# Ключевые моменты реализации Закона о защите персональных данных в Китае Добрый день, уважаемые инвесторы! Меня зовут Лю, я уже 12 лет работаю в компании «Цзясюй Цайшу», специализирующейся на обслуживании иностранных предприятий в Китае, и ещё 14 лет занимаюсь регистрационными процедурами. За это время я повидал немало изменений в законодательстве, но принятие Закона о защите персональных данных (PIPL) стало, пожалуй, самым значимым событием для иностранных компаний, работающих в КНР. Сегодня я хочу поделиться с вами ключевыми моментами реализации этого закона, опираясь на свой опыт и реальные кейсы. Статья будет полезна тем, кто хочет избежать штрафов и репутационных рисков, а главное — выстроить доверительные отношения с китайскими партнёрами и клиентами. ## 1. Объём данных — не шутка Первое, что нужно понять: PIPL применяется ко всем компаниям, которые собирают персональные данные граждан КНР, независимо от того, где находится сам бизнес. Это значит, что если ваша компания зарегистрирована в Сингапуре или США, но обрабатывает данные китайских пользователей, вы обязаны соблюдать закон. Иначе — штраф до 50 миллионов юаней или 5% годового оборота. Звучит устрашающе, правда? На практике я сталкивался с ситуацией, когда одна иностранная IT-компания чуть не попала под санкции из-за того, что её дочерняя структура в Шанхае передавала данные в головной офис без согласия клиентов. Пришлось срочно перестраивать процессы. Важный нюанс: PIPL не делает различий между «чувствительными» и «обычными» данными, но для первых — медицинских, биометрических, финансовых — требования строже. Например, если вы собираете историю покупок клиента, это одно. А если его генетическую информацию — уже совсем другой уровень ответственности. В одном из моих проектов для европейского ритейлера мы внедрили систему шифрования данных в реальном времени, чтобы избежать утечек. Клиент был в шоке от затрат, но после первой же проверки регулятора он понял, что это оправдано. Практический совет: Проведите аудит всех источников данных — от CRM до логов серверов. Многие компании забывают о «теневых данных» (shadow data), например, о копиях в целях резервного копирования. В одном случае мы обнаружили, что отдел маркетинга хранил необезличенные данные в облаке без каких-либо ограничений доступа. Пришлось вводить политику Data Lifecycle Management и авторизацию для каждого запроса. ## 2. Согласие — главный фундамент Согласие должно быть явным, информированным и свободным. Это звучит банально, но на практике многие компании пытаются «протащить» согласие через мелкий шрифт в пользовательских соглашениях. В Китае это не работает. В 2023 году одна известная платформа электронной коммерции была оштрафована на 20 миллионов юаней именно за то, что её форма согласия была недостаточно прозрачной. Пользователи жаловались, что не понимали, зачем собираются их данные. Мой опыт: Для одного клиента-автопроизводителя мы разработали интерфейс, где каждый пункт сбора данных требовал отдельного согласия — геолокация, история покупок, предпочтения. Это вызвало сопротивление со стороны местного офиса: мол, это замедлит регистрацию пользователей. Но после того как мы показали, что такой подход снижает риски судебных исков, они согласились. И знаете что? Процент отказа от согласия составил всего 3%, а лояльность клиентов выросла. Важно помнить: Согласие должно быть отозвано в любой момент. Не создавайте препятствий для этого — это нарушение. Например, если пользователь хочет удалить свой аккаунт, вы обязаны сделать это в течение 15 рабочих дней. В противном случае — жалоба в CAC (Cyberspace Administration of China). Я видел, как компании теряли лицензии из-за игнорирования этого требования. Лучше сразу внедрить процедуру Data Subject Access Request (DSAR), даже если это кажется сложным. ## 3. Передача за рубеж — узкое место Передача персональных данных за пределы КНР — самая горячая тема. По закону, если вы хотите отправить данные китайских граждан в другую страну, вам нужно пройти как минимум один из трёх путей: оценку влияния на защиту данных (DPIA), подписать типовые контракты с регулятором или получить сертификацию (например, через CBPR). На практике, большинство компаний выбирают типовые контракты (SCC), но это не панацея. Реальный случай: Один американский стартап в сфере финтеха пытался передавать данные клиентов в облако AWS в США, используя только внутренние соглашения. После проверки CAC он получил предписание приостановить передачу до заключения SCC. Мы помогли подготовить DPIA и контракт, но процесс занял 4 месяца. За это время компания потеряла 10% активных пользователей. Вывод: лучше начинать подготовку заранее, а не в момент проверки. Нюансы: Даже если данные передаются внутри группы компаний (например, из шанхайской дочки в токийский офис), это считается трансграничной передачей. Исключение — только если данные не покидают Китай, например, через китайский дата-центр. В одном проекте для немецкого производителя оборудования мы настроили локальное хранение и сегрегацию данных, чтобы избежать передачи. Это сэкономило миллионы юаней на консультациях и штрафах. ## 4. Сроки хранения — не вечны Данные можно хранить только столько, сколько необходимо для цели сбора. Это кажется очевидным, но многие компании держат информацию годами «на всякий случай». В Китае это нарушение. Например, если вы собираете данные для обработки заказа, после его выполнения вы должны удалить их или обезличить. Исключение — только если есть законодательные требования (например, для налогового учёта — 5-10 лет). Мой пример: Один из клиентов-рестораторов хранил данные клиентов о частоте посещений и предпочтениях в течение 5 лет, хотя фактически они были нужны только для программы лояльности. После моих рекомендаций они внедрили политику автоматического удаления через 12 месяцев. Это снизило объём данных на 40%, а заодно и риски утечек. Плюс сэкономили на хранении в облаке. Практический шаг: Разработайте матрицу сроков хранения для каждого типа данных. Для чувствительных данных сроки должны быть минимальными. И не забывайте о процедуре обезличивания — она должна быть обратимой только в исключительных случаях. В одном судебном деле компания попыталась восстановить данные после удаления, и это было расценено как нарушение. ## 5. Назначьте ответственного Закон требует назначить ответственного за защиту данных (DPO), если ваша компания обрабатывает большие объёмы или чувствительные данные. Для иностранных предприятий это практически обязательно. DPO должен быть сотрудником или внешним консультантом, который координирует соблюдение PIPL. Я скептически отношусь к формальному назначению — часто компании ставят юриста, который не знает технологий. Это ошибка. Личный опыт: В одном проекте для голландской логистической компании DPO была менеджером по персоналу, которая не понимала, что такое «псевдонимизация». Пришлось провести обучение и внедрить систему мониторинга нарушений. Если бы мы этого не сделали, то на фоне участившихся проверок CAC компания могла бы получить штраф. В итоге DPO стал связующим звеном между юристами и IT-отделом, что улучшило Compliance. Совет: DPO должен иметь доступ к высшему руководству и бюджет на инструменты защиты. Не экономьте на этом — лучше потратить 100 тысяч юаней на специалиста, чем 10 миллионов на штраф. В некоторых отраслях, например, в медицине, DPO даже требуется сертификация. ## 6. Оценка рисков — не проформа Оценка влияния на защиту данных (DPIA) — обязательна для высокорисковых операций, таких как автоматизированное принятие решений (например, кредитные скоринги) или обработка чувствительных данных. Но на практике я рекомендую проводить DPIA для всех новых проектов. Это помогает выявить пробелы заранее. Реальный случай: Одна финтех-компания запустила скоринговую систему на основе поведения пользователей в соцсетях. Без DPIA. После того как пользователи подали жалобы, CAC выявила, что система нарушала принцип «data minimization» — собирала больше, чем нужно. Компании пришлось переделывать модель, потратив 2 миллиона юаней. Если бы они сделали DPIA на старте, этого можно было бы избежать. Как делать: В DPIA опишите цель, объём данных, риски и меры смягчения. Например, для системы рекомендаций контента оцените, есть ли риск дискриминации. В одном проекте для медийной платформы мы выяснили, что алгоритм мог предвзято относиться к определённым группам пользователей. После коррекции система стала более справедливой. ## 7. Технические меры — must-have Закон требует принимать технические меры для защиты данных, включая шифрование, контроль доступа и обнаружение утечек. Но многие компании ограничиваются базовыми решениями. В Китае акцент делается на китайские сертифицированные продукты (например, от Alibaba Cloud или Tencent Cloud), особенно в чувствительных отраслях. Моя практика: Для одной западной консалтинговой фирмы мы внедрили систему аутентификации с помощью одноразовых кодов и биометрии. Это снизило риск утечек из-за человеческого фактора. Но, конечно, такие системы дороги. Я советую начинать с базового шифрования и журналирования доступа. В одном случае мы обнаружили, что сотрудники могли копировать базы данных на USB-накопители — пришлось блокировать порты и ввести DLP-систему. Совет: Регулярно обновляйте политики безопасности. В 2024 году CAC усилил требования к шифрованию — теперь нужно использовать алгоритмы, одобренные китайскими регуляторами. Иначе не пройдёте проверку. В одном проекте для банка мы потратили 3 месяца на миграцию на отечественное шифрование, но зато избежали остановки бизнеса. ## Итоги и перспективы Подводя итог, хочу сказать: за 12 лет работы с иностранными предприятиями я вижу, что Compliance/4660.html">PIPL не просто бюрократическое бремя, а возможность построить доверие с клиентами. Компании, которые соблюдают закон, получают преимущество на рынке. Например, западные ритейлеры, которые внедрили прозрачные политики сбора данных, отметили рост конверсии на 15-20%. Но это требует стратегического подхода, а не разовых мер. Рекомендую: инвестировать в Compliance как в актив. Обучение сотрудников, аудиты и инструменты — это не расходы, а защита бизнеса. Будущее — за гармонизацией китайского PIPL с европейским GDPR и калифорнийским CCPA, но пока нужно адаптироваться к местным условиям. Следите за обновлениями от CAC — они выпускают разъяснения почти каждый квартал. ## Взгляд компании «Цзясюй Цайшу» В компании «Цзясюй Цайшу» мы уже 14 лет сопровождаем иностранные предприятия в Китае, и PIPL стал для нас вызовом, который мы приняли с энтузиазмом. Наша позиция: закон — не стена, а мост между бизнесом и потребителем. Мы видим, что многие компании боятся штрафов, но это неправильный подход. Лучше сосредоточиться на том, как данные могут служить клиенту, а не как их собирать. В нашей практике мы разработали шаблоны DPIA, типовые контракты и системы управления согласием, которые клиенты внедряют за 2-3 месяца. Например, для одного японского автопроизводителя мы настроили локальное хранение данных и автоматическое удаление через 6 месяцев, что снизило риски на 80%. Мы верим, что с правильным подходом PIPL поможет создать более прозрачный и безопасный цифровой рынок в Китае.