Портал PRC.TODAY (Китай сегодня) – Вопрос о том, может ли Китай принять правила Всеобъемлющего и прогрессивного соглашения о Транстихоокеанском партнёрстве (CPTPP) о трансграничных потоках данных, стал ключевым вопросом, с которым страна сталкивается в ходе своего нынешнего участия в переговорах по электронной торговле Всемирной торговой организации (ВТО) и её потенциального присоединения к торговому пакту.
В этом году Китай добился быстрого прогресса в публикации законов о безопасности данных. Хотя нормативная база для трансграничных потоков данных ещё не завершена, в настоящее время она содержит основные элементы, из которых можно сделать предварительный ответ на поставленный выше вопрос. Я хочу прояснить вопрос, на который стремится ответить эта статья — может ли Китай принять правила CPTPP о трансграничных потоках данных, что является проблемой соблюдения, изучив внутренние правила и международные правила, чтобы увидеть, существуют ли какие-либо фундаментальные конфликты. Примет ли Китай их на самом деле – это другой вопрос, и он больше подходит для межправительственных переговоров. Что касается вопроса о волеизъявлении, то необходимо ответить не только на то, могут ли быть приняты международные правила, но и на то, должен ли Китай принять правила, в которых международные правила оцениваются на предмет их соответствия национальным интересам Китая.
Позвольте мне начать с моего вывода: я думаю, что мы можем принять правила CPTPP о трансграничных потоках данных при условии, что вопросы соблюдения будут рассмотрены при разработке подробных правил оценки безопасности при трансграничной передаче данных.
Эта статья разделена на четыре части. В первой части рассматриваются основные рамки правил Китая в отношении трансграничных потоков данных. Во второй части представлены извлеченные ограничения на трансграничную передачу данных. В третьей части рассматривается соблюдение статьи 14.11 CPTPP об этих ограничительных мерах. Я предлагаю свои рекомендации в четвёртой части.
Определение «трансграничных потоков данных»
При каких обстоятельствах считается, что данные были переданы за границу?
Хотя фраза «передача за границу» используется в Законе о защите данных Китая, а фраза «предоставление информации за рубежом» используется в Законе о защите личной информации и Мерах по проверке кибербезопасности и управлению безопасностью автомобильных данных, ни одно из этих правил не описывает ключевые действия, подлежащие регулированию.
Вышеупомянутая Технология информационной безопасности — Руководство по оценке безопасности трансграничной передачи данных предполагает, что данные должны рассматриваться как передаваемые за границу, когда они хранились за пределами Китая, копия данных предоставляется субъектам, которые не находятся под юрисдикцией или не зарегистрированы в Китае, или данные хранятся в Китае, но могут быть доступны и просмотрены учреждениями, организациями и частными лицами за пределами страны.
Хотя руководящие принципы ещё не доработаны, это определение вполне разумно и может быть официально принято директивными органами. Другими словами, определение «передачи данных», аналогичное определению «экспорта» в экспортном контроле, состоит из физического перемещения через границу и, возможно, любой передачи, которая «считается» пересечением границы. После изучения соответствующих положений законов и нормативных актов, действующих в Китае, в этой статье правила, касающиеся трансграничных потоков данных, классифицируются на пять сценариев, основанных на двух аспектах: тип обработчика данных («субъект») и характер данных («объект»).
Сценарий 1: Обычные обработчики информации, которые обрабатывают обычные персональные данные
В этом сценарии субъект классифицируется как обычный бизнес и не считается критически важным бизнесом или оператором критической информационной инфраструктуры (CIIO), а объектом являются неважные персональные данные. Закон о защите личной информации предусматривает, что обработчики личной информации могут предоставлять личную информацию любой стороне за пределами Китая для деловых нужд, если они отвечают одному из следующих условий:
• Они прошли оценку безопасности, проводимую Администрацией Киберпространства Китая (CAC) (конкретные процедуры и стандарты будут разработаны);
• Они прошли сертификацию по защите личной информации в специализированном учреждении в соответствии с положениями, выданными CAC (сертификация является сертификацией третьей стороны, проводимой CAC, которая требует дополнительных систем поддержки);
• Они приняли стандартный контракт, сформулированный CAC (стандартный контракт, который будет разработан CAC);
• Они соблюдали другие условия, предусмотренные законом или административными регламентами, или CAC.
Кроме того, должны быть выполнены два дополнительных условия.
Во-первых, обработчики должны принять необходимые меры для обеспечения того, чтобы зарубежные получатели соответствовали стандартам защиты, предусмотренным Законом Китая о защите личной информации. Это принятие принципа равной защиты, требуемого законами о защите личной информации многих стран. Но призыв Китая к равной защите ограничивается зарубежными «получателями» данных, а не их общей правовой средой. Во-вторых, обработчики должны выполнить свои обязательства по уведомлению и получить личное согласие каждого субъекта данных.
Сценарий 2: Обычные обработчики информации, которые обрабатывают важные персональные данные
В этом сценарии субъект классифицируется как обычный бизнес, а объектом являются важные данные, а не обычные данные. Действующее законодательство прямо не предусматривает таких случаев. Закон о безопасности данных гласит, что конкретные меры будут разработаны CAC при Государственном совете совместно с соответствующими ведомствами. Но приблизительное представление можно получить из Правил по управлению безопасностью автомобильных данных. Многие автомобильные процессоры обработки данных, скорее всего, будут классифицированы как обычные предприятия, а не CIIO. Их обработка важных данных является типичным примером для этого сценария. В ответ на это правила предлагают только одно условие для передачи данных за границу: данные, в принципе, должны храниться в Китае. В тех случаях, когда необходимо предоставить информацию за рубежом, сначала должна быть проведена оценка безопасности CAC. Кроме того, правила налагают ряд обязательств на обработчиков данных, включая соблюдение требований по оценке безопасности, сотрудничество с CAC в отношении требований к периодической отчётности.
Сценарий 3: Обработчики важных данных, которые обрабатывают личную информацию или важные данные
В этом сценарии субъект классифицируется как важный, а объектом является личная информация и важные данные. «Важные обработчики данных» в основном относятся к CIIOs.
Закон о кибербезопасности, Закон о защите личной информации и Закон о безопасности данных имеют единую позицию в отношении трансграничной передачи данных CIIOs и предусматривают только одно условие: данные CIIOs в принципе должны храниться в стране. В случае необходимости передачи данных за пределы страны для нужд бизнеса оценка безопасности должна проводиться в соответствии с правилами, разработанными CAC совместно с другими соответствующими департаментами. Закон о защите личной информации содержит более подробное определение предмета. В дополнение к CIIO, к важным обработчикам данных относятся обработчики личной информации и государственные учреждения, которые обрабатывают личную информацию в объёме, превышающем определённый объём. Согласно Мерам по оценке безопасности трансграничного экспорта данных (проект опубликован для общественного обсуждения в октябре 2021 года), пороговый объём составляет 1 миллион персональных данных людей. Условия для трансграничной передачи данных такие же, как и для CIIOs. Здесь подробно рассматриваются два ключевых термина. Первый – «критическая информационная инфраструктура» (CII). CII имеет три особенности:
• (1) Он относится к важным отраслям и областям, включая общественные коммуникации и информационные услуги, энергетику, транспорт, гидротехнику и водоснабжение, финансы, государственные услуги, услуги электронного правительства и отрасли науки и техники, связанные с обороной, не исключая крупные интернет-платформы;
• (2) Как только он повреждён, неисправен или страдает от утечки данных, это может серьёзно подорвать национальную безопасность, национальное благосостояние и средства к существованию людей, а также общественные интересы;
• (3) Это сетевое средство и информационная система.
CII находится в ведении Министерства общественной безопасности и будет определён органами власти в различных отраслях и областях (органы по обеспечению безопасности).
Министерство общественной безопасности руководит разработкой правил идентификации CII, а органы по охране безопасности разрабатывают правила промышленной идентификации и организуют идентификацию.
Для идентификации следует учитывать три фактора: (1) Важность для важнейших основных предприятий или предоставления базовой поддержки. (2) Степень ущерба, если он будет нанесён, или ущерб национальной безопасности, национальному благосостоянию и средствам к существованию людей и общественным интересам. (3) Последствия, связанные с другими отраслями и областями. Форма собственности предприятия не должна влиять на идентификацию CII. В настоящее время готовится множество нормативных актов по защите CII, большое количество которых будет выпущено в качестве национальных стандартов. Двумя основными стандартами являются Технология информационной безопасности (Требования к защите Критической информационной инфраструктуры и Технология информационной безопасности) — Меры контроля безопасности для защиты Критической Информационной инфраструктуры, причём последний является конкретной реализацией первого. В настоящее время разрабатываются Меры контроля. Проект 2018 года для комментариев по Мерам контроля охватывает трансграничную передачу информации CII. Поэтому мы считаем, что официальные меры контроля будут более подробно определять трансграничную передачу данных, обрабатываемых CII, на основе вышеупомянутого принципа, согласно которому они должны подлежать оценке безопасности, организованной CAC. Второй ключевой термин – «важные данные» (также переводится как «ключевые данные»).
В настоящее время наиболее прямое определение важных данных вытекает из Положения о данных транспортных средств: «Как только данные фальсифицируются, уничтожаются, утекают или используются незаконно, это может нанести ущерб национальной безопасности, общественным интересам или законным правам и интересам отдельных лиц и организаций». Таким образом, важные данные не просто связаны с национальной безопасностью и общественными интересами, но могут включать данные, касающиеся законных прав и интересов отдельных лиц и организаций. В отличие от этого, Закон о безопасности данных предусматривает отдельную нормативную базу для «основных национальных данных», которая относится к данным, которые «касаются национальной безопасности, национальных экономических условий жизни, важных областей жизнеобеспечения населения и основных областей, представляющих общественный интерес». Исходя из этого определения, национальные основные данные подпадают под сферу важных данных. Среди важных данных та часть, которая является чрезвычайно важной и связана с национальной безопасностью и основными областями общественных интересов, может быть отнесена к категории «национальные основные данные». Поэтому некоторые эксперты отметили, что важные данные имеют широкий охват и широкий охват в деловом секторе, поэтому их защите следует уделять большое внимание, в то время как национальные основные данные имеют более узкий охват и недоступны большинству организаций, поэтому они должны подлежать гораздо более строгому управлению. Однако Закон о безопасности данных не разъясняет более строгую систему управления национальными основными данными. Что касается трансграничных потоков данных, мы, по крайней мере, знаем, что важные данные могут пересекать границы только после оценки безопасности. Невозможно ли вынести национальные основные данные за пределы страны, даже если они подлежат оценке безопасности? Должен ли он храниться внутри страны? Ответы остаются неизвестными, но мы можем рассудить, чего ожидать. Идентификация важных данных должна соответствовать Руководству по Технологии информационной безопасности — Идентификации важных данных, которое всё ещё находится в стадии подготовки. По сравнению с приложением Важные данные в Технологии информационной безопасности — Руководство по оценке безопасности трансграничной передачи данных, выпущенное в 2017 году, Руководство по идентификации важных данных будет классифицировать важные данные по категориям «7+1» в соответствии с такими факторами, как функция данных и последствия после повреждения, а не по национальным отраслям.
Приведенная выше классификация описывает особенности важных данных во многих аспектах, чтобы помочь органам идентификации идентифицировать важные данные. Однако регионы и департаменты должны разработать свои собственные каталоги важных данных в соответствии со своими фактическими условиями.
Сценарий 4: Запросы на предоставление данных от иностранных судебных или правоохранительных органов
Такая ситуация предусмотрена Законом о защите личной информации и Законом о безопасности данных. Трансграничная передача данных регулируется согласованными договорами или принципом равенства и взаимности и должна быть одобрена компетентными органами. Что касается предыдущего горячего выпуска бухгалтерских документов, Китайская комиссия по регулированию ценных бумаг (CSRC) сохранила свою позицию. Если США Комиссия по ценным бумагам и биржам (SEC) и Совет по надзору за бухгалтерским учётом публичных компаний (PCAOB) обращаются с просьбой о помощи в расследовании, соответствующие документы должны предоставляться по каналам сотрудничества с регулирующими органами и не должны передаваться за границу без разрешения регулирующих органов. Это соответствует Закону о защите личной информации и Закону о безопасности данных.
Сценарий 5: Применимые международные договоры или соглашения
В соответствии с Законом о защите личной информации и Положением об автомобильных данных международные договоры или соглашения, в которых участвовал или которые подписал Китай, применимы к трансграничной передаче данных. Но в соответствии с Законом о защите личной информации такой случай применим только к трансграничной передаче личной информации обычными обработчиками данных. CIO всё ещё должны получать оценки безопасности. Здесь международные договоры или соглашения должны заключаться специально для трансграничных потоков данных, таких как Правила трансграничной конфиденциальности АТЭС (CBPR) или двусторонние договоры о безопасности данных между Китаем и другими странами или регионами. До сих пор Китай не подписал такой договор. Однако положения Закона о защите личной информации и Регулирования автомобильных данных подразумевают позитивное и открытое отношение Китая к таким международным договорам.
Краткие сведения
Из вышеупомянутых пяти сценариев трансграничной передачи данных последние два являются относительно особыми. В частности, четвёртый случай по существу направлен на обеспечение соблюдения законов правительством, а не на «потребности бизнеса», как указано в правилах CPTPP о трансграничных потоках данных. Первые три сценария, связанные с потребностями бизнеса, в целом можно разделить на две категории. Во-первых, личная информация, обрабатываемая обычными обработчиками данных, может реализовывать трансграничные потоки данных посредством сертификации защиты личной информации и стандартного контракта, разработанного CAC. Второе – это оценка безопасности, проводимая CAC. Оценка безопасности уместна почти во всех случаях, особенно в ситуациях, когда трансграничные потоки данных могут быть реализованы только с помощью оценки безопасности, поскольку большое значение придаётся субъекту обработки данных или обрабатываемому объекту данных. Обратите внимание, очевидно, что в настоящее время оценка безопасности может проводиться только CAC. Это означает, что самооценка, упомянутая в проекте раскрытия Технологии информационной безопасности – Руководящих принципах оценки безопасности трансграничной передачи данных, опубликованном в 2017 году, и оценка администрации киберпространства провинции в проекте раскрытия Мер по оценке безопасности трансграничной передачи личной информации, опубликованном в 2019 году, больше не применимы. Поскольку CAC является единственным органом, уполномоченным проводить оценку безопасности, полезно унифицировать критерии оценки в применении. Между тем, поскольку применимая ситуация оценки безопасности в основном связана со случаями, когда либо субъект обработки данных, либо обрабатываемый объект данных касается национальной безопасности или общественных интересов, полномочия по оценке безопасности должны принадлежать центральному правительственному органу, которым в отношении вопросов киберпространства является CAC.
Статья о китайских правилах трансграничной передачи данных, подготовлена Порталом PRC.TODAY по материалам корреспондента информационного агентства Caixin – Сюй Чэнцзинь.
Если вам понравилась статья или появились вопросы, оставьте ваш комментарий или обсудите эту статью на форуме.
