Исследование китайско-российского правового режима защиты персональных данных - на примере трансграничной передачи персональных данных

• I.    Анализ текущей ситуации

  • 1.1    Текущая ситуация в Китае

    Чтобы справиться с проблемой безопасности личной информации, вызванной быстрым развитием информационных технологий Интернета, с 1990-х годов по настоящее время Китай начал уделять внимание законодательной защите безопасности личной информации, и ввел ряд специальных положений законов с гражданской и уголовной точки зрения. С постоянным совершенствованием законодательства Китая, Закон «О персональных данных» КНР вступил в силу 1 ноября 2021 года, в котором разъясняет правила обработки персональных данных, права физических лиц при обработке персональных данных, обязанности обработчиков персональных данных и другие важные системы.Как важный вопрос управления данными, В Законе «О персональных данных» КНР четко оговорен соответствующие законы и нормативные акты трансграничной передачи персональных данных, что отвечает потребностям промышленной практики и улучшает институциональную основу для обеспечения упорядоченного потока персональных данных в Китае в соответствии с законом. Однако мы должны признать, что китайский закон о защите персональных данных начал действовать поздно, и его нормативные акты, связанные с трансграничной передачей персональных данных, страдают от много трудностей, например трудность определения трансграничной передачи персональных данных; законы, связанные с трансграничной передачей

персональных данных, наблюдается фрагментарность и разрозненность; неясны атрибуты персональных данных и т.д. Поэтому, чтобы улучшить китайский закон о защите персональных данных, мы можем провести сравнительный анализ российских и китайских соответствующих законов , связанных с трансграничной передачей персональных данных.

• 1.2    Текущая ситуация в России

  Закон «О персональных данных» РФ был принят в 2006 году и претерпел 24 изменения в ходе постоянной адаптации к современному цифровому обществу. 6 июля 2022 года Государственная дума РФ приняла поправки к закону «О персональных данных» (№ 266-ФЗ ) , 14 июля 2022 года президент России Владимир Путин подписал законопроект, в котором основное внимание уделяется изменениям, связанным с трансграничной передачей персональных данных.

В силу своих уникальных исторических и культурных особенностей и социально-экономических основ Россия применяет строгую систему контроля трансграничной передачи персональных данных, исходя из своих интересов безопасности и целей внутреннего регулирования данных, а также применяет дифференцированное правовое регулирование в отношении субъектов данных из разных стран. Поэтому российское законодательство и тенденции правоприменения важны для изучения баланса между "безопасностью" и "развитием" в управлении трансграничной передачи персональных данных.

• II.    Сравнительный анализ положений, касающихся трансграничной передачи персональных данных между Россией и Китаем

  • 2.1    Предварительные процедуры трансграничной передачи персональных данных.

• 2.2    Ограничения на трансграничную передачу персональных данных

  Последняя поправка к российскому закону «О персональных данных» в части 2 статьи 12 также уточняют страны, в которые можно передаваться персональные данные. Поправки 2022 года добавляют случаи, когда регулятор запрещает или ограничивает трансграничную передачу персональных данных, в том числе: 1) когда регулятор принимает решение на основании уведомления, предоставленного оператором, о запрете или ограничении трансграничной передачи данных в целях защиты

• 2.3    Классификация стран, в которые осуществляется трансграничная передача персональных данных

Терминология: Прецедентные процедуры передачи персональных данных через границу относятся к декларированию и уведомлению о соответствующих процедурах в соответствии с законом перед передачей или обработкой персональных данных через границы операторами или физическими лицами. Трансграничная обработка персональных данных возможна только после выполнения соответствующих процедур.

Сравнивая 39, 40 статьи 3 главы закона «О персональных данных» КНР и 3, 4 статьи 12 главы 2 закона «О персональных данных» РФ, можно заметить, что оба закона требуют установления предварительных процедур перед трансграничной передачей персональных данных. С одной стороны, от уполномоченного лица, подчеркивая необходимость уведомить уполномоченного лица информация, связанная с трансграничной персональных данных; с другой стороны, от уполномоченного органа, подчеркивая надзор и проверку уполномоченного органа к оператору. Однако между этими двумя законами существуют различия в том, что касается типов информации, которая должна быть донесена. Помимо однотипной информации: название оператора, цель обработки и т.д., часть 4 статьи 12 закона «О персональных данных» РФ также предусматривает требование к уведомлению о следующей информации: перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных, дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке, дальнейшая обработка персональных данных и т.д [1].

Помимо вышеупомянутых различий, существуют еще два различия: 1) при уведомлении, которое нужно направить уполномоченному лицу, закон «О персональных данных» КНР делает акцент на "получении индивидуального согласия уполномоченного лица», в то время как закон «О персональных данных» РФ подчеркивает, что уведомление должно быть сделано в письменной или электронной форме и должно быть подписано уполномоченным лицом. 2) При уведомлении, которое нужно направить уполномоченному органу, закон КНР не ограничивает все типы обработчиков и операторов, а только требует, чтобы следующие два типа субъектов сделали уведомление уполномоченным органам: во-первых, операторы критических информационных инфраструктур и обработчики личной информации, которые обрабатывают определенный объем личной информации, и операторы или физические лица, которые предоставляют информацию иностранным судебным или правоохранительным органам. В отличие от этого, в новой редакции закона «О персональных данных» РФ от 2022 года нет разделения категорий субъектов операторов, что означает любой оператор или обработчик, участвующий в трансграничной передаче персональных данных, независимо от объема и цели, обязан уведомить о своих намерениях уполномоченный орган, при этом в части 3 статьи 12 также подчеркивается, что данное обязательство по уведомлению отличается от обязательства, предусмотренного статьей 22.

нравственности, здоровья, прав и законных интересов граждан; 2) когда регулятор принимает решение о запрете или ограничении оператором на основании предложения другого федерального агентства решения о трансграничной передаче данных, а именно: в целях защиты основ конституционного строя Российской Федерации и безопасности государства; обеспечения обороны страны; защиты экономических и финансовых интересов Российской Федерации; обеспечения защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и иных ее интересов на международной арене дипломатическими и международно-правовыми средствами.

Как видно, последние поправки к закону «О персональных данных» сосредоточены на защите персональных данных, а также на защите национальных интересов, с ограничениями на трансграничную передачу данных в связи с оборонными, экономическими и финансовыми интересами.

Статья 42 Закона «О персональных данных» Китая предусматривает, что если иностранная организация посягает на национальную безопасность или общественные интересы, соответствующие органы могут включить ее в список ограничений или запретов на предоставление личной информации и принять меры по ограничению или запрету. В отличие от этого, видно, что в новом измененном российском законе более четко разграничены и указаны условия для ограничения трансграничной передачи персональных данных, а также подробно определены аспекты трансграничной передачи персональных данных, которые могут угрожать национальной безопасности.

В соответствии с Законом «О персональных данных» Российской Федерации трансграничная передача персональных данных - это передача персональных данных через государственные границы иностранным органам власти, иностранным физическим или юридическим лицам, при этом различают два вида трансграничной передачи данных в зависимости от страны-получателя: 1) Страны, обеспечивающие адекватные гарантии прав субъектов персональных данных ("безопасные страны "). 2) Передача данных в небезопасные страны.

В соответствии с положениями Закона Российской Федерации «О персональных данных» , обработчики данных могут осуществлять трансграничную передачу персональных данных в безопасные страны или регионы в соответствии с требованиями внутренней передачи данных. Однако трансграничная передача данных в небезопасную страну требует письменного согласия субъекта данных, за исключением случаев, прямо предусмотренных законом. Стоит отметить, что в настоящее время в России существует тщательное разделение стран, в которые передается данные, и к странам, признанным Россией в качестве безопасных, относятся страны, являющиеся участниками Конвенции о защите физических лиц при автоматизированной обработке персональныхданных, а также некоторые страны, которые не являются участниками Конвенции, но включены в российский "белый список". На сегодняшний день в "белый список" включены 29 стран, в том числе Австралия, Израиль, Катар, Канада, Малайзия, Монголия, Габон, Новая Зеландия, Южная Корея, Япония, Сингапур, Вьетнам, Бразилия, Нигерия, Южная Африка, Бангладеш, Ангола, Беларусь, Бенин, Замбия, Казахстан, Коста-Рика, Мали, Перу, Таджикистан, Таиланд, Соединенные Штаты Америки, Коста-Рика, Мали, Перу, Таджикистан, Узбекистан, Чад, Того. Стоит отметить, что Китай не включен в "белый список". Однако, по сообщениям российских СМИ от 20 июля, РКН планирует добавить в "белый список" Китай, Индию и Таиланд.

Поправка 2022 года еще больше ограничивает обстоятельства, при которых данные могут быть переданы через границы. Согласно пункту 2 статья 12 поправки, операторы, как правило, могут передавать данные через границу только в страны, которые являются участниками Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также в страны или территории, включенные в "белый список" (упомянутый выше). Согласно статья 4 старого закона, операторы могут также передавать данные через границу в страны, не входящие в "белый список", на основании письменного согласия субъекта персональных данных и договора, подписанного оператором.

В отличие от этого, наш закон о защите персональных данных не делает конкретного различия между безопасными и небезопасными странами, а статья 42 закона о защите персональных данных делает различие только между определенными организациями и физическими лицами за пределами страны.

• III.    Как Китай может улучшить законы о трансграничной передаче персональных данных

После сравнения вышеуказанных трёх аспектов, автор считает, что Китай может улучшить законы и правила, связанные с трансграничной передачей персональных данных

В следующих двух направлениях: 1) улучшить предварительные процедуры трансграничной передачи персональных данных, от оператора можно потребовать получение согласия уполномоченного лица в конкретной электронной или бумажной письменной форме во избежание ситуации, когда устное согласие уполномоченного лица чревато последующими юридическими спорами; в то же время, власти должны усилить контроль над оператором. Минимальное количество уведомлений может быть уменьшено в разумной степени, поскольку действующее законодательство Китая предусматривает, что уведомление требуется, когда количество персональных данных, обрабатываемых единовременно, достигает 1000000 или когда совокупное представление вне страны превышает 100000, или более 10000 чувствительных персональных данных [2], такое положение может привести к тому, что некоторые операторы воспользуются лазейками в законодательстве, они могут осуществлять трансграничные передачи персональных данных многократно и в небольшом количестве. 2) По вопросу ограничений на передачу персональных данных через границы, мы также можем внести соответствующие ограничения в Закон о защите персональных данных, добавив в него случаи, в которых передача персональных данных запрещена или ограничена, и подробно объяснив их, чтобы уточнить пределы передачи данных.3) В вопросе "какие страны могут передавать персональные данные через границы" Китай также может последовать примеру России и составить "белый список стран безопасности". "Это может в определенной степени защитить наши важные персональные данные и обеспечить максимальную защиту нашей национальной безопасности и интересов.

Помимо вышеупомянутых проблем, мы также сталкиваемся со злоупотреблением правом на согласие субъектов данных; отсутствием детального разграничения и регулирования юридической ответственности сетевых операторов за трансграничную передачу данных; а также с потенциальным пересечением обязанностей из-за многочисленности регулирующих и правоприменительных органов. Мы можем извлечь уроки из передовых законов и совместить с национальными условиями Китая.

Создание закона о защите персональных данных и руководства по трансграничной передаче персональных данных персональных данных персональных данных, соответствующих ситуации в Китае, также требует трехстороннего подхода: государства, предприятия и личное лицо: Во-первых, законодательные органы должны усовершенствовать законодательство о трансграничном потоке персональных данных и применять закон на практике, усилить надзор, ужесточить наказание за несоблюдение требований при трансграничной обработке персональных данных и уточнить функции правоохранительных органов, чтобы избежать пересечения полномочий и функций и нерационального использования ресурсов, и достичь правового общества в условиях верховенства закона; предприятия, как субъекты рыночной экономики, должны повысить соответствие поведения при обработке данных, легально осуществлять трансграничную передачу персональных данных и способствовать созданию системы саморегулирования. Если предприятия сталкиваются с важными персональными данными, затрагивающими национальные интересы при передаче за границу, следует проявлять большую осторожность; что касается физических лиц в обществе, субъекты данных должны твердо владеть инициативой в отношении своих собственных данных, не раскрывать свободно личную информацию и взять в руки оружие закона для защиты персональных данных.