Отдельные аспекты правового регулирования защиты персональных данных по законодательству Китая в эпоху цифровых технологий 2
Предлагаемая статья посвящена исследованию вопросов, связанных с анализом правового регулирования защиты персональных данных по законодательству Китая в эпоху новых цифровых технологий. Закон КНР "О защите персональных данных" 2021 г. обладает некоторыми схожими чертами с Общим регламентом ЕС по защите данных, но в то же время выделяется прагматичностью регуляторного воздействия на общественные отношения. В Российской Федерации рассматриваемые вопросы попали в поле зрения законодателя значительно раньше, в частности, стоит отметить Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и Федеральный закон от 7 мая 2013 г. N 99-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных". Данные акты направлены на защиту прав и свобод лиц и граждан при обработке персональных данных, включая неприкосновенность частной жизни, и распространяют действие на весь процесс обработки персональных данных, включая неавтоматизированную обработку персональных данных. Учитывая имеющийся временной лаг в правовом регулировании рассматриваемых вопросов в России и КНР, очевидным образом существуют различия в подходах к обработке персональных данных в наших странах, в частности, в России разработан законопроект, позволяющий физическим лицам удалять свои персональные данные из коммерческих баз данных, это повышает ценность правовых исследований в данной области и позволяет прогнозировать юридическое развитие регуляторной политики государства с учетом релевантного зарубежного опыта.
Ключевые слова: правовое регулирование, персональные данные, КНР, Россия, цифровые технологии, законодательство.
Согласно данным Информационного центра сети Интернет Китая (China Internet Network Information Center) <1>, по состоянию на июнь 2023 г. число интернет-пользователей в Китае достигло 1,079 млрд человек, а уровень проникновения Интернета достиг 76,4%. По этим показателям Китай продолжает оставаться самой крупной страной в мире. В последние годы в связи с быстрым развитием и широким проникновением новых информационно-коммуникационных технологий, таких как облачные вычисления, большие данные, блокчейн, 5G и искусственный интеллект, происходит активное проникновение Интернета в отрасли традиционной экономики <2>. Ускорение цифровой трансформации прямо связано с увеличением количества случаев обработки персональных данных. В связи с этим проблемы сбора, обработки, а также усиления защиты персональных данных стали важнейшими практическими вопросами, которым в КНР придается большое значение, а со стороны представителей общественности звучат определенные опасения.
--------------------------------
<1>
<2> Севальнев В.В. Отдельные аспекты правового регулирования электронной коммерции и смарт-контрактов по законодательству КНР // Правовое регулирование договорных отношений, возникающих в связи с развитием цифровых технологий (смарт-контрактов): Сборник научных статей: Материалы круглого стола (г. Москва, 19 декабря 2018 г.). М.: Издательская группа "Юрист", 2019. С. 84 - 91.
В августе 2021 г. Постоянный комитет Всекитайского собрания народных представителей (далее - ПК ВСНП) принял Закон КНР "О защите персональных данных" (далее - Закон КНР ЗПД), который вступил в силу 1 ноября 2021 г. <3> Закон КНР ЗПД является первым специальным законодательным актом в правовой системе КНР, который регулирует общественные отношения, связанные с защитой персональных данных. Данный правовой акт восполняет имевшиеся ранее недостатки правового регулирования в области защиты персональных данных в КНР. Как отмечают китайские исследователи <4>, рассматриваемый правовой акт в комплексе с Законами КНР "О сетевой безопасности" 2016 г., "О безопасности данных" 2021 г., "Об электронной коммерции" 2018 г. <5>, Гражданским кодексом 2020 г., Уголовным кодексом 1997 г. (ред. 2020 г.) и другими законами и нормативными правовыми актами создает основы системы законодательной защиты персональных данных в КНР и закладывает прочный фундамент для экономического и социального развития страны в условиях процесса цифровизации.
--------------------------------
<3>
<4>
<5>
Закон КНР ЗПД был принят в целях защиты персональной информации физических лиц, регулирования деятельности по ее обработке и содействия ее рациональному использованию на 30-м заседании ПК ВСНП XIII созыва 20 августа 2021 г. Закон состоит из 71 статьи, которые сгруппированы в 8 глав.
Основные принципы защиты персональных данных имеют важное функциональное значение, так как они содержат не только основные требования к осуществлению деятельности по обработке персональных данных, но и выступают основой для построения целостной системы защиты персональных данных, которая включает процесс и все аспекты обработки персональных данных. Закон КНР ЗПД учитывает релевантный международный и зарубежный опыт и правоприменительную практику, но прежде всего основан на китайской специфике. В ст. 5 - 9 Закона КНР ЗПД сформулированы базовые принципы защиты персональных данных. Во-первых, это принцип законности, надлежащего способа, необходимости и добросовестности. Данный принцип является базовым принципом защиты персональных данных в Китае. Он логически продолжает и развивает принцип законности, надлежащего способа и необходимости, ранее закрепленный в Законе КНР "О сетевой безопасности". Во-вторых, это принцип ограничения цели. Рассматриваемый принцип предусматривает, что обработка персональных данных должна содержать четкую и разумную цель. Этот принцип вместе с вышеизложенным принципом законности, надлежащего способа, необходимости и добросовестности устанавливают стандарт оценки целей обработки персональных данных, а также ограничивают деятельность по обработке персональных данных. В-третьих, это принцип открытости и прозрачности. В ст. 7 Закона КНР ЗПД установлено, что обработчики персональных данных обязаны раскрывать правила обработки и сообщать физическим лицам цель, метод и объем обработки персональных данных. В-четвертых, это принцип полноты и точности. Этот принцип означает, что обработчики персональной информации должны обеспечивать качество обрабатываемой ими персональной информации и избегать неблагоприятного воздействия на личные права и интересы из-за неточной и неполной персональной информации. В-пятых, это принцип защиты и безопасности. Основной целью этого принципа является обеспечение безопасности персональной информации при обработке различными способами и организациями в Китае.
Понятие и объем персональных данных составляют основу для проведения работ по защите персональных данных, а также являются отправной точкой для юридического механизма по защите персональных данных в правовом пространстве Китая. В доктрине китайского правоприменения существуют два подхода к определению понятия "персональная информация" - теория идентификации и теория корреляции. Так называемая идентификация означает, может ли физическое лицо быть идентифицировано в качестве стандарта определения личной и неличной информации. Это общий метод идентификации в традиционном законодательстве о защите личной информации <6>. В решении ПК ВСНП об усилении защиты информации в интернете от 2012 г. <7> было впервые на правовом уровне сформулировано понятие "идентификация"; в 2016 г. в Законе КНР "О сетевой безопасности" был закреплен подход к определению понятия "обобщение и перечисление" личной информации, которая, по существу, относится к идентифицирующим данным. В случае теории ассоциации под последней понимается получение дополнительной релевантной информации о конкретном индивиде, когда этот конкретный индивид известен. На практике ввиду ограниченности идентифицируемой информации в совокупности с динамичными изменениями атрибутов персональной информации трудно использовать универсальный метод защиты персональных данных. В Китае устоялось сочетание обоих подходов - идентификации и ассоциации - при обработке персональных данных, что расширяет содержание персональных данных как объекта обработки.
--------------------------------
<6>
<7>
Закон КНР ЗПД впервые закрепляет объем конфиденциальной личной информации в форме перечисления, определяя ее как "личную информацию, которая после утечки или незаконного использования может привести к нарушению личного достоинства физических лиц или их безопасности и имущества" (ст. 28), а также перечисляет биометрические данные, религиозные и подобные убеждения личности, медицинские данные, финансовые счета, местонахождение и личную информацию граждан в возрасте от 14 лет. Используемый в КНР подход в отношении конфиденциальной персональной информации основан на опыте Общего регламента Европейского союза по защите данных (далее - GDPR), но имеются различия в определении конкретных областей применения. В частности, ст. 9 GDPR прямо использует метод перечисления для определения конфиденциальных персональных данных, которые могут раскрыть расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработку генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица. Учитывая специфику конфиденциальной персональной информации, Закон КНР ЗПД устанавливает более строгие требования к деятельности по обработке конфиденциальной персональной информации.
Согласно ст. 13 Закона КНР ЗПД требуется получение личного согласия в качестве основы для законной обработки персональных данных физического лица. На этом основании нормы ст. 14 рассматриваемого Закона впервые закрепляют получение индивидуального согласия и письменного согласия физического лица. Индивидуальное согласие связано с концепцией общего согласия. Оно направлено на то, чтобы установить обязанность обработчиков личной информации информировать, а также подчеркивает, что компании должны побуждать отдельных лиц обращать внимание на обработку их личной информации и ясно информировать пользователей, а пользователь делает свой выбор. Принимая во внимание, что на практике существует большое количество таких вопросов, как авторизация и обязательное согласие пользователя на обработку персональных данных, Закон КНР ЗПД четко устанавливает отдельные требования согласия для следующих сценариев: предоставление, раскрытие и обработка конфиденциальной личной информации другим лицам. Обработчики личной информации должны отличать согласие в этих сценариях от согласия в других общих сценариях и избегать получения личного согласия через механизм авторизации.
Письменное согласие - это разновидность согласия, которая отличается от устного, и предназначена для усиления формальных требований к личному согласию. В соответствии со ст. 14 Закона КНР ЗПД установлено, что если личная информация законно обрабатывается путем получения согласия, а законы и административные регламенты предусматривают получение письменного согласия физического лица, то письменное согласие должно быть получено в соответствии с требованиями соответствующих нормативных актов. Формы письменного согласия могут различаться и быть выражены в виде контракта, почтового отправления, а также иных способов, включая бумажные и электронные методы.
Важной целью разработки Закона КНР ЗПД является уточнение прав владельцев персональных данных путем системного проектирования правовой системы с целью усиления контроля физических лиц за своей персональной информацией и достижения цели защиты персональных данных. Закон КНР ЗПД учитывает действующее законодательство КНР, а также практику Европейского союза, выраженную в GDPR. В Законе КНР ЗПД предусмотрена специальная глава "Права личности при обработке персональной информации", ст. 4 - 49 предусматривают ряд прав на личную информацию, таких как право знать, право принимать решения и право ограничивать обработку персональных данных. В то же время в целях обеспечения эффективного осуществления прав, связанных с личными данными, Закон КНР ЗПД также требует, чтобы обработчики персональных данных создали механизм приема и обработки заявлений физических лиц для осуществления своих прав, а также разработали соответствующие правила защиты таких прав. Например, ст. 45 предусматривает право на доступ и воспроизведение персональной информации и в то же время требует, чтобы обработчик персональной информации своевременно предоставлял такую информацию; другим примером является ст. 46, которая предусматривает право исправлять и дополнять персональную информацию и в то же время требует, чтобы обработчик персональной информации своевременно проверял, исправлял и дополнял эти данные. Кроме того, в целях защиты законных прав и законных интересов близких родственников умершего Закон КНР ЗПД учитывает соответствующие нормы ГК КНР, предусматривающие, что в случае смерти физического лица его близкие родственники согласно закону могут использовать соответствующую личную информацию умершего, в частности осуществлять права доступа, воспроизведения, исправления, удаления и т.д. (ст. 49).
В связи с непрерывным и быстрым развитием международной цифровой торговли спрос на трансграничную передачу личной информации все возрастает. Закон КНР ЗПД устанавливает Правила трансграничного предоставления персональных данных. Разработан набор четких и систематизированных правил трансграничного перемещения персональной информации, которые учитывают потребности защиты прав и интересов персональной информации. Объективные требования безопасности отвечают реальным потребностям международных экономических и торговых обменов. Существуют четыре юридических сценария для трансграничного предоставления личной информации. Закон КНР ЗПД предусматривает, что, если обработчикам персональных данных необходимо предоставить личную информацию зарубежным странам в связи с деловыми и другими потребностями, они должны пройти оценку на предмет безопасности, организованную национальным департаментом сетевых телекоммуникаций, или пройти сертификацию в профессиональной организации по защите персональных данных, или заключить договор, когда обе стороны соглашаются с правами и обязательствами или выполняют иные условия, предусмотренные законами, административными регламентами (ст. 38). Данные условия являются факультативными для трансграничного предоставления персональных данных, исходя из чего также должны быть выполнены два необходимых условия, а именно получение отдельного согласия субъекта - физического лица на трансграничное предоставление своих персональных данных и принятие необходимых мер по защите обработки персональных данных зарубежными получателями. Закон КНР ЗПД устанавливает ограничительные требования к трансграничному предоставлению нескольких видов специальной персональной информации. Во-первых, для персональной информации, обрабатываемой государственными органами, - она по умолчанию должна храниться на территории Китайской Народной Республики; во-вторых, для операторов критической информационной инфраструктуры и обработчиков персональной информации, обрабатывающих персональную информацию в определенном объеме, - в принципе персональная информация, собираемая и генерируемая этими организациями. Для вышеперечисленных типов субъектов, если действительно существует ситуация, когда необходимо предоставить личную информацию за рубеж, проводится оценка безопасности (ст. 36, 41). В КНР были усовершенствованы правила предоставления персональной информации зарубежным судебным или правоохранительным органам. В Законе КНР ЗПД приняты положения, которые согласуются с требованиями к обеспечению соблюдения законодательства о трансграничных данных Закона КНР "О безопасности данных". Для тех, кто нуждается в предоставлении личной информации за рубеж в связи с международной судебной помощью или административной правоприменительной помощью, четко указано, что они должны подать заявление для утверждения в соответствующих компетентных органах в соответствии с законом. Закон КНР ЗПД предусматривает систему черного списка для трансграничного перемещения личной информации, а также систему контроля за дискриминационными мерами в отношении других стран или регионов. В случае если зарубежные организации или физические лица занимаются деятельностью по обработке персональных данных, которая нарушает права и интересы китайских граждан в области персональных данных или ставит под угрозу национальную безопасность или общественные интересы, они могут быть включены в перечень ограничений или запретов на предоставление персональных данных (ст. 42).
Долгое время до разработки Закона КНР ЗПД по сравнению с огромными коммерческими выгодами, получаемыми компаниями, интенсивность и фактический размер штрафных санкций, установленных соответствующими законами Китая за незаконные действия таких компаний, были относительно низкими и не превышали 10 000 юаней. В Европейском союзе после вступления в силу GDPR по состоянию на октябрь 2021 г. имеется более 800 случаев наказаний с общей суммой штрафа, превышающей 1,29 млрд евро <8>. Закон КНР ЗПД значительно ужесточил наказания за незаконное обращение с персональной информацией или невыполнение обязательств по защите персональных данных. Статья 66 Закона КНР ЗПД разъясняет общую ответственность обработчиков персональных данных за нарушение положений и юридическую ответственность при наличии серьезных обстоятельств, когда может быть наложен штраф в размере не более 50 млн юаней или менее 5% от суммы оборота предыдущего года, также может быть принято решение о приостановлении соответствующего бизнеса или закрытии бизнеса для исправления. Кроме того, допускается отзыв соответствующей лицензии на предпринимательскую деятельность; возможно наложение штрафа на непосредственно ответственных лиц и других лиц. А также может быть принято решение о запрете для виновных лиц на работу в качестве директоров, супервайзеров, высшего управленческого персонала. Кроме того, ст. 69 Закона КНР ЗПД разъясняет систему гражданской ответственности, основанную на принципе презумпции вины, когда обработчики персональных данных причиняют ущерб, и устанавливает метод расчета убытков, понесенных физическими лицами в результате выгод, полученных обработчиками персональных данных, допускается использование судебных механизмов по данному вопросу, если стороны не могут достичь соответствующего соглашения.
--------------------------------
<8>
В процессе развития интернет-индустрии и цифровой экономики Китай придает большое значение защите персональной информации, придерживается стандартизации в разработке и развитии такой деятельности, а также эффективно защищает законные права и интересы граждан. Эволюция механизма защиты персональных данных в Китае характеризуется переходом от косвенной защиты к прямой и в итоге к комплексной защите персональных данных. В начале развития интернет-индустрии в Китае косвенная защита личной информации была в основном достигнута за счет защиты прав на частную жизнь граждан. Например, принятый в 2009 г. Закон КНР "О деликтной ответственности" предусматривал право на частную жизнь как гражданское право и защищал личную информацию гражданина. В 2021 г. данный Закон утратил свою силу в связи с принятием нового ГК КНР. Интернет-индустрия Китая вступила в стадию быстрого развития, поэтому государство стало защищать личную информацию на основании нового законодательства. В последние годы, когда личная информация и данные пользователей стали наиболее ценным ключевым фактором для различных отраслей экономики, в Китае усилили защиту личной информации граждан, в связи с чем Закон КНР "О защите персональной информации" стал не только ключевой частью законодательства в области защиты персональных данных Китая, но и всеобъемлющим и системным правовым актом, воспринявшим релевантный международный и зарубежный опыт.