С момента введения в действие «Закона о кибербезопасности» в 2017 году китайское законодательство и новые нормативные требования, направленные на защиту личной конфиденциальности, безопасности данных и сетевой безопасности, всегда находились под пристальным вниманием предприятий, занимающихся электронной коммерцией, полагаясь на интернет, большие данные и пользователей. 4 июля 2021 года Администрация киберпространства Китая впервые публично запустила процедуру проверки сетевой безопасности на предприятиях и, таким образом, провела проверку нескольких поставщиков услуг онлайн, в том числе ведущую службу вызова такси DiDi Chuxing, и объявило, что DiDi «имеет серьезные проблемы со сбором и использованием частной информации, что нарушает законы и правила». Администрация выпустила наказание в виде блокировки приложения, прекращения регистрации новых пользователей и требования исправления, дав таким образом строгий нормативный сигнал.

Только 10 июня 2021 года постоянный комитет всекитайского собрания народных представителей принял Закон о безопасности данных КНР, который вступит в силу 1 сентября 2021 года, что ознаменовало ускорение законодательного процесса в правовой системе Китая по сетевой информационной безопасности. Хотя в вышеупомянутом исследовании сетевой безопасности против DiDi администрация цитировала Закон о кибербезопасности в качестве правовой основы, вполне предсказуемо, что в подобных случаях в будущем Закон о безопасности данных будет иметь не меньшее значение, чем Закон о кибербезопасности.

Юрисдикция

Закон о безопасности данных в основном регулирует всю деятельность по обработке данных на территории Китайской Народной Республики, включая сбор, хранение, использование, обработку, передачу, предоставление и раскрытие данных. Если действия по обработке данных могут нанести ущерб национальной безопасности, общественным интересам или законным правам и интересам граждан или организаций Китайской Народной Республики, юрисдикция может распространяться на иностранных физических и юридических лиц. Почти все предприятия, использующие интернет, большие данные и личную информацию пользователей для работы, будут затронуты законом.

Значимость

Принятие Закона о безопасности данных знаменует собой следующий шаг в структуре системы надзора за безопасностью данных в Китае с момента вступления в силу Закона о кибербезопасности и закладывает основу для создания соответствующих правовых систем. Как специальный закон, Закон о безопасности данных является подзаконным актом Закона о национальной безопасности. Он будет служить основным и руководящим правовым документом и станет правовой основой для разработки ряда последующих законов.
Регулирование операций с данными

Впервые в Законе о безопасности данных указывается, что система торговли данными устанавливается и регулируется государством. Это означает, что впервые в законодательстве была признана законность транзакций данных и поставщиков услуг транзакций данных. В настоящее время под руководством правительства были налажены обмены большими данными в Пекине, Шанхае, Шэньчжэне и т. д. Мы ожидаем, что транзакции с данными станут более регулируемыми, получат более рациональное и глубокое развитие.

Ожидания в отношении соответствия предприятий

В соответствии с Законом о безопасности данных, лица, осуществляющие деятельность по обработке данных, должны, будь то предприятия или частные лица, выполнять обязательства по защите данных, обязательства по отчетности о безопасности данных и оценке рисков безопасности данных.

Обязательства

В соответствии с Законом о безопасности данных, если предприятие не выполнит вышеупомянутые обязательства, такие как обязательства по защите данных, обязательства по отчетности и обязательства по оценке рисков, при нормальных условиях предприятие столкнется с такими обязательствами, как распоряжение об исправлении, предупреждение и штраф от 50 000 до 500 000 юаней. Лицу, непосредственно ответственному за это, может грозить штраф в размере от 10 000 до 100 000 юаней. Если обстоятельства сбоя серьезны, предприятию могут грозить такие обязательства, как приостановление деятельности, отзыв лицензии или бизнес-сертификата, а также штраф от 500 000 до 2 000 000 юаней. Лицу, непосредственно ответственному за это, будет грозить возможный штраф в размере от 50 000 до 200 000 юаней.

Между тем, если будут нарушены обязательства, связанные с трансграничной передачей данных, предприятию может грозить штраф в размере до 5 миллионов юаней, а ответственному лицу-штраф в размере до 500 000 юаней; если будут нарушены правила системы управления основными данными государства и будет нанесен ущерб национальному суверенитету, безопасности и интересам развития, предприятию может грозить штраф в размере до 10 миллионов юаней, а ответственному лицу-штраф в размере до 1 миллиона юаней.

Заключение

В целом Закон о безопасности данных охватывает прочную и четкую основу национальной безопасности, при этом соответствующие меры по реализации должны быть четко обнародованы в будущем. Тем не менее, для отечественных предприятий важно рассматривать меры по соблюдению требований к данным в качестве одного из ключевых факторов в повестке дня, касающейся дизайна продукции и размещения на рынке. Важной частью должна быть координация с государством для создания системы классификации и защиты данных и создания внутреннего механизма контроля за управлением данными.

Стоит ожидать, что в ближайшее время будет издано несколько вспомогательных административных регламентов, и этот закон вступит в силу 1 сентября 2021 года, включая административные регламенты министерств, а также меры по реализации и нормативные акты местных органов власти. С практической точки зрения Закон о безопасности данных, несомненно, окажет глубокое влияние на функционирование бизнеса и внутреннее управление предприятиями.
Материал подготовлен компанией D’Andrea and Partners (Китай).

Подробнее на ChinaLogist.ru:
https://chinalogist.ru/articles/novyy-zakon-kitaya-o-bezopasnosti-dannyh-zakonodatelstvo-o-bezopasnosti-dannyh-v-internete