Особенности правового режима персональных данных и больших данных в КНР
Правовые подходы КНР к охране, использованию и обороту персональных данных и больших данных заслуживают особого внимания в контексте компаративистских исследований ввиду стремительного технологического развития, а также эволюции цифровых и экономических отношений в стране и активного развития внешнеэкономической деятельности китайских компаний на международных рынках товаров и услуг. В стране развивается система правового регулирования защиты персональных данных посредством специального регулирования на основе правил, закрепленных в нормативных правовых актах разного уровня. Система защиты персональных данных базируется на Законе о кибербезопасности (CSL) 2017 г., Законе о защите персональной информации (PIPL) 2021 г. и Законе о безопасности данных (DSL) 2021 г., что позволяет судить о комплексном разнонаправленном подходе к охране и использованию данных в КНР применительно к разным субъектам и областям общественных отношений, а также формам их реализации. Поскольку система защиты персональных данных все еще развивается и ожидается, что в китайском праве будут появляться новые нормативные правовые акты в данной сфере, сопровождающие базовые законы PIPL и DSL, целесообразно осуществлять постоянный мониторинг правовой среды защиты данных в КНР. Отдельного внимания заслуживает и экстерриториальный характер действия китайского законодательства в сфере защиты персональных данных. Большие данные в современных условиях представляются важнейшим инструментом реализации экспортно-импортных отношений, они обладают потенциалом при проведении глубоких исследований товарных рынков, структуры экспорта и импорта в различных юрисдикциях, а также при осуществлении международного торгового комплаенса в целом.
Ключевые слова: Китай, большие данные, big data, персональные данные, пилотные зоны больших данных, правовое регулирование, кибербезопасность, безопасность данных, оборот больших данных, информация.
China's legal approaches to the protection, use, and processing of personal data and big data deserve special attention in the context of comparative research given the country's rapid technological development, the evolution of digital and economic relations, and the active development of foreign economic activity by Chinese companies in international markets for goods and services. The country is developing a system of legal regulation for the protection of personal data through special regulations based on rules enshrined in regulatory legal acts at various levels. The personal data protection system is built on the Cybersecurity Law (CSL) of 2017, the Personal Information Protection Law (PIPL) of 2021 and the Data Security Law (DSL) of 2021. This foundation demonstrates the Chana's comprehensive and multi-facet approach to the protection and use of data in relation to different entities and areas of public relations, as well as the forms of their implementation. Since the personal data protection system is still evolving and new regulations in this area are expected to appear in Chinese law, accompanying the basic PIPL and DSL laws, it is advisable to continuously monitor the legal environment for data protection in the PRC. The extraterritorial nature of Chinese legislation in the area of personal data protection also deserves special attention. Big data, in today's environment, is a crucial tool for implementing export-import relations. It has the potential to conduct in-depth research into commodity markets, export and import structures in various jurisdictions, and facilitate international trade compliance in general.
Key words: China, big data, personal data, big data pilot zones, legal regulation, cybersecurity, data security, big data processing, information.
Китайская Народная Республика, будучи государством с мощной цифровой экономикой и продвинутой системой экономики данных, а также стремительным и беспрецедентным развитием внешнеэкономической деятельности, уделяет особое внимание совершенствованию правовых подходов к защите, использованию и обороту разного рода данных, лежащих в фундаменте китайской экономики. Осознание собственных проблем, связанных с характером и объемом экономики страны, различного рода нарушениями в сфере информационно-правовых отношений, интеллектуальной собственности, заставляет китайское правительство ориентироваться на постоянный мониторинг и модернизацию нормативного правового регулирования защиты, использования и оборота персональных и больших данных, представляющих собой основу социально-экономического развития страны.
Отсутствие в Китае единого законодательного акта, который систематизировал бы нормативные положения о защите данных, не является свидетельством отсутствия эффективной их защиты, поскольку китайский подход к защите данных выстроен путем формирования отдельных специальных нормативных актов разного уровня <1>. Обозначенная система защиты персональных данных базируется на Законе о защите персональной информации (PIPL) 2021 г., Законе о кибербезопасности (CSL) 2017 г. и Законе о безопасности данных (DSL) 2021 г., что позволяет говорить о комплексном разнонаправленном подходе к охране и использованию данных в КНР применительно к разным субъектам и областям общественных отношений, а также формам их реализации.
--------------------------------
<1> См.: Data protection laws in China.
В Китае действует система законодательных актов в сфере защиты данных, ориентированных на вопросы безопасности данных в цифровом пространстве (с усиленными мерами ответственности) и понимающих данные в широком смысле, а также направленных на защиту персональных данных инструментами, которые уже учитывают современный мировой опыт в этой сфере. Важно, что наблюдаются не разрозненные процессы принятия законодательных актов по принципу лоскутного одеяла, а последовательное нормотворчество исходя из мирового опыта, когда последующий акт усиливает меры охраны и дополняет предыдущий, формируя тем самым системные связи в соответствующем нормативном массиве.
Помимо PIPL, CSL и DSL, в КНР основу общей структуры защиты персональных данных составляют следующие документы: Решение об усилении защиты информации в сети Интернет 2012 г.; Меры по оценке безопасности исходящих передач данных 2022 г.; Меры по положениям стандартного договора на исходящую передачу персональных данных, вступившие в силу с 1 июня 2023 г.; Положение об упрощении и регулировании трансграничной передачи данных 2024 г.; Регламент по управлению безопасностью сетевых данных, вступивший в силу с 1 января 2025 г.
В последние годы нормативные правовые акты в сфере защиты персональных данных были модернизированы и дополнены. К таким актам относятся, в частности, Национальный стандарт технологий информационной безопасности 2020 г.; Руководство по защите персональной информации в сети Интернет 2019 г.; Проект национального стандарта технологий безопасности данных "Требования к аудиту соответствия требованиям по защите персональных данных", опубликованный для обсуждения 12 июля 2024 г.; Руководство по идентификации конфиденциальной личной информации, вступившее в силу с 18 сентября 2024 г., и многие другие.
Таким образом, в Китае действует широкая и детализированная система правовой охраны персональных данных.
Если давать общую характеристику приведенным выше актам, то отмечается, что "Решение об усилении защиты информации в сети Интернет имеет ту же юридическую силу, что и закон, и его целью является защита безопасности онлайн-информации, защита законных прав и интересов граждан, юридических лиц или других организаций, а также обеспечение национальной безопасности и общественных интересов" <2>.
--------------------------------
<2> См.: Data protection laws in China.
Хотя Национальный стандарт технологий информационной безопасности и другие Руководящие принципы являются только техническими руководствами (подробно охватывающими ключевые вопросы, такие как передача данных, конфиденциальная персональная информация и права субъектов данных) и, соответственно, не имеют обязательной юридической силы, они исторически были эффективными регуляторами. Несмотря на то что PIPL имеет приоритет над различными Руководящими принципами, будучи ключевым законом, положения которого обязательны, Национальный стандарт технологий информационной безопасности и Руководящие принципы по-прежнему полезны для целей дополнения законодательства, особенно в любой части, которая не была рассмотрена в PIPL, CSL или DSL.
обратить внимание и на смежное законодательство. Например, положения Закона о деликтной ответственности обычно использовались для толкования прав на защиту данных как права на репутацию или права на неприкосновенность частной жизни <3>. Однако такое толкование не является явным. Особое значение приобретают нормы Гражданского кодекса КНР 2021 г., которые устанавливают принципы защиты данных, акцентируя внимание на неприкосновенности частной жизни физических лиц. Положения, содержащиеся в других законах и нормативных актах, также могут применяться в зависимости от отрасли или типа соответствующей информации (например, персональные данные, полученные финансовыми учреждениями и предприятиями в сфере электронной торговли; персональные данные, собранные поставщиками телекоммуникационных или интернет-услуг/контента; информация в сфере здравоохранения; генетическая информация и т.д.).
--------------------------------
<3> См.: Data protection laws in China.
Учитывая, что система защиты персональных данных все еще развивается и ожидается, что в китайском праве в рассматриваемой сфере будут появляться новые нормативные правовые акты, сопровождающие базовые законы PIPL и DSL, целесообразно осуществлять постоянный мониторинг правовой среды защиты данных в КНР.
Отдельного внимания заслуживает и экстерриториальный характер действия положения китайского законодательства в сфере защиты персональных данных. Так, ключевой Закон о защите персональной информации имеет экстерриториальное действие и распространяется на деятельность по обработке данных в КНР, по обработке данных резидентов КНР за пределами КНР, деятельность в целях предоставления продукции или услуг резидентам КНР, деятельность по аналитике или оценке поведения жителей КНР, любую другую деятельность, если это предусмотрено Законом или иными нормативными актами. PIPL распространяется как на государственные, так и на частноправовые отношения.
Таким образом, Китай признается государством, которое очень серьезно относится к конфиденциальности и суверенитету данных. Он прошел через несколько итераций, чтобы разрешить трансграничную передачу данных для транснациональных компаний <4>. В марте 2024 г. Управление кибербезопасности Китая представило Положения о содействии и регулировании трансграничного потока данных (новые положения), которые смягчили строгие требования к трансграничной передаче данных. Это развитие позволяет транснациональным компаниям более эффективно управлять своими данными, осуществляя при этом деятельность в соответствии с требованиями законодательства, но имеется также много случаев, когда персональные данные должны оставаться в пределах Китая.
--------------------------------
<4> См.: China's digital data sovereignty laws and regulations // InCountry Staff.
Что касается проблематики правового регулирования больших данных, то Китайское правительство старается действовать своевременно в контексте современных вызовов в этой сфере. Особого внимания в обозначенном контексте заслуживает План действий по содействию развитию больших данных (август 2015 г.), в рамках которого последовательно были сформированы и запущены национальные комплексные пилотные зоны больших данных с 2016 г., что является новой пилотной политикой больших данных, выпущенной китайским правительством для содействия развитию цифровой экономики <5>.
--------------------------------
<5> См.: Xinyun Hu, Yanling Jiang, Pengfei Guo, Mingming Li. How does China's Big data policy affect the digital economy of cities? Evidence from national Big data comprehensive pilot zones // Heliyon. 2024. Vol. 10. Iss. 2.
К таким пилотным зонам относятся: комплексная пилотная зона больших данных Гуйчжоу, две межрегиональные комплексные пилотные зоны (Пекин, Тяньцзинь, Хэбэй и дельта реки Чжуцзян), четыре демонстрационные комплексные пилотные зоны (Шанхай, Хэнань, Чунцин и Шэньян) и одна комплексная пилотная зона для общего развития инфраструктуры больших данных (Внутренняя Монголия). В пилотных зонах проводились систематические эксперименты по семи основным задачам (управление открытыми ресурсами данных и их совместное использование, интеграция центров обработки данных, применение ресурсов данных, циркуляция элементов данных, промышленная агломерация больших данных, международное сотрудничество в области больших данных и инновации в системах больших данных) и в конечном итоге формировались демонстрационные эффекты путем постоянного обобщения практического опыта, который можно использовать для справки, тиражирования и продвижения. Национальная комплексная пилотная зона больших данных - это новая пилотная политика больших данных, выпущенная китайским правительством для адаптации к Индустрии 4.0.
Экспериментальный характер пилотных зон содержит возможный потенциал модернизации и правовых подходов к охране больших данных с учетом территориальной и отраслевой особенностей их распространения и использования.
Некоторые ученые обеспокоены тем, что влияние государственной политики в этой сфере недостаточно определено <6> и многие страны смогут внести целевые корректировки в свою политику при меняющихся обстоятельствах. Отсутствуют верифицированные данные и достаточные научные исследования, которые позволили бы выявить закономерность влияния государственной политики в сфере больших данных на развитие цифровой экономики. Однако наличие соответствующей связи не вызывает сомнений, как и целесообразность модернизации правовых режимов больших данных с учетом появляющихся новых видов правонарушений, а также новых возможностей для их правомерного использования.
--------------------------------
<6> См.: Bhattacharya U., Hsu P.H., Tian X., Xu Y. What affects innovation more: policy or policy uncertainty? // Journal of Financial and Quantitative Analysis. 2017. Aug. 29. Vol. 52. Iss. 5. P. 1869 - 1901.
Введение национальной комплексной пилотной зоны больших данных в 2016 г. повысило уровень развития цифровой экономики на 2,8%. Преимущества политики больших данных Китая очевидны. Последняя служит стимулом для китайского правительства к дальнейшему укреплению строительства пилотных зон. Если говорить об иных зарубежных подходах к рассматриваемой проблематике больших данных, то, например, Инициатива США по исследованиям и разработкам больших данных, Стратегия австралийских государственных служб в области информационных и коммуникационных технологий и Общий регламент ЕС по защите данных (GDPR) являются важными документами по стратегиям больших данных стран по всему миру. При этом поддержать идею интеграции соответствующих документов на международном уровне для внедрения единой системы управления большими данными для разных стран и создания "процветающей экономики, основанной на данных" <7>.
--------------------------------
<7> См.: Xinyun Hu, Yanling Jiang, Pengfei Guo, Mingming Li. Op. cit.
Определяющим условием развития рассмотренных подходов к большим данным представляется и повышение уровня независимости и эффективности электронных форм обработки информации, электронных платформ и сервисов. Новейшие цифровые технологии и компетенции здесь опосредуют результативность пилотных зон, развитие соответствующих экономических процессов. Очевидна целесообразность мер стимулирования развития цифровых ресурсов и НИОКР в сфере базовых цифровых технологий. Результативный и последовательный трансфер последних в производственные и торговые процессы - крайне важное направление крупных проектов по использованию и защите данных. Между тем необходимо усилить формирование цифровых компетенций, в том числе посредством предоставления субсидий, предназначенных для формирования благоприятной инновационной среды.
Отмечая плановый подход к экономике в целом и экономике больших данных в частности, нужно сказать, что в специальных положениях 14-го пятилетнего плана, принятого в марте 2021 г., описывается стратегия Китая по развитию индустрии больших данных до 2025 г. Хотя план по большим данным содержит очень мало количественных целевых показателей для отрасли, он качественно описывает ближайшую перспективу Коммунистической партией индустрии больших данных Китая, которая включает как обеспечение более широкого доступа к большим данным, так и повышение безопасности данных. Так, констатируется, что данные являются ключевым фактором производства в новую эпоху и позиционируются как национальный стратегический ресурс. Большие данные представляют собой набор данных, который в основном характеризуется большой емкостью, множественностью типов, высокой скоростью, высокой степенью точности и высокой ценностью. Они служат новой движущей силой для экономических преобразований и развития, предлагают новый способ улучшения потенциала государственного управления и открывают новейшие возможности для усиления конкурентных преимуществ страны. Как стратегическая развивающаяся отрасль экономики, экономика больших данных фокусируется на создании, сборе, хранении, обработке, анализе данных и услугах. Это незаменимая поддержка для активации потенциала факторов производства данных и ведущий двигатель для ускорения улучшений качества, эффективности и импульса в экономическом и социальном развитии.
Период 2021 - 2025 гг. в 14-м пятилетнем плане был отмечен как критический для перехода промышленной экономики Китая к цифровой экономике. В обозначенном контексте предъявлены новые требования к развитию индустрии больших данных, с тем чтобы позволить ей войти в новый этап интегрированных инноваций, быстрого развития, углубленных приложений и структурной оптимизации. В целях содействия высококачественному развитию индустрии больших данных Китая этот план подготовлен в соответствии с общими развертываниями Концепции 14-го пятилетнего плана национального экономического и социального развития Китайской Народной Республики и долгосрочных целей на период до 2035 г.
Политика в сфере больших данных постепенно совершенствовалась. Центральный комитет партии и Государственный совет провели ряд стратегических развертываний вокруг цифровой экономики, фактора данных рынка производства и макета национальных интегрированных центров больших данных и создали межведомственную совместную систему конференций для содействия развитию больших данных. Соответствующие министерства и комиссии выпустили более 20 документов политики больших данных, а различные населенные пункты - более 300 связанных политик. Одновременно 23 провинции, автономные районы и муниципалитеты, а также 14 городов с независимым статусом планирования в рамках национального плана экономического и социального развития и города субпровинциального уровня создали агентства по управлению большими данными для постепенного формирования регионально интегрированной системы разработки и продвижения больших данных.
Кроме того, система продуктов и услуг в сфере больших данных, сосредоточенная на "ресурсах данных, базовом оборудовании, программном обеспечении общего назначения, отраслевых приложениях и обеспечении безопасности", обрела форму с 338 значимыми продуктами и решениями в сфере больших данных, выбранными по всей стране, и 400 пилотными проектами в сфере больших данных. Интеграция отрасли постепенно углублялась, и приложения больших данных расширялись из областей с хорошими ресурсами данных, таких как Интернет, финансы и телекоммуникации, в интеллектуальное производство, цифровое общество и цифровое правительство <8>. Большие данные сыграли чрезвычайно важную роль в профилактике и контроле эпидемий, а также возобновлении производства.
--------------------------------
<8> См.: "14th Five-Year" Plan for the Development of the Big data Industry // PRC Ministry of Industry and Information Technology.
При этом экосистема больших данных в Китае продолжает совершенствоваться. Региональная агломерация достигла значительных результатов: 8 национальных комплексных испытательных зон больших данных и 11 национальных демонстрационных баз новой индустриализации в области больших данных.
Говоря именно о законодательном подходе к большим данным в КНР, отметить, что Закон КНР о безопасности данных 2021 г. в ст. 32 устанавливает правило, согласно которому организация или физическое лицо должны собирать данные законными и надлежащими способами и не должны приобретать данные путем присвоения или другими незаконными способами. Если законы или административные правила содержат положения о целях или масштабах сбора и использования данных, данные должны собираться и использоваться для целей и в масштабах, предусмотренных этими законами и административными правилами.
Такой векторный подход к формированию базового правила именно Закона о безопасности данных о возможной регламентации больших данных в отраслевом законодательстве и соответствующих подзаконных актах представляется справедливым и возможным к восприятию в России, поскольку может проявляться разного рода специфика охраны и использования больших данных в тех или иных общественных данных. В частности, речь может идти о различных режимах секретности (разного рода тайн) применительно к составным элементам больших данных, различных сроках хранения данных, различных формах обработки данных, различных подходах к оборотоспособности, к трансграничной передаче и т.д.
Здесь указать на возможную коммерческую составляющую больших данных, на то, что вызывает интерес бизнеса и инвесторов. Анализ большого объема данных, безусловно, способствует формированию эффективных бизнес-решений, всеобъемлющих подходов к развитию знаний в той или иной области, что, в свою очередь, может форсировать и ускорять научно-технический прогресс и т.д. Но могут проявляться и негативные последствия манипулирования большими данными, связанные с рисками безопасности как самих данных, так и бизнес-процессов, а также сводящиеся к актам, практикам недобросовестной конкуренции. В обозначенном контексте нормативный подход к большим данным и соответствующий правовой режим должны быть комплексными, междисциплинарными, направленными на реализацию и охрану разнородных общественных отношений, поскольку информация как объект гражданских прав все чаще и в объемах присутствует в разнообразных правоотношениях.
В отдельную государственную функцию выведены создание надежных систем управления торговлей данными, стандартизация деятельности по торговле данными и поддержка развития рынка торговли данными.
Несмотря на описанные выше меры, конфиденциальность персональных данных в составе больших данных остается в Китае уязвимой, в том числе и для атак на трансграничном уровне; традиционные меры безопасности не полностью отвечают современным требованиям безопасности; необходимо улучшить механизм безопасности сетевых платформ, и в китайской науке отмечается важность принятия правительством Китая мер совершенствования нормативных актов и углубления сотрудничества в сфере глобальной цифровой экономики и разработки передовых технологий защиты данных <9>.
--------------------------------
<9> См.: Jingxuan Wang. Research on Security of Big data in China.
Наряду с этим происходит последовательная и перманентная модернизация системы управления безопасностью данных в Китае.
Соответствующие меры обусловлены и высоким уровнем правонарушений законодательства о защите данных, поскольку уже в 2021 г. миллиарды профилей личной информации были незаконно получены и проданы в даркнете, в результате чего пострадали и пожилые люди, и несовершеннолетние граждане, покупающие игровые аккаунты у мошенников. Уязвимость больших данных опосредуется и возможностью их незаконного использования в течение длительного периода времени. Полагаем, что и установление, и выявление неправомерного использования больших данных затрудняется ввиду массивного характера последних, компиляции данных мошенниками из разных источников одновременно.
Необходимо подчеркнуть, что трансграничный поток данных является особым атрибутом больших данных, а защита последних в трансграничных отношениях нуждается в отдельных мерах по согласованию и гармонизации государственных подходов к трансграничной передаче данных, уяснению их правовой природы. Риск утечки данных на международном уровне делает проблематику более объемной, требующей в том числе выработки автоматизированных решений, которые были бы интегрированы с национальными сервисами или имели бы некоммерческую, но в то же время наднациональную природу.
Отдельного внимания с учетом обозначенного заслуживает создание в Китае полной "трехкомпонентной системы управления" для трансграничной передачи данных, т.е. оценки безопасности исходящей передачи данных, сертификации защиты личной информации и стандартной системы подачи контрактов.
Кроме того, было создано Национальное бюро данных, которое совместно с Управлением киберпространства Китая, Министерством науки и технологий, Министерством промышленности и информационных технологий и 14 другими департаментами представило трехлетний план действий Data Factor x (2024 - 2026). Отмечается, что "эта инициатива предполагает стратегическое обязательство использовать преобразующую силу данных в различных секторах, включая промышленное производство, современное сельское хозяйство, коммерческий оборот товаров, транспортные услуги, финансовые услуги, научные инновации, культурный туризм, здравоохранение, управление чрезвычайными ситуациями, метеорологические службы, городское управление, а также зеленые и низкоуглеродные инициативы, а к концу 2026 г. планируется создать более 300 типичных сценариев применения системы с демонстративной значимостью и широким рекламным эффектом, а также реализовать амбициозную цель для индустрии данных, сводящуюся к поддержке ежегодного темпа роста, превышающего 20%" <10>.
--------------------------------
<10> См.: Jingxuan Wang. Op. cit.
Большие данные в современных условиях выступают важнейшим инструментом реализации экспортно-импортных отношений, поскольку обладают потенциалом проведения глубоких исследований товарных рынков, структуры экспорта и импорта в различных юрисдикциях, а также при осуществлении международного торгового комплаенса в целом.
Что касается международной торговли, надо понимать, что устройства Интернета вещей, используя геопространственное отслеживание, могут регистрировать в реальном времени процессы перемещения товаров и отклонения в этих перемещениях, а также обмениваться трансграничной электронной информацией в цифровом виде, предлагая более безопасный, эффективный, быстрый и экономичный способ сбора и обработки данных.
Использование больших данных, как уже сказано выше, позволяет оптимизировать и меры государственного контроля и надзора. Так, например, таможенно-акцизный департамент Гонконга начал генерировать большие наборы данных для сбора информации при принятии своевременных решений и долгосрочного планирования в рамках своих полномочий. Федеральная таможенная служба России также использует большие данные в своей деятельности, в том числе в рамках внедрения принципиально новой системы управления рисками (СУР). В частности, осуществляется переход к оценке каждой товарной партии в режиме онлайн. Модернизированная система предусматривает применение современных методов анализа больших данных, что позволяет оперативно выявлять факты несоответствия или искажения сведений, проводить обоснованные проверочные мероприятия <11>.
--------------------------------
<11> См.: Владимир Булавин рассказал об основных результатах работы ФТС России в 2021 году и озвучил планы на следующий год.
отметить и рост коммерческих услуг в сфере международной торговли, базирующихся на использовании больших данных (при исследовании товарных рынков, анализе конкурентного потенциала, особенностей местного законодательства в сфере торговли и др.).
К сожалению, даже несмотря на возможность успешной реализации, различные проекты big data терпят неудачу из-за отсутствия должного правового регулирования и правоприменения.
Использование и обработка больших данных при этом должны быть выстроены на основе четких, явных и согласованных целей и результатов. В обозначенном контексте необходимо учитывать особенности местного законодательства, специфику использования и оборота информации в конкретной юрисдикции, особенности законодательства о защите конкуренции, о рекламе и др.
Представляется важным развивать сотрудничество по выработке мер гармонизации в части систем трансграничного электронного документооборота, влияющего на уровень сотрудничества Китая и России и уровень внешнеторговых связей. Трансграничный оборот данных при электронном документообороте может сопровождаться нарушениями законодательства о персональных данных, правовых режимов использования больших данных по праву России и праву Китая, трансграничными утечками данных. Гармонизация соответствующих подходов может выражаться как в принятии отдельного межправительственного соглашения в целях обеспечения устойчивого двустороннего экономического сотрудничества, так и в выработке цифровых платформ, обеспечивающих единый формат обмена данными и их защиты.
