Защита персональных данных в Китае: законодательство в цифровую эпоху
Гун Нанъ
В развитии интернет-индустрии и цифровой экономики Китайской Народной Республики (КНР) большое значение придается защите персональных данных, законных прав и интересов граждан. С развитием технологий и промышленности защита персональных данных в Китае прошла путь от косвенной к прямой, а затем к всесторонней защите. В первые годы развития интернет-индустрии Китая косвенная защита персональных данных в основном достигалась при помощи защиты прав на неприкосновенность частной жизни граждан, а интересы персональных данных защищались как права граждан на неприкосновенность частной жизни. Поскольку интернет-индустрия КНР вступила в этап быстрого развития, государство начало напрямую защищать персональные данные в соответствии с главой «Безопасность сетевой информации» Закона о кибербезопасности 2016 г., которая устанавливает несколько принципов сбора и использования персональных данных, а также требования к защите безопасности информации. Закон КНР о защите персональных данных, вступивший в силу 01.11.2021, был принят с целью всесторонней защиты персональных данных и отражает идеологию развития, ориентированного на потребности и стремления народа в новую эпоху, а также предлагает создание международного цифрового правопорядка «Китайский вариант». Закон расширяет пределы объекта защиты персональных данных, устанавливает всесторонние права физических лиц на обработку данных, усиливает обязанности по защите обработчиков персональных данных, создает строгие правила защиты конфиденциальных персональных данных и регулирует деятельность по их обработке государственными органами, а также по совершенствованию средств их правовой защиты. При разработке закона учитывался передовой зарубежный опыт, вместе с тем сохранялись китайская мудрость, дух времени, привлекалась современная юридическая практика Китая. цифровая экономика интернет китай
Ключевые слова: защита персональных данных, обработка персональных данных, юридическая ответственность, законодательная инновация, систематизация законодательства, принципы права, право на частную жизнь.
Protection of personal data in China: Legislation in the digital age*
Gong Nan
In the development of China's Internet industry and digital economy, great importance is attached to the protection of personal data and seriously protects the legitimate rights and interests of citizens' personal data. Generally speaking, with the development of technology and industry, China's personal data protection has gone from “indirect protection” to “direct protection” and then to “comprehensive protection”. In the early years of China's Internet industry, the indirect protection of personal data was mainly achieved through the protection of the “rights to privacy” of citizens. Since the Internet industry of the People's Republic of China has entered a stage of rapid development, the state began to directly protect personal data in accordance with the provisions of the Chapter “Network Information Security” established in the “Cyber Security Law” of 2016, establishes several principles for the collection and use of personal data, protection requirements information security. Until November 1, 2021, the “Personal Data Protection Law of the People's Republic of China” (PPD) was adopted to comprehensively protect personal data, reflecting the ideology of development focused on bringing the people to the center, meeting the new needs and aspirations of the people in the new era, and also proposing the creation international digital legal order “Chinese version”. The PPD further expands the scope of the object of personal data protection, comprehensively establishes the rights of individuals to process data, strengthens the obligations to protect personal data processors, creates strict rules for the protection of sensitive personal data and regulates the processing of personal data by public authorities, as well as improving the means of legal protection of personal data, all of which are important points in the legislation. The law incorporates advanced foreign experience, while emphasizing Chinese wisdom, the spirit of the times, and practicality in accordance with the reality of China.
Keywords: protection of personal data, personal information processing, legal responsibility, digital law, legal systematization, basic law principles, right to privacy.
Введение
Постоянный комитет Всекитайского собрания народных представителей (ПК ВСНП) тринадцатого созыва на 30-м заседании, состоявшемся 20.08.2021, проголосовал за принятие Закона Китайской Народной Республики о защите персональных данных1 (далее -- ЗПД КНР, ЗПД), который вступил в силу 01.11.2021. Этот акт является первым специализированным законом в Китае, который систематически и всесторонне защищает персональные данные; он систематизирует нормы о защите персональных данных (далее -- ПД), содержащиеся в разделах «Общие положения» и «Права на личность» Гражданского кодекса КНР ((Ф^АДАїПДААІАШШ^й)) 2021 [Закон о защите персональных данных КНР 2021 г.]. Дата обращения 20 августа, 2022. https://rn.thepaper.cn/baijiahao_15176859. ((Ф^АДАїПДДйЛ)) 2020 [Гражданский кодекс КНР 2020 г.]. Дата обращения 20 мая,
2022. http://www.npc.gov.cn/npc/c30834/202006/75ba6483b8344591abd07917e1d25cc8.shtml. (ГК КНР), совершенствует систему институтов защиты ПД, обогащает правила защиты ПД, предлагает обеспечение защиты законных прав и интересов народа, предоставляет корпорациям рекомендации по законному использованию ПД, обеспечивая здоровое развитие цифровой экономики на пути к правовому государству. Закон эффективно компенсирует основные недостатки правовой системы Китая в области защиты ПД, координируя положения таких принятых ранее законов и нормативных актов, как ГК КНР, Закон о кибербезопасности ((Ф^АДАЇПДД^ААЙ)) 2017 [Закон о кибербезопасности КНР 2017 г.]. Дата обра-щения 25 июня, 2022. http://www.npc.gov.cn/zgrdw/npc/zfjc/zfjcelys/2016-11/07/content_2034939.htm., Закон о безопасности данных (ДААААЇПДЙЖААЖ) 2021 [Закон о безопасности данных КНР 2021 г.]. Дата обраще-ния 12 января, 2023. http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml., Закон об электронной торговле «Ф^АЙА^ПД^АЙАШ) 2018 [Закон об электронной торговле КНР 2018 г.]. Дата обра-щения 12 января, 2023. http://www.npc.gov.cn/npc/c30834/201808/5f7ac8879fa44f2aa0d52626757371bf.shtml., Уголовный закон КНР ((Ф^АйАїпДЖЮ) 1997 [Уголовный закон КНР 1997 г.]. Дата обращения 12 января,
2023. http://www.npc.gov.cn/zgrdw/huiyi/lfzt/xfxza8/2008-08/21/content_1588538.htm., которые создали основу правовой системы для защиты ПД в Китае и для качественного экономического и социального развития в цифровую эпоху (Ван Сисинь, Пэн Кун 2021, 6).
Основное исследование
Характерные особенности китайского Закона о защите персональных данных
Защита персональных данных в Китае прошла три этапа: до эпохи СМИ (19791984) была в основном защита чести и достоинства; после наступления эпохи СМИ (1984-1998) начала появляться защита прав на неприкосновенность частной жизни; в эпоху интернета персональные данные все более и более приближаются к ста-
тусу субъективных прав (Ши Цзяю 2021, 16). Однако в настоящее время китайские законодатели по-прежнему занимают очень осторожную позицию и не решаются определить защиту ПД как гражданское субъективное право, так как это предполагает баланс интересов множества сторон, ограничение прав предприятий, защиту личной информации, личных интересов и данных, а также общественных интересов управленческих органов. В законодательстве Китая установлено, что ЗПД должен быть ориентирован на решение реальных проблем, придавать равное значение наследованию и инновациям в институциональном дизайне и придерживаться международных стандартов. Это позитивный ответ на цифровую эпоху со следующими законодательными характеристиками.
Во-первых, законодательство придерживается проблемно ориентированного подхода. После вступления в эпоху цифровой экономики развитие цифровых технологий меняется с каждым днем. Интернет вещей (Internet of Things, IOT) и взаимодействие человека и компьютера ставят перед защитой ПД беспрецедентные задачи, что не только значительно расширяет масштабы сбора личной информации и использование, но и увеличивает риск как утечки ПД, так и злоупотреблений. На практике постоянно встречаются произвольный сбор, незаконное получение и чрезмерное использование ПД некоторыми субъектами. Закон о персональных данных устанавливает и совершенствует соответствующие институты и нормы, исходя из реальных проблем в сфере защиты ПД и основных интересов народа. В то же время для решения проблем, вызванных появлением новых технологий (таких как автоматизированное принятие решений) и приложений (например, мобильных), также были разработаны необходимые правила.
Во-вторых, законодательство настаивает на равном внимании к правовым вопросам и инновациям. В ходе анализа институциональных положений ЗПД можно обнаружить, что они как создают новые институты, так и усовершенствуют институты защиты ПД, установленные ранее. Кроме того, ЗПД полностью заимствует принципы и институты соответствующих законов, таких как Закон о кибербезопасности и ГК КНР. В Законе о кибербезопасности получили дальнейшее развитие принципы законности, необходимости и добросовестности. В то же время ЗПД адаптируется к развитию и изменениям цифровых технологий и индустрии и продолжает вводить инновации и разработки, добавляя множество новых институтов защиты ПД, таких как индивидуальное согласие, защита конфиденциальной личной информации и особые обязательства крупнейших поставщиков интернет-услуг.
В-третьих, законодательство соответствует международным стандартам. В последние годы законодательная деятельность по защите личной информации (или данных) в международном сообществе продолжала развиваться, все больше стран разрабатывали и принимали нормативные акты о защите ПД. С одной стороны, страны с зарождающейся рыночной экономикой ускоряют процесс разработки законодательства о защите ПД, с другой -- страны с развитой экономикой продолжают укреплять и совершенствовать системы защиты на основе первоначальных правовых систем и постоянно повышать уровень защиты ПД. Китайский ЗПД опирается на практический опыт развитых стран и регионов, таких как Европейский союз и его государства-члены, придерживается международных стандартов, а также разрабатывает и совершенствует законы, которые соответствуют конкретным национальным реалиям защиты ПД в Китае и потребностям развития цифровой экономики.
2.2. Основные принципы защиты персональных данных
Основные принципы защиты ПД имеют большое функциональное значение, являются не только базовыми требованиями к осуществлению деятельности по обработке ПД, но и важной основой для создания конкретных институтов защиты ПД, пронизывающих весь процесс и каждое звено обработки ПД. Закон КНР о персональных данных опирается на зарубежный опыт и конкретную национальную действительность, устанавливая пять основных принципов защиты ПД (ст. 5-9):
— принципы законности, правомерности, необходимости и добросовестности; в Законе о кибербезопасности закреплены принципы законности, правомерности и необходимости, которые требуют, чтобы при обработке ПД строго соблюдались законодательство и административные нормативные акты; принцип добросовестности является новым основным принципом, добавленным ЗПД в соответствии с ГК КНР; он требует строго соблюдать договоры и обещания во всех аспектах обработки данных, не нарушать договор, чтобы нанести ущерб правам и интересам ПД, а также не получать согласие пользователя и не обрабатывать ПД вводящим в заблуждение или мошенническим образом (Шин Вэйсин 2021, 30);
— принцип ограничения цели; этот принцип требует, чтобы обработка ПД имела четкую и разумную цель; основываясь на принципах законности, правомерности, необходимости и добросовестности, этот принцип устанавливает стандарт обработки ПД и контролирует деятельность по обработке ПД в пределах, связанных с прямой целью обработки; степень обработки ПД ограничена: конкретная цель имеет прямое отношение к обработке ПД; требуется минимальное воздействие обработки ПД на личность; не допускаются чрезмерный сбор и использование ПД;
— принцип открытости и прозрачности; конкретные требования данного принципа отражены в ст. 7 ЗПД: «обработчики ПД должны раскрывать порядок обработки ПД для публики, а также доводить до сведения физических лиц цель, способ и объем обработки»; этот принцип выступает важным проявлением защиты прав и интересов пользователей, он наделяет людей правом знать свои ПД, что порождает права обработчиков на доступ к ПД и их копированию (Чэн Сяо 2021, 6);
— принцип качества, т. е. целостности и правильности; обработчики ПД должны обеспечивать качество обрабатываемых ими ПД и избегать неблагоприятного воздействия на личные права и интересы из-за нецелостности и неправильности ПД; ст. 8 ЗПД устанавливает стандарт оценки качества обработки ПД, который может быть понят в аспектах целостности и правильности ПД; обработчики ПД должны избегать ущемления личных прав и интересов из-за неточности или неполноты ПД;
— принцип обеспечения безопасности; основная цель данного принципа -- обеспечение безопасности при обработке ПД; ст. 9 ЗПД устанавливает принцип безопасности с точки зрения требований ответственности и требований безопасности; требование ответственности разъясняет основную ответственность обработчика ПД, который должен нести ответственность за свою деятельность по обработке ПД; требование безопасности означает, что обработчик ПД должен принимать необходимые меры для обеспечения безопасности ПД; также это требование предусмотрено соответствующими законами и нормативными актами, такими как Решение ПК ВСНП об усилении защиты информации в интернете2012 [Решение ПК ВСНП
об усилении защиты информации в интернете 2012 г.]. Дата обращения 12 мая, 2022. http://jyh. wuhan.gov.cn/pub/wxb/zcfg/fl/202110/t20211022_1817425.shtml. и Закон о кибербезопасности.
2.3. Институциональные инновации Закона о защите персональных данных
2.3.1. Дальнейшее расширение предела защиты персональных данных
С одной стороны, ЗПД расширяет пределы ПД при перечислении конфиденциальной личной информации и в ст. 28 (по сравнению со ст. 1034 ГК КНР) добавляет такие типы ПД, как религиозные убеждения, установление личности, финансовые счета и т. д., а также уточняет, что ПД несовершеннолетних в возрасте до 14 лет являются конфиденциальными.
С другой стороны, в соответствии со ст. 73 ЗПД обезличенные данные «относятся к информации, в которой ПД были обработаны таким образом, что невозможно идентифицировать конкретное физическое лицо без помощи дополнительных данных». Анонимные данные «относятся к ПД, с помощью которых невозможно идентифицировать конкретное физическое лицо при обработке, и не могут быть восстановлены». Закон исключает анонимные данные из ПД, но по-прежнему признает обезличенные данные как ПД.