Как закон о защите данных в Китае сработал против технологических компаний

Закон о защите данных и закон о персональных данных

Закон о защите данных в КНР распространяется на сбор информации внутри и вне страны. Во втором случае это касается информации, которая способна «нанести ущерб национальной безопасности или общественным интересам КНР или законным правам китайских граждан или организаций». Под данными подразумевается любая информация, записанная в электронном или любом другом виде.

«Действия с данными» включают в себя сбор, хранение, использование, обработку, передачу, предоставление и раскрытие данных. В частности, закон впервые регулирует коммерческую «транзакцию» данных. За рамками закона остаются два типа информации: государственная тайна, для которой существует закон об охране государственных тайн, а также информация, которая входит в зону ответственности Центральной военной комиссии.

Информация по закону регулируется согласно специальной классификации — ее значимость и чувствительность определяется в зависимости от важности для экономического развития государства, национальной безопасности, общественных интересов, а также законных прав и интересов физических и юридических лиц. Затем госорганы разных уровней определяют, какие именно данные «важные», и впоследствии усиливают их защиту. Это означает, что, помимо «основных государственных данных», местные власти и отрасли могут сами решать, какую информацию называть «важной».

На международном уровне самой важной частью закона можно назвать правила о трансграничных данных. Их регулирование частично попадало под закон о кибербезопасности 2017 года. Уже он запрещал компаниям, предоставляющим услуги онлайн, собирать и продавать персональные данные пользователей. Тогда международные компании призывали регулятора отсрочить применение закона, так как он нанес бы серьезный ущерб их работе.

Среди ключевых нововведений закона было понятие «критически важной инфраструктуры» — это государственные коммуникационные и информационные услуги, энергетика, ирригационные системы, транспорт, финансы, оборонная сфера, здравоохранение и другие ключевые отрасли и сектора. Нанесение ущерба, незаконное использование и утечка данных из этих сфер представляют собой серьезную угрозу национальной безопасности и общественным интересам. По сути, это означало, что работа международных компаний, так или иначе работающих с данными, стала в Китае крайне затруднительной.

По закону о кибербезопасности 2017 года компании, которые работают с «критически важной инфраструктурой», должны хранить все данные на территории КНР. Для отправки данных за границу необходимо получить разрешение. Ответственность за выполнение закона полностью возложена на компании, включая ежегодную переаттестацию. Интересно, что его введение буквально создало рабочие места — теперь всем предприятиям «критически важной инфраструктуры» было предписано нанять специалиста по кибербезопасности себе в штат. Однако ответственным за соблюдение всех норм закона все равно остается глава компании — от найма необходимых специалистов до выполнения требований регулятора после проверок.

В некотором смысле закон о защите данных вместе с еще одним новым законом — о персональных данных — это попытка усовершенствовать тот самый закон 2017 года. Так, в законе о персональных данных впервые сделана попытка дать четкое юридическое определение тем самым данным, которые запретили собирать в 2017-м.

Новый закон часто сравнивают с аналогичным законом Евросоюза — и там и там под персональными данными понимают информацию, которая в случае утечки или кражи может нанести ущерб лично ее обладателю или поставить под угрозу личную безопасность. В Китае закон должен вступить в силу 1 ноября, но фактически его начали применять еще 20 августа, после третьего чтения. Уже 22 августа ЦБ Китая выписал на его основе штрафы четырем финансовым институтам на $1,77 млн. Вероятно, множество компаний будут вынуждены заплатить, не успевая перестроиться под все требования регулятора. 

Что это означает для компаний и инвесторов

Компании, которые работают внутри Китая и уже локализовали сбор данных внутри страны, не должны быть сильно затронуты этими законами. Это повлияет на бизнес, оперирующий большим количеством персональных данных и задействованный в отраслях «критически важной инфраструктуры». К ним относятся техногиганты вроде Alibaba, Tencent, JD.com, Huawei и другие компании. Согласно закону о персональных данных, его юридическая сила будет расцениваться выше международных законов на территории Китая.

Существуют также опасения, что подобные законы отпугнут часть инвесторов, и они не беспочвенны. По сообщениям The Wall Street Journal, в Пекине обсуждают возможный запрет на выход на IPO в США для компаний из Китая, хранящих слишком большие объемы данных. Если такой закон будет принят, это сильно ударит по технологическим компаниям и международным инвесторам.

В конце августа акции крупных компаний Китая вроде Meituan и Alibaba резко упали после серии жестких законов, регулирующих работу технологических компаний, среди них и законы о данных. Иностранные инвесторы и так стали крайне настороженно относиться к вложениям в акции сферы технологий. «Множество инвесторов спрашивают нас, настало ли время инвестировать в акции технологических компаний Китая. Короткий ответ — нет», — цитирует Bloomberg главного стратега Saxo Bank Питера Гарнри.

Хотя в стране существует ограничение в отношении иностранных инвестиций, компании вроде Tencent, Alibaba и Didi нашли лазейку для выхода на IPO. Они создавали подразделения в других странах и уже через них проводили листинг. Еще с прошлого года Пекин всерьез занялся регулированием онлайн-сферы, которая как раз и попадает под действие двух новых законов о данных.

Первые правительственные санкции начались с остановки IPO Ant Group. Финансовая дочка Alibaba должна была провести крупнейшее в истории размещение, но оно так и не состоялось, компания получила штраф на $2,8 млрд, а ее основатель Джек Ма буквально пропал из публичной сферы на три месяца. Техногигант Bytedance и вовсе отложил IPO после встречи с регуляторами. Вскоре основатель компании Чжан Имин даже принял решение покинуть свой пост во избежание конфликта с властями. И все же Bytedance еще планирует провести размещение через Гонконг в начале 2022 года.

Несмотря на предостережения со стороны регуляторов и печальный опыт других компаний, агрегатор такси и каршеринг Didi вышел на IPO в США. Через несколько дней началось официальное расследование. Акции компании тут же упали на 11%, был введен запрет на регистрацию новых пользователей, а само приложение Didi было удалено и недоступно для скачивания.

Ранее в августе был опубликован совместный документ Госсовета КНР и ЦК КПК с планами государственного строительства до 2025 года. В него входит и пункт о регулировании бизнеса, что означает дальнейшее ужесточение контроля технологического сектора. В тексте документа упор сделан на сферы национальной безопасности, технологий и антимонопольного регулирования. Все три имеют прямое отношение к случаям с Ant Group, Bytedance и Didi, а также подразумевают все технологические компании в Китае. Регулятор уже начал проверку в сфере онлайн-страхования. По некоторым сообщениям, далее могут взяться за продуктовые сети и аптеки.

Об усилении регулирования также говорит и покупка официальным Пекином по 1% в Bytedance и онлайн-сервисе микроблогов Sina Weibo. Даже такие символические доли предоставляют государству места в совете директоров. Ужесточение регулирования за крупнейшими компаниями Китая и два новых закона о данных четко показывают, что отныне крупный бизнес, особенно из технологической сферы, будет под жестким контролем. Международным компаниям, которые планируют продолжить свою деятельность на территории Китая, придется не только перестроиться под новые правила, но и учесть ужесточение госрегулирования бизнеса — теперь и через покупку акций и долей в компаниях.

Чему пример Китая может научить Россию

Практика показывает, что опыт КНР действительно иногда адаптируют под российские реалии, в частности в том, что касается попыток регулирования интернета. Однако здесь существуют свои ограничения. С 2009 года Китай планомерно блокировал на территории страны доступ к платформам вроде Twitter, YouTube, Facebook, сервисам Google и некоторым другим иностранным технологическим компаниям. Россия же до недавнего времени скорее развивалась на примере европейского и американского подхода к регулированию интернета — более либеральному и свободному. Несмотря на угрозы Роскомнадзора о возможной блокировке тех или иных платформ, такие решения принимают пока не часто и эти шаги носят скорее выборочный, чем массовый характер. Однако уже есть решение правительства о переходе всех преподавателей школ и вузов на российские сервисы — это тоже сильно напоминает методы КНР.

Закон о защите данных и закон о персональных данных в Китае — логичное продолжение ранее введенных законов и ужесточения регулирования различных сфер в стране в целом. Технологические компании КНР долгое время развивались без слишком активного вмешательства государства, что помогло им вырасти до сегодняшних объемов и стать реальными конкурентами на мировом рынке. Более того, такой рост сделал техногигантов и скорее их основателей, как в случае с Джеком Ма, потенциальной политической угрозой. В итоге официальный Пекин стал принимать  жесткие меры и усиливать контроль за этой сферой.

Опыт разработки законов, реформирования и их принятия довольно длинный и начался не пару лет назад. Пока развивалась технологическая сфера, постепенно развивалось и законодательство, с ней связанное. В отличие от Китая российский закон о персональных данных существует с 2006 года. Однако вслед за участившимися утечками информации и бумом мошенничества стало очевидно, что и он требует изменений. Так или иначе, в ближайший год сложится правоприменительная практика по законам в Китае. Тогда и станет понятно, соответствует ли он заявленной цели или является скорее политическим инструментом.