---

title: "PIPL для WFOE в Китае 2026 — требования к защите данных"

slug: "pipl-wfoe-china-2026-data-privacy-requirements"

lang: ru

author: CNBusinessHub Russian Team

date: 2026-07-14

schema_type: Article + FAQPage

meta_title: "PIPL для WFOE в Китае 2026 — защита данных"

meta_description: "PIPL для WFOE 2026: три закона защиты данных в Китае, три пути трансграничной передачи, штрафы до ¥50 млн или 5% выручки, полный чек-лист и 10 частых вопросов."

---

> Главное: Закон КНР о защите персональных данных (PIPL) предусматривает штраф до ¥50 млн или 5 % годовой выручки. Иностранные компании обязаны выбрать один из 3 путей трансграничной передачи, назначить представителя в КНР и соблюдать 6 новых требований спецоперации 2026 года.

Краткие факты

Параметр Значение
Основные законы PIPL (2021), Закон о безопасности данных (2021), Закон о кибербезопасности (2017, ред. 2026)
Пути трансграничной передачи 3: оценка безопасности / Стандартный договор / Сертификация
Максимальный штраф (ст. 66 PIPL) ¥50 млн или 5 % годовой выручки
Порог назначения ответственного лица Обработка данных >1 млн человек
Порог обязательной оценки >1 млн записей или >10 тыс. чувствительных записей в год
Запуск спецоперации 2 апреля 2026 г. — 6 отраслей, 3 ведомства
Срок хранения отчёта об оценке воздействия Не менее 3 лет

Процесс соответствия PIPL

Шаг 1 — Определите применимость. Оцените, обрабатывает ли ваша WFOE персональные данные граждан КНР. Статья 3 PIPL устанавливает экстерриториальное действие закона.

Шаг 2 — Назначьте представителя. При обработке данных >1 млн человек назначьте ответственное лицо, подайте уведомление в местное отделение Управления киберпространства Китая и опубликуйте контактные данные.

Шаг 3 — Проведите инвентаризацию данных. Определите, какие персональные данные собираются, где хранятся и кому передаются. Выявите чувствительные данные по национальному стандарту № 45574-2025.

Шаг 4 — Выберите путь трансграничной передачи. Оцените годовой объём. Используйте стандартный договор или сертификацию при <1 млн записей в год. Подайте заявку на оценку безопасности при превышении порога или если вы оператор критической информационной инфраструктуры.

Шаг 5 — Проведите оценку воздействия. Выполните оценку по 6 обязательным основаниям (ст. 55-56 PIPL). Храните отчёт не менее 3 лет.

Шаг 6 — Проверьте SDK и поставщиков. Проверьте все программные модули в приложениях для китайского рынка и сторонних обработчиков данных. Убедитесь, что договоры содержат условия обработки данных, соответствующие PIPL.

Шаг 7 — Настройте мониторинг соответствия. Внедрите отслеживание объёмов трансграничной передачи в реальном времени. Планируйте ежегодные аудиты согласно Мерам аудита 2025 года.

Три закона защиты данных в Китае

Три взаимосвязанных закона формируют систему защиты данных в КНР. PIPL регулирует права на неприкосновенность частной жизни и согласие. Закон о безопасности данных требует классификации и локализации. Закон о кибербезопасности (редакция 2026 года) налагает обязательства на операторов критической информационной инфраструктуры. Одна глобальная система управления персоналом с данными сотрудников WFOE может запустить все 3 закона одновременно.

Экстерриториальное действие

Статья 3 PIPL применяется к иностранным компаниям. Любая WFOE обязана соблюдать PIPL, если она предоставляет товары или услуги лицам в Китае или анализирует их поведение — включая сайты, рекламные кампании и системы с данными китайских клиентов. Иностранные компании обязаны назначить представителя на территории КНР и уведомить об этом Управление киберпространства Китая.

Три пути трансграничной передачи данных

Статья 38 PIPL обязывает каждую организацию, передающую персональные данные за пределы Китая, использовать один из 3 утверждённых путей. Все 3 пути полностью работоспособны с января 2026 года.

Оценка безопасности обязательна для операторов критической информационной инфраструктуры и организаций, передающих >1 млн записей или >10 тыс. чувствительных записей в год. Стандартный договор подходит для организаций ниже порога оценки. Сертификация по национальному стандарту № 46068-2025, доступная с января 2026 года, предлагает альтернативу для частых и масштабных передач.

Ловушка «катящегося» порога

Организации, использующие стандартный договор или сертификацию, должны отслеживать кумулятивные объёмы передачи. Если годовой объём превышает 1 млн записей или 10 тыс. чувствительных записей в середине года, оценка безопасности становится обязательной независимо от выбранного пути. Организации, передающие <100 тыс. нечувствительных записей в год, освобождаются от требования 3 путей.

Спецоперация 2026 года: от бумаг к проверкам

2 апреля 2026 года Управление киберпространства Китая, Министерство промышленности и информатизации и Министерство общественной безопасности совместно запустили национальную спецоперацию по защите персональной информации. Это не внезапная атака, а закономерный переход от «бумажного комплаенса» к операционным проверкам.

Иностранные компании сталкиваются с повышенными рисками в 4 областях: незарегистрированные зарубежные программные модули, глобальные модели риск-менеджмента с чрезмерным сбором данных, слабое управление данными третьих сторон и несоответствие механизмов согласия строгим требованиям PIPL. Семь типов нарушений выявлены спецоперацией: от отсутствия политики конфиденциальности до незаконной трансграничной передачи данных.

Часто задаваемые вопросы

В: PIPL применяется к моей компании, если у нас нет офиса в Китае?

О: Да, согласно ст. 3 PIPL. Если ваш сайт или приложение доступны китайским пользователям или вы анализируете поведение граждан КНР, вы обязаны соблюдать PIPL. Необходимо назначить представителя на территории Китая и уведомить Управление киберпространства. Команда CNBusinessHub помогает иностранным компаниям с назначением представителя и подачей уведомления.

В: Какие 3 законных пути трансграничной передачи данных существуют по PIPL?

О: Статья 38 PIPL устанавливает 3 пути: оценка безопасности — обязательно для операторов критической инфраструктуры и при объёме >1 млн записей или >10 тыс. чувствительных записей в год; стандартный договор для объёмов ниже порога; сертификация — доступна с января 2026 года. CNBusinessHub помогает выбрать оптимальный путь и управлять процессом подачи.

В: Каков максимальный штраф за нарушение PIPL?

О: По ст. 66 PIPL за серьёзное нарушение — до ¥50 млн или 5 % годовой выручки, а также приостановка деятельности. Ответственное лицо может быть оштрафовано на ¥10 000–100 000. Поправки к закону о кибербезопасности 2026 года ввели штраф до 5–10-кратного размера незаконного дохода без верхнего предела.

В: Что такое оценка воздействия и когда её нужно проводить?

О: Оценка воздействия на защиту персональных данных обязательна по ст. 55-56 PIPL перед: обработкой чувствительных данных, трансграничной передачей, обработкой данных >1 млн человек, автоматизированным принятием решений, обработкой данных несовершеннолетних или передачей данных третьим лицам. Отчёты хранятся не менее 3 лет.

В: Нужно ли иностранной компании назначать ответственное лицо по защите данных в Китае?

О: Да, если компания обрабатывает данные >1 млн человек. По ст. 52 PIPL и Мерам аудита 2025 года необходимо назначить ответственное лицо, подать данные в местное отделение Управления киберпространства и опубликовать контактную информацию. С 2026 года это обязательное требование. CNBusinessHub оказывает поддержку в назначении и оформлении документов.

В: Что считается чувствительными персональными данными по китайскому праву?

О: По национальному стандарту № 45574-2025 (с 1 ноября 2025 г.) к чувствительным данным относятся: биометрические данные, религиозная принадлежность, сексуальная ориентация, судимость, медицинские данные, финансовые счета, геолокация и данные детей до 14 лет. Комбинации данных, утечка которых может нанести значительный ущерб, также признаются чувствительными.

В: Как спецоперация 2026 года влияет на иностранные компании?

О: 2 апреля 2026 года 3 ведомства запустили кампанию по 6 отраслям. Иностранные компании под усиленными проверками по 4 направлениям: незарегистрированные программные модули, чрезмерный сбор данных, слабое управление данными и неадекватные механизмы согласия. CNBusinessHub проводит анализ пробелов в соответствии с приоритетами правоприменения 2026 года.

В: В чём разница между PIPL и европейским регламентом о защите данных?

О: В PIPL нет основания «законный интерес» — 7 оснований против 6 в европейском регламенте. PIPL требует «отдельного согласия» для чувствительных данных и трансграничной передачи. Штрафы выше: ¥50 млн или 5 % выручки против €20 млн или 4 % выручки. Надзор осуществляется 3 ведомствами, а не единым регулятором.

В: Как выбрать между стандартным договором и сертификацией для трансграничной передачи?

О: Стандартный договор проще и дешевле — не требует внешнего аудита, подходит для небольших объёмов и нерегулярных передач. Сертификация требует внешнего аудита, но удобна при частых передачах — одна сертификация покрывает множество операций. Оба пути имеют «катящийся» порог: если годовой объём превышает 1 млн записей или 10 тыс. чувствительных записей, оценка безопасности становится обязательной. CNBusinessHub помогает смоделировать объёмы и выбрать экономически оптимальный путь.

В: Данные сотрудников WFOE через глобальную систему управления персоналом уходят за рубеж — это нарушение?

О: Да, передача зарплатных данных, оценок эффективности и семейной информации через глобальную систему на зарубежный сервер является трансграничной передачей. Требуется выбор одного из 3 легальных путей. Наиболее распространённое решение — стандартный договор. Команда CNBusinessHub предлагает комплексный аудит трансграничной передачи данных.

Таблицы данных

Таблица 1: Сравнение трёх законов защиты данных

Параметр PIPL Закон о безопасности данных Закон о кибербезопасности (2026)
Год принятия 2021 2021 2017 (ред. 2026)
Объект регулирования Персональные данные Все типы данных Кибербезопасность
Экстерриториальность Да (ст. 3) Да Да (с 2026 г.)
Максимальный штраф ¥50 млн / 5 % выручки ¥10 млн / 5 % выручки 5–10× дохода (без лимита)
Обязательная оценка Оценка воздействия (6 случаев) Оценка рисков Аудит безопасности
Ответственное лицо При >1 млн лиц Не требуется Не требуется

Таблица 2: Три пути трансграничной передачи — сравнение

Путь Для кого Порог Процедура
Оценка безопасности Операторы критической инфраструктуры + крупные передачи >1 млн записей или >10 тыс. чувствительных записей в год Одобрение Управления киберпространства
Стандартный договор Организации ниже порога <1 млн нечувствительных записей в год Регистрация в Управлении киберпространства
Сертификация (национальный стандарт № 46068-2025) Организации ниже порога <1 млн нечувствительных записей в год Аудит аккредитованной организацией
Упрощённый режим Минимальные передачи <100 тыс. нечувствительных записей в год Не требуется

Таблица 3: 7 типов нарушений спецоперации 2026 года

Тип нарушения Описание
1 Отсутствие политики конфиденциальности Сбор данных без уведомления пользователя
2 Невозможность удалить аккаунт Пользователь не может удалить свои данные
3 Преждевременный сбор данных Сбор до показа политики конфиденциальности
4 Запрос разрешений по умолчанию Камера, микрофон, контакты включены по умолчанию
5 Чрезмерный сбор данных Запрос разрешений, не связанных с функционалом
6 Совместное использование без согласия Передача данных третьим лицам
7 Незаконная трансграничная передача Передача за рубеж без правового основания

Таблица 4: Проблемы комплаенса для иностранных компаний

Проблема Описание Уровень риска
Глобальные корпоративные системы Системы управления персоналом и клиентами передают данные за рубеж Высокий
Соответствие программных модулей в приложениях Китайские модули могут нарушать принцип минимизации данных Высокий
Удалённый доступ зарубежных команд Доступ к китайским системам из-за границы Средний
Глобальные модели маркетинга на AI Конфликт с принципом минимальной необходимости PIPL Высокий
Регулирование AI по обновлённому закону о кибербезопасности Системы AI подпадают под национальную безопасность Средний

Таблица 5: Регуляторный календарь 2025–2026

Дата Событие Значение
1 мая 2025 г. Вступление в силу Мер аудита соответствия Аудиты институционализированы
14 октября 2025 г. Публикация Мер сертификации Завершение 3-путевой системы
28 октября 2025 г. Принятие поправок к закону о кибербезопасности Существенное повышение штрафов
1 января 2026 г. Сертификация + поправки вступили в силу Начало года активного правоприменения
30 января 2026 г. Разъяснения по безопасности передачи Уточнение порядка применения
2 апреля 2026 г. Запуск спецоперации по 6 отраслям Операционные проверки на местах

Отказ от ответственности

Данная статья подготовлена командой CNBusinessHub исключительно в информационных и образовательных целях.

Содержание данной статьи не является какой-либо формой инвестиционной консультации, деловой рекомендации или юридического заключения. Читателям следует самостоятельно оценивать применимость представленной информации и обращаться к квалифицированным специалистам перед принятием любых деловых решений.

В настоящей статье используются данные и информация из открытых источников. Мы стремимся к точности, но не гарантируем полноту или своевременность информации. Нормативные акты могут меняться в любое время; перед принятием решений рекомендуется проверять актуальность данных.

© 2026 CNBusinessHub. Все права защищены.