Дао киберпространства Китая

Что нового происходит в регулировании IT-компаний КНР

Власти Поднебесной обеспокоены тем, что технологические корпорации страны размещают свои акции за ее пределами. Согласно новым требованиям Управления по вопросам киберпространства Китая, компании, которые владеют данными не менее миллиона клиентов и хотят провести зарубежное IPO, должны проходить дополнительную проверку. Незадолго до этого регулятор распорядился удалить из всех национальных онлайн-магазинов приложение такси Didi, после того как сервис вышел на биржу в Нью-Йорке.


ДЛЯ ТЕХ, У КОГО ЗА МИЛЛИОН

Управление по вопросам киберпространства КНР (Cyberspace Administration of China, CAC) разместило на своем сайте проект новых требований по сетевой безопасности.

Они касаются, в частности, тех китайских технологических компаний, которые обслуживают или владеют данными не менее миллиона клиентов и хотят разместить свои акции за пределами страны. Такие корпорации, согласно документу, должны будут подавать заявки на одобрение и проходить дополнительную проверку в CAC.

«Критическая информационная инфраструктура, основные данные или большие объемы личной информации могут быть подвергнуты влиянию, контролю или злонамеренному использованию иностранными правительствами», – объяснили в ведомстве такое решение.

Кроме того, компаниям предписывается предоставлять китайскому регулирующему органу документацию, необходимую для подготовки и проведения зарубежного IPO.

В рамках проверки ведомство намерено рассматривать потенциальные угрозы для национальной безопасности. Кроме того, будут оцениваться надежность хранения компаниями данных китайских пользователей и риски хищения, утечки, повреждения или незаконного экспорта такой информации. Пока проект находится на общественном обсуждении. Точная дата вступления правил в силу не сообщается.

Эксперты отмечают, что порог в миллион пользователей – довольно невысокий, а значит, новые условия будут применяться практически к каждой интернет-компании.

Ранее CAC распорядился удалить из всех национальных онлайн-магазинов приложение сервиса Didi, который провел IPO в США.

Поводом для требования Управление по вопросам киберпространства КНР назвало «серьезное нарушение компанией законодательства в сфере сбора и использования персональных данных».

Причем, как пишет The Wall Street Journal,

регулятор предлагал сервису такси отложить IPO в США, но в отсутствие прямого запрета компания все же решила выйти на биржу в Нью-Йорке

По словам собеседников издания, власти Китая настороженно отнеслись к тому, что данные Didi могут попасть в руки иностранцев.

Регулятор также начал расследование в отношении еще двух китайских IT-компаний – Full Truck Alliance и Kanzhun, разместивших свои акции на американских биржах в июне.

CAC проверит, как корпорации обращаются с персональными данными пользователей.


ОТВЕТНАЯ РЕАКЦИЯ

А вот китайская компания ByteDance, владелец популярного приложения для короткометражного видео TikTok, поступила иначе, нежели Didi, и отложила планы провести IPO на неопределенный срок после консультаций с CAC в начале года.

Как пишет The Wall Street Journal, представители регулятора посоветовали корпорации сосредоточиться на устранении рисков безопасности данных.

Между тем усиление контроля над зарубежными листингами китайских компаний со стороны государства поставило под угрозу примерно 70 IPO фирм из Гонконга и Китая, планировавших выйти на биржу в Нью-Йорке, сообщил Bloomberg.

За ужесточением мер со стороны китайского регулятора стоят предшествующие шаги властей США, которые потребовали, чтобы IT-компании из КНР, размещающие акции на американских биржах, проходили регулярные проверки аудиторами этой страны, сообщил RSpectr аналитик ФГ «ФИНАМ» Леонид Делицын.

В прошлом году экс-президент США Дональд Трамп подписал закон «О подотчетности иностранных компаний». Помимо требований об аудиторских проверках, документ обязывает фирмы, представленные на американских биржах, подтверждать, что они не находятся под контролем иностранных властей. В результате китайские технологические гиганты столкнулись с трудностями в привлечении зарубежных инвестиций.

При этом практически каждая крупная IT-компания из КНР использует структуру, основанную на модели Variable Interest Entity (с переменной долей участия), и официальный Пекин все больше беспокоится по этому поводу.

«Создавались холдинги, которые контролировали IT-фирмы, и эти холдинги привлекали американские деньги путем размещения своих акций на биржах в США», – поясняет Л.Делицын. По словам эксперта, китайские власти до определенной поры делали вид, что ничего не замечают, поскольку их вполне устраивает, что в страну идут зарубежные инвестиции. Но для них совершенно неприемлем контроль над китайской экономикой со стороны иностранцев.

В свою очередь, американские вкладчики фактически не владеют холдингами и очень плохо себе представляют, что на самом деле происходит в компаниях. Поэтому власти США хотели бы запустить в них своих аудиторов, отмечает Л.Делицын.

Леонид Делицын, «ФИНАМ»:

– В принципе, IPO китайских компаний на американских биржах могут и прекратиться. Сейчас они там проводятся едва ли не еженедельно и точно ежемесячно. Поэтому власти КНР уже не могут не демонстрировать внимания к этому вопросу.


ПО ЗАКОНУ

Очевидно, что регуляторы Поднебесной разрабатывают все больше нормативных актов, способствующих контролю за хранением, передачей и конфиденциальностью данных, в том числе персональных (ПД).

Регулирование киберсферы в Китае в целом можно определить как стремление найти баланс между формальным невмешательством государства, законодательной охраной оборота ПД и необходимостью сбора и использования информации о гражданах, отмечается в исследовании НТЦ ГРЧЦ.

В начале 2021 года в КНР было принято несколько инициатив:

  • Закон о защите личной информации (Personal Information Protection Law). Документ впервые устанавливает исчерпывающий набор правил по сбору и защите ПД и может применяться к зарубежным обработчикам.
  • Закон о безопасности данных (Data Security Law). Он сфокусирован на защите национальной безопасности Китая. Идея закона заключается в создании всеобъемлющей системы защиты данных, управляемой государством.
  • Гражданский кодекс. Закрепляет право на неприкосновенность частной жизни и принципы защиты личной информации. Он устанавливает правовую основу для обработки ПД, обязанности для операторов ПД, права отдельных лиц на их личную информацию и обязанности административных органов по сохранению, неразглашению и нераспространению данных, полученных ими в ходе выполнения должностных регламентов.
  • Закон о криптографии. Призван регулировать применение и управление шифрованием, обеспечивать информационную и национальную безопасность и общественные интересы, защищать законные права граждан, юридических лиц и других организаций. Исполнение документа контролируется Государственным управлением криптографии (SCA). В сферу его ответственности входит разработка стандартов, управление исследованиями, расследование и предотвращение утечек конфиденциальной информации, руководство образовательными проектами в области криптографии. В законе определены три категории шифрования: базовая, основная и коммерческая. Первая и вторая относятся к обеспечению нацбезопасности. Третья предполагает взаимодействие между коммерческими структурами.

Таким образом,

законы Китая формируют открытые информационные сети для госорганов внутри страны и полностью закрытую систему для влияния извне

Эксперты отмечают также, что КНР стремится достичь лидерства на международной арене за счет формирования правовых рамок, которые могут быть приняты мировым сообществом для законодательного регулирования киберсреды. Это обусловлено отсутствием утвержденного международного права в этой области.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Вендор из КНР под ударом санкций
Как правительства стран Евросоюза, Великобритании и США запрещают оборудование Huawei