Как Китай ужесточает контроль над трансграничной передачей данных

(Журналисты Caixin Цянь Тонг и Ван Синьтун)

Китай ставит трансграничную передачу данных транснациональными компаниями и другими организациями под самый жесткий контроль со стороны правительства.

1 июня вступили в силу Меры по Стандартному договору о трансграничной передаче личной информации, требующие от некоторых обработчиков персональных данных, включая компании, обрабатывающие данные менее чем об одном миллионе человек, подписывать контракты с зарубежными получателями перед отправкой данных за границу. .

Эти новые правила стали последней попыткой Пекина усилить контроль над внутренними данными для защиты национальной безопасности. Высшая законодательная база Китая для управления безопасностью данных состоит из трех законов — Закона о кибербезопасности, Закона о безопасности данных и Закона о защите личной информации — и ряда правительственных постановлений, подкрепленных законами.

В соответствии с законодательством центральное правительство установило режим регулирования экспорта персональных данных. Помимо мер стандартного контракта, режим включает в себя правила, требующие от компаний подать заявку на оценку безопасности от интернет-надзора страны или подать заявку на сертификацию защиты личной информации от квалифицированного агентства.

Режим влияет на бизнес, помимо многонациональных корпораций, ведущих бизнес в Китае, китайских компаний, зарегистрированных за границей, и тех, кто работает в таких отраслях, как розничная торговля, интернет, здравоохранение, автомобилестроение, гражданская авиация и финансы.

… компании, которые обрабатывают персональные данные, охватывающие более одного миллиона человек, должны пройти оценку безопасности, если они хотят передавать данные за границу.

Однако инсайдеры отрасли сообщили Caixin, что многие аспекты правил остаются расплывчатыми, например, в отношении оценки безопасности, что замедляет процесс утверждения и вызывает путаницу — и даже вред — для некоторых компаний.

Хотя центральное правительство надеется развивать цифровую экономику для увеличения ВВП страны, новые правила могут замедлить развитие отрасли. Сюй Кэ, директор исследовательского центра цифровой экономики и правовых инноваций Университета международного бизнеса и экономики, сказал, что регулирующие органы пытаются найти баланс между повышением безопасности данных и продвижением экономического роста, основанного на данных.

Отсутствие ясности в критериях проверки замедляет процесс утверждения, поскольку регулирующие органы и компании не сходятся во мнении, почему необходима запрошенная передача данных… — юрист, знакомый с этим вопросом

Длинные обзоры

Согласно Мерам по оценке безопасности трансграничной передачи данных, вступившим в силу 1 сентября, компании, обрабатывающие персональные данные, охватывающие более миллиона человек, должны пройти оценку безопасности, если они хотят передавать данные за границу.

Эти меры требуют, чтобы компании представляли отчеты о самооценке местным киберорганам и Управлению киберпространства Китая (CAC) для двух раундов проверки. В настоящее время компания может на законных основаниях передавать китайские данные за границу, подписав контракт с зарубежным получателем и отправив его в местный киберорган, или проведя оценку безопасности данных главным надзорным органом страны в Интернете.

Несмотря на то, что эти меры были приняты в течение девяти месяцев, Сюй сказал, что на практике их реализация идет медленно, поскольку в Китае слишком много таких компаний и не хватает рабочей силы для обработки их отчетов об оценке.

К концу апреля регулятор киберпространства Шанхая получил более 400 отчетов об оценке, из которых только 0,5% были одобрены CAC.

Аналогичная ситуация и в других местах. По всей стране власти получили более 1000 заявок на передачу данных за границу, из которых менее десяти прошли два раунда рассмотрения, сообщил Caixin юрист, знакомый с этим вопросом.

Caixin узнал, что на национальном уровне, хотя бюро данных CAC отвечает за рассмотрение и утверждение отчетов об оценке, большая часть работы на самом деле выполняется специальным персоналом по оценке из дочерней компании CAC, которая является техническим центром кибербезопасности, называемым Национальным Техническая группа реагирования на чрезвычайные ситуации в компьютерных сетях/Координационный центр Китая (CNCERT/CC). Центр и бюро имеют общий штат около 100 человек.

По словам вышеупомянутого юриста, в дополнение к кадровым ограничениям отсутствие ясности в критериях проверки замедляет процесс утверждения, поскольку регулирующие органы и компании не понимают, почему необходима запрошенная передача данных. Меры по оценке безопасности требуют от заявителей объяснить, почему это оправдано, законно и необходимо для передачи их данных за границу и для их обработки зарубежными получателями, но не более того.

Сюй предупредил, что принятие «универсальных» мер может привести к чрезмерно строгим ограничениям для некоторых отраслей, что не способствует уравновешиванию потребностей национальной безопасности и свободного потока данных, поскольку не все отрасли представляют проблемы национальной безопасности. .

С внедрением мер по стандартному контракту в этом месяце регулирующие органы сосредоточат больше своих усилий на том, чтобы помочь этим контрактам завершить процесс регистрации, что, в свою очередь, ускорит их утверждение оценок безопасности, сообщил Caixin источник, близкий к кибервластям. .

Тем не менее, Хэ Юань, исполнительный директор Исследовательского центра права данных Шанхайского университета Цзяо Тонг, отметил, что нагрузка на местные регулирующие органы может существенно возрасти, поскольку фирмам с численностью менее одного миллиона человек также необходимо будет подписать стандартный контракт с июня.

Укрепление соответствия

С 2023 года власти Китая в области киберпространства активизировали рекламные мероприятия, такие как проведение лекций, чтобы познакомить корпорации с правилами передачи данных, но соблюдение со стороны фирм, похоже, остается слабым.

В то время как властям пришлось столкнуться с огромной задолженностью по представленным за прошлый год документам, их число на самом деле не соответствует ожиданиям правительства. «Должны быть сотни тысяч компаний по всей стране, которые соответствуют порогу «более одного миллиона единиц личной информации», но количество компаний, прошедших проверку, далеко не так много», — сказал Сюй.

Сюй указал на высокие затраты на соблюдение требований, трудности в общении с зарубежными получателями данных и неопределенность регулирования как на ключевые факторы, влияющие на готовность фирм декларировать трансграничную передачу данных.

… компании, подающие заявку на передачу данных, должны указать информацию о своих зарубежных получателях данных в своих отчетах, но эти потенциальные получатели часто неохотно делятся информацией.

Чтобы избежать хлопот, компании, как правило, консультируются со сторонними агентствами по поводу подачи отчетов об оценке безопасности. Однако плата за услуги, взимаемая этими консалтинговыми агентствами, может легко достигать сотен миллионов юаней, что ставит небольшие фирмы в невыгодное положение, как выяснил Caixin. Качество услуг, предоставляемых этими агентствами, также может различаться.

Даже с помощью консультантов у многих предприятий возникли проблемы с получением разрешений. По словам Чжан Яо, партнера шанхайской юридической фирмы Sun & Young Partners, многие заявки, подаваемые впервые, не полностью соответствовали нормативным требованиям. Хотя регулирующие органы уточнили требования, касающиеся основных вопросов о том, какие данные должны передаваться за границу, через какие системы, кому и существуют ли риски безопасности, но «разбор этих вопросов требует больших затрат и усилий» со стороны компаний. , — добавил Чжан.

А транснациональные компании, даже если им удастся отправить личные данные за границу, сталкиваются с постоянными инвестициями в соблюдение нормативных требований при их последующем использовании, сказал Чен Цзихун, партнер юридической фирмы Zhong Lun со штаб-квартирой в Пекине.

В то же время компании, подающие заявку на передачу данных, должны указать информацию о своих зарубежных получателях данных в своих отчетах, но эти потенциальные получатели часто неохотно делятся информацией. «Например, иностранные интернет-гиганты, такие как Microsoft, ясно дали понять, что не будут сотрудничать с проверками безопасности данных в Китае», — сказал он Caixin.

Два юриста, беседовавшие с Caixin, сказали, что остается много вопросов без ответов, например, насколько всеобъемлющими должны быть отчеты об оценке. Следовательно, некоторые компании склонны скрывать или делиться ограниченной информацией при объявлении о передаче данных, говорят юристы.

Эта проблема неопределенности, омрачающая процесс оценки, вряд ли будет решена в ближайшее время. По словам Сюй, поскольку оценка трансграничной безопасности затрагивает политическую и национальную безопасность, маловероятно, что власти обнародуют всю соответствующую информацию. Несколько ученых также указали, что разработка и выпуск подробных правил соблюдения не является главным приоритетом для регулирующих органов, учитывая объем необходимой работы.

Охлаждающий эффект на частный сектор

Caixin понимает, что многонациональная фармацевтическая компания приостановила внутренние клинические испытания лекарств, потому что они не смеют передавать соответствующие данные за пределы материкового Китая, пока не пройдут оценку безопасности. По словам представителя компании, это приведет к задержке выхода соответствующих препаратов на внутренний рынок, что повлияет на доступ потребителей и принесет пользу их отечественным конкурентам.

В то же время многие компании сталкиваются с препятствиями при привлечении капитала и листинге за границей, сказал Caixin юрист по рынкам капитала, объяснив, что нечеткие стандарты в отношении трансграничных потоков данных заставили местных поставщиков данных, таких как Tianyancha и Qichacha, быть более осторожными в предоставлении информации. корпоративной информации из опасения нарушений, что ограничивает иностранных инвесторов в проведении комплексной проверки, которая помогла бы им принимать решения.

По словам юриста, отечественные компании, стремящиеся к IPO за рубежом, все еще страдают от последствий решения CAC в прошлом году оштрафовать гиганта Didi Global на 8 миллиардов юаней (1,2 миллиарда долларов США) за нарушение законов о национальной безопасности и защите личной информации. «Рынки капитала все еще опасаются оказаться на минном поле. [of data regulation]».

Напряженные отношения между Китаем и США также снизили готовность некоторых американских компаний увеличивать инвестиции в Китай, сообщил Caixin сотрудник американской технологической фирмы.

Чтобы сохранить свой бизнес на плаву, некоторые туристические онлайн-агентства отправляли данные за границу, несмотря на то, что они не прошли проверку на безопасность…

Согласно отчету, опубликованному в прошлом месяце бухгалтерской фирмой PwC, инвестиции частного капитала (PE) и венчурного капитала (VC) в телекоммуникационную, медиа- и технологическую отрасли Китая во второй половине 2022 года составили 8,39 млрд долларов США, что на 61% меньше, чем в первой половине. .

В отчете говорится, что количество крупных сделок PE/VC с инвестициями более 100 млн юаней во второй половине 2022 года упало на 60%, отметив вялость инвестиционного рынка.

Тем не менее, есть компании, готовые пойти на риск в этой атмосфере страха и неуверенности. Чтобы сохранить свой бизнес на плаву, некоторые туристические онлайн-агентства отправляли данные за границу, несмотря на то, что они не прошли проверку безопасности, как стало известно Caixin. По словам адвоката из Пекина, они будут привлечены к ответственности в случае утечки данных или их неправомерного использования.

Этот статья был впервые опубликован Caixin Global под названием «Подробно: как Китай ужесточает контроль над трансграничной передачей данных». Caixin Global — один из самых авторитетных источников макроэкономических, финансовых и деловых новостей и информации о Китае.

Связанный: Гигант по вызову такси Didi получил пощечину с китайским обзором кибербезопасности через несколько дней после IPO | Почему платформенные компании стремятся к монополии и что происходит, когда их обуздывает правительство | Означает ли окончание расследования Didi новые начинания для интернет-экономики Китая? | Могут ли китайские платформы электронной коммерции Shein и Temu процветать на рынках США и других стран?