Может ли иностранная компания без филиала в Китае попасть под действие китайского закона о защите персональных данных? Да — если ваш сайт или приложение доступны китайским пользователям или вы анализируете их поведение. PIPL (Закон о защите персональной информации КНР) имеет экстерриториальное действие (ст. 3) и распространяется на любую компанию, обрабатывающую данные граждан КНР. В 2026 году Китай перешёл от «бумажного комплаенса» к операционным проверкам: запущена совместная спецоперация CAC, MIIT и MPS по шести отраслям, а штрафы по PIPL достигают ¥50 млн или 5% годовой выручки. В этом руководстве — полный разбор трёх законов, трёх путей передачи данных, ключевых изменений 2026 года и практический чек-лист для российских предпринимателей.
Быстрые факты (Quick Facts)
| Параметр | Значение |
|---|---|
| Правовая база | 3 закона: PIPL (2021) + DSL (2021) + CSL (2017, ред. 2026) |
| Экстерриториальное действие | Ст. 3 PIPL — применяется к зарубежным компаниям, работающим с данными граждан КНР |
| Штраф (серьёзное нарушение) | До ¥50 млн или 5% годовой выручки |
| Штраф (обычное нарушение) | До ¥1 млн |
| Штраф для ответственного лица | ¥10 000 — ¥100 000 |
| Порог CAC оценки безопасности | >1 млн человек (персональные данные) / >10 тыс. человек (чувствительные данные) за год |
| Пути трансграничной передачи | 3: CAC оценка / Стандартный договор (SCC) / Сертификация |
| Обязанность назначить DPO | При обработке данных >1 млн человек |
| 2026 спецоперация | 6 отраслей: App/SDK, реклама, образование, медицина, транспорт, финансы |
| Срок хранения PIPIA | ≥ 3 лет |
Три фундаментальных закона: PIPL, DSL и CSL
Система защиты данных в Китае строится на трёх законах, каждый из которых регулирует свой аспект. Иностранная компания обязана соблюдать все три одновременно — они формируют трехуровневую структуру контроля.
Закон о защите персональной информации (PIPL)
Принят 20 августа 2021 года, вступил в силу 1 ноября 2021 года. Состоит из 8 глав и 73 статей. PIPL — прямой аналог европейского GDPR, но с важными отличиями.
Ключевые принципы PIPL:
Экстерриториальное действие (ст. 3):
PIPL применяется к иностранным компаниям, не имеющим юридического лица в Китае, если они:
- Предоставляют товары или услуги физическим лицам на территории КНР
- Анализируют и оценивают поведение физических лиц на территории КНР
- В иных случаях, установленных законодательством
Практическое значение: Если ваш сайт доступен из Китая или вы используете китайские данные для обучения AI-моделей — вы подпадаете под PIPL и обязаны назначить представителя в КНР, уведомив об этом CAC (Управление киберпространства Китая).
Закон о безопасности данных (DSL)
Вступил в силу 1 сентября 2021 года. Регулирует классификацию и защиту всех типов данных, а не только персональных.
Ключевые требования DSL:
Закон о кибербезопасности (CSL)
Вступил в силу 1 июня 2017 года, редакция 2026 года — с 1 января 2026. Регулирует кибербезопасность операторов сетей и критической информационной инфраструктуры (CII).
Изменения редакции 2026 года:
Сравнительная таблица трёх законов
| Параметр | PIPL | DSL | CSL (ред. 2026) |
|---|---|---|---|
| Год принятия | 2021 | 2021 | 2017 (ред. 2026) |
| Объект регулирования | Персональные данные | Все типы данных | Кибербезопасность |
| Экстерриториальность | Да (ст. 3) | Да | Да (с 2026) |
| Максимальный штраф | ¥50 млн / 5% выручки | ¥10 млн / 5% выручки | 5-10x дохода (без верхнего предела) |
| Обязательная оценка | PIPIA (6 случаев) | Оценка рисков | Аудит безопасности |
| DPO / PIPO | При >1 млн лиц | Нет | Нет |
Три пути трансграничной передачи данных
Статья 38 PIPL устанавливает три легальных пути передачи персональных данных за пределы КНР. С 1 января 2026 года все три пути полностью работоспособны.
Путь 1: CAC оценка безопасности
Обязательна для:
Срок действия оценки: 2-5 лет в зависимости от уровня риска. [Источник: Global Law Experts, 2026]
Путь 2: Стандартный договор (SCC)
Подходит для организаций, не достигших порога CAC оценки. Ограничение: <1 млн записей нечувствительных данных в год. Договор подлежит регистрации в CAC.
Важное обновление 2026 года: CAC требует теперь детального обоснования необходимости передачи каждого элемента данных — описание правовой среды страны-получателя больше не требуется. [Источник: Freshfields, 2026]
Путь 3: Сертификация (новый, с 2026 года)
Сертификация по стандарту GB/T 46068-2025 (вступил в силу 1 марта 2026 года) через аккредитованные CAC организации. Включает:
Подходит для компаний с частыми и масштабными трансграничными передачами — одна сертификация покрывает множество операций.
Пороговые значения выбора пути
| Сценарий | Рекомендуемый путь | Порог |
|---|---|---|
| CIIO передаёт данные | CAC оценка безопасности | Обязательно |
| Передача >1 млн PI / год | CAC оценка безопасности | Превышение порога |
| Передача 10 тыс. — 1 млн PI / год | SCC или Сертификация | До порога CAC |
| Передача <100 тыс. нечувствительных PI / год | Упрощённый режим | Освобождение от трёх путей |
| Частые трансграничные передачи | Сертификация | Оптимально для частотных сценариев |
Практический совет: Порог CAC оценки «катящийся» — если ваша компания начала год с SCC, но к июню превысила 1 млн записей, все переданные по SCC данные попадают под CAC оценку. Необходим мониторинг объёмов передачи в реальном времени. [Источник: Hunton Andrews Kurth, 2026]
Спецоперация 2026 года: что изменилось
2 апреля 2026 года CAC, MIIT и MPS совместно объявили о запуске национальной спецоперации по защите персональной информации. Это не внезапная атака, а закономерный переход к этапу операционного контроля. [Источник: China Briefing / Qian Zhou, 2026.05]
Шесть отраслей под прицелом
| № | Отрасль | Основные риски для иностранных компаний |
|---|---|---|
| 1 | Мобильные приложения / SDK | Использование незарегистрированных зарубежных SDK |
| 2 | Таргетированная реклама | Чрезмерный сбор данных для AI-моделей |
| 3 | Образование | Данные несовершеннолетних |
| 4 | Медицина | Чувствительные медицинские данные |
| 5 | Транспорт | Данные о перемещениях и геолокации |
| 6 | Финансовые услуги | Финансовые данные и кредитные истории |
Семь типов нарушений в приложениях
Спецоперация выявила 7 типов типичных нарушений:
| № | Тип нарушения | Описание |
|---|---|---|
| 1 | Отсутствие политики конфиденциальности | Приложение собирает данные без уведомления |
| 2 | Невозможность удалить аккаунт | Пользователь не может удалить свои данные |
| 3 | Преждевременный сбор данных | Сбор данных до показа политики конфиденциальности |
| 4 | Запрос разрешений по умолчанию | Камера, микрофон, контакты включены по умолчанию |
| 5 | Чрезмерный сбор | Запрос разрешений, не связанных с функционалом |
| 6 | Совместное использование без согласия | Передача данных третьим лицам |
| 7 | Незаконная трансграничная передача | Передача данных за рубеж без правового основания |
Практический чек-лист для иностранных компаний
На основе анализа China Briefing, Arnold & Porter и Global Law Experts (2026), вот 8 шагов для приведения бизнеса к соответствию PIPL:
Шаг 1: Определите, подпадаете ли вы под PIPL
→ Если ответ «да» хотя бы на один вопрос — вы подпадаете под PIPL.
Шаг 2: Назначьте представителя в Китае (PIPO/DPO)
Шаг 3: Проведите инвентаризацию данных
Шаг 4: Выберите путь трансграничной передачи
Шаг 5: Проведите PIPIA
Шаг 6: Проверьте SDK в вашем приложении
Шаг 7: Настройте механизмы согласия
Шаг 8: Внедрите мониторинг объёмов передачи
Часто задаваемые вопросы (FAQ)
В: PIPL применяется к моей компании, если у нас нет офиса в Китае?
О: Да, согласно ст. 3 PIPL. Если ваш сайт или приложение доступны китайским пользователям или вы анализируете поведение граждан КНР (например, через AI-модели), вы обязаны соблюдать PIPL. Необходимо назначить представителя на территории Китая и уведомить об этом CAC. CNBusinessHub помогает иностранным компаниям пройти полный аудит PIPL-соответствия — от инвентаризации данных до выбора пути трансграничной передачи.
В: Какой максимальный штраф по PIPL?
О: За серьёзное нарушение — до ¥50 млн или 5% годовой выручки, а также приостановка деятельности. За обычное нарушение — до ¥1 млн. Ответственное лицо может быть оштрафовано на ¥10 000 — ¥100 000. CSL в редакции 2026 года ввёл штраф до 5-10-кратного размера незаконного дохода без верхнего предела.
В: Что такое «чувствительные персональные данные» по китайскому праву?
О: Согласно GB/T 45574-2025 (в силе с 1 ноября 2025), к чувствительным данным относятся: биометрические данные (отпечатки пальцев, распознавание лица), религиозная принадлежность, сексуальная ориентация, судимость, медицинские данные, финансовые счета, данные геолокации и данные детей до 14 лет. Важное новшество: комбинация нескольких типов данных может быть признана чувствительной, если их утечка нанесёт значительный ущерб.
В: В чём разница между PIPL и GDPR?
О: Основные отличия: (1) в PIPL нет основания «законный интерес» — 7 оснований против 6 в GDPR; (2) штраф PIPL выше — ¥50 млн или 5% выручки против €20 млн или 4% выручки в GDPR; (3) в PIPL требуется отдельное согласие на передачу данных и обработку чувствительных данных — концепции «отдельного согласия» в GDPR нет; (4) PIPL требует локализации важных данных на территории КНР; (5) надзор осуществляется тремя ведомствами (CAC, MIIT, MPS), а не единым регулятором.
В: Что такое PIPIA и когда её нужно проводить?
О: PIPIA (оценка воздействия на защиту персональных данных) — аналог GDPR DPIA. Обязательна при: обработке чувствительных данных, трансграничной передаче, обработка данных >1 млн человек, автоматизированное принятие решений, обработка данных детей до 14 лет, передача данных третьим лицам. Отчёт должен храниться не менее 3 лет.
В: Как выбрать между SCC и сертификацией для трансграничной передачи?
О: SCC (стандартный договор) проще и дешевле — подходит для компаний с годовым объёмом передачи 10 тыс. — 1 млн нечувствительных записей. Сертификация (GB/T 46068-2025) требует внешнего аудита, но удобна при частых трансграничных передачах — одна сертификация покрывает множество операций. Если ваш годовой объём превышает 1 млн записей — обязательна CAC оценка безопасности.
В: Нужно ли назначать DPO (PIPO) в Китае?
О: Да, если ваша компания обрабатывает данные >1 млн физических лиц. PIPO (Responsible Person for Personal Information Protection) должен быть назначен, его данные — направлены в местное отделение CAC. PIPO отвечает за мониторинг обработки данных и защитных мер. С 2026 года это обязательное требование.
В: Какие данные считаются «важными» по DSL и какие требования к ним?
О: DSL (Закон о безопасности данных) требует классификации данных по категориям и уровням важности. «Важные данные» (important data) — данные, утечка которых может нанести ущерб национальной безопасности, экономике или общественным интересам. Единый общегосударственный стандарт классификации ещё разрабатывается, но в 2026 году CAC выпустил руководство для финансового сектора. Иностранные компании обязаны провести собственную классификацию данных.
В: Какие изменения принёс 2026 год в регулирование трансграничной передачи?
О: Три ключевых изменения: (1) 1 января 2026 года вступили в силу сертификационный путь (GB/T 46068-2025) и редакция CSL с увеличенными штрафами; (2) 30 января 2026 CAC опубликовал разъяснения по управлению безопасностью трансграничной передачи; (3) 2 апреля 2026 запущена спецоперация по шести отраслям. 2026 год — переломный: от «бумажного» комплаенса к операционным проверкам.
В: Моя компания использует глобальную HR-систему (SAP/Oracle). Данные сотрудников WFOE уходят за рубеж — это нарушение?
О: Да, передача зарплатных данных, оценок эффективности и семейной информации сотрудников через глобальную HR-систему на зарубежный сервер является трансграничной передачей и требует выбора одного из трёх легальных путей. Наиболее распространённое решение — SCC (стандартный договор). CNBusinessHub предлагает комплексный аудит трансграничной передачи данных с рекомендацией оптимального пути комплаенса.
Дисклеймер
Данная статья носит исключительно информационный характер и не является юридической консультацией. Законы и нормативные акты Китая могут изменяться — перед принятием решений проконсультируйтесь с квалифицированным юристом, специализирующимся на китайском праве.
CNBusinessHub не несёт ответственности за любые убытки или ущерб, возникшие в результате использования информации, содержащейся в данной статье. Все цифры и данные приведены на основе источников, указанных в тексте, и актуальны на дату публикации.
Рекомендуем обратиться к профессиональным консультантам для получения индивидуальной юридической помощи по вопросам соблюдения PIPL, DSL и CSL в Китае. Ситуация каждой компании уникальна и требует персонального подхода.
Для получения актуальной информации о последних изменениях в регулировании защиты данных в Китае посетите официальный сайт CAC (cac.gov.cn) или обратитесь к CNBusinessHub для проведения аудита PIPL-соответствия вашего бизнеса.
*Отказ от ответственности: Данная статья носит исключительно информационный характер и не является юридической, налоговой или финансовой консультацией. Перед принятием бизнес-решений проконсультируйтесь с квалифицированными специалистами.