Александр Пономарёв

Текст

В КНР вступил в силу закон, который ограничивает сбор пользовательских данных технологическими компаниями и усиливает защиту персональных данных

Как сообщает «Интерфакс», теперь ни одно юридическое или физическое лицо не имеет права тайно собирать, использовать, обрабатывать и передавать личную информацию, а также торговать данными других людей или любым способом раскрывать их. Компаниям, нарушающим эти правила, может грозить штраф в размере до 7,7 миллионов долларов или до 5% их годовой выручки. Закон предусматривает, что онлайн-платформы с большим количеством пользователей должны разработать подробные правила предоставления услуг. Также они должны четко определить нормы обработки данных и обязательства по защите личной информации провайдерами продуктов или услуг на онлайн-ресурсах. Закон носит экстерриториальный характер, то есть его положения регламентируют обработку персональных данных китайских пользователей для предоставления продуктов и услуг или анализа пользовательского поведения не только на территории Китая, но и за его пределами.

Иностранные компании обязаны открыть специальный офис или назначить представителя на территории Китая, который будет отвечать за обеспечение безопасности этих данных. Все компании будут обязаны получить специальное согласие пользователя на передачу его данных за границу, а операторы критической информационной инфраструктуры и компании со значительной аудиторией китайских пользователей должны будут проходить процедуру государственной сертификации и специальную проверку безопасности, правила которой предстоит установить Администрации киберпространства Китая. Норма будет распространяться на компании с более чем миллионом пользователей.

Закон КНР о защите персональной информации во многом учитывает опыт регулирования этой сферы в мире — в частности, применение Общего регламента Евросоюза о защите персональных данных (GDPR). Одним из ключевых отличий китайского закона от европейского регламента является наличие специальных требований к интернет-платформам, таких как создание системы контроля за защитой персональной информации в соответствии с государственными требованиями, формулирование четких стандартов продуктов и сервисов платформы и своих обязательств по защите персональной информации, а также прекращение предоставления сервисов или продуктов, которые серьезно нарушают национальное законодательство в отношении обработки персональной информации.

Роскомнадзор и Банк России недавно объяснили финансовым организациям правила работы с персональными данными: