Китай · Data & Privacy

Данные в Китае:
сначала карта, потом облако

Как определить персональные и важные данные, выбрать основание обработки, управлять поставщиками и законно передавать информацию материнской компании за рубеж.

PIPLперсональная информация
DSLклассификация данных
CACтрансграничные процедуры
3 путиassessment · SCC · certification

01

Compliance начинается с карты данных

Компания описывает категории данных, субъектов, цели, системы, местонахождение серверов, получателей, сроки хранения и международные потоки. Только после этого можно определить PIPL, важные данные, отраслевые правила и data export route.

Субъекты
Клиенты, сотрудники, кандидаты, представители контрагентов и посетители
Системы
CRM, HRIS, ERP, email, cloud, CCTV, website и mobile app
Получатели
Китайские vendors, материнская компания и глобальные провайдеры
Потоки
Сбор → использование → предоставление → экспорт → удаление

02

Consent — не единственное основание, но его нельзя подразумевать

PIPL предусматривает несколько оснований: consent, необходимость заключения или исполнения договора с физическим лицом, HR-management по законно установленным правилам, выполнение юридической обязанности, защита жизни и здоровья, отдельные публичные сценарии и иные законные основания.

Цель
Конкретная, ясная и разумная
Минимизация
Только объём, необходимый для заявленной цели
Срок
Не дольше необходимого, если закон не требует хранения
Изменение цели
Повторная оценка notice, consent и договоров

03

Notice должен предшествовать обработке

До обработки субъекту сообщают личность обработчика, контакт, цели, способы, категории, срок хранения и порядок осуществления прав. Consent должен быть информированным, добровольным и доказуемым; отдельный consent требуется для предусмотренных законом сценариев.

Cookie banner не решает всё

Сайт, договор, CRM, call recording, marketing и международная передача требуют согласованной системы notices и оснований, а не одной общей фразы.

04

Sensitive PI требует конкретной необходимости

Биометрия, религиозные убеждения, специальные идентификаторы, медицинские и финансовые сведения, точное местоположение и данные несовершеннолетних до 14 лет относятся к повышенному риску. Нужны конкретная цель, строгая защита, отдельный consent и специальное уведомление о влиянии на права.

05

Разделяйте entrusted processing и independent sharing

Если подрядчик обрабатывает данные по поручению, договор фиксирует цель, срок, способ, категории, меры защиты, права и контроль. При самостоятельном предоставлении другому обработчику требуются отдельное информирование и, как правило, отдельный consent.

Due diligence
Местонахождение, субподрядчики, security и data export
DPA
Роли, инструкции, конфиденциальность, инциденты и удаление
Audit
Право проверки и evidence of compliance
Exit
Возврат или удаление данных и подтверждение

06

Удалённый доступ из-за рубежа — тоже data export

Экспортом может быть не только физическая отправка файла, но и доступ зарубежной материнской компании или cloud support к данным, хранящимся в Китае. До передачи выполняются PI protection impact assessment, notice, отдельный consent при необходимости, договор с получателем и выбор процедуры CAC.

Security assessment

Для важных данных, CII и потоков выше установленных порогов.

Standard contract

SCC с зарубежным получателем плюс impact assessment и filing.

Certification

Одобренная процедура сертификации защиты PI.

Exemption

Только если поток точно попадает под исключение правил 2024 года.

07

Порог считается по данным за период, а не по одной передаче

Правила CAC 2024 года учитывают статус critical information infrastructure operator, наличие important data и совокупный объём PI, предоставленной за рубеж с 1 января соответствующего года. Для обычного обработчика применяются освобождения и разные процедуры в зависимости от объёма и sensitive PI.

Нельзя считать только текущую выгрузку

В расчёт включаются связанные системы и получатели, а important data анализируется отдельно. Пороговый тест документируется и пересматривается при росте бизнеса.

08

Организационные меры важны не меньше IT

Governance
Ответственное лицо, политики, реестр и регулярные проверки
Access
Least privilege, MFA, logging и периодический review
Protection
Шифрование, segmentation, backup и vulnerability management
Incident
Обнаружение, containment, оценка вреда, уведомления и evidence
Deletion
Сроки, legal hold и проверяемое уничтожение

09

HR-данные не становятся «внутренними» вне PIPL

HR-management может иметь специальное основание, но работодатель всё равно соблюдает notice, минимизацию, безопасность и права сотрудников. Передача глобальной HRIS, payroll, background check или performance data за рубеж анализируется как отдельный поток.

10

Compliance roadmap

  1. 01

    Data inventory и карта китайских и трансграничных потоков.

  2. 02

    Классификация PI, sensitive PI, important data и отраслевых данных.

  3. 03

    Основания, notices, consent records и retention schedule.

  4. 04

    Vendor due diligence, DPA и правила sub-processing.

  5. 05

    PIPIA и выбор security assessment, SCC, certification или exemption.

  6. 06

    Security controls, incident plan и обучение сотрудников.

Первоисточники

Поток подтверждается документами

Карта данных и impact assessment связывают юридические выводы с реальными системами.

01

Personal Information Protection Law — официальный перевод NPC

Основные принципы, основания обработки, права субъектов, sensitive PI и трансграничная передача.

Открыть официальный источник

China data audit

Найдём международные потоки до проверки регулятора

Составим data map, PIPIA, notices, vendor terms и пакет для законной трансграничной передачи.

Запросить data audit
WAWhatsAppTGTelegram