В разных странах предпринимаются попытки формирования правового регулирования индустрии больших данных и наиболее разработанным, с точки зрения правовых конструкций, учитывающих национальные особенности страны, является правовой режим данных в Китайской Народной Республике (КНР). Несомненно, важным является вопрос о возможности применения опыта Китая в России.
Ключевые слова: большие данные, Вig data, данные.
In different countries, attempts are being made to form legal regulation of the big data industry, and the most developed, in terms of legal structures that take into account the national characteristics of the country, is the legal data regime in the People's Republic of China (PRC). Undoubtedly important is the question of the possibility of applying the experience of China in Russia.
Keywords : вig data, data.
Технологии искусственного интеллекта (ИИ) и Больших Данных (Вig data — «данные очень большого размера, как правило, до такой степени, что их обработка и управление представляют собой значительные логистические проблемы; (также) вычислительная отрасль, включающая такие данные») [1] являются главным драйвером развития национальных экономик разных стран в эпоху становления цифровой экономики.
Правовой режим регулирования обработки данных в КНР основывается на всеобъемлющем государственном контроле данных граждан своей страны и направлен на использование данных для развития собственных технологических компаний.
Правовая модель регулирования данных в Китае строится на основополагающем принципе, что данные — это достояние нации, наряду с таким достоянием как земля, капитал, технологии.
Китайский подход к защите данных предполагает политику обеспечения контроля китайских компаний над «важными» данными, в том числе за счёт хранения данных о китайских пользователях на территории страны, обязательного использования национальных стандартов Китая в областях, связанных с ИИ, включая облачные вычисления, промышленное программное обеспечение и большие данные.
Начало построения китайской модели регулирования данных связывают с принятием в 2017 году Закона о кибербезопасности (Cyber security law (CSL)) [2], который определил политику государства в области сбора информации о гражданах, защите личных данных. Закон впервые предписал хранить все данные о китайских пользователях на территории страны, в целях предупреждения угрозы национальной кибербезопасности.
Следующим шагом в развитии законодательства в сфере регулирования данных считается вступивший в силу с 1 ноября 2021 года Закон о защите личной информации (Personal Information Protection Law (PIPL)) [3] ставший первым и всеобъемлющим законом КНР о конфиденциальности и защите данных.
Закон разработан на основе Конституции страны в целях защиты прав и интересов в отношении личных данных, регулирования деятельности по обращению с личными данными и содействия их разумному использованию. Положения закона PIPL направлены на борьбу со взломом и неправомерным использованием, утечкой личных данных, в том числе при обработке больших данных.
Закон о защите личной информации PIPL определил понятие процесса обработки личных данных, включающий в себя сбор, хранение, использование, обработку, передачу, предоставление, раскрытие, удаление личной информации. Политика в области обработки данных строится на принципах справедливости, прозрачности, точности данных и ограничениях целей их обработки. Закон наделил пользователей правом получать конкретную информацию о том, как, где, кем и с какой целью используются его данные, сохраняя за собой право в любой момент отозвать свое согласие на обработку личных данных. Обмен данными с зарубежными партнерами жестко регламентирован, он возможен после строгой проверки отделами кибербезопасности страны и получения одобрения в соответствующих инстанциях Китая.
Закон о безопасности данных (Data Security Law of the People's Republic of China (DSL)) [4], вступивший в силу 1 сентября 2021 года, стал следующим шагом китайских регуляторов на пути построения законодательства о данных на территории страны. С принятием закона урегулирован процесс обращения с данными, обеспечения их безопасности, защиты законных прав и интересов граждан и организаций, а также защиты государственного суверенитета и безопасности.
В Законе о безопасности данных DSL дано определение термину «данные», который определен как любая запись информации в электронной или любой другой форме. Процесс обработки данных, согласно закону DSL, включает в себя сбор, хранение, использование, обработку, передачу, предоставление, раскрытие данных. Под безопасностью данных в законе DSL понимается применение необходимых мер для обеспечения эффективной защиты и законного использования данных, а также способность обеспечивать устойчивое состояние безопасности (здесь и далее приводится авторский перевод терминов, поименованных в законе).
В законе DSL китайские регуляторы привели классификацию данных, которые разделены по степени важности на — «обычные данные», «важные данные», «личные данные», соответственно заложив основу для установления различных режимов регулирования данных в зависимости от степени их важности для государства.
Согласно закону о защите данных DSL, к компетенции государства в области защиты данных относится составление общего плана координации развития и обеспечения безопасности данных, реализация стратегии больших данных, продвижение строительства инфраструктуры данных, поддержка инновационного применения данных во всех отраслях и областях деятельности.
Защита данных в зависимости от их важности для экономического и социального развития, а также степени ущерба национальной безопасности, общественным интересам или законным правам и интересам лицам или организациям, которые будут вызваны изменением, уничтожением, утечкой или незаконным получением или использованием данных так же является задачей государства. В компетенцию регионов входит создание конкретных каталогов важных данных для региона, департаментов и соответствующих отраслей, секторов.
Закон о защите данных DSL запрещает трансграничную передачу ключевых и персональных данных, предусматривая значительные санкции (конфискацию незаконно полученных доходов, штраф, приостановку деятельности организаций, отзыв лицензии), налагаемые на организации и соответствующий персонал, за несоблюдение законодательства в области защиты данных.
Следует отметить, что закон КНР о безопасности данных DSL впервые признал и установил систему торговли данными, узаконив их куплю-продажу, что позволило на территории страны создать биржи данных.
С 1 сентября 2022 года на территории КНР действует Приказ Государственной службы интернет-информации, принятый во исполнение безопасности экспорта данных» [5], которые направлены на регулирование деятельности по экспорту данных, защиту прав и интересов личной информации, защиту национальной безопасности и общественных интересов, а также содействие трансграничной безопасности и свободному потоку данных.
Приказом конкретизировано по сравнению с законом о защите данных DSL понятие «важные данные», к ним отнесены данные, которые могут поставить под угрозу национальную безопасность, экономическую деятельность, социальную стабильность, общественное здоровье и безопасность и т. д. в случае их подделки, уничтожения, утечки, незаконного получения или использования.
Принятие указанного нормативного акта направлено на регулирование деятельности китайских IT-компаний, обрабатывающих данные, собранные и сгенерированные на территории КНР. Приказом определены субъекты, обрабатывающие данные и передающие их за границу, которые обязаны проводить оценку безопасности исходящих данных как самостоятельно, так и путем подачи соответствующей декларации в национальный отдел кибербезопасности и информатизации, указывая цели, объем и методы экспорта данных и обработки данных зарубежными получателями. При подаче декларации и заявки на оценку рисков предписано указывать и оценивать масштабы, охват, тип и конфиденциальность данных, направляемых за границу, а также риски, которые данные, направляемые за границу, могут создавать для национальной безопасности, общественных интересов, законных прав и интересов отдельных лиц или организаций.
Приказом предусмотрено заключение контрактов, связанных с экспортом данных, или других юридических обязывающих документов, которые должны быть заключены с зарубежным получателем, предусматривающие установление обязательств и их ответственности по защите данных. Приказом установлен регламент проведения оценки рисков, в том числе установлены сроки подачи декларации субъектом обработки данных на оценку безопасности рисков и сроки проведения такой оценки национальным отделом кибербезопасности.
Власти КНР, демонстрируя последовательность в выбранной стратегии формирования нормативных требований в области кибербезопасности, в июле 2021 года впервые запустили первую процедуру проверки сетевой безопасности на предприятиях, проведя проверку поставщиков, оказывающих онлайн услуги. По результатам проверки под блокировку приложения и запрет регистрации новых пользователей попала крупная компания, обрабатывающая данные пользователей DiDi Chuxing, оказывающая услуги по перевозке (такси).
Закон о безопасности данных DSL является основным и руководящим правовым документом для разработки последующих нормативных актов КНР. В настоящее время продолжается работа по разработке и подготовке постановлений во исполнение закона о кибербезопасности (CSL), закона о личной информации (PIPL), закона о защите данных DSL.
Особенностью китайского модели регулирования обработки и обработки данных является признание данных экономическим активом, ключевым фактором производства в стране; установление национального суверенитета данных; установление режимов защиты данных для различных категорий данных; регулирование доступа государства к массивам данным техногигантов и частных компаний; формирование рынка купли-продажи данных.
В отличие от Китайской Народной Республики, в Российской Федерации отсутствует целостная концепция нормативного регулирования обработки данных, что может является сдерживающим фактором развития технологического сектора, создавать угрозы национальной безопасности.
Учитывая, что владение данными является основой политического и экономического влияния в современном цифровом обществе, требуется скорейшее формирование правового регулирования данных в России, в том числе и для предотвращения неконтролируемого использования данных, создания условий, методов для поддержания национальной безопасности в киберпространстве.
Правовая неопределенность в сфере регулирования индустрии больших данных, отсутствие законодательного закрепления терминов и понятий «данные», «цифровые данные», «данные в цифровой форме», отсутствие четко определенных категорий данных и соответственно способов и методов их защиты, повышают угрозу информационной безопасности российского государства, личности, общества, препятствуют развитию рынка данных и, как следствие, является сдерживающим фактором развития технологий ИИ.
Видится целесообразным учитывать опыт КНР в области построения нормативного регулирования обработки данных для построения российской модели, с учетом национальных особенностей страны, начав с законодательного закрепления терминов и понятий, необходимых в этой сфере, как сделано это китайскими регуляторами.
Правовое регулирование обработки данных необходимо начинать исходя из обеспечения безопасности данных, понимания стратегии развития Больших данных, поддержке инновационного применения данных.
Видится возможным применение опыта КНР в части распределения полномочий и установления компетенций всех уровней власти в процессе координации развития и безопасности данных. Так же важным вопросом является определение российского законодателя по вопросу принадлежности данных, признания прав на данные и допустимости в России внедрения практик купли-продажи данных не в ущерб национальной безопасности.
Литература:
- Big, adj. and adv. — Текст: электронный // Oxford English Dictionary: [сайт]. — URL: http://www.oed.com/view/Entry/18833#eid301162177 (дата обращения 22.05.2021).
- Cyber security law (CSL). — Текст: электронный // The National People's Congress of the People's Republic of China: [сайт]. — URL: http://en.npc.gov.cn.cdurl.cn/2015–07/10/.htm/ (дата обращения 22.10.2022)
- Personal Information Protection Law (PIPL). — Текст: электронный // China Law Translate: [сайт]. — URL: https://www.chinalawtranslate.com/en/Personal-Information-Protection-Law/ (дата обращения: 22.10.2022).
- Data Security Law of the People's Republic of China (DSL). — Текст: электронный // The National People's Congress of the People's Republic of China: [сайт]. — URL: http://en.npc.gov.cn.cdurl.cn/2021–06/10/c_689311.htm/ (дата обращения 20.10.2022)
- 数据出境安全评估办法 = Меры по оценке безопасности экспорта данных. — Текст: электронный // 中共中央网络安全和信息化委员会办公室 = Управление по вопросам киберпространства Китая: [сайт]. — URL: http://www.cac.gov.cn/2022–07/07/c_1658811536396503.htm/(дата обращения 10.11.2022). — Рез. кит.