуждения ВСНП. Он установит положения и правовые механизмы для защиты персональных данных. Текст проекта еще не опубликован.

По словам Ци Айминя, части закона о безопасности данных, касающиеся личной информации, должны рассматриваться исключительно в рамках закона о защите персональных данных. В противном случае, после вступления в силу Закона о защите персональных данных, это вызовет путаницу в законодательной системе и применении соответствующих законов, касающихся судебной практики.

Гражданский кодекс подчеркивает важность конфиденциальности китайских данных. Ма Цзюнь рад, что новое законодательство пойдет еще дальше в регулировании индустрии данных. Закон о безопасности данных более четко определяет принцип равного внимания развитию индустрии данных и обеспечению их безопасности.