Кратко — какие правила применимы и как действовать, чтобы разрешить потенциальный конфликт.
1) Какие законы применимы
- GDPR: применяется к компании, расположенной в ЕС, независимо от того, что субъекты — из Китая. Обязательства — законность обработки, права субъектов, минимизация, безопасность, оценка рисков (DPIA) и пр. (см. ст. $5$, $6$, $32$, $35$ GDPR).
- Китайские законы: прежде всего Personal Information Protection Law (PIPL), Data Security Law (DSL) и Cybersecurity Law (CSL). Они регулируют обработку персональных данных в Китае и экспорт таких данных за рубеж — требуют соблюдения правил трансграничной передачи (станадартные договоры, сертификация, либо оценка/разрешение уполномоченных органов) и в ряде случаев локализацию/особые разрешения для «важных данных» или критической инфраструктуры.
2) Конкретно про трансграничные передачи
- GDPR ограничивает передачи персональных данных из ЕС в третьи страны (главы V, ст. $44$–$50$). Для вывоза данных из ЕС требуются адекватные гарантии: решение об адекватности, стандартные договорные положения (SCC), привязанные корпоративные правила (BCR) или оговорки/исключения.
- PIPL и связанные меры регулируют экспорт персональных данных из Китая: возможны варианты — сертификация, стандартизованные контракты, государственная безопасность‑оценка (для чувствительных/массовых данных) или иные одобренные меры. Переадресация данных из Китая в ЕС без соблюдения китайских требований может быть запрещена.
3) Где возникает конфликт и почему
- Конфликт может появиться, если китайское требование (например, обязательное локальное хранение или обязанность передать копии/помочь правоохранителям) противоречит GDPR (например, запрет на передачу или требования по защите прав субъектов, раскрытие по запросу третьих сторон). Также конфликт — если PIPL запрещает экспорт, а бизнес-модель требует такого экспорта.
4) Практические шаги по снижению рисков и разрешению конфликта (действуйте системно)
- Картирование данных: точно опишите, какие персональные данные китайских субъектов собираются, где хранятся, кто имеет доступ, какие категории чувствительные.
- Определите применимость PIPL к конкретным потокам — нужен ли экспорт по китайскому праву, какие механизмы допуска применимы (стандартные контракты, сертификация, оценка).
- Проведите DPIA по GDPR (ст. $35$) и Transfer Impact Assessment (с учётом Schrems II/позиций EDPB) для оценки рисков доступа третьих государств и адекватности правовой защиты.
- Технические и организационные меры: минимизация данных, псевдонимизация/анонимизация там, где возможно; шифрование в покое и при передаче; хранение ключей и управление ими в ЕС; строгий доступ по ролям и журналирование доступа. Эти меры помогают и для требований PIPL и для оценки передач по GDPR.
- Юридические механизмы под PIPL: если данные исходят из Китая — подготовьте и согласуйте соответствующие «стандартные» договоры/сертификаты либо пройдите китайскую безопасность‑оценку, если это требуется.
- Для возможного экспорта из ЕС: если в будущем данные нужно будет вывести из ЕС в третьи страны — подготовьте SCC/BCR/оценку адекватности по требованиям GDPR (ст. $44$–$50$).
- Документируйте все решения, обоснования и оценки (важно при проверках регуляторов).
5) Что делать при прямом конфликте (например, требование китайских властей передать данные, а GDPR запрещает)
- Оцените конкретную правовую силу требования (запрос от китайского органа vs. внутреннее правило).
- Пробуйте ограничить объём и форму предоставляемых данных до минимума, запрашивайте юридическое обоснование/ордер.
- КонсулЬтируйтесь с профильными юристами в ЕС и КНР; уведомляйте регулятора (DPA) в ЕС, если раскрытие может нарушать GDPR — регуляторы дают рекомендации и в ряде случаев согласуют порядок действий.
- Рассмотрите технические меры: предоставить только агрегированные/псевдонимизированные данные, либо хранить отдельную локальную копию в Китае, чтобы избегать передачи несогласованных наборов данных.
- При невозможности совместимости — пересмотрите архитектуру обработки (например, обработка персональных данных китайских пользователей преимущественно в КНР с передачей в ЕС только анонимных/минимальных наборов).
6) Рекомендации по организации соответствия (коротко)
- Привлеките юриста в ЕС и специалиста/юриста в Китае.
- Выполните картирование, DPIA и Transfer Impact Assessment.
- Используйте технические меры (псевдонимизация, шифрование, локальное хранение ключей в ЕС).
- Для экспорта из КНР выполните требования PIPL (SCC/сертификация/оценка). Для последующих переводов из ЕС — соблюдайте Chapter V GDPR (SCC/BCR/адекватность).
- Храните подробную документацию и политике реагирования на запросы властей.
Заключение: Компания в ЕС обязана соблюдать GDPR; при работе с данными китайских субъектов одновременно нужно выполнить требования PIPL/CSC/DSL на экспорт данных из Китая. Конфликты разрешаются через технические ограничения объёма/доступа, выбор архитектуры (местная обработка vs. экспорт), использование согласованных договорных механизмов и проведение техническо‑правовых оценок; в сложных случаях — привлекать юристов обеих юрисдикций и согласовывать действия с регуляторами.