Китай только что принял большой закон о защите персональных данных. PIPL – это важный первый шаг на пути защиты частной жизни китайских граждан. Он предоставляет регуляторам новый набор оружия, которое можно использовать в борьбе против могущественных технологических фирм Китая
Явно вдохновлённый «Общим регламентом по защите данных» Евросоюза, китайский закон «О защите персональных данных» (сокращённо PIPL) включает широкий набор правил, которые регулируют, как именно технологические компании должны обращаться с данными пользователей. На первый взгляд он выглядит довольно жёстким: газета «The Wall Street Journal» даже назвала PIPL «одним из самых строгих законов о защите персональных данных в мире». Но, наверное, этот закон будет защищать китайских пользователей гораздо меньше, чем полагают многие, и даже может закрепить дальнейшее доминирование уже существующих технологических гигантов Китая.
Нет, конечно, PIPL – это важный первый шаг на пути защиты частной жизни китайских граждан. Он предоставляет регуляторам новый набор оружия, которое можно использовать в борьбе против могущественных технологических фирм Китая; он ограничивает возможность этих компаний заниматься алгоритмической ценовой дискриминацией; ужесточает правила международной передачи данных; вводит дополнительное бремя, связанное с соблюдением правовых норм, для крупных технологических фирм, которые определяются как «гейткиперы» («контролёры доступа»).
Защита персональных данных на предприятии Что нужно знать ответственному за ПДн
Но при более пристальном рассмотрении выясняется, что у закона PIPL есть свои серьёзные слабости. Прежде всего, этот закон требует от бизнеса и государственных ведомств получения согласия от человека до начала обработки персональной информации, однако освобождает их от необходимости получения такого согласия, когда для этого есть «установленные основания», при этом не конкретизируется, о каких именно установлениях идёт речь. Поскольку многие китайские государственные ведомства, в том числе центральные министерства и местные власти, обладают определёнными законотворческими полномочиями, масса различных правил и регламентов на более низком уровне потенциально может быть использована для обхода PIPL.
Особо следует отметить, что исключения могут быть предоставлены на основании правовых актов, которые способствуют развитию спорной китайской системы социальных кредитов. Народный банк Китая (НБК) разрабатывает руководящие указания по поводу кредитной информации, которые позволят включить массу потребительских данных из интернета (включающих, например, такие сферы, как транспорт, связь, недвижимость, платежи) в рамки его собственной кредитной системы.
Всё это выходит далеко за рамки существующей системы социальных кредитов, которая в основном собирает негативную кредитную информацию, например, дефолты по личным долгам и нарушения закона. Неудивительно, что эта инициатива вызвала горячие споры в Китае: многие утверждают, что новые правила представляют собой серьёзное нарушение конфиденциальности личной жизни. Но для НБК – это центральный элемент его амбициозного плана создания общенациональной кредитной базы данных. Данный шаг значительно усилит возможности государства давить на гигантов финтеха, например, компанию Ant Group, чтобы те передавали свои огромные массивы персональных данных в контролируемую государством инфраструктуру хранения.
Защита персональных данных | «Понятным языком»
Ранее компании сопротивлялись официальному давлению, ссылаясь на конфиденциальность данных потребителей. Однако начатая Китаем регуляторная война с техногигантами страны (особенно приостановка первичного размещения акций Ant Group на бирже) значительно усилила позиции НБК. И теперь центральный банк агрессивно проталкивает свой план создания кредитной базы данных – якобы во имя финансовой стабильности.
Закон PIPL оказывается слаб и на другом фронте: он не предполагает создания нового, независимого агентства защиты данных. Администрация киберпространства КНР будет отвечать за общую координацию, оставляя функции контроля за соблюдением закона разношёрстному набору регуляторов на национальном и местном уровнях, которые обычно плохо укомплектованы.
Именно этим, наверное, объясняется тот факт, что юридическое наказание оказалось не единственной формой контроля, предусмотренной в законе PIPL. Закон допускает мягкие правовые меры, например, проведение административных бесед с фирмами, на которых власти могут потребовать, чтобы они исправили своё поведение. Хотя такие мягкие меры могут стать гибкой и эффективной альтернативой жёсткому юридическому наказанию, они могут предоставить бюрократам слишком много свободы для произвольных действий и ослабить сдерживающий эффект.
Кроме того, новый закон вряд ли сможет ограничить рыночную силу техногигантов Китая. У этих компаний много денег и сильная юридическая поддержка; такие ресурсы ставят их в достаточно сильное положение, позволяя выдержать издержки соблюдения закона PIPL. Чего нельзя сказать об их конкурентах поменьше.
Примером здесь служит содержащееся в законе требование о переносимости данных (оно позволяет потребителям легко переносить свои персональные данные между различными онлайн-платформами). Данное правило призвано стимулировать «multihoming» (когда потребители используют множество платформ), а также сократить издержки потребителей, связанные со сменой платформы. Но, как показывают исследования, данная норма может лишить новых игроков стимула выходит на рынок, поскольку бизнес поменьше часто не в состоянии позволить себе издержки вынужденной передачи данных.
Кроме того, строгая защита персональных данных может поставить компании поменьше и новых игроков в менее выгодное конкурентное положение. Взгляните на ByteDance, который обязан своим экспоненциальным ростом применению алгоритмов, оценивающих предпочтения потребителей и рекомендующих релевантный контент и рекламу. В условиях более строгой защиты данных ByteDance не смог бы получать достаточно данных, чтобы стать настоящим соперником для уже существующих фирм. Если новые игроки не смогут собирать данные, которые необходимы им для того, чтобы конкурировать, это, в конечном итоге, может навредить пользователям, то есть тем самым людям, которых законы о конфиденциальности персональных данных призваны защищать.
Новый закон о защите персональных данных в Китае несомненно повысит бремя соблюдения правовых норм для крупных технологических компаний страны, которые на протяжении последних десяти месяцев испытывают сильный натиск регуляторов. Но в конечном итоге закон PIPL может стать для них замаскированным добром.
Источник: mobiusdata.ru
Как закон о защите данных в Китае сработал против технологических компаний
1 сентября в КНР вступил в силу закон о защите данных, который уже называют самым строгим в мире. Заявленная цель закона — предотвратить сбор конфиденциальной информации технологическими компаниями и разобраться с проблемой онлайн-мошенничества и кражи данных. Но прямо сейчас это привело к проблемам технологических компаний. Рассказываем, что это за проблемы и какие уроки из этого может извлечь Россия
Закон о защите данных и закон о персональных данных
Закон о защите данных в КНР распространяется на сбор информации внутри и вне страны. Во втором случае это касается информации, которая способна «нанести ущерб национальной безопасности или общественным интересам КНР или законным правам китайских граждан или организаций». Под данными подразумевается любая информация, записанная в электронном или любом другом виде.
«Действия с данными» включают в себя сбор, хранение, использование, обработку, передачу, предоставление и раскрытие данных. В частности, закон впервые регулирует коммерческую «транзакцию» данных. За рамками закона остаются два типа информации: государственная тайна, для которой существует закон об охране государственных тайн, а также информация, которая входит в зону ответственности Центральной военной комиссии.
Информация по закону регулируется согласно специальной классификации — ее значимость и чувствительность определяется в зависимости от важности для экономического развития государства, национальной безопасности, общественных интересов, а также законных прав и интересов физических и юридических лиц. Затем госорганы разных уровней определяют, какие именно данные «важные», и впоследствии усиливают их защиту. Это означает, что, помимо «основных государственных данных», местные власти и отрасли могут сами решать, какую информацию называть «важной».
Материал по теме
На международном уровне самой важной частью закона можно назвать правила о трансграничных данных. Их регулирование частично попадало под закон о кибербезопасности 2017 года. Уже он запрещал компаниям, предоставляющим услуги онлайн, собирать и продавать персональные данные пользователей. Тогда международные компании призывали регулятора отсрочить применение закона, так как он нанес бы серьезный ущерб их работе.
Среди ключевых нововведений закона было понятие «критически важной инфраструктуры» — это государственные коммуникационные и информационные услуги, энергетика, ирригационные системы, транспорт, финансы, оборонная сфера, здравоохранение и другие ключевые отрасли и сектора. Нанесение ущерба, незаконное использование и утечка данных из этих сфер представляют собой серьезную угрозу национальной безопасности и общественным интересам. По сути, это означало, что работа международных компаний, так или иначе работающих с данными, стала в Китае крайне затруднительной.
По закону о кибербезопасности 2017 года компании, которые работают с «критически важной инфраструктурой», должны хранить все данные на территории КНР. Для отправки данных за границу необходимо получить разрешение. Ответственность за выполнение закона полностью возложена на компании, включая ежегодную переаттестацию. Интересно, что его введение буквально создало рабочие места — теперь всем предприятиям «критически важной инфраструктуры» было предписано нанять специалиста по кибербезопасности себе в штат. Однако ответственным за соблюдение всех норм закона все равно остается глава компании — от найма необходимых специалистов до выполнения требований регулятора после проверок.
В некотором смысле закон о защите данных вместе с еще одним новым законом — о персональных данных — это попытка усовершенствовать тот самый закон 2017 года. Так, в законе о персональных данных впервые сделана попытка дать четкое юридическое определение тем самым данным, которые запретили собирать в 2017-м.
Новый закон часто сравнивают с аналогичным законом Евросоюза — и там и там под персональными данными понимают информацию, которая в случае утечки или кражи может нанести ущерб лично ее обладателю или поставить под угрозу личную безопасность. В Китае закон должен вступить в силу 1 ноября, но фактически его начали применять еще 20 августа, после третьего чтения. Уже 22 августа ЦБ Китая выписал на его основе штрафы четырем финансовым институтам на $1,77 млн. Вероятно, множество компаний будут вынуждены заплатить, не успевая перестроиться под все требования регулятора.
Что это означает для компаний и инвесторов
Компании, которые работают внутри Китая и уже локализовали сбор данных внутри страны, не должны быть сильно затронуты этими законами. Это повлияет на бизнес, оперирующий большим количеством персональных данных и задействованный в отраслях «критически важной инфраструктуры». К ним относятся техногиганты вроде Alibaba, Tencent, JD.com, Huawei и другие компании. Согласно закону о персональных данных, его юридическая сила будет расцениваться выше международных законов на территории Китая.
Существуют также опасения, что подобные законы отпугнут часть инвесторов, и они не беспочвенны. По сообщениям The Wall Street Journal, в Пекине обсуждают возможный запрет на выход на IPO в США для компаний из Китая, хранящих слишком большие объемы данных. Если такой закон будет принят, это сильно ударит по технологическим компаниям и международным инвесторам.
В конце августа акции крупных компаний Китая вроде Meituan и Alibaba резко упали после серии жестких законов, регулирующих работу технологических компаний, среди них и законы о данных. Иностранные инвесторы и так стали крайне настороженно относиться к вложениям в акции сферы технологий. «Множество инвесторов спрашивают нас, настало ли время инвестировать в акции технологических компаний Китая. Короткий ответ — нет», — цитирует Bloomberg главного стратега Saxo Bank Питера Гарнри.
Материал по теме
Хотя в стране существует ограничение в отношении иностранных инвестиций, компании вроде Tencent, Alibaba и Didi нашли лазейку для выхода на IPO. Они создавали подразделения в других странах и уже через них проводили листинг. Еще с прошлого года Пекин всерьез занялся регулированием онлайн-сферы, которая как раз и попадает под действие двух новых законов о данных.
Первые правительственные санкции начались с остановки IPO Ant Group. Финансовая дочка Alibaba должна была провести крупнейшее в истории размещение, но оно так и не состоялось, компания получила штраф на $2,8 млрд, а ее основатель Джек Ма буквально пропал из публичной сферы на три месяца. Техногигант Bytedance и вовсе отложил IPO после встречи с регуляторами. Вскоре основатель компании Чжан Имин даже принял решение покинуть свой пост во избежание конфликта с властями. И все же Bytedance еще планирует провести размещение через Гонконг в начале 2022 года.
Несмотря на предостережения со стороны регуляторов и печальный опыт других компаний, агрегатор такси и каршеринг Didi вышел на IPO в США. Через несколько дней началось официальное расследование. Акции компании тут же упали на 11%, был введен запрет на регистрацию новых пользователей, а само приложение Didi было удалено и недоступно для скачивания.
Ранее в августе был опубликован совместный документ Госсовета КНР и ЦК КПК с планами государственного строительства до 2025 года. В него входит и пункт о регулировании бизнеса, что означает дальнейшее ужесточение контроля технологического сектора. В тексте документа упор сделан на сферы национальной безопасности, технологий и антимонопольного регулирования.
Все три имеют прямое отношение к случаям с Ant Group, Bytedance и Didi, а также подразумевают все технологические компании в Китае. Регулятор уже начал проверку в сфере онлайн-страхования. По некоторым сообщениям, далее могут взяться за продуктовые сети и аптеки.
Материал по теме
Об усилении регулирования также говорит и покупка официальным Пекином по 1% в Bytedance и онлайн-сервисе микроблогов Sina Weibo. Даже такие символические доли предоставляют государству места в совете директоров. Ужесточение регулирования за крупнейшими компаниями Китая и два новых закона о данных четко показывают, что отныне крупный бизнес, особенно из технологической сферы, будет под жестким контролем. Международным компаниям, которые планируют продолжить свою деятельность на территории Китая, придется не только перестроиться под новые правила, но и учесть ужесточение госрегулирования бизнеса — теперь и через покупку акций и долей в компаниях.
Чему пример Китая может научить Россию
Практика показывает, что опыт КНР действительно иногда адаптируют под российские реалии, в частности в том, что касается попыток регулирования интернета. Однако здесь существуют свои ограничения. С 2009 года Китай планомерно блокировал на территории страны доступ к платформам вроде Twitter, YouTube, Facebook, сервисам Google и некоторым другим иностранным технологическим компаниям.
Россия же до недавнего времени скорее развивалась на примере европейского и американского подхода к регулированию интернета — более либеральному и свободному. Несмотря на угрозы Роскомнадзора о возможной блокировке тех или иных платформ, такие решения принимают пока не часто и эти шаги носят скорее выборочный, чем массовый характер. Однако уже есть решение правительства о переходе всех преподавателей школ и вузов на российские сервисы — это тоже сильно напоминает методы КНР.
Материал по теме
Закон о защите данных и закон о персональных данных в Китае — логичное продолжение ранее введенных законов и ужесточения регулирования различных сфер в стране в целом. Технологические компании КНР долгое время развивались без слишком активного вмешательства государства, что помогло им вырасти до сегодняшних объемов и стать реальными конкурентами на мировом рынке. Более того, такой рост сделал техногигантов и скорее их основателей, как в случае с Джеком Ма, потенциальной политической угрозой. В итоге официальный Пекин стал принимать жесткие меры и усиливать контроль за этой сферой.
Опыт разработки законов, реформирования и их принятия довольно длинный и начался не пару лет назад. Пока развивалась технологическая сфера, постепенно развивалось и законодательство, с ней связанное. В отличие от Китая российский закон о персональных данных существует с 2006 года.
Однако вслед за участившимися утечками информации и бумом мошенничества стало очевидно, что и он требует изменений. Так или иначе, в ближайший год сложится правоприменительная практика по законам в Китае. Тогда и станет понятно, соответствует ли он заявленной цели или является скорее политическим инструментом.
Источник: www.forbes.ru
В Китае официально приняли закон о защите личной информации
Пекин всё больше обеспокоен объёмом данных, которые собирают компании, особенно в интернет-секторе, и потенциальными последствиями этого. Фото: ROMAN PILIPEY/EPA/TASS
Всекитайское собрание народных представителей официально приняло закон о защите личной информации (PIPL), налагающий юридические ограничения на сбор, использование и управление персональными данными. Он вступит в силу 1 ноября.
Как отмечает CNBC, документ, названный одним из самых жёстких в мире, впервые устанавливает исчерпывающий набор правил в отношении сбора, обработки и защиты данных. Ранее это регулировались разрозненным законодательством.
Полный текст окончательной версии закона не был опубликован, но, по данным государственного агентства «Синьхуа», он позволит пользователю отключить таргетированную рекламу.
В документе также говорится, что компаниям необходимо индивидуальное согласие на получение конфиденциальной личной информации, в том числе биометрических данных, сведений о состоянии здоровья, финансовых счетах и местонахождении.
Пользователи могут отозвать это согласие в любое время. Компании, обрабатывающие информацию, не могут отказать в предоставлении услуг пользователям, которые не согласны на сбор их данных, за исключением случаев, когда эти сведения необходимы для предоставления конкретного продукта или услуги.
Также существуют строгие требования к передаче данных граждан Китая за пределы страны.
Деятельность платформ, которые незаконно собирают личную информацию, может быть приостановлена регулирующими органами.
По мнению экспертов, PIPL, наряду с законом о кибербезопасности и законом о безопасности данных, даёт возможность Пекину выстроить нужную ему структуру управления данными и одновременно усилить начатое регулирование технологических компаний.
Столица Китая всё больше обеспокоена объёмом данных, которые собирают компании, особенно в интернет-секторе, и потенциальными последствиями этого.
В июле регулирующие органы начали проверку кибербезопасности компании DiDi, занимающейся перевозками пассажиров, через несколько дней после её огромного первичного публичного размещения акций в США. Перевозчик был вынужден прекратить регистрацию новых пользователей, а его приложение было также удалено из китайских магазинов. Регулятор киберпространства Китая утверждал, что DiDi незаконно собирал данные пользователей.
На днях министерство промышленности и информационных технологий КНР заявило, что 43 приложения для смартфонов, включая популярные WeChat от Tencent Holdings, WeCom, Tencent Video и Tencent Maps, неправильно передавали контактные данные пользователей и информацию о местоположении или использовали всплывающую рекламу, когда потребители открывали приложение.
«Выпуск PIPL завершает формирование основополагающего режима управления данными в Китае и открывает новую эру соответствия данных для технологических компаний», – заявила партнёр консалтинговой компании Trivium China в Пекине Кендра Шефер.
Тренд на создание более эффективных правил защиты личной информации наблюдается во всём мире. В 2018 году вступил в силу знаковый Общий регламент Евросоюза по защите данных. Он направлен на то, чтобы предоставить гражданам больше контроля над своими данными.
Источник: octagon.media