В начале июня Китай официально ввел в действие правила о стандартных контрактах на трансграничную передачу персональных данных, которые требуют от обработчиков данных (включая компании, обрабатывающие данные менее 1 миллиона человек) заключать контракты с зарубежными получателями перед передачей.
Новые правила являются частью усилий Пекина по ужесточению контроля над внутренними данными во имя защиты национальной безопасности.
В настоящее время основная правовая база страны по управлению конфиденциальностью данных состоит из трех законов: Закона о кибербезопасности, Закона о конфиденциальности данных и Закона о защите персональной информации.
Соответственно, центральное правительство установило режим управления экспортом персональных данных. В дополнение к мерам, предусмотренным в стандартном договоре, режим включает правила, требующие от компаний проводить регистрацию оценки безопасности в национальном органе по надзору за интернетом или подавать заявку на получение сертификации по защите персональных данных в компетентном органе.
Сюй Кэ, директор исследовательского центра цифровой экономики и правовых инноваций при Университете международного бизнеса и экономики, заявил, что регулирующие органы пытаются найти баланс между повышением безопасности данных и содействием экономическому росту, основанному на данных.
Большое количество компаний, низкий уровень одобрения
В соответствии с требованиями оценки безопасности трансграничной передачи данных, которые вступили в силу 1 сентября, компании, обрабатывающие персональные данные более 1 миллиона человек, должны пройти оценку безопасности, если они хотят передавать данные за границу.
Компании должны предоставить отчеты о самооценке безопасности местным сетевым регуляторам и Администрации киберпространства Китая (CAC) для двух раундов проверки.
В настоящее время передача данных за границу считается законной, если отправитель подписывает договор с получателем и подтверждает, что передаваемые данные прошли проверку безопасности компетентного органа.
Хотя меры вступили в силу в сентябре, их реализация была затруднена из-за большого количества компаний и нехватки человеческих ресурсов для оценки их отчетов по безопасности.
К концу апреля управление киберпространства Шанхая получило более 400 отчетов об оценке, из которых только 0,5 процента были одобрены CAC.
Похожая ситуация наблюдается и в других местах. Источники Caixin сообщили, что по всей стране власти получили более 1000 заявок на передачу данных за рубеж, из которых менее 10 прошли два раунда рассмотрения.
На национальном уровне большую часть работы по рассмотрению утверждений отчетов по безопасности выполняет технический центр кибербезопасности CNCERT/CC, общая численность персонала которого составляет около 100 человек.
«Нечеткие» критерии
Помимо ограничений по персоналу, процесс утверждения замедляется из-за отсутствия ясности в критериях оценки, поскольку регулирующие органы и компании расходятся во мнениях относительно того, почему необходима запрашиваемая передача данных.
Например, заявитель должен объяснить, почему передача данных иностранной стороне для обработки является законной, обоснованной и необходимой, но никаких дополнительных указаний не предоставляется.
Г-н Сюй Кэ предупредил, что применение механизма «все в одном» может привести к чрезмерным ограничениям в определенных отраслях и секторах, что затруднит свободный поток данных, поскольку уровень возникновения проблем с национальной безопасностью будет разным.
Хэ Юань, исполнительный директор Центра исследований права данных при Шанхайском университете Цзяотун, отметил, что нагрузка на местные регулирующие органы может значительно возрасти, поскольку с июня компаниям с численностью сотрудников менее 1 миллиона человек также придется подписывать стандартные контракты.
С 2023 года власти материковой части Китая активизировали информационную работу, в частности, проводя для корпораций инструктаж по ознакомлению с правилами передачи данных.
Однако высокие затраты на соблюдение требований, трудности в общении с зарубежными получателями и неопределенность в сфере регулирования входят в число факторов, которые Пекин не смог решить для бизнеса.
Дорогой
Чтобы избежать проблем, компании, как правило, консультируются со сторонними агентствами по вопросам предоставления отчетов об оценке безопасности.
Однако стоимость услуг, взимаемых этими консалтинговыми агентствами, может легко достигать сотен миллионов юаней, что ставит небольшие компании в невыгодное положение. Качество услуг этих агентств также может различаться.
Даже при помощи консультантов многие предприятия по-прежнему сталкиваются с трудностями при получении одобрений. По словам Чжан Яо, партнера шанхайской юридической фирмы Sun & Young Partners, многие впервые поданные заявки не в полной мере соответствуют нормативным требованиям.
Хотя регулирующие органы уточнили требования по основным вопросам, касающимся того, какие данные необходимо передавать за границу, через какие системы, кому и существуют ли риски безопасности, «решение этих вопросов требует больших затрат и усилий» со стороны компаний.
А транснациональным компаниям, даже если им удастся отправить персональные данные за границу, все равно придется тратить дополнительные средства на обеспечение соответствия требованиям при их последующем использовании, говорит Чэнь Цзихун, партнер пекинской юридической фирмы Zhong Lun.
Не говоря уже о том, что передающая данные сторона должна предоставить в отчете информацию о зарубежном получателе — а этим готовы поделиться лишь немногие компании. Например, гигант Microsoft публично заявил, что «не будет сотрудничать» с запросами Китая на оценку безопасности данных.
(По данным Nikkei Asia)
Источник
Комментарий (0)