Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Защита прав граждан в киберпространстве по законодательству КНР

Обновлено 17.08.2024 05:10

 

В статье рассматриваются вопросы правового обеспечения защиты прав граждан в киберпространстве по законодательству Китая. Целью исследования является анализ теоретических и практических аспектов баланса защиты прав граждан и публичных интересов при использовании личной информации в информационно-телекоммуникационных сетях. Отмечается, что правовое регулирование защиты персональных данных на территории КНР осуществляется в пределах рамочного закона, устанавливающего общие принципы защиты персональных данных, и государственными регуляторами, определяющими правила применения закона. Делается вывод о наличии симбиоза европейского подхода к понятию персональных данных и китайской традиции о неприменимости категории основных прав и свобод человека к персональной информации.

 

Ключевые слова: персональные данные, личная информация, публичные интересы, киберпространство, кибербезопасность, информационно-телекоммуникационные сети.

 

Введение. Обеспечение защиты прав граждан любой страны в киберпространстве основано на существующих рисках, возникающих в процессе осуществления деятельности в цифровой среде. К указанным рискам могут быть отнесены: сбор сайтами личной информации о пользователях; хранение информации, накопленной о пользователях сети; создание профиля личности пользователя с учетом анализа поведения пользователя в киберпространстве; использование или распространение собранной информации о пользователях.

С развитием цифровых услуг защита персональных данных стала играть ключевую роль в области обеспечения и защиты личных прав граждан. Вслед за Европейским союзом все больше и больше стран по всему миру разрабатывают свои собственные правила защиты персональных данных, при этом часто берут за основу Руководящие принципы Организации по экономическому сотрудничеству и развитию (ОЭСР) по защите частной жизни и трансграничного обмена персональными данными [1] или Общий регламент по защите данных (GDPR) [2]. Некоторые страны, например США, выбрали отраслевой подход к защите данных посредством законов, регламентирующих отдельные виды правоотношений (по оказанию финансовых услуг, защите прав потребителей, защите прав и законных интересов детей и т.д.). Ряд стран, напротив, придерживается комплексного подхода к правовому регулированию защиты персональных данных (в частности, Канада, Япония, Сингапур).

На протяжении многих лет Китай сознательно предпочитал не вмешиваться в данную сферу правового регулирования. Однако развитие цифровых технологий и сети Интернет заставило пересмотреть устоявшиеся подходы.

Правовое регулирование кибербезопасности в КНР. С 1 июня 2017 г. в КНР действует Закон о кибербезопасности, принятый 7 ноября 2016 г. <1>. В отличие от GDPR, Закон о кибербезопасности Китая имеет более широкое правовое регулирование и распространяет свое действие не только на персональные данные граждан, но и на защиту национальной безопасности и суверенитета в киберпространстве [4].

--------------------------------

<1> Электронный ресурс. Закон Китайской Народной Республики о кибербезопасности представляет собой нормативный акт, разработанный для обеспечения сетевой безопасности, защиты суверенитета киберпространства и национальной безопасности, а также социальных и общественных интересов, защиты законных прав и интересов граждан, юридических лиц и других организаций, а также здорового развития экономической и социальной информатизации (см.: baidu.com).

 

Кибербезопасность определяется как меры, необходимые для предотвращения кибератак, вторжений, помех, разрушения, незаконного использования, неожиданных аварий, для обеспечения стабильности и надежности сетей. Закон определяет персональные данные как любые сведения, хранящиеся в электронной форме или любым другим способом, которые сами по себе или в совокупности с другими сведениями позволяют идентифицировать субъекта. Закон распространяется на компании, осуществляющие сбор и обработку персональных данных, включая иностранные компании. Если компания не соблюдает требования данного закона, она может быть привлечена к ответственности в виде штрафа в размере до десятикратной суммы незаконно полученной прибыли, запрета на осуществление деятельности в сети Интернет, отзыва лицензии на ведение предпринимательской деятельности.

Закон о кибербезопасности КНР в зависимости от типа и сферы деятельности разделяет компании, которые осуществляют сбор или обработку персональных данных, на "операторов сети" и "операторов критически важной информационной инфраструктуры".

К операторам сети относятся владельцы, управляющие и провайдеры сети, что, как правило, включает любую компанию, которая предоставляет услуги посредством использования сети Интернет, т.е. в настоящее время это большинство компаний.

Категория операторов критически важной информационной инфраструктуры не имеет точного определения и включает компании, принадлежащие к стратегически важным секторам (телекоммуникации, финансы, энергетика, транспорт) или использующие информационную платформу.

Кроме того, в эту категорию входят компании, объем собранных или обработанных данных которыми превышает порог в 1 000 ГБ, либо такие, нарушение сетевой безопасности которых может привести к ущербу, превышающему порог, соответствующий штрафу в размере от 10 000 до 100 000 юаней, а также компании, не подпадающие под категорию операторов критически важной информационной инфраструктуры, но собирающие или обрабатывающие персональные данные от имени оператора критически важной информации.

Различие между этими двумя категориями на практике утратило свою актуальность в связи с принятием дополнительных положений, ужесточивших обязательства операторов сетей, приблизив их, таким образом, к правовому режиму операторов критически важной информационной инфраструктуры.

Среди существующих в настоящее время отличий следует назвать обязанность операторов критически важной информационной инфраструктуры назначать сотрудника по безопасности, сертифицированного Управлением киберпространства Китая, а также обязанность Управления киберпространства Китая осуществлять проверки безопасности операторов критически важной информационной инфраструктуры при совершении онлайн-сделок по приобретению товаров и услуг.

В главе Закона о кибербезопасности КНР, посвященной информационной безопасности, основное внимание уделяется защите самих персональных данных. Важное место отводится согласию пользователя, данные которого подлежат обработке. Их сбор, использование, передача не могут осуществляться без его согласия, и в случае повреждения или утечки этих данных пользователь должен быть предупрежден. Субъект персональных данных должен иметь возможность потребовать от любой компании удалить собранные о нем данные.

В 2021 году в Китае появились новые правила, официально закрепляющие практику цензуры. Производители информационного контента должны воспроизводить и публиковать информацию, соответствующую принципам китайского государства. Компаниям предлагается продвигать идеологию Коммунистической партии Китая, а также ее решения и проекты, укреплять влияние китайской культуры в мире и показывать настоящий Китай, соответствующий положительному имиджу страны и ее интересам. Указанные положения ограничивают свободу слова, однако в Китае соблюдение правил, установленных партией, рассматривается как знак уважения к китайской культуре.

Правила запрещают пользователям сети публиковать негативный контент, они должны продвигать любой контент, который говорит о хорошем вкусе, стиле и ответственности, который восхваляет правду, доброту и красоту, который способствует единству, взаимопониманию и стабильности. Распространение контента, наносящего ущерб чести и интересам нации, является незаконным. Пользователи должны прославлять основные ценности социализма, пропагандировать моральную культуру и дух китайского времени и точно описывать дух китайской нации. Все лица и организации, использующие киберпространство, должны в обязательном порядке соблюдать Конституцию страны и законы. Кроме того, китайское правительство призывает уважать "социальную мораль", что означает, что пользователи сети не должны подвергать кибербезопасность риску, чтобы не нарушить национальную честь и национальные интересы. Товары и услуги, распространяемые в киберпространстве, должны соответствовать действующим национальным требованиям. Сервисные платформы обязаны придерживаться "основной ценностной ориентации" китайского государства.

Защита личной информации в законодательстве КНР. 1 ноября 2021 г. на территории Китая вступил в силу Закон о защите личной информации (Personal Information Protection Law of the People's Republic of China (PIPL)), принятый 20 августа 2021 г. на 30-м заседании Постоянного комитета Всекитайского собрания народных представителей 13-го созыва <2>. Он ввел понятие "важные данные", т.е. такие данные, которые могут напрямую повлиять на национальную безопасность, экономику, социальную стабильность или здоровье населения в случае их утечки, а также понятие "конфиденциальные персональные данные", т.е. такие данные, утечка, опубликование или злоупотребление которыми может поставить под угрозу безопасность физических лиц или их имущества, привести к нарушению деловой репутации третьих лиц или к дискриминации.

--------------------------------

<2> Закон Китайской Народной Республики о защите личной информации // China's Leading Corporate Service Provider Электронный ресурс.

 

Конфиденциальные персональные данные включают в том числе биометрические данные, религиозные убеждения, данные о состоянии здоровья лица, его месте жительства и финансовом положении. Обработка конфиденциальных данных возможна только для конкретной цели и при условии принятия строгих мер безопасности. Операторы сети, собирающие важные данные или конфиденциальные персональные данные, обязаны назначить ответственного за реализацию программы защиты таких данных, осуществлять рассмотрение жалоб, связанных с этими данными, и взаимодействовать с национальными органами власти, такими как Управление киберпространства Китая.

Таким образом, перед любой передачей персональных или важных данных за пределы Китая оператор критически важной информационной инфраструктуры должен провести самооценку, направленную на обеспечение безопасности данных, и получить одобрение компетентного национального органа. Оператор сети должен соблюдать те же ограничения в случае передачи важных данных, но ему не требуется запрашивать одобрение национального органа в отношении передачи персональных данных за пределы Китая.

Перед началом оказания услуг компании должны убедиться в подлинности персональных данных своих клиентов или пользователей. Это положение может препятствовать свободе выражения мнений, поскольку собранные данные могут быть переданы национальным властям по их запросу. Аналогичным образом требование хранить информацию на серверах в Китае и сотрудничать с национальными органами власти может поставить под угрозу коммерческую тайну. Китай стремится обеспечить безопасность цепочки поставок критически важной информационной инфраструктуры и гарантировать национальную безопасность. Это достигается путем проверки кибербезопасности, которую должны пройти операторы и которая позволяет китайским властям гарантировать, что вся информация, передаваемая указанными операторами, будет доступна властям.

Закон КНР о защите личной информации распространяет свое действие на компании, осуществляющие обработку данных на территории Китая. Если обработка персональных данных осуществляется за пределами Китая, то закон применяется в отношении персональных данных физических лиц, находящихся на территории Китая, при наличии одного из следующих обстоятельств: компания осуществляет деятельность по реализации товаров или услуг физическим лицам на территории Китая; компания осуществляет деятельность по анализу и оценке поведения потребителей на территории Китая; наличие других обстоятельств, предусмотренных законом или административным регламентом Китая [3].

Оператор персональных данных для предоставления персональных данных стороне за пределами территории КНР должен соответствовать одному из следующих критериев: иметь положительное заключение о прохождении безопасности, выданное национальным Управлением киберпространства; обладать сертификатом защиты персональных данных, выданным специализированным учреждением в соответствии с положением национального Управления киберпространства; иметь заключенный договор с иностранным получателем данных в соответствии со стандартным договором, разработанным национальным Управлением киберпространства.

Операторы критической информационной инфраструктуры обязаны хранить персональные данные на территории Китая. В случае необходимости передачи данных за пределы страны требуется проводить оценку безопасности национальным Управлением киберпространства. Таким образом, для передачи персональных данных за пределы территории Китая необходимо иметь одобрение со стороны китайского контролирующего органа и согласие субъекта персональных данных.

В отличие от Закона КНР о кибербезопасности, Закон КНР о защите личной информации прямо исключает из категории персональных данных анонимную информацию. Обработка персональных данных ограничена явными и разумными целями и минимально требуемым объемом собираемых сведений, необходимым для целей обработки в соответствии с принципами открытости и прозрачности. Обработка, использование и передача персональных данных, ставящая под угрозу национальную безопасность или наносящая ущерб общественным интересам, признается незаконной.

По общему правилу обработка персональных данных на территории Китая возможна только с согласия субъекта персональных данных. Однако Закон предусматривает ряд случаев, когда это возможно без получения согласия. Во-первых, речь идет о случаях, когда обработка данных была необходима для выполнения установленных законодательством обязательств, управления кадрами в соответствии с трудовыми нормами и правилами, а также в целях заключения и исполнения договора, стороной которого является физическое лицо. Во-вторых, это группа случаев, связанная с обстоятельствами непреодолимой силы: при чрезвычайных ситуациях в целях защиты жизни, здоровья и имущества физических лиц, при информационных репортажах в общественных интересах. Наконец, обработка персональных данных не требует согласия, если лицо само раскрыло сведения о себе.

Если иностранные организации или физические лица нарушают права и законные интересы граждан КНР при обработке персональных данных или создают угрозу национальной безопасности, национальное Управление киберпространства может включить такие организации или физических лиц в список ограниченных получателей персональных данных и запретить предоставлять персональные данные в отношении указанных организаций или физических лиц.

Защита личных данных в судебной практике КНР. 11 апреля 2022 г. Верховный народный суд Китая опубликовал типичные дела о судебной защите прав личности, среди которых особое место занимает дело о нарушении прав личности посредством интеллектуального алгоритмического программного обеспечения. Программное обеспечение с использованием технологии искусственного интеллекта, права на которое принадлежали ответчику, использовало образ физического лица без его согласия и создало на его основе виртуального персонажа. Проблема заключалась в том, что ответчик лишь создавал условия для загрузки данных истца, а саму загрузку осуществляли пользователи. В ходе судебного разбирательства суд Пекина постановил, что действия ответчика связаны с использованием общего образа личности, включая портрет и имя истца. Хотя конкретные изображения были загружены сторонними пользователями, применение алгоритмов ответчика фактически поощряло и организовывало загрузки пользователей. Соответственно, ответчик перестал быть просто нейтральным поставщиком технических услуг и, следовательно, должен нести ответственность за нарушение прав истца на имя, изображение и личность в целом как поставщик услуг контента.

Интерес также представляет дело о незаконной торговле личной информацией. Согласно обстоятельствам дела ответчик на протяжении длительного времени осуществлял продажу персональных данных, включающих имена, номера телефонов, адреса электронной почты и т.п. пользователей WeChat, QQ и других интернет-ресурсов.

Истец заявил, что ответчик открыто и незаконно покупал, продавал и распространял персональные данные в сети Интернет без согласия субъектов персональных данных, в результате чего личная информация была незаконно использована, нарушив права и интересы лиц, которых она касалась, и общественные интересы.

Суд указал, что при получении персональных данных организации или физические лица должны обеспечивать информационную безопасность в соответствии с законом и не вправе незаконно собирать, использовать, обрабатывать или передавать персональные данные. Ответчик незаконно получил персональные данные физических лиц без их согласия и незаконно продал их с целью получения прибыли. Данное дело является первым гражданским судебным процессом в общественных интересах по защите персональных данных после введения в действие Гражданского кодекса КНР. Суд разъяснил, что крупномасштабное посягательство на персональные данные представляет собой нарушение общественных интересов в области общественной информационной безопасности <3>.

--------------------------------

<3> 11.04.2022 // Электронный ресурс.

 

Выводы. Особенностью правового регулирования защиты персональных данных в киберпространстве на территории КНР является наличие рамочного закона (PIPL), вводящего основные принципы регулирования защиты персональных данных, в то время как регулирование отдельных вопросов применения закона осуществляется государственными регуляторами, в частности Управлением киберпространства Китая.

Понятие персональных данных используется китайским законодателем в контексте европейской правовой традиции. При этом право на защиту личной информации в Китае не относится к категории основных прав и свобод человека и не считается правом личности. Так, если в ЕС защита личности в киберпространстве имеет приоритет перед публичными интересами, в Китае приоритет отдан защите публичных интересов. Европейский подход демонстрируют принципы соблюдения баланса прав и законных интересов граждан и публичной власти и разумности ограничений прав граждан, в то время как китайский подход обращает внимание на экономический потенциал данных и государственные интересы, публичную безопасность и пропаганду государственной идеологии.