За последние 5 лет Китайская Народная Республика активизировала усилия по созданию правовой архитектуры для защиты данных. С обнародованием Закона о защите личной информации (PIPL) и Закона о безопасности данных (DSL) летом 2021 года первый этап этих усилий был завершен. Это окажет значительное влияние на потоки данных внутри Китая, но также заслуживает внимания за рубежом. Они предлагают новый подход к защите данных, подлежащий сравнительному анализу, и могут повлиять на разработку законодательства о защите данных в других государствах, особенно в тех, которые имеют тесные цифровые связи с Китаем. Для этого требуется более глубокое понимание того, как это законодательство формируется в политическом и экономическом контексте Китая. Опираясь на тщательный анализ правительственных документов, В этой статье, дополненной академическими источниками на китайском языке, рассматривается эволюция двух столпов архитектуры защиты данных в Китае, начиная с ранней стадии фрагментации через обнародование Закона о кибербезопасности в 2016 году и заканчивая сегодняшним днем. Он считает, что PIPL и сопутствующие ему правила служат в первую очередь для регулирования отношений между крупными технологическими компаниями и потребителями, а также для предотвращения киберпреступлений. Он не создает значимых ограничений на сбор и использование данных государством. Тем не менее, PIPL имеет явное сходство с режимами защиты персональных данных в других странах мира. Напротив, DSL представляет собой значительное новшество, пытающееся предотвратить ущерб национальной безопасности и общественным интересам, наносимый с помощью средств, основанных на данных.
Введение
Быстрое распространение цифровых услуг, сопутствующее увеличение объемов генерации, сбора, обработки и использования данных, а также многочисленные громкие инциденты, связанные с безопасностью, выдвинули вопросы защиты данных на видное место в политической повестке дня в странах по всему миру, и Китай не является исключением. . Несмотря на это, Китай относительно поздно пришел в цифровой мир, и специальные правила защиты данных почти не существовали до конца 2000-х годов. Однако с тех пор Китай с нуля приступил к всеобъемлющему законодательству, кульминацией которого стало обнародование Закона о защите личной информации (PIPL) и Закона о безопасности данных (DSL) в 2021 году.
По мере того, как усилия Китая по защите данных набирали обороты, несколько зарубежных исследователей обратили на них внимание ученых [ 1–5 ]. В первую очередь они подходят к этой теме через сравнительный подход, оценивая китайские разработки в свете или в отличие от защиты данных в США и Европе. Перно-Леплей, например, анализирует китайскую модель защиты данных как «третий путь» между европейским подходом, ориентированным на конфиденциальность, и американской концепцией, ориентированной на рынок. Это понятно: китайские ученые и эксперты, некоторые из которых принимали участие в разработке законов, правил и стандартов, в целом признают уроки, которые Китай извлек из подходов Европы и США [ 6–9 ].]. Однако, как предупредил Дон Кларк, использование западных правовых рамок для осмысления событий в Китае рискует создать белые пятна в отношении тех элементов китайского правопорядка, которые нелегко охватить в западной теории права, но которые могут иметь решающее значение для понимания того, как закон задуман и составлен. реализованы и соблюдаются [ 10 ]. Кроме того, правовые разработки не происходят в вакууме, а должны находиться в более широком социальном, политическом и экономическом контексте, в котором они происходят. Простая ссылка на потенциально сопоставимые законодательные изменения в других странах может пролить свет только на небольшую часть головоломки.
В современной литературе о защите данных и Китае это привело как минимум к двум важным связанным упущениям. Во-первых, само существование DSL, которое еще не получило серьезного академического изучения. Этот Закон станет краеугольным камнем правового режима, создающего всеобъемлющую матрицу защиты всех данных, личных или иных, с точки зрения национальной безопасности и общественных интересов. Среди крупных кибердержав это начинание является уникальным и, следовательно, не поддается сравнительному анализу на данный момент времени. Во-вторых, есть концептуальный момент: в современной литературе законодательство о защите данных в Китае анализируется исключительно с использованием понятия «конфиденциальность». Как в США [ 11 ], так и в Европейском Союзе [ 12], неприкосновенность частной жизни и защита данных являются тесно связанными терминами, обычно относящимися к предотвращению вреда отдельным лицам посредством использования информации, связанной с ними, по причинам, включая обеспечение конституционных прав и прав потребителей. Другими словами, концепция конфиденциальности часто ассоциируется с либеральным верховенством права и экономическими ценностями. Опять же, китайские ученые также уделяли значительное внимание неприкосновенности частной жизни с разных точек зрения [ 6 , 13 , 14 ].]. Однако «конфиденциальность» — это не просто аналитическое понятие, это термин в китайском законодательстве с весьма специфическими коннотациями, о чем будет сказано ниже. У него нет конституционного статуса, которым он пользуется в Европе или США. Действительно, само понятие фундаментального права отсутствует в телеологической, инструментальной правовой среде Китая [ 15–18 ].]. Короче говоря, текущие исследования показывают, что китайский режим защиты данных является недавно появившимся, но близким родственником давно зарекомендовавших себя систем в других странах мира. Но эта формулировка исключает многие факторы, стимулирующие стремление Пекина защищать данные, цели, которые он пытается достичь, и контекст, в котором происходят эти события. Несмотря на очевидное сходство с другими правовыми системами, в этой статье утверждается, что стоит понимать отличительные особенности китайского подхода на их собственных условиях, не прибегая априори к сравнительному или концептуальному анализу.
Если реализация конституционных принципов или либеральных ценностей не является целью китайского режима защиты данных, что же тогда является его главной движущей силой? В статье утверждается, что ответ нужно искать в китайской политике «кибербезопасности и информатизации». Китайское законодательство и регулирование неразрывно связаны с «более широкой картиной» ( дадзю ) проекта, который стремится осуществить Коммунистическая партия Китая. В целом, его основными целями являются восстановление положения Китая в богатстве и силе (фуцян ), но конкретные политические последствия этого менялись и развивались с течением времени. В 2014 году Си Цзиньпин объявил о стремлении превратить Китай в «кибердержаву» ( ванглуо дагуо).) за счет сочетания информатизации, внедрения цифровых технологий в социальную, экономическую и политическую жизнь, кибербезопасности. Другими словами, информатизация связана с реализацией позитивных планов и политик, использующих цифровые возможности для целей национального развития, включая экономический рост и эффективное управление, применяемых как государством, так и частными субъектами [ 19 ].]. Кибербезопасность, в свою очередь, формирует защитный экзоскелет вокруг этой сферы развития, защищая от уязвимостей, которыми могут воспользоваться враждебные субъекты. Показательно, что китайское определение кибербезопасности фокусируется не только на более технических вопросах, таких как конфиденциальность, целостность и доступность сетевых систем и данных, которые они содержат, как это делают определения США и Европы, но и на вреде, который они могут нанести китайской экономике. государство, экономика и общество [ 20 ]. В определении Си они неразрывно связаны, как «два крыла на одном корпусе, два колеса одного транспортного средства».
В этом документе предполагается, что два столпа режима защиты данных в Китае, PIPL и DSL, в значительной степени отражают различие между информатизацией и кибербезопасностью. При их разработке китайское правительство стремилось создать архитектуру, которая классифицирует риски, угрозы и отношения, связанные с данными, между субъектами и соответствующим образом управляет ими. Хотя есть некоторое совпадение, основная цель PIPL состоит в том, чтобы регулировать и балансировать отношения между отдельными лицами и организациями, собирающими и использующими данные, которые позволяют их идентифицировать. DSL, с другой стороны, мало заботится о горизонтальных отношениях между субъектами данных и контролерами, но фокусируется на создании всеобъемлющей архитектуры для оценки и управления потенциальными рисками, исходящими от каждой отдельной части данных, хранящихся в Китае. особенно против сил, враждебных целостности режима, возглавляемого Коммунистической партией, внутри страны и за рубежом. Таким образом, он является частью тенденции секьюритизации цифровой сферы, занимающей центральное место в усилиях по кибербезопасности и информатизации с 2014 года.21 , 22 ].
Однако эти два столпа не появились ex nihilo в полной мере .. Они являются результатом многолетней постепенной эволюции под влиянием изменений во внешних факторах и разрешении интеллектуальных дебатов, а также политических факторов, включая борьбу за влияние между различными министерствами с пересекающимися юрисдикциями и противодействие со стороны китайских технологических гигантов. Таким образом, результирующая структура содержит компромиссы, ответы на предполагаемые проблемы и устаревшие компоненты более ранних итераций и механизмов. Следовательно, в этом документе используется подход отслеживания процессов, в котором намечается траектория, по которой возник режим защиты данных. Основываясь на всестороннем обзоре нормативных документов и планов политики, а также академической литературы на китайском языке, он делит эту историю на три периода. Первый, в нем рассматриваются ранние зачатки фрагментарных понятий и механизмов защиты данных до обнародования Закона о кибербезопасности (CSL) 2016 года, в котором изложены основополагающие мандаты для защиты данных. Это включает в себя создание многоуровневой системы защиты, ориентированной на общественную безопасность (MLPS), а также отделение защиты данных от конфиденциальности. Второй этап охватывает период между CSL и более обширными и специализированными положениями DSL и PIPL, в течение которого между различными регулирующими органами происходили значительные обмены мнениями, что привело к нескольким неудачным регуляторным инициативам, а также к техническим данным. нормы защиты. На третьем этапе рассматривается содержание самих DSL и PIPL и обсуждается будущее направление развития архитектуры защиты данных, которую они устанавливают. В заключении обсуждается актуальность режима защиты данных Китая для более широкой литературы по защите данных. Дело Китая не только заслуживает изучения ввиду большого количества онлайн-пользователей Китая и мощных технологических компаний, но и содержит элементы, заслуживающие дальнейшего сравнительного и теоретического изучения.
Генезис защиты данных в Китае (1994–2011 гг.)
Развитие регулирования защиты данных в значительной степени отразило развивающееся восприятие и озабоченность китайского руководства в отношении быстрого внедрения цифровых технологий в государстве, экономике и обществе Китая, а также потенциального воздействия различных форм злоупотребления данными. Этот процесс содержит различные переплетенные нити, каждая из которых сопряжена с рисками и регулятивными мерами. Первый — это появление цифровых государственных систем, начиная с «Золотых проектов» 1990-х годов [ 23 ] и продолжая в настоящее время новым Пятилетним планом информатизации правительства [ 24 ].]. Эти проекты призваны сделать китайское государство более эффективным и результативным при выполнении различных задач, начиная от государственных услуг и заканчивая поддержанием социальной стабильности. Это требует, чтобы государственные органы Китая могли получать данные, включая личную информацию, которые они считают необходимыми для этого. Второй — развитие цифровой экономики, движимое крупными платформенными компаниями, чья бизнес-модель во многом строилась на эксплуатации больших объемов пользовательских данных. В-третьих, по мере роста экономической ценности данных возник большой черный рынок, на котором корпоративные и правительственные инсайдеры торговали личной информацией в больших масштабах. В-четвертых, по мере развития информатизации росла и уязвимость связанных с данными или связанных с ними утечек, взломов и атак.
Законодательная реакция на эти изменения шла медленно, а базовые и широкие рамки были введены в действие только в конце 2000-х годов. Неудивительно, что для политической организации, ценящей секретность и управление информацией, партийное руководство практически сразу же уделило внимание обеспечению сетевой информационной безопасности. В 1994 году Министерству общественной безопасности (MPS) было поручено разработать многоуровневый подход, предусматривающий различные уровни требований в зависимости от важности конкретных сетевых систем [ 25 ]. Однако потребовалось более десяти лет, чтобы эта «многоуровневая система защиты» (MLPS) для информационной безопасности появилась на свет. Сначала он отдавал приоритет конфиденциальной правительственной информации [ 26] и позднее стали включать «сведения, составляющие государственную тайну, сведения, являющиеся собственностью юридических лиц, иных организаций и граждан, а также общедоступные сведения и информационные системы, хранящие, передающие и обрабатывающие эти сведения [ 27 ]». MLPS, завершенный в 2007 году, содержал пять уровней защиты безопасности, причем более высокие уровни предъявляли повышенные требования и подвергались проверке со стороны правительства. MLPS не защищала данные как таковые. Скорее, он формировал градуированный режим защиты для всех сетевых систем, который защищал их целиком, включая их данные. Однако MLPS заложил основу для введения режима DSL более десяти лет спустя. Он создал институциональную и концептуальную основу для защиты цифровых активов с точки зрения «национальной безопасности, жизненных путей экономики и социальной стабильности [ 26 ]».
В области защиты личной информации разработки были крайне фрагментарными и оставались в зачаточном состоянии. В 1980-х и 1990-х годах несколько законов и постановлений требовали соблюдения конфиденциальности личной информации в определенных секторах, таких как банковские и юридические услуги [ 28 ]. По мере того как в 2000-х годах стремление Китая к информатизации набирало обороты, Управление информатизации Государственного совета поручило Чжоу Ханьхуа возглавить разработку законопроекта о защите личной информации, который был опубликован в 2006 году [ 29 ]. В этом «Экспертном предложении» изложены 10 принципов защиты данных, аналогичных международным соглашениям о конфиденциальности и законам в Европе и Азии [ 1]. Он также касался сбора и обработки данных государственными органами. Этот раздел содержал довольно строгие ограничения на сбор данных, а также требование регистрировать процессы сбора в соответствующем ответственном органе, хотя были включены широкие исключения для таких областей, как безопасность и охрана правопорядка. В-третьих, он касался сбора данных «другими обработчиками данных» в частном секторе, требуя от них регистрации в соответствующем органе. В-четвертых, он включал ограничения на трансграничную передачу личной информации, но только для субъектов частного сектора. Что касается правоприменения, проект не призывал к созданию специального регулятора данных, а прибегал к сочетанию сложных процессов административного и судебного правоприменения. Однако предложение Чжоу так и не было принято в качестве официального закона.
Предпринимавшиеся разрозненные усилия по регулированию в значительной степени были реакцией на конкретные явные формы злоупотреблений, которые начали появляться. В редакцию Уголовного кодекса 2009 г. впервые были включены положения о незаконной продаже персональных данных государственными служащими или финансовыми, телекоммуникационными, транспортными, образовательными и медицинскими учреждениями, а также о хищении или незаконном получении такой информации. [ 30 ]. В 2011 году Народный банк Китая выпустил циркуляр о защите банковской и финансовой информации физических лиц. Среди прочего, это требовало, чтобы личная информация, собранная в Китае, хранилась внутри страны [ 31 ].], первый случай обязательной локализации данных. В том же году Министерство промышленности и информационных технологий (МИИТ) выпустило правила для информационных интернет-сервисов, которые установили принципы информированного согласия и необходимости сбора и использования данных, установили обязательства уведомлять власти о серьезных утечках данных и предоставили пользователям права на изменять и удалять свою личную информацию. Они также запретили поставщикам онлайн-услуг передавать или торговать личной информацией. Эти правила ясно указывали на то, что онлайн-экономика получила приоритет в защите личной информации, но сила их правоприменения была ограничена: высшим наказанием, которое могло быть наложено, был штраф в размере 30 000 юаней [ 32 ].]. МИИТ дополнил эти положения техническим стандартом 2013 г., который впервые содержал четкие терминологические определения и основные нормы [ 33 ]. Хотя этот документ не имел обязательной юридической силы, он, тем не менее, обладал значительной нормативной силой.
В отдельно развивающейся области неприкосновенности частной жизни первоначальные понятия, вытекающие из права на репутацию, представленные в Гражданском кодексе 1986 г., были развиты Верховным народным судом, а затем защита конфиденциальных и частных личных дел в Гражданско-процессуальном законе и аспекты неприкосновенности частной жизни. уязвимые группы, такие как несовершеннолетние и женщины [ 28 , 34 ]. Эти положения отражали особое прочтение неприкосновенности частной жизни, основанное на традиционных представлениях о стыде и приличии, в соответствии с которым определенная информация не должна предаваться гласности [ 13 , 35 ].]. Однако это понятие расширилось, чтобы охватить автономию людей решать, какие аспекты своей частной жизни они добровольно раскрывают. Таким образом, неприкосновенность частной жизни стала частью более широкой категории «прав личности» ( rengequan人格权) [ 36 ]), которая также включала такие вопросы, как право на жизнь и здоровье, права на имя и портрет и права на репутацию. Эти права в первую очередь рассматривались как часть гражданского права и были включены в Закон о деликте 2009 года [ 37 ]. Однако не было дано определение конфиденциальности, а Закон содержал только одно конкретное положение о конфиденциальной медицинской информации.
Спотыкаясь о более общей структуре защиты данных (2012–2018 гг.)
Начиная с 2012 года руководство Китая стремилось централизовать управление данными и создать более общие законодательные рамки, отказавшись от разрозненных вмешательств в конкретных секторах. Это отражает общую тенденцию к централизованному цифровому регулированию, включая институциональную концентрацию цифровых компетенций в недавно созданной Администрации киберпространства Китая (CAC) [ 38 ].]. Доминирующей движущей силой этого была быстро растущая потребность в управлении проблемными практиками в растущей экономике платформ, а также столь же быстрое распространение незаконной торговли данными и других форм злоупотреблений, особенно после появления доступных мобильных устройств. В июне 2007 года только 16% населения Китая были в сети. Это число выросло до 70% в 2022 году, более 90% из которых в основном являются мобильными пользователями [ 39 ]. Смартфон способствовал появлению бизнес-ландшафта, в котором доминируют гигантские платформенные компании, такие как Alibaba, Tencent, Bytedance, Pinduoduo и Didi, которые основывают свои коммерческие модели на способности собирать и анализировать пользовательские данные для максимизации прибыли и доли рынка. [ 40 ]. Доходы от электронной коммерции выросли более чем в сто раз в период с 2011 по 2019 год.
В целом китайское правительство весьма поддерживало эти разработки. В 2015 году он выпустил план действий по большим данным, в котором говорилось, что данные стали «базовым стратегическим ресурсом» [ 41 ]. Тем не менее, в этот период злоупотребления, связанные с данными, стали безудержными, поскольку появился черный рынок личной информации [ 42 , 43 ]. Получение холодных звонков о целевых товарах и услугах стало обычным явлением в повседневной жизни китайцев, большая часть которых была результатом незаконной продажи личной информации корпоративными сотрудниками и подрядчиками [ 44 , 45 ], а также государственными чиновниками и ведомствами [ 46 ].]. Одним из наиболее ярких случаев был случай с 18-летней Сюй Юй, которая умерла от сердечного приступа в 2016 году после того, как у нее выманили деньги на обучение в колледже в результате телефонного мошенничества [ 47 ]. Столь же быстро росли и другие формы онлайн-мошенничества [ 48 , 49 ].
Введение
Быстрое распространение цифровых услуг, сопутствующее увеличение объемов генерации, сбора, обработки и использования данных, а также многочисленные громкие инциденты, связанные с безопасностью, выдвинули вопросы защиты данных на видное место в политической повестке дня в странах по всему миру, и Китай не является исключением. . Несмотря на это, Китай относительно поздно пришел в цифровой мир, и специальные правила защиты данных почти не существовали до конца 2000-х годов. Однако с тех пор Китай с нуля приступил к всеобъемлющему законодательству, кульминацией которого стало обнародование Закона о защите личной информации (PIPL) и Закона о безопасности данных (DSL) в 2021 году.
По мере того, как усилия Китая по защите данных набирали обороты, несколько зарубежных исследователей обратили на них внимание ученых [ 1–5 ]. В первую очередь они подходят к этой теме через сравнительный подход, оценивая китайские разработки в свете или в отличие от защиты данных в США и Европе. Перно-Леплей, например, анализирует китайскую модель защиты данных как «третий путь» между европейским подходом, ориентированным на конфиденциальность, и американской концепцией, ориентированной на рынок. Это понятно: китайские ученые и эксперты, некоторые из которых принимали участие в разработке законов, правил и стандартов, в целом признают уроки, которые Китай извлек из подходов Европы и США [ 6–9 ].]. Однако, как предупредил Дон Кларк, использование западных правовых рамок для осмысления событий в Китае рискует создать белые пятна в отношении тех элементов китайского правопорядка, которые нелегко охватить в западной теории права, но которые могут иметь решающее значение для понимания того, как закон задуман и составлен. реализованы и соблюдаются [ 10 ]. Кроме того, правовые разработки не происходят в вакууме, а должны находиться в более широком социальном, политическом и экономическом контексте, в котором они происходят. Простая ссылка на потенциально сопоставимые законодательные изменения в других странах может пролить свет только на небольшую часть головоломки.
В современной литературе о защите данных и Китае это привело как минимум к двум важным связанным упущениям. Во-первых, само существование DSL, которое еще не получило серьезного академического изучения. Этот Закон станет краеугольным камнем правового режима, создающего всеобъемлющую матрицу защиты всех данных, личных или иных, с точки зрения национальной безопасности и общественных интересов. Среди крупных кибердержав это начинание является уникальным и, следовательно, не поддается сравнительному анализу на данный момент времени. Во-вторых, есть концептуальный момент: в современной литературе законодательство о защите данных в Китае анализируется исключительно с использованием понятия «конфиденциальность». Как в США [ 11 ], так и в Европейском Союзе [ 12], неприкосновенность частной жизни и защита данных являются тесно связанными терминами, обычно относящимися к предотвращению вреда отдельным лицам посредством использования информации, связанной с ними, по причинам, включая обеспечение конституционных прав и прав потребителей. Другими словами, концепция конфиденциальности часто ассоциируется с либеральным верховенством права и экономическими ценностями. Опять же, китайские ученые также уделяли значительное внимание неприкосновенности частной жизни с разных точек зрения [ 6 , 13 , 14 ].]. Однако «конфиденциальность» — это не просто аналитическое понятие, это термин в китайском законодательстве с весьма специфическими коннотациями, о чем будет сказано ниже. У него нет конституционного статуса, которым он пользуется в Европе или США. Действительно, само понятие фундаментального права отсутствует в телеологической, инструментальной правовой среде Китая [ 15–18 ].]. Короче говоря, текущие исследования показывают, что китайский режим защиты данных является недавно появившимся, но близким родственником давно зарекомендовавших себя систем в других странах мира. Но эта формулировка исключает многие факторы, стимулирующие стремление Пекина защищать данные, цели, которые он пытается достичь, и контекст, в котором происходят эти события. Несмотря на очевидное сходство с другими правовыми системами, в этой статье утверждается, что стоит понимать отличительные особенности китайского подхода на их собственных условиях, не прибегая априори к сравнительному или концептуальному анализу.
Если реализация конституционных принципов или либеральных ценностей не является целью китайского режима защиты данных, что же тогда является его главной движущей силой? В статье утверждается, что ответ нужно искать в китайской политике «кибербезопасности и информатизации». Китайское законодательство и регулирование неразрывно связаны с «более широкой картиной» ( дадзю ) проекта, который стремится осуществить Коммунистическая партия Китая. В целом, его основными целями являются восстановление положения Китая в богатстве и силе (фуцян ), но конкретные политические последствия этого менялись и развивались с течением времени. В 2014 году Си Цзиньпин объявил о стремлении превратить Китай в «кибердержаву» ( ванглуо дагуо).) за счет сочетания информатизации, внедрения цифровых технологий в социальную, экономическую и политическую жизнь, кибербезопасности. Другими словами, информатизация связана с реализацией позитивных планов и политик, использующих цифровые возможности для целей национального развития, включая экономический рост и эффективное управление, применяемых как государством, так и частными субъектами [ 19 ].]. Кибербезопасность, в свою очередь, формирует защитный экзоскелет вокруг этой сферы развития, защищая от уязвимостей, которыми могут воспользоваться враждебные субъекты. Показательно, что китайское определение кибербезопасности фокусируется не только на более технических вопросах, таких как конфиденциальность, целостность и доступность сетевых систем и данных, которые они содержат, как это делают определения США и Европы, но и на вреде, который они могут нанести китайской экономике. государство, экономика и общество [ 20 ]. В определении Си они неразрывно связаны, как «два крыла на одном корпусе, два колеса одного транспортного средства».
В этом документе предполагается, что два столпа режима защиты данных в Китае, PIPL и DSL, в значительной степени отражают различие между информатизацией и кибербезопасностью. При их разработке китайское правительство стремилось создать архитектуру, которая классифицирует риски, угрозы и отношения, связанные с данными, между субъектами и соответствующим образом управляет ими. Хотя есть некоторое совпадение, основная цель PIPL состоит в том, чтобы регулировать и балансировать отношения между отдельными лицами и организациями, собирающими и использующими данные, которые позволяют их идентифицировать. DSL, с другой стороны, мало заботится о горизонтальных отношениях между субъектами данных и контролерами, но фокусируется на создании всеобъемлющей архитектуры для оценки и управления потенциальными рисками, исходящими от каждой отдельной части данных, хранящихся в Китае. особенно против сил, враждебных целостности режима, возглавляемого Коммунистической партией, внутри страны и за рубежом. Таким образом, он является частью тенденции секьюритизации цифровой сферы, занимающей центральное место в усилиях по кибербезопасности и информатизации с 2014 года.21 , 22 ].
Однако эти два столпа не появились ex nihilo в полной мере .. Они являются результатом многолетней постепенной эволюции под влиянием изменений во внешних факторах и разрешении интеллектуальных дебатов, а также политических факторов, включая борьбу за влияние между различными министерствами с пересекающимися юрисдикциями и противодействие со стороны китайских технологических гигантов. Таким образом, результирующая структура содержит компромиссы, ответы на предполагаемые проблемы и устаревшие компоненты более ранних итераций и механизмов. Следовательно, в этом документе используется подход отслеживания процессов, в котором намечается траектория, по которой возник режим защиты данных. Основываясь на всестороннем обзоре нормативных документов и планов политики, а также академической литературы на китайском языке, он делит эту историю на три периода. Первый, в нем рассматриваются ранние зачатки фрагментарных понятий и механизмов защиты данных до обнародования Закона о кибербезопасности (CSL) 2016 года, в котором изложены основополагающие мандаты для защиты данных. Это включает в себя создание многоуровневой системы защиты, ориентированной на общественную безопасность (MLPS), а также отделение защиты данных от конфиденциальности. Второй этап охватывает период между CSL и более обширными и специализированными положениями DSL и PIPL, в течение которого между различными регулирующими органами происходили значительные обмены мнениями, что привело к нескольким неудачным регуляторным инициативам, а также к техническим данным. нормы защиты. На третьем этапе рассматривается содержание самих DSL и PIPL и обсуждается будущее направление развития архитектуры защиты данных, которую они устанавливают. В заключении обсуждается актуальность режима защиты данных Китая для более широкой литературы по защите данных. Дело Китая не только заслуживает изучения ввиду большого количества онлайн-пользователей Китая и мощных технологических компаний, но и содержит элементы, заслуживающие дальнейшего сравнительного и теоретического изучения.
Генезис защиты данных в Китае (1994–2011 гг.)
Развитие регулирования защиты данных в значительной степени отразило развивающееся восприятие и озабоченность китайского руководства в отношении быстрого внедрения цифровых технологий в государстве, экономике и обществе Китая, а также потенциального воздействия различных форм злоупотребления данными. Этот процесс содержит различные переплетенные нити, каждая из которых сопряжена с рисками и регулятивными мерами. Первый — это появление цифровых государственных систем, начиная с «Золотых проектов» 1990-х годов [ 23 ] и продолжая в настоящее время новым Пятилетним планом информатизации правительства [ 24 ].]. Эти проекты призваны сделать китайское государство более эффективным и результативным при выполнении различных задач, начиная от государственных услуг и заканчивая поддержанием социальной стабильности. Это требует, чтобы государственные органы Китая могли получать данные, включая личную информацию, которые они считают необходимыми для этого. Второй — развитие цифровой экономики, движимое крупными платформенными компаниями, чья бизнес-модель во многом строилась на эксплуатации больших объемов пользовательских данных. В-третьих, по мере роста экономической ценности данных возник большой черный рынок, на котором корпоративные и правительственные инсайдеры торговали личной информацией в больших масштабах. В-четвертых, по мере развития информатизации росла и уязвимость связанных с данными или связанных с ними утечек, взломов и атак.
Законодательная реакция на эти изменения шла медленно, а базовые и широкие рамки были введены в действие только в конце 2000-х годов. Неудивительно, что для политической организации, ценящей секретность и управление информацией, партийное руководство практически сразу же уделило внимание обеспечению сетевой информационной безопасности. В 1994 году Министерству общественной безопасности (MPS) было поручено разработать многоуровневый подход, предусматривающий различные уровни требований в зависимости от важности конкретных сетевых систем [ 25 ]. Однако потребовалось более десяти лет, чтобы эта «многоуровневая система защиты» (MLPS) для информационной безопасности появилась на свет. Сначала он отдавал приоритет конфиденциальной правительственной информации [ 26] и позднее стали включать «сведения, составляющие государственную тайну, сведения, являющиеся собственностью юридических лиц, иных организаций и граждан, а также общедоступные сведения и информационные системы, хранящие, передающие и обрабатывающие эти сведения [ 27 ]». MLPS, завершенный в 2007 году, содержал пять уровней защиты безопасности, причем более высокие уровни предъявляли повышенные требования и подвергались проверке со стороны правительства. MLPS не защищала данные как таковые. Скорее, он формировал градуированный режим защиты для всех сетевых систем, который защищал их целиком, включая их данные. Однако MLPS заложил основу для введения режима DSL более десяти лет спустя. Он создал институциональную и концептуальную основу для защиты цифровых активов с точки зрения «национальной безопасности, жизненных путей экономики и социальной стабильности [ 26 ]».
В области защиты личной информации разработки были крайне фрагментарными и оставались в зачаточном состоянии. В 1980-х и 1990-х годах несколько законов и постановлений требовали соблюдения конфиденциальности личной информации в определенных секторах, таких как банковские и юридические услуги [ 28 ]. По мере того как в 2000-х годах стремление Китая к информатизации набирало обороты, Управление информатизации Государственного совета поручило Чжоу Ханьхуа возглавить разработку законопроекта о защите личной информации, который был опубликован в 2006 году [ 29 ]. В этом «Экспертном предложении» изложены 10 принципов защиты данных, аналогичных международным соглашениям о конфиденциальности и законам в Европе и Азии [ 1]. Он также касался сбора и обработки данных государственными органами. Этот раздел содержал довольно строгие ограничения на сбор данных, а также требование регистрировать процессы сбора в соответствующем ответственном органе, хотя были включены широкие исключения для таких областей, как безопасность и охрана правопорядка. В-третьих, он касался сбора данных «другими обработчиками данных» в частном секторе, требуя от них регистрации в соответствующем органе. В-четвертых, он включал ограничения на трансграничную передачу личной информации, но только для субъектов частного сектора. Что касается правоприменения, проект не призывал к созданию специального регулятора данных, а прибегал к сочетанию сложных процессов административного и судебного правоприменения. Однако предложение Чжоу так и не было принято в качестве официального закона.
Предпринимавшиеся разрозненные усилия по регулированию в значительной степени были реакцией на конкретные явные формы злоупотреблений, которые начали появляться. В редакцию Уголовного кодекса 2009 г. впервые были включены положения о незаконной продаже персональных данных государственными служащими или финансовыми, телекоммуникационными, транспортными, образовательными и медицинскими учреждениями, а также о хищении или незаконном получении такой информации. [ 30 ]. В 2011 году Народный банк Китая выпустил циркуляр о защите банковской и финансовой информации физических лиц. Среди прочего, это требовало, чтобы личная информация, собранная в Китае, хранилась внутри страны [ 31 ].], первый случай обязательной локализации данных. В том же году Министерство промышленности и информационных технологий (МИИТ) выпустило правила для информационных интернет-сервисов, которые установили принципы информированного согласия и необходимости сбора и использования данных, установили обязательства уведомлять власти о серьезных утечках данных и предоставили пользователям права на изменять и удалять свою личную информацию. Они также запретили поставщикам онлайн-услуг передавать или торговать личной информацией. Эти правила ясно указывали на то, что онлайн-экономика получила приоритет в защите личной информации, но сила их правоприменения была ограничена: высшим наказанием, которое могло быть наложено, был штраф в размере 30 000 юаней [ 32 ].]. МИИТ дополнил эти положения техническим стандартом 2013 г., который впервые содержал четкие терминологические определения и основные нормы [ 33 ]. Хотя этот документ не имел обязательной юридической силы, он, тем не менее, обладал значительной нормативной силой.
В отдельно развивающейся области неприкосновенности частной жизни первоначальные понятия, вытекающие из права на репутацию, представленные в Гражданском кодексе 1986 г., были развиты Верховным народным судом, а затем защита конфиденциальных и частных личных дел в Гражданско-процессуальном законе и аспекты неприкосновенности частной жизни. уязвимые группы, такие как несовершеннолетние и женщины [ 28 , 34 ]. Эти положения отражали особое прочтение неприкосновенности частной жизни, основанное на традиционных представлениях о стыде и приличии, в соответствии с которым определенная информация не должна предаваться гласности [ 13 , 35 ].]. Однако это понятие расширилось, чтобы охватить автономию людей решать, какие аспекты своей частной жизни они добровольно раскрывают. Таким образом, неприкосновенность частной жизни стала частью более широкой категории «прав личности» ( rengequan人格权) [ 36 ]), которая также включала такие вопросы, как право на жизнь и здоровье, права на имя и портрет и права на репутацию. Эти права в первую очередь рассматривались как часть гражданского права и были включены в Закон о деликте 2009 года [ 37 ]. Однако не было дано определение конфиденциальности, а Закон содержал только одно конкретное положение о конфиденциальной медицинской информации.
Спотыкаясь о более общей структуре защиты данных (2012–2018 гг.)
Начиная с 2012 года руководство Китая стремилось централизовать управление данными и создать более общие законодательные рамки, отказавшись от разрозненных вмешательств в конкретных секторах. Это отражает общую тенденцию к централизованному цифровому регулированию, включая институциональную концентрацию цифровых компетенций в недавно созданной Администрации киберпространства Китая (CAC) [ 38 ].]. Доминирующей движущей силой этого была быстро растущая потребность в управлении проблемными практиками в растущей экономике платформ, а также столь же быстрое распространение незаконной торговли данными и других форм злоупотреблений, особенно после появления доступных мобильных устройств. В июне 2007 года только 16% населения Китая были в сети. Это число выросло до 70% в 2022 году, более 90% из которых в основном являются мобильными пользователями [ 39 ]. Смартфон способствовал появлению бизнес-ландшафта, в котором доминируют гигантские платформенные компании, такие как Alibaba, Tencent, Bytedance, Pinduoduo и Didi, которые основывают свои коммерческие модели на способности собирать и анализировать пользовательские данные для максимизации прибыли и доли рынка. [ 40 ]. Доходы от электронной коммерции выросли более чем в сто раз в период с 2011 по 2019 год.
В целом китайское правительство весьма поддерживало эти разработки. В 2015 году он выпустил план действий по большим данным, в котором говорилось, что данные стали «базовым стратегическим ресурсом» [ 41 ]. Тем не менее, в этот период злоупотребления, связанные с данными, стали безудержными, поскольку появился черный рынок личной информации [ 42 , 43 ]. Получение холодных звонков о целевых товарах и услугах стало обычным явлением в повседневной жизни китайцев, большая часть которых была результатом незаконной продажи личной информации корпоративными сотрудниками и подрядчиками [ 44 , 45 ], а также государственными чиновниками и ведомствами [ 46 ].]. Одним из наиболее ярких случаев был случай с 18-летней Сюй Юй, которая умерла от сердечного приступа в 2016 году после того, как у нее выманили деньги на обучение в колледже в результате телефонного мошенничества [ 47 ]. Столь же быстро росли и другие формы онлайн-мошенничества [ 48 , 49 ].