Может ли иностранная компания без филиала в Китае попасть под действие китайского закона о защите персональных данных? Да — если ваш сайт или приложение доступны китайским пользователям или вы анализируете их поведение. PIPL (Закон о защите персональной информации КНР) имеет экстерриториальное действие (ст. 3) и распространяется на любую компанию, обрабатывающую данные граждан КНР. В 2026 году Китай перешёл от «бумажного комплаенса» к операционным проверкам: запущена совместная спецоперация CAC, MIIT и MPS по шести отраслям, а штрафы по PIPL достигают ¥50 млн или 5% годовой выручки. В этом руководстве — полный разбор трёх законов, трёх путей передачи данных, ключевых изменений 2026 года и практический чек-лист для российских предпринимателей.

Быстрые факты (Quick Facts)

ПараметрЗначение
Правовая база3 закона: PIPL (2021) + DSL (2021) + CSL (2017, ред. 2026)
Экстерриториальное действиеСт. 3 PIPL — применяется к зарубежным компаниям, работающим с данными граждан КНР
Штраф (серьёзное нарушение)До ¥50 млн или 5% годовой выручки
Штраф (обычное нарушение)До ¥1 млн
Штраф для ответственного лица¥10 000 — ¥100 000
Порог CAC оценки безопасности>1 млн человек (персональные данные) / >10 тыс. человек (чувствительные данные) за год
Пути трансграничной передачи3: CAC оценка / Стандартный договор (SCC) / Сертификация
Обязанность назначить DPOПри обработке данных >1 млн человек
2026 спецоперация6 отраслей: App/SDK, реклама, образование, медицина, транспорт, финансы
Срок хранения PIPIA≥ 3 лет

Три фундаментальных закона: PIPL, DSL и CSL

Система защиты данных в Китае строится на трёх законах, каждый из которых регулирует свой аспект. Иностранная компания обязана соблюдать все три одновременно — они формируют трехуровневую структуру контроля.

Закон о защите персональной информации (PIPL)

Принят 20 августа 2021 года, вступил в силу 1 ноября 2021 года. Состоит из 8 глав и 73 статей. PIPL — прямой аналог европейского GDPR, но с важными отличиями.

Ключевые принципы PIPL:

  • Обработка персональных данных только на законных основаниях (ст. 13 — 7 оснований, без «законного интереса» как в GDPR)
  • Принцип минимальной необходимости (ст. 6) — нельзя собирать больше данных, чем нужно
  • Отдельное согласие на обработку чувствительных данных (ст. 29)
  • Обязательная оценка воздействия (PIPIA) для трансграничной передачи и обработки чувствительных данных (ст. 55-56)
  • Экстерриториальное действие (ст. 3):

    PIPL применяется к иностранным компаниям, не имеющим юридического лица в Китае, если они:

    1. Предоставляют товары или услуги физическим лицам на территории КНР
    2. Анализируют и оценивают поведение физических лиц на территории КНР
    3. В иных случаях, установленных законодательством
    Практическое значение: Если ваш сайт доступен из Китая или вы используете китайские данные для обучения AI-моделей — вы подпадаете под PIPL и обязаны назначить представителя в КНР, уведомив об этом CAC (Управление киберпространства Китая).

    Закон о безопасности данных (DSL)

    Вступил в силу 1 сентября 2021 года. Регулирует классификацию и защиту всех типов данных, а не только персональных.

    Ключевые требования DSL:

  • Классификация данных по категориям и уровням важности (ст. 21)
  • Защита «важных данных» (important data) и «основных данных» (core data)
  • Обязательная оценка рисков для операторов важных данных
  • Локализация важных данных на территории КНР
  • Закон о кибербезопасности (CSL)

    Вступил в силу 1 июня 2017 года, редакция 2026 года — с 1 января 2026. Регулирует кибербезопасность операторов сетей и критической информационной инфраструктуры (CII).

    Изменения редакции 2026 года:

  • Увеличение штрафов: до 5-10-кратного размера незаконного дохода (без верхнего предела)
  • Штраф для ответственных лиц: ¥50 000 — ¥200 000
  • Расширение экстерриториального действия
  • Введение AI-систем в сферу национальной безопасности
  • Приостановка деятельности или отзыв лицензии при грубых нарушениях
  • Сравнительная таблица трёх законов

    ПараметрPIPLDSLCSL (ред. 2026)
    Год принятия202120212017 (ред. 2026)
    Объект регулированияПерсональные данныеВсе типы данныхКибербезопасность
    ЭкстерриториальностьДа (ст. 3)ДаДа (с 2026)
    Максимальный штраф¥50 млн / 5% выручки¥10 млн / 5% выручки5-10x дохода (без верхнего предела)
    Обязательная оценкаPIPIA (6 случаев)Оценка рисковАудит безопасности
    DPO / PIPOПри >1 млн лицНетНет

    Три пути трансграничной передачи данных

    Статья 38 PIPL устанавливает три легальных пути передачи персональных данных за пределы КНР. С 1 января 2026 года все три пути полностью работоспособны.

    Путь 1: CAC оценка безопасности

    Обязательна для:

  • Операторов критической информационной инфраструктуры (CIIO)
  • Организаций, передающих за год >1 млн записей персональных данных
  • Организаций, передающих за год >10 тыс. записей чувствительных персональных данных
  • Срок действия оценки: 2-5 лет в зависимости от уровня риска. [Источник: Global Law Experts, 2026]

    Путь 2: Стандартный договор (SCC)

    Подходит для организаций, не достигших порога CAC оценки. Ограничение: <1 млн записей нечувствительных данных в год. Договор подлежит регистрации в CAC.

    Важное обновление 2026 года: CAC требует теперь детального обоснования необходимости передачи каждого элемента данных — описание правовой среды страны-получателя больше не требуется. [Источник: Freshfields, 2026]

    Путь 3: Сертификация (новый, с 2026 года)

    Сертификация по стандарту GB/T 46068-2025 (вступил в силу 1 марта 2026 года) через аккредитованные CAC организации. Включает:

  • Техническую проверку системы защиты данных
  • Выездную проверку на месте
  • Текущий надзор после сертификации
  • Подходит для компаний с частыми и масштабными трансграничными передачами — одна сертификация покрывает множество операций.

    Пороговые значения выбора пути

    СценарийРекомендуемый путьПорог
    CIIO передаёт данныеCAC оценка безопасностиОбязательно
    Передача >1 млн PI / годCAC оценка безопасностиПревышение порога
    Передача 10 тыс. — 1 млн PI / годSCC или СертификацияДо порога CAC
    Передача <100 тыс. нечувствительных PI / годУпрощённый режимОсвобождение от трёх путей
    Частые трансграничные передачиСертификацияОптимально для частотных сценариев
    Практический совет: Порог CAC оценки «катящийся» — если ваша компания начала год с SCC, но к июню превысила 1 млн записей, все переданные по SCC данные попадают под CAC оценку. Необходим мониторинг объёмов передачи в реальном времени. [Источник: Hunton Andrews Kurth, 2026]

    Спецоперация 2026 года: что изменилось

    2 апреля 2026 года CAC, MIIT и MPS совместно объявили о запуске национальной спецоперации по защите персональной информации. Это не внезапная атака, а закономерный переход к этапу операционного контроля. [Источник: China Briefing / Qian Zhou, 2026.05]

    Шесть отраслей под прицелом

    ОтрасльОсновные риски для иностранных компаний
    1Мобильные приложения / SDKИспользование незарегистрированных зарубежных SDK
    2Таргетированная рекламаЧрезмерный сбор данных для AI-моделей
    3ОбразованиеДанные несовершеннолетних
    4МедицинаЧувствительные медицинские данные
    5ТранспортДанные о перемещениях и геолокации
    6Финансовые услугиФинансовые данные и кредитные истории

    Семь типов нарушений в приложениях

    Спецоперация выявила 7 типов типичных нарушений:

    Тип нарушенияОписание
    1Отсутствие политики конфиденциальностиПриложение собирает данные без уведомления
    2Невозможность удалить аккаунтПользователь не может удалить свои данные
    3Преждевременный сбор данныхСбор данных до показа политики конфиденциальности
    4Запрос разрешений по умолчаниюКамера, микрофон, контакты включены по умолчанию
    5Чрезмерный сборЗапрос разрешений, не связанных с функционалом
    6Совместное использование без согласияПередача данных третьим лицам
    7Незаконная трансграничная передачаПередача данных за рубеж без правового основания

    Практический чек-лист для иностранных компаний

    На основе анализа China Briefing, Arnold & Porter и Global Law Experts (2026), вот 8 шагов для приведения бизнеса к соответствию PIPL:

    Шаг 1: Определите, подпадаете ли вы под PIPL

  • Ваш сайт/приложение доступны из Китая?
  • Вы анализируете поведение китайских пользователей?
  • Вы используете AI-модели на китайских данных?
  • → Если ответ «да» хотя бы на один вопрос — вы подпадаете под PIPL.

    Шаг 2: Назначьте представителя в Китае (PIPO/DPO)

  • Если обрабатываете данные >1 млн человек — обязательно
  • Уведомите местное отделение CAC
  • Укажите контактную информацию PIPO публично
  • Шаг 3: Проведите инвентаризацию данных

  • Какие персональные данные вы собираете?
  • Какие данные являются чувствительными? (см. GB/T 45574-2025)
  • Куда и кому передаются данные?
  • Есть ли трансграничная передача через глобальные HR/CRM/ERP-системы?
  • Шаг 4: Выберите путь трансграничной передачи

  • Оцените годовой объём передачи
  • Если <100 тыс. нечувствительных PI — упрощённый режим
  • Если 10 тыс. — 1 млн — SCC или сертификация
  • Если >1 млн — CAC оценка безопасности
  • Шаг 5: Проведите PIPIA

  • Обязательна при трансграничной передаче (ст. 55-56 PIPL)
  • Сохраняйте отчёт не менее 3 лет
  • Обновляйте при изменении условий обработки
  • Шаг 6: Проверьте SDK в вашем приложении

  • Все зарубежные SDK должны быть проверены на соответствие PIPL
  • SDK не может собирать данные без согласия пользователя
  • При нарушении SDK ответственность несёт владелец приложения (вы)
  • Шаг 7: Настройте механизмы согласия

  • Отдельное согласие для чувствительных данных
  • Отдельное согласие для трансграничной передачи
  • Пользователь должен иметь возможность отозвать согласие
  • Политика конфиденциальности — на китайском языке
  • Шаг 8: Внедрите мониторинг объёмов передачи

  • CAC использует «катящийся» порог — превышение может произойти в середине года
  • Автоматизируйте подсчёт переданных записей
  • При приближении к порогу — инициируйте CAC оценку
  • Часто задаваемые вопросы (FAQ)

    В: PIPL применяется к моей компании, если у нас нет офиса в Китае?

    О: Да, согласно ст. 3 PIPL. Если ваш сайт или приложение доступны китайским пользователям или вы анализируете поведение граждан КНР (например, через AI-модели), вы обязаны соблюдать PIPL. Необходимо назначить представителя на территории Китая и уведомить об этом CAC. CNBusinessHub помогает иностранным компаниям пройти полный аудит PIPL-соответствия — от инвентаризации данных до выбора пути трансграничной передачи.

    В: Какой максимальный штраф по PIPL?

    О: За серьёзное нарушение — до ¥50 млн или 5% годовой выручки, а также приостановка деятельности. За обычное нарушение — до ¥1 млн. Ответственное лицо может быть оштрафовано на ¥10 000 — ¥100 000. CSL в редакции 2026 года ввёл штраф до 5-10-кратного размера незаконного дохода без верхнего предела.

    В: Что такое «чувствительные персональные данные» по китайскому праву?

    О: Согласно GB/T 45574-2025 (в силе с 1 ноября 2025), к чувствительным данным относятся: биометрические данные (отпечатки пальцев, распознавание лица), религиозная принадлежность, сексуальная ориентация, судимость, медицинские данные, финансовые счета, данные геолокации и данные детей до 14 лет. Важное новшество: комбинация нескольких типов данных может быть признана чувствительной, если их утечка нанесёт значительный ущерб.

    В: В чём разница между PIPL и GDPR?

    О: Основные отличия: (1) в PIPL нет основания «законный интерес» — 7 оснований против 6 в GDPR; (2) штраф PIPL выше — ¥50 млн или 5% выручки против €20 млн или 4% выручки в GDPR; (3) в PIPL требуется отдельное согласие на передачу данных и обработку чувствительных данных — концепции «отдельного согласия» в GDPR нет; (4) PIPL требует локализации важных данных на территории КНР; (5) надзор осуществляется тремя ведомствами (CAC, MIIT, MPS), а не единым регулятором.

    В: Что такое PIPIA и когда её нужно проводить?

    О: PIPIA (оценка воздействия на защиту персональных данных) — аналог GDPR DPIA. Обязательна при: обработке чувствительных данных, трансграничной передаче, обработка данных >1 млн человек, автоматизированное принятие решений, обработка данных детей до 14 лет, передача данных третьим лицам. Отчёт должен храниться не менее 3 лет.

    В: Как выбрать между SCC и сертификацией для трансграничной передачи?

    О: SCC (стандартный договор) проще и дешевле — подходит для компаний с годовым объёмом передачи 10 тыс. — 1 млн нечувствительных записей. Сертификация (GB/T 46068-2025) требует внешнего аудита, но удобна при частых трансграничных передачах — одна сертификация покрывает множество операций. Если ваш годовой объём превышает 1 млн записей — обязательна CAC оценка безопасности.

    В: Нужно ли назначать DPO (PIPO) в Китае?

    О: Да, если ваша компания обрабатывает данные >1 млн физических лиц. PIPO (Responsible Person for Personal Information Protection) должен быть назначен, его данные — направлены в местное отделение CAC. PIPO отвечает за мониторинг обработки данных и защитных мер. С 2026 года это обязательное требование.

    В: Какие данные считаются «важными» по DSL и какие требования к ним?

    О: DSL (Закон о безопасности данных) требует классификации данных по категориям и уровням важности. «Важные данные» (important data) — данные, утечка которых может нанести ущерб национальной безопасности, экономике или общественным интересам. Единый общегосударственный стандарт классификации ещё разрабатывается, но в 2026 году CAC выпустил руководство для финансового сектора. Иностранные компании обязаны провести собственную классификацию данных.

    В: Какие изменения принёс 2026 год в регулирование трансграничной передачи?

    О: Три ключевых изменения: (1) 1 января 2026 года вступили в силу сертификационный путь (GB/T 46068-2025) и редакция CSL с увеличенными штрафами; (2) 30 января 2026 CAC опубликовал разъяснения по управлению безопасностью трансграничной передачи; (3) 2 апреля 2026 запущена спецоперация по шести отраслям. 2026 год — переломный: от «бумажного» комплаенса к операционным проверкам.

    В: Моя компания использует глобальную HR-систему (SAP/Oracle). Данные сотрудников WFOE уходят за рубеж — это нарушение?

    О: Да, передача зарплатных данных, оценок эффективности и семейной информации сотрудников через глобальную HR-систему на зарубежный сервер является трансграничной передачей и требует выбора одного из трёх легальных путей. Наиболее распространённое решение — SCC (стандартный договор). CNBusinessHub предлагает комплексный аудит трансграничной передачи данных с рекомендацией оптимального пути комплаенса.

    Дисклеймер

    Данная статья носит исключительно информационный характер и не является юридической консультацией. Законы и нормативные акты Китая могут изменяться — перед принятием решений проконсультируйтесь с квалифицированным юристом, специализирующимся на китайском праве.

    CNBusinessHub не несёт ответственности за любые убытки или ущерб, возникшие в результате использования информации, содержащейся в данной статье. Все цифры и данные приведены на основе источников, указанных в тексте, и актуальны на дату публикации.

    Рекомендуем обратиться к профессиональным консультантам для получения индивидуальной юридической помощи по вопросам соблюдения PIPL, DSL и CSL в Китае. Ситуация каждой компании уникальна и требует персонального подхода.

    Для получения актуальной информации о последних изменениях в регулировании защиты данных в Китае посетите официальный сайт CAC (cac.gov.cn) или обратитесь к CNBusinessHub для проведения аудита PIPL-соответствия вашего бизнеса.


    *Отказ от ответственности: Данная статья носит исключительно информационный характер и не является юридической, налоговой или финансовой консультацией. Перед принятием бизнес-решений проконсультируйтесь с квалифицированными специалистами.