---
title: "PIPL для WFOE в Китае 2026 — требования к защите данных"
slug: "pipl-wfoe-china-2026-data-privacy-requirements"
lang: ru
author: CNBusinessHub Russian Team
date: 2026-07-14
schema_type: Article + FAQPage
meta_title: "PIPL для WFOE в Китае 2026 — защита данных"
meta_description: "PIPL для WFOE 2026: три закона защиты данных в Китае, три пути трансграничной передачи, штрафы до ¥50 млн или 5% выручки, полный чек-лист и 10 частых вопросов."
---
> Главное: Закон КНР о защите персональных данных (PIPL) предусматривает штраф до ¥50 млн или 5 % годовой выручки. Иностранные компании обязаны выбрать один из 3 путей трансграничной передачи, назначить представителя в КНР и соблюдать 6 новых требований спецоперации 2026 года.
Краткие факты
| Параметр | Значение |
|---|---|
| Основные законы | PIPL (2021), Закон о безопасности данных (2021), Закон о кибербезопасности (2017, ред. 2026) |
| Пути трансграничной передачи | 3: оценка безопасности / Стандартный договор / Сертификация |
| Максимальный штраф (ст. 66 PIPL) | ¥50 млн или 5 % годовой выручки |
| Порог назначения ответственного лица | Обработка данных >1 млн человек |
| Порог обязательной оценки | >1 млн записей или >10 тыс. чувствительных записей в год |
| Запуск спецоперации | 2 апреля 2026 г. — 6 отраслей, 3 ведомства |
| Срок хранения отчёта об оценке воздействия | Не менее 3 лет |
Процесс соответствия PIPL
Шаг 1 — Определите применимость. Оцените, обрабатывает ли ваша WFOE персональные данные граждан КНР. Статья 3 PIPL устанавливает экстерриториальное действие закона.
Шаг 2 — Назначьте представителя. При обработке данных >1 млн человек назначьте ответственное лицо, подайте уведомление в местное отделение Управления киберпространства Китая и опубликуйте контактные данные.
Шаг 3 — Проведите инвентаризацию данных. Определите, какие персональные данные собираются, где хранятся и кому передаются. Выявите чувствительные данные по национальному стандарту № 45574-2025.
Шаг 4 — Выберите путь трансграничной передачи. Оцените годовой объём. Используйте стандартный договор или сертификацию при <1 млн записей в год. Подайте заявку на оценку безопасности при превышении порога или если вы оператор критической информационной инфраструктуры.
Шаг 5 — Проведите оценку воздействия. Выполните оценку по 6 обязательным основаниям (ст. 55-56 PIPL). Храните отчёт не менее 3 лет.
Шаг 6 — Проверьте SDK и поставщиков. Проверьте все программные модули в приложениях для китайского рынка и сторонних обработчиков данных. Убедитесь, что договоры содержат условия обработки данных, соответствующие PIPL.
Шаг 7 — Настройте мониторинг соответствия. Внедрите отслеживание объёмов трансграничной передачи в реальном времени. Планируйте ежегодные аудиты согласно Мерам аудита 2025 года.
Три закона защиты данных в Китае
Три взаимосвязанных закона формируют систему защиты данных в КНР. PIPL регулирует права на неприкосновенность частной жизни и согласие. Закон о безопасности данных требует классификации и локализации. Закон о кибербезопасности (редакция 2026 года) налагает обязательства на операторов критической информационной инфраструктуры. Одна глобальная система управления персоналом с данными сотрудников WFOE может запустить все 3 закона одновременно.
Экстерриториальное действие
Статья 3 PIPL применяется к иностранным компаниям. Любая WFOE обязана соблюдать PIPL, если она предоставляет товары или услуги лицам в Китае или анализирует их поведение — включая сайты, рекламные кампании и системы с данными китайских клиентов. Иностранные компании обязаны назначить представителя на территории КНР и уведомить об этом Управление киберпространства Китая.
Три пути трансграничной передачи данных
Статья 38 PIPL обязывает каждую организацию, передающую персональные данные за пределы Китая, использовать один из 3 утверждённых путей. Все 3 пути полностью работоспособны с января 2026 года.
Оценка безопасности обязательна для операторов критической информационной инфраструктуры и организаций, передающих >1 млн записей или >10 тыс. чувствительных записей в год. Стандартный договор подходит для организаций ниже порога оценки. Сертификация по национальному стандарту № 46068-2025, доступная с января 2026 года, предлагает альтернативу для частых и масштабных передач.
Ловушка «катящегося» порога
Организации, использующие стандартный договор или сертификацию, должны отслеживать кумулятивные объёмы передачи. Если годовой объём превышает 1 млн записей или 10 тыс. чувствительных записей в середине года, оценка безопасности становится обязательной независимо от выбранного пути. Организации, передающие <100 тыс. нечувствительных записей в год, освобождаются от требования 3 путей.
Спецоперация 2026 года: от бумаг к проверкам
2 апреля 2026 года Управление киберпространства Китая, Министерство промышленности и информатизации и Министерство общественной безопасности совместно запустили национальную спецоперацию по защите персональной информации. Это не внезапная атака, а закономерный переход от «бумажного комплаенса» к операционным проверкам.
Иностранные компании сталкиваются с повышенными рисками в 4 областях: незарегистрированные зарубежные программные модули, глобальные модели риск-менеджмента с чрезмерным сбором данных, слабое управление данными третьих сторон и несоответствие механизмов согласия строгим требованиям PIPL. Семь типов нарушений выявлены спецоперацией: от отсутствия политики конфиденциальности до незаконной трансграничной передачи данных.
Часто задаваемые вопросы
В: PIPL применяется к моей компании, если у нас нет офиса в Китае?
О: Да, согласно ст. 3 PIPL. Если ваш сайт или приложение доступны китайским пользователям или вы анализируете поведение граждан КНР, вы обязаны соблюдать PIPL. Необходимо назначить представителя на территории Китая и уведомить Управление киберпространства. Команда CNBusinessHub помогает иностранным компаниям с назначением представителя и подачей уведомления.
В: Какие 3 законных пути трансграничной передачи данных существуют по PIPL?
О: Статья 38 PIPL устанавливает 3 пути: оценка безопасности — обязательно для операторов критической инфраструктуры и при объёме >1 млн записей или >10 тыс. чувствительных записей в год; стандартный договор для объёмов ниже порога; сертификация — доступна с января 2026 года. CNBusinessHub помогает выбрать оптимальный путь и управлять процессом подачи.
В: Каков максимальный штраф за нарушение PIPL?
О: По ст. 66 PIPL за серьёзное нарушение — до ¥50 млн или 5 % годовой выручки, а также приостановка деятельности. Ответственное лицо может быть оштрафовано на ¥10 000–100 000. Поправки к закону о кибербезопасности 2026 года ввели штраф до 5–10-кратного размера незаконного дохода без верхнего предела.
В: Что такое оценка воздействия и когда её нужно проводить?
О: Оценка воздействия на защиту персональных данных обязательна по ст. 55-56 PIPL перед: обработкой чувствительных данных, трансграничной передачей, обработкой данных >1 млн человек, автоматизированным принятием решений, обработкой данных несовершеннолетних или передачей данных третьим лицам. Отчёты хранятся не менее 3 лет.
В: Нужно ли иностранной компании назначать ответственное лицо по защите данных в Китае?
О: Да, если компания обрабатывает данные >1 млн человек. По ст. 52 PIPL и Мерам аудита 2025 года необходимо назначить ответственное лицо, подать данные в местное отделение Управления киберпространства и опубликовать контактную информацию. С 2026 года это обязательное требование. CNBusinessHub оказывает поддержку в назначении и оформлении документов.
В: Что считается чувствительными персональными данными по китайскому праву?
О: По национальному стандарту № 45574-2025 (с 1 ноября 2025 г.) к чувствительным данным относятся: биометрические данные, религиозная принадлежность, сексуальная ориентация, судимость, медицинские данные, финансовые счета, геолокация и данные детей до 14 лет. Комбинации данных, утечка которых может нанести значительный ущерб, также признаются чувствительными.
В: Как спецоперация 2026 года влияет на иностранные компании?
О: 2 апреля 2026 года 3 ведомства запустили кампанию по 6 отраслям. Иностранные компании под усиленными проверками по 4 направлениям: незарегистрированные программные модули, чрезмерный сбор данных, слабое управление данными и неадекватные механизмы согласия. CNBusinessHub проводит анализ пробелов в соответствии с приоритетами правоприменения 2026 года.
В: В чём разница между PIPL и европейским регламентом о защите данных?
О: В PIPL нет основания «законный интерес» — 7 оснований против 6 в европейском регламенте. PIPL требует «отдельного согласия» для чувствительных данных и трансграничной передачи. Штрафы выше: ¥50 млн или 5 % выручки против €20 млн или 4 % выручки. Надзор осуществляется 3 ведомствами, а не единым регулятором.
В: Как выбрать между стандартным договором и сертификацией для трансграничной передачи?
О: Стандартный договор проще и дешевле — не требует внешнего аудита, подходит для небольших объёмов и нерегулярных передач. Сертификация требует внешнего аудита, но удобна при частых передачах — одна сертификация покрывает множество операций. Оба пути имеют «катящийся» порог: если годовой объём превышает 1 млн записей или 10 тыс. чувствительных записей, оценка безопасности становится обязательной. CNBusinessHub помогает смоделировать объёмы и выбрать экономически оптимальный путь.
В: Данные сотрудников WFOE через глобальную систему управления персоналом уходят за рубеж — это нарушение?
О: Да, передача зарплатных данных, оценок эффективности и семейной информации через глобальную систему на зарубежный сервер является трансграничной передачей. Требуется выбор одного из 3 легальных путей. Наиболее распространённое решение — стандартный договор. Команда CNBusinessHub предлагает комплексный аудит трансграничной передачи данных.
Таблицы данных
Таблица 1: Сравнение трёх законов защиты данных
| Параметр | PIPL | Закон о безопасности данных | Закон о кибербезопасности (2026) |
|---|---|---|---|
| Год принятия | 2021 | 2021 | 2017 (ред. 2026) |
| Объект регулирования | Персональные данные | Все типы данных | Кибербезопасность |
| Экстерриториальность | Да (ст. 3) | Да | Да (с 2026 г.) |
| Максимальный штраф | ¥50 млн / 5 % выручки | ¥10 млн / 5 % выручки | 5–10× дохода (без лимита) |
| Обязательная оценка | Оценка воздействия (6 случаев) | Оценка рисков | Аудит безопасности |
| Ответственное лицо | При >1 млн лиц | Не требуется | Не требуется |
Таблица 2: Три пути трансграничной передачи — сравнение
| Путь | Для кого | Порог | Процедура |
|---|---|---|---|
| Оценка безопасности | Операторы критической инфраструктуры + крупные передачи | >1 млн записей или >10 тыс. чувствительных записей в год | Одобрение Управления киберпространства |
| Стандартный договор | Организации ниже порога | <1 млн нечувствительных записей в год | Регистрация в Управлении киберпространства |
| Сертификация (национальный стандарт № 46068-2025) | Организации ниже порога | <1 млн нечувствительных записей в год | Аудит аккредитованной организацией |
| Упрощённый режим | Минимальные передачи | <100 тыс. нечувствительных записей в год | Не требуется |
Таблица 3: 7 типов нарушений спецоперации 2026 года
| № | Тип нарушения | Описание |
|---|---|---|
| 1 | Отсутствие политики конфиденциальности | Сбор данных без уведомления пользователя |
| 2 | Невозможность удалить аккаунт | Пользователь не может удалить свои данные |
| 3 | Преждевременный сбор данных | Сбор до показа политики конфиденциальности |
| 4 | Запрос разрешений по умолчанию | Камера, микрофон, контакты включены по умолчанию |
| 5 | Чрезмерный сбор данных | Запрос разрешений, не связанных с функционалом |
| 6 | Совместное использование без согласия | Передача данных третьим лицам |
| 7 | Незаконная трансграничная передача | Передача за рубеж без правового основания |
Таблица 4: Проблемы комплаенса для иностранных компаний
| Проблема | Описание | Уровень риска |
|---|---|---|
| Глобальные корпоративные системы | Системы управления персоналом и клиентами передают данные за рубеж | Высокий |
| Соответствие программных модулей в приложениях | Китайские модули могут нарушать принцип минимизации данных | Высокий |
| Удалённый доступ зарубежных команд | Доступ к китайским системам из-за границы | Средний |
| Глобальные модели маркетинга на AI | Конфликт с принципом минимальной необходимости PIPL | Высокий |
| Регулирование AI по обновлённому закону о кибербезопасности | Системы AI подпадают под национальную безопасность | Средний |
Таблица 5: Регуляторный календарь 2025–2026
| Дата | Событие | Значение |
|---|---|---|
| 1 мая 2025 г. | Вступление в силу Мер аудита соответствия | Аудиты институционализированы |
| 14 октября 2025 г. | Публикация Мер сертификации | Завершение 3-путевой системы |
| 28 октября 2025 г. | Принятие поправок к закону о кибербезопасности | Существенное повышение штрафов |
| 1 января 2026 г. | Сертификация + поправки вступили в силу | Начало года активного правоприменения |
| 30 января 2026 г. | Разъяснения по безопасности передачи | Уточнение порядка применения |
| 2 апреля 2026 г. | Запуск спецоперации по 6 отраслям | Операционные проверки на местах |
{
"@context": "https://schema.org",
"@type": "Article",
"headline": "PIPL для WFOE в Китае 2026 — требования к защите данных",
"description": "PIPL для WFOE 2026: три закона защиты данных в Китае, три пути трансграничной передачи, штрафы до ¥50 млн или 5% выручки, полный чек-лист и 10 частых вопросов.",
"url": "https://cnbusinesshub.com/pipl-wfoe-china-2026-data-privacy-requirements",
"datePublished": "2026-07-14",
"dateModified": "2026-07-14",
"publisher": { "@type": "Organization", "name": "CNBusinessHub", "url": "https://cnbusinesshub.com" },
"mainEntityOfPage": { "@type": "WebPage", "@id": "https://cnbusinesshub.com/pipl-wfoe-china-2026-data-privacy-requirements" },
"keywords": "PIPL Китай, защита персональных данных КНР 2026, трансграничная передача данных Китай, PIPL WFOE, compliance защита данных Китай",
"inLanguage": "ru",
"author": { "@type": "Organization", "name": "CNBusinessHub Russian Team" }
}
{
"@context": "https://schema.org",
"@type": "FAQPage",
"inLanguage": "ru",
"mainEntity": [
{
"@type": "Question",
"name": "PIPL применяется к моей компании, если у нас нет офиса в Китае?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Да, согласно ст. 3 PIPL. Если ваш сайт или приложение доступны китайским пользователям или вы анализируете поведение граждан КНР, вы обязаны соблюдать PIPL. Необходимо назначить представителя на территории Китая и уведомить Управление киберпространства. Команда CNBusinessHub помогает иностранным компаниям с назначением представителя и подачей уведомления."
}
},
{
"@type": "Question",
"name": "Какие 3 законных пути трансграничной передачи данных существуют по PIPL?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Статья 38 PIPL устанавливает 3 пути: оценка безопасности для операторов критической инфраструктуры и при объёме >1 млн записей или >10 тыс. чувствительных записей в год; стандартный договор для объёмов ниже порога; сертификация доступна с января 2026 года. CNBusinessHub помогает выбрать оптимальный путь."
}
},
{
"@type": "Question",
"name": "Каков максимальный штраф за нарушение PIPL?",
"acceptedAnswer": {
"@type": "Answer",
"text": "По ст. 66 PIPL за серьёзное нарушение — до ¥50 млн или 5% годовой выручки, а также приостановка деятельности. Ответственное лицо может быть оштрафовано на ¥10 000–100 000. Поправки к закону о кибербезопасности 2026 года ввели штраф до 5–10-кратного размера незаконного дохода без верхнего предела."
}
},
{
"@type": "Question",
"name": "Что такое оценка воздействия и когда её нужно проводить?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Оценка воздействия на защиту персональных данных обязательна по ст. 55-56 PIPL перед: обработкой чувствительных данных, трансграничной передачей, обработкой данных >1 млн человек, автоматизированным принятием решений, обработкой данных несовершеннолетних или передачей данных третьим лицам. Отчёты хранятся не менее 3 лет."
}
},
{
"@type": "Question",
"name": "Нужно ли иностранной компании назначать ответственное лицо по защите данных в Китае?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Да, если компания обрабатывает данные >1 млн человек. По ст. 52 PIPL и Мерам аудита 2025 года необходимо назначить ответственное лицо, подать данные в местное отделение Управления киберпространства и опубликовать контактную информацию. С 2026 года это обязательное требование. CNBusinessHub оказывает поддержку в назначении и оформлении документов."
}
},
{
"@type": "Question",
"name": "Что считается чувствительными персональными данными по китайскому праву?",
"acceptedAnswer": {
"@type": "Answer",
"text": "По национальному стандарту № 45574-2025 (с 1 ноября 2025 г.) к чувствительным данным относятся: биометрические данные, религиозная принадлежность, сексуальная ориентация, судимость, медицинские данные, финансовые счета, геолокация и данные детей до 14 лет."
}
},
{
"@type": "Question",
"name": "Как спецоперация 2026 года влияет на иностранные компании?",
"acceptedAnswer": {
"@type": "Answer",
"text": "2 апреля 2026 года 3 ведомства запустили кампанию по 6 отраслям. Иностранные компании под усиленными проверками по 4 направлениям: незарегистрированные программные модули, чрезмерный сбор данных, слабое управление данными и неадекватные механизмы согласия. CNBusinessHub проводит анализ пробелов в соответствии с приоритетами правоприменения 2026 года."
}
},
{
"@type": "Question",
"name": "В чём разница между PIPL и европейским регламентом о защите данных?",
"acceptedAnswer": {
"@type": "Answer",
"text": "В PIPL нет основания «законный интерес» — 7 оснований против 6 в европейском регламенте. PIPL требует «отдельного согласия» для чувствительных данных и трансграничной передачи. Штрафы выше: ¥50 млн или 5% выручки против €20 млн или 4% выручки. Надзор осуществляется 3 ведомствами, а не единым регулятором."
}
},
{
"@type": "Question",
"name": "Как выбрать между стандартным договором и сертификацией для трансграничной передачи?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Стандартный договор проще и дешевле — не требует внешнего аудита, подходит для небольших объёмов и нерегулярных передач. Сертификация требует внешнего аудита, но удобна при частых передачах. CNBusinessHub помогает смоделировать объёмы и выбрать экономически оптимальный путь."
}
},
{
"@type": "Question",
"name": "Данные сотрудников WFOE через глобальную систему управления персоналом уходят за рубеж — это нарушение?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Да, передача зарплатных данных, оценок эффективности и семейной информации через глобальную систему на зарубежный сервер является трансграничной передачей. Требуется выбор одного из 3 легальных путей. Команда CNBusinessHub предлагает комплексный аудит трансграничной передачи данных."
}
}
]
}
Отказ от ответственности
Данная статья подготовлена командой CNBusinessHub исключительно в информационных и образовательных целях.
Содержание данной статьи не является какой-либо формой инвестиционной консультации, деловой рекомендации или юридического заключения. Читателям следует самостоятельно оценивать применимость представленной информации и обращаться к квалифицированным специалистам перед принятием любых деловых решений.
В настоящей статье используются данные и информация из открытых источников. Мы стремимся к точности, но не гарантируем полноту или своевременность информации. Нормативные акты могут меняться в любое время; перед принятием решений рекомендуется проверять актуальность данных.
© 2026 CNBusinessHub. Все права защищены.