Аналитическая справка по законопроекту № 101234-8

06 апреля 2022 года депутаты Государственной Думы А.Е. Хинштейн, С.А. Гаврилов, С.М. Боярский, А.В. Горелкин, А.А. Ющенко, А.И. Немкин, А.О. Ткачев, И.А. Панькина, А.К. Луговой, Д.Г. Гусев и сенаторы Российской Федерации А.А. Клишас, А.В. Яцкин внесли в Государственную Думу РФ проект федерального закона № 101234-8 «О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных» (https://sozd.duma.gov.ru/bill/101234-8). В пояснительной записке авторы законопроекта вынуждены констатировать безрадостное состояние дел в сфере защиты персональных данных, на которое уже давно обращали внимание эксперты и общественность: «В настоящее время проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц – имеет чрезвычайно высокую актуальность. Анализ инцидентов последних лет, когда персональные данные граждан массово попадали в открытый доступ, свидетельствует о недостаточности существующих законодательных механизмов в этом вопросе.

Широкое распространение получили сервисы в сети Интернет,

занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных (адреса, недвижимость, паспорта, авиа и железнодорожные перелеты и т.п.). Все это не только нарушает право

человека на неприкосновенность частной жизни, гарантированное

Конституцией, но и создает реальную угрозу для совершения преступлений и правонарушений. (Мошенничества, в т.ч. с использованием методов социальной инженерии, заочное оформление кредитов, кибербуллинг и т.п..)

Особую тревогу в текущих условиях вызывает сбор персональных данных в целях идентификации военнослужащих и сотрудников правоохранительных органов (т.н. «деаномизация»), что впрямую угрожает жизни и личной безопасности их самих, а также их родных. (…) Важно отметить, что подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте сети Интернет, на который не распространяются требования российского законодательства в сфере персональных данных. При этом действующим законодательством практически не регулируется трансграничная передача персональных данных, что также создает существенную угрозу в условиях текущей внешнеполитической ситуации. В настоящее время, по данным Роскомнадзора, более 2,5 тыс. операторов персональных данных (далее - Операторы) осуществляют трансграничную передачу персональных данных российских граждан в недружественные страны, где не обеспечивается их должная защита» (Пояснительная записка к проекту федерального закона " О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных ", л. 1-2). О том, что часть ответственности за подобное прискорбное положение дел лежит и на депутатах Государственной Думы предшествовавших созывов, принимавших законы, сделавшие такое возможным, авторы пояснительной записки благоразумно умолчали.

Борьбу с подобным положением дел авторы ПФЗ решили начать со сведений об объектах недвижимости: «Это вдвойне опасно, учитывая, что действующее законодательство никак не ограничивает выдачу сведений третьим лицам о принадлежащих гражданам объектов недвижимости, включая адреса их мест проживания. В то же время сведения о принадлежащей гражданам недвижимости также являются персональными данными и нуждаются в соответствующей защищенности» (Пояснительная записка к проекту федерального закона " О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных ", л. 1). Если вспомнить относительно недавние громкие расследования в этой сфере, становится понятно, в чьих интересах вносится данный законопроект. Для этого предлагается внести в Федеральный закон от 13 июля 2015 года № 218-ФЗ «О государственной регистрации недвижимости» следующие изменения:

1) часть 5 статьи 7 изложить в следующей редакции:

«5. Сведения, содержащиеся в Едином государственном реестре недвижимости, являются общедоступными в пределах, установленных законом.».

Для сравнения отметим, что действующая редакция ФЗ гласит: «Сведения, содержащиеся в Едином государственном реестре недвижимости, являются общедоступными, если иное не установлено законом».

2) дополнить статьей 36-3 согласно которой при представлении физическим лицом, за которым в Едином государственном реестре недвижимости зарегистрировано право, ограничение права или обременение на объект недвижимости, заявления о возможности предоставления третьим лицам персональных данных правообладателя, содержащихся в Едином государственном реестре недвижимости, запись об этом вносится в Единый государственный реестр недвижимости. К персональным данным, содержащимся в Едином государственном реестре недвижимости и подлежащим предоставлению, относятся сведения о фамилии, имени, отчестве и дате рождения физического лица, за которым в Едином государственном реестре недвижимости зарегистрировано право, ограничение права или обременение на соответствующий объект недвижимости. Наличие в Едином государственном реестре недвижимости записи о возможности предоставления персональных данных правообладателя объекта недвижимости, содержащихся в Едином государственном реестре недвижимости, является основанием для предоставления установленных в части 1 настоящей статьи сведений третьим лицам в составе выписки из Единого государственного реестра недвижимости.

3) статью 62 дополнить частью 1-3 следующего содержания: «Сведения, содержащиеся в Едином государственном реестре недвижимости и представляющие собой персональные данные о правообладателе объекта недвижимости (лицом, в пользу которого зарегистрированы ограничения права или обременения объекта недвижимости), относятся к сведениям, доступным с согласия правообладателя объекта недвижимости третьим лицам, только при наличии в Едином государственном реестре недвижимости записи, указанной в статье 36-3 настоящего Федерального закона».

В отсутствии указанной записи сведения из ЕГРН могут быть предоставлены только по запросу нотариуса, действующему на основании письменного заявления заинтересованного лица в целях защиты его прав и законных интересов. К таким обстоятельствам, в частности, могут относиться: наличие договора, стороной которого являются заявитель и правообладатель, причинение ущерба личности или имуществу заявителя, наличие оснований для предъявления заявителем вещного иска к правообладателю и др. Соответствующие изменения предлагается внести также и в Основы законодательства Российской Федерации о нотариате от 11 февраля 1993 года № 4462-1. Как уже говорилось выше, понятно, в чьих интересах в первую очередь вносятся эти изменения, однако ограничение доступа к сведениям о недвижимости может пойти на пользу и рядовым гражданам.

В статью 3 ФЗ вводится новое определение лица, осуществляющего обработку персональных данных. Таковым предлагается считать «государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных по поручению оператора персональных данных с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, но не определяющее цели обработки указанных персональных данных, состав персональных данных, действия, совершаемые с персональными данными». В той же статье в пункте 3 слова «передачу (распространение, предоставление, доступ)» предлагается заменить словами «передачу (распространение, предоставление), предоставление доступа или осуществление логических и (или) арифметических операций с такими данными,».

В части 1 статьи 9 ФЗ, посвященной согласию субъекта на обработку его персональных данных, слова «конкретным, информированным и сознательным» предлагается заменить словами «конкретным, предметным, информированным, сознательным и однозначным».

Весьма важные изменения вносятся в статью 11 ФЗ. Во-первых, ее планируют дополнить частью 1-1 следующего содержания: «Не допускается обработка биометрических персональных данных несовершеннолетнего в возрасте до восемнадцати лет, за исключением случаев, предусмотренных частью 2 настоящей статьи». Во-вторых, предлагается ее дополнить и частью 3 следующего содержания: «3. Оператор не вправе отказывать в предоставлении услуг в случае отказа субъекта персональных данных предоставить биометрические персональные данные и(или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных в части 2 настоящей статьи». Установление подобного запрета можно приветствовать как шаг в правильном направлении.

Ст. 14 ФЗ планируется дополнить ч. 1-2, возлагающей на операторов обязанность прекратить дальнейшую обработку персональных данных по требованию их владельца в 30-дневный срок и (или) принять меры по их уточнению, блокированию, уничтожению, либо направить субъекту персональных данных мотивированный отказ в случае, если обработка персональных данных осуществляется в соответствии с пунктами 1-5, 8 части 1 статьи 6 настоящего закона.

Ст. 21 ФЗ, посвященную обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных, предлагается дополнить частью 3-1 следующего содержания: «3-1. В случае установления факта неправомерного или случайного доступа, предоставления, распространения, передачи персональных данных, повлекших нарушение прав субъектов персональных данных оператор обязан в течение двадцати четырех часов с момента наступления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных. Указанная информация должна содержать сведения о причинах, повлекших нарушение прав субъектов персональных данных, о предполагаемом вреде, нанесенном правам субъектов персональных данных, о лицах, допустивших указанный доступ, а также о принятых мерах по устранению соответствующих последствий». Эту же статью хотят дополнить частью 5-1 следующего содержания:

«5-1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий тридцати дней с момента обращения либо получения оператором соответствующего требования прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется лицом, осуществляющим обработку персональных данных) за исключением случаев, предусмотренных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.»

Однако с другими инициативами авторов ПФЗ трудно согласиться. Так, в части 3 ст. 22 ФЗ они предлагают признать утратившими силу пункты 3-6. Однако данные пункты определяют, что уведомление об обработке персональных данных, которое оператор обязан направить в уполномоченный орган по защите прав субъектов персональных данных, должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.

Исключение этих сведений из уведомления явно неоправданно.

Статью 19 ФЗ они хотят дополнить частью 12 следующего содержания:

«12. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения

безопасности, обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных».

В статье 20 ФЗ, посвященной обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных, втрое (с 30 до 10 дней) сокращаются сроки исполнения операторами запросов органов власти и граждан по вопросам, связанным с незаконной обработкой персональных данных.

Ряд нововведений касается трансграничной передачи персональных данных. Если в действующей редакции ФЗ она определяется как «передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу», то авторы ПФЗ предлагают несколько изменить данное определение: «трансграничная передача персональных данных – передача персональных данных иностранному государству, государственному органу иностранного государства, международной и иностранной организации, иностранному гражданину, лицу без гражданства либо уполномоченному ими лицу, юридическому лицу, зарегистрированному в иностранном государстве, или иной структуре без образования юридического лица независимо от их организационно-правовой формы, находящимся на территории иностранного государства».

Дается также новая редакция ст. 12 ФЗ, посвященной трансграничной передаче персональных данных. Согласно действующей редакции ФЗ уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных. Подразумевается, что государства, являющиеся сторонами этой Конвенции Совета Европы, обеспечивают адекватную защиту прав субъектов персональных данных.

ПФЗ предполагает, что уполномоченный орган по защите прав субъектов персональных данных будет утверждать перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, включаются государства, являющиеся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иные иностранные государства, не являющиеся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности персональных данных при их обработке.

Если в действующей редакции оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных, то согласно ПФЗ он до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Подробно определяются сведения, которые должны содержаться в Уведомлении о намерении осуществлять трансграничную передачу персональных данных. Согласно законопроекту трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. При рассмотрении уполномоченным органом по защите прав субъектов персональных данных в рамках тридцатидневного срока уведомления оператора о своем намерении осуществлять трансграничную передачу персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, трансграничная передача персональных данных на территорию указанных иностранных государств оператором не допускается.

Следует отметить, что в действующей редакции ФЗ содержалось правильное положение, согласно которому трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных. В ПФЗ это положение пропало, хотя в нынешних условиях его можно было бы распространить и на все случаи трансграничной передачи персональных данных.

Также предлагается статью 1 ФЗ дополнить частью 1-1 следующего содержания: «1-1. Положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой на основании соглашений между российскими и (или) иностранными органами власти, юридическими или физическими лицами, а также к совершаемым иностранными органами власти, юридическими или физическими лицами действиям с персональными данными граждан Российской Федерации, если такие соглашения или действия затрагивают права и свободы субъекта персональных данных». Последняя оговорка является излишней, поскольку вопрос о том, затрагивают или не затрагивают права и свободы субъекта персональных данных те или иные действия может быть весьма дискуссионным. Следует принять во внимание, что даже если то или иное действие не затрагивает права и свободы субъекта персональных данных в момент его совершения, это не означает, что оно не может затронуть их в будущем. Представляется целесообразным распространить действие настоящего Федерального закона к любым действиям с персональными данными граждан Российской Федерации.    

Поскольку, как отмечается в пояснительной записке, «действующим законодательством практически не регулируется трансграничная передача

персональных данных, что также создает существенную угрозу в условиях

текущей внешнеполитической ситуации», разработчикам законопроекта следовало бы в гораздо большей степени учесть уже созданную законодательную базу ЕС и КНР в данном вопросе. 25 мая 2018 г. в Европейском Союзе вступил в силу закон, устанавливающий принципы и требования к защите персональных данных — General Data Protection Regulation (GDPR). Цель принятого закона — укрепить права субъектов персональных данных (ПДн). GDPR подразумевает более серьезную ответственность за несоблюдение правил хранения и обработки персональной информации, устанавливает глобальные стандарты защиты данных и регламентирует их трансграничную передачу. Новый закон призван повысить защищенность персональной информации субъектов, находящихся на территории ЕС. По данным аналитического центра InfoWatch, доля утечек персональных данных граждан за 2017 год составила 64,8% от совокупного числа утечек информации из организаций в мире. Украденные ПДн используются злоумышленниками для совершения мошенничества, которое может привести к ущербу репутации и материальным потерям для пострадавшего. Так, за нарушение базовых принципов обработки данных, нарушение правил передачи персональных данных, игнорирование запрета надзорного органа на обработку данных, нарушение прав субъекта и др. на компанию будет наложен штраф в размере 4% от общего годового оборота предприятия или 20 млн евро (в зависимости от того, какая сумма окажется больше). За нарушение порядка уведомления об инциденте, отсутствие сотрудника по защите данных, где это необходимо, незаконную обработку ПДн ребенка и др. предусмотрены меньшие, однако не менее существенные штрафы — 10 млн евро или 2% от общего годового оборота предприятия. GDPR проводит четкое различие между странами, которые обеспечивают адекватный уровень защиты персональных данных, и остальными. К странам, обеспечивающим адекватный уровень защиты, признанным Европейской комиссией, относятся Андорра, Аргентина, Канада, Фарерские острова, остров Гернси, Израиль, остров Мэн, остров Джерси, Новая Зеландия, Швейцария, Уругвай и США. Передача персональных данных в эти страны разрешена и законна в соответствии с GDPR и не требует предварительного одобрения со стороны надзорного органа ЕС. Во все остальные страны передача данных может осуществляться только в том случае, если организации, получающие эти данные, обеспечивают надлежащие гарантии защиты персональных данных (В Европе вступил в силу закон о защите персональных данных. Как его выполнить? // https://d-russia.ru/v-evrope-vstupil-v-silu-zakon-o-zashhite-personalnyh-dannyh-kak-ego-vypolnit.html). Как видим, из GDPR разработчики отечественного ПФЗ заимствовали лишь принцип деления стран на те, которые обеспечивают адекватный уровень защиты персональных данных и тех, которые этот уровень защиты не обеспечивают. Вместе с тем идея наложения достаточно серьезных штрафов на компании за нарушение базовых принципов обработки и передачи персональных данных совершенно не была воспринята отечественными законодателями. Однако это одна из немногих мер, которая только и может заставить компании хотя бы стараться обеспечить безопасность персональных данных. Для сравнения отметим, что за недавнюю утечку персональных данных "Яндекс.Еда" была оштрафована всего на 60 тыс. рублей (Суд оштрафовал "Яндекс.Еду" на 60 тыс. рублей из-за утечки данных // https://tass.ru/proisshestviya/14435979). Очевидно, что до тех пор, пока нарушители будут отделываться символическими штрафами, широкомасштабные утечки персональных данных будут продолжаться и далее.     

Закон, ограничивающий сбор пользовательских данных технологическими компаниями, был принят в Китае в 2021 г. Согласно ему, ни одна организация или индивидуальное лицо не должны незаконно собирать, использовать обрабатывать и передавать личную информацию, торговать ею, предоставлять или раскрывать данные других людей. Компаниям, нарушающим новые правила, будет грозить штраф в размере до 50 млн юаней ($7,7 млн) или до 5% их годовой выручки. Закон также предусматривает, что онлайн-платформы с большим количеством пользователей должны разработать подробные правила поведения сторон, предоставляющих услуги через эти платформы. Они должны четко определить нормы обработки данных и обязательства по защите личной информации провайдерами продуктов или услуг на онлайн-платформах.

Закон носит экстерриториальный характер – его положения регламентируют обработку персональных данных китайских пользователей для предоставления продуктов и услуг или анализа пользовательского поведения не только на территории Китая, но и за его пределами. При этом иностранные компании обязаны открыть специальный офис или назначить представителя на территории Китая, который будет отвечать за обеспечение безопасности этих данных.

Предметом особого регулирования является также трансграничная передача данных – компании будут обязаны получить специальное согласие пользователя на передачу его данных за границу. Кроме того, операторы критической информационной инфраструктуры и компании со значительной аудиторией китайских пользователей должны будут проходить процедуру государственной сертификации и специальную проверку безопасности, правила которой предстоит установить Администрации киберпространства Китая. Согласно проекту пояснительного документа, представленному китайскими властями на прошлой неделе на общественное обсуждение, норма будет распространяться на компании с более чем 1 млн пользователей.

Как сообщил "Интерфаксу" директор АНО "Центр компетенций по глобальной IT-кооперации" Вадим Глущенко, закон КНР о защите персональной информации во многом учитывает опыт регулирования этой сферы в мире, в частности применение Общего регламента Евросоюза о защите персональных данных (General Data Protection Regulation, GDPR).

"Вместе с тем, одно из ключевых отличий китайского закона от европейского регламента заключается в установлении специальных требований к интернет-платформам, таких как создание системы контроля за защитой персональной информации в соответствии с государственными требованиями, формулирование четких стандартов продуктов и сервисов платформы и своих обязательств по защите персональной информации, а также прекращение предоставления сервисов или продуктов, которые серьезно нарушают национальное законодательство в отношении обработки персональной информации", - отметил Глущенко.

Эксперт также подчеркнул, что с помощью нового закона китайские власти стремятся не столько сдержать трансграничную передачу данных, сколько четко определить условия такой передачи и требования по ее защите.

"И в этом Китай, конечно, не одинок. Достаточно посмотреть на регулирование этого вопроса в том же Евросоюзе, где в соответствии с GDPR, для трансграничной передачи персональных данных граждан ЕС требуется так называемое "Решение об адекватности" системы защиты персональных данных той или иной страны", - добавил Глущенко.

По его словам, в целом закон направлен на снижение влияния цифровых гигантов, что в последние годы стало глобальной тенденцией.

Председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александр Журавлев сообщил агентству, что новый закон КНР регулирует деятельность IT-гигантов жестче, чем российский закон "о приземлении" и накладывает дополнительные ограничения на работу компаний внутри страны.

"Если сравнивать, то наш закон мягче, чем закон, который действует в Китае. Этот закон вводит в том числе определенные правила поведения IT-компаний и тех, кто обрабатывает персональные данные китайцев", - сказал Журавлев. (Закон о защите персональных данных вступил в силу в Китае // https://www.interfax.ru/world/800790)

Заявленная цель закона — предотвратить сбор конфиденциальной информации технологическими компаниями и разобраться с проблемой онлайн-мошенничества и кражи данных. Закон о защите данных в КНР распространяется на сбор информации внутри и вне страны. Во втором случае это касается информации, которая способна «нанести ущерб национальной безопасности или общественным интересам КНР или законным правам китайских граждан или организаций». Под данными подразумевается любая информация, записанная в электронном или любом другом виде. «Действия с данными» включают в себя сбор, хранение, использование, обработку, передачу, предоставление и раскрытие данных. В частности, закон впервые регулирует коммерческую «транзакцию» данных. За рамками закона остаются два типа информации: государственная тайна, для которой существует закон об охране государственных тайн, а также информация, которая входит в зону ответственности Центральной военной комиссии.

Информация по закону регулируется согласно специальной классификации — ее значимость и чувствительность определяется в зависимости от важности для экономического развития государства, национальной безопасности, общественных интересов, а также законных прав и интересов физических и юридических лиц. Затем госорганы разных уровней определяют, какие именно данные «важные», и впоследствии усиливают их защиту. Это означает, что, помимо «основных государственных данных», местные власти и отрасли могут сами решать, какую информацию называть «важной».

На международном уровне самой важной частью закона можно назвать правила о трансграничных данных. Их регулирование частично попадало под закон о кибербезопасности 2017 года. Уже он запрещал компаниям, предоставляющим услуги онлайн, собирать и продавать персональные данные пользователей. Тогда международные компании призывали регулятора отсрочить применение закона, так как он нанес бы серьезный ущерб их работе.

Среди ключевых нововведений закона было понятие «критически важной инфраструктуры» — это государственные коммуникационные и информационные услуги, энергетика, ирригационные системы, транспорт, финансы, оборонная сфера, здравоохранение и другие ключевые отрасли и сектора. Нанесение ущерба, незаконное использование и утечка данных из этих сфер представляют собой серьезную угрозу национальной безопасности и общественным интересам. По сути, это означало, что работа международных компаний, так или иначе работающих с данными, стала в Китае крайне затруднительной.

По закону о кибербезопасности 2017 года компании, которые работают с «критически важной инфраструктурой», должны хранить все данные на территории КНР. Для отправки данных за границу необходимо получить разрешение. Ответственность за выполнение закона полностью возложена на компании, включая ежегодную переаттестацию. Интересно, что его введение буквально создало рабочие места — теперь всем предприятиям «критически важной инфраструктуры» было предписано нанять специалиста по кибербезопасности себе в штат. Однако ответственным за соблюдение всех норм закона все равно остается глава компании — от найма необходимых специалистов до выполнения требований регулятора после проверок (Как закон о защите данных в Китае сработал против технологических компаний // https://www.forbes.ru/biznes/439513-kak-zakon-o-zasite-dannyh-v-kitae-srabotal-protiv-tehnologiceski....

Кроме того, в новом законе предусмотрена категория чувствительной персональной информации. Это такая информация, утечка или незаконное использование которой приведет к серьезному ущербу для физических лиц, их безопасности, а также безопасности их имущества. В частности это:

·        Биометрическая информация;

·        Религиозные убеждения;

·        Информация о здоровье;

·        Информация о счетах в финансовых учреждениях;

·        Информация о геопозиции пользователя.

Также к чувствительным персональным данным относится личная информация несовершеннолетних до 14 лет. (Новый закон о персональных данных в Китае: что важно знать разработчикам // https://apptractor.ru/info/articles/pipl.html)

Очевидно, что многие положения и из китайского законодательства в сфере защиты персональных данных можно было бы включить в отечественное.

         Соответственно, представляется целесообразным следующее:

1) оставить пункты 3-6 в части 3 ст. 22 ФЗ;

2) сохранить положение действующей редакции ФЗ согласно которому трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

3) исключить из части 1-1, которой авторы ПФЗ хотят дополнить статью 1 ФЗ слова «, если такие соглашения или действия затрагивают права и свободы субъекта персональных данных»;

4) ввести в ФЗ категорию чувствительной персональной информации, к которой относится биометрическая информация, религиозные убеждения, информация о здоровье, информация о движимом и недвижимом имуществе, информация о геопозиции пользователя, личная информация несовершеннолетних до 18 лет;

5) ввести в ФЗ штрафы за утечку персональных данных, их незаконную обработку, нарушение порядка уведомления об инциденте в размере 800 млн руб. или 2% от общего годового оборота предприятия (в зависимости от того, какая сумма окажется больше) за первое нарушение и 1 600 млн руб. или 4% от общего годового оборота предприятия за второе. В том случае, если нарушение было совершено в отношении чувствительной персональной информации, сумма штрафов увеличивается вдвое.