Законно ли хранить данные китайских пользователей в России?

О том, как хранить данные китайских пользователей в России и не нарваться на проблемы с законом.

Китай — это один из самых перспективных, но одновременно и самых строго регулируемых рынков. Если вы разрабатываете приложение и планируете собирать данные граждан КНР, то вам точно нужно сначала разобраться в юридических тонкостях. Особенно, если вы собираетесь хранить эти данные в России.

Если ваше приложение собирает данные китайских пользователей, а хранит их за пределами Китая — это трансграничная передача. Даже если у вас нет офиса в КНР, китайские законы на вас всё равно распространяются. Почему? Потому что вы работаете с их гражданами, которые находятся в КНР.

В соответствии со ст. 38 «Закона о защите персональной информации КНР», передача данных за рубеж законна, если выполнено одно из следующих условий:

1. Проведена государственная оценка безопасности.

Проведите самооценку рисков (PIPIA) → подайте документы в провинциальное отделение Администрации киберпространства Китая (CAC) → пройдите проверку → получите разрешение.

2. Получена специальная сертификация по защите данных.

Проведите самооценку рисков (PIPIA) → обратитесь в аккредитованное учреждение → пройдите аудит → получите сертификат.

3. Заключён типовой контракт с иностранным получателем данных.

Проведите самооценку рисков (PIPIA) → подпишите типовой договор с китайским партёром/«дочкой» (операторами-экспортёрами данных) + уведомите регулятора (провинциальный CAC) в течение 10 рабочих дней после подписания.

4. Соблюдены иные условия, установленные регулятором.

Стоит уточнить, что не вы решаете какой из вариантов вам подходит. Это всецело зависит от статуса вашей компании и объёма/типа передаваемых данных.

И в любом случае, в соответствии с законом (ст. 53) оператор за пределами Китая, на которого распространяется закон, должен назначить представителя или учредить специальное агентство в КНР, которое будет отвечать за решение вопросов, связанных с защитой персональных данных. Без такого представителя ни регистрация приложения, ни передача данных не разрешаются.

Вы обязаны честно и прозрачно рассказывать пользователю, какие именно данные вы собираете, зачем они нужны, где будут храниться и как он может воспользоваться своими правами. Например, отозвать согласие или удалить данные. (ст. 44 - 48)

Также важно понимать, что не все персональные данные равнозначны с точки зрения закона. Китайское законодательство выделяет особую категорию — чувствительные данные, для которой действуют более строгие требования.

Это информация, утечка которой может потенциально причинить вред пользователю:

Вот минимальный чек-лист, если вы работаете с китайским рынком:

1. Назначить представителя в Китае.

Это может быть ваша дочерняя компания или местный партнёр. Он будет официально взаимодействовать с китайскими регуляторами от вашего имени.

2. Получить согласие пользователей на передачу данных за границу.

При входе в приложение должно быть ясно: данные будут храниться в России и они должны дать на это своё согласие. Особенно важно для ID, геолокации и платежей.

3. Публично рассказать, что вы делаете с данными.

Политика конфиденциальности (на китайском языке!) должна чётко объяснять: какие данные вы собираете, зачем, где они хранятся и как пользователь может отказаться.

Главное не тянуть до последнего! Китайские регуляторы стали серьёзно проверять даже небольшие проекты.

Надеемся, эта статья помогла вам немного лучше разобраться в том, как работать с данными китайских пользователей, не нарушая закон. Но помните, всё, что вы прочитали выше — это краткий обзор, а не юридическая инструкция к применению. Китайское регулирование может меняться, и в каждом отдельном случае детали имеют значение.

Хотите больше о Китае? Подписывайтесь — расскажем.