О Китае

Китай: Объяснение новых правил передачи данных в Шэньчжэне

Шэньчжэньские правила широко рассматриваются как испытание для создания других подобных правил, и вполне вероятно, что другие города последуют их примеру в ближайшем будущем – Порталом PRC.TODAY

Шэньчжэнь издал важные правила обработки данных, первые в своем роде принятые местным правительством в Китае. Они вступают в силу с 1 января 2022 года. Поставщики услуг должны получать согласие пользователей, и существуют определенные ограничения на сбор, обработку, хранение и передачу персональных данных. Шэньчжэньские правила также вносят значительный вклад в обмен публичными данными и затрагивают недостаточно регулируемый рынок торговли данными. Некоторые эксперты выразили обеспокоенность тем, что эти правила вступают в противоречие с законодательством высшего уровня, что может вызвать проблемы при их применении.

Шэньчжэнь, крупный город в южной провинции Гуандун и очаг технологического развития и инноваций, недавно принял Правила данных специальной экономической зоны Шэньчжэня («правила»), первые в своём роде, выпущенные региональным правительством в Китае.

Правила, установленные Муниципальным народным конгрессом Шэньчжэня 29 июня, следуют за Законом о национальной безопасности данных и второй редакцией проекта Закона о защите личной информации (PIPL), опубликованного центральным правительством в начале этого года. Они являются первыми местными нормативными актами, выпущенными в Китае, которые содержат подробные требования по осуществлению национальных законов о защите данных.

Эти правила будут служить господству над тем, что широко рассматривается как несправедливая и эксплуататорская практика сбора данных, требуя от поставщиков услуг получения явного и информированного согласия от пользователей и ограничивая сферу использования данных. Правила также запрещают приложениям отказываться от основных услуг, если пользователи не дают разрешения на доступ к личной информации, и ограничивают использование персональных данных для персонализированных рекомендаций и рекламы.

В другом знаковом решении регламент излагает положения об управлении публичными данными и свободном обмене ими, а также новые механизмы торговли данными в рамках усилий по созданию более справедливого игрового поля для крайне слабо регулируемого рынка торговли данными. Новые правила вступят в силу с 1 января 2022 года.

Ниже мы расскажем о том, как новые правила планируют регулировать использование персональных и публичных данных, и дадим краткий анализ того влияния, которое они могут оказать на иностранные компании и инвесторов в Шэньчжэне.

Обратите внимание, что в правилах организации, собирающие и использующие персональные данные, называются «обработчиками данных», что широко понимается в средствах массовой информации как мобильные приложения. Поскольку правила могут быть применимы к более широкому сегменту рынка, для целей настоящей статьи мы более широко называем эти организации «поставщиками услуг».

Необходимость улучшения регулирования персональных данных в Китае

Защита персональных данных была горячей проблемой в течение многих лет в Китае, а потребители всё больше разочаровываются из-за отсутствия контроля над данными, которыми они делятся с приложениями и поставщиками услуг.

Распространенные жалобы заключаются в том, что поставщики услуг собирают данные от пользователей без их разрешения или ведома и что они собирают гораздо больше данных, чем разумно требуется для предоставления услуг. Существует также широко распространенное злоупотребление и неправильное управление личными данными, что может иметь серьёзные последствия для личной жизни и безопасности.

На фоне растущей обеспокоенности по поводу кибербезопасности и конфиденциальности в Интернете, Китай начал принимать меры по укреплению своих правил защиты данных.

В 2017 году страна приняла Закон о кибербезопасности, а в апреле 2021 года выпустила второй проект PIPL, в котором для вдохновения были использованы Общие правила защиты данных Европейского Союза (GDPR). 10 июня 2021 года центральное правительство издало Закон о безопасности данных, содержащий положения об использовании, сборе и защите данных в Китае.

Шэньчжэньские правила важны тем, что они являются первыми местными правилами, которые содержат руководящие принципы для реализации вышеупомянутых законов о безопасности данных. Они идут дальше, чем кто-либо другой до них, в решении вопросов безопасности данных, предоставляя конкретные правила для того, что, когда и как поставщикам услуг разрешено собирать данные. Это включает в себя положения о том, сколько данных они могут собирать и как им разрешено собирать, хранить и обрабатывать эти данные.

Китай: Объяснение новых правил передачи данных в Шэньчжэне
Таблица: Шэньчжэньские правила обработки данных для поставщиков услуг

 

Чёткие и разумные цели

Первое требование, которое правила предъявляют к поставщикам услуг – это необходимость «чёткой и разумной цели» сбора и обработки персональных данных. Поставщики услуг должны информировать пользователя о цели сбора данных в ясной и легкодоступной форме.

Правила конкретно не определяют, что считается «ясной и разумной целью», но её можно широко понимать как ситуацию, когда поставщик услуг имеет абсолютную потребность в доступе к персональным данным для предоставления основных услуг, которые пользователь ищет, которые в противном случае он не смог бы предоставить.

Принцип наименьшей привилегии

Устанавливая объём данных, к которым поставщикам услуг разрешён доступ, правила принимают «принцип наименьших привилегий» – то есть собранные данные должны быть непосредственно связаны с основной функцией, и приложения могут собирать только минимальный объём данных, необходимый для выполнения этой основной функции.

Кроме того, принцип наименьших привилегий требует, чтобы приложения установили механизм «минимальной авторизации доступа», который ограничивает объём данных, к которым может получить доступ персонал поставщика услуг, только позволяя им получить доступ к необходимому объёму данных для выполнения определённой задачи.

Поставщики услуг не могут отказывать в услугах пользователям, которые не дают согласия на использование их данных, за исключением случаев, когда эти данные необходимы для предоставления услуг.

Правила также поручают соответствующим правительственным ведомствам создать механизм отчётности и подачи жалоб, с помощью которого пользователи могут отмечать нарушения конфиденциальности данных или нарушения.

Явное и осознанное согласие

Поставщики услуг должны получить согласие пользователя на доступ к своим персональным данным. Прежде чем пользователь сможет дать согласие, поставщик услуг должен проинформировать пользователя о ряде ключевых элементов.

Для получения согласия пользователя поставщики услуг должны сообщить ему следующее:

• Имя и контакт сущности, получающей доступ к своим данным.

• Тип и объем собранных данных.

• Цель и способ обработки данных.

• Сроки хранения данных.

• Любые возможные риски безопасности, связанные с хранением персональных данных, и меры, принимаемые для обеспечения безопасности данных.

• Законные права пользователя и средства, доступные ему для осуществления этих прав

Исключения из согласия даются в экстренных случаях, когда поставщик услуг не может заранее проинформировать пользователя об использовании своих данных. Однако в этих обстоятельствах поставщик услуг должен своевременно информировать пользователя об использовании своих данных после устранения чрезвычайной ситуации.

Читайте и другие НОВОСТИ КИТАЯ  Посольство Китая в США принимает записи о вакцинах, не принадлежащих к Китаю: повлияет ли это на политику Китая в отношении ввоза?

Поставщики услуг также должны получить явное согласие пользователя, прежде чем они смогут обрабатывать любые «конфиденциальные данные». Этот тип данных определяется как любые персональные данные, которые могут привести к дискриминации в отношении человека или нанести ущерб его безопасности или имуществу в случае утечки данных, неправильного использования или незаконного получения.

Чтобы получить согласие, поставщик услуг должен проинформировать пользователя о причине, по которой требуются эти конфиденциальные данные, и должен чётко предупредить пользователя о любых рисках или влиянии, которые это может оказать на него. Поставщик услуг может обрабатывать только те данные, которые входят в сферу действия согласия пользователя.

Регламент также предусматривает неправомерное использование персональных данных несовершеннолетних в возрасте до 14 лет и взрослых с ограниченными возможностями предоставления согласия. Это частично решается путём классификации персональных данных из этих групп как «конфиденциальных данных», и таким образом они обрабатываются в соответствии с этими более строгими правилами.

Ограничения на использование биометрических данных

Для использования биометрических данных, таких как гены, отпечатки пальцев, отпечатки голоса, отпечатки ладоней, ушные раковины, радужные оболочки и черты лица, требуется явное согласие. Это ещё один острый вопрос в дискуссии о конфиденциальности данных: такие технологии, как распознавание лиц или проверка отпечатков пальцев, широко используются для всего – от оплаты кофе до доступа в офисные здания, и пользователям часто не предоставляется никаких других средств доступа к необходимым им услугам.

Правила предусматривают, что поставщики услуг должны предоставлять альтернативный способ доступа к услугам при запросе согласия пользователя на использование своих биометрических данных, если только биометрические данные не являются абсолютно необходимыми для обработки данных. Это мешает приложениям требовать от пользователей использовать распознавание лиц или отпечатков пальцев для доступа к своим сервисам.

Биометрические данные также не могут быть использованы для каких-либо иных целей, кроме указанной цели, без согласия пользователя, и явное согласие законного опекуна также требуется для использования биометрических данных несовершеннолетних в возрасте до 14 лет или взрослых с ограниченными возможностями для предоставления согласия.

Ограничения на использование профилей пользователей

Еще одна область, рассматриваемая правилами – это неправильное использование профилей пользователей, сбор данных о конкретном пользователе, которые могут включать ключевые идентификаторы, такие как его имя, местоположение, род занятий, зарплата и даже интересы и поведение в Интернете. Эти профили пользователей уже давно используются компаниями для создания персонализированных рекомендаций товаров и услуг, а иногда даже для проведения ценовой дискриминации, часто без ведома или согласия пользователя.

Согласно правилам, если поставщику услуг необходимо использовать профиль пользователя для предоставления более качественных продуктов и услуг, он обязан чётко информировать пользователя о конкретных видах использования и правилах, связанных с его профилем пользователя.

Пользователи могут отказать в доступе к своим профилям пользователей, и для этого им должен быть предоставлен четкий и доступный канал.

Правила также прямо запрещают поставщикам услуг использовать профили пользователей для продажи несовершеннолетним в возрасте до 14 лет, если они специально не получили согласия от законного опекуна.

Ограничения по времени хранения и удаления данных

Правила также накладывают ограничения на хранение данных, оговаривая, что данные должны собираться как можно реже и допустимы только тогда, когда это необходимо для выполнения основных услуг. Поставщики услуг могут хранить данные только в течение срока, необходимого для достижения поставленной цели, и должны удалить или обезличить данные после достижения этой цели.

Пользователи имеют право в любое время отозвать своё согласие на использование части или всех своих персональных данных. Поставщик услуг должен предложить чёткий канал, по которому пользователь может отозвать свое согласие, и не может использовать соглашение об оказании услуг или технологические средства, чтобы помешать ему сделать это.

Поставщики услуг обязаны предоставлять персональные данные пользователю по его запросу и не вправе взимать с пользователя плату за них.

Кроме того, в целях борьбы с неправомерным использованием персональных данных правила требуют, чтобы поставщики услуг удаляли идентификаторы персональных данных, если они передают их третьей стороне. Данные должны быть деидентифицированы до такой степени, что личность не может быть идентифицирована без добавления других данных.

Публичный обмен данными

Эти правила также затрагивают вопросы, связанные с обменом публичными данными. В пояснительной записке к регламенту цитируется Линь Чжэнмао, заместитель директора Комитета по законодательным вопросам Постоянного комитета Городского Собрания народных представителей Шэньчжэня, который говорит, что городская система публичных данных не имеет стандартизации и страдает от таких недугов, как малый размер выборки, низкое качество данных, отсутствие каналов доступа к данным и низкое участие пользователей.

Правила направлены на решение этих проблем, предписывая создание системы управления данными и большого центра обработки данных, чтобы помочь безопасно и эффективно хранить, управлять и консолидировать публичные данные. Центр также обеспечит открытую и бесплатную систему доступа к публичным данным.

Публичные данные определяются как любые данные, собранные при предоставлении образования, здравоохранения, социального обеспечения, водоснабжения, электроснабжения, газа, охраны окружающей среды, общественного транспорта или других общественных услуг как государственными ведомствами, так и государственными учреждениями.

Согласно правилам, государственные ведомства должны открывать эти данные для общественности и не могут взимать никаких сборов за доступ.

Создавая более справедливую и доступную систему данных, местное правительство надеется, что как государственные ведомства, так и частный сектор смогут лучше использовать государственные данные для стимулирования цифрового развития в регионе.

Торговля данными и обращение с данными как с «фактором производства»

В конце 2019 года центральное правительство классифицировало данные как «фактор производства», впервые признав их топливом для цифровой экономики. Это утверждение придало легитимность коммерциализации данных.

Перенесёмся на сегодняшний день, и рынок данных по-прежнему изобилует злоупотреблениями и погряз в законодательных серых зонах. Учитывая огромный потенциал рынка данных, существует острая необходимость в регулировании и совершенствовании деловой практики в отрасли. Китай должен стать крупнейшим производителем данных в мире к 2025 году, обогнав США, но отсутствие надзора рискует подорвать ценность генерируемых данных.

Новые правила Шэньчжэня прилагают усилия для решения некоторых из этих проблем, заявляя о необходимости создания более совершенных механизмов передачи данных между компаниями и принятия нового законодательства о данных, а также борьбы с недобросовестной практикой и конкуренцией между компаниями.

С этой целью правительство предлагает создать систему стандартов данных для местных органов власти, отраслей, групп и корпораций, а также систему проверки качества данных и оценки их ценности.

В то же время нормативные акты предписывают создание «системы статистического учёта для точного отражения стоимости активов данных факторов производства и содействия включению данных факторов производства в систему национального экономического учёта».

Читайте и другие НОВОСТИ КИТАЯ  Доступ к капиталу: Зелёные проекты Казахстана заслуживают внимания Китая

Чтобы облегчить торговлю данными, правила также призывают расширить каналы торговли данными, чтобы позволить участникам рынка свободно торговать данными через легальные и регулируемые платформы или свободно торговать данными между собой законным образом.

В правилах чётко определены данные, которыми можно торговать, как «продукты данных и услуги, которые были созданы путём правовой обработки данных».

Правила основаны на антимонопольном законодательстве Китая, направленном на борьбу с недобросовестной конкуренцией и неправомерным использованием данных, в которых говорится, что компании не могут использовать незаконные средства для получения данных от другой компании или использовать данные, собранные незаконно от другой компании, для предоставления альтернативных продуктов или услуг.

Компаниям также запрещено использовать анализ больших данных для проведения ценовой дискриминации. Это положение направлено на борьбу с дискриминационной практикой, такой как взимание с долгосрочных или высокооплачиваемых клиентов более высоких цен, чем с других клиентов, за тот же продукт или услугу. Нарушители могут быть оштрафованы на сумму до 50 млн юаней (7,7 млн долларов США) за такие нарушения в зависимости от размера сделки.

Укрепление безопасности данных

Регламент также посвящает целую главу безопасности данных. Основываясь на китайском Законе о безопасности данных, эти правила разъясняют обязанности по управлению безопасностью данных. Они требуют, чтобы муниципальное правительство создало систему управления безопасностью данных, а также поручило поставщикам услуг создать свои собственные системы классификации данных, мониторинга рисков, оценки безопасности и обучения.

Поставщики услуг также должны вести прозрачный и отслеживаемый учёт своих процессов обработки данных, чтобы можно было оценить законность и чтобы система была прозрачной и отслеживаемой.

В правилах изложены конкретные правила для каждого этапа жизненного цикла данных, требующие строгих мер безопасности при сборе, обработке, хранении, совместном использовании и уничтожении персональных данных или данных, которые были определены государством как «важные» или «конфиденциальные». К ним относятся, но не ограничиваются ими:

• Внедрение механизмов анонимизации и деидентификации данных.

• Проведение иерархического управления хранилищем данных в различных доменах и выбор носителей хранения, соответствующих характеристикам безопасности, степени защиты и уровню безопасности данных.

• Принятие зашифрованного хранилища, санкционированного доступа или других еще более строгих мер защиты конфиденциальных персональных данных и данных, признанных важными государством.

• Создание системы восстановления основных данных и внедрение механизмов их уничтожения при необходимости.

• Осуществление мер по мониторингу утечек, нарушений, повреждений, потерь и фальсификаций данных.

• Разработка плана аварийного реагирования на любые утечки или нарушения, который должен быть немедленно активирован в случае любого нарушения или аварии.

• Регулярно проводится оценка рисков в отношении данных, которые были отнесены государством к категории конфиденциальных.

Прежде чем какие-либо личные или важные государственные данные могут быть переданы за границу, они должны пройти «оценку безопасности выхода данных» и проверку национальной безопасности.

Для поставщиков услуг, нарушающих законы о защите данных, могут возникнуть серьёзные последствия. Поставщики услуг, которые нарушают закон и впоследствии не исправляют своё нарушение или причиняют серьёзный ущерб, будут привлечены к юридической ответственности, и как физические лица, так и предприятия могут быть привлечены к ответственности за компенсацию.

Ограничения регламента

Хотя эти новые правила идут дальше, чтобы закрыть лазейки в законодательстве Китая о данных, есть несколько областей, которые всё ещё не дотягивают или потребуют дальнейшего уточнения.

Одним из вопиющих вопросов является вопрос владения данными. В регламенте предлагается реализация «пилотного плана всеобъемлющей реформы», направленного на то, чтобы Шэньчжэнь усовершенствовал системы защиты прав собственности на данные и изучил новые механизмы защиты и использования прав собственности на данные.

Однако в пояснительной записке, прилагаемой к регламенту, г-н Линь Чжэнмао признает, что трудно чётко определить «право собственности на данные» с помощью местных нормативных актов, и просто предлагает общий консенсус в отношении того, что «персональные данные обладают свойствами прав личности» и что «предприятия имеют права собственности на информационные продукты и услуги, сформированные за счёт инвестиций высокого уровня интеллектуального труда». Эта двусмысленность может привести к спорам между компаниями и непоследовательному применению правил.

Некоторые эксперты также выразили обеспокоенность тем, что местные правила в Шэньчжэне могут вызвать раскол на цифровом рынке и противоречить правилам обработки данных в других регионах, указав, что правила Шэньчжэня приравнивают «персональные данные» к «личной информации». Это противоречит законодательству высшего уровня, которое разделяет защиту личной информации и использование данных на две различные категории, и может вызвать споры в применении, особенно для компаний из Шэньчжэня, ведущих судебные процессы в других регионах.

Влияние на иностранных инвесторов

Новые правила передачи данных будут применяться к любому частному или государственному субъекту, который использует персональные или публичные данные в Шэньчжэне. Поэтому вполне вероятно, что многим поставщикам услуг придётся пересмотреть и обновить свои соглашения об обслуживании, чтобы соответствовать этим правилам, а также обновить пользовательские интерфейсы, чтобы обеспечить явное и информированное согласие пользователей.

Компании, обрабатывающие конфиденциальные или государственные данные, также должны соблюдать строгие требования к хранению и безопасности данных, обеспечивая мониторинг данных, оценку рисков, резервное копирование, планы реагирования на чрезвычайные ситуации, уничтожение данных и другие механизмы безопасности.

Иностранные инвесторы, занимающиеся трансграничной передачей данных, в частности персональных данных или любых данных, которые были признаны важными государством, также должны подать заявку на оценку безопасности выхода и пройти проверку национальной безопасности, прежде чем они смогут передать данные за границу.

Прокладывая путь для законодательства о данных в Китае

Поскольку правительство продолжает расправляться с технологическими компаниями за нарушения законов о безопасности данных и антиконкурентную практику, очевидно, что существует сильное желание усилить защиту персональных данных и царствовать в безудержном злоупотреблении и неправильном управлении данными. Нормативные акты сделали большой шаг в решении некоторых из этих насущных проблем, и последствия их применения могут иметь далеко идущие последствия.

Эти правила могут также проложить путь к созданию легального и регулируемого рынка данных. Являясь домом для некоторых крупнейших технологических компаний Китая и 300 компаний с большими данными, Шэньчжэнь является идеальным местом для развития здорового рынка торговли данными и предоставления компаниям больше возможностей для использования этой прибыльной отрасли.

В Шэньчжэне, давно ставшем испытательным стендом для новаторских правил в технологическом секторе, местное правительство взяло на себя ведущую роль в регулировании ряда высокотехнологичных отраслей промышленности, приняв знаковые правила в таких областях, как искусственный интеллект и автономное вождение в начале этого года.

Шэньчжэньские правила широко рассматриваются как испытание для создания других подобных правил, и вполне вероятно, что другие города последуют их примеру в ближайшем будущем.

Статья «Китай: Объяснение новых правил передачи данных в Шэньчжэне», подготовлена Порталом PRC.TODAY по материалам сотрудника агентства China Briefing – Arendse Huld.

Если вам понравилась статья или появились вопросы, оставьте ваш комментарий или обсудите эту статью на форуме.ютуб китай сегодня prc.today

посмотрите другие новости Китая на prc.today

Китай запрещает коммерческое репетиторство в базовом образовании

Искусственный интеллект в Китае: Шэньчжэнь выпускает первые местные правила

Поделиться:

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back to top button