CC BY
57
АНАЛИТИЧЕСКИЙ ОБЗОР
Вестник международных организаций. 2022. Т. 17. № 3. С. 212-234 Аналитический обзор УДК 327.7:339.97
doi:10.17323/1996-7845-2022-03-09
Подходы стран БРИКС к регулированию данных1
А.В. Шелепов
Шелепов Андрей Владимирович — к.э.н., с.н.с. Центра исследований международных институтов Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации (РАНХиГС); Россия, 119034, Москва, Пречистенская наб., д. 11; shelepov-av@ranepa.ru
Аннотация
Данные не являются новым для экономики ресурсом, однако в настоящее время их объем растет беспрецедентными темпами в результате распространения цифровых устройств и услуг. Анализ складывающихся систем национального регулирования данных показывает значительные различия в страновых подходах, особенно в отношении трансграничных потоков данных, обусловленные экономической спецификой и национальными интересами. Различия в подходах между крупнейшими игроками создают проблемы для других стран, усиливают фрагментированность глобальной регуляторной среды, создают неопределенность и повышают издержки исполнения требований для бизнеса. Эти факторы определяют важность международного сотрудничества в области управления данными.
В обзоре представлены подходы стран БРИКС — Китая, Индии, Бразилии и ЮАР — к регулированию данных, прежде всего их трансграничных потоков, а также требований локализации хранения и операций с данными.
По итогам обзора выявлены общие тенденции подходов рассмотренных стран к регулированию, которые позволяют сделать вывод о возможности усиления взаимодействия в рамках БРИКС, в первую очередь в отношении взаимного признания адекватности существующих и обсуждаемых мер защиты данных для обеспечения их взаимовыгодного трансграничного перемещения.
Ключевые слова: цифровая экономика, управление данными, трансграничные потоки данных, БРИКС
Благодарности: статья подготовлена в рамках выполнения научно-исследовательской работы государственного задания РАНХиГС.
Для цитирования: Шелепов А.В. Подходы стран БРИКС к регулированию данных. 2022. Т. 17. № 3. С. 212-234 (на русском и английском языках). ао1:10.17323/19967845-2022-03-09
1 Статья поступила в редакцию 09.08.2022.
Введение
Данные становятся все более важным ресурсом в мировой экономике, использование которого оказывает существенное влияние на экономические и социальные процессы. Значительная роль данных в мировой экономике обусловлена такими факторами, как быстрая цифровизация, неисчерпаемость ресурса данных, возможность их использования большим числом субъектов без существенных затрат для формирования экономической и социальной ценности.
В условиях острых геополитических противоречий и информационных войн растут недоверие и риски злоупотребления и злонамеренного использования данных. Соответственно, возрастает стремление защитить конфиденциальность усилением обусловленности трансграничного трансфера данных или требованиями хранения и обработки в конкретных границах. Обостряются противоречия между участниками процессов создания международных режимов регулирования. Для снижения рисков возобладания в многосторонних институтах альтернативного интересам и подходам России влияния по соответствующим вопросам важно стремиться к формированию международных принципов регулирования потоков и защиты данных с ключевыми партнерами, прежде всего странами БРИКС.
Для оценки перспектив сотрудничества по управлению данными в рамках БРИКС необходимо проанализировать подходы стран-партнеров (Китай, Индия, Бразилия, ЮАР). В страновой анализ включены в первую очередь действующие и планируемые к принятию нормативные документы четырех стран. Основной акцент сделан на рассмотрении подходов к трансграничному перемещению данных — сфере, в которой отмечаются наиболее существенные отличия в страновом регулировании.
Подходы стран БРИКС к регулированию данных
Китай
Несмотря на лидирующие позиции Китая в цифровой экономике, в том числе статус крупнейшего участника цепочек трансграничных потоков данных, соответствующая система регулирования в КНР начала складываться сравнительно недавно и все еще находится в стадии формирования. Существующая экономическая и политическая система Китая предполагает активное участие государства во всех аспектах экономических и общественных процессов, что естественным образом предопределяет значительную роль государства в цифровой экономике и, в частности, сравнительно жесткое регулирование трансграничных потоков данных и оборота данных внутри страны.
В основе китайской политики в отношении потоков данных лежит концепция цифрового суверенитета. Подход Китая к цифровому суверенитету основан на понимании цифровых технологий и Интернета как важнейшего геополитического актива. Особое внимание в китайской политике уделяется мерам, направленным на продвижение технологического лидерства в глобальном масштабе, а также защите данных как ключевой задаче правительства [Виёп^ку, Ла, 2018] с особым акцентом на безопасности [Сгеешеге, 2020]. Такой подход проявляется и в политике в отношении потоков данных.
Основой системы регулирования потоков данных КНР, формирование которой еще продолжается, являются три законодательных акта, вступившие в силу в последние пять лет, — Закон о кибербезопасности, Закон о безопасности данных и Закон о защите личной информации — и связанные с ними регламенты и подзаконные акты.
Закон Китая о кибербезопасности прямо устанавливает требования по локализации определенных категорий данных. В соответствии с ним личная информация и важные данные, собранные и сгенерированные в ходе работы операторов критической информационной инфраструктуры на территории Китая, должны храниться на территории Китая [Creemers, Triolo, Webster, 2018]. Хотя Закон о кибербезопасности не дает подробного определения и указания на сферы деятельности операторов критической информационной инфраструктуры, отмечается, что Китай сосредоточит внимание на защите определенных важных отраслей, включая, помимо прочего, общественные коммуникации и информационные услуги, энергетику, транспорт, финансы, государственные службы, в которых, в случае разрушения, потери функциональности или утечки данных, может возникнуть угроза национальной безопасности или общественным интересам [Ibid.].
Закон о кибербезопасности также предусматривает, что если трансграничная передача персональной информации и важных данных необходима в связи с потребностями бизнеса, то должна проводиться оценка безопасности в соответствии с мерами, сформулированными правительственным отделом по делам киберпространства и соответствующими отделами Государственного совета («Оценка безопасности»). Непосредственно Закон о кибербезопасности не перечисляет меры и процедуры оценки безопасности, однако в последние годы были подготовлены проекты отдельных документов по данному направлению. Одним из таких документов является проект Мер по оценке безопасности трансграничной передачи личной информации. Согласно Закону о кибербезопасности, проходить оценку безопасности обязаны «операторы критической информационной инфраструктуры», а в Проекте мер по оценке безопасности трансграничной передачи личной информации данное обязательство распространяется на сетевых операторов. Таким образом, сетевые операторы в Китае фактически отнесены к операторам критической инфраструктуры, что делает трактовку такого типа инфраструктуры весьма широкой. Формально руководствуясь целями обеспечения безопасности в киберпространстве, Китай ввел существенные законодательные ограничения на трансграничные потоки данных.
Помимо указанных требований, распространяющихся на потоки данных в целом, в целях «обеспечения общественной безопасности и облегчения доступа регулирующих органов к данным» Китай также ввел требования по локализации данных для конкретных секторов, в том числе в отношении информации о здоровье [Hu, Gong, Yang, 2022], информации, собираемой организациями по кредитным историям [Order No 631, 2013], личной информации, собираемой коммерческими банками [NRF, 2020], организациями — операторами навигационных и картографических сервисов [Si, Cai, 2021], онлайн-платформами такси [Interim Administrative Measures, 2016] и интернет-операторами проката велосипедов [Yang, 2020], а также в отношении сведений, составляющих государственную тайну [Cadwalader, 2011].
Закон о кибербезопасности затронул вопросы управления и безопасности цифровых данных, но другие типы данных по-прежнему оставались вне периметра регулирования. Закон о безопасности данных восполнил этот пробел, поскольку его действие распространяется на все типы данных (включая как электронные, так и неэлектронные данные) и охватывает полный цикл операций с ними [Data Security Law, 2021]. В отличие от Закона о кибербезопасности, который регулирует только цифровые данные, сфера действия Закона о безопасности данных также распространяется на неэлектронные данные. Кроме того, хотя оба закона предусматривают возможность применения в отношении незаконной деятельности за границей, санкции в соответствии с Законом о кибербезопасности были ограничены случаями экспорта личных данных,
полученных на территории Китая, импорта «незаконных» данных из-за рубежа и действий, серьезно подрывающих безопасность важной информационной инфраструктуры Китая. В соответствии с Законом о безопасности данных, любая деятельность по обработке данных за границей, которая ставит под угрозу национальную безопасность Китая, общественные интересы или законные права любого лица или организации, считается незаконной. Таким образом, Закон о безопасности основан на более всеобъемлющем подходе, обеспечивая очень широкие основания для правоприменения.
Термин «национальная безопасность» очень часто упоминается в Законе о безопасности данных в сравнении с «защитой конфиденциальности». Это позволяет сделать вывод, что укрепление национальной безопасности — ключевой фактор принятия закона. В соответствии с Законом о безопасности данных, правительство Китая впервые создало централизованную систему классификации по уровню важности данных. Данные, имеющие отношение к национальной безопасности, национальной экономике, социальному обеспечению и важным общественным интересам, рассматриваются как «основные» ("core") данные, и операции с ними подлежат более строгой проверке. В настоящее время правительство Китая готовит публикацию национальных, региональных и ведомственных каталогов с руководством по классификации, чтобы обеспечить усиление контроля за деятельностью по обработке «основных» данных.
Что касается экспорта данных, представляется, что основной целью применяемого Китаем режима является противодействие Закону о разъяснении законного использования данных за рубежом (Закон CLOUD), принятому в США в 2018 г. Закон CLOUD позволяет правоохранительным органам США требовать доступа к электронным данным независимо от того, в какой стране они хранятся. Однако в соответствии с Законом о кибербезопасности 2016 г. экспорт персональных данных и важных данных, хранящихся с использованием ключевых объектов информационной инфраструктуры в Китае, подлежит проверке на предмет безопасности. Эта мера усиливается Законом о безопасности данных, который также предусматривает, что компании, не соблюдающие соответствующее требование, могут быть оштрафованы на сумму до 10 млн юаней (около 1,5 млн долл. США), столкнуться с приостановкой деятельности или закрытием бизнеса.
Для завершения формирования основного регуляторного каркаса китайской системы оборота данных было необходимо принятие законодательства, непосредственно относящегося к обращению с персональными данными. 20 августа 2021 г. был принят Закон КНР о защите личной информации (Personal Information Protection Law, PIPL), по ключевым аспектам весьма схожий с европейской моделью Общего регламента по защите данных [Personal Information Protection Law, 2021]. Закон определяет личную информацию; разъясняет правовые основы обработки персональных данных; устанавливает обязательства и ответственность, возложенные на процессоров; предусматривает строгие требования к локализации данных, защищая интересы Китая в случае трансграничной передачи личной информации. Хотя PIPL схож с Общим регламентом ЕС по защите данных (GDPR), в китайском законе существуют некоторые отличия и дополнительные требования.
Закон о защите личной информации при определенных обстоятельствах имеет экстерриториальную юрисдикцию. Экстерриториальная юрисдикция может применяться в трех случаях, а именно если цель обработки данных заключается:
1) в предоставлении товаров или услуг физическим лицам в Китае;
2) в «анализе» или «оценке» поведения граждан на территории Китая;
3) в иных целях, предусмотренных другими нормативными правовыми актами [Personal Information Protection Law, 2021, art. 3].
Организация-процессор, которая планирует передавать личную информацию организациям за пределами Китая, обязана:
— предоставить физическим лицам — субъектам данных конкретную информацию о передаче и получить на это отдельное согласие;
— принять необходимые меры для того, чтобы зарубежные получатели могли обеспечить такой же уровень защиты информации, какой установлен в соответствии с PIPL;
— проводить оценку воздействия в области защиты личной информации. Китайский закон устанавливает требования локализации. В частности, операторам или организациям, обрабатывающим большой объем личной информации (когда объем обрабатываемых персональных данных достигает определенных пороговых значений, устанавливаемых соответствующим государственным органом), необходимо хранить личную информацию на территории Китая. Если необходимо передать такую личную информацию за границу, организация должна пройти оценку безопасности, проводимую Управлением по вопросам киберпространства Китая (Cyberspace Administration of China, CAC) и другими профильными органами. Аналогичное требование действует и в том случае, если процессор персональных данных подпадает под определение «оператор ключевой информационной инфраструктуры».
При трансграничной передаче персональных данных в других случаях Закон позволяет выбрать одну из опций:
— прохождение процессором оценки безопасности, организованной соответствующим государственным органом (САС) (аналогично операторам ключевой информационной инфраструктуры и случаям обработки большого объема персональной информации);
— получение сертификата защиты личной информации от профессиональных учреждений, признанных САС;
— заключение договора с зарубежным получателем личной информации в соответствии со стандартной формой контракта, сформулированной САС, в котором указаны права и обязанности обеих сторон;
— выполнение других условий, установленных законами, административными правилами или соответствующим государственным органом [Personal Information Protection Law, 2021, art. 38].
Анализ законодательных актов Китая, связанных с регулированием потоков данных, свидетельствует о том, что оно преследует две важнейшие цели: защита цифрового суверенитета Китая и обеспечение кибербезопасности данных. Поскольку китайская модель регулирования трансграничных потоков данных основана на центральной роли кибербезопасности в национальной безопасности, она носит весьма ограничительный характер [Lee, 2018; Liu, 2019]. Требования по локализации и ограничения на передачу данных в другие страны свидетельствуют о том, что китайское правительство стремится к максимальному суверенитету в цифровой области и минимизации возможностей иностранного вмешательства. Это особенность подхода КНР в сравнении с другими рассматриваемыми странами. В то же время Китай является примером реализации ограничительного подхода, который в сочетании со стратегическим вмешательством государства в экономику позволил стимулировать рост внутреннего цифрового рынка и обеспечить глобальный охват крупных национальных технологических компаний. С учетом необходимости дальнейшего расширения деятельности этих компаний, в том числе международной, несмотря на то, что главная цель регулирования трансграничных потоков данных в Китае изначально заключалась в обеспечении национальной безопасности, экономические аспекты
со временем становятся все более важными элементами в политике регулирования данных.
В настоящее время Китай завершает работу над национальной системой контроля и защиты данных, которая предполагает, что для трансграничной передачи данных должны быть выполнены определенные условия, включая оценку безопасности со стороны правительственных органов, и вводится требование локализации — все операторы критической информационной инфраструктуры, понимаемой весьма широко, и установленные законом процессоры личной информации должны хранить личную информацию, собранную ими, на территории страны.
В то же время экономические интересы обуславливают тенденцию к некоторому смягчению официальной позиции Китая относительно свободы потоков данных и возможностей сближения подходов с другими странами, включая партнеров по БРИКС, несмотря на сохранение ранее введенных ограничений. Так, в Законе о защите персональной информации прямо указано, что правительство КНР будет стремиться к заключению международных соглашений о передаче персональных данных и взаимному признанию стандартов защиты личной информации [Personal Information Protection Law, art. 12]. В 2020 г. китайское правительство заявило о готовности разрешить трансграничные потоки данных в зоне свободной торговли Хайнань [Lu, 2020]. Также власти Китая отмечали важность международной координации в области обеспечения безопасности данных и признавали, что требования локального хранения данных не могут рассматриваться как универсальные для всех стран. Эксперты сходятся во мнении, что ключевой причиной изменения политики Китая в отношении потоков данных стало стремление к усилению цифровой составляющей экономических проектов, в частности инициативы «Один пояс — один путь» (ОПОП), известной как «Цифровой шелковый путь», которая была запущена в 2015 г. [Liu, 2020].
Индия
Индия, несмотря на большую численность населения и быстрое увеличение показателей его доступа к телекоммуникационным сетям, а также наличие многочисленных национальных компаний телекоммуникационной отрасли, пока не приняла специальных законов, касающихся непосредственно вопросов регулирования потоков данных, в том числе их трансграничного перемещения. Однако в настоящее время продолжается процесс обсуждения комплексного регулирования в сфере данных, принятия которого можно ожидать в ближайшем будущем.
Исходя из толкования, принятого Верховным судом Индии в 2017 г., право на жизнь граждан Индии включает и право на неприкосновенность частной жизни, в том числе на защиту данных и конфиденциальность информации [Committee of Experts on Data Protection, 2018]. Вскоре после этого заявления был сформирован специальный комитет под председательством бывшего судьи Верховного суда Б.Н. Шрикришны, который представил отчет о необходимости принятия нового законодательства о защите данных вместе с проектом Закона о защите персональных данных. Законопроект был направлен на регулирование потока и использования персональных данных, деятельности различных субъектов, обрабатывающих персональные данные, защиту основных прав лиц, чьи персональные данные обрабатываются; создание рамок регулирования подотчетности, обработки данных и их трансграничной передачи; обеспечение правовой защиты в случае нарушений. Было предложено создать Управление по защите данных для реализации указанных целей. Законопроект 2018 г. с незначительными изменениями был представлен на рассмотрение и в настоящее время ожидает утверж-
дения в парламенте Индии в качестве Закона о защите персональных данных 2019 г. (Personal Data Protection Bill, законопроект PDP) [PDR Bill, 2019].
Законопроект PDP, внесенный в парламент Индии Министерством электроники и информационных технологий 11 декабря 2019 г., в значительной степени создан по образцу GDPR ЕС. Он применяется к персональным данным, которые обрабатываются на территории Индии правительством Индии, любой компанией или юридическим лицом, зарегистрированным в Индии, а также иностранными компаниями, имеющими дело с персональными данными физических лиц Индии (то есть и работающими с данными граждан Индии за пределами страны), при условии соблюдения определенных «требований увязки». «Требования увязки» предусматривают экстерриториальное применение закона в том случае, если обработка данных иностранными компаниями, независимо от их физического присутствия на территории Индии, «связана с любой коммерческой деятельностью, осуществляемой в Индии, или любой систематической деятельностью по предложению товаров или услуг принципалам данных на территории Индии; либо относится к любой деятельности, связанной с профилированием субъектов данных на территории Индии» [PDR Bill, 2019].
Законопроект предусматривает создание Управления по защите данных (DPA), на которое планируется возложить широкие нормотворческие, административные и квазисудебные функции. По своему функционалу оно аналогично Европейскому совету по защите данных.
Законопроект налагает обязательства на фидуциаров данных («лиц, которые самостоятельно или совместно с другими определяют цель и средства обработки персональных данных»), включая предоставление принципалам (субъектам) данных подробного уведомления до сбора данных и получения согласия; обработку данных только для ясной, конкретной и законной цели и справедливым и разумным образом; сохранение данных только до тех пор, пока цель сбора не будет достигнута, и принятие мер обеспечения прозрачности и подотчетности.
Законопроект устанавливает разные правила локализации для разных категорий персональных данных. Требования локализации данных регламентированы в рамках трехуровневой структуры. Ограничения на передачу (требования локализации) данных не распространяются на персональные данные в целом, однако налагаются на «конфиденциальные (чувствительные) персональные данные» и «критически важные персональные данные». Конфиденциальные (чувствительные) персональные данные могут быть переданы за пределы Индии для обработки, если лицо прямо дало на это согласие и при соблюдении определенных дополнительных условий, но они должны при этом продолжать храниться в Индии [Ibid.]. Конфиденциальные персональные данные включают «такие персональные данные, которые могут раскрывать, быть связанными или составлять: финансовые данные; данные о здоровье; официальный идентификатор; данные о сексуальной ориентации; биометрические данные; генетические данные; данные о трансгендерном статусе; информацию о принадлежности к касте или племени; религиозные и политические убеждения или принадлежность; любые другие данные», «указанные правительством Индии по согласованию с DPA и регулятором в конкретном секторе» [Ibid.]. Критически важные персональные данные в общем случае не могут передаваться за пределы Индии, то есть обрабатываются только на территории страны. Однако в ограниченной степени предполагается разрешить передачу таких данных в другие страны или организации, хотя конкретный механизм в законопроекте не указан. Критически важные персональные данные определяются как «такие персональные данные, которые могут получить соответствующий статус по решению правительства Индии» [Ibid.].
Ключевым мотивом включения требований по локализации в предлагаемый нормативный акт, по-видимому, является защита экономических интересов страны путем обеспечения того, чтобы местные цифровые данные в основном использовались для развития отечественных цифровых компаний (так называемых «чемпионов данных») и тем самым ограничивался «колониализм данных» крупных технологических компаний [Hicks, 2019; Mint, 2019]. Помимо защиты экономических интересов ограничительный подход Индии к регулированию трансграничных потоков данных основан на различных преимуществах локализации данных для обеспечения эффективного регулирующего надзора и обеспечения соблюдения внутреннего законодательства. Например, индийские нормы требуют, чтобы все провайдеры платежных систем хранили данные, относящиеся к таким системам, в Индии (даже если такие данные обрабатываются за границей), и Резервный банк Индии мог «иметь беспрепятственный доступ в целях надзора к данным, хранящимся у этих провайдеров, а также у их поставщиков, посредников, сторонних поставщиков и других субъектов платежной экосистемы» [Reserve Bank of India, 2018]. Аналогично в контексте защиты персональных данных в отчете Комитета Шрикришны отмечается, что «эффективное применение» индийского закона PDP «потребует локального хранения данных на территории Индии, и это будет означать, что такое требование, где это применимо, будет ограничивать допустимость трансграничных трансферов данных». При этом требование локализации данных, помимо юридических и регуляторных преимуществ, соответствует логике политики внутреннего экономического развития: если в Индии можно будет хранить больше данных, это приведет к улучшению внутренней цифровой инфраструктуры для новых цифровых технологий, таких как искусственный интеллект и интернет вещей [PRS Legislative Research, n.d.].
В целом авторы законопроекта PDP при его подготовке в значительной степени ориентировались на Регламент по защите персональных данных ЕС. Однако специфика подхода к развитию цифровой экономики на основе поддержки «национальных чемпионов» предопределила ряд отличий, которые позволяют характеризовать политику Индии как более протекционистскую. Ключевым отличием является планируемое введение Индией требований по локализации.
Подход, принятый в законопроекте PDP (требования локализации в зависимости от категории персональных данных), также предлагается использовать в отношении неперсональных данных. Проект Национальной политики в области электронной коммерции [Government of India, 2019] предусматривает меры по локализации данных. В отчете Комитета экспертов по неперсональным данным, учрежденного Министерством электроники и информационных технологий, рекомендовано ввести в Индии требования к локализации данных для некоторых категорий неперсональных данных по аналогии с предусмотренными в законопроекте PDP. Таким образом, конфиденциальные (чувствительные) неперсональные данные смогут передаваться за пределы страны, но должны будут храниться в Индии, а критически важные неперсональные данные смогут храниться и обрабатываться только локально [Committee of Experts on Non-Personal Data, 2020].
Ряд комментаторов полагает, что за последние годы правительство Индии перешло от минимального контроля за кибербезопасностью и безопасностью данных к чрезмерному контролю. В частности, высказывается озабоченность по поводу потенциально «чрезмерных» (в силу размытости некоторых понятий) полномочий, предоставленных правительству Индии в соответствии с законопроектом PDP. В основном критика связана с требованиями по локализации. Законопроект PDP, как и проект Национальной политики в области электронной коммерции, озаглавленный «Индий-
ские данные для развития Индии», явно определяет стремление страны к развитию цифрового сектора на основе использования данных в целях обеспечения роста национальных компаний. Руководство Индии, в отличие от развитых стран, исходит из того, что реализация такого подхода невозможна без мер по локализации данных. Соответственно, законопроект о защите персональных данных предполагает, что копии конфиденциальных (чувствительных) персональных данных будут храниться в Индии, а трансграничная передача критически важных персональных данных будет практически полностью запрещена.
Учитывая широкий охват определения конфиденциальных персональных данных, предлагаемый закон создает большее бремя соблюдения для компаний по сравнению с текущим правовым режимом (в соответствии с которым данные могут быть переданы в любую страну при условии, что передача необходима для выполнения существующего контракта, и пользователь дал согласие на такую передачу) [Ministry of Communications and Information Technology, 2011, rule 7]. Кроме того, существует мнение, что правительство Индии сможет рассматривать любые данные как относящиеся к критически важным персональным данным, поскольку этот термин четко не определен в законопроекте PDP [PDR Bill, 2019]. При этом трансграничная передача обычных персональных данных также будет возможна только в ограниченных обстоятельствах: в страны, для которых правительство прямо разрешает такие трансферы (подход адекватности); при условии одобрения внутригрупповых схем передачи данных; при наличии согласия субъекта данных; на основании особой необходимости, установленной регулирующим органом [Ibid.].
Таким образом, ряд важных вопросов, касающихся аспектов правоприменения и их влияния на регулирование потоков данных в Индии, пока остается неясным. В ближайшее время правительство Индии, скорее всего, примет версию законопроекта PDP, одобренную объединенным парламентским комитетом. После вступления закона в силу станет понятен масштаб распространения требований по локализации данных и других норм, которые четко не определены и будут применяться исходя из решений регулятора. Соответственно, появится определенность относительно перспективы сотрудничества Индии по вопросам регулирования данных с другими странами БРИКС.
Бразилия
В настоящее время главным законом Бразилии, регулирующим потоки данных, является закон о защите персональных данных (Lei Geral de Proteçâo de Dados Pessoais, LGPD). Он был принят в 2018 г., в 2020 г. вступил в силу, а с 2021 г. его нарушение влечет за собой ответственность. Закон систематизирует и унифицирует законодательную базу Бразилии, состоящую из более чем 40 различных законодательных актов в сфере регулирования данных, заменяя некоторые положения действующих законов и дополняя другие. Закон предусматривает регулирование обработки персональных данных, в том числе цифровыми средствами, физическим или юридическим лицом публичного или частного права, с целью защиты основных прав на свободу и неприкосновенность частной жизни и свободного развития личности физического лица [LGPD, 2018].
Исходя из текста закона можно определить несколько типов данных, режим регулирования которых различается.
Персональные данные — это данные, которые позволяют прямо или косвенно идентифицировать физическое лицо. Трактовка достаточно широкая, без дополнительных пояснений. Персональные данные являются объектом регулирования LGPD.
Конфиденциальные данные — обработка этого типа данных возможна только после получения явного согласия субъекта данных и для определенной цели. LGPD определяет, что без выраженного согласия обработка таких данных возможна только тогда, когда информация необходима в ситуациях, связанных с юридическим обязательством; государственной политикой; сохранением жизни и физической неприкосновенности человека; защитой процедур, выполняемых профессионалами в области здравоохранения или санитарии; предотвращения мошенничества в отношении держателя.
Чувствительные данные — раскрывают расовое или этническое происхождение, религиозные или философские убеждения, политические взгляды, членство в профсоюзах, генетику, биометрические данные и состояние здоровья или сексуальную жизнь человека. Обработка чувствительных персональных данных осуществляется только в следующих ситуациях: а) при конкретном и четком согласии субъекта данных или его/ее законного представителя, для конкретных целей; б) без согласия субъекта данных, в ситуациях, когда это необходимо для: выполнения контролером юридического или нормативного обязательства; совместной обработки данных, когда это необходимо государственной администрации для выполнения государственной политики, предусмотренной в законах или нормативных актах; исследований, проводимых научно-исследовательской организацией, по возможности обеспечивая обезличивание чувствительных персональных данных; регулярное осуществление прав, в том числе в рамках контракта и в рамках судебной, административной и арбитражной процедуры; защита жизни или физической безопасности субъекта данных или третьей стороны; для защиты здоровья, исключительно в рамках процедуры, проводимой медицинскими работниками, службами здравоохранения или санитарными органами; обеспечение предотвращения мошенничества и безопасности субъекта данных, в процессах идентификации и проверки подлинности регистрации в электронных системах. Общедоступные данные — обработка этого типа данных должна учитывать цель, добросовестность и общественный интерес, которые оправдывают их доступность [Ministry of Citizenship, n.d.].
Согласно тексту, закон применяется к любой операции по обработке данных, осуществляемой физическим или юридическим лицом публичного или частного права, независимо от средств, страны, в которой находится его штаб-квартира, или страны, в которой находятся данные, при условии, что: операция по обработке осуществляется на территории Бразилии; деятельность по обработке направлена на предложение или предоставление товаров или услуг, или на обработку данных физических лиц, находящихся на национальной территории; или обрабатываемые персональные данные были собраны на национальной территории. То есть, как и в случае с другими похожими рассмотренными нормами, закон имеет экстерриториальный характер.
Полноценные определения понятий «контролер» и «лицо, обрабатывающее данные» не представлены в тексте закона. Разъяснением статусов и выпуском соответствующих инструкций будет заниматься Национальное агентство по защите персональных данных (ANPD), учреждаемое этим законом. Отсутствие закрепленных определений и пояснений создает правовую неопределенность на первых этапах действия закона, пока только недавно учрежденный ANPD (его создание откладывалось, в том числе из-за изначального вето президента, а потом пандемии) не выпустит необходимые инструкции.
Международная передача персональных данных допускается бразильским законом только в следующих случаях:
— в страны или международные организации, которые обеспечивают уровень защиты персональных данных, адекватный положениям закона;
— когда контролер предлагает и доказывает гарантии соблюдения принципов и прав субъекта данных и режима защиты данных, предусмотренных настоящим законом, в форме: специальных договорных положений для конкретной передачи; стандартных договорных положений; обязательных корпоративных правил; регулярно выпускаемых печатей, сертификатов и кодексов поведения;
— когда передача необходима для международно-правового сотрудничества между государственными разведывательными, следственными и прокурорскими органами, в соответствии с документами международного права;
— когда передача необходима для защиты жизни или физической безопасности субъекта данных или третьей стороны;
— когда национальный орган власти разрешает передачу;
— когда передача является результатом обязательства, принятого в рамках международного сотрудничества;
— когда передача необходима для выполнения государственной политики;
— когда субъект данных дал свое конкретное и выраженное согласие на передачу, предварительно проинформировав о международном характере операции. Уровень защиты данных в иностранном государстве или международной организации оценивается национальным органом, который принимает во внимание общие и отраслевые нормы законодательства, действующие в принимающей стране или международной организации; характер данных; соблюдение общих принципов защиты персональных данных и прав субъектов данных, предусмотренных настоящим законом; принятие мер безопасности, предусмотренных нормативными актами; наличие судебных и институциональных гарантий соблюдения прав, касающихся защиты персональных данных; и другие конкретные обстоятельства, связанные с передачей.
Шесть из восьми механизмов для одобрения трансграничной передачи данных требуют решений со стороны ANPD. Надзорный орган находится на этапе формирования и становления. Пять директоров ANPD были назначены президентом Ж. Болсо-нару и вступили в должность 6 ноября 2020 г. ANPD также наняло 19 из 31 сотрудника, полагающихся ему по президентскому указу 10.474/2020. Остается неясным, сколько времени потребуется на оценку, создание и утверждение механизмов передачи данных, как это предусмотрено в законе. На данный момент компании могут пользоваться только двумя механизмами передачи данных: конкретным и четким согласием или необходимостью исполнения контракта.
В будущем от модели, которую выберет ANPD, будет зависеть большая часть режима трансграничного трансфера данных. В мире существует уже несколько моделей, которые можно изучить и выбрать оптимальную для Бразилии или же разработать собственную. ANPD может принять модель «ЕС плюс» для определения адекватности уровня защиты на определенных территориях, как это сделали Израиль и Колумбия, или выбрать модель Великобритании, делегировав полномочия по принятию таких решений тем, кто контролирует данные. ANPD может признать существующие в ЕС стандартные контрактные обязательства (SCCs) и обязательные корпоративные правила (BCRs) или просто потребовать договорных мер защиты для обеспечения сопоставимого уровня защиты, как это сделала Канада. ANPD также может стать инициатором введения в действие сертификатов или кодексов поведения — путем участия в Системе CBPR АТЭС (Правил трансграничной конфиденциальности) [APEC, n.d.] или работы с местными ассоциациями для признания кодексов поведения и расширения сферы их действия путем назначения сторонних сертификаторов [IAPP, 2020]. Установление правил трансграничного трансфера данных входит в приоритеты деятельности ANPD на ближайшие два года, первые решения ожидаются к концу этого года или в следу-
ющем году [NDPA, 2022]. На данный момент можно отметить только, что в процессе функционирования из международных партнеров ANPD сотрудничала с ЕС и Великобританией. В апреле 2021 г. агентство приняло участие в Диалоге Великобритании и Бразилии по цифровым и кибертехнологиям—2021 для обмена опытом и обсуждения международных потоков данных. Кроме того, члены ANPD приняли участие в Академии защиты данных, организованной Маастрихтским университетом в рамках сотрудничества, которое ANPD строит с Европейской комиссией [Neeser, 2021].
Бразильский закон о защите персональных данных в значительной степени был составлен по примеру GDPR ЕС. Принципиально оба правовых акта максимально похожи: фактически совпадают принципы, подразумевается экстерриториальность, субъектам гарантируются схожие права. Даже положения о трансграничной передаче данных в целом в Бразильском законе вдохновлены GDPR. Отличия законов незначительны. Важным фактором этого является процесс присоединения Бразилии к ОЭСР и стремление имплементировать в законодательство одобренные организацией правовые рамки. ЕС и ОЭСР находятся в тесном сотрудничестве, многие принципы и рекомендации ОЭСР находят отражение в правовой базе Евросоюза.
В нынешнем виде закон о защите персональных данных не предъявляет требований по локализации, и экспертами оценивается как ограничительный, но не запретительный. Например, ЮНКТАД в своем докладе поместил Бразилию в категорию стран с обусловленным трансфером данных, причем условия оценил как достаточно строгие, а сам подход как предписывающий [UNCTAD, 2021]. Однако различные политические силы, в основном левого крыла политико-идеологического спектра, пытаются либо внести поправки в сам LGPD для ужесточения его условий, либо представить новые более ограничительные законы.
В целом политическая система Бразилии конкурентна, разнообразна и относительно сбалансирована. Левые партии и их представители выступают за большие ограничения в регулировании потоков данных, поддерживают локализацию и «приземление» компаний. Особенно их беспокоит фактически доминирующее положение некоторых платформ и компаний, что создает условия для эксплуатации таких возможностей и нарушения конкуренции и прав граждан. Правые и центристские партии выступают против локализации, однако поддерживают необходимость определенных правил. Они заинтересованы в грамотной имплементации главного закона о защите персональных данных и прогрессивного развития Национального агентства, что позволит формировать гармоничную правовую базу для регулирования данных. От будущих президентских и парламентских выборов в значительной степени зависит, в какую сторону будет развиваться регулирование данных. При условии относительного равенства сторонников двух опций может наблюдаться застой, так как ни одна из сторон не сможет набрать необходимого большинства для обеспечения принятия своих инициатив. У президента больше возможностей для принятия указов, поэтому выборы осенью 2022 г. во многом могут определить направление развития регулирования данных в Бразилии. Приход к власти Лулы да Силвы, скорее всего, будет означать усиление идентичности Бразилии как развивающейся страны, представителя интересов стран глобального юга, активного участника сотрудничества Юг — Юг, усиление участия в БРИКС. Можно ожидать усиления ограничений на трансграничные потоки данных, принятия требований по приземлению и локализации, так как это соответствует продвигаемым левыми партиями взглядам. Важной частью политики станет регулирование деятельности цифровых платформ, особенно с доминирующим положением на рынке цифровых услуг, причем независимо от результатов выборов. Победа Ж. Болсонару, скорее всего, будет означать сохранение текущего подхода, со-
четающего отсутствие требований локализации с оговорками о необходимости ограничивать потоки данных в определенных случаях.
Однако в целом, с точки зрения перспективы сотрудничества по вопросам регулирования данных в БРИКС, позиция Бразилии позволяет рассчитывать на успешное взаимодействие. Видимых противоречий нет, страна признает право каждой юрисдикции устанавливать свои требования и правила и отмечает, что ситуации ограничения потоков данных неизбежно могут возникать. В списке требований к юрисдикциям для признания их режима защиты данных адекватным нет политических или ценностных компонентов. Эта сфера в Бразилии не секьюритизирована до такой степени, как в Китае или даже России, политика развивается скорее по инерции, но отдельные политические силы выступают за более жесткие требования, в том числе локализации. В случае победы на выборах Лулы да Силвы перспективы углубления сотрудничества укрепятся, так как он всегда был сторонником развития БРИКС.
ЮАР
Правовая основа политики регулирования оборота данных в ЮАР в данный момент проходит стадию интенсивного формирования. Потребность в адаптации национального законодательства обусловлена ростом количества пользователей Интернета в стране начиная с 2000 г., который значительно ускорился вследствие введенных во время пандемии коронавируса ограничений, и повышением востребованности средств электронной коммуникации и инструментов цифровой торговли.
Ключевым в правовой системе ЮАР является Закон о защите персональной информации (РОР1А). Подписание РОР1А состоялось в 2013 г. Учитывая фундаментальный характер предлагаемых изменений в деятельности государственных органов и частных компаний, вступление закона в силу заняло восемь лет. Положения закона вступали в силу стадиально, а часть из них была пересмотрена после принятия в 2020 г. Закона о кибербезопасности. Кроме того, положения, касающиеся предоставления отчетности частными компаниями, предусматривали переходный период длительностью один год, вследствие чего на практике РОР1А начал применяться только с июля 2021 г.
Исходя из базовых принципов политики данных ЮАР, в перечень основных обязанностей операторов данных входят выполнение требований, касающихся обеспечения законности и открытости процесса работы с данными, а также их сохранности. РОР1А требует от всех организаций, занимающихся обработкой персональных данных, назначить лицо, которое будет отвечать за соблюдение регламента работы с персональными данными и передать данную информацию национальному регулятору; по умолчанию эта задача возлагается на исполнительного директора компании. Согласно РОР1А, операторы данных также обязуются предоставлять на рассмотрение национальному регулятору внутренний распорядок и регламент обеспечения безопасности обрабатываемых данных. В случае нарушения целостности и сохранности данных оператор обязан передать информацию об инциденте компетентным органам в течение 72 часов.
РОР1А распространяется на операторов данных, которые являются официально зарегистрированными юридическими лицами на территории ЮАР. Экстерриториальность РОР1А проявляется в случае, если оператор данных не зарегистрирован на территории ЮАР, но использует средства автоматической и/или неавтоматической обработки данных для работы с данными, собранными на территории ЮАР; исключение сделано для операторов, которые только передают данные через территорию ЮАР и чья деятельность не связана со сбором и обработкой данных на территории страны.
В отличие от рассмотренных выше законов других стран БРИКС, POPIA не распространяется на деятельность компаний, которые относятся к иностранной юрисдикции, но предлагают товары или услуги потребителям на территории ЮАР.
Согласно тексту документа, передача личной информации субъекта данных третьей стороне за пределы ЮАР запрещается, кроме определенных, перечисленных ниже случаев.
— Принимающая данные сторона за пределами ЮАР обязуется соблюдать корпоративные правила или соглашения, предусматривающие достаточно высокий уровень защиты данных, отвечающие следующим требованиям: эффективно поддерживают принципы рациональной обработки информации, которые в значительной степени аналогичны условиям законной обработки личной информации, относящейся к субъекту данных, который является физическим лицом и, где применимо, юридическим лицом2; в значительной степени соответствуют содержанию закона в отношении дальнейшей передачи личной информации от получателя третьей стороне, находящейся за рубежом3.
— Субъект данных выразил согласие на передачу информации.
— Передача информации необходима для выполнения контрактных обязательств между субъектом данных и ответственной стороной или для реализации преддоговорных мер, принятых в ответ на запрос субъекта данных.
— Передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между ответственной стороной и третьей стороной.
— Передача данных выполняется в интересах субъекта данных.
— Получение согласия субъекта данных на передачу информации не представляется практически целесообразным.
— Не существует очевидных оснований для предположения о том, что субъект данных мог бы отказаться от передачи данных.
Таким образом, закон ЮАР не устанавливает требований относительно локализации цифровых данных, однако трансфер имеет обусловленный характер. Вероятно, требование локализации может быть усилено в процессе реализации предложенного в 2021 г. проекта Национальной стратегии в области данных и облачных вычислений [Republic of South Africa, 2021].
В течение нескольких последних лет ЮАР существенно продвинулась в развитии национального регулирования данных. Стимулом к развитию национального законодательства послужили соображения реализации преимуществ, создаваемых развитием цифровых технологий, в частности технологий обработки данных. Вторым не менее важным аспектом является обеспечение кибербезопасности. Принятие Закона о ки-бербезопасности и вступление в силу всех положений POPIA позволили решить ряд важных в контексте регулирования данных вопросов: были конкретизированы условия передачи пользовательских данных операторам, расположенным за пределами границ ЮАР; определены полномочия национального регулятора в отношении мониторинга действий местных операторов данных; определен состав преступлений, связанных с нарушением конфиденциальности пользовательских данных и т.д. Тем не менее по ряду вопросов сохраняется потребность в принятии решений на государственном уровне.
2 Следует отметить, что иных комментариев относительно смыслового наполнения «принципов рациональной обработки данных» в тексте POPIA не содержится. В отдельных экспертных комментариях встречается указание на то, что речь идет о восьми основных принципах обработки данных. См., например: https://www.popiact-compliance.co.za/popia-information/17-conditions-for-lawful-processing-of-personal-information
3 Сам текст закона не конкретизирует, что понимается под данными положениями.
Во-первых, не доработан вопрос о формализации требований к локализации данных, хотя подобное требование органично сочетается с требованиями Закона о защите персональных данных. Вероятно, отсутствие подобного требования обусловлено недостатком ресурсов, необходимых для обеспечения исполнения данного решения на местном уровне, которое может одновременно снизить привлекательность рынка ЮАР для иностранных компаний, работающих с данными, и создать дополнительные сложности для национальных компаний-операторов. Положение о необходимости локализации пользовательской информации включено в число приоритетных направлений работы в рамках проекта Национальной стратегии в области данных и облачных вычислений; вероятно, в ближайшее время соответствующие предложения будут представлены в виде законопроектов.
Во-вторых, по аналогии с описанным выше фактором, в случае с ЮАР настороженное отношение к международным соглашениям в области данных может быть обусловлено недостатком располагаемых компетенций и подготовленной рабочей силы, а также ресурсов для ее формирования, для выполнения обязательств, связанных с обеспечением сохранности пользовательских данных на международном уровне, как того требует, например, Конвенция Африканского союза по вопросам кибербезопасности и защиты персональных данных; рассмотренный выше кейс переговоров по вопросам электронной торговли в рамках ВТО говорит в пользу данного утверждения — позиция Индии и ЮАР апеллирует к ожидаемым негативным последствиям отмены протекционистских ограничений в электронной торговле для цифровых отраслей развивающихся стран, которые будут вынуждены конкурировать с более конкурентоспособными иностранными ИТ-гигантами, обладающими как технологической базой, так и соответствующими компетенциями; сохранение ограничений, соответственно, должно позволить развивающимся странам ликвидировать отставание, не подвергая риску формирующиеся отрасли.
В-третьих, наряду с проблемой нехватки ресурсов имеются отдельные недостатки институциональной среды. Полномочия по контролю за исполнением связанных законов распределены между различными органами — так, соблюдение отдельных положений РОР1А контролируется национальным Регулятором, иные — полицией, которая также выполняет функции оператора специального координационного центра, занимающегося мониторингом киберинцидентов и, в отдельных случаях, выполняет функции платформы для взаимодействия с органами власти иностранных государств по вопросам противодействия киберпреступности. В то же время сохраняется правовая лакуна, позволяющая иностранным акторам в исключительных случаях, которые не конкретизируются в тексте закона, а также в отношении которых еще недостаточно накопленного практического опыта, обходить координационный центр полицейского управления ЮАР и напрямую взаимодействовать с ответственными представителями судебной власти страны, что, по мнению специалистов, может рассматриваться как нарушение суверенитета государства.
Наконец, в-четвертых, к настоящему моменту накоплено недостаточно данных относительно эффективности принятых мер регулирования на практике. Закон о ки-бербезопасности вступил в силу в декабре 2021 г. — уже упомянутый полицейский координационный центр по киберинцидентам еще только готовится к запуску в течение 2022 г. РОР1А полноценно вступил в силу в 2021 г., следовательно, к настоящему моменту реальный опыт исполнения национальными операторами данных требований об обеспечении выполнения планов по защите пользовательских данных, согласуемых государственным регулятором, составляет менее одного года. Реальное воздействие представленных мер еще предстоит оценить в ближайшие годы.
Заключение. Возможности сотрудничества в рамках БРИКС
Анализ показывает, что рассмотренные страны БРИКС отличаются с точки зрения ре-гуляторных подходов к данным, прежде всего в отношении ограничений на их трансграничные потоки. Если Китай и Индия используют или планируют применять ограничительный или сдерживающий подход, подразумевающий требования локализации данных, то Бразилия и ЮАР придерживаются предписывающего подхода, основной чертой которого является обусловленность трансграничного трансфера данных определенными требованиями.
Китай реализует экспансионистскую стратегию, отражающую логику внутренних моделей регулирования страны. Модель контроля данных государством (также характеризуемая как модель обеспечения киберсуверенитета) направлена на поддержку выхода национальных цифровых и телекоммуникационных компаний на рынки развивающихся стран, в том числе в рамках проекта «Пояс и путь» [Erie, Streinz, 2021]. Подходы других рассмотренных стран в большей степени ориентированы на развитие за счет внутренних ресурсов. Индия развивает протекционистский подход к обороту данных в целях поддержки национальных компаний, в Бразилии продолжается политическая борьба между сторонниками свободных потоков данных и локализации, при этом и те и другие мотивируют свои взгляды защитой интересов страны, ЮАР заявляет о схожих с Индией задачах поддержки «национальных чемпионов» за счет регулирования данных в проекте Национальной стратегии в области данных и облачных вычислений [Industrial Development Think Tank, 2019].
Таким образом, несмотря на некоторые различия, существуют возможности для сближения подходов партнеров по БРИКС на основе общей идеи поддержки национального цифрового сектора. Дополнительную значимость сотрудничество в рамках БРИКС приобретает в связи с тем, что цифровые платформы США и других стран Запада стремятся к выстраиванию цифровых рынков в своих интересах, а правительства этих стран — к поддержке своих компаний и формированию соответствующего регулирования трансграничных потоков данных.
Основа жизнеспособного и инклюзивного многостороннего регулирования — договоренность по сближению регулирования данных при сохранении суверенитета над управлением данными, который в той или иной степени заявляется как цель всеми рассмотренными странами. Консенсус по защите данных в таком случае может касаться в первую очередь не регуляторной практики, а уровня защиты, не ограничивать режим защиты требованиями обусловленности или локализации, определяя лишь основные принципы сотрудничества и взаимодействия уполномоченных органов стран-участниц [Heseleva, Ramos, Ichilevici de Oliveira, 2020].
Следовательно, в рамках БРИКС сотрудничество могло бы в первую очередь затрагивать вопросы взаимного признания норм регулирования как соответствующих определенному универсальному для «пятерки» уровню защиты для обеспечения надлежащего трансграничного трансфера данных, с возможным дальнейшим расширением взаимодействия на другие аспекты управления данными.
Список источников
Asia-Pacific Economic Cooperation (APEC) (n.d.) What Is the Cross-Border Privacy Rules System. Режим дос-тупа:https://www.apec.org/about-us/about-apec/fact-sheets/what-is-the-cross-border-privacy-rules-system (дата обращения: 07.09.2022).
Budnitsky S., Jia L. (2018) Branding Internet Sovereignty: Digital Media and the Chinese-Russian Cyber-alliance // European Journal of Cultural Studies, vol. 21, iss. 5, pp. 594-613. Режим доступа: https://doi. org/10.1177%2F1367549417751151.
Cadwalader (2011) New Laws in China Regarding "State Secrets" and Related Issues: Uncertainties, Obstacles, and the Need to Strengthen Internal Compliance Procedures. Clients & Friends Memo. Режим доступа: http://www.cadwalader.com/uploads/cfmemos/unpublished_9fad844172d0f2825abf771d457de53f.pdf (accessed 7 September 2022).
Committee of Experts on a Data Protection Framework for India Under the Chairmanship of Justice B.N. Srikrishna (Committee of Experts on Data Protection) (2018) A Free and Fair Digital Economy: Protecting Privacy, Empowering Indians. Report of the Committee and Draft Bill. Режим доступа: https://prsindia. org/files/bills_acts/bills_parliament/2019/Committee%20Report%20on%20Draft%20Personal%20Data%20 Protection%20Bill,%202018_0.pdf (дата обращения: 07.09.2022).
Committee of Experts on Non-Personal Data Governance Framework (Committee of Experts on NonPersonal Data) (2020) Report. 111972/2020/CL&ES. Режим доступа: https://ourgovdotin.files.wordpress. com/2020/07/kris-gopalakrishnan-committee-report-on-non-personal-data-governance-framework.pdf (дата обращения: 07.09.2022).
Creemers R. (2020) China's Approach to Cyber Sovereignty. KAS Innovation No. 4, Konrad-AdenauerStiftung. Режим доступа: https://www.kas.de/documents/252038/7995358/China%E2%80%99s+Approac h+to+Cyber+Sovereignty.pdf/2c6916a6-164c-fb0c-4e29-f933f472ac3f?version=1.0&t=1606143361537 (дата обращения: 07.09.2022).
Creemers R., Triolo P., Webster G. (2018) Translation: Cybersecurity Law of the People's Republic of China (Effective June 1, 2017) // New America Blog Post, 29 June. Режим доступа: https://www.newamerica.org/ cybersecurity-initiative/digichina/blog/translation-cybersecurity-law-peoples-republic-china/ (дата обращения: 07.09.2022).
Data Security Law of the People's Republic of China (Data Security Law) (2021) Order of the President of the People's Republic of China No 84, Adopted at the 29th Meeting of the Standing Committee of the Thirteenth National People's Congress, 10 June. Режим доступа: http://www.npc.gov.cn/englishnpc/c23934/202112/1a bd8829788946ecab270e469b13c39c.shtml (дата обращения: 07.09.2022).
Erie M.S., Streinz T. (2021) The Beijing Effect: China's "Digital Silk Road" as Transnational Data Governance // New York University Journal of International Law and Politics. Vol. 54. No. 1. P. 1-92. Режим доступа: https://www.nyujilp.org/wp-content/uploads/2022/02/NYUJILP_Vol54.1_Erie_Streinz_1-91.pdf (дата обращения: 07.09.2022).
General Personal Data Protection Act (LGPD) (2018) Lei No 13.709, 14 agosto [Law No 13.709, 14 August]. Presidencia da República, Secretaria-Geral, Subchefia para Assuntos Juridícos. Режим доступа: http://www. planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm (accessed 7 September 2022) (дата обращения: 07.09.2022). (in Portuguese).
Government of India (2019) Draft National E-Commerce Policy: India's Data for India's Development. Ministry of Commerce & Industry. Режим доступа: https://dipp.gov.in/sites/default/files/DraftNational_e-com-merce_Policy_23February2019.pdf (дата обращения: 07.09.2022).
Heseleva K., Ramos V.J., Ichilevici de Oliveira A. (2020) Towards a Multilateral Consensus on Data Governance // G20 Insights, 29 May. Режим доступа: https://www.g20-insights.org/policy_briefs/towards-a-multi-lateral-consensus-on-data-governance/ (дата обращения: 07.09.2022).
Hicks J. (2019) "Digital Colonialism:" Why Countries Like India Want to Take Control of Data From Big Tech // The Print, 29 September. Режим доступа: https://theprint.in/tech/digital-colonialism-why-countries-like-india-want-to-take-control-of-data-from-big-tech/298217/ (дата обращения: 07.09.2022).
Hu C., Gong J., Yang J. (2022) China. Digital Health Laws and Regulations. International Comparative Legal Guides, Global Legal Group. Режим доступа: https://iclg.com/practice-areas/digital-health-laws-and-regu-lations/china (дата обращения: 07.09.2022).
Industrial Development Think Tank (2019) Towards a Digital Industrial Policy for South Africa: A Review of the Issues. University of Johannesburg. Режим доступа: http://www.thedtic.gov.za/wp-content/uploads/ DPIP.pdf (дата обращения: 07.09.2022).
Interim Administrative Measures for the Business of Online Taxi Booking Services (Interim Administrative Measures) (2016) Order No 60 of the Ministry of Transport, the Ministry of Industry and Information Technology, the Ministry of Public Security, the Ministry of Commerce, the State Administration for Industry and Commerce, the General Administration of Quality Supervision, Inspection and Quarantine, and the Cyberspace Administration of China. Режим доступа: https://uk.practicallaw.thomsonreuters.com/w-003-22607tr ansitionType=Default&contextData=(sc.Default)&firstPage=true (дата обращения: 07.09.2022).
International Association of Privacy Professionals (IAPP) (2020) Top-5 Operational Impacts of Brazil's LGPD: Part 3: International Transfers. 5 November. Режим доступа: https://iapp.org/news/aAop-5-opera-tional-impacts-of-brazils-lgpd-part-3-international-transfers/ (дата обращения: 07.09.2022).
Lee J. A. (2018) Hacking Into China's Cybersecurity Law// Wake Forest Law Review. Vol. 53. No. 1. The Chinese University of Hong Kong Faculty of Law Research Paper No 2018-08. Режим доступа: https://ssrn. com/abstract=3174626 (дата обращения: 07.09.2022).
Liu J. (2019) China's Data Localization // Chinese Journal of Communication. Vol. 13. Iss. 1. P. 84-103. Режим доступа: https://doi.org/10.1080/17544750.2019.1649289 (дата обращения: 07.09.2022).
Lu X. (2020) Is China Changing Its Thinking on Data Localization? // The Diplomat, 4 June. Режим доступа: https://thediplomat.com/2020/06/is-china-changing-its-thinking-on-data-localization/ (дата обращения: 07.09.2022).
Ministry of Citizenship (n.d.) Classificagäo dos Dados [Data Classification]. Режим доступа: https://www. gov.br/cidadania/pt-br/acesso-a-informacao/lgpd/classificacao-dos-dados (дата обращения: 07.09.2022). (in Portuguese)
Ministry of Communications and Information Technology (2011) Notification. New Delhi, 11 April // The Gazette of India: Extraordinary. Part II-sec 3(i). Режим доступа: https://meity.gov.in/writereaddata/files/ GSR313E_10511%281%29_0.pdf (дата обращения: 07.09.2022).
Mint (2019) India's Data Must Be Controlled by Indians: Mukesh Abani. 20 January. Режим доступа: https:// www.livemint.com/Companies/QMZDxbCufK3O2dJE4xccyI/Indias-data-must-be-controlled-by-Indians-not-by-global-co.html#:~:text=Gandhinagar%3A%20Richest%20Indian%20Mukesh%20Ambani,and%20 control%20their%20own%20data (дата обращения: 07.09.2022).
National Data Protection Authority (NDPA) (2022) Planejamento Estratégico ANPD 2021-2023 [ANPD Strategic Planning 2021-2023]. Режим доступа: h https://www.gov.br/anpd/pt-br/documentos-e-publi-cacoes/planejamento-estrategico-anpd-2021-2023 (дата обращения: 07.09.2022).
Neeser R. (2021) Is the Brazilian Data Protection Law (LGPD) Really Taking Off? JD Supra, 8 June. Режим доступа: https://www.jdsupra.com/legalnews/is-the-brazilian-data-protection-law-1094165/ (дата обращения: 07.09.2022).
Norton Rose Fulbright (NRF) (2020) PBOC Issues New Specification on Personal Financial Information. Режим доступа: https://www.nortonrosefulbright.com/en/knowledge/publications/fcdc5f10/pboc-issues-new-specification-on-personal-financial-information (дата обращения: 07.09.2022).
Order of the State Council No 631 (Order No 631) (2013) The Regulation on the Credit Reporting Industry, as Adopted at the 228th Session of the Executive Meeting of the State Council on December 26, 2012, Is Hereby Issued and Shall Come nto Force on March 15, 2013 (translated from Chinese). Режим доступа: http:// www.pbccrc.org.cn/crc/jgyhfw/201309/1ca0f775b50744cabaf83538288d77a9/files/e8a8bf080ed64f48914a-652da1d8fdc3.pdf (дата обращения: 07.09.2022).
Personal Information Protection Law of the People's Republic of China (Personal Information Protection Law) (2021) Adopted at the 30th Meeting of the Standing Committee of the Thirteenth National People's Congress, 20 August. Режим доступа: http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb-753fe.shtml (дата обращения: 07.09.2022). (in Chinese)
POPI Act Compliance (2020) Commencement dates for POPIA. Режим доступа: https://www.popiact-com-pliance.co.za/popia-information/17-conditions-for-lawful-processing-of-personal-information (дата обращения: 07.09.2022).
PRS Legislative Research (n.d.) Report Summary on A Free and Fair Digital Economy. Режим доступа: https://prsindia.org/policy/report-summaries/free-and-fair-digital-economy#:~:text=Srikrishna)%20sub-mitted%20its%20report%20and,draft%20a%20data%20protection%20Bill (дата обращения: 07.09.2022).
Republic of South Africa (2021) Draft National Policy on Data and Cloud. Department of Communications and Digital Technologies. Staatskoerant, 1 April. Режим доступа: https://www.gov.za/sites/default/files/ gcis_document/202104/44389gon206.pdf (дата обращения: 07.09.2022).
Reserve Bank of India (2018). RBI Guidelines on Storage of Payment System Data. Режим доступа: https:// www.nbti.in/rbi-guidelines-on-storage-of-payment-system-data (дата обращения: 07.09.2022).
Si J., Cai R. (2021) Regulation on Digital Maps in China. Zhong Lun, 29 September. Режим доступа: http:// www.zhonglun.com/Content/2021/09-29/0938259959.html#:~:text=According%20to%20the%20Map%20 Administration,number%EF%BC%88%E5%AE%A1%E5%9B%BE%E5%8F%B7%EF%BC%89 (дата обращения: 07.09.2022).
The Personal Data Protection Bill (PDR Bill) (2019) Bill No 373 of 2019. Режим доступа: https://prsin-dia.org/files/bills_acts/bills_parliament/2019/Personal%20Data%20Protection%20Bill, %202019.pdf (дата обращения: 07.09.2022).
United Nations Conference on Trade and Development (UNCTAD) (2021) Cross-Border Data Flows and Development: For Whom the Data Flow. Digital Economy Report 2021. Режим доступа: https://unctad.org/ system/files/official-document/der2021_en.pdf (дата обращения: 07.09.2022).
Yang J. (2020) Bike Sharing in China: From Bicycle Graveyards to a Regulated Industry // Georgetown Environmental Law Review, 29 April. Режим доступа: https://www.law.georgetown.edu/environmental-law-review/blog/bike-sharing-in-china-from-bicycle-graveyards-to-a-regulated-industry/ (дата обращения: 07.09.2022).
International Organisations Research Journal, 2022, vol. 17, no 3, pp. 212-234 Analytical Review
doi:10.17323/1996-7845-2022-03-09
Approaches of BRICS Countries to Data Regulation1
A. Shelepov
Andrey Shelepov — Candidate of Economic Sciences, Senior Researcher, Centre for International Institutions Research, Russian Presidential Academy of National Economy and Public Administration; 11 Prechistenskaya naberezhnaya, 119034, Moscow, Russia; shelepov-av@ranepa.ru
Abstract
Data are not a new economic resource, but their level is now growing at an unprecedented rate as a result of digital devices and services proliferation. Analysis of emerging national data regulatory systems shows significant differences in country approaches, especially in relation to cross-border data flows, depending on economic specifics and national interests. Differences in approaches between major actors pose challenges for other countries, increase the fragmentation of the global regulatory environment, create uncertainty, and multiply compliance costs for businesses. These factors determine the importance of international cooperation on data governance.
The author reviews the approaches of four BRICS countries — China, India, Brazil and South Africa — to data governance, primarily regulations of cross-border flows, as well as data localization requirements.
Based on the results of the review, general trends of the reviewed countries' approaches to data governance have been identified, leading to the conclusion that BRICS cooperation can be strengthened, primarily in the area of mutual recognition of the existing and discussed data protection measures adequacy to ensure mutually beneficial cross-border data movement.
Keywords: digital economy, data governance, cross-border data flows, BRICS
Acknowledgments: the article was written on the basis of the RANEPA state assignment research programme.
For citation: Shelepov A. (2022) Approaches of BRICS Countries to Data Regulation. International Organisations Research Journal, vol. 17, no 3, pp. 212-234 (in English). doi:10.17323/1996-7845-2022-03-09
References
Asia-Pacific Economic Cooperation (APEC) (n.d.) What Is the Cross-Border Privacy Rules System. Available at: https://www.apec.org/about-us/about-apec/fact-sheets/what-is-the-cross-border-privacy-rules-system (accessed 7 September 2022).
Budnitsky S., Jia L. (2018) Branding Internet Sovereignty: Digital Media and the Chinese-Russian Cy-beralliance. European Journal of Cultural Studies, vol. 21, iss. 5, pp. 594-613. Available at: https://doi. org/10.1177%2F1367549417751151.
Cadwalader (2011) New Laws in China Regarding "State Secrets" and Related Issues: Uncertainties, Obstacles, and the Need to Strengthen Internal Compliance Procedures. Clients & Friends Memo. Available at: http://www.cadwalader.com/uploads/cfmemos/unpublished_9fad844172d0f2825abf771d457de53f.pdf (accessed 7 September 2022).
Committee of Experts on a Data Protection Framework for India Under the Chairmanship of Justice B.N. Srikrishna (Committee of Experts on Data Protection) (2018) A Free and Fair Digital Economy: Protecting Privacy, Empowering Indians. Report of the Committee and Draft Bill. Available at: https://prsindia.org/files/ bills_acts/bills_parliament/2019/Committee%20Report%20on%20Draft%20Personal%20Data%20Protec-tion%20Bill,%202018_0.pdf (accessed 7 September 2022).
1 This article was submitted 09.08.2022.
Committee of Experts on Non-Personal Data Governance Framework (Committee of Experts on Non-Personal Data) (2020) Report. 111972/2020/CL&ES. Available at: https://ourgovdotin.files.wordpress.com/2020/07/ kris-gopalakrishnan-committee-report-on-non-personal-data-governance-framework.pdf (accessed 7 September 2022).
Creemers R. (2020) China's Approach to Cyber Sovereignty. KAS Innovation No 4, Konrad-Adenauer-Stiftung. Available at: https://www.kas.de/documents/252038/7995358/China%E2%80%99s+Approach+to+ Cyber+Sovereignty.pdf/2c6916a6-164c-fb0c-4e29-f933f472ac3f?version=1.0&t=1606143361537 (accessed 7 September 2022).
Creemers R., Triolo P., Webster G. (2018) Translation: Cybersecurity Law of the People's Republic of China (Effective June 1, 2017). New America Blog Post, 29 June. Available at: https://www.newamerica.org/cyberse-curity-initiative/digichina/blog/translation-cybersecurity-law-peoples-republic-china/ (accessed 7 September 2022).
Data Security Law of the People's Republic of China (Data Security Law) (2021) Order of the President of the People's Republic of China No 84, Adopted at the 29th Meeting of the Standing Committee of the Thirteenth National People's Congress, 10 June. Available at: http://www.npc.gov.cn/englishnpc/c23934/202112/1abd88 29788946ecab270e469b13c39c.shtml (accessed 7 September 2022).
Erie M.S., Streinz T. (2021) The Beijing Effect: China's "Digital Silk Road" as Transnational Data Governance. New York University Journal of International Law and Politics, vol. 54, no 1, pp. 1—92. Available at: https:// www.nyujilp.org/wp-content/uploads/2022/02/NYUJILP_Vol54.1_Erie_Streinz_1-91.pdf (accessed 7 September 2022).
General Personal Data Protection Act (LGPD) (2018) Lei No 13.709, 14 agosto [Law No 13.709, 14 August]. Presidencia da República, Secretaria-Geral, Subchefia para Assuntos Juridícos. Available at: http://www.plan-alto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm (accessed 7 September 2022). (in Portuguese)
Government of India (2019) Draft National E-Commerce Policy: India's Data for India's Development. Ministry of Commerce & Industry. Available at: https://dipp.gov.in/sites/default/files/DraftNational_e-com-merce_Policy_23February2019.pdf (accessed 7 September 2022).
Heseleva K., Ramos V. J., Ichilevici de Oliveira A. (2020) Towards a Multilateral Consensus on Data Governance. G20 Insights, 29 May. Available at: https://www.g20-insights.org/policy_briefs/towards-a-multilateral-consensus-on-data-governance/ (accessed 7 September 2022).
Hicks J. (2019) "Digital Colonialism:" Why Countries Like India Want to Take Control of Data From Big Tech. The Print, 29 September. Available at: https://theprint.in/tech/digital-colonialism-why-countries-like-india-want-to-take-control-of-data-from-big-tech/298217/ (accessed 7 September 2022).
Hu C., Gong J., Yang J. (2022) China. Digital Health Laws and Regulations. International Comparative Legal Guides, Global Legal Group. Available at: https://iclg.com/practice-areas/digital-health-laws-and-regula-tions/china (accessed 7 September 2022).
Industrial Development Think Tank (2019) Towards a Digital Industrial Policy for South Africa: A Review of the Issues. University of Johannesburg. Available at: http://www.thedtic.gov.za/wp-content/uploads/DPIP. pdf (accessed 7 September 2022).
Interim Administrative Measures for the Business of Online Taxi Booking Services (Interim Administrative Measures) (2016) Order No 60 of the Ministry of Transport, the Ministry of Industry and Information Technology, the Ministry of Public Security, the Ministry of Commerce, the State Administration for Industry and Commerce, the General Administration of Quality Supervision, Inspection and Quarantine, and the Cyberspace Administration of China. Available at: https://uk.practicallaw.thomsonreuters.com/w-003-2260?transiti onType=Default&contextData=(sc.Default)&firstPage=true (accessed 7 September 2022).
International Association of Privacy Professionals (IAPP) (2020) Top-5 Operational Impacts of Brazil's LGPD: Part 3: International Transfers. 5 November. Available at: https://iapp.org/news/a/top-5-operational-impacts-of-brazils-lgpd-part-3-international-transfers/ (accessed 7 September 2022).
Lee J.A. (2018) Hacking Into China's Cybersecurity Law. Wake Forest Law Review, vol. 53, no 1. The Chinese University of Hong Kong Faculty of Law Research Paper No 2018-08. Available at: https://ssrn.com/ abstract=3174626 (accessed 7 September 2022).
Liu J. (2019) China's Data Localization. Chinese Journal of Communication, vol 13, iss. 1, pp. 84—103. Available at: https://doi.org/10.1080/17544750.2019.1649289.
Lu X. (2020) Is China Changing Its Thinking on Data Localization? The Diplomat, 4 June. Available at: htt-ps://thediplomat.com/2020/06/is-china-changing-its-thinking-on-data-localization/ (accessed 7 September 2022).
Ministry of Citizenship (n.d.) Classificaçao dos Dados [Data Classification]. Available at: https://www.gov.br/ cidadania/pt-br/acesso-a-informacao/lgpd/classificacao-dos-dados (accessed 7 September 2022). (in Portuguese)
Ministry of Communications and Information Technology (2011) Notification. New Delhi, 11 April. The Gazette of India: Extraordinary, part II-sec 3(i). Available at: https://meity.gov.in/writereaddata/files/ GSR313E_10511%281%29_0.pdf (accessed 7 September 2022).
Mint (2019) India's Data Must Be Controlled by Indians: Mukesh Abani. 20 January. Available at: https:// www.livemint.com/Companies/QMZDxbCufK3O2dJE4xccyI/Indias-data-must-be-controlled-by-Indians-not-by-global-co.html#:~:text=Gandhinagar%3A%20Richest%20Indian%20Mukesh%20Ambani,and%20 control%20their%20own%20data (accessed 7 September 2022).
National Data Protection Authority (NDPA) (2022) Planejamento Estratégico ANPD 2021-2023 [ANPD Strategic Planning 2021-2023]. Available at: hhttps://www.gov.br/anpd/pt-br/documentos-e-publicacoes/ planejamento-estrategico-anpd-2021-2023 (accessed 7 September 2022).
Neeser R. (2021) Is the Brazilian Data Protection Law (LGPD) Really Taking Off? JD Supra, 8 June. Available at: https://www.jdsupra.com/legalnews/is-the-brazilian-data-protection-law-1094165/ (accessed 7 September 2022).
Norton Rose Fulbright (NRF) (2020) PBOC Issues New Specification on Personal Financial Information. Available at: https://www.nortonrosefulbright.com/en/knowledge/publications/fcdc5f10/pboc-issues-new-specification-on-personal-financial-information (accessed 7 September 2022).
Order of the State Council No 631 (Order No 631) (2013) The Regulation on the Credit Reporting Industry, as Adopted at the 228th Session of the Executive Meeting of the State Council on December 26, 2012, Is Hereby Issued and Shall Come nto Force on March 15, 2013 (translated from Chinese). Available at: http://www.pb-ccrc.org.cn/crc/jgyhfw/201309/1ca0f775b50744cabaf83538288d77a9/files/e8a8bf080ed64f48914a652da1d-8fdc3.pdf (accessed 7 September 2022).
Personal Information Protection Law of the People's Republic of China (Personal Information Protection Law) (2021) Adopted at the 30th Meeting of the Standing Committee of the Thirteenth National People's Congress, 20 August Available at: http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb-753fe.shtml (accessed 7 September 2022). (in Chinese)
POPI Act Compliance (2020) Commencement dates for POPIA. Available at: https://www.popiact-com-pliance.co.za/popia-information/17-conditions-for-lawful-processing-of-personal-information (accessed 7 September 2022).
PRS Legislative Research (n.d.) Report Summary on A Free and Fair Digital Economy. Available at: https://prsindia.org/policy/report-summaries/free-and-fair-digital-economy#:~:text= Srikrishna)%20sub-mitted%20its%20report%20and,draft%20a%20data%20protection%20Bill (accessed 7 September 2022).
Republic of South Africa (2021) Draft National Policy on Data and Cloud. Department of Communications and Digital Technologies. Staatskoerant, 1 April. Available at: https://www.gov.za/sites/default/files/gcis_ document/202104/44389gon206.pdf (accessed 7 September 2022).
Reserve Bank of India (2018). RBI Guidelines on Storage of Payment System Data. Available at: https://www. nbti.in/rbi-guidelines-on-storage-of-payment-system-data/ (accessed 7 September 2022).
Si J., Cai R. (2021) Regulation on Digital Maps in China. ZhongLun, 29 September. Available at: http://www. zhonglun.com/Content/2021/09-29/0938259959.html#:~:text=According%20to%20the%20Map%20Admin istration,number%EF%BC%88%E5%AE%A1%E5%9B%BE%E5%8F%B7%EF%BC%89 (accessed 7 September 2022).
The Personal Data Protection Bill (PDR Bill) (2019) Bill No 373 of 2019. Available at: https://prsindia.org/ files/bills_acts/bills_parliament/2019/Personal%20Data%20Protection%20Bill,%202019.pdf (accessed 7 September 2022).
United Nations Conference on Trade and Development (UNCTAD) (2021) Cross-Border Data Flows and Development: For Whom the Data Flow. Digital Economy Report 2021. Available at: https://unctad.org/sys-tem/files/official-document/der2021_en.pdf (accessed 7 September 2022).
Yang J. (2020) Bike Sharing in China: From Bicycle Graveyards to a Regulated Industry. Georgetown Environmental Law Review, 29 April. Available at: https://www.law.georgetown.edu/environmental-law-review/blog/ bike-sharing-in-china-from-bicycle-graveyards-to-a-regulated-industry/ (accessed 7 September 2022).
