За последние 5 лет Китайская Народная Республика активизировала усилия по созданию правовой архитектуры для защиты данных. С обнародованием Закона о защите личной информации (PIPL) и Закона о безопасности данных (DSL) летом 2021 года первый этап этих усилий был завершен. Это окажет значительное влияние на потоки данных внутри Китая, но также заслуживает внимания за рубежом. Они предлагают новый подход к защите данных, подлежащий сравнительному анализу, и могут повлиять на разработку законодательства о защите данных в других государствах, особенно в тех, которые имеют тесные цифровые связи с Китаем. Для этого требуется более глубокое понимание того, как это законодательство формируется в политическом и экономическом контексте Китая. Опираясь на тщательный анализ правительственных документов, В этой статье, дополненной академическими источниками на китайском языке, рассматривается эволюция двух столпов архитектуры защиты данных в Китае, начиная с ранней стадии фрагментации через обнародование Закона о кибербезопасности в 2016 году и заканчивая сегодняшним днем. Он считает, что PIPL и сопутствующие ему правила служат в первую очередь для регулирования отношений между крупными технологическими компаниями и потребителями, а также для предотвращения киберпреступлений. Он не создает значимых ограничений на сбор и использование данных государством. Тем не менее, PIPL имеет явное сходство с режимами защиты персональных данных в других странах мира. Напротив, DSL представляет собой значительное новшество, пытающееся предотвратить ущерб национальной безопасности и общественным интересам, наносимый с помощью средств, основанных на данных.
Введение
Быстрое распространение цифровых услуг, сопутствующее увеличение объемов генерации, сбора, обработки и использования данных, а также многочисленные громкие инциденты, связанные с безопасностью, выдвинули вопросы защиты данных на видное место в политической повестке дня в странах по всему миру, и Китай не является исключением. . Несмотря на это, Китай относительно поздно пришел в цифровой мир, и специальные правила защиты данных почти не существовали до конца 2000-х годов. Однако с тех пор Китай с нуля приступил к всеобъемлющему законодательству, кульминацией которого стало обнародование Закона о защите личной информации (PIPL) и Закона о безопасности данных (DSL) в 2021 году.
По мере того, как усилия Китая по защите данных набирали обороты, несколько зарубежных исследователей обратили на них внимание ученых [ 1–5 ]. В первую очередь они подходят к этой теме через сравнительный подход, оценивая китайские разработки в свете или в отличие от защиты данных в США и Европе. Перно-Леплей, например, анализирует китайскую модель защиты данных как «третий путь» между европейским подходом, ориентированным на конфиденциальность, и американской концепцией, ориентированной на рынок. Это понятно: китайские ученые и эксперты, некоторые из которых принимали участие в разработке законов, правил и стандартов, в целом признают уроки, которые Китай извлек из подходов Европы и США [ 6–9 ].]. Однако, как предупредил Дон Кларк, использование западных правовых рамок для осмысления событий в Китае рискует создать белые пятна в отношении тех элементов китайского правопорядка, которые нелегко охватить в западной теории права, но которые могут иметь решающее значение для понимания того, как закон задуман и составлен. реализованы и соблюдаются [ 10 ]. Кроме того, правовые разработки не происходят в вакууме, а должны находиться в более широком социальном, политическом и экономическом контексте, в котором они происходят. Простая ссылка на потенциально сопоставимые законодательные изменения в других странах может пролить свет только на небольшую часть головоломки.
В современной литературе о защите данных и Китае это привело как минимум к двум важным связанным упущениям. Во-первых, само существование DSL, которое еще не получило серьезного академического изучения. Этот Закон станет краеугольным камнем правового режима, создающего всеобъемлющую матрицу защиты всех данных, личных или иных, с точки зрения национальной безопасности и общественных интересов. Среди крупных кибердержав это начинание является уникальным и, следовательно, не поддается сравнительному анализу на данный момент времени. Во-вторых, есть концептуальный момент: в современной литературе законодательство о защите данных в Китае анализируется исключительно с использованием понятия «конфиденциальность». Как в США [ 11 ], так и в Европейском Союзе [ 12], неприкосновенность частной жизни и защита данных являются тесно связанными терминами, обычно относящимися к предотвращению вреда отдельным лицам посредством использования информации, связанной с ними, по причинам, включая обеспечение конституционных прав и прав потребителей. Другими словами, концепция конфиденциальности часто ассоциируется с либеральным верховенством права и экономическими ценностями. Опять же, китайские ученые также уделяли значительное внимание неприкосновенности частной жизни с разных точек зрения [ 6 , 13 , 14 ].]. Однако «конфиденциальность» — это не просто аналитическое понятие, это термин в китайском законодательстве с весьма специфическими коннотациями, о чем будет сказано ниже. У него нет конституционного статуса, которым он пользуется в Европе или США. Действительно, само понятие фундаментального права отсутствует в телеологической, инструментальной правовой среде Китая [ 15–18 ].]. Короче говоря, текущие исследования показывают, что китайский режим защиты данных является недавно появившимся, но близким родственником давно зарекомендовавших себя систем в других странах мира. Но эта формулировка исключает многие факторы, стимулирующие стремление Пекина защищать данные, цели, которые он пытается достичь, и контекст, в котором происходят эти события. Несмотря на очевидное сходство с другими правовыми системами, в этой статье утверждается, что стоит понимать отличительные особенности китайского подхода на их собственных условиях, не прибегая априори к сравнительному или концептуальному анализу.
Если реализация конституционных принципов или либеральных ценностей не является целью китайского режима защиты данных, что же тогда является его главной движущей силой? В статье утверждается, что ответ нужно искать в китайской политике «кибербезопасности и информатизации». Китайское законодательство и регулирование неразрывно связаны с «более широкой картиной» ( дадзю ) проекта, который стремится осуществить Коммунистическая партия Китая. В целом, его основными целями являются восстановление положения Китая в богатстве и силе (фуцян ), но конкретные политические последствия этого менялись и развивались с течением времени. В 2014 году Си Цзиньпин объявил о стремлении превратить Китай в «кибердержаву» ( ванглуо дагуо).) за счет сочетания информатизации, внедрения цифровых технологий в социальную, экономическую и политическую жизнь, кибербезопасности. Другими словами, информатизация связана с реализацией позитивных планов и политик, использующих цифровые возможности для целей национального развития, включая экономический рост и эффективное управление, применяемых как государством, так и частными субъектами [ 19 ].]. Кибербезопасность, в свою очередь, формирует защитный экзоскелет вокруг этой сферы развития, защищая от уязвимостей, которыми могут воспользоваться враждебные субъекты. Показательно, что китайское определение кибербезопасности фокусируется не только на более технических вопросах, таких как конфиденциальность, целостность и доступность сетевых систем и данных, которые они содержат, как это делают определения США и Европы, но и на вреде, который они могут нанести китайской экономике. государство, экономика и общество [ 20 ]. В определении Си они неразрывно связаны, как «два крыла на одном корпусе, два колеса одного транспортного средства».
В этом документе предполагается, что два столпа режима защиты данных в Китае, PIPL и DSL, в значительной степени отражают различие между информатизацией и кибербезопасностью. При их разработке китайское правительство стремилось создать архитектуру, которая классифицирует риски, угрозы и отношения, связанные с данными, между субъектами и соответствующим образом управляет ими. Хотя есть некоторое совпадение, основная цель PIPL состоит в том, чтобы регулировать и балансировать отношения между отдельными лицами и организациями, собирающими и использующими данные, которые позволяют их идентифицировать. DSL, с другой стороны, мало заботится о горизонтальных отношениях между субъектами данных и контролерами, но фокусируется на создании всеобъемлющей архитектуры для оценки и управления потенциальными рисками, исходящими от каждой отдельной части данных, хранящихся в Китае. особенно против сил, враждебных целостности режима, возглавляемого Коммунистической партией, внутри страны и за рубежом. Таким образом, он является частью тенденции секьюритизации цифровой сферы, занимающей центральное место в усилиях по кибербезопасности и информатизации с 2014 года.21 , 22 ].
Однако эти два столпа не появились ex nihilo в полной мере .. Они являются результатом многолетней постепенной эволюции под влиянием изменений во внешних факторах и разрешении интеллектуальных дебатов, а также политических факторов, включая борьбу за влияние между различными министерствами с пересекающимися юрисдикциями и противодействие со стороны китайских технологических гигантов. Таким образом, результирующая структура содержит компромиссы, ответы на предполагаемые проблемы и устаревшие компоненты более ранних итераций и механизмов. Следовательно, в этом документе используется подход отслеживания процессов, в котором намечается траектория, по которой возник режим защиты данных. Основываясь на всестороннем обзоре нормативных документов и планов политики, а также академической литературы на китайском языке, он делит эту историю на три периода. Первый, в нем рассматриваются ранние зачатки фрагментарных понятий и механизмов защиты данных до обнародования Закона о кибербезопасности (CSL) 2016 года, в котором изложены основополагающие мандаты для защиты данных. Это включает в себя создание многоуровневой системы защиты, ориентированной на общественную безопасность (MLPS), а также отделение защиты данных от конфиденциальности. Второй этап охватывает период между CSL и более обширными и специализированными положениями DSL и PIPL, в течение которого между различными регулирующими органами происходили значительные обмены мнениями, что привело к нескольким неудачным регуляторным инициативам, а также к техническим данным. нормы защиты. На третьем этапе рассматривается содержание самих DSL и PIPL и обсуждается будущее направление развития архитектуры защиты данных, которую они устанавливают. В заключении обсуждается актуальность режима защиты данных Китая для более широкой литературы по защите данных. Дело Китая не только заслуживает изучения ввиду большого количества онлайн-пользователей Китая и мощных технологических компаний, но и содержит элементы, заслуживающие дальнейшего сравнительного и теоретического изучения.
Генезис защиты данных в Китае (1994–2011 гг.)
Развитие регулирования защиты данных в значительной степени отразило развивающееся восприятие и озабоченность китайского руководства в отношении быстрого внедрения цифровых технологий в государстве, экономике и обществе Китая, а также потенциального воздействия различных форм злоупотребления данными. Этот процесс содержит различные переплетенные нити, каждая из которых сопряжена с рисками и регулятивными мерами. Первый — это появление цифровых государственных систем, начиная с «Золотых проектов» 1990-х годов [ 23 ] и продолжая в настоящее время новым Пятилетним планом информатизации правительства [ 24 ].]. Эти проекты призваны сделать китайское государство более эффективным и результативным при выполнении различных задач, начиная от государственных услуг и заканчивая поддержанием социальной стабильности. Это требует, чтобы государственные органы Китая могли получать данные, включая личную информацию, которые они считают необходимыми для этого. Второй — развитие цифровой экономики, движимое крупными платформенными компаниями, чья бизнес-модель во многом строилась на эксплуатации больших объемов пользовательских данных. В-третьих, по мере роста экономической ценности данных возник большой черный рынок, на котором корпоративные и правительственные инсайдеры торговали личной информацией в больших масштабах. В-четвертых, по мере развития информатизации росла и уязвимость связанных с данными или связанных с ними утечек, взломов и атак.
Законодательная реакция на эти изменения шла медленно, а базовые и широкие рамки были введены в действие только в конце 2000-х годов. Неудивительно, что для политической организации, ценящей секретность и управление информацией, партийное руководство практически сразу же уделило внимание обеспечению сетевой информационной безопасности. В 1994 году Министерству общественной безопасности (MPS) было поручено разработать многоуровневый подход, предусматривающий различные уровни требований в зависимости от важности конкретных сетевых систем [ 25 ]. Однако потребовалось более десяти лет, чтобы эта «многоуровневая система защиты» (MLPS) для информационной безопасности появилась на свет. Сначала он отдавал приоритет конфиденциальной правительственной информации [ 26] и позднее стали включать «сведения, составляющие государственную тайну, сведения, являющиеся собственностью юридических лиц, иных организаций и граждан, а также общедоступные сведения и информационные системы, хранящие, передающие и обрабатывающие эти сведения [ 27 ]». MLPS, завершенный в 2007 году, содержал пять уровней защиты безопасности, причем более высокие уровни предъявляли повышенные требования и подвергались проверке со стороны правительства. MLPS не защищала данные как таковые. Скорее, он формировал градуированный режим защиты для всех сетевых систем, который защищал их целиком, включая их данные. Однако MLPS заложил основу для введения режима DSL более десяти лет спустя. Он создал институциональную и концептуальную основу для защиты цифровых активов с точки зрения «национальной безопасности, жизненных путей экономики и социальной стабильности [ 26 ]».
В области защиты личной информации разработки были крайне фрагментарными и оставались в зачаточном состоянии. В 1980-х и 1990-х годах несколько законов и постановлений требовали соблюдения конфиденциальности личной информации в определенных секторах, таких как банковские и юридические услуги [ 28 ]. По мере того как в 2000-х годах стремление Китая к информатизации набирало обороты, Управление информатизации Государственного совета поручило Чжоу Ханьхуа возглавить разработку законопроекта о защите личной информации, который был опубликован в 2006 году [ 29 ]. В этом «Экспертном предложении» изложены 10 принципов защиты данных, аналогичных международным соглашениям о конфиденциальности и законам в Европе и Азии [ 1]. Он также касался сбора и обработки данных государственными органами. Этот раздел содержал довольно строгие ограничения на сбор данных, а также требование регистрировать процессы сбора в соответствующем ответственном органе, хотя были включены широкие исключения для таких областей, как безопасность и охрана правопорядка. В-третьих, он касался сбора данных «другими обработчиками данных» в частном секторе, требуя от них регистрации в соответствующем органе. В-четвертых, он включал ограничения на трансграничную передачу личной информации, но только для субъектов частного сектора. Что касается правоприменения, проект не призывал к созданию специального регулятора данных, а прибегал к сочетанию сложных процессов административного и судебного правоприменения. Однако предложение Чжоу так и не было принято в качестве официального закона.
Предпринимавшиеся разрозненные усилия по регулированию в значительной степени были реакцией на конкретные явные формы злоупотреблений, которые начали появляться. В редакцию Уголовного кодекса 2009 г. впервые были включены положения о незаконной продаже персональных данных государственными служащими или финансовыми, телекоммуникационными, транспортными, образовательными и медицинскими учреждениями, а также о хищении или незаконном получении такой информации. [ 30 ]. В 2011 году Народный банк Китая выпустил циркуляр о защите банковской и финансовой информации физических лиц. Среди прочего, это требовало, чтобы личная информация, собранная в Китае, хранилась внутри страны [ 31 ].], первый случай обязательной локализации данных. В том же году Министерство промышленности и информационных технологий (МИИТ) выпустило правила для информационных интернет-сервисов, которые установили принципы информированного согласия и необходимости сбора и использования данных, установили обязательства уведомлять власти о серьезных утечках данных и предоставили пользователям права на изменять и удалять свою личную информацию. Они также запретили поставщикам онлайн-услуг передавать или торговать личной информацией. Эти правила ясно указывали на то, что онлайн-экономика получила приоритет в защите личной информации, но сила их правоприменения была ограничена: высшим наказанием, которое могло быть наложено, был штраф в размере 30 000 юаней [ 32 ].]. МИИТ дополнил эти положения техническим стандартом 2013 г., который впервые содержал четкие терминологические определения и основные нормы [ 33 ]. Хотя этот документ не имел обязательной юридической силы, он, тем не менее, обладал значительной нормативной силой.
В отдельно развивающейся области неприкосновенности частной жизни первоначальные понятия, вытекающие из права на репутацию, представленные в Гражданском кодексе 1986 г., были развиты Верховным народным судом, а затем защита конфиденциальных и частных личных дел в Гражданско-процессуальном законе и аспекты неприкосновенности частной жизни. уязвимые группы, такие как несовершеннолетние и женщины [ 28 , 34 ]. Эти положения отражали особое прочтение неприкосновенности частной жизни, основанное на традиционных представлениях о стыде и приличии, в соответствии с которым определенная информация не должна предаваться гласности [ 13 , 35 ].]. Однако это понятие расширилось, чтобы охватить автономию людей решать, какие аспекты своей частной жизни они добровольно раскрывают. Таким образом, неприкосновенность частной жизни стала частью более широкой категории «прав личности» ( rengequan人格权) [ 36 ]), которая также включала такие вопросы, как право на жизнь и здоровье, права на имя и портрет и права на репутацию. Эти права в первую очередь рассматривались как часть гражданского права и были включены в Закон о деликте 2009 года [ 37 ]. Однако не было дано определение конфиденциальности, а Закон содержал только одно конкретное положение о конфиденциальной медицинской информации.
Спотыкаясь о более общей структуре защиты данных (2012–2018 гг.)
Начиная с 2012 года руководство Китая стремилось централизовать управление данными и создать более общие законодательные рамки, отказавшись от разрозненных вмешательств в конкретных секторах. Это отражает общую тенденцию к централизованному цифровому регулированию, включая институциональную концентрацию цифровых компетенций в недавно созданной Администрации киберпространства Китая (CAC) [ 38 ].]. Доминирующей движущей силой этого была быстро растущая потребность в управлении проблемными практиками в растущей экономике платформ, а также столь же быстрое распространение незаконной торговли данными и других форм злоупотреблений, особенно после появления доступных мобильных устройств. В июне 2007 года только 16% населения Китая были в сети. Это число выросло до 70% в 2022 году, более 90% из которых в основном являются мобильными пользователями [ 39 ]. Смартфон способствовал появлению бизнес-ландшафта, в котором доминируют гигантские платформенные компании, такие как Alibaba, Tencent, Bytedance, Pinduoduo и Didi, которые основывают свои коммерческие модели на способности собирать и анализировать пользовательские данные для максимизации прибыли и доли рынка. [ 40 ]. Доходы от электронной коммерции выросли более чем в сто раз в период с 2011 по 2019 год.
В целом китайское правительство весьма поддерживало эти разработки. В 2015 году он выпустил план действий по большим данным, в котором говорилось, что данные стали «базовым стратегическим ресурсом» [ 41 ]. Тем не менее, в этот период злоупотребления, связанные с данными, стали безудержными, поскольку появился черный рынок личной информации [ 42 , 43 ]. Получение холодных звонков о целевых товарах и услугах стало обычным явлением в повседневной жизни китайцев, большая часть которых была результатом незаконной продажи личной информации корпоративными сотрудниками и подрядчиками [ 44 , 45 ], а также государственными чиновниками и ведомствами [ 46 ].]. Одним из наиболее ярких случаев был случай с 18-летней Сюй Юй, которая умерла от сердечного приступа в 2016 году после того, как у нее выманили деньги на обучение в колледже в результате телефонного мошенничества [ 47 ]. Столь же быстро росли и другие формы онлайн-мошенничества [ 48 , 49 ].
Следовательно, события в период с 2012 по 2016 год в основном сосредоточены на защите прав потребителей и правоприменении. Скрытым течением в этот период было начало секьюритизации данных, поскольку ухудшение отношений с США, а также усиление опасений по поводу терроризма внутри страны заставили власти уделять больше внимания контролю над потоком онлайн-данных. После разоблачений Сноудена и использования личной информации во вмешательстве в выборы Трампа, приписываемом России, стало ясно, что границы между защитой личной информации ради личных интересов и ее потенциальной значимостью для национальной безопасности , начало расплываться. Вскоре новые требования к локализации данных были введены в самых разных областях: от кредита, картографии и здравоохранения до онлайн-публикаций и облачных сервисов.50 ]. Как отметил ученый Хун Яньцин, который позже возглавил разработку новых технических стандартов защиты личной информации: «Огромный объем пользовательской информации, которой владеет Alibaba, в настоящее время охватывающий более 400 миллионов пользователей, безусловно, является личной информацией […], но поскольку по своему масштабу и степени детализации он также может соответствовать базовой национальной базе данных населения органов общественной безопасности и даже превосходить ее по точности. Для страны любая возможная утечка или повреждение такого масштаба основных данных о населении может создать серьезную угрозу национальной безопасности» [ 51 ].]. Эта тенденция стимулировала разработку Национальной стратегии кибербезопасности, а также CSL. Последний содержал раздел о защите личной информации, а также первое упоминание термина «важные данные», который впоследствии превратился в DSL [ 52 ]. Тем не менее, реализации CSL будет препятствовать множество факторов. MPS не хотел передавать свои полномочия, связанные с данными, CAC, что привело к стычкам из-за бюрократических вопросов и дублированию требований мандата. Китайские технологические гиганты также выступили против введения более строгих законов о конфиденциальности. Исследовательский институт TISI, принадлежащий Tencent, например, неоднократно публиковал статьи, в которых утверждалось, что Общий регламент по защите данных (GDPR) и более строгая позиция Европы в целом препятствуют успеху европейского онлайн-бизнеса [ 53 ].]. В результате в области защиты данных не было принято никаких существенных правил реализации CSL.
Усиление реагирования на опасения, связанные с онлайн-данными
Первый шаг к более всеобъемлющей форме защиты был сделан в 2012 году, когда Постоянный комитет Всекитайского собрания народных представителей принял Решение о защите информации [ 54]. Он подтвердил запреты на кражу данных в соответствии с Уголовным законом, включил принципы правил МИИТ 2011 года и сделал их общеприменимыми, а также запретил нежелательные электронные сообщения. Что касается мер по исправлению положения, он обязывает онлайн-компании удалять опубликованную личную информацию или устранять соответствующие нарушения другими соответствующими способами. Впервые он также коснулся использования данных в государственных ведомствах, запретив им утечку, искажение или продажу личной информации. Однако эти меры были частью более широкой программы по усилению контроля над онлайн-сферой в более широком смысле. Решение требовало, например, от онлайн-компаний более строгого контроля над контентом, создаваемым пользователями, и требовало регистрации на реальные имена для телекоммуникационных услуг. Они также не содержали явных положений о правоприменении, а также не создавали и не назначали регулятора защиты данных. В результате единственным неуголовным правоохранительным органом стало МИИТ, у которого было мало ресурсов для этого. Таким образом, потенциальное административное наказание, за исключением уголовных дел, оставалось мягким.
Решение совпало с усилением правоприменительной деятельности. В начале 2013 года Верховный народный суд, Верховная народная прокуратура и МПО выпустили уведомление, которое подтолкнуло полицию, прокуратуру и судебные органы к более строгому преследованию нарушений персональных данных путем возбуждения уголовного дела. Особое внимание в этом Уведомлении уделялось «наплыву незаконной торговли личными данными граждан в Интернете», что привело к «телекоммуникационным мошенничествам, сетевым мошенничествам, вымогательству и шантажу, похищениям людей и незаконным требованиям возврата кредита [ 55 ].]». Цели включали персонал государственных органов, финансовых, телекоммуникационных, транспортных, образовательных и медицинских рабочих подразделений, а также других коммерческих предприятий. В поддержку, пересмотренный Уголовный закон 2015 года расширил до сих пор узкую основу для уголовного преследования, включенную в версию 2009 года. Вся незаконная продажа, предоставление, кража или незаконное получение данных теперь подпадают под его компетенцию, если они соответствуют порогу «серьезных обстоятельств». Максимальные сроки тюремного заключения увеличены с 3 до 7 лет [ 56 ]. Решение также привело к более детальному регулированию рынков онлайн-услуг [ 57 ] и к включению личной информации в пересмотренный Закон о защите прав потребителей [ 58 ].]. Тем не менее, изменения в законодательстве свидетельствовали об отсутствии полного консенсуса по конкретным вопросам. Например, проект Закона о борьбе с терроризмом содержал обязательство локализовать личную информацию пользователей услуг связи [ 59 ], но в окончательной версии это было исключено.
CSL: интеграция без деталей, препятствия в реализации
CSL, вступивший в силу в 2017 году, является краеугольным камнем нового всеобъемлющего режима, направленного на обеспечение безопасности цифровой сферы Китая и интеграцию областей политики, связанных с кибербезопасностью, и задействованных бюрократических структур. Он включает в себя элементы, начиная от управления контентом и заканчивая защитой критической инфраструктуры, а также от безопасности сетевых продуктов до реагирования на киберинциденты. Он также включил MLPS и создал первую законодательную базу для двух направлений защиты данных. Во-первых, в закон были включены основные положения Решения 2012 года. Хотя это представляло собой небольшую существенную эволюцию, был сделан важный шаг вперед в правоприменении, поскольку несоблюдение требований защиты личной информации могло привести к наказанию, начиная от простого предупреждения и заканчивая штрафом в размере до 1 миллиона юаней. приостановка или закрытие веб-сайтов или аннулирование соответствующих бизнес-лицензий. Во-вторых, в законе введен термин «важные данные».хотя и не давая подробного определения. Этой последней итерации предшествовали некоторые дебаты: более ранний проект содержал термин «важные бизнес-данные». Однако, как утверждает Хонг, решение сохранить «важные данные» отражает стремление законодателя защитить национальную безопасность и общественные интересы, а не интересы корпораций [ 51 ]. Понятие важных данных дважды появлялось в CSL: в первый раз критической инфраструктуре предписывалось хранить личную информацию, а также «важные данные» на территории Китая. Максимальное наказание за нарушение правил локализации данных было установлено в виде штрафа в размере 500 000 юаней, временной или окончательной приостановки деятельности, а также отзыва лицензий и разрешений на ведение бизнеса [ 60 ].
Несмотря на то, что CSL создал законодательную базу как для личной информации, так и для защиты данных, его краткая трактовка оставила без ответа многие вопросы. По мнению Хонга, Закон не «обеспечил системного мышления, не говоря уже о комплексных институциональных схемах» [ 61 ] для эффективной защиты данных. Это не является чем-то необычным для китайского правового ландшафта: закон часто включает только основные элементы принципа, цели и наказания, обязывая правительственные ведомства и местные ведомства формулировать более подробные исполнительные правила и технические стандарты для предоставления подробных запретов, обязательств и процедур. [ 62]. Однако в CSL также не было определено, какие отделы будут отвечать за внедрение CSL. CAC был создан для координации и интеграции ранее раздробленной бюрократии по кибербезопасности и информатизации [ 63 ] и взял на себя многие связанные с Интернетом задачи и персонал МИИТ [ 38 ].]. Соответственно, CSL возложил на CAC общую ответственность за «всестороннее планирование и координацию усилий в области кибербезопасности и связанных с ними усилий по надзору и управлению», а другие министерства отвечали за работу в рамках своей компетенции. Однако, поскольку CSL не назначал конкретных полномочий по защите данных, между CAC и MPS последовала продолжительная борьба за сферы влияния, в которой оба учреждения стремились заявить о своих правах на территорию в сфере защиты данных.
Вскоре после того, как CSL вступил в силу, CAC выпустил правила по защите критической инфраструктуры, в которых были более подробно описаны требования CSL к локализации данных для личной информации и важных данных [ 64 ]. Кроме того, в них указывалось, что «рабочие подразделения, предоставляющие облачные вычисления, большие данные и другие подобные крупномасштабные общедоступные информационные сетевые услуги», теперь подпадают под сферу критической инфраструктуры. CAC также опубликовал проекты правил [ 65 ] и соответствующих технических стандартов [ 66 ].] об оценках безопасности для экспорта личной информации и важных данных. Строгие положения этого проекта пошли гораздо дальше, чем GDPR или Правила трансграничной конфиденциальности АТЭС, и сделали бы большую часть потоков данных, происходящих внутри многонациональных компаний, работающих в Китае, незаконными или обременительными. Они также пошли дальше самого CSL: в то время как статья 37 требовала только от операторов критической инфраструктуры пройти проверку экспорта данных, эти меры применялись ко всем «сетевым операторам». В ответ США подали официальный протест во Всемирную торговую организацию [ 67 ]. Однако, с точки зрения Китая, существующие режимы трансграничных данных недостаточно учитывали национальные стратегические интересы [ 68 ].]. Тем не менее, правила также встретили сопротивление со стороны китайских операторов электронной коммерции, для которых эти меры потребовали бы значительных затрат на соблюдение [ 69 ]. Как сообщается, после того, как третий проект был распространен среди местных заинтересованных сторон, проект был тихо закрыт.
В общей сложности 2 года спустя CAC предпринял еще одну попытку с проектом трансграничной передачи личной информации, в котором сохранилась большая часть положений версии 2017 года и были добавлены более подробные сведения о необходимом содержании в контрактах на передачу данных, отчетах и аудитах [ 70 ].]. Другой проект документа касался управления безопасностью данных в целом, охватывая как личную информацию, так и «важные данные», которые в нем определялись как «данные, разглашение которых может напрямую повлиять на национальную безопасность, экономическую безопасность, социальную стабильность или общественное здравоохранение и безопасность». безопасность, такая как нераскрытая правительственная информация или крупномасштабные данные о населении, генетическом здоровье, географии, минеральных ресурсах и т. д.». Стандартные корпоративные данные будут исключены из этой категории. Проект охватывал целый ряд вопросов, которые будут включены в PIPL, например решения об алгоритмическом содержании на социальных платформах, а также некоторые пункты, которые попадут в DSL, включая процессы проверки безопасности экспорта данных. Он даже регулировал систему адресации в Интернете, запрещая внутренний онлайн-трафик или доступ местных пользователей к внутренним веб-сайтам.71 ].
В равной степени MPS пыталась набрать больший вес в защите данных. Отмечая свой первый набег на личную информацию, он выпустил руководство по созданию внутренних механизмов управления и рабочих процессов для их защиты, а также по регулированию сопутствующих технических процессов [ 72 ]. Эти меры частично совпадали с техническими стандартами защиты личной информации, которые были разработаны после CSL. MPS также обновила MLPS [ 73 ], значительно расширив роль данных с точки зрения оценки уровня классификации безопасности конкретных сетевых систем.
Однако ни один из этих проектов правил ни CAC, ни MPS так и не был принят и не вступил в силу, что в значительной степени сделало беззубыми положения CSL о защите данных. Как оказалось, принятие CSL как проявление политической мужественности не заложило адекватной основы для создания подробной и практичной архитектуры защиты данных. За этот период вступила в силу только одна инициатива CAC по защите данных, положения о личной информации детей [ 74 ].]. На данный момент наиболее заметный прогресс был достигнут в области технических стандартов и отраслевого саморегулирования. Они появляются из институтов, в которых компании и эксперты имеют большее право голоса: органов по установлению стандартов, таких как Технический комитет 260 (TC260), который наблюдает за стандартами информационной безопасности, и Интернет-сообщество Китая (ISC), которое является отраслевой ассоциацией для цифровая индустрия. Оба тесно связаны с правительством: TC260 находится в ведении CAC, а ISC подчиняется MIIT.
В декабре 2017 года TC 260 выпустил (к сожалению, аббревиатуру) Спецификацию безопасности личной информации [ 75 ].]. Черпая вдохновение из GDPR, Спецификация содержит очень подробные определения важной терминологии, а также процедурные рекомендации по сбору, хранению, использованию, передаче и реагированию на инциденты. В этом смысле он выходит далеко за рамки скудных положений CSL. Например, в нем описывается, как и при каких обстоятельствах контролеры данных должны получать согласие, как идентифицировать и обрабатывать конфиденциальную информацию и как минимизировать продолжительность хранения данных. Среди прочего, он затрагивает такие моменты, как персонализированное отображение информации, специальные функции, начиная от вызова такси и продажи транспортных билетов до экспресс-доставки посылок. К нему присоединились два связанных стандарта: один по деидентификации личной информации в 2020 году и один по оценке воздействия на безопасность личной информации в 2021 году.76 ]. Со своей стороны, ISC в 2018 году выпустил добровольное предложение по саморегулируемым нормам защиты личной информации [ 77 ].
Инициатива в защите данных: DSL и PIPL
В то время как реализация мандатов CSL, связанных с данными, застопорилась, воспринимаемая важность данных в экономических, социальных и государственных процессах продолжала расти. В 2020 году Центральный комитет официально определил данные как фактор производства наравне с землей, капиталом и трудом как необходимый для развития. В то же время продолжал расти спрос на более эффективное регулирование, связанное с данными, особенно в отношении бизнес-моделей, основанных на данных, крупных китайских компаний, занимающихся онлайн-платформами. Выявились опасения, что алгоритмическое принятие решений и представление контента могут повлиять на распространение контента, а также на связанное с этим нежелательное поведение потребителей, такое как зависимость от покупок. Опять же, первые инициативы здесь были разрозненными и реактивными. Отсутствие формальной нормативно-правовой базы для правоприменения,78 ], Baidu и Bytedance, несмотря на то, что они не имеют обязательной юридической силы. Эти действия продемонстрировали смещение внимания регуляторов: если до сих пор усилия по защите личной информации в основном касались злонамеренных действий, таких как кража данных, бизнес-модели и методы китайских технологических гигантов теперь стали предметом все более пристального внимания. В показательном эпизоде генеральный директор Baidu Робин Ли подвергся резкой критике после того, как заявил, что китайские интернет-пользователи не заботятся о конфиденциальности и что Baidu может использовать их данные по своему усмотрению, «обменивая конфиденциальность на безопасность, удобство или эффективность» [ 79 ]. В Законе об электронной коммерции 2018 г. указано, что в тех случаях, когда эти компании используют целевые рекомендации и рекламу на основе личной информации, должна быть предусмотрена возможность отказа [ 80 ].
Но в то же время были устранены некоторые межведомственные трения. В 2019 году CAC, MIIT, MPS и Государственная администрация по регулированию рынка (SAMR) совместно курировали создание «Рабочей группы по управлению приложениями» (App zhuanxiang zhili gongzuozu ), в которую вошли TC260 и несколько отраслевых ассоциаций. В течение года эта группа выпустила несколько стандартов и правил по сбору и использованию информации в мобильных приложениях [ 81 ]. Защита личной информации была одним из основных направлений неоднократных кампаний по обеспечению соблюдения законов в Интернете, проводимых MPS. Один из таких примеров, кампания «Чистая сеть 2019» (Jingwang 2019), привела к возбуждению 2868 уголовных дел с участием 7647 подозреваемых преступников [ 82 ].]. С тех пор Группа проводит непрерывную кампанию против приложений, выявляя и осуждая или наказывая десятки компаний, в том числе такие известные компании, как Baidu и Tencent [ 83 ]. В 2021 году Группа выпустила дополнительные разъяснения, определяющие виды информации, которую разрешено собирать распространенным видам мобильных приложений в соответствии с принципом необходимости [ 84 ], а ее член MIIT распространил временные общие положения о защите личной информации в мобильных приложениях для сбор комментариев [ 85 ]. Таким образом, рабочая группа по приложению продемонстрировала способность участвующих органов к конструктивному сотрудничеству в течение длительного периода времени.
Между тем, в центральном правительстве набирался мощный импульс для более комплексного подхода к цифровой экономике, который будет активно формировать, а не реагировать на онлайн-модели бизнеса. Начиная с конца 2020 года регулирующие органы приняли ряд мер для лучшего регулирования конкуренции между крупными платформами, финтех-операциями, листингом на фондовых биржах и новыми формами контента, среди прочего [ 86 ]. PIPL, составленный в период с 2018 по 2021 год, несет на себе явный отпечаток этих тенденций. DSL, составленный в тандеме, отражает сопутствующую озабоченность: гораздо больший акцент на национальной безопасности [ 87], в том числе в цифровой сфере. Здесь Китай стремится защитить сети и данные, которые они хранят, от еще непредвиденных угроз и обеспечить, чтобы как китайские правительственные учреждения, так и бизнес укрепили свои методы кибербезопасности.
ПИПЛ
PIPL был принят в августе 2021 года и вступил в силу 1 ноября [ 88]. С точки зрения существа, он представляет собой дальнейшее постепенное развитие тенденций, установленных CSL, и некоторых достижений, достигнутых в технических стандартах и проектах правил, но с гораздо большей детализацией и гораздо более широкой сферой применения. Например, положения CSL о защите личной информации распространяются только на «сетевых операторов» в целом и только на операторов критической информационной инфраструктуры, когда речь идет о локализации данных. PIPL применяется ко всем «обработчикам защиты личной информации», в том числе к государственным и корпоративным организациям. В результате положения о согласии потребовали пересмотра: CSL ввел согласие как абсолютное требование для сбора данных, где PIPL также включает необходимость в ответ на внезапные инциденты в области общественного здравоохранения и другие чрезвычайные ситуации, разумное сообщение новостей и деятельность, ориентированная на общественные интересы, а также всеобъемлющие положения о «других обстоятельствах, предусмотренных законами и административными нормативными актами». Требования к локализации данных расширены, чтобы включить все предприятия, работающие с личной информацией, отвечающие определенным количественным порогам, и все государственные органы. Если экспорт данных разрешен, PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса. и всеобъемлющие положения «иных обстоятельств, предусмотренных законами и административными регламентами». Требования к локализации данных расширены, чтобы включить все предприятия, работающие с личной информацией, отвечающие определенным количественным порогам, и все государственные органы. Если экспорт данных разрешен, PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса. и всеобъемлющие положения «иных обстоятельств, предусмотренных законами и административными регламентами». Требования к локализации данных расширены, чтобы включить все предприятия, работающие с личной информацией, отвечающие определенным количественным порогам, и все государственные органы. Если экспорт данных разрешен, PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса. «Требования к локализации данных расширены, чтобы включить все предприятия, работающие с личной информацией, отвечающие определенным количественным пороговым значениям, и все государственные органы. Если экспорт данных разрешен, PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса. «Требования к локализации данных расширены, чтобы включить все предприятия, работающие с личной информацией, отвечающие определенным количественным пороговым значениям, и все государственные органы. Если экспорт данных разрешен, PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса. PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса. PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса.
PIPL также содержит экстерриториальные элементы, аналогичные зарубежному законодательству, такому как GDPR. Например, закон может применяться к предоставлению продуктов и услуг или проведению анализа деятельности физических лиц на территории Китая. Он предусматривает экспорт данных в юридическую помощь, но только по заявке. Возможно, самое главное, отражая растущую напряженность между Китаем и западным миром, заключается в том, что PIPL вводит положения, направленные на иностранные частные и государственные субъекты. С одной стороны, иностранные организации и частные лица, которые наносят ущерб интересам граждан Китая или общественным интересам Китая путем злоупотребления личной информацией, могут быть занесены в черный список CAC. С другой,
Хотя наиболее важной функцией PIPL является регулирование онлайн-сервисов, он также содержит общие положения, применимые к сбору и обработке личной информации государственными ведомствами. Здесь ищется баланс между необходимостью дисциплинировать государственные ведомства, большинство из которых занимается банальными задачами, такими как регистрация автомобилей, и необходимостью обеспечить, чтобы полиция и службы безопасности не мешали их деятельности по наблюдению. С этой целью закон требует, чтобы государственные органы получали согласие на сбор данных, за исключением случаев, когда секретность должна быть защищена в соответствии с законами и правилами, или когда такое согласие будет препятствовать выполнению установленных законом обязанностей и ответственности. После долгой межведомственной войны за защиту данных, PIPL назначает CAC ответственным за «всестороннее планирование и координацию» защиты личной информации при содействии других министерств, где это необходимо. Однако, несмотря на то, что в Законе излагается ряд полномочий, которыми могут пользоваться CAC и связанные с ним ведомства, он не предусматривает назначения специального регулятора по защите данных.
Подводя итог, PIPL в первую очередь стремится связать иглу между тремя различными целями: защита людей от злонамеренного или ненадлежащего сбора и использования данных, в основном компаниями; стимулирование развития цифровой экономики и защита общественных интересов, как это определяет Пекин. Вместо того, чтобы создавать основные права или общие правовые принципы, он делает это, очень подробно регулируя различные категории субъектов и отношения между ними, в зависимости от потенциальных предполагаемых рисков или вреда, которые могут возникнуть. Второстепенным соображением может быть получение большего зарубежного признания за усилия по защите данных и содействие международному сотрудничеству в отношении потоков персональных данных. В-третьих, он по-прежнему позволяет службам внутренней безопасности и полиции собирать и обрабатывать данные для своих статорных целей.
DSL
В отличие от PIPL, который напоминает режимы защиты персональных данных в других странах, DSL, принятый в июне 2021 года, создает новую форму режима данных, то есть уникальную для Китая. DSL распространяется не только на личную информацию, но и на все данные, за исключением государственной тайны [ 89 ]. Если PIPL в первую очередь касается отношений между субъектом данных и контроллером данных, DSL фокусируется на национальной безопасности и общественных интересах. По этой причине Совет национальной безопасности несет общую ответственность за его реализацию, а СГБ и ККА играют вспомогательную роль.
Там, где PIPL намеревается предоставить действенные положения для бизнеса, DSL носит более программный характер, призывая к разработке стратегии, включающей «интеллектуализацию» государственных услуг, исследования в области разработки данных и технологий, формулирование стандартов, связанных с данными, продвижение индустрии кибербезопасности, создание рынков торговли данными и образование, связанное с данными. Что касается архитектуры регулирования, DSL предлагает категоризированную и многоуровневую систему защиты данных, в которой данные классифицируются на основе «степени важности для экономического и социального развития; и […] воздействие на национальную безопасность, общественные интересы или законные права и интересы граждан или организаций в случае их фальсификации, уничтожения, утечки, незаконного приобретения или незаконного использования». Кроме того, DSL создает новую категорию,гоцзя гексин шудзю), который охватывает данные, связанные с «национальной безопасностью, жизненными линиями национальной экономики, важными аспектами жизни людей, основными общественными интересами и т. д.». Эта категория по-прежнему отличается от «важных данных», которые так и не были четко определены с момента их первого использования в CSL. Что касается классификации данных, DSL поручает местным органам власти и регулирующим органам составлять каталоги для своих регионов и секторов. Исходя из этого, DSL конкретно призывает к созданию трех механизмов: один для оценки риска безопасности данных, отчетности, обмена информацией, мониторинга и раннего предупреждения; один для экстренного реагирования; и один для проверки безопасности данных. Последний может пересмотреть любую деятельность по обработке данных, которая может повлиять на национальную безопасность, без возможности обжалования. Кроме того, что касается внешнего мира, DSL реализует средства контроля за экспортом для определенных категорий данных и повторяет положение о запрете санкций, также присутствующее в PIPL. Кроме того, закон также строго ограничивает предоставление данных иностранным судебным и правоохранительным органам.
Впоследствии в законе рассматриваются обязанности обработчиков данных и роль цифровой безопасности в электронном управлении. Эти разделы прямо включают MLPS в качестве основы для выполнения обязательств по безопасности данных, регулярной оценки рисков и обязательства отдельных лиц и организаций сотрудничать с органами государственной и национальной безопасности, которым необходимо получать данные в ходе выполнения своих обязанностей. Правительство будет продвигать электронное правительство, но DSL создает основу для дисциплинарной структуры для оценки того, правильно ли отдельные департаменты выполняют требования по защите данных.
В отличие от сосредоточения внимания на причинении вреда отдельным лицам в PIPL, DSL в основном стремится примирить или сбалансировать два конкурирующих элемента коллективного интереса: национальную безопасность и цели развития. В DSL прямо говорится о важности данных для реформирования процессов управления Китаем и следующего шага в его экономическом подъеме. Однако он также признает, что именно эти процессы расширяют поверхность уязвимости страны. Ответ, который он дает, — это интегрированная система, охватывающая все данные, личные или не личные, которыми владеют отдельные лица, предприятия или правительство. Практика классификации уже имеет предшественников в положениях о научных и промышленных данных [ 90 ].], а также более ранняя практика в МЛПС. Тем не менее, DSL даже в большей степени, чем PIPL, обеспечивает только базовую структуру, к которой правительственные ведомства, которым поручено внедрение, должны добавлять детали. Например, ведутся серьезные споры о наилучшем пути классификации, а также о различных сценариях вреда или риска, которые может представлять злоупотребление данными [ 91 ]. Хотя общее направление движения ясно, потребуются годы дальнейшей регулирующей деятельности, чтобы обеспечить сколько-нибудь заметный уровень детализации. Один вопрос, который, несомненно, выйдет на первый план, заключается в том, как взаимодействуют структуры DSL и PIPL и как потенциальные противоречия или трения между ними могут быть разрешены на практике. Однако на быстро меняющейся цифровой арене ход событий требует более быстрого вмешательства.
Общие и специальные правила реализации
Как и в случае с CSL, PIPL и DSL создают мандаты, которые предписывают министерствам регулировать. На момент написания были опубликованы общие правила реализации обоих законов, а также меры по экспорту как личной информации, так и важных данных. [ 92 , 93]. Первый документ в основном посвящен изложению деталей и процедур, связанных с соблюдением требований. Например, в нем указаны сроки, в течение которых компании должны реагировать на инциденты кибербезопасности, и процедуры подачи отчетов о нарушениях, а также обязанности по обеспечению прозрачности и уведомлению отдельных лиц. Продолжая волну регулятивных действий против крупных компаний-платформ, правила включали целую главу с изложением конкретных обязательств в отношении их практики управления данными. Они доходят до того, что требуют специальных интерфейсов в программном обеспечении для обмена мгновенными сообщениями и использования общедоступных механизмов проверки личности. Немного выходящий за рамки непосредственной сферы защиты данных, проект повторяет более раннее требование не направлять внутренний интернет-трафик за границу, и содержит одно из первых явных упоминаний в нормативном тексте Великого брандмауэра, получившего название «трансграничный шлюз безопасности данных». Предоставление инструментов для проникновения или обхода этого запрещено. Последнее касается опасений по поводу листинга компаний, владеющих личной информацией и важными данными, за границей, что требует проведения проверки кибербезопасности перед IPO. Эта особая озабоченность привлекла общественное внимание из-за неудачного включения в список платформы для совместного использования поездок Didi, как обсуждается ниже.
Матричная структура архитектуры защиты данных означает, что также начинает появляться отраслевое регулирование. Одной из новых приоритетных областей является личный транспорт. В июне 2021 года в связи с растущими опасениями по поводу потенциальных последствий для безопасности камер, радаров и датчиков в автомобилях Tesla CAC опубликовал проект правил безопасности данных в автомобилях. Этот документ охватывает как личную информацию, так и важные данные, причем последняя категория включает информацию, связанную с национальной безопасностью, такую как люди и потоки движения на военных или других важных государственных объектах, а также данные картирования и исследований в целом [ 94 ].]. Опять же, этот документ создает явную связь между MLPS и требует внутреннего хранения всех данных. Вскоре после этого Управление кибербезопасности, созданное в соответствии с мандатом CSL, начало свое первое расследование в отношении популярного приложения для такси Didi, сославшись на опасения по поводу рисков национальной безопасности данных [ 95 ]. В общей сложности через 2 дня CAC распорядился удалить популярное приложение для заказа такси Didi из магазинов приложений за «серьезные проблемы, связанные со сбором и использованием личной информации в нарушение законов и правил» [ 96 ]. Этот запрет был введен всего через несколько дней после того, как компания завершила IPO на Нью-Йоркской фондовой бирже, став последней в длинной череде китайских технологических компаний, зарегистрированных за границей в соответствии с юридически сомнительной конструкцией VIE [ 97 ].]. Расследования по поводу национальной безопасности данных были также начаты в отношении трех других компаний, недавно зарегистрированных в США: транспортных компаний Yuanmanman и Huochebang и сайта по подбору персонала Boss Zhipin [ 98 ].]. За этими мерами последовал проект пересмотра мер проверки кибербезопасности, в котором прямо указывалось, что действия по обработке данных, которые могут повлиять на национальную безопасность, могут привести к проверке кибербезопасности. В частности, он также ввел требование о том, чтобы предприятия, владеющие личной информацией более 1 миллиона пользователей, зарегистрированных на зарубежных рынках, проводили такую проверку. Кража, раскрытие и незаконное использование основных, важных или больших объемов персональных данных, а также использование таких данных иностранными правительствами после листинга на иностранной фондовой бирже были включены в список рисков, подлежащих рассмотрению [ 99 ] . Благодаря этим мерам автомобильная промышленность присоединится к банковскому делу и здравоохранению в качестве секторов со специальными системами защиты данных, и, вероятно, за ними последуют другие.
С одной стороны, эти шаги стирают границы между личной информацией и защитой безопасности данных, а с другой стороны, они четко интегрируют защиту данных с ранее отдельными процессами, такими как списки иностранных акций. Они также представляют собой полезный первый пример того, как будет функционировать здание, которое будет построено на основе DSL и PIPL, предлагая большую степень детализации и детализации по важным вопросам, начиная от определений и классификаций, связанных с данными, и заканчивая балансом, который необходимо установить. между корпоративными экономическими интересами, личным благополучием и соображениями безопасности [ 100]. Наконец, они отражают более широкое понимание того, что китайские технологические компании должны регулироваться более строго. Показательно, что известный интернет-предприниматель Фанг Синдун заявил, что «варварскому» росту китайского Интернета пришел конец и что теперь необходимо более строгое соблюдение требований. Более того, он утверждал, что структура VIE, сомнительный с юридической точки зрения, но до сих пор попустительствующий метод листинга за границей для некоторых китайских компаний, создала не только юридическую серую зону, но и привела к «скрытым опасностям» в национальной кибербезопасности [ 101 ].]. Возможно, по иронии судьбы, но, как и на Западе, часть блеска ушла от престижа крупных технологических компаний. Таким образом, тенденция, провозглашенная DSL и PIPL, заключается в более тщательном изучении их деятельности в попытке отделить действия и функции, которые власти считают желательными или нежелательными, и микроуправлении конкретными параметрами, регулирующими их.
Отделение конфиденциальности от защиты личной информации
И наконец, связь между неприкосновенностью частной жизни, определенной в Гражданском кодексе, и защитой личной информации определена с определенной степенью ясности. Только с пересмотром Гражданского кодекса в 2020 году в законодательстве появилось авторитетное определение термина «неприкосновенность частной жизни». В частности, неприкосновенность частной жизни состоит из «спокойствия жизни физических лиц, а также частных и конфиденциальных ( simi私密) пространств, действий и информации, о которых они не хотят, чтобы другие знали» (NPC 2020) [ 102 ].]. В частности, он охватывает право обоих лиц на «спокойную жизнь», защищая их от нежелательных телефонных звонков, текстовых сообщений, электронных писем и других подобных сообщений, а также от проникновения в частные дома или их раскрытия, наблюдения или раскрытия частной жизни. деятельность или части тела, а также обработка информации, связанной с этим. Решение ВСНП 2012 г. [ 54] уже указал, что конфиденциальность и личная информация будут рассматриваться отдельно, заявив, что государство защищает «электронную информацию, с помощью которой можно отличить индивидуальную личность граждан, а также касающуюся частной жизни граждан». Другими словами, защита личной информации в первую очередь будет касаться вопросов, связанных с идентификацией отдельных лиц, и предоставления им автономии в отношении того, как эта информация собирается и используется. Гражданский кодекс 2020 года [ 102] далее подчеркнул эту точку зрения, определив личную информацию как «информацию, записанную в электронном виде или иным образом, которая может использоваться сама по себе или в сочетании с другой информацией для идентификации физического лица, включая имя, дату рождения, идентификационный номер, биометрическая информация, адрес проживания, номер телефона, адрес электронной почты, медицинская информация, местонахождение и т. п. лица». Кодекс также четко изложил иерархическую взаимосвязь между защитой частной жизни и защитой личной информации, устанавливая приоритет защиты частной жизни. В результате PIPL работает в значительной степени отдельно от концепции конфиденциальности, основанной на репутации, до такой степени, что он даже не содержит ни единого упоминания этого термина.
Вывод
Начиная с начала 2000-х годов китайское руководство постепенно создавало модель защиты данных, адаптированную к предполагаемым обстоятельствам и требованиям. Возможно, вопреки интуиции, учитывая крайне контролирующий характер китайского режима, он создавал эту структуру постепенно, постепенно и осторожно. Отчасти это можно объяснить сложностью задачи, межведомственными спорами и трудностями, возникшими в результате административной реструктуризации ландшафта управления киберпространством. Но что не менее важно, китайское правительство не хотело пресечь первоначальное развитие цифровой экономики страны в зародыше, задушив ее лавиной правил. Сейчас этот этап подошёл к концу. Хотя необходимость использования данных для экономического роста и реформы правительства остается важной,
Китайская модель защиты данных построена на двух столпах: защита личной информации и безопасность данных. В первом случае правительство стремится сбалансировать отношения между отдельными гражданами, с одной стороны, и предприятиями и организациями, которые контролируют их данные, с другой. Хотя эта модель напоминает GDPR и черпает из нее достаточно вдохновения, она упускает из виду общность европейского подхода: хотя Китай в значительной степени воссоздал аспект защиты прав потребителей GDPR, он не подражал европейскому основополагающему принципу, согласно которому конфиденциальность является основным правом. Что наиболее важно, PIPL в значительной степени оставляет полномочия государственных органов нетронутыми, поскольку не накладывает каких-либо значимых ограничений на их способность собирать и обрабатывать данные. Это неудивительно, учитывая инструментал, телеологическая природа китайской правовой системы. Тем не менее, Закон признает необходимость обеспечения надлежащего регулирования потоков данных и операций внутри правительства для предотвращения злоупотреблений и коррупции. С этой целью PIPL закладывает основу для «дисциплинарного» подхода к управлению государственными данными, при котором полномочия, полномочия и ограничения отдельных департаментов по сбору данных устанавливаются посредством административных регламентов и подробных каталогов.
В то время как все основные государства имеют довольно подробные меры защиты секретной правительственной информации, усилия Китая по требованию, чтобы все данные, личные или неличные, оценивались с точки зрения их важности для национальной безопасности и общественных интересов, являются глобальными первыми. В то время как компонент личной информации имеет более чем мимолетное сходство с существующими нормативно-правовыми базами в других странах мира, компонент безопасности данных на данный момент остается уникальным для Китая. Это имеет серьезные последствия как для академических исследований, так и для разработки политики. Будущие исследования реализации этого закона во многом помогут нам понять его эффективность, особенно в свете его пересечения с PIPL. Возможно, самое главное, DSL решает проблему, которая стала слоном в комнате для западных политиков: тот факт, что цифровая информация стала источником риска или угрозы для национальной и общественной безопасности, чего нельзя было себе представить еще несколько лет назад. С DSL Китай движется первым. Возможно, он допустит ошибки, но, безусловно, он даст ответы на вопросы, которые западные правительства не хотели или не могли задать. Таким образом, Китай вполне может получить влияние среди третьих стран, борющихся с аналогичными проблемами. Растущее стремление китайского правительства и китайских компаний играть более важную роль в регионе посредством инициативы «Один пояс — один путь» и других инвестиционных проектов может способствовать такому нормативному влиянию. он дает ответы на вопросы, которые западные правительства не хотели или не могли задать. Таким образом, Китай вполне может получить влияние среди третьих стран, борющихся с аналогичными проблемами. Растущее стремление китайского правительства и китайских компаний играть более важную роль в регионе посредством инициативы «Один пояс — один путь» и других инвестиционных проектов может способствовать такому нормативному влиянию. он дает ответы на вопросы, которые западные правительства не хотели или не могли задать. Таким образом, Китай вполне может получить влияние среди третьих стран, борющихся с аналогичными проблемами. Растущее стремление китайского правительства и китайских компаний играть более важную роль в регионе посредством инициативы «Один пояс — один путь» и других инвестиционных проектов может способствовать такому нормативному влиянию.
Помимо потенциального воздействия на правительства, DSL также представляет собой интересную академическую задачу. В своем подходе он перекликается с китайским определением кибербезопасности, т.е. в первую очередь основанным на экономическом, социальном или политическом вреде, который может нанести использование информации, а не на более техническом подходе, отраженном в европейском и американском акценте на конфиденциальность, целостность и безопасность. доступность сетей и данных. Гораздо более ориентированный на содержание подход Китая контрастирует с европейскими усилиями по регулированию потока неличных данных или с зависимостью США от принципов конфиденциальности и кибербезопасности NIST (European Commission 2019). Будущие исследования могут многое сделать для выявления различий и сходств, сильных и слабых сторон этих различных подходов. Более того,
БЛАГОДАРНОСТИ
Эта работа была поддержана Нидерландской организацией научных исследований (NWO), номер гранта 016.Vidi.185.200. Автор благодарен Перри Келлеру, Линде ван дер Хорст, Линнет Тейлор и Фредерику Дузе за очень полезные комментарии к более ранним черновикам, двум анонимным рецензентам Journal of Cybersecurity и Эмме Бургерс за ценную помощь в исследованиях.
Введение
Быстрое распространение цифровых услуг, сопутствующее увеличение объемов генерации, сбора, обработки и использования данных, а также многочисленные громкие инциденты, связанные с безопасностью, выдвинули вопросы защиты данных на видное место в политической повестке дня в странах по всему миру, и Китай не является исключением. . Несмотря на это, Китай относительно поздно пришел в цифровой мир, и специальные правила защиты данных почти не существовали до конца 2000-х годов. Однако с тех пор Китай с нуля приступил к всеобъемлющему законодательству, кульминацией которого стало обнародование Закона о защите личной информации (PIPL) и Закона о безопасности данных (DSL) в 2021 году.
По мере того, как усилия Китая по защите данных набирали обороты, несколько зарубежных исследователей обратили на них внимание ученых [ 1–5 ]. В первую очередь они подходят к этой теме через сравнительный подход, оценивая китайские разработки в свете или в отличие от защиты данных в США и Европе. Перно-Леплей, например, анализирует китайскую модель защиты данных как «третий путь» между европейским подходом, ориентированным на конфиденциальность, и американской концепцией, ориентированной на рынок. Это понятно: китайские ученые и эксперты, некоторые из которых принимали участие в разработке законов, правил и стандартов, в целом признают уроки, которые Китай извлек из подходов Европы и США [ 6–9 ].]. Однако, как предупредил Дон Кларк, использование западных правовых рамок для осмысления событий в Китае рискует создать белые пятна в отношении тех элементов китайского правопорядка, которые нелегко охватить в западной теории права, но которые могут иметь решающее значение для понимания того, как закон задуман и составлен. реализованы и соблюдаются [ 10 ]. Кроме того, правовые разработки не происходят в вакууме, а должны находиться в более широком социальном, политическом и экономическом контексте, в котором они происходят. Простая ссылка на потенциально сопоставимые законодательные изменения в других странах может пролить свет только на небольшую часть головоломки.
В современной литературе о защите данных и Китае это привело как минимум к двум важным связанным упущениям. Во-первых, само существование DSL, которое еще не получило серьезного академического изучения. Этот Закон станет краеугольным камнем правового режима, создающего всеобъемлющую матрицу защиты всех данных, личных или иных, с точки зрения национальной безопасности и общественных интересов. Среди крупных кибердержав это начинание является уникальным и, следовательно, не поддается сравнительному анализу на данный момент времени. Во-вторых, есть концептуальный момент: в современной литературе законодательство о защите данных в Китае анализируется исключительно с использованием понятия «конфиденциальность». Как в США [ 11 ], так и в Европейском Союзе [ 12], неприкосновенность частной жизни и защита данных являются тесно связанными терминами, обычно относящимися к предотвращению вреда отдельным лицам посредством использования информации, связанной с ними, по причинам, включая обеспечение конституционных прав и прав потребителей. Другими словами, концепция конфиденциальности часто ассоциируется с либеральным верховенством права и экономическими ценностями. Опять же, китайские ученые также уделяли значительное внимание неприкосновенности частной жизни с разных точек зрения [ 6 , 13 , 14 ].]. Однако «конфиденциальность» — это не просто аналитическое понятие, это термин в китайском законодательстве с весьма специфическими коннотациями, о чем будет сказано ниже. У него нет конституционного статуса, которым он пользуется в Европе или США. Действительно, само понятие фундаментального права отсутствует в телеологической, инструментальной правовой среде Китая [ 15–18 ].]. Короче говоря, текущие исследования показывают, что китайский режим защиты данных является недавно появившимся, но близким родственником давно зарекомендовавших себя систем в других странах мира. Но эта формулировка исключает многие факторы, стимулирующие стремление Пекина защищать данные, цели, которые он пытается достичь, и контекст, в котором происходят эти события. Несмотря на очевидное сходство с другими правовыми системами, в этой статье утверждается, что стоит понимать отличительные особенности китайского подхода на их собственных условиях, не прибегая априори к сравнительному или концептуальному анализу.
Если реализация конституционных принципов или либеральных ценностей не является целью китайского режима защиты данных, что же тогда является его главной движущей силой? В статье утверждается, что ответ нужно искать в китайской политике «кибербезопасности и информатизации». Китайское законодательство и регулирование неразрывно связаны с «более широкой картиной» ( дадзю ) проекта, который стремится осуществить Коммунистическая партия Китая. В целом, его основными целями являются восстановление положения Китая в богатстве и силе (фуцян ), но конкретные политические последствия этого менялись и развивались с течением времени. В 2014 году Си Цзиньпин объявил о стремлении превратить Китай в «кибердержаву» ( ванглуо дагуо).) за счет сочетания информатизации, внедрения цифровых технологий в социальную, экономическую и политическую жизнь, кибербезопасности. Другими словами, информатизация связана с реализацией позитивных планов и политик, использующих цифровые возможности для целей национального развития, включая экономический рост и эффективное управление, применяемых как государством, так и частными субъектами [ 19 ].]. Кибербезопасность, в свою очередь, формирует защитный экзоскелет вокруг этой сферы развития, защищая от уязвимостей, которыми могут воспользоваться враждебные субъекты. Показательно, что китайское определение кибербезопасности фокусируется не только на более технических вопросах, таких как конфиденциальность, целостность и доступность сетевых систем и данных, которые они содержат, как это делают определения США и Европы, но и на вреде, который они могут нанести китайской экономике. государство, экономика и общество [ 20 ]. В определении Си они неразрывно связаны, как «два крыла на одном корпусе, два колеса одного транспортного средства».
В этом документе предполагается, что два столпа режима защиты данных в Китае, PIPL и DSL, в значительной степени отражают различие между информатизацией и кибербезопасностью. При их разработке китайское правительство стремилось создать архитектуру, которая классифицирует риски, угрозы и отношения, связанные с данными, между субъектами и соответствующим образом управляет ими. Хотя есть некоторое совпадение, основная цель PIPL состоит в том, чтобы регулировать и балансировать отношения между отдельными лицами и организациями, собирающими и использующими данные, которые позволяют их идентифицировать. DSL, с другой стороны, мало заботится о горизонтальных отношениях между субъектами данных и контролерами, но фокусируется на создании всеобъемлющей архитектуры для оценки и управления потенциальными рисками, исходящими от каждой отдельной части данных, хранящихся в Китае. особенно против сил, враждебных целостности режима, возглавляемого Коммунистической партией, внутри страны и за рубежом. Таким образом, он является частью тенденции секьюритизации цифровой сферы, занимающей центральное место в усилиях по кибербезопасности и информатизации с 2014 года.21 , 22 ].
Однако эти два столпа не появились ex nihilo в полной мере .. Они являются результатом многолетней постепенной эволюции под влиянием изменений во внешних факторах и разрешении интеллектуальных дебатов, а также политических факторов, включая борьбу за влияние между различными министерствами с пересекающимися юрисдикциями и противодействие со стороны китайских технологических гигантов. Таким образом, результирующая структура содержит компромиссы, ответы на предполагаемые проблемы и устаревшие компоненты более ранних итераций и механизмов. Следовательно, в этом документе используется подход отслеживания процессов, в котором намечается траектория, по которой возник режим защиты данных. Основываясь на всестороннем обзоре нормативных документов и планов политики, а также академической литературы на китайском языке, он делит эту историю на три периода. Первый, в нем рассматриваются ранние зачатки фрагментарных понятий и механизмов защиты данных до обнародования Закона о кибербезопасности (CSL) 2016 года, в котором изложены основополагающие мандаты для защиты данных. Это включает в себя создание многоуровневой системы защиты, ориентированной на общественную безопасность (MLPS), а также отделение защиты данных от конфиденциальности. Второй этап охватывает период между CSL и более обширными и специализированными положениями DSL и PIPL, в течение которого между различными регулирующими органами происходили значительные обмены мнениями, что привело к нескольким неудачным регуляторным инициативам, а также к техническим данным. нормы защиты. На третьем этапе рассматривается содержание самих DSL и PIPL и обсуждается будущее направление развития архитектуры защиты данных, которую они устанавливают. В заключении обсуждается актуальность режима защиты данных Китая для более широкой литературы по защите данных. Дело Китая не только заслуживает изучения ввиду большого количества онлайн-пользователей Китая и мощных технологических компаний, но и содержит элементы, заслуживающие дальнейшего сравнительного и теоретического изучения.
Генезис защиты данных в Китае (1994–2011 гг.)
Развитие регулирования защиты данных в значительной степени отразило развивающееся восприятие и озабоченность китайского руководства в отношении быстрого внедрения цифровых технологий в государстве, экономике и обществе Китая, а также потенциального воздействия различных форм злоупотребления данными. Этот процесс содержит различные переплетенные нити, каждая из которых сопряжена с рисками и регулятивными мерами. Первый — это появление цифровых государственных систем, начиная с «Золотых проектов» 1990-х годов [ 23 ] и продолжая в настоящее время новым Пятилетним планом информатизации правительства [ 24 ].]. Эти проекты призваны сделать китайское государство более эффективным и результативным при выполнении различных задач, начиная от государственных услуг и заканчивая поддержанием социальной стабильности. Это требует, чтобы государственные органы Китая могли получать данные, включая личную информацию, которые они считают необходимыми для этого. Второй — развитие цифровой экономики, движимое крупными платформенными компаниями, чья бизнес-модель во многом строилась на эксплуатации больших объемов пользовательских данных. В-третьих, по мере роста экономической ценности данных возник большой черный рынок, на котором корпоративные и правительственные инсайдеры торговали личной информацией в больших масштабах. В-четвертых, по мере развития информатизации росла и уязвимость связанных с данными или связанных с ними утечек, взломов и атак.
Законодательная реакция на эти изменения шла медленно, а базовые и широкие рамки были введены в действие только в конце 2000-х годов. Неудивительно, что для политической организации, ценящей секретность и управление информацией, партийное руководство практически сразу же уделило внимание обеспечению сетевой информационной безопасности. В 1994 году Министерству общественной безопасности (MPS) было поручено разработать многоуровневый подход, предусматривающий различные уровни требований в зависимости от важности конкретных сетевых систем [ 25 ]. Однако потребовалось более десяти лет, чтобы эта «многоуровневая система защиты» (MLPS) для информационной безопасности появилась на свет. Сначала он отдавал приоритет конфиденциальной правительственной информации [ 26] и позднее стали включать «сведения, составляющие государственную тайну, сведения, являющиеся собственностью юридических лиц, иных организаций и граждан, а также общедоступные сведения и информационные системы, хранящие, передающие и обрабатывающие эти сведения [ 27 ]». MLPS, завершенный в 2007 году, содержал пять уровней защиты безопасности, причем более высокие уровни предъявляли повышенные требования и подвергались проверке со стороны правительства. MLPS не защищала данные как таковые. Скорее, он формировал градуированный режим защиты для всех сетевых систем, который защищал их целиком, включая их данные. Однако MLPS заложил основу для введения режима DSL более десяти лет спустя. Он создал институциональную и концептуальную основу для защиты цифровых активов с точки зрения «национальной безопасности, жизненных путей экономики и социальной стабильности [ 26 ]».
В области защиты личной информации разработки были крайне фрагментарными и оставались в зачаточном состоянии. В 1980-х и 1990-х годах несколько законов и постановлений требовали соблюдения конфиденциальности личной информации в определенных секторах, таких как банковские и юридические услуги [ 28 ]. По мере того как в 2000-х годах стремление Китая к информатизации набирало обороты, Управление информатизации Государственного совета поручило Чжоу Ханьхуа возглавить разработку законопроекта о защите личной информации, который был опубликован в 2006 году [ 29 ]. В этом «Экспертном предложении» изложены 10 принципов защиты данных, аналогичных международным соглашениям о конфиденциальности и законам в Европе и Азии [ 1]. Он также касался сбора и обработки данных государственными органами. Этот раздел содержал довольно строгие ограничения на сбор данных, а также требование регистрировать процессы сбора в соответствующем ответственном органе, хотя были включены широкие исключения для таких областей, как безопасность и охрана правопорядка. В-третьих, он касался сбора данных «другими обработчиками данных» в частном секторе, требуя от них регистрации в соответствующем органе. В-четвертых, он включал ограничения на трансграничную передачу личной информации, но только для субъектов частного сектора. Что касается правоприменения, проект не призывал к созданию специального регулятора данных, а прибегал к сочетанию сложных процессов административного и судебного правоприменения. Однако предложение Чжоу так и не было принято в качестве официального закона.
Предпринимавшиеся разрозненные усилия по регулированию в значительной степени были реакцией на конкретные явные формы злоупотреблений, которые начали появляться. В редакцию Уголовного кодекса 2009 г. впервые были включены положения о незаконной продаже персональных данных государственными служащими или финансовыми, телекоммуникационными, транспортными, образовательными и медицинскими учреждениями, а также о хищении или незаконном получении такой информации. [ 30 ]. В 2011 году Народный банк Китая выпустил циркуляр о защите банковской и финансовой информации физических лиц. Среди прочего, это требовало, чтобы личная информация, собранная в Китае, хранилась внутри страны [ 31 ].], первый случай обязательной локализации данных. В том же году Министерство промышленности и информационных технологий (МИИТ) выпустило правила для информационных интернет-сервисов, которые установили принципы информированного согласия и необходимости сбора и использования данных, установили обязательства уведомлять власти о серьезных утечках данных и предоставили пользователям права на изменять и удалять свою личную информацию. Они также запретили поставщикам онлайн-услуг передавать или торговать личной информацией. Эти правила ясно указывали на то, что онлайн-экономика получила приоритет в защите личной информации, но сила их правоприменения была ограничена: высшим наказанием, которое могло быть наложено, был штраф в размере 30 000 юаней [ 32 ].]. МИИТ дополнил эти положения техническим стандартом 2013 г., который впервые содержал четкие терминологические определения и основные нормы [ 33 ]. Хотя этот документ не имел обязательной юридической силы, он, тем не менее, обладал значительной нормативной силой.
В отдельно развивающейся области неприкосновенности частной жизни первоначальные понятия, вытекающие из права на репутацию, представленные в Гражданском кодексе 1986 г., были развиты Верховным народным судом, а затем защита конфиденциальных и частных личных дел в Гражданско-процессуальном законе и аспекты неприкосновенности частной жизни. уязвимые группы, такие как несовершеннолетние и женщины [ 28 , 34 ]. Эти положения отражали особое прочтение неприкосновенности частной жизни, основанное на традиционных представлениях о стыде и приличии, в соответствии с которым определенная информация не должна предаваться гласности [ 13 , 35 ].]. Однако это понятие расширилось, чтобы охватить автономию людей решать, какие аспекты своей частной жизни они добровольно раскрывают. Таким образом, неприкосновенность частной жизни стала частью более широкой категории «прав личности» ( rengequan人格权) [ 36 ]), которая также включала такие вопросы, как право на жизнь и здоровье, права на имя и портрет и права на репутацию. Эти права в первую очередь рассматривались как часть гражданского права и были включены в Закон о деликте 2009 года [ 37 ]. Однако не было дано определение конфиденциальности, а Закон содержал только одно конкретное положение о конфиденциальной медицинской информации.
Спотыкаясь о более общей структуре защиты данных (2012–2018 гг.)
Начиная с 2012 года руководство Китая стремилось централизовать управление данными и создать более общие законодательные рамки, отказавшись от разрозненных вмешательств в конкретных секторах. Это отражает общую тенденцию к централизованному цифровому регулированию, включая институциональную концентрацию цифровых компетенций в недавно созданной Администрации киберпространства Китая (CAC) [ 38 ].]. Доминирующей движущей силой этого была быстро растущая потребность в управлении проблемными практиками в растущей экономике платформ, а также столь же быстрое распространение незаконной торговли данными и других форм злоупотреблений, особенно после появления доступных мобильных устройств. В июне 2007 года только 16% населения Китая были в сети. Это число выросло до 70% в 2022 году, более 90% из которых в основном являются мобильными пользователями [ 39 ]. Смартфон способствовал появлению бизнес-ландшафта, в котором доминируют гигантские платформенные компании, такие как Alibaba, Tencent, Bytedance, Pinduoduo и Didi, которые основывают свои коммерческие модели на способности собирать и анализировать пользовательские данные для максимизации прибыли и доли рынка. [ 40 ]. Доходы от электронной коммерции выросли более чем в сто раз в период с 2011 по 2019 год.
В целом китайское правительство весьма поддерживало эти разработки. В 2015 году он выпустил план действий по большим данным, в котором говорилось, что данные стали «базовым стратегическим ресурсом» [ 41 ]. Тем не менее, в этот период злоупотребления, связанные с данными, стали безудержными, поскольку появился черный рынок личной информации [ 42 , 43 ]. Получение холодных звонков о целевых товарах и услугах стало обычным явлением в повседневной жизни китайцев, большая часть которых была результатом незаконной продажи личной информации корпоративными сотрудниками и подрядчиками [ 44 , 45 ], а также государственными чиновниками и ведомствами [ 46 ].]. Одним из наиболее ярких случаев был случай с 18-летней Сюй Юй, которая умерла от сердечного приступа в 2016 году после того, как у нее выманили деньги на обучение в колледже в результате телефонного мошенничества [ 47 ]. Столь же быстро росли и другие формы онлайн-мошенничества [ 48 , 49 ].
Следовательно, события в период с 2012 по 2016 год в основном сосредоточены на защите прав потребителей и правоприменении. Скрытым течением в этот период было начало секьюритизации данных, поскольку ухудшение отношений с США, а также усиление опасений по поводу терроризма внутри страны заставили власти уделять больше внимания контролю над потоком онлайн-данных. После разоблачений Сноудена и использования личной информации во вмешательстве в выборы Трампа, приписываемом России, стало ясно, что границы между защитой личной информации ради личных интересов и ее потенциальной значимостью для национальной безопасности , начало расплываться. Вскоре новые требования к локализации данных были введены в самых разных областях: от кредита, картографии и здравоохранения до онлайн-публикаций и облачных сервисов.50 ]. Как отметил ученый Хун Яньцин, который позже возглавил разработку новых технических стандартов защиты личной информации: «Огромный объем пользовательской информации, которой владеет Alibaba, в настоящее время охватывающий более 400 миллионов пользователей, безусловно, является личной информацией […], но поскольку по своему масштабу и степени детализации он также может соответствовать базовой национальной базе данных населения органов общественной безопасности и даже превосходить ее по точности. Для страны любая возможная утечка или повреждение такого масштаба основных данных о населении может создать серьезную угрозу национальной безопасности» [ 51 ].]. Эта тенденция стимулировала разработку Национальной стратегии кибербезопасности, а также CSL. Последний содержал раздел о защите личной информации, а также первое упоминание термина «важные данные», который впоследствии превратился в DSL [ 52 ]. Тем не менее, реализации CSL будет препятствовать множество факторов. MPS не хотел передавать свои полномочия, связанные с данными, CAC, что привело к стычкам из-за бюрократических вопросов и дублированию требований мандата. Китайские технологические гиганты также выступили против введения более строгих законов о конфиденциальности. Исследовательский институт TISI, принадлежащий Tencent, например, неоднократно публиковал статьи, в которых утверждалось, что Общий регламент по защите данных (GDPR) и более строгая позиция Европы в целом препятствуют успеху европейского онлайн-бизнеса [ 53 ].]. В результате в области защиты данных не было принято никаких существенных правил реализации CSL.
Усиление реагирования на опасения, связанные с онлайн-данными
Первый шаг к более всеобъемлющей форме защиты был сделан в 2012 году, когда Постоянный комитет Всекитайского собрания народных представителей принял Решение о защите информации [ 54]. Он подтвердил запреты на кражу данных в соответствии с Уголовным законом, включил принципы правил МИИТ 2011 года и сделал их общеприменимыми, а также запретил нежелательные электронные сообщения. Что касается мер по исправлению положения, он обязывает онлайн-компании удалять опубликованную личную информацию или устранять соответствующие нарушения другими соответствующими способами. Впервые он также коснулся использования данных в государственных ведомствах, запретив им утечку, искажение или продажу личной информации. Однако эти меры были частью более широкой программы по усилению контроля над онлайн-сферой в более широком смысле. Решение требовало, например, от онлайн-компаний более строгого контроля над контентом, создаваемым пользователями, и требовало регистрации на реальные имена для телекоммуникационных услуг. Они также не содержали явных положений о правоприменении, а также не создавали и не назначали регулятора защиты данных. В результате единственным неуголовным правоохранительным органом стало МИИТ, у которого было мало ресурсов для этого. Таким образом, потенциальное административное наказание, за исключением уголовных дел, оставалось мягким.
Решение совпало с усилением правоприменительной деятельности. В начале 2013 года Верховный народный суд, Верховная народная прокуратура и МПО выпустили уведомление, которое подтолкнуло полицию, прокуратуру и судебные органы к более строгому преследованию нарушений персональных данных путем возбуждения уголовного дела. Особое внимание в этом Уведомлении уделялось «наплыву незаконной торговли личными данными граждан в Интернете», что привело к «телекоммуникационным мошенничествам, сетевым мошенничествам, вымогательству и шантажу, похищениям людей и незаконным требованиям возврата кредита [ 55 ].]». Цели включали персонал государственных органов, финансовых, телекоммуникационных, транспортных, образовательных и медицинских рабочих подразделений, а также других коммерческих предприятий. В поддержку, пересмотренный Уголовный закон 2015 года расширил до сих пор узкую основу для уголовного преследования, включенную в версию 2009 года. Вся незаконная продажа, предоставление, кража или незаконное получение данных теперь подпадают под его компетенцию, если они соответствуют порогу «серьезных обстоятельств». Максимальные сроки тюремного заключения увеличены с 3 до 7 лет [ 56 ]. Решение также привело к более детальному регулированию рынков онлайн-услуг [ 57 ] и к включению личной информации в пересмотренный Закон о защите прав потребителей [ 58 ].]. Тем не менее, изменения в законодательстве свидетельствовали об отсутствии полного консенсуса по конкретным вопросам. Например, проект Закона о борьбе с терроризмом содержал обязательство локализовать личную информацию пользователей услуг связи [ 59 ], но в окончательной версии это было исключено.
CSL: интеграция без деталей, препятствия в реализации
CSL, вступивший в силу в 2017 году, является краеугольным камнем нового всеобъемлющего режима, направленного на обеспечение безопасности цифровой сферы Китая и интеграцию областей политики, связанных с кибербезопасностью, и задействованных бюрократических структур. Он включает в себя элементы, начиная от управления контентом и заканчивая защитой критической инфраструктуры, а также от безопасности сетевых продуктов до реагирования на киберинциденты. Он также включил MLPS и создал первую законодательную базу для двух направлений защиты данных. Во-первых, в закон были включены основные положения Решения 2012 года. Хотя это представляло собой небольшую существенную эволюцию, был сделан важный шаг вперед в правоприменении, поскольку несоблюдение требований защиты личной информации могло привести к наказанию, начиная от простого предупреждения и заканчивая штрафом в размере до 1 миллиона юаней. приостановка или закрытие веб-сайтов или аннулирование соответствующих бизнес-лицензий. Во-вторых, в законе введен термин «важные данные».хотя и не давая подробного определения. Этой последней итерации предшествовали некоторые дебаты: более ранний проект содержал термин «важные бизнес-данные». Однако, как утверждает Хонг, решение сохранить «важные данные» отражает стремление законодателя защитить национальную безопасность и общественные интересы, а не интересы корпораций [ 51 ]. Понятие важных данных дважды появлялось в CSL: в первый раз критической инфраструктуре предписывалось хранить личную информацию, а также «важные данные» на территории Китая. Максимальное наказание за нарушение правил локализации данных было установлено в виде штрафа в размере 500 000 юаней, временной или окончательной приостановки деятельности, а также отзыва лицензий и разрешений на ведение бизнеса [ 60 ].
Несмотря на то, что CSL создал законодательную базу как для личной информации, так и для защиты данных, его краткая трактовка оставила без ответа многие вопросы. По мнению Хонга, Закон не «обеспечил системного мышления, не говоря уже о комплексных институциональных схемах» [ 61 ] для эффективной защиты данных. Это не является чем-то необычным для китайского правового ландшафта: закон часто включает только основные элементы принципа, цели и наказания, обязывая правительственные ведомства и местные ведомства формулировать более подробные исполнительные правила и технические стандарты для предоставления подробных запретов, обязательств и процедур. [ 62]. Однако в CSL также не было определено, какие отделы будут отвечать за внедрение CSL. CAC был создан для координации и интеграции ранее раздробленной бюрократии по кибербезопасности и информатизации [ 63 ] и взял на себя многие связанные с Интернетом задачи и персонал МИИТ [ 38 ].]. Соответственно, CSL возложил на CAC общую ответственность за «всестороннее планирование и координацию усилий в области кибербезопасности и связанных с ними усилий по надзору и управлению», а другие министерства отвечали за работу в рамках своей компетенции. Однако, поскольку CSL не назначал конкретных полномочий по защите данных, между CAC и MPS последовала продолжительная борьба за сферы влияния, в которой оба учреждения стремились заявить о своих правах на территорию в сфере защиты данных.
Вскоре после того, как CSL вступил в силу, CAC выпустил правила по защите критической инфраструктуры, в которых были более подробно описаны требования CSL к локализации данных для личной информации и важных данных [ 64 ]. Кроме того, в них указывалось, что «рабочие подразделения, предоставляющие облачные вычисления, большие данные и другие подобные крупномасштабные общедоступные информационные сетевые услуги», теперь подпадают под сферу критической инфраструктуры. CAC также опубликовал проекты правил [ 65 ] и соответствующих технических стандартов [ 66 ].] об оценках безопасности для экспорта личной информации и важных данных. Строгие положения этого проекта пошли гораздо дальше, чем GDPR или Правила трансграничной конфиденциальности АТЭС, и сделали бы большую часть потоков данных, происходящих внутри многонациональных компаний, работающих в Китае, незаконными или обременительными. Они также пошли дальше самого CSL: в то время как статья 37 требовала только от операторов критической инфраструктуры пройти проверку экспорта данных, эти меры применялись ко всем «сетевым операторам». В ответ США подали официальный протест во Всемирную торговую организацию [ 67 ]. Однако, с точки зрения Китая, существующие режимы трансграничных данных недостаточно учитывали национальные стратегические интересы [ 68 ].]. Тем не менее, правила также встретили сопротивление со стороны китайских операторов электронной коммерции, для которых эти меры потребовали бы значительных затрат на соблюдение [ 69 ]. Как сообщается, после того, как третий проект был распространен среди местных заинтересованных сторон, проект был тихо закрыт.
В общей сложности 2 года спустя CAC предпринял еще одну попытку с проектом трансграничной передачи личной информации, в котором сохранилась большая часть положений версии 2017 года и были добавлены более подробные сведения о необходимом содержании в контрактах на передачу данных, отчетах и аудитах [ 70 ].]. Другой проект документа касался управления безопасностью данных в целом, охватывая как личную информацию, так и «важные данные», которые в нем определялись как «данные, разглашение которых может напрямую повлиять на национальную безопасность, экономическую безопасность, социальную стабильность или общественное здравоохранение и безопасность». безопасность, такая как нераскрытая правительственная информация или крупномасштабные данные о населении, генетическом здоровье, географии, минеральных ресурсах и т. д.». Стандартные корпоративные данные будут исключены из этой категории. Проект охватывал целый ряд вопросов, которые будут включены в PIPL, например решения об алгоритмическом содержании на социальных платформах, а также некоторые пункты, которые попадут в DSL, включая процессы проверки безопасности экспорта данных. Он даже регулировал систему адресации в Интернете, запрещая внутренний онлайн-трафик или доступ местных пользователей к внутренним веб-сайтам.71 ].
В равной степени MPS пыталась набрать больший вес в защите данных. Отмечая свой первый набег на личную информацию, он выпустил руководство по созданию внутренних механизмов управления и рабочих процессов для их защиты, а также по регулированию сопутствующих технических процессов [ 72 ]. Эти меры частично совпадали с техническими стандартами защиты личной информации, которые были разработаны после CSL. MPS также обновила MLPS [ 73 ], значительно расширив роль данных с точки зрения оценки уровня классификации безопасности конкретных сетевых систем.
Однако ни один из этих проектов правил ни CAC, ни MPS так и не был принят и не вступил в силу, что в значительной степени сделало беззубыми положения CSL о защите данных. Как оказалось, принятие CSL как проявление политической мужественности не заложило адекватной основы для создания подробной и практичной архитектуры защиты данных. За этот период вступила в силу только одна инициатива CAC по защите данных, положения о личной информации детей [ 74 ].]. На данный момент наиболее заметный прогресс был достигнут в области технических стандартов и отраслевого саморегулирования. Они появляются из институтов, в которых компании и эксперты имеют большее право голоса: органов по установлению стандартов, таких как Технический комитет 260 (TC260), который наблюдает за стандартами информационной безопасности, и Интернет-сообщество Китая (ISC), которое является отраслевой ассоциацией для цифровая индустрия. Оба тесно связаны с правительством: TC260 находится в ведении CAC, а ISC подчиняется MIIT.
В декабре 2017 года TC 260 выпустил (к сожалению, аббревиатуру) Спецификацию безопасности личной информации [ 75 ].]. Черпая вдохновение из GDPR, Спецификация содержит очень подробные определения важной терминологии, а также процедурные рекомендации по сбору, хранению, использованию, передаче и реагированию на инциденты. В этом смысле он выходит далеко за рамки скудных положений CSL. Например, в нем описывается, как и при каких обстоятельствах контролеры данных должны получать согласие, как идентифицировать и обрабатывать конфиденциальную информацию и как минимизировать продолжительность хранения данных. Среди прочего, он затрагивает такие моменты, как персонализированное отображение информации, специальные функции, начиная от вызова такси и продажи транспортных билетов до экспресс-доставки посылок. К нему присоединились два связанных стандарта: один по деидентификации личной информации в 2020 году и один по оценке воздействия на безопасность личной информации в 2021 году.76 ]. Со своей стороны, ISC в 2018 году выпустил добровольное предложение по саморегулируемым нормам защиты личной информации [ 77 ].
Инициатива в защите данных: DSL и PIPL
В то время как реализация мандатов CSL, связанных с данными, застопорилась, воспринимаемая важность данных в экономических, социальных и государственных процессах продолжала расти. В 2020 году Центральный комитет официально определил данные как фактор производства наравне с землей, капиталом и трудом как необходимый для развития. В то же время продолжал расти спрос на более эффективное регулирование, связанное с данными, особенно в отношении бизнес-моделей, основанных на данных, крупных китайских компаний, занимающихся онлайн-платформами. Выявились опасения, что алгоритмическое принятие решений и представление контента могут повлиять на распространение контента, а также на связанное с этим нежелательное поведение потребителей, такое как зависимость от покупок. Опять же, первые инициативы здесь были разрозненными и реактивными. Отсутствие формальной нормативно-правовой базы для правоприменения,78 ], Baidu и Bytedance, несмотря на то, что они не имеют обязательной юридической силы. Эти действия продемонстрировали смещение внимания регуляторов: если до сих пор усилия по защите личной информации в основном касались злонамеренных действий, таких как кража данных, бизнес-модели и методы китайских технологических гигантов теперь стали предметом все более пристального внимания. В показательном эпизоде генеральный директор Baidu Робин Ли подвергся резкой критике после того, как заявил, что китайские интернет-пользователи не заботятся о конфиденциальности и что Baidu может использовать их данные по своему усмотрению, «обменивая конфиденциальность на безопасность, удобство или эффективность» [ 79 ]. В Законе об электронной коммерции 2018 г. указано, что в тех случаях, когда эти компании используют целевые рекомендации и рекламу на основе личной информации, должна быть предусмотрена возможность отказа [ 80 ].
Но в то же время были устранены некоторые межведомственные трения. В 2019 году CAC, MIIT, MPS и Государственная администрация по регулированию рынка (SAMR) совместно курировали создание «Рабочей группы по управлению приложениями» (App zhuanxiang zhili gongzuozu ), в которую вошли TC260 и несколько отраслевых ассоциаций. В течение года эта группа выпустила несколько стандартов и правил по сбору и использованию информации в мобильных приложениях [ 81 ]. Защита личной информации была одним из основных направлений неоднократных кампаний по обеспечению соблюдения законов в Интернете, проводимых MPS. Один из таких примеров, кампания «Чистая сеть 2019» (Jingwang 2019), привела к возбуждению 2868 уголовных дел с участием 7647 подозреваемых преступников [ 82 ].]. С тех пор Группа проводит непрерывную кампанию против приложений, выявляя и осуждая или наказывая десятки компаний, в том числе такие известные компании, как Baidu и Tencent [ 83 ]. В 2021 году Группа выпустила дополнительные разъяснения, определяющие виды информации, которую разрешено собирать распространенным видам мобильных приложений в соответствии с принципом необходимости [ 84 ], а ее член MIIT распространил временные общие положения о защите личной информации в мобильных приложениях для сбор комментариев [ 85 ]. Таким образом, рабочая группа по приложению продемонстрировала способность участвующих органов к конструктивному сотрудничеству в течение длительного периода времени.
Между тем, в центральном правительстве набирался мощный импульс для более комплексного подхода к цифровой экономике, который будет активно формировать, а не реагировать на онлайн-модели бизнеса. Начиная с конца 2020 года регулирующие органы приняли ряд мер для лучшего регулирования конкуренции между крупными платформами, финтех-операциями, листингом на фондовых биржах и новыми формами контента, среди прочего [ 86 ]. PIPL, составленный в период с 2018 по 2021 год, несет на себе явный отпечаток этих тенденций. DSL, составленный в тандеме, отражает сопутствующую озабоченность: гораздо больший акцент на национальной безопасности [ 87], в том числе в цифровой сфере. Здесь Китай стремится защитить сети и данные, которые они хранят, от еще непредвиденных угроз и обеспечить, чтобы как китайские правительственные учреждения, так и бизнес укрепили свои методы кибербезопасности.
ПИПЛ
PIPL был принят в августе 2021 года и вступил в силу 1 ноября [ 88]. С точки зрения существа, он представляет собой дальнейшее постепенное развитие тенденций, установленных CSL, и некоторых достижений, достигнутых в технических стандартах и проектах правил, но с гораздо большей детализацией и гораздо более широкой сферой применения. Например, положения CSL о защите личной информации распространяются только на «сетевых операторов» в целом и только на операторов критической информационной инфраструктуры, когда речь идет о локализации данных. PIPL применяется ко всем «обработчикам защиты личной информации», в том числе к государственным и корпоративным организациям. В результате положения о согласии потребовали пересмотра: CSL ввел согласие как абсолютное требование для сбора данных, где PIPL также включает необходимость в ответ на внезапные инциденты в области общественного здравоохранения и другие чрезвычайные ситуации, разумное сообщение новостей и деятельность, ориентированная на общественные интересы, а также всеобъемлющие положения о «других обстоятельствах, предусмотренных законами и административными нормативными актами». Требования к локализации данных расширены, чтобы включить все предприятия, работающие с личной информацией, отвечающие определенным количественным порогам, и все государственные органы. Если экспорт данных разрешен, PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса. и всеобъемлющие положения «иных обстоятельств, предусмотренных законами и административными регламентами». Требования к локализации данных расширены, чтобы включить все предприятия, работающие с личной информацией, отвечающие определенным количественным порогам, и все государственные органы. Если экспорт данных разрешен, PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса. и всеобъемлющие положения «иных обстоятельств, предусмотренных законами и административными регламентами». Требования к локализации данных расширены, чтобы включить все предприятия, работающие с личной информацией, отвечающие определенным количественным порогам, и все государственные органы. Если экспорт данных разрешен, PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса. «Требования к локализации данных расширены, чтобы включить все предприятия, работающие с личной информацией, отвечающие определенным количественным пороговым значениям, и все государственные органы. Если экспорт данных разрешен, PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса. «Требования к локализации данных расширены, чтобы включить все предприятия, работающие с личной информацией, отвечающие определенным количественным пороговым значениям, и все государственные органы. Если экспорт данных разрешен, PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса. PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса. PIPL требует прохождения организованной CAC оценки безопасности, получения сертификата от аккредитованного органа или заключения договорного соглашения с иностранной стороной о соблюдении стандартов PIPL. PIPL также делает большой шаг вперед в правоприменительных положениях: в отличие от максимального штрафа в 1 миллион юаней, который может быть наложен в соответствии с CSL, PIPL допускает штрафы в размере до 50 миллионов юаней или 5% годового дохода пострадавшего бизнеса.
PIPL также содержит экстерриториальные элементы, аналогичные зарубежному законодательству, такому как GDPR. Например, закон может применяться к предоставлению продуктов и услуг или проведению анализа деятельности физических лиц на территории Китая. Он предусматривает экспорт данных в юридическую помощь, но только по заявке. Возможно, самое главное, отражая растущую напряженность между Китаем и западным миром, заключается в том, что PIPL вводит положения, направленные на иностранные частные и государственные субъекты. С одной стороны, иностранные организации и частные лица, которые наносят ущерб интересам граждан Китая или общественным интересам Китая путем злоупотребления личной информацией, могут быть занесены в черный список CAC. С другой,
Хотя наиболее важной функцией PIPL является регулирование онлайн-сервисов, он также содержит общие положения, применимые к сбору и обработке личной информации государственными ведомствами. Здесь ищется баланс между необходимостью дисциплинировать государственные ведомства, большинство из которых занимается банальными задачами, такими как регистрация автомобилей, и необходимостью обеспечить, чтобы полиция и службы безопасности не мешали их деятельности по наблюдению. С этой целью закон требует, чтобы государственные органы получали согласие на сбор данных, за исключением случаев, когда секретность должна быть защищена в соответствии с законами и правилами, или когда такое согласие будет препятствовать выполнению установленных законом обязанностей и ответственности. После долгой межведомственной войны за защиту данных, PIPL назначает CAC ответственным за «всестороннее планирование и координацию» защиты личной информации при содействии других министерств, где это необходимо. Однако, несмотря на то, что в Законе излагается ряд полномочий, которыми могут пользоваться CAC и связанные с ним ведомства, он не предусматривает назначения специального регулятора по защите данных.
Подводя итог, PIPL в первую очередь стремится связать иглу между тремя различными целями: защита людей от злонамеренного или ненадлежащего сбора и использования данных, в основном компаниями; стимулирование развития цифровой экономики и защита общественных интересов, как это определяет Пекин. Вместо того, чтобы создавать основные права или общие правовые принципы, он делает это, очень подробно регулируя различные категории субъектов и отношения между ними, в зависимости от потенциальных предполагаемых рисков или вреда, которые могут возникнуть. Второстепенным соображением может быть получение большего зарубежного признания за усилия по защите данных и содействие международному сотрудничеству в отношении потоков персональных данных. В-третьих, он по-прежнему позволяет службам внутренней безопасности и полиции собирать и обрабатывать данные для своих статорных целей.
DSL
В отличие от PIPL, который напоминает режимы защиты персональных данных в других странах, DSL, принятый в июне 2021 года, создает новую форму режима данных, то есть уникальную для Китая. DSL распространяется не только на личную информацию, но и на все данные, за исключением государственной тайны [ 89 ]. Если PIPL в первую очередь касается отношений между субъектом данных и контроллером данных, DSL фокусируется на национальной безопасности и общественных интересах. По этой причине Совет национальной безопасности несет общую ответственность за его реализацию, а СГБ и ККА играют вспомогательную роль.
Там, где PIPL намеревается предоставить действенные положения для бизнеса, DSL носит более программный характер, призывая к разработке стратегии, включающей «интеллектуализацию» государственных услуг, исследования в области разработки данных и технологий, формулирование стандартов, связанных с данными, продвижение индустрии кибербезопасности, создание рынков торговли данными и образование, связанное с данными. Что касается архитектуры регулирования, DSL предлагает категоризированную и многоуровневую систему защиты данных, в которой данные классифицируются на основе «степени важности для экономического и социального развития; и […] воздействие на национальную безопасность, общественные интересы или законные права и интересы граждан или организаций в случае их фальсификации, уничтожения, утечки, незаконного приобретения или незаконного использования». Кроме того, DSL создает новую категорию,гоцзя гексин шудзю), который охватывает данные, связанные с «национальной безопасностью, жизненными линиями национальной экономики, важными аспектами жизни людей, основными общественными интересами и т. д.». Эта категория по-прежнему отличается от «важных данных», которые так и не были четко определены с момента их первого использования в CSL. Что касается классификации данных, DSL поручает местным органам власти и регулирующим органам составлять каталоги для своих регионов и секторов. Исходя из этого, DSL конкретно призывает к созданию трех механизмов: один для оценки риска безопасности данных, отчетности, обмена информацией, мониторинга и раннего предупреждения; один для экстренного реагирования; и один для проверки безопасности данных. Последний может пересмотреть любую деятельность по обработке данных, которая может повлиять на национальную безопасность, без возможности обжалования. Кроме того, что касается внешнего мира, DSL реализует средства контроля за экспортом для определенных категорий данных и повторяет положение о запрете санкций, также присутствующее в PIPL. Кроме того, закон также строго ограничивает предоставление данных иностранным судебным и правоохранительным органам.
Впоследствии в законе рассматриваются обязанности обработчиков данных и роль цифровой безопасности в электронном управлении. Эти разделы прямо включают MLPS в качестве основы для выполнения обязательств по безопасности данных, регулярной оценки рисков и обязательства отдельных лиц и организаций сотрудничать с органами государственной и национальной безопасности, которым необходимо получать данные в ходе выполнения своих обязанностей. Правительство будет продвигать электронное правительство, но DSL создает основу для дисциплинарной структуры для оценки того, правильно ли отдельные департаменты выполняют требования по защите данных.
В отличие от сосредоточения внимания на причинении вреда отдельным лицам в PIPL, DSL в основном стремится примирить или сбалансировать два конкурирующих элемента коллективного интереса: национальную безопасность и цели развития. В DSL прямо говорится о важности данных для реформирования процессов управления Китаем и следующего шага в его экономическом подъеме. Однако он также признает, что именно эти процессы расширяют поверхность уязвимости страны. Ответ, который он дает, — это интегрированная система, охватывающая все данные, личные или не личные, которыми владеют отдельные лица, предприятия или правительство. Практика классификации уже имеет предшественников в положениях о научных и промышленных данных [ 90 ].], а также более ранняя практика в МЛПС. Тем не менее, DSL даже в большей степени, чем PIPL, обеспечивает только базовую структуру, к которой правительственные ведомства, которым поручено внедрение, должны добавлять детали. Например, ведутся серьезные споры о наилучшем пути классификации, а также о различных сценариях вреда или риска, которые может представлять злоупотребление данными [ 91 ]. Хотя общее направление движения ясно, потребуются годы дальнейшей регулирующей деятельности, чтобы обеспечить сколько-нибудь заметный уровень детализации. Один вопрос, который, несомненно, выйдет на первый план, заключается в том, как взаимодействуют структуры DSL и PIPL и как потенциальные противоречия или трения между ними могут быть разрешены на практике. Однако на быстро меняющейся цифровой арене ход событий требует более быстрого вмешательства.
Общие и специальные правила реализации
Как и в случае с CSL, PIPL и DSL создают мандаты, которые предписывают министерствам регулировать. На момент написания были опубликованы общие правила реализации обоих законов, а также меры по экспорту как личной информации, так и важных данных. [ 92 , 93]. Первый документ в основном посвящен изложению деталей и процедур, связанных с соблюдением требований. Например, в нем указаны сроки, в течение которых компании должны реагировать на инциденты кибербезопасности, и процедуры подачи отчетов о нарушениях, а также обязанности по обеспечению прозрачности и уведомлению отдельных лиц. Продолжая волну регулятивных действий против крупных компаний-платформ, правила включали целую главу с изложением конкретных обязательств в отношении их практики управления данными. Они доходят до того, что требуют специальных интерфейсов в программном обеспечении для обмена мгновенными сообщениями и использования общедоступных механизмов проверки личности. Немного выходящий за рамки непосредственной сферы защиты данных, проект повторяет более раннее требование не направлять внутренний интернет-трафик за границу, и содержит одно из первых явных упоминаний в нормативном тексте Великого брандмауэра, получившего название «трансграничный шлюз безопасности данных». Предоставление инструментов для проникновения или обхода этого запрещено. Последнее касается опасений по поводу листинга компаний, владеющих личной информацией и важными данными, за границей, что требует проведения проверки кибербезопасности перед IPO. Эта особая озабоченность привлекла общественное внимание из-за неудачного включения в список платформы для совместного использования поездок Didi, как обсуждается ниже.
Матричная структура архитектуры защиты данных означает, что также начинает появляться отраслевое регулирование. Одной из новых приоритетных областей является личный транспорт. В июне 2021 года в связи с растущими опасениями по поводу потенциальных последствий для безопасности камер, радаров и датчиков в автомобилях Tesla CAC опубликовал проект правил безопасности данных в автомобилях. Этот документ охватывает как личную информацию, так и важные данные, причем последняя категория включает информацию, связанную с национальной безопасностью, такую как люди и потоки движения на военных или других важных государственных объектах, а также данные картирования и исследований в целом [ 94 ].]. Опять же, этот документ создает явную связь между MLPS и требует внутреннего хранения всех данных. Вскоре после этого Управление кибербезопасности, созданное в соответствии с мандатом CSL, начало свое первое расследование в отношении популярного приложения для такси Didi, сославшись на опасения по поводу рисков национальной безопасности данных [ 95 ]. В общей сложности через 2 дня CAC распорядился удалить популярное приложение для заказа такси Didi из магазинов приложений за «серьезные проблемы, связанные со сбором и использованием личной информации в нарушение законов и правил» [ 96 ]. Этот запрет был введен всего через несколько дней после того, как компания завершила IPO на Нью-Йоркской фондовой бирже, став последней в длинной череде китайских технологических компаний, зарегистрированных за границей в соответствии с юридически сомнительной конструкцией VIE [ 97 ].]. Расследования по поводу национальной безопасности данных были также начаты в отношении трех других компаний, недавно зарегистрированных в США: транспортных компаний Yuanmanman и Huochebang и сайта по подбору персонала Boss Zhipin [ 98 ].]. За этими мерами последовал проект пересмотра мер проверки кибербезопасности, в котором прямо указывалось, что действия по обработке данных, которые могут повлиять на национальную безопасность, могут привести к проверке кибербезопасности. В частности, он также ввел требование о том, чтобы предприятия, владеющие личной информацией более 1 миллиона пользователей, зарегистрированных на зарубежных рынках, проводили такую проверку. Кража, раскрытие и незаконное использование основных, важных или больших объемов персональных данных, а также использование таких данных иностранными правительствами после листинга на иностранной фондовой бирже были включены в список рисков, подлежащих рассмотрению [ 99 ] . Благодаря этим мерам автомобильная промышленность присоединится к банковскому делу и здравоохранению в качестве секторов со специальными системами защиты данных, и, вероятно, за ними последуют другие.
С одной стороны, эти шаги стирают границы между личной информацией и защитой безопасности данных, а с другой стороны, они четко интегрируют защиту данных с ранее отдельными процессами, такими как списки иностранных акций. Они также представляют собой полезный первый пример того, как будет функционировать здание, которое будет построено на основе DSL и PIPL, предлагая большую степень детализации и детализации по важным вопросам, начиная от определений и классификаций, связанных с данными, и заканчивая балансом, который необходимо установить. между корпоративными экономическими интересами, личным благополучием и соображениями безопасности [ 100]. Наконец, они отражают более широкое понимание того, что китайские технологические компании должны регулироваться более строго. Показательно, что известный интернет-предприниматель Фанг Синдун заявил, что «варварскому» росту китайского Интернета пришел конец и что теперь необходимо более строгое соблюдение требований. Более того, он утверждал, что структура VIE, сомнительный с юридической точки зрения, но до сих пор попустительствующий метод листинга за границей для некоторых китайских компаний, создала не только юридическую серую зону, но и привела к «скрытым опасностям» в национальной кибербезопасности [ 101 ].]. Возможно, по иронии судьбы, но, как и на Западе, часть блеска ушла от престижа крупных технологических компаний. Таким образом, тенденция, провозглашенная DSL и PIPL, заключается в более тщательном изучении их деятельности в попытке отделить действия и функции, которые власти считают желательными или нежелательными, и микроуправлении конкретными параметрами, регулирующими их.
Отделение конфиденциальности от защиты личной информации
И наконец, связь между неприкосновенностью частной жизни, определенной в Гражданском кодексе, и защитой личной информации определена с определенной степенью ясности. Только с пересмотром Гражданского кодекса в 2020 году в законодательстве появилось авторитетное определение термина «неприкосновенность частной жизни». В частности, неприкосновенность частной жизни состоит из «спокойствия жизни физических лиц, а также частных и конфиденциальных ( simi私密) пространств, действий и информации, о которых они не хотят, чтобы другие знали» (NPC 2020) [ 102 ].]. В частности, он охватывает право обоих лиц на «спокойную жизнь», защищая их от нежелательных телефонных звонков, текстовых сообщений, электронных писем и других подобных сообщений, а также от проникновения в частные дома или их раскрытия, наблюдения или раскрытия частной жизни. деятельность или части тела, а также обработка информации, связанной с этим. Решение ВСНП 2012 г. [ 54] уже указал, что конфиденциальность и личная информация будут рассматриваться отдельно, заявив, что государство защищает «электронную информацию, с помощью которой можно отличить индивидуальную личность граждан, а также касающуюся частной жизни граждан». Другими словами, защита личной информации в первую очередь будет касаться вопросов, связанных с идентификацией отдельных лиц, и предоставления им автономии в отношении того, как эта информация собирается и используется. Гражданский кодекс 2020 года [ 102] далее подчеркнул эту точку зрения, определив личную информацию как «информацию, записанную в электронном виде или иным образом, которая может использоваться сама по себе или в сочетании с другой информацией для идентификации физического лица, включая имя, дату рождения, идентификационный номер, биометрическая информация, адрес проживания, номер телефона, адрес электронной почты, медицинская информация, местонахождение и т. п. лица». Кодекс также четко изложил иерархическую взаимосвязь между защитой частной жизни и защитой личной информации, устанавливая приоритет защиты частной жизни. В результате PIPL работает в значительной степени отдельно от концепции конфиденциальности, основанной на репутации, до такой степени, что он даже не содержит ни единого упоминания этого термина.
Вывод
Начиная с начала 2000-х годов китайское руководство постепенно создавало модель защиты данных, адаптированную к предполагаемым обстоятельствам и требованиям. Возможно, вопреки интуиции, учитывая крайне контролирующий характер китайского режима, он создавал эту структуру постепенно, постепенно и осторожно. Отчасти это можно объяснить сложностью задачи, межведомственными спорами и трудностями, возникшими в результате административной реструктуризации ландшафта управления киберпространством. Но что не менее важно, китайское правительство не хотело пресечь первоначальное развитие цифровой экономики страны в зародыше, задушив ее лавиной правил. Сейчас этот этап подошёл к концу. Хотя необходимость использования данных для экономического роста и реформы правительства остается важной,
Китайская модель защиты данных построена на двух столпах: защита личной информации и безопасность данных. В первом случае правительство стремится сбалансировать отношения между отдельными гражданами, с одной стороны, и предприятиями и организациями, которые контролируют их данные, с другой. Хотя эта модель напоминает GDPR и черпает из нее достаточно вдохновения, она упускает из виду общность европейского подхода: хотя Китай в значительной степени воссоздал аспект защиты прав потребителей GDPR, он не подражал европейскому основополагающему принципу, согласно которому конфиденциальность является основным правом. Что наиболее важно, PIPL в значительной степени оставляет полномочия государственных органов нетронутыми, поскольку не накладывает каких-либо значимых ограничений на их способность собирать и обрабатывать данные. Это неудивительно, учитывая инструментал, телеологическая природа китайской правовой системы. Тем не менее, Закон признает необходимость обеспечения надлежащего регулирования потоков данных и операций внутри правительства для предотвращения злоупотреблений и коррупции. С этой целью PIPL закладывает основу для «дисциплинарного» подхода к управлению государственными данными, при котором полномочия, полномочия и ограничения отдельных департаментов по сбору данных устанавливаются посредством административных регламентов и подробных каталогов.
В то время как все основные государства имеют довольно подробные меры защиты секретной правительственной информации, усилия Китая по требованию, чтобы все данные, личные или неличные, оценивались с точки зрения их важности для национальной безопасности и общественных интересов, являются глобальными первыми. В то время как компонент личной информации имеет более чем мимолетное сходство с существующими нормативно-правовыми базами в других странах мира, компонент безопасности данных на данный момент остается уникальным для Китая. Это имеет серьезные последствия как для академических исследований, так и для разработки политики. Будущие исследования реализации этого закона во многом помогут нам понять его эффективность, особенно в свете его пересечения с PIPL. Возможно, самое главное, DSL решает проблему, которая стала слоном в комнате для западных политиков: тот факт, что цифровая информация стала источником риска или угрозы для национальной и общественной безопасности, чего нельзя было себе представить еще несколько лет назад. С DSL Китай движется первым. Возможно, он допустит ошибки, но, безусловно, он даст ответы на вопросы, которые западные правительства не хотели или не могли задать. Таким образом, Китай вполне может получить влияние среди третьих стран, борющихся с аналогичными проблемами. Растущее стремление китайского правительства и китайских компаний играть более важную роль в регионе посредством инициативы «Один пояс — один путь» и других инвестиционных проектов может способствовать такому нормативному влиянию. он дает ответы на вопросы, которые западные правительства не хотели или не могли задать. Таким образом, Китай вполне может получить влияние среди третьих стран, борющихся с аналогичными проблемами. Растущее стремление китайского правительства и китайских компаний играть более важную роль в регионе посредством инициативы «Один пояс — один путь» и других инвестиционных проектов может способствовать такому нормативному влиянию. он дает ответы на вопросы, которые западные правительства не хотели или не могли задать. Таким образом, Китай вполне может получить влияние среди третьих стран, борющихся с аналогичными проблемами. Растущее стремление китайского правительства и китайских компаний играть более важную роль в регионе посредством инициативы «Один пояс — один путь» и других инвестиционных проектов может способствовать такому нормативному влиянию.
Помимо потенциального воздействия на правительства, DSL также представляет собой интересную академическую задачу. В своем подходе он перекликается с китайским определением кибербезопасности, т.е. в первую очередь основанным на экономическом, социальном или политическом вреде, который может нанести использование информации, а не на более техническом подходе, отраженном в европейском и американском акценте на конфиденциальность, целостность и безопасность. доступность сетей и данных. Гораздо более ориентированный на содержание подход Китая контрастирует с европейскими усилиями по регулированию потока неличных данных или с зависимостью США от принципов конфиденциальности и кибербезопасности NIST (European Commission 2019). Будущие исследования могут многое сделать для выявления различий и сходств, сильных и слабых сторон этих различных подходов. Более того,
БЛАГОДАРНОСТИ
Эта работа была поддержана Нидерландской организацией научных исследований (NWO), номер гранта 016.Vidi.185.200. Автор благодарен Перри Келлеру, Линде ван дер Хорст, Линнет Тейлор и Фредерику Дузе за очень полезные комментарии к более ранним черновикам, двум анонимным рецензентам Journal of Cybersecurity и Эмме Бургерс за ценную помощь в исследованиях.