2023
ВЕСТНИК САНКТ-ПЕТЕРБУРГСКОГО УНИВЕРСИТЕТА ПРАВО
Т. 14. Вып. 1
ЗАРУБЕЖНОЕ И МЕЖДУНАРОДНОЕ ПРАВО
УДК 347.2
Защита персональных данных в Китае: законодательство в цифровую эпоху*
Гун Нань
Хэйлунцзянский университет,
Китайская Народная Республика, 150080, Харбин, Наньган, пр. Сюйфу, 74 Шанхайский политико-юридический университет,
Китайская Народная Республика, 201701, Шанхай, район Цинпу, пр. Вайцинсун, 7989
Для цитирования: Гун Нань. 2023. «Защита персональных данных в Китае: законодательство в цифровую эпоху». Вестник Санкт-Петербургского университета. Право 1: 159— 172. https://doi.org/10.21638/spbu14.2023.110
В развитии интернет-индустрии и цифровой экономики Китайской Народной Республики (КНР) большое значение придается защите персональных данных, законных прав и интересов граждан. С развитием технологий и промышленности защита персональных данных в Китае прошла путь от косвенной к прямой, а затем к всесторонней защите. В первые годы развития интернет-индустрии Китая косвенная защита персональных данных в основном достигалась при помощи защиты прав на неприкосновенность частной жизни граждан, а интересы персональных данных защищались как права граждан на неприкосновенность частной жизни. Поскольку интернет-индустрия КНР вступила в этап быстрого развития, государство начало напрямую защищать персональные данные в соответствии с главой «Безопасность сетевой информации» Закона о кибербезо-пасности 2016 г., которая устанавливает несколько принципов сбора и использования персональных данных, а также требования к защите безопасности информации. Закон КНР о защите персональных данных, вступивший в силу 01.11.2021, был принят с целью всесторонней защиты персональных данных и отражает идеологию развития, ориентированного на потребности и стремления народа в новую эпоху, а также предлагает создание международного цифрового правопорядка «Китайский вариант». Закон расширяет пределы объекта защиты персональных данных, устанавливает всесторонние права физических лиц на обработку данных, усиливает обязанности по защите обработчиков персональных данных, создает строгие правила защиты конфиденциальных персональных данных и регулирует деятельность по их обработке государственными органами, а также по совершенствованию средств их правовой защиты. При разработке закона
* Исследование выполнено при поддержке Проекта по исследованию и планированию в области философии и социальных наук провинции Хэйлунцзян № 22БХВ102.
© Санкт-Петербургский государственный университет, 2023
учитывался передовой зарубежный опыт, вместе с тем сохранялись китайская мудрость, дух времени, привлекалась современная юридическая практика Китая. Ключевые слова: защита персональных данных, обработка персональных данных, юридическая ответственность, законодательная инновация, систематизация законодательства, принципы права, право на частную жизнь.
1. Введение
Постоянный комитет Всекитайского собрания народных представителей (ПК ВСНП) тринадцатого созыва на 30-м заседании, состоявшемся 20.08.2021, проголосовал за принятие Закона Китайской Народной Республики о защите персональных данных1 (далее — ЗПД КНР, ЗПД), который вступил в силу 01.11.2021. Этот акт является первым специализированным законом в Китае, который систематически и всесторонне защищает персональные данные; он систематизирует нормы о защите персональных данных (далее — ПД), содержащиеся в разделах «Общие положения» и «Права на личность» Гражданского кодекса КНР2 (ГК КНР), совершенствует систему институтов защиты ПД, обогащает правила защиты ПД, предлагает обеспечение защиты законных прав и интересов народа, предоставляет корпорациям рекомендации по законному использованию ПД, обеспечивая здоровое развитие цифровой экономики на пути к правовому государству. Закон эффективно компенсирует основные недостатки правовой системы Китая в области защиты ПД, координируя положения таких принятых ранее законов и нормативных актов, как ГК КНР, Закон о кибербезопасности3, Закон о безопасности данных4, Закон об электронной торговле5, Уголовный закон КНР6, которые создали основу правовой системы для защиты ПД в Китае и для качественного экономического и социального развития в цифровую эпоху (Ван Сисинь, Пэн Кун 2021, 6).
2. Основное исследование
2.1. Характерные особенности китайского Закона о защите персональных данных
Защита персональных данных в Китае прошла три этапа: до эпохи СМИ (1979— 1984) была в основном защита чести и достоинства; после наступления эпохи СМИ (1984-1998) начала появляться защита прав на неприкосновенность частной жизни; в эпоху интернета персональные данные все более и более приближаются к ста-
1 2021 [Закон о защите персональных данных КНР 2021 г.]. Дата обращения 20 августа, 2022. https://rn.thepaper.cn/baijiahao_15176859.
2 «Ф^АйЛдаДйЙЛ» 2020 [Гражданский кодекс КНР 2020 г.]. Дата обращения 20 мая,
2022. http://www.npc.gov.cn/npc/c30834/202006/75ba6483b8344591abd07917e1d25cc8.shtml.
3 «Ф^АЙЛдаДИ^^^Ш» 2017 [Закон о кибербезопасности КНР 2017 г.]. Дата обращения 25 июня, 2022. http://www.npc.gov.cn/zgrdw/npc/zfjc/zfjcelys/2016-11/07/content_2034939.htm.
4 «Ф^АКдаПИЙда^^Ш 2021 [Закон о безопасности данных КНР 2021 г.]. Дата обращения 12 января, 2023. http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml.
5 2018 [Закон об электронной торговле КНР 2018 г.]. Дата обращения 12 января, 2023. http://www.npc.gov.cn/npc/c30834/201808/5f7ac8879fa44f2aa0d52626757371bf.shtml.
6 «Ф^АйЛдаДИШ 1997 [Уголовный закон КНР 1997 г.]. Дата обращения 12 января,
2023. http://www.npc.gov.cn/zgrdw/huiyi/lfzt/xfxza8/2008-08/21/content_1588538.htm.
тусу субъективных прав (Ши Цзяю 2021, 16). Однако в настоящее время китайские законодатели по-прежнему занимают очень осторожную позицию и не решаются определить защиту ПД как гражданское субъективное право, так как это предполагает баланс интересов множества сторон, ограничение прав предприятий, защиту личной информации, личных интересов и данных, а также общественных интересов управленческих органов. В законодательстве Китая установлено, что ЗПД должен быть ориентирован на решение реальных проблем, придавать равное значение наследованию и инновациям в институциональном дизайне и придерживаться международных стандартов. Это позитивный ответ на цифровую эпоху со следующими законодательными характеристиками.
Во-первых, законодательство придерживается проблемно ориентированного подхода. После вступления в эпоху цифровой экономики развитие цифровых технологий меняется с каждым днем. Интернет вещей (Internet of Things, IOT) и взаимодействие человека и компьютера ставят перед защитой ПД беспрецедентные задачи, что не только значительно расширяет масштабы сбора личной информации и использование, но и увеличивает риск как утечки ПД, так и злоупотреблений. На практике постоянно встречаются произвольный сбор, незаконное получение и чрезмерное использование ПД некоторыми субъектами. Закон о персональных данных устанавливает и совершенствует соответствующие институты и нормы, исходя из реальных проблем в сфере защиты ПД и основных интересов народа. В то же время для решения проблем, вызванных появлением новых технологий (таких как автоматизированное принятие решений) и приложений (например, мобильных), также были разработаны необходимые правила.
Во-вторых, законодательство настаивает на равном внимании к правовым вопросам и инновациям. В ходе анализа институциональных положений ЗПД можно обнаружить, что они как создают новые институты, так и усовершенствуют институты защиты ПД, установленные ранее. Кроме того, ЗПД полностью заимствует принципы и институты соответствующих законов, таких как Закон о кибербезопасности и ГК КНР. В Законе о кибербезопасности получили дальнейшее развитие принципы законности, необходимости и добросовестности. В то же время ЗПД адаптируется к развитию и изменениям цифровых технологий и индустрии и продолжает вводить инновации и разработки, добавляя множество новых институтов защиты ПД, таких как индивидуальное согласие, защита конфиденциальной личной информации и особые обязательства крупнейших поставщиков интернет-услуг.
В-третьих, законодательство соответствует международным стандартам. В последние годы законодательная деятельность по защите личной информации (или данных) в международном сообществе продолжала развиваться, все больше стран разрабатывали и принимали нормативные акты о защите ПД. С одной стороны, страны с зарождающейся рыночной экономикой ускоряют процесс разработки законодательства о защите ПД, с другой — страны с развитой экономикой продолжают укреплять и совершенствовать системы защиты на основе первоначальных правовых систем и постоянно повышать уровень защиты ПД. Китайский ЗПД опирается на практический опыт развитых стран и регионов, таких как Европейский союз и его государства-члены, придерживается международных стандартов, а также разрабатывает и совершенствует законы, которые соответствуют конкретным национальным реалиям защиты ПД в Китае и потребностям развития цифровой экономики.
2.2. Основные принципы защиты персональных данных
Основные принципы защиты ПД имеют большое функциональное значение, являются не только базовыми требованиями к осуществлению деятельности по обработке ПД, но и важной основой для создания конкретных институтов защиты ПД, пронизывающих весь процесс и каждое звено обработки ПД. Закон КНР о персональных данных опирается на зарубежный опыт и конкретную национальную действительность, устанавливая пять основных принципов защиты ПД (ст. 5-9):
— принципы законности, правомерности, необходимости и добросовестности; в Законе о кибербезопасности закреплены принципы законности, правомерности и необходимости, которые требуют, чтобы при обработке ПД строго соблюдались законодательство и административные нормативные акты; принцип добросовестности является новым основным принципом, добавленным ЗПД в соответствии с ГК КНР; он требует строго соблюдать договоры и обещания во всех аспектах обработки данных, не нарушать договор, чтобы нанести ущерб правам и интересам ПД, а также не получать согласие пользователя и не обрабатывать ПД вводящим в заблуждение или мошенническим образом (Шин Вэйсин 2021, 30);
— принцип ограничения цели; этот принцип требует, чтобы обработка ПД имела четкую и разумную цель; основываясь на принципах законности, правомерности, необходимости и добросовестности, этот принцип устанавливает стандарт обработки ПД и контролирует деятельность по обработке ПД в пределах, связанных с прямой целью обработки; степень обработки ПД ограничена: конкретная цель имеет прямое отношение к обработке ПД; требуется минимальное воздействие обработки ПД на личность; не допускаются чрезмерный сбор и использование ПД;
— принцип открытости и прозрачности; конкретные требования данного принципа отражены в ст. 7 ЗПД: «обработчики ПД должны раскрывать порядок обработки ПД для публики, а также доводить до сведения физических лиц цель, способ и объем обработки»; этот принцип выступает важным проявлением защиты прав и интересов пользователей, он наделяет людей правом знать свои ПД, что порождает права обработчиков на доступ к ПД и их копированию (Чэн Сяо 2021, 6);
— принцип качества, т. е. целостности и правильности; обработчики ПД должны обеспечивать качество обрабатываемых ими ПД и избегать неблагоприятного воздействия на личные права и интересы из-за нецелостности и неправильности ПД; ст. 8 ЗПД устанавливает стандарт оценки качества обработки ПД, который может быть понят в аспектах целостности и правильности ПД; обработчики ПД должны избегать ущемления личных прав и интересов из-за неточности или неполноты ПД;
— принцип обеспечения безопасности; основная цель данного принципа — обеспечение безопасности при обработке ПД; ст. 9 ЗПД устанавливает принцип безопасности с точки зрения требований ответственности и требований безопасности; требование ответственности разъясняет основную ответственность обработчика ПД, который должен нести ответственность за свою деятельность по обработке ПД; требование безопасности означает, что обработчик ПД должен принимать необходимые меры для обеспечения безопасности ПД; также это требование
предусмотрено соответствующими законами и нормативными актами, такими как Решение ПК ВСНП об усилении защиты информации в интернете7 и Закон о ки-бербезопасности.
2.3. Институциональные инновации Закона о защите персональных данных
2.3.1. Дальнейшее расширение предела защиты персональных данных
С одной стороны, ЗПД расширяет пределы ПД при перечислении конфиденциальной личной информации и в ст. 28 (по сравнению со ст. 1034 ГК КНР) добавляет такие типы ПД, как религиозные убеждения, установление личности, финансовые счета и т. д., а также уточняет, что ПД несовершеннолетних в возрасте до 14 лет являются конфиденциальными.
С другой стороны, в соответствии со ст. 73 ЗПД обезличенные данные «относятся к информации, в которой ПД были обработаны таким образом, что невозможно идентифицировать конкретное физическое лицо без помощи дополнительных данных». Анонимные данные «относятся к ПД, с помощью которых невозможно идентифицировать конкретное физическое лицо при обработке, и не могут быть восстановлены». Закон исключает анонимные данные из ПД, но по-прежнему признает обезличенные данные как ПД.
Кроме того, ЗПД устанавливает правила защиты ПД умерших, что также расширяет предел защиты ПД. Статья 49 ЗПД касается обращения, связанного с информацией, оставшейся в интернете после смерти физического лица в эпоху больших данных: «В случае смерти физического лица его (ее) близкие родственники могут в своих законных интересах воспользоваться правами на доступ к соответствующим ПД умершего, их копированию, исправлению и удалению». Эта статья улучшает соответствующие положения в ГК КНР, потому что в нынешнюю цифровую эпоху физические лица часто имеют много цифровых учетных записей в интернете, которые обычно содержат большой объем личной конфиденциальной информации, а также информации, касающейся других. Закон обогащает и совершенствует соответствующие положения о защите личности умершего. Добавились положения, согласно которым близкие родственники имеют право на просмотр ПД умершего, их копирование, исправление, удаление и т. д. Например, чтобы унаследовать имущество умершего, ближайшим родственникам необходимо найти информацию о его банковском счете. Наконец, необходимо уважать завещание покойного, поэтому ст. 49 ЗПД также гласит: «.. .за исключением случаев, когда умерший имел другой план до своей смерти».
2.3.2. Права физических лиц на обработку данных
Одна из целей защиты ПД — защита права гражданина (субъекта персональных данных) на распоряжение своими ПД. Статья 1 ЗПД предусматривает право гражданина на защиту своих ПД, а в ст. 44 предусмотрено, что основной целью это-
7 2012 [Решение ПК ВСНП
об усилении защиты информации в интернете 2012 г.]. Дата обращения 12 мая, 2022. Ы^/^ук wuhan.gov.cn/pub/wxb/zcfg/fl/202110/t20211022_1817425.shtml.
го является обеспечение права распоряжаться своими ПД, а также формирование основывающейся на самостоятельном решении целостной системы правомочий в отношении своих ПД. Исходя из положений ГК КНР, касающихся защиты ПД, ЗПД уточнил и добавил следующие субъективные права.
Во-первых, ЗПД конкретизирует положения о правах на запрос ПД, их копирование, исправление, удаление и т. д., чтобы помочь людям лучше контролировать информационные права и интересы для самостоятельного управления ПД, прогнозирования и предотвращения рисков. В ГК КНР предусмотрено, что ПД физических лиц охраняются законом, устанавливаются права физических лиц на запрос ПД, их копирование и исправление при обработке. Основываясь на ст. 1037 ГК КНР, ЗПД расширяет запрос на право удаления, дополняет исключения и в то же время требует от обработчиков ПД установления механизма приема и обработки заявлений физических лиц для осуществления их прав.
Во-вторых, добавлены положения о праве на передачу ПД (the right to data portability). В соответствии с п. 3 ст. 45 ЗПД, «если физическое лицо запрашивает передачу ПД назначенному им обработчику ПД и соответствует условиям, предусмотренным Национальными органами по управлению интернетом и информацией, обработчик ПД должен предоставить средства для передачи». Закон устанавливает право на передачу данных, которое направлено на реализацию права человека принимать независимые решения в отношении ПД. Это положение облегчает пользователям контроль и использование данных, позволяет пользователям переносить свои данные на другие веб-платформы, что усиливает контроль пользователя над своими данными и обеспечивает удобство распоряжения ими. Ведь если передача данных не разрешена, пользователям необходимо повторно накапливать данные после переноса на другую веб-платформу, а это не только увеличивает расходы, но и препятствует использованию ранее накопленных ПД. Наконец, указанная норма позволяет разрушить монополию на данные и способствует их распространению и использованию.
В-третьих, конкретизированы соответствующие права субъектов ПД в алгоритме и автоматизированном принятии решений. Техническим ядром автоматизированного принятия решений выступает применение алгоритмов. Обработчики данных (предприятия) могут использовать алгоритмы для различного отношения к лицам с разными идентификационными данными, а также в целях персонали-зации ценообразования для отдельных лиц. В некоторых случаях такое дифференцированное отношение является нормальным деловым поведением, например предоставлением рекомендаций и услуг по разным ценам группам с разной покупательной способностью. Однако это также может привести к алгоритмической дискриминации и ценовой дискриминации существующих клиентов с использованием больших данных, а некоторые компании даже используют алгоритмы для доминирования над отдельными лицами и даже мошенничества. Закон о защите персональных данных установил, что использование ПД для автоматизированного принятия решений должно обеспечивать прозрачность принятия решений, а также справедливость и беспристрастность результатов; запрещается необоснованное дифференцированное отношение к физическим лицам для определения цен и других условий сделок (ст. 24 ЗПД).
2.3.3. Усиление обязательств по защите обработчиков персональных данных
Уважение и реализация права самостоятельно определять объем ПД во многом зависят от уважения таких прав обработчиками данных и выполнения обязательств по законодательной защите. Таким образом, гл. 5 ЗПД предусматривает, что обработчики ПД несут ответственность за свою деятельность и принимают необходимые меры для обеспечения безопасности обрабатываемых ими ПД. Закон также проводит различие между крупными и малыми обработчиками ПД и подробно конкретизирует обязательства по их защите.
Так, подробно излагаются обязательства обработчиков данных при обработке ПД по закону. В ст. 51 ЗПД перечислены меры, гарантирующие законность деятельности по обработке ПД.
Кроме того, создан институт защиты ПД. В соответствии со ст. 52 ЗПД обработчики ПД, которые обрабатывают ПД до объема, установленного государственными органами кибербезопасности и информатизации, должны назначить лицо, ответственное за защиту ПД. На него возлагается ответственность по надзору за обработкой ПД и принимаемыми мерами защиты (ст. 51 ЗПД). Институт лица, ответственного за защиту ПД, имеет определенное сходство с институтом офицеров по защите данных (Data Protection Officer, DPO) в Европейском союзе. Цели данного института — содействие профессионализму и независимости защиты ПД предприятий и укрепление внутреннего управления этими предприятиями8. Кроме того, в соответствии со ст. 53 ЗПД обработчики ПД физических лиц на территории КНР также должны создать специальные учреждения или назначить полномочного представителя на территории КНР, который в соответствии с законом будет нести ответственность за решение вопросов, связанных с защитой ПД.
Также создан институт оценки воздействия на защиту ПД. Согласно ст. 55 и 56 ЗПД, при обработке конфиденциальных ПД, использовании ПД для принятия автоматизированных решений, поручении другим субъектам обработки ПД, предоставлении ПД другим обработчикам, раскрытии ПД, предоставлении ПД иностранным странам и в деятельности по обработке ПД, которая оказывает существенное влияние на личные права и интересы, обработчики обязаны провести оценку воздействия на защиту ПД. С точки зрения модели управления данный новый институт определяет модель саморегулирования и самоуправления рисками организации. По сравнению с другими институтами, данный вариант более динамичен и требует от компании всегда знать риски, связанные с защитой ПД, и обращаться с ПД таким образом, чтобы они оказывали наименьшее воздействие на отдельных лиц.
Наконец, предусмотрены особые обязательства по защите ПД обработчиков данных, которые предоставляют услуги на важных интернет-платформах. Крупные интернет-платформы обладают значительными возможностями для предотвращения рисков, связанных с действиями по обработке личной информации на платформе, и являются надлежащими субъектами для контроля рисков и предотвращения опасностей, а потому должны нести большие юридические обязательства. Таким
8 WP 243 "Guidelines on Data Protection Officers (DPOs)" issued on 13 December 2016 and revised on 5 April 2017. Дата обращения 23 декабря, 2020. https://ec.europa.eu/newsroom/article29/item-detail. cfm?item_id=612048.
образом, ст. 58 ЗПД устанавливает особые обязательства для обработчиков личной информации (таких как крупнейшие компании Tencent9, Alibaba10 и т. д.), которые оказывают услуги как важные интернет-платформы, имеют множество пользователей и ведут сложный бизнес. Эти обязательства включают в себя создание независимой организации, состоящей в основном из внешних членов, для надзора за защитой личной информации; веб-платформа может прекращать предоставлять услуги субъектам, которые серьезно нарушают законы и правила, регулярно выпускает отчеты об общественной ответственности за защиту личной информации и т. д. (ст. 58 ЗПД). Малые предприятия с меньшим объемом обрабатываемых данных, ведущие простую деятельность по обработке ПД и имеющие низкий технический уровень, должны соблюдать общие обязательства обработчиков ПД, включая соблюдение правил внутреннего управления и технической эксплуатации, внедрение технических мер безопасности, таких как дифференцированные управления и деидентификация ПД, а также уточнение полномочия по эксплуатации и план действий в чрезвычайных ситуациях и т. д. Закон о защите ПД предусматривает ответственность обработчиков за защиту данных, усиливает предотвращение рисков и заставляет обработчиков нести юридическую ответственность (принудительное исполнение, штрафы и даже уголовные наказания) за меры защиты, которые не соответствуют закону (ст. 71 ЗПД).
2.3.4. Правила защиты конфиденциальных персональных данных
Закон о защите персональных данных имеет следующие особенности в области защиты конфиденциальной личной информации.
Прежде всего, четко перечисляются понятие и конкретные виды конфиденциальных ПД. С точки зрения сравнительного правоведения существуют модели конкретного юридического перечисления и модели комплексного учета конфиденциальных ПД (Ху Вэньтао 2018, 235). Статья 28 ЗПД принимает модель законодательства «обобщение + перечисление» для определения конфиденциальных ПД. С одной стороны, в ней четко определено понятие конфиденциальных ПД как «персональных данных, которые в случае утечки или незаконного использования могут причинить ущерб честности физических лиц или поставить под угрозу личную и имущественную безопасность» (Ван Лимин 2022, 3). Данное определение обеспечивает четкий стандарт оценки для идентификации различных новых типов конфиденциальных ПД, которые появляются на практике. С другой стороны, в статье конкретно перечислены категории конфиденциальных ПД, включая биометрические данные, религиозные убеждения, специфические признаки личности, состояние здоровья, финансовые счета, местонахождение и другие данные, а также ПД о несовершеннолетних в возрасте до 14 лет. Законодательная модель с обобщенными определениями достаточно гибкая и открытая, чтобы справляться с быстрым появлением меняющихся и бесконечных видов информации в эпоху интернета. Перечисленные определения обеспечивают работоспособность нормы закона, т. е., помимо категорий, указанных в ст. 28, при условии, что они соответствуют общему определению конфиденциальных ПД, также применяются вышеуказанные правила обработки конфиденциальных ПД.
9 Tencent. Дата обращения 1 августа, 2022. https://www.tencent.com/zh-cn.
10 Alibaba. Дата обращения 25 июля, 2022. https://www.alibabagroup.com.
Кроме того, усилена защита ПД несовершеннолетних. Хотя в Общем регламенте по защите ПД11 (General Data Protection Regulation, GDPR) Европейского союза предусмотрены особые виды данных, требующих особой защиты, он не включает данные о несовершеннолетних. В Соединенных Штатах положения о защите ПД несовершеннолетних сосредоточены в Законе о защите конфиденциальности детей в интернете12 (Children's Online Privacy Protection Act, COPPA) и не содержат особо строгих правил защиты ПД. Китайский ЗПД включает персональные данные несовершеннолетних в возрасте до 14 лет в категорию конфиденциальных персональных данных, расширяя объект защиты и обеспечивая всесторонние правила защиты групп несовершеннолетних. В то же время в соответствии со ст. 31 ЗПД обработчики ПД должны получать согласие родителей или других опекунов при обработке ПД несовершеннолетних в возрасте до 14 лет, а также формулировать специальные правила обработки ПД.
Наконец, устанавливаются строгие правила по обработке конфиденциальных ПД. В значительной степени защита конфиденциальных ПД заключается не в определении формы специальной юридической ответственности, она в основном предусматривает специальные методы обработки ПД в процессе обработки. Чем строже требования к обработчикам конфиденциальных ПД, тем больше это способствует защите таких ПД. Закон устанавливает следующие специальные правила обработки для защиты конфиденциальных ПД: 1) более строгие предварительные условия обработки; ст. 28 уточняет принцип необходимости обработки ПД и принцип необходимых мер для обеспечения безопасности ПД; если обработка ПД нужна только для оказания общих услуг или функций продукции, она не будет соответствовать предпосылке обработки конфиденциальных ПД; 2) отдельное согласие и получение письменного согласия по закону; все конфиденциальные персональные данные должны быть согласованы отдельно, но не путем обезличенного согласия, обязательного разрешения, принудительного или замаскированного принуждения физических лиц к согласию на обработку данных; такое согласие также выступает явным согласием, а не намеком на согласие; например, ограничивается применяемая технология распознавания лиц, система контроля и управления доступом в любом микрорайоне для входа и выхода жителей — необходимо получить явное согласие отдельного лица; 3) предусмотрено специальное обязательство по уведомлению; согласно ст. 30 ЗПД, обработка конфиденциальных ПД должна не только выполнять основное обязательство по уведомлению, но и информировать физических лиц о необходимости обработки конфиденциальных ПД и ее влиянии на личные права и интересы.
2.3.5. Деятельность государственных органов по обработке персональных данных
Государственные органы собирают большой объем ПД в процессе административного управления. Эффективное регулирование деятельности государственных органов при обращении с ПД — важная часть системы защиты ПД. Одна из первоначальных целей ПД как права на личность — предотвращение ненадлежащего об-
11 General Data Protection Regulation. 2018. Дата обращения 21 июля, 2022. http://www.cioall. com/uploads/f2018081609020280812.pdf.
12 Children's Online Privacy Protection Act. 2000. Дата обращения 20 августа, 2022. https://wenku. baidu.com/view/a5c1e940bb4ae45c3b3567ec102de2bd9705de54.html.
ращения государственных органов с ПД. Общепринята тенденция включать органы государственной власти в сферу регулирования законами о конфиденциальности данных. В Китае государственные органы собирают персональные данные в значительной степени для нужд государственного и социального управления. Генеральный секретарь Си Цзиньпин подчеркнул, что «большие данные должны использоваться для повышения уровня модернизации государственного управления» (Си Цзиньпин 2017). Цифровое правительство является не только важной опорой для содействия построению Цифрового Китая и достижения качественного экономического развития, но и важной движущей силой для продвижения модернизации государственного управления. В этом контексте государственные органы выступают крупнейшими обработчиками и держателями ПД, их работа должна включать в себя обработку ПД граждан. Однако некоторые случаи утечек ПД показали, что отдельные государственные органы слабо осведомлены о защите ПД, а неправильные процедуры обработки и неадекватные меры защиты могут нанести ущерб ПД. Соответственно ЗПД КНР предусматривает, что деятельность государственных органов по обработке ПД регулируется этим законом, а государственные органы, как обработчики ПД, также должны соблюдать соответствующие законы и правила.
Безусловно, обработка ПД государственными органами осуществляется в общественных интересах, что отличается от сбора и использования ПД коммерческими организациями, поэтому в ЗПД сформулированы специальные положения об обработке ПД государственными органами. Статья 33 ЗПД гласит: «Если в этой статье есть специальные положения, применяются положения этой статьи».
В-первых, государственные органы обрабатывают персональные данные для выполнения своих правовых обязанностей. Иными словами, они могут обрабатывать персональные данные только в связи с необходимостью выполнения своих правовых обязанностей, и их деятельность при обработке ПД не должна выходить за пределы таких обязанностей. В то же время, когда государственные органы обрабатывают персональные данные, они должны следовать полномочиям и процедурам, предусмотренным законами и административными регламентами, в противном случае это может представлять собой незаконную обработку ПД.
Во-вторых, в соответствии со ст. 35 ЗПД, для обработки ПД в целях выполнения установленных законом полномочий на государственные органы возложена обязанность по уведомлению об обработке ПД. Эта статья отличает общие правила обработки ПД государственными органами от законных требований «уведомление — согласие», существующих для других обработчиков. Поскольку государственные органы обрабатывают ПД граждан исходя из общественных интересов, то право людей на согласие, право принимать решения и другие права в отношении данных могут воспрепятствовать выполнению органами своих полномочий.
В-третьих, ст. 35 ЗПД также делает исключения из обязательства уведомления, освобождая от обязанности уведомления в случаях обработки конфиденциальных данных и ненадлежащего уведомления, чтобы лучше уравновешивать конфликт между личными правами граждан и властью государства.
В-четвертых, персональные данные, обрабатываемые государственными органами, должны храниться на территории Китая. Массовый сбор ПД государственными органами связан не только с защитой прав на персональные данные, но и с обеспечением государственной безопасности, поэтому ст. 36 ЗПД содержит спе-
циальные положения о правилах хранения ПД, собираемых государственными органами.
Обработка ПД государственными органами регулируется Законом о защите ПД, а также должна ограничиваться способами обработки, предусмотренными в законе. При отсутствии автоматизированной или полуавтоматической обработки ПД государственными органами, а также масштабного ручного архивирования такие действия не являются обработкой, установленной в законе. Например, сотрудники государственных правоохранительных органов проводят регулярные проверки и делают запросы в ходе своей обычной деятельности, но систематически не хранят и не обрабатывают данные; такая деятельность регулируется не Законом о защите ПД, а только положениями ГК КНР о конфиденциальности.
2.3.6. Улучшение средств судебной защиты персональных данных
В целях усиления защиты прав на персональные данные ЗПД добавляет некоторые специальные меры по защите ПД на основе ГК КНР.
Прежде всего, создан диверсифицированный механизм судебной помощи. Персональные данные отражают как интересы личности, так и имущественные интересы; личные и общественные интересы сосуществуют. Устранение крупномасштабного и сложного нарушения прав и интересов путем возмещения ущерба — это проблема, которую трудно решить традиционными гражданскими, административными и уголовными судебными средствами по отдельности. Закон о защите ПД сочетает административную, уголовную и гражданско-правовую ответственность для обеспечения защиты потерпевших. В то же время согласно ст. 50 ЗПД обработчики ПД должны установить удобный механизм приема и обработки заявлений физических лиц для осуществления своих прав. Когда обработчик ПД отказывает физическому лицу в просьбе об осуществлении своих прав, физическое лицо может подать иск в народный суд в соответствии с законом. Это также обеспечивает новый способ защиты прав на ПД.
Кроме того, установлена презумпция ответственности за нарушение ПД. Презумпция вины также называется презумпцией небрежности. Это означает, что субъект нарушает гражданские права и интересы других лиц по своей вине. В соответствии с положениями ЗПД предполагается, что субъект виновен. Если нарушитель не может доказать, что он не виновен, то он несет деликтную ответственность за нарушение. Согласно ст. 69 ЗПД, «если обработка ПД нарушает права и интересы лица и причиняет ущерб, а обработчик не может доказать, что он не виновен, он несет деликтную ответственность за возмещение убытков». Нарушение прав на ПД в ГК КНР также использует принцип презумпции вины. Причина принятия данного принципа в значительной степени заключается в том, что на практике трудность потерпевших в представлении доказательств стала серьезной проблемой, с которой сталкивается защита ПД; в то же время обработчики ПД имеют больше доказательств и более квалифицированны, также себестоимость представления доказательств потерпевших выше. Таким образом, принятие презумпции вины поможет уменьшить бремя доказывания для потерпевшего, укрепить обязанность по доказыванию лица, обрабатывающего данные, и обеспечить эффективное возмещение ущерба потерпевшему (Чжоу Юцзюнь 2021).
Также установлена ответственность за возмещение ущерба. В соответствии со ст. 69 ЗПД «ответственность за ущерб за нарушение ПД определяется в соответствии с убытками, понесенными физическим лицом, или выгодами, полученными обработчиком ПД. Если трудно определить количество понесенных убытков и полученных выгод, то размер компенсации определяется в соответствии с реальной ситуацией».
Наконец, введена система судопроизводства при обращении с исками в защиту общественных интересов за нарушение ПД. При обращении с исками в защиту общественных интересов судопроизводство характеризуется расширенной институциональной напряженностью, мобилизацией средств, необходима координация работы нескольких департаментов, а также вмешательство организаций и органов, обладающих более широкими полномочиями разрешения споров, чтобы более эффективно, авторитетно и удобно осуществлять защиты ПД. Это поможет преодолеть трудности доказывания и высокую стоимость обращения с иском на практике. Субъектами обращения с иском в общественных интересах по защите ПД являются Народная прокуратура, организации по защите прав и интересов потребителей и организации, созданные по разрешению органа власти по контролю за информацией в интернете (ст. 70 ЗПД КНР).
3. Выводы
Принятие ЗПД конкретизировало и усовершенствовало соответствующие положения ГК КНР о защите ПД. Чтобы правильно понять ЗПД, необходимо осмыслить его основные институциональные инновации, особенности и связь с ГК КНР, позволившие предложить китайский вариант защиты ПД и управления данными. Разработка ЗПД имеет большое значение для защиты жизненно важных интересов народа и реализации идеологии развития, ориентированной на человека. В ЗПД указывается, что государство создает и совершенствует систему защиты ПД и способствует формированию благоприятных условий для участия правительства, предприятий, соответствующих общественных организаций и народа в защите ПД (ст. 11 ЗПД). Принятие и реализация ЗПД не конечная цель защиты ПД в Китае, а новая отправная точка для создания правовой системы защиты ПД. На базе пяти основных принципов и нескольких институциональных правил, изложенных в ЗПД, используя данный закон в качестве точки опоры, Китай продолжит создавать правовую систему защиты ПД (Чжан Синьбао 2021, 26).
Библиография
ЗйТ. 2017.
^ЖЯЖ^ЙЙЙ^ЛЙЙЙ^ФЯ» . «ЛЙВШ . http://cpc.people.com.cn/shipin/BIG5/ n1/2017/1213/c243247-29705188.html [Си, Цзиньпин. 2017. «В ходе второго коллективного исследования Политбюро ЦК Коммунистической партии Китая было подчеркнуто, что ситуация должна быть тщательно спланирована заблаговременно и должны быть предприняты усилия для активной реализации национальной стратегии больших данных и построения цифрового Китая». Газета Жэньмин. Дата обращения 2 июля, 2022. http://cpc.people.com.cn/shipin/BIG5/ ^/2017/1213^243247-29705188^1].
2021. «^ЛШ-Шт*7: 'Ш'» . 1Штт} . https://www.the-
paper.cn/newsDetail_forward_14222199 [Чжоу, Юцзюнь. 2021. «Приближается Закон о защите персональных данных: блокировка использования и оборота данных». Дата обращения 8 августа, 2022. https://www.thepaper.cn/newsDetail_forward_14222199].
жда^. 2021. . «ФДШЗДШ ¥Ш5±$,Ш18-27^ [Чжан, Синь-
бао. 2021. «Основные принципы обработки персональных данных». Обзор законодательства Китая 5: 18-27].
im 2022. . «эш
Ш3-14Ж [Ван, Лимин. 2022. «Основные вопросы защиты данных. Предпосылки толкования Гражданского кодекса и Закона о защите персональных данных». Современное право 1: 3-14].
ш. 2021. . тшт) ^Ш3$:Ш6-24Ж [Ван,
Сисинь, Пэн, Кун. 2021. «Конституционные основы правовой системы защиты персональных данных». Право Цинхуаского университета 3: 6-24].
Ф^Ж. 2021. «^ЛИЖШ^ЗДШТ» . «ФДШЗДШ ¥Ш5±$: Ш28-36Ж [Шин, Вэйсин. 2021. «О балансе между защитой и использованием личной информации». Обзор законодательства Китая 5: 28-36].
ШЦ. 2021. «^лшлдашшш®—. «tk
Ш14-32Ж [Ши, Цзяю. 2021. «Частноправовое измерение защиты персональных данных: о соотношении Гражданского кодекса и Закона о защите персональных данных». Сравнительно-правовые исследования 5: 14-32].
ш. 2021. . ШШ&Ш^^Ш ¥Ш5$: Ш3-20Ж
[Чэн, Сяо. 2021. «Об основных принципах Закона о защите персональных данных Китая». Журнал Государственного института прокуроров 5: 3-20].
йлт 2018. ШД^ЛаШШЖШ^тЧ» . «ФДЙ^» Ш 5 J$: Ш 235-254 Ж [Ху, Вэнь-тао. 2018. «Концепция определения персональных конфиденциальных данных в Китае». Китайское право 5: 235-254].
Статья поступила в редакцию 2 февраля 2022 г.; рекомендована к печати 28 октября 2022 г.
Контактная информация:
Гун Нань — д-р юрид. наук; [email protected]
Protection of personal data in China: Legislation in the digital age*
Gong Nan
Heilongjiang University,
74, Xuefu Road, Nangang, Harbin, 150080, People's Republic of China
Shanghai University of Political Science and Law,
7989, Waiqingsong Road, Qingpu District, Shanghai, 201701, People's Republic of China
For citation: Gong Nan. 2023. "Protection of personal data in China: Legislation in the digital age".
Vestnik of Saint Petersburg University. Law 1: 159-172. https://doi.org/10.21638/spbu14.2023.110
(In Russian)
In the development of China's Internet industry and digital economy, great importance is attached to the protection of personal data and seriously protects the legitimate rights and interests of citizens' personal data. Generally speaking, with the development of technology
* The study was supported by the Heilongjiang Province Philosophy and Social Science Research and Planning Project no. 22FXB102.
and industry, China's personal data protection has gone from "indirect protection" to "direct protection" and then to "comprehensive protection". In the early years of China's Internet industry, the indirect protection of personal data was mainly achieved through the protection of the "rights to privacy" of citizens. Since the Internet industry of the People's Republic of China has entered a stage of rapid development, the state began to directly protect personal data in accordance with the provisions of the Chapter "Network Information Security" established in the "Cyber Security Law" of 2016, establishes several principles for the collection and use of personal data, protection requirements information security. Until November 1, 2021, the "Personal Data Protection Law of the People's Republic of China" (PPD) was adopted to comprehensively protect personal data, reflecting the ideology of development focused on bringing the people to the center, meeting the new needs and aspirations of the people in the new era, and also proposing the creation international digital legal order "Chinese version". The PPD further expands the scope of the object of personal data protection, comprehensively establishes the rights of individuals to process data, strengthens the obligations to protect personal data processors, creates strict rules for the protection of sensitive personal data and regulates the processing of personal data by public authorities, as well as improving the means of legal protection of personal data, all of which are important points in the legislation. The law incorporates advanced foreign experience, while emphasizing Chinese wisdom, the spirit of the times, and practicality in accordance with the reality of China.
Keywords: protection of personal data, personal information processing, legal responsibility, digital law, legal systematization, basic law principles, right to privacy.
References
Cheng, Xiao. 2021. "On basic principles of China Personal Information Protection Law". Quo jia jian chä
guan xue yuän xue bäo 5: 3-20. (In Chinese) Hu, Wentao. 2018. "The conception of the definition of personal sensitive information in China". Zhong guo
fa xue 5: 235-254. (In Chinese) Shen, Weixing. 2021. "On the balance between protection and utilization of personal information". Zhong
guo fa lü ping lun 5: 28-36. (In Chinese) Shi, Jiayou. 2021. "The private law dimension of personal information protection: On the relationship between Civil Code and Personal Information Protection Law". Ei jiäo fa yän jiu 5: 14-32. (In Chinese) Wang, Liming. 2022. "Basic data protection issues. Prerequisites for the interpretation of the Civil Code and
the Law on the Protection of Personal Data". Dang däi fa xue 1: 3-14. (In Chinese) Wang, Xixin, Peng, Kun. 2021. "Constitutional foundation of personal data protection law in China". Qing
huä fa xue 3: 6-24. (In Chinese) Xi, Jinping. 2017. "In the second collective study of the Politburo of the Central Committee of the Communist Party of China, it was stressed that the situation should be carefully planned in advance, and efforts should be made to actively implement the national big data strategy and build a digital China". Ren min ri bäo. Accessed July 2, 2022. http://cpc.people.com.cn/shipin/BIG5/n1/2017/1213/c243247-29705188.html. (In Chinese) Zhang, Xinbao. 2021. "Basic principles of personal information processing". Zhong guo fa lü ping lun 5: 18-27. (In Chinese)
Zhou, Youjun. 2021. "Personal data protection law is coming: Blocking the use and circulation of data". Peng pai wang. Accessed August 8, 2022. https://www.thepaper.cn/newsDetail_forward_14222199. (In Chinese)
Received: February 2, 2022 Accepted: October 28, 2022
Author's information:
Qong Nan — Dr. Sci. in Law; [email protected]