Текущее состояние реализации требований по локализации хранения данных согласно Закону КНР о кибербезопасности
Здравствуйте, уважаемые инвесторы и коллеги. Меня зовут Лю, и вот уже 12 лет я работаю в компании «Цзясюй Цайшуй» (加喜财税), где мы специализируемся на сопровождении иностранного бизнеса в Китае. Мой общий опыт в регистрационных и административных процедурах перевалил за 14 лет. За это время я видел множество регуляторных «виражей», но тот, что связан с кибербезопасностью и данными, пожалуй, один из самых значимых и сложных для понимания извне. Если раньше ключевыми вопросами были размер уставного капитала или список разрешенных видов деятельности, то сегодня на первый план выходит вопрос: «А где и как вы храните данные ваших клиентов и вашей компании?». Закон КНР о кибербезопасности (ККБ), вступивший в силу в 2017 году, ввел принцип локализации данных, который до сих пор вызывает много вопросов. В этой статье я, как практик, прошедший через оформление не одной сотни компаний, хочу поделиться не сухой теорией закона, а живой картиной его реализации «на земле». Что действительно происходит сейчас? На что обращают внимание проверяющие органы? И как иностранным инвесторам не просто соответствовать букве закона, а выстроить устойчивую и безопасную операционную модель? Давайте разбираться.
От теории к практике: как понимают «критическую инфраструктуру»
Пожалуй, самый частый и самый запутанный вопрос от наших клиентов: «Относится ли моя компания к операторам критической информационной инфраструктуры (КИИ)?». Закон говорит об этом довольно общими словами, отсылая к отраслевым секторам вроде энергетики, финансов, телекома, транспорта. Но на практике границы размыты. Например, мы сопровождали европейскую компанию, производящую высокоточные датчики для логистических хабов. Сама по себе она — производитель оборудования. Но ее клиенты — крупные государственные логистические операторы, попадающие под КИИ. В ходе диалога с местным управлением киберпространства (CAC) выяснилось, что ключевым критерием стал не формальный вид деятельности, а потенциальное влияние на общественные интересы и государственную безопасность в случае утечки или потери данных с этих датчиков. В итоге, хотя компания и не была классифицирована как КИИ в полном смысле, к ней были применены повышенные требования по защите данных, близкие к таковым. Мой совет здесь — не гадать самостоятельно. Необходимо проводить предварительные консультации с профильными юристами и, что крайне важно, с местным отделением CAC. Это не формальность, а реальный инструмент снижения рисков. Часто именно в таких неформальных беседах проясняются трактовки, которые еще не прописаны в подзаконных актах.
Еще один яркий пример из опыта — компания из сферы EdTech, которая собирала обезличенные данные об успеваемости студентов для анализа эффективности методик. Казалось бы, не КИИ. Однако, когда выяснилось, что в выборку попали студенты нескольких вузов, связанных с оборонными исследованиями, проект попал под пристальное внимание. Пришлось оперативно выстраивать систему сегментации данных и физически разделять серверы. Это показывает, что контекст использования данных зачастую важнее их исходной категории. Регуляторный фокус смещается с «кто ты» на «что ты делаешь с данными и кого это затрагивает». И этот тренд только усиливается.
Не только сервер в Китае: что такое «локализация»
Многие ошибочно полагают, что достаточно арендовать стойку в дата-центре в Шанхае или Шэньчжэне — и вопрос локализации решен. Это опасное упрощение. Локализация данных в понимании китайского регулятора — это комплексная мера, включающая физическое хранение, управление и контроль. Ключевое слово здесь — «суверенитет». Данные, собранные в Китае, должны находиться под юрисдикцией Китая. На практике это означает, что даже если ваша головная компания использует глобальную облачную инфраструктуру (например, AWS или Azure), для китайских операций вам необходимо пользоваться услугами их китайских партнеров (например, Sinnet или 21Vianet), которые юридически и технически изолированы от глобальной сети. Более того, административные права (root-доступ) на эти серверы должны контролироваться локальной командой или доверенным локальным партнером.
Я столкнулся с ситуацией, когда IT-директор головного офиса в Германии настаивал на единой панели управления для всех регионов. Это вступило в прямое противоречие с требованиями локализации контроля. Решением стал компромисс: создание отдельной юридической实体 (entity) в Китае для IT-услуг, которая формально владела контрактами с локальным облачным провайдером и имела свою команду админов. Головной офис получал агрегированные отчеты, но не прямой доступ. Это, конечно, усложнило структуру и увеличило затраты, но стало единственным легальным путем. Локализация — это вопрос не технологический, а в первую очередь управленческий и юридический. Она требует пересмотра внутренних корпоративных политик и делегирования полномочий локальному руководству.
Передача данных за рубеж: процедура «безопасной оценки»
А что, если данные все же необходимо передать за пределы Китая для анализа или консолидации? Закон это не запрещает категорически, но обставляет строгими процедурами. Для операторов КИИ и для случаев, когда объем персональных данных превышает установленный порог (на данный момент это 1 миллион человек), обязательна «безопасная оценка» со стороны CAC. Наш опыт показывает, что этот процесс — не простая формальность, а глубокий аудит. Регуляторы изучают цель передачи, содержание данных, меры защиты у получателя, а также правовую среду страны назначения. Например, после ужесточения законодательства в ЕС и признания «Щита приватности» недействительным, передача данных в Европу стала сложнее. Регулятор справедливо опасается, что данные китайских граждан могут стать доступными иностранным правоохранительным органам на основании их местных законов.
Мы помогали одной фармацевтической компании получить разрешение на передачу обезличенных клинических данных для исследований в Швейцарию. Ключом к успеху стала разработка детального «Соглашения о трансграничной передаче данных» (Data Transfer Agreement), где были прописаны конкретные технические меры шифрования, порядок реагирования на утечки и обязательство уничтожить данные после завершения проекта. Главный урок: инициатива и прозрачность вознаграждаются. Лучше самостоятельно предложить регулятору максимально защищенный сценарий, чем пытаться что-то скрыть или сделать «по-тихому». Штрафы за несанкционированную трансграничную передачу могут быть астрономическими, не говоря уже о приостановке деятельности.
Роль локального персонала и DPO
Требования закона — это не только про технологии, но и про людей. Все больше компаний, особенно тех, что работают с большими объемами персональных данных, обязаны назначать Ответственного за защиту данных (Data Protection Officer, DPO). Но даже если назначение не обязательно по закону, иметь такого специалиста в штате китайского юридического лица — крайне разумно. На практике мы видим, что проверяющие органы охотнее идут на контакт и более лояльны, когда в компании есть конкретный человек, отвечающий за этот фронт работ, и когда этот человек — гражданин КНР, постоянно проживающий в стране. Почему? Потому что это показывает серьезность намерений компании и обеспечивает постоянный канал коммуникации. DPO становится тем самым «мостиком» между глобальной политикой и локальными требованиями.
В одном из наших кейсов у клиента DPO был назначен «на бумаге» из числа топ-менеджеров головного офиса, который бывал в Китае раз в квартал. Когда нагрянула внеплановая проверка после небольшого инцидента с данными, отсутствие компетентного и доступного на месте специалиста было расценено как грубое нарушение принципа «локализации управления». Компании выписали предписание и дали месяц на исправление ситуации. Пришлось срочно искать и нанимать локального DPO. Вывод: инвестиции в локальную экспертизу в области compliance окупаются сторицей, предотвращая штрафы и репутационные потери. Этот специалист должен иметь реальные полномочия и доступ к высшему руководству.
Эволюция подзаконных актов и отраслевые стандарты
Закон о кибербезопасности — это рамочный документ. Его «плоть и кровь» — это постоянно обновляющиеся подзаконные акты, меры, стандарты и руководства. Например, в 2021 году были выпущены «Правила защиты безопасности персональной информации», которые детализировали понятие «согласия», ужесточили правила для алгоритмических рекомендаций и ввели концепцию «важных данных». Следить за этим потоком изменений в одиночку — задача для иностранной компании почти непосильная. Более того, разные отрасли (финансы, здравоохранение, автомобили) получают свои собственные, еще более строгие стандарты от профильных министерств. Например, в автоиндустрии с приходом умных и подключенных автомобилей появились отдельные требования к хранению данных с датчиков и камер.
Здесь на помощь приходит то, что мы в «Цзясюй» называем «регуляторным мониторингом». Мы не просто отслеживаем публикации в официальных источниках, но и анализируем прецеденты, общаемся с отраслевыми ассоциациями. Часто именно в таких неформальных кругах становится известно о готовящихся изменениях. Адаптивность к регуляторной среде становится конкурентным преимуществом. Компания, которая ждет, пока новый стандарт станет обязательным и только потом начинает действовать, теряет драгоценное время и оказывается в роли догоняющего. Лучшая стратегия — проактивная: строить инфраструктуру с запасом «прочности» и гибкости под будущие ужесточения.
Проверки и правоприменение: чего ждать на земле
Теория — это одно, а как закон работает в реальности? Правоприменительная практика по локализации данных становится все более активной и предметной. Проверки идут не только по сигналам об утечках, но и выборочно, особенно в чувствительных отраслях. Инспекторы приходят не только из CAC, но и из отраслевых регуляторов, и из управления по рыночному регулированию (SAMR). Их интерес смещен с формального соответствия («есть ли у вас сервер в Китае?») к фактическому («покажите логи доступа к этим данным за последние три месяца», «продемонстрируйте, как работает ваша система шифрования»). Они могут запросить интервью с системными администраторами, чтобы проверить их понимание процедур.
Один наш клиент из розничной торговли считал, что главное — это защита платежных данных. Однако при проверке основной удар пришелся на систему лояльности, где хранились детальные профили покупок клиентов. Инспекторы запросили доказательства, что сбор этих данных был санкционирован явным согласием, и что они ни при каких условиях не покидают территорию КНР. К счастью, у клиента была грамотно выстроена система согласий и логи аудита. Мораль: готовьтесь к проверке не по самому «острому», а по самому «массовому» массиву данных. Регулятор сейчас сфокусирован на защите прав рядовых граждан, поэтому персональные данные — всегда в приоритете. Наличие внутренних регламентов, журналов аудита и проведенных тренировок по реагированию на инциденты — это то, что отличает подготовленную компанию от той, что просто «поставила галочку».
Заключение и взгляд в будущее
Подводя итог, хочу сказать, что тема локализации данных в Китае давно вышла из стадии теоретических обсуждений и вступила в фазу жесткого и детального правоприменения. Текущее состояние — это динамичная, но уже вполне сформировавшаяся экосистема требований. Основной тренд — это движение от общих принципов к отраслевой специфике и углублению в технические детали. Для иностранных инвесторов это означает, что подход «сделать минимально необходимое для регистрации» больше не работает. Локализация данных должна быть заложена в бизнес-модель с самого начала, как и любое другое ключевое условие ведения бизнеса.
С моей точки зрения, в ближайшие годы мы увидим дальнейшее ужесточение контроля за трансграничными потоками, особенно в свете глобальной технологической конкуренции. Также возрастет роль национальных стандартов шифрования и отечественного «софта». Компаниям стоит задуматься не только о хранении, но и об использовании локальных SaaS-решений для CRM, ERP и аналитики, чтобы минимизировать риски. Это не вопрос изоляции, а вопрос построения устойчивой и легальной операционной среды. Инвестиции в compliance в этой сфере — это не затраты, а страховка и фундамент для долгосрочного и спокойного развития на одном из самых важных рынков мира. Помните, в Китае защита данных — это вопрос не только приватности, но и национального суверенитета. Играть по этим правилам — значит проявлять уважение к стране, в которой вы ведете бизнес.
Взгляд компании «Цзясюй Цайшуй» (加喜财税)
В «Цзясюй Цайшуй» мы рассматриваем требования по локализации данных не как обузу для наших клиентов, а как стратегическую возможность. Правильно выстроенная система compliance становится конкурентным барьером и демонстрирует серьезность долгосрочных намерений инвестора в Китае. Наш опыт показывает, что компании, которые подходят к этому вопросу комплексно — с привлечением юристов, IT-аудиторов и локальных экспертов по регулированию — в итоге получают более устойчивые и управляемые бизнес-процессы. Мы помогаем не просто «пройти проверку», а интегрировать эти требования в ежедневные операции: от разработки шаблонов согласий для пользователей до выбора и аудита локальных облачных провайдеров и подготовки команды к диалогу с регуляторами. Мы убеждены, что в современном китайском правовом поле глубокое понимание и соблюдение Закона о кибербезопасности — это неотъемлемая часть корпоративной социальной ответственности и залог делового успеха.
