9 апреля 2025 года Администрация киберпространства Китая (CAC) выпустила Вопросы и ответы по политике управления безопасностью трансграничных данных (далее, «вопросы и ответы по трансграничной передаче данных»), предлагая практические интерпретации того, как компании могут соблюдать развивающуюся структуру Китая для трансграничная передача данных. вопросы и ответы по трансграничной передаче данных уточняет детали реализации для ключевых систем, включая экспорт данных оценки безопасности, стандартные контракты для экспорта личной информации, и механизмы сертификации.
Хотя документ не вводит новых законов и не сигнализирует о широком смягчении регулирования, он предоставляет важные разъяснения по нескольким областям, которые представляли трудности для бизнеса, особенно для транснациональных компаний. Он проливает свет на то, как «общие данные» могут свободно перемещаться через границы, как компании должны оценивать необходимость экспорта личной информации и что квалифицируется как «важные данные».
Примечательно, что вопросы и ответы по трансграничной передаче данных вводит меры, помогающие компаниям избежать ненужного повторения процедур соблюдения. Эти меры включают возможность для групп компаний подавать консолидированные заявки на соответствие экспорту данных, определение условий, при которых может быть продлена действительность оценки безопасности, и подтверждение того, что сертифицированные транснациональные компании не обязаны повторно подписывать новые контракты для каждого трансграничного потока данных.
Свободное перемещение «общих данных» через границы
вопросы и ответы по трансграничной передаче данных заявляет, что «общие данные, которые не касаются личной информации или важных данных, могут свободно перемещаться через границы».
Правила обработки общих данных не были явно указаны ни в одном из основных законов Китая о данных – включая Закон о кибербезопасности, Закон о безопасности данных, или Закон о защите личной информации – также не упоминается в правилах, касающихся трансграничной передачи данных.
Он упоминается в некоторых отраслевых правилах по безопасности данных и экспорту, таких как Меры по управлению безопасностью данных в области промышленности и информационных технологий (Пробная реализация). Эти меры требуют от промышленных и телекоммуникационных компаний организовать данные в три категории – важные, основные и общие данные – для целей безопасности данных. Основные и важные данные подлежат более строгим правилам, включая обязательное хранение внутри Китая и обязательную оценку безопасности перед экспортом.
Эти правила были интерпретированы как означающие, что общие данные не подлежат тем же строгим требованиям, хотя тексты не подтверждают это явно. Разъяснение CAC — что общие данные могут свободно передаваться через границы — поэтому является значительным, поскольку устраняет любую неопределенность относительно действительности этой интерпретации.
Тем не менее, определение того, что составляет общие данные, может быть не таким простым, поскольку правительство не выпустило окончательный список типов данных, которые квалифицируются. Ближе всего к конкретному определению находится Стандарты классификации данных [GB/T 43697-2024], выпущенные в 2024 году, в которых общие данные определяются как «любые данные, исключая важные и основные данные».
Определения «основных», «важных» и других типов данных, изложенные в этих стандартах, суммированы в таблице ниже.
Определения ключевых терминов данных в китайских стандартах классификации данных | |
|---|---|
| Данные | Любая запись информации в электронных или других формах. |
| Важные данные | Данные, специфичные для определенных областей, групп и регионов, или достигающие определенного уровня точности и масштаба, которые, будучи утечены, изменены или уничтожены, могут непосредственно угрожать национальной безопасности, экономической деятельности, социальной стабильности, общественному здоровью и безопасности. Примечание: Данные, которые касаются только самой организации или отдельных граждан, обычно не считаются важными данными. |
| Основные данные | Данные с высокой степенью охвата, достигающие высокого уровня точности, крупномасштабные и достигающие определенной глубины в области, группе или регионе, которые, будучи незаконно использованы или переданы, могут непосредственно повлиять на политическую безопасность. Примечание: Основные данные в основном включают данные, связанные с ключевыми областями национальной безопасности, экономическими жизнями страны, благосостоянием людей и основными общественными интересами, как оценивается и определяется соответствующими государственными органами. |
| Общие данные | Другие данные, исключая важные и основные данные. |
| Персональная информация | Различные виды информации, относящиеся к идентифицированным или идентифицируемым физическим лицам, записанные в электронных или других формах. Персональная информация также определяется в Закон о защите персональной информации и другие нормативные акты. |
Важное развитие в определении общих данных произошло с выпуском Правила для содействия и стандартизации трансграничных потоков данных, набор правил, направленных на упрощение трансграничной передачи данных, который вступил в силу 22 марта 2024 года. Эти правила предусматривали, что свободные экономические зоны Китая (СЭЗ) могут формулировать каталоги общих данных, которые компании могут свободно экспортировать из зоны.
В мае 2024 года Шанхайская СЭЗ стала первой зоной, выпустившей общие списки данных, с первой партией, применяющейся к компаниям в автомобильной, биофармацевтической и секторах взаимных фондов. В рамках этой системы компании, базирующиеся в Шанхайской СЭЗ, которым необходимо экспортировать данные из Китая для любой из целей, указанных в общих списках данных, могут делать это без прохождения дополнительных процедур соблюдения.
В большинстве случаев, однако, СЭЗ, которые внедрили меры для упрощения трансграничной передачи данных, приняли несколько иной подход. До сих пор Тяньцзинь, Пекин, Шанхай, и СЭЗ Чжэцзян, а также Хайнаньский свободный порт торговли (FTP), выпустили негативные списки данных, охватывающие в общей сложности 17 отраслей, включая автомобили, фармацевтику, розничную торговлю, гражданскую авиацию, перестрахование, глубоководную промышленность и семеноводческую промышленность. В рамках этой системы типы данных и объемы персональной информации, которые не могут свободно экспортироваться, перечислены в отраслевых списках данных, и любые данные, не включенные в списки, могут свободно экспортироваться из зоны.
Вопросы и ответы по трансграничной передаче данных также повторяют, что любые данные, не включенные в негативные списки, могут свободно экспортироваться из страны из соответствующей СЭЗ. В дальнейшем возможно, что больше СЭЗ выберут внедрение негативных списков данных для различных отраслей, а не определение общих данных.
Обеспечение согласованности между негативными списками СЭЗ и расширение отраслевых списков
вопросы и ответы по трансграничной передаче данных повторяет, что СЭЗ разрешено формулировать собственные негативные списки данных для экспорта данных, но эти списки должны быть сформулированы в рамках национальной системы классификации и защиты данных. Кроме того, списки проходят строгий процесс утверждения для обеспечения согласованности и соблюдения законов, стандартов и нормативных актов Китая в области данных. Это включает утверждение провинциальным комитетом по кибербезопасности и информатизации, подачу в национальный департамент кибербезопасности и информационных технологий и национальный департамент управления данными, а также окончательный обзор CAC и Национальной администрации данных. Кроме того, в процессе формирования негативных списков запрашиваются мнения соответствующих компетентных органов.
Для содействия внедрению негативных списков в различных СЭЗ вопросы и ответы по трансграничной передаче данных заявляет, что если одна СЭЗ уже выпустила негативный список для определенной отрасли или области, другие СЭЗ могут ссылаться на этот список вместо того, чтобы формулировать новый. Это поможет обеспечить непрерывность между различными СЭЗ и соблюдение национальной системы классификации и защиты данных.
Это также предполагает, что больше СЭЗ выпустят негативные списки данных, смоделированные по образцу тех, которые были введены в Пекине, Шанхае, Тяньцзине, Хайнане и Чжэцзяне. вопросы и ответы по трансграничной передаче данных дополнительно подчеркивает, что CAC активно направляет СЭЗ в разработке таких списков в соответствии с их конкретными потребностями в промышленном развитии.
Определение необходимости экспорта персональной информации
Одним из шагов в экспорте определенных объемов персональной информации из Китая является оценка необходимости экспорта для бизнес-операций компании. Например, компании, стремящиеся экспортировать большой объем персональной информации, что требует оценки безопасности CAC, будут обязаны провести самооценку, которая включает, среди прочего, оценку "законности, легитимности и необходимости цели, объема и метода трансграничной передачи данных, а также обработки данных зарубежным получателем". Оценка безопасности CAC также включает оценку "законности, легитимности и необходимости методов, объема и цели экспорта данных".
В более широком смысле, компании обязаны демонстрировать необходимость обработки персональной информации для любой деятельности по обработке, а не только для экспорта данных. В частности, статья 6 PIPL гласит, что "обработка персональной информации должна иметь ясную и разумную цель, быть непосредственно связанной с целью обработки данных и проводиться таким образом, чтобы минимально воздействовать на права и интересы индивидов. Сбор персональной информации должен быть ограничен минимальным объемом, необходимым для достижения цели обработки данных, и чрезмерный сбор персональной информации не допускается".
Более того, статья 19 гласит, что «если иное не предусмотрено законами и административными нормативными актами, срок хранения персональной информации должен быть минимально необходимым для достижения цели обработки данных».
Вопросы и ответы по трансграничной передаче данных объясняют, что на основе правовых положений четыре ключевых фактора определяют, является ли экспорт персональной информации «необходимым»:
- Является ли это непосредственно связанным с целью обработки данных.
- Является ли это минимальным воздействием на права и интересы отдельных лиц.
- Ограничено ли это минимальным объемом, необходимым для этой цели.
- Является ли срок хранения данных настолько коротким, насколько это необходимо для выполнения этой цели.
вопросы и ответы по трансграничной передаче данных дополнительно отмечает, что во время оценки безопасности экспорта данных CAC будет оценивать необходимость экспорта на основе конкретного бизнес-контекста и потребностей в обработке компании. Это включает оценку необходимости самого экспорта, количества вовлеченных лиц и объема передаваемых персональных данных.
Наконец, в нем говорится, что CAC совместно с отраслевыми регуляторами продолжит уточнять и разъяснять сценарии экспорта и требования к объему данных для конкретных отраслей, чтобы предложить более целенаправленное политическое руководство по трансграничной передаче данных.
Уточнение по идентификации важных данных и регламент по экспорту важных данных
Одной из самых сложных областей для иностранных компаний при трансграничной передаче данных является оценка того, какие данные у них считаются «важными» данными.
Согласно законам Китая о безопасности данных, любые данные, классифицированные как «важные», должны пройти оценку безопасности CAC перед их экспортом.
Однако, поскольку правительство не выпустило окончательный список того, что считается важными данными, трудно определить, какие именно данные будут квалифицированы.
Регламент управления безопасностью сетевых данных, который вступил в силу 1 января 2025 года, дает общее определение важных данных как «данных в конкретной области, конкретной группе, конкретном регионе или достигающих определенной точности и масштаба, которые могут непосредственно угрожать национальной безопасности, экономической деятельности, социальной стабильности, общественному здоровью и безопасности, если они будут изменены, уничтожены, утечены, незаконно получены или незаконно использованы».
Между тем, упомянутые выше стандарты классификации данных также описывают обширные методы для компаний по идентификации важных данных.
Хотя экспорт важных данных обычно ограничен, вопросы и ответы по трансграничной передаче данных уточняют, что существуют определенные сценарии, в которых важные данные могут быть экспортированы. В частности, если оценка безопасности экспорта данных определяет, что передача данных не угрожает национальной безопасности или общественным интересам, они могут быть экспортированы.
Согласно вопросам и ответам по трансграничной передаче данных, по состоянию на март 2025 года CAC рассмотрел 298 оценок безопасности экспорта данных. Среди них 44 касались важных данных, и 7 были отклонены — уровень отказов составил 15,9 процента. Эти 44 заявки включали 509 важных данных, из которых 325 были одобрены для экспорта, что составляет 63,9 процента от общего числа.
Более того, вопросы и ответы по трансграничной передаче данных подчеркивают, что Регламент по продвижению и стандартизации трансграничных потоков данных четко указывают, что если компания заранее заявляет о своих важных данных в соответствии с соответствующими нормативными актами, и данные не были идентифицированы или публично обозначены как важные соответствующими органами или регионами, компания не обязана проходить оценку безопасности экспорта данных.
Участие иностранных компаний в формировании технических стандартов
Вопросы и ответы по трансграничной передаче данных подчеркивают два основных пути, через которые иностранные компании могут участвовать в разработке отраслевых и технических стандартов.
Во-первых, иностранные компании могут стать членами рабочих групп при Национальном техническом комитете по стандартизации информационной безопасности. В качестве членов они имеют равные права и обязанности с отечественными предприятиями, что позволяет им участвовать в полном процессе установления стандартов — от первоначального проектирования до окончательного рассмотрения — и активно вносить идеи и отзывы на каждом этапе.
Во-вторых, иностранные компании могут участвовать, просматривая и отправляя комментарии по проектам стандартов, опубликованным для общественного обсуждения, чтобы их точки зрения были учтены при доработке предлагаемых стандартов.
Методы упрощения экспорта персональной информации
Вопросы и ответы по трансграничной передаче данных вводят несколько мер, направленных на упрощение процесса экспорта персональной информации для компаний.
Во-первых, если у компании есть несколько дочерних компаний с аналогичными бизнес-целями и сценариями экспорта данных, материнская компания может подать консолидированное заявление на оценку безопасности экспорта данных или выполнить другие применимые процедуры соблюдения, такие как подписание стандартного контракта, от имени всех дочерних компаний. Это значительно снижает нагрузку на соблюдение и административную работу для каждой отдельной дочерней компании.
Однако этот подход полезен только в том случае, если дочерние компании уже подлежат требованиям по соблюдению. Если одна дочерняя компания обрабатывает персональную информацию ниже порогового значения регулирования, она может экспортировать данные без необходимости проведения оценки безопасности или других процедур. В таких случаях консолидация данных от нескольких дочерних компаний может непреднамеренно повысить общий объем выше порога, создавая дополнительные обязательства по соблюдению.
Кроме того, CAC работает над внедрением системы сертификации для экспорта персональной информации, предоставляя возможность профессиональными учреждениями третьих сторон для сертификации деятельности по трансграничной передаче данных. После сертификации либо отечественная компания, либо зарубежный получатель могут осуществлять экспорт данных в рамках сертификации.
Наконец, сертифицированным многонациональным группам будет разрешено передавать персональную информацию внутри компании через границы без необходимости подписывать отдельные стандартные контракты с каждым иностранным филиалом.
Эти методы могут значительно облегчить трансграничные потоки данных для крупных многонациональных компаний. В частности, возможность для многонациональных компаний полагаться на сертификацию на уровне группы, а не подписывать новый стандартный контракт для каждого нового сценария экспорта или типа данных, значительно упростит операции. Это снижает юридическую сложность, ускоряет бизнес-процессы и позволяет более эффективно сотрудничать между компаниями, базирующимися в Китае, и их зарубежными филиалами.
Продление срока действия результата оценки безопасности экспорта данных
Разъяснения по трансграничной передаче данных уточняют, что в соответствии с Положения о содействии и стандартизации трансграничных потоков данных, срок действия результата оценки безопасности экспорта данных был продлен с 2 до 3 лет. Это означает, что после прохождения оценки безопасности компания может продолжать экспортировать персональную информацию в течение трех лет без необходимости повторного обращения.
Если по истечении трех лет компания желает продолжать экспорт данных и не произошло существенных изменений, требующих нового заявления (таких как значительные изменения в типе данных, целях обработки или получателях), компания может подать заявление на продление срока действия первоначального результата оценки. Это заявление на продление должно быть подано через местное (провинциальное) отделение CAC компании не менее чем за 60 рабочих дней до истечения первоначального срока. После одобрения CAC срок действия может быть продлен еще на три года.
В настоящее время CAC находится в процессе уточнения процедур продления и собирает отзывы от заинтересованных сторон. Он планирует уточнить и формализовать процесс через обновленные политические документы, облегчая компаниям управление долгосрочной деятельностью по экспорту данных.
Оценки безопасности являются самым строгим механизмом соблюдения для трансграничной передачи персональной информации. Снижение частоты, с которой компании должны повторно подавать заявления, за счет разрешения многолетних продлений, значительно облегчает нагрузку на соблюдение. Это помогает компаниям экономить время, снижать административные расходы и поддерживать непрерывность в трансграничных операциях, особенно для тех, кто обрабатывает большие объемы персональной информации или важные данные.
