Пипл - защита персональных данных на уровне Китая

11 сентября 2021 г. в 3:15 Просмотров: 469

Китай только что принял большой закон о защите персональных данных. PIPL – это важный первый шаг на пути защиты частной жизни китайских граждан. Он предоставляет регуляторам новый набор оружия, которое можно использовать в борьбе против могущественных технологических фирм Китая

Прочитайте также: Как защитить персональные данные своего ребенка и почему это важно

Явно вдохновлённый «Общим регламентом по защите данных» Евросоюза, китайский закон «О защите персональных данных» (сокращённо PIPL) включает широкий набор правил, которые регулируют, как именно технологические компании должны обращаться с данными пользователей. На первый взгляд он выглядит довольно жёстким: газета «The Wall Street Journal» даже назвала PIPL «одним из самых строгих законов о защите персональных данных в мире». Но, наверное, этот закон будет защищать китайских пользователей гораздо меньше, чем полагают многие, и даже может закрепить дальнейшее доминирование уже существующих технологических гигантов Китая.

Нет, конечно, PIPL – это важный первый шаг на пути защиты частной жизни китайских граждан. Он предоставляет регуляторам новый набор оружия, которое можно использовать в борьбе против могущественных технологических фирм Китая; он ограничивает возможность этих компаний заниматься алгоритмической ценовой дискриминацией; ужесточает правила международной передачи данных; вводит дополнительное бремя, связанное с соблюдением правовых норм, для крупных технологических фирм, которые определяются как «гейткиперы» («контролёры доступа»).

Но при более пристальном рассмотрении выясняется, что у закона PIPL есть свои серьёзные слабости. Прежде всего, этот закон требует от бизнеса и государственных ведомств получения согласия от человека до начала обработки персональной информации, однако освобождает их от необходимости получения такого согласия, когда для этого есть «установленные основания», при этом не конкретизируется, о каких именно установлениях идёт речь. Поскольку многие китайские государственные ведомства, в том числе центральные министерства и местные власти, обладают определёнными законотворческими полномочиями, масса различных правил и регламентов на более низком уровне потенциально может быть использована для обхода PIPL.

Особо следует отметить, что исключения могут быть предоставлены на основании правовых актов, которые способствуют развитию спорной китайской системы социальных кредитов. Народный банк Китая (НБК) разрабатывает руководящие указания по поводу кредитной информации, которые позволят включить массу потребительских данных из интернета (включающих, например, такие сферы, как транспорт, связь, недвижимость, платежи) в рамки его собственной кредитной системы.

Всё это выходит далеко за рамки существующей системы социальных кредитов, которая в основном собирает негативную кредитную информацию, например, дефолты по личным долгам и нарушения закона. Неудивительно, что эта инициатива вызвала горячие споры в Китае: многие утверждают, что новые правила представляют собой серьёзное нарушение конфиденциальности личной жизни. Но для НБК – это центральный элемент его амбициозного плана создания общенациональной кредитной базы данных. Данный шаг значительно усилит возможности государства давить на гигантов финтеха, например, компанию Ant Group, чтобы те передавали свои огромные массивы персональных данных в контролируемую государством инфраструктуру хранения.

Ранее компании сопротивлялись официальному давлению, ссылаясь на конфиденциальность данных потребителей. Однако начатая Китаем регуляторная война с техногигантами страны (особенно приостановка первичного размещения акций Ant Group на бирже) значительно усилила позиции НБК. И теперь центральный банк агрессивно проталкивает свой план создания кредитной базы данных – якобы во имя финансовой стабильности.

Закон PIPL оказывается слаб и на другом фронте: он не предполагает создания нового, независимого агентства защиты данных. Администрация киберпространства КНР будет отвечать за общую координацию, оставляя функции контроля за соблюдением закона разношёрстному набору регуляторов на национальном и местном уровнях, которые обычно плохо укомплектованы.

Именно этим, наверное, объясняется тот факт, что юридическое наказание оказалось не единственной формой контроля, предусмотренной в законе PIPL. Закон допускает мягкие правовые меры, например, проведение административных бесед с фирмами, на которых власти могут потребовать, чтобы они исправили своё поведение. Хотя такие мягкие меры могут стать гибкой и эффективной альтернативой жёсткому юридическому наказанию, они могут предоставить бюрократам слишком много свободы для произвольных действий и ослабить сдерживающий эффект.

Кроме того, новый закон вряд ли сможет ограничить рыночную силу техногигантов Китая. У этих компаний много денег и сильная юридическая поддержка; такие ресурсы ставят их в достаточно сильное положение, позволяя выдержать издержки соблюдения закона PIPL. Чего нельзя сказать об их конкурентах поменьше.

Примером здесь служит содержащееся в законе требование о переносимости данных (оно позволяет потребителям легко переносить свои персональные данные между различными онлайн-платформами). Данное правило призвано стимулировать «multihoming» (когда потребители используют множество платформ), а также сократить издержки потребителей, связанные со сменой платформы. Но, как показывают исследования, данная норма может лишить новых игроков стимула выходит на рынок, поскольку бизнес поменьше часто не в состоянии позволить себе издержки вынужденной передачи данных.

Кроме того, строгая защита персональных данных может поставить компании поменьше и новых игроков в менее выгодное конкурентное положение. Взгляните на ByteDance, который обязан своим экспоненциальным ростом применению алгоритмов, оценивающих предпочтения потребителей и рекомендующих релевантный контент и рекламу. В условиях более строгой защиты данных ByteDance не смог бы получать достаточно данных, чтобы стать настоящим соперником для уже существующих фирм. Если новые игроки не смогут собирать данные, которые необходимы им для того, чтобы конкурировать, это, в конечном итоге, может навредить пользователям, то есть тем самым людям, которых законы о конфиденциальности персональных данных призваны защищать.

Новый закон о защите персональных данных в Китае несомненно повысит бремя соблюдения правовых норм для крупных технологических компаний страны, которые на протяжении последних десяти месяцев испытывают сильный натиск регуляторов. Но в конечном итоге закон PIPL может стать для них замаскированным добром.

Источник: Forbes