Суть оценки: не бюрократия, а страховка
Многие инвесторы, особенно те, кто привык к более либеральным режимам передачи данных, воспринимают требование об оценке безопасности как очередной бюрократический барьер. «Зачем нам это? Мы же просто отправляем отчётность материнской компании», — слышу я постоянно. На самом деле, это фундаментальное заблуждение. Оценка безопасности — это не просто заполнение формы ради галочки. Это, если хотите, ваш «due diligence» в отношении данных. Вы же не купите завод, не проверив его экологическую безопасность? Так и здесь: передавая данные, вы передаёте активы. И нужно чётко понимать, какие риски вы берёте на себя. В китайском Законе о безопасности данных (DSL) заложен принцип «контроля риска», а не «абсолютного запрета». Оценка — это инструмент, который позволяет легально и безопасно организовать этот трансграничный трафик. Это ваш щит от претензий регулятора, который в последнее время, надо сказать, стал работать гораздо быстрее и жёстче.
Помню случай с одним немецким автоконцерном, нашим клиентом. Они годами передавали в штаб-квартиру стенограммы переговоров с дилерами и первичные данные о тест-драйвах. Считали это рутиной. А когда начали готовить полноценную оценку, выяснилось, что часть этих данных попадает под категорию «важные данные» (например, данные, позволяющие построить карту загрузки инфраструктуры в конкретных регионах). Им пришлось срочно менять архитектуру передачи, вводить деперсонализацию и получать согласие. Процедура, которую они считали лишней, спасла их от потенциального штрафа в размере до 5% от годовой выручки, а также от репутационных потерь. Так что воспринимайте оценку не как обузу, а как элемент корпоративной гигиены.
Важно понимать структуру оценки. Самооценка (self-assessment) — это первый этап. Вы должны документально подтвердить: что, куда, зачем и как передаёте. Затем следует экспертиза уполномоченной структуры (обычно это специализированные аккредитованные центры или профильные регуляторы). Результат — заключение о допустимости или недопустимости передачи. На всё это, как показывает практика, уходит от 3 до 6 месяцев, если действовать без раскачки. Поэтому откладывать «на потом» — это роскошь, которую себе позволяют только те, кто не сталкивался с блокировкой счета или вызовом в прокуратуру.
Классификация: кто в ответе за «сортировку»
Самый сложный, на мой взгляд, этап — это классификация данных. Закон говорит: «важные данные», но кто и как решает, что именно является важным? В Китае для этого существуют отраслевые каталоги (Industry-specific Catalogues). Например, для автомобильной промышленности — это данные о транспортных потоках и маршрутах движения; для финансового сектора — это агрегированные данные об операциях клиентов; для здравоохранения — это статистика о заболеваниях. Проблема в том, что эти каталоги постоянно уточняются и дополняются. Я всегда говорю своим клиентам: «Не пытайтесь угадать, используйте метод исключения, но с перестраховкой». Если есть сомнения, лучше отнести данные к категории «важные» и провести полную процедуру оценки, чем потом доказывать, что «мы думали, это неважно».
В моей практике был случай с фармацевтическим дистрибьютором. Они передавали на штаб-квартиру обезличенные данные о продажах препаратов. Руководство в Европе считало, что это безопасно. Однако, когда мы начали разбираться, оказалось, что данные о продажах рецептурных препаратов по конкретным регионам позволяют косвенно оценить заболеваемость населения в этих регионах. Это уже попахивает «важными данными», связанными с национальной безопасностью в сфере здравоохранения. Пришлось буквально «разделять» массивы данных: общую статистику продаж (можно передавать) и детализированную по регионам (требуется оценка). Это кропотливая работа, но без неё никуда. На кону — не только штрафы, но и уголовная ответственность для должностных лиц компании.
Здесь нужно вспомнить про «идентификацию субъекта оценки». Кто должен эту оценку проводить? По закону — это обязанность «обработчика данных» (data handler). То есть китайская дочерняя компания, которая собирает данные. Материнская компания хоть и является конечным получателем, но инициатор процесса — локальное юрлицо. Очень частая ошибка, когда голова за океаном пытается навязать свои протоколы, не понимая местной специфики. Я всегда советую: создайте внутри компании рабочую группу, в которую войдут юрист, IT-директор и представитель бизнеса (CFO или коммерческий директор). Только так можно адекватно оценить и риски, и бизнес-необходимость.
Анализ рисков: на что смотрим в первую очередь
Методология оценки включает несколько обязательных блоков. Первый — это законность целей передачи. Зачем вы передаете данные? Только для ведения бизнеса (финансовая отчётность, управление персоналом)? Или есть что-то ещё? Вторая — согласие субъектов данных. Сотрудники, клиенты, контрагенты должны знать, что их данные уходят за рубеж, и дать на это четкое, информированное согласие. Никакого «умолчания» или «общего согласия на обработку» здесь недостаточно. Нужно индивидуальное согласие под конкретную операцию трансграничной передачи.
Третий блок — это меры защиты. Какие технические средства вы используете для защиты данных в пути и на стороне получателя? Шифрование? Протоколы передачи? Есть ли у получателя сертификаты ISO 27001? Как часто проводятся пентесты (тесты на проникновение)? Регулятор обязательно спросит: «Как вы можете гарантировать, что данные не утекут?». И вот тут вы должны показать не просто «мы купили файрвол», а выстроенную систему защиты. На моей памяти один логистический оператор поплатился именно за то, что их контракт с российским дата-центром не предусматривал SLA (соглашение об уровне услуг) по физической безопасности серверов. Казалось бы, мелочь, но в отчёте это стало «красным флагом».
Четвёртый блок — это политика получателя. Включает ли юрисдикция страны-получателя данные в государственные реестры? Есть ли у спецслужб доступ к данным? Это так называемый «второй уровень» оценки. Например, если данные передаются на территорию страны, которая, по мнению китайского регулятора, не обеспечивает адекватного уровня защиты (например, не является участником международных конвенций), риски возрастают. В таком случае вам, возможно, придётся применять дополнительные инструменты — например, подписывать Типовые договорные оговорки (SCC) или даже создавать локальное хранилище данных на территории Китая. Я знаю случаи, когда компании из-за этого полностью пересматривали свою ИТ-архитектуру и переносили серверы в Гонконг или Сингапур как компромиссный вариант.
Документирование: бумаги, которые говорят сами за себя
Всё, что не записано, того не существует. Эта аксиома в оценке безопасности трансграничной передачи работает на 200%. Регулятор оценивает не только факт передачи, но и качество вашей внутренней документации. Должно быть разработано «Положение о трансграничной передаче данных», приказ о назначении ответственного лица за защиту данных (DPO), реестр операций обработки. И это не просто копипаст из Интернета. Каждый пункт должен быть адаптирован под ваш бизнес-процесс.
Помню случай с одной японской торговой компанией. Они подготовили толстенную папку документов, но все шаблоны были скачаны с сайта какого-то колледжа. Там было написано про «студенческие билеты» и «расписание занятий». Инспектор, конечно, задал неудобный вопрос: «Господа, а у вас колледж?». Это вызвало задержку в получении заключения на три месяца. Документы должны быть «живыми». Они должны описывать именно ваши бизнес-процессы, вашу систему классификации, ваши контракты с провайдерами облачных услуг. Я рекомендую хранить не только финальную версию, но и черновики обсуждений — это доказывает, что вы проводили оценку добросовестно, а не «липу» ради галочки.
Особое внимание — контрактам с третьими лицами. Если вы передаёте данные через облачного провайдера (Alibaba Cloud, AWS, Azure) или используете стороннего обработчика, его ответственность тоже должна быть прописана. В договоре должны быть пункты о конфиденциальности, о локализации данных, о праве китайской стороны на аудит. Без этого ваша оценка будет неполной. Регулятор скажет: «А как вы контролируете подрядчика?». И если ответа нет, это станет основанием для отказа. Это как цепочка поставок: слабое звено ломает всю систему.
Периодичность и актуализация: не раз в жизни, а процесс
Ещё один миф, который я часто развеиваю: «Мы один раз провели оценку и забыли». Нет, это непрерывный процесс. Закон требует проводить оценку не реже одного раза в год. А если произошли изменения — изменилось законодательство, расширился перечень передаваемых данных, изменился способ передачи (перешли на новое облачное решение), или появились новые риски — вы обязаны провести внеплановую оценку. Динамика здесь критически важна. Это похоже на технический осмотр автомобиля: нельзя получить талон ТО раз в жизни и ездить 20 лет.
Сейчас, в 2024-2025 годах, ситуация меняется особенно быстро. Появляются новые разъяснения Cyberspace Administration of China (CAC). Уточняются стандарты по шифрованию. Вводятся требования к обязательному тестированию на уязвимости. Если ваша компания не мониторит эти изменения, вы рискуете оказаться вне правового поля. Я рекомендую своим клиентам подписываться на официальные новостные каналы CAC и хотя бы раз в квартал проводить небольшой «чек-ап» своей системы документооборота.
Кстати, о практике. Недавно к нам обратилась французская косметическая сеть, которая открывала интернет-магазин в Китае. Они хотели передавать в штаб-квартиру обезличенную аналитику поведения покупателей (cookies, клики, время просмотра). На первый взгляд — безобидно. Но в ходе анализа выяснилось, что их система использует трекеры, которые в режиме реального времени передают координаты устройства (IP-геолокация). А это уже данные, подпадающие под регулирование. Пришлось переписывать код сайта. Вот вам и пример того, как инженерная деталь может стоить бизнесу многомиллионных штрафов. Вовремя проведя ре-оценку системы телеметрии, мы спасли их репутацию.
Роль юрисдикции и международных соглашений
Важнейший аспект, который часто упускают из виду — это правовой режим страны-получателя. Китайский регулятор смотрит, заключена ли с этой страной международная конвенция о взаимной правовой помощи по уголовным делам, есть ли соглашение о защите данных. Например, с Россией нет отдельного двустороннего договора «о персональных данных», но есть общие рамки ШОС и БРИКС. Однако полагаться только на это — рискованно. Практика показывает, что лучше всего передавать данные в страны, которые являются членами APEC CBPR (система сертификации по трансграничной передаче данных). Для тех стран, где такой защиты нет, риски оценки возрастают в разы.
Я часто привожу пример с передачей данных в Индию. Индия — крупный рынок, но её законы о защите данных (DPDP Act) хоть и приняты, ещё не полностью имплементированы. Китайский регулятор может посчитать, что уровень защиты там «неадекватный». В таком случае, в заключении оценки вам могут предписать обязательное хранение копии данных на территории Китая с предоставлением доступа для локальных аудиторов. Мы в «Цзясюй Цайшу» всегда рекомендуем нашим клиентам, работающим с индийскими партнёрами, закладывать в бюджет строительство или аренду «зеркального» хранилища в Китае. Это удорожает проект, но без этого легально передать критически важные данные, например, по поставкам в дью-дилидженс, невозможно.
Не стоит забывать и про механизм «стандартных договорных оговорок» (SCC). Да, Китай официально признал их на уровне Постановления о безопасности данных, но это не панацея. SCC должны быть адаптированы под китайское право, содержать конкретные меры ответственности, а главное — они должны быть одобрены регулятором в составе пакета документов по оценке. Просто подписать типовой договор из ЕС и отправить в CAC не получится — вернут на доработку. Это тонкая работа юристов, знающих обе правовые системы.
Будущее: от оценки к культуре
Завершая наш разговор, хочу поделиться своей точкой зрения. Система оценки безопасности трансграничной передачи важных данных — это не статичный набор правил. Это эволюционирующий механизм. Я вижу, что через 2-3 года мы придём к тому, что этот процесс станет автоматизированным с помощью AI-инструментов, которые будут в реальном времени классифицировать данные и выдавать предупреждения о рисках. Но пока мы находимся на стадии становления. Лично я считаю, что ключ к успеху — это не столько знание закона, сколько системное мышление и готовность встраивать комплаенс в операционную деятельность компании.
Главные выводы просты. Во-первых, не откладывайте оценку на последний день, она требует времени. Во-вторых, инвестируйте в консультантов и юристов, которые имеют практический опыт прохождения этой процедуры до конца. В-третьих, готовьтесь к тому, что вам придётся менять бизнес-процессы, а не только документы.
Впереди нас ждет внедрение системы добровольной сертификации на трансграничную передачу. Это упростит жизнь многим, но потребует ещё более высокой дисциплины. Будьте готовы учиться и адаптироваться. Как говаривал один мой старый наставник: «Китай любит тех, кто соблюдает правила, даже когда они написаны мелким шрифтом».
---Мнение эксперта (Цзясюй Цайшу)
Наша компания, «Цзясюй Цайшу», с многолетним опытом сопровождения иностранных предприятий в Китае, считает, что текущая модель оценки безопасности трансграничной передачи важных данных является необходимым этапом становления зрелого цифрового рынка. Мы не рассматриваем эти требования как барьер, а скорее как инструмент для выстраивания доверительных отношений между бизнесом и государством. Для наших клиентов мы разработали модульный подход: от первичного аудита данных и классификации до полного сопровождения процедур CAC. Мы гарантируем, что все документы будут соответствовать последним разъяснениям и стандартам. Особенно важно, что мы помогаем интегрировать требования оценки в существующие ERP-системы клиентов, делая процесс «прозрачным» для IT-отдела и безопасным для бизнеса. Мы уверены, что грамотный комплаенс — это не затраты, а конкурентное преимущество в долгосрочной перспективе. Обращайтесь, поможем разобраться.
