Уважаемые коллеги-инвесторы, привыкшие работать с русским языком. Меня зовут Лю, и вот уже 12 лет я помогаю иностранным компаниям «вставать на ноги» в Шанхае в компании «Цзясюй Финансы и Налоги». За моими плечами не одна сотня проектов по регистрации и адаптации бизнеса. Сегодня я хочу поговорить о теме, которая для многих из вас, особенно тех, кто работает с данными клиентов или сотрудников из ЕС или Китая, становится настоящей головной болью. Речь пойдет о реагировании на права субъектов данных для иностранных компаний в Шанхае. Звучит сухо, но на практике это — минное поле, где один неверный шаг может стоить репутации и немалых штрафов.
Давайте сразу расставим точки над i. Китайский Закон о защите личной информации (PIPL), вступивший в силу в 2021 году, — это не просто копия GDPR. У него есть «шанхайская специфика», и она, скажу я вам, еще та заноза. Иностранные компании часто совершают одну и ту же ошибку: думают, что если они уже прошли аудит по GDPR, то в Шанхае всё будет «по накатанной». Увы, это не так. Местные регуляторы, особенно в пилотных зонах свободной торговли, имеют свои взгляды на то, как именно вы должны отвечать на запросы человека: будь то право на доступ, удаление или перенос данных. И вот, давайте разберем несколько аспектов, которые я вынес из «окопной» работы с иностранными филиалами.
Право на доступ: не всё так просто
Первое, с чем сталкивается любой иностранный инвестор, — это право субъекта на доступ к своим данным. В теории звучит красиво: человек приходит и просит показать, какие данные о нем вы храните. На практике в Шанхае это превращается в бюрократический квест. Я помню случай с нашим клиентом — немецким производителем автокомпонентов. Они получили запрос от китайского инженера, уволившегося месяц назад. По западным стандартам, достаточно выгрузить CSV-файл из CRM. Но шанхайский офис попросил меня проверить документы, и мы обнаружили, что часть данных, включая историю его переписки в корпоративном WeChat, физически хранилась на сервере в Европе. А это уже нарушение правила локализации данных.
Когда мы начали разбираться, выяснилось, что в запросе была юридическая «закорючка»: субъект требовал предоставить данные не только о себе, но и «о товарищах по проекту, так как они влияли на его зарплату». По китайским нормам, вы обязаны провести «идентификацию субъекта» крайне строго. Если вы отдадите данные коллег без их согласия — нарветесь на иск от них. А если не отдадите — субъект данных напишет жалобу в местный интернет-надзор (CAC). Мы тогда потратили три недели на переписку, пока не убедили инженера, что данные коллег — это «чужая собственность». В итоге, пришлось нанимать местного юриста для написания мотивированного отказа, что обошлось компании в $2000. Мораль: в Шанхае процедура доступа — это не просто кнопка «экспорт», а целый юридический конвейер.
Еще один нюанс — формат ответа. Если в Европе достаточно PDF-файла с пояснениями, то в Шанхае местная практика требует, чтобы ответ был заверен электронной печатью компании и, желательно, с дублированием на бумажном носителе, если субъект настаивает. И да, срок ответа — 30 календарных дней, но если запрос сложный, можно продлить еще на 30, предварительно уведомив. Продление, кстати, нужно обосновать не просто «сложностью», а конкретными обстоятельствами, например, «необходимостью удалить данные из нескольких баз данных старой системы учета, которая уже не работает». Без такого обоснования вас оштрафуют за волокиту.
Сложности с удалением данных
Поговорим о праве на удаление. Казалось бы, что сложного? Получил запрос — «забудь меня» — и удалил. Но в условиях шанхайского офиса это «магия». У меня был случай с финтех-стартапом из Израиля. Они арендовали облачный сервер у китайского провайдера Alibaba Cloud, и на этом сервере лежали архивы зарплатных ведомостей за три года. Когда один из сотрудников (аналитик из Пудуна) потребовал удалить его данные, компания честно нажала «Delete» в интерфейсе. Через месяц пришла проверка — и выяснилось, что данные остались в «логах резервного копирования», которые провайдер хранит по закону 6 месяцев. Компания не имела права их удалять, так как это нарушало бы условия SLA с облачным провайдером. Получился правовой коллапс: субъект требует удалить, а закон о кибербезопасности требует хранить логи.
Мы тогда применили такой трюк: оформили соглашение о «деперсонализации» данных. То есть мы физически удалили связь между конкретным именем и цифрой в ведомости, но саму сумму оставили в архиве как обезличенную статистику. Субъекту данных мы предоставили справку, что его личные данные полностью стерты из всех активных баз, а в резервных копиях они теперь — анонимный текст. Суд принял это решение, но этот кейс показал: удаление в Шанхае — это не техническая операция, а юридическая фикция, которая требует тонкой настройки.
Важно понимать, что китайский закон разрешает не удалять данные, если они нужны для исполнения законных обязательств (например, налоговый учет). Налоговая служба Шанхая требует хранить «расчетные листы» с ФИО 10 лет. Поэтому когда вам приходит запрос на удаление от бывшего сотрудника, первый шаг — проверить, не находится ли его ID в базе бухгалтерских проводок. Если да — вы обязаны отказать. И этот отказ нужно написать так, чтобы у субъекта не возникло желания идти в суд. Мы обычно используем формулировку: «Ваши данные являются частью обязательной финансовой отчетности, уничтожение которой влечет административную ответственность». Но предупреждаю: если вы откажете, субъект может подать жалобу в CAC, и тогда вам придется доказывать, что отказ законен. Это долгая волынка.
Локализация данных: иллюзия выбора
Одна из самых горячих тем — требование локализации данных в Шанхае. Многие иностранные компании, особенно в сфере консалтинга, пытаются обхитрить систему: «Мы же иностранные, у нас сервер в Гонконге». Так вот, для Шанхая это не пройдет. Если вы собираете данные на территории Китая (например, IP-адреса посетителей сайта), они должны храниться на территории материкового Китая. Исключение только для некоторых пилотных проектов в зоне свободной торговли, где разрешен трансграничный обмен, но при условии прохождения «оценки влияния на защиту личной информации».
В моей практике был случай с американской юридической фирмой, которая открыла представительство в Шанхае. Они думали, что могут хранить кейсы клиентов на сервере в Сингапуре, потому что «юридическая тайна». Но местный комитет по управлению киберпространством в Шанхае вынес предписание: либо переносите сервер в Шанхай, либо прекращайте сбор данных. Они выбрали перенос, и это стоило $50 000 и 3 месяца простоя. Ирония в том, что после переноса к ним пришли с проверкой и обнаружили, что часть данных все же «утекала» через корпоративный VPN на головной офис. За это выписали штраф в 500 000 юаней.
Как мы решаем эту проблему для клиентов «Цзясюй»? Мы рекомендуем арендовать выделенный сервер у местного провайдера, например China Telecom или Alibaba Cloud, и настроить Data Residency Gateway. Это программный фильтр, который блокирует передачу данных зарубеж, если в них содержатся идентификаторы (реальные имена, ID номера, адреса). Один наш клиент — британский ритейлер — использует такое решение, и все работает. Но будьте готовы, что стоимость такого «инфраструктурного патриотизма» высока. И да, ежегодный аудит со стороны третьей стороны (аккредитованной в Китае) теперь обязателен. Без него ваша компания в Шанхае будет считаться «токсичной».
Право на переносимость: технический тупик
Перейдем к праву на переносимость данных. В Европе это святое: вы обязаны выдать данные в машиночитаемом формате, чтобы человек мог их забрать к конкуренту. В Шанхае к этому относятся как к «люкс-услуге», а не как к обязанности. Формально PIPL это право закрепляет, но механизм реализации — сырой. У меня был клиент, шведский стартап в сфере HR-tech. Они разрабатывали софт для оценки персонала. Когда один из клиентов (китайская торговая компания) решил сменить провайдера и попросил перенести данные всех 200 сотрудников, шведы запаниковали.
Во-первых, данные были в разных форматах: часть в SQL-базе, часть в Excel на локальных дисках, а часть — в переписке WeChat. По закону, нужно выдать все, что касается этого клиента, за последние 5 лет. Во-вторых, в запросе было указано «перенести данные на платформу конкурента». Но конкурентом оказалась компания, зарегистрированная в Пекине, у которой не было лицензии на обработку персональных данных в Шанхае. Мы помогли составить ответ, в котором указали, что передача данных без проверки совместимости лицензий незаконна. В итоге, данные передали, но только после того, как конкурирующая компания подтвердила свою легитимность. А шведы получили репутацию «зануд», зато избежали разбирательств.
Настоящая техническая проблема — это API. В Китае нет единого стандарта для интерфейсов переноса, как в той же Европе. Если вы используете западную ERP-систему, а клиент просит данные в формате, который использует китайская софт-бухгалтерия (например, UFIDA), то вам придется писать конвертер на коленке. Я знаю одну компанию, которая потратила три месяца на такой «переход» и в итоге заплатила штраф за срыв сроков. Поэтому мой совет: еще на этапе подписания договора с клиентом включайте пункт о формате данных и сроках переноса (до 90 дней). Иначе вас закопают в бумажках.
Согласие: не мытьем, так катаньем
Теперь о способах получения согласия. Это, пожалуй, аспект, который вызывает больше всего споров. В Шанхае регуляторы настаивают на «отдельном информированном согласии» под каждую цель обработки. Забудьте про «общую галочку» в пользовательском соглашении. У меня был случай с австралийским ресторатором, который открыл сеть ресторанов для экспатов в Цзинъане. Они собрали базу из 1000 посетителей, у которых брали номера телефонов для бронирования. Когда к ним пришла плановая проверка, инспектор потребовал показать «согласие» для каждого номера. Оказалось, что ресторан использовал единый чек-лист, где люди подписывались под «всеми услугами разом».
Инспектор заявил, что это нарушение, так как маркетинговые рассылки и бронирование — это разные цели. Ресторану пришлось рассылать новое уведомление всем 1000 клиентам и собирать повторное согласие через SMS. Из них 200 человек не ответили — этих партнеров пришлось удалить. Потеря клиентской базы была существенной. Сейчас мы всем клиентам-иностранцам советуем внедрить систему «механизма согласий с разбивкой по центрам». Например, отдельное «галочка» для сбора геолокации (если есть доставка), отдельно для истории заказов и отдельно для рекламных пушей.
Еще один нюанс: отзыв согласия. В Китае это право является безоговорочным. Если вчера клиент дал согласие на обработку данных для программы лояльности, а сегодня он написал письмо «отозвать», вы должны прекратить обработку в течение разумного срока (обычно 10 рабочих дней). Один наш клиент — израильская компания по производству чипов — попробовал игнорировать такие письма, надеясь, что «клиент не пойдет жаловаться». Зря. Через месяц пришло предписание от муниципального управления Шанхая с требованием вернуть данные в исходное состояние. Заплатили 100 000 юаней. Теперь у них в регламенте прописано, что отзыв согласия обрабатывается главным специалистом по защите данных, иначе — ЧП.
Ответственность DPO: игра в одни ворота
Поговорим о функции сотрудника по защите данных (DPO). В Шанхае для иностранных компаний это не формальная должность — это реальная ответственность. Закон требует назначить локального DPO, который проживает в Китае и говорит по-китайски. Я видел, как одна французская компания пыталась «назначить» своего юриста из Парижа на эту роль. Шанхайский регулятор, куда они подали уведомление, вежливо, но жестко отказал: «Данные в Китае — ответственность человека в Китае». Пришлось срочно нанимать сотрудника на месте.
Но самое сложное — это взаимодействие DPO с госорганами. По нашему опыту, DPO должен быть готов к тому, что его могут вызвать «на ковер» в любое время. У меня была ситуация, когда в 23:00 вечера в пятницу из местного отдела по кибербезопасности позвонили DPO нашего клиента (американский IT-интегратор) и потребовали срочно предоставить логи за последние 7 дней. Оказалось, что в китайской соцсети всплыл пост с жалобой клиента на утечку данных, и регулятор проводил внеплановую проверку. Если бы DPO не ответил — штраф. Так что роль DPO в Шанхае — это не про «контроль над документами», а про «постоянную боевую готовность».
Кстати, одна из «фишек» — необходимость составлять отчет о влиянии на защиту данных (DPIA) для каждого нового продукта или услуги. Если вы запускаете мобильное приложение в Шанхае — DPO обязан провести аудит. И этот отчет должен быть на китайском языке. Если он на английском — его не примут, даже с переводом. Мы в «Цзясюй» часто берем на себя эту задачу: проверяем, правильно ли заполнены графы, особенно в части «оценки рисков для прав субъектов». И да, этот отчет нужно хранить у себя до того момента, пока вы не закроете компанию. Иначе — привет, проверка.
Жалобы и конфликты: бей первым
И последний аспект, на котором хочу остановиться, — это порядок работы с жалобами. В Шанхае культура жалоб очень высокая. Люди не боятся писать о нарушениях прямиком в интернет-надзор. Я знаю случай, когда субъект данных подал жалобу на компанию из-за того, что ему пришло рассылочное SMS без подписи «отписка». Компания не придала этому значения, думая: «мелочь». В итоге — административный штраф 50 000 юаней и предписание остановить сбор данных на 30 дней.
Как избежать таких сценариев? Наш метод — профилактика через быстрый ответ. Если вы получили жалобу, даже не обоснованную, лучше сразу согласиться с субъектом и исправить ситуацию, чем спорить. У нас был клиент — сингапурский логистический оператор, на которого пожаловались из-за того, что их сайт не показывал политику обработки данных на китайском языке. Мы предложили не дожидаться проверки, а в течение 48 часов запустить отдельную страницу на байду с переводом. Сделали — жалобу отозвали. Потому что субъект данных, увидев, что его услышали, часто успокаивается.
Еще важный момент: создание внутреннего регламента реагирования. В Шанхае, если вы не ответили на жалобу в течение 15 дней, это считается автоматическим признанием правоты субъекта. Поэтому в каждой иностранной компании, с которой мы работаем, мы прописываем четкий SLA: запрос от субъекта принят — выдели 1 день на проверку личности, 5 дней на сбор данных, 3 дня на составление ответа и 1 день на отправку. Итого 10 дней. Остальные 5 — буфер. Если вы вложитесь в эти рамки, регулятор будет к вам лоялен. Если нет — готовьтесь к санкциям.
Подводя итоги
Дорогие инвесторы, реагирование на права субъектов данных в Шанхае — это не просто юридическая обязанность, а элемент доверия к вашему бренду. Китайский потребитель сегодня очень грамотен в вопросах приватности, и если он чувствует, что вы его игнорируете — он пойдет жаловаться. С другой стороны, безупречное выполнение этих требований может стать вашим конкурентным преимуществом. Компании, которые быстро и прозрачно отвечают на запросы, получают больше лояльных клиентов.
Из моей практики: самое главное — это системный подход. Не пытайтесь «откупиться» или «отмахнуться» от запроса. Всегда помните, что за каждым запросом стоит живой человек, который имеет право знать, где и как хранятся его данные. И если вы построите процесс так, чтобы он был автоматным и законным, Шанхай станет для вас не полем боя, а рынком возможностей.
Заключение от компании «Цзясюй Финансы и Налоги»
В компании «Цзясюй Финансы и Налоги» мы твердо придерживаемся мнения, что соблюдение прав субъектов данных для иностранной компании в Шанхае — это фундамент устойчивого бизнеса. Наш 14-летний опыт показывает, что российские и европейские инвесторы часто недооценивают бюрократическую машину Китая в этой сфере. Мы рекомендуем не экономить на локальном DPO и не пытаться «обойти» закон через технические лазейки. Создайте систему, которая умеет слушать субъекта данных: от простого запроса до сложной апелляции. Это сэкономит вам миллионы и нервы. Мы готовы сопровождать вас на каждом шаге — от написания политики до защиты в суде. Ваша безопасность — наша ответственность.
