Китай принял новый проект по защите персональных данных пользователей

Азия

15 июля 2019, 14:22

Cybersecurity internet concept

Китай приостановил ряд мер по регулированию кибербезопасности и конфиденциальности из-за опасений осложнить торговые переговоры между США и Китаем. Но после того как в начале мая разговор зашел в тупик, уже 13 июня «Администрация по киберпространству» опубликовала проект постановления об исходящих передачах личной информации, в котором был конкретизирован компонент защиты личной информации (PI).

Примечательно, что в проекте есть договорный подход к передаче данных от китайских сетевых операторов иностранным получателям данных. По словам д-ра Хун Яньцина, влиятельного исследователя в области конфиденциальности данных, этот подход основан на обязательных корпоративных правилах Общего регламента защиты данных (GDPR) Европейского союза, которые позволяют многонациональным компаниям передавать данные между своими дочерними компаниями на международном уровне. Как в правилах Китая, так и в правилах ЕС подчеркивается необходимость адекватного уровня защиты данных в странах назначения и требуется одобрение регулирующих органов до передачи. Тем не менее, разница есть. Обязательные корпоративные правила более легкие, они ограничены внутренним кодексом поведения — без обязательства сообщать об исходящих переводах текущего года.

Еще одно заслуживающее внимания положение, — это положение, разрешающее прекращение передачи данных, если «договор не может быть реализован из-за изменений в правовой среде страны, в которой находится получатель». Этот пункт вместе с ограничениями на дальнейшую передачу данных третьим лицам, может быть истолкован как ответ на законы об экстерриториальных данных, такие как Закон США об облаках. Закон об облаках предположительно является законодательным решением. Он очистил юридическую «серую зону»: когда компаниям США пришлось предоставить данные, хранящиеся на зарубежных серверах. Тем не менее, это будет представлять собой правовое нарушение, если оно будет осуществляться без согласования с местными законами.

В ходе киберполитической дискуссии в Китае сложился консенсус в отношении того, что необходимо принять меры для противодействия чрезмерному распространению Закона об облаках, когда речь идет о личной информации граждан Китая. Другой противник Закона об облаках — это ЕС, он сотрудничает с правительством США с целью упорядочения доступа правоохранительных органов к данным. Если бы Китай согласовал эти правовые конфликты, наличие правил локализации послужило бы рычагом в переговорах.

Наконец, в проекте отдельно закреплено обращение с личной информацией и важными данными. Последнее относится к информации, которая в случае утечки может нанести ущерб национальной безопасности. В старых руководствах по локализации данных от апреля 2017 года оба типа данных рассматривались под одним зонтиком. Его строгие правила вызвали негативную реакцию со стороны иностранных компаний и правительств. Новый проект был сосредоточен исключительно на передаче личной информации. Такое разделение соответствует законодательному плану Народного конгресса Китая, в котором также есть закон о защите личной информации и закон о безопасности данных.

Осталось несколько вопросов. В проекте предусмотрена настройка внутреннего оператора сети и получателя за рубежом. На самом деле эти две организации обычно принадлежат одной корпоративной группе. Неясно, как будет выглядеть контракт на передачу данных, если передача будет осуществляться между дочерними компаниями.

Новый проект ослабил свои требования по согласию пользователей. В старом руководстве не разрешались никакие исходящие передачи без согласия субъекта личной информации. Как сообщается, новый проект изменил это на «подразумеваемое согласие». Проект еще больше уменьшил трения пользователей. Согласие необходимо теперь только для последующей передачи конфиденциальной личной информации — небольшого количества ЛИ третьим лицам. Вопрос заключается в том, означает ли это изменение то, что Китай готов к лоббированию бизнеса, и какие еще спорные моменты могут возникнуть.

Неудобным фактом, которым западные наблюдатели часто пренебрегают, является то, что китайские фирмы также сталкиваются с бременем локализации данных. У них есть огромная база китайских эмигрантов. И китайские фирмы все чаще ищут возможности для расширения, так как дикий рост в стране (интернет и популярность мобильных телефонов) истек. Китайские фирмы заинтересованы в снижении издержек, связанных с соблюдением требований, так же, как их зарубежные коллеги.

Хотя Китай вряд ли откажется от своего упора на контроль данных своей юрисдикции, на рабочем уровне мы можем стать свидетелями более плодотворного взаимодействия с заинтересованными сторонами. Элементы, которые еще предстоит доработать, варьируются от сферы действия операторов сети, до простоты передачи неличной информации и технических разъяснений относительно достаточно де-идентифицированного ИП.

Новый проект о трансграничной передаче персональной информации является основной загадкой в ​​развивающемся режиме киберуправления в Китае. Несмотря на то, что никто не исключает цифрового протекционизма и контроля над данными, в проекте раскрыта надежная схема защиты личной информации в быстро меняющейся среде кибербезопасности.

The Diplomat

Добавить комментарий

Авиабилеты