С 1 января 2026 года в Китае вступает в силу новый регламент — Меры по оценке безопасности передачи персональных данных за границу (далее – Меры), который завершает формирование системы регулирования трансграничных потоков данных в стране.
1)Сертификация трансграничной передачи данных:
Сертификация — это формальная оценка, осуществляемая аккредитованными органами сертификации, проверяющая, соответствует ли оператор/обработчик требованиям китайских стандартов безопасности и PIPL.
Этот механизм подходит для компаний, которые не являются операторами критической информационной инфраструктуры (CII) и которые с 1 января текущего года передали за рубеж персональные данные от 100 тысяч до 1 миллиона субъектов персональных данных (не включая чувствительные данные) либо данные менее 10 тысяч субъектов персональных данных, но включающие чувствительную информацию, при условии, что передача не затрагивает важные государственные данные (ст.5 Мер).
2)Возможные преимущества:
В отличие от разового подписания стандартной формы договора, сертификация представляет собой комплексный «пакет соответствия», который проходит постоянный контроль со стороны сертифицирующего органа.
3)Сроки:
Сертификат действует 3 года. Для его продления компания должна подать заявку не позднее чем за 6 месяцев до истечения срока действия (ст. 8 Мер).
4)Согласие субъектов на трансграничную передачу персональных данных:
Обязательные предварительные шаги: перед подачей заявления на сертификацию компания обязана проинформировать субъекта персональных данных, получить от него отдельное согласие, а также провести оценку воздействия на защиту персональных данных (ст. 6 Мер).
Сертификацию будут осуществлять аккредитованные государством органы. Новые правила сертификации дополняют уже действующие механизмы — оценку безопасности и стандартный договор, формируя целостную систему. Выбор конкретного механизма зависит от объема и типа передаваемых данных.
5)Вывод:
Для иностранных компаний: организации, не имеющие юридического лица в Китае, но обрабатывающие данные китайских граждан, также могут пройти сертификацию через своего местного представителя.
Стратегический выбор: для компаний, которые регулярно передают данные за рубеж, сертификация может стать более эффективным и экономичным решением по сравнению с многократным использованием стандартных договоров.
