• A
  • A
  • A
  • АБВ
  • АБВ
  • АБВ
  • А
  • А
  • А
  • А
  • А
Обычная версия сайта
Расширенный поиск по сайту
Проектная группа «Право в цифровую эпоху»
Версия для слабовидящих
Расширенный поиск по сайту
Меню
Высшая школа экономики

Проектная группа «Право в цифровую эпоху»

Руководитель группы: Богдановская Ирина Юрьевна,
ibogdanovskaya@hse.ru

Контакты: Демкин Владислав, vodemkin@hse.ru

Обзор статьи “Теория и практика: защита личной информации детей в Китае”. Авторы: Lu Zhang, Konrad Kollnig

Lu Zhang, Konrad Kollnig, 2023, Theory and practice: the protection of children’s personal information in China, International Data Privacy Law, №09, p.1-16, DOI:ttps://doi.org/10.1093/idpl/ipad017

Автор: Деревянко Екатерина,

студент магистратуры НИУ ВШЭ “Цифровое право”


Статья «Теория и практика: защита личной информации детей в Китае», подготовленная доцентом Китайского Университета политических наук и праваЛу Джанг и доцентом Лаборатории Права и Технологий Маастрихтского университета (Нидерланды)Конрадом Коллнигом, опубликованная в сентябре 2023 года в журнале International Data Privacy Law - первое масштабное правовое исследование проблемы обеспечения конфиденциальности личной информации детей в Китае, выполненное на английском языке. 

В статье подробно изложена история развития китайского законодательства о защите персональных данных детей, дан сравнительный анализ китайского и европейского подходов к решению проблемы защиты прав и интересов детей в Интернете, а также обозначены ключевые сложности, возникающие на практике (идентификация детей в качестве таковых и получение согласия родителей на обработку личных данных ребенка). Авторы отмечают, что в китайском законодательстве в качестве юридического термина используется термин «несовершеннолетние» (не достигшие возраста 18 лет), а не «дети». При этом в области защиты персональных данных термин «дети» используется для обозначения несовершеннолетних, не достигших возраста 14 лет.

Как указано во введении, предпосылкой для проведения исследования явилось принятие и вступление в силу с 1 ноября 2021 года Закона о защите личной информации (Personal Information Protection Law, PIPL). Это первый в Китае закон о защите личной информации, одним из важных мотивов принятия которого послужила необходимость защиты детей, использующих онлайн-сервисы. Данный закон признает личные данные детей (до 14 лет) конфиденциальной информацией (в оригинале - sensitive information, возможны различные варианты перевода в зависимости от контекста, например, «чувствительная информация», «секретная информация») и исходит из того, что дети нуждаются в большей защите, чем взрослые. 


Часть 1. Теория

История развития законодательства о защите личной информации детей в Китае

До принятия PIPL в Китае существовали отдельные законодательные акты, касающиеся защиты личной информации детей (в частности, Закон о защите несовершеннолетних 1991 года). До введения законодательного регулирования и принятия PIPL защита личной информации детей в Китае регулировалась на подзаконном уровне - в 2019 году Управлением центральных комисиий по делам киберпространства было принято Положение о защите личной информации детей в Интернете.

Сегодня PIPL – основополагающий закон о защите личной информации, который является приоритетным перед многими другими законами и нормами. 


Конфиденциальная личная информация

В данном разделе авторы анализируют соотношение персональных данных, конфиденциальных персональных данных и персональных данных детей, и изображают взаимосвязь данных понятий с помощью кругов Эйлера (см. Рис. 1)

Авторы отмечают, что в ходе законотворческого процесса статья о защите персональных данных детей была перенесена в раздел о правилах обработки конфиденциальных персональных данных, хотя изначально данная статья находилась в разделе «Обычные положения». Соответственно, изначально законодатели не признавали персональные данные детей конфиденциальными персональными данными, однако к моменту принятия Закона данное положение было изменено.



Концепция конфиденциальных персональных данных в Китае

Раздел посвящен анализу концепций конфиденциальных персональных данных в Китае и сравнивают подход китайских законодателей (Personal Information Protection Law - PIPL) и европейских (General Data Protection Regulation -GDPR,GDPR на русском).

И PIPL и GDPR предусматривают специальные меры защиты для конфиденциальной информации, однако существует ряд отличий в регулировании, которые мы позволили себе изложить в виде таблицы ниже.


Критерий

Подход Китая

Подход ЕС

Комментарий авторов

Юридическая терминология

В PIPL используется термин «конфиденциальная информация» («sensitive personal information»)

В GDPR используется термин «специальные категории персональных данных» («special categories of personal data»)

Термин GDPR является более объективным и вызывает меньше двусмысленности, чем китайское определение, поскольку люди могут по-разному относиться к уровню чувствительности информации

Метод определения конфиденциальной информации

В PIPL обобщается основная природа конфиденциальной информации, но учитывая недостатки абстрактных стандартов обобщения на практике, в Китае были перечислены некоторые виды типичных конфиденциальных данных (религиозные, медицинские)

Не установлено общее определение специальной личной информации и список конфиденциальной информации данных является исчерпывающим

GDPR, предлагая исчерпывающий перечень данных, признаваемых конфиденциальными, таким образом фактически ограничивает судейское усмотрение. PIPL, напротив, указывая на открытый перечень конфиденциальных данных, не исключает судейского усмотрения и потенциально предполагает, что перечень такой информации может быть дополнен подходами, выработанными судебной практикой. 

Подход в отношении обработки конфиденциальной информации 

Хотя PIPL в принципе не запрещает обработку конфиденциальной личной информации, он предъявляет более строгие требования при обработке такого типа информации (например, конкретные цели, достаточная необходимость и строгие меры защиты), которые можно обобщить как «основные условия обработки разрешений и ограничений» (разрешающая модель).

GDPR придерживается подхода «запрещено в принципе и разрешено в исключениях» (запрещающая модель) при обработке конфиденциальной личной информации. Эта модель запрета фокусируется на перечислении исключительных обстоятельств, которые допускают обработку конфиденциальной личной информации (например, в общественных интересах).

По мнению авторов со ссылкой на позицию Dr Wang, практически разница между двумя моделями правового регулирования минимальна. 


Правовое основание для обработки конфиденциальной личной информации

В соответствии с Законом о защите личнной информации (PIPL), принятым в Китае, з аконной признается обработка, основанная на одном из правовых условий, предусмотренных статьей 13 PIPL. В частности, среди законных оснований можно выделить:

  • получение согласия от субъекта персоеальных данных;

  • необходимость обработки персональных данных для исполнения договора, выполнения задачи, отвечающей общественным интерессам.

Согласно статье 29 PIPL для обработки конфиденциальных персональных данных необходимо отдельное или письменное согласие.

Авторы отмечают, что основным различием в обработке конфиденциальных персональных данных в целом и конфиденциальных персональных данных детей является то, что в случае с детьми отдельное или письменное согласие должно быть получено от родителей (или от лиц, несущих родительскую ответственность за ребенка).

Для того, чтобы обработка конфиленциальных персональных данных явялась законной, необходимо, чтобы такая обработка:

  • осуществлялась на законном основании, указанном в ст. 13;

  • отвечала 3 критерям: конкретные цели, достаточная необходимость и строгие меры защиты.

Согласно китайскому законодательству согласие может быть не единственным применимым правовым условием (статья 13 PIPL) обработки конфиденциальной информации детей. В PIPL сочетаются объективный возрастной порог (14 лет) и субъективный подход, основанный на дееспособности. При этом операторы обязаны не только подтвердить возраст пользователя, но и доказать, что они сделали все возможное, чтобы проверить возраст – иначе они могут быть подвергнуты штрафу в размере до 6 млн евро (сумма примерная, зависит от курса валют) или 5 % от оборота за предыдущий год.

В ходе эмпирического исследования авторы обнаружили, что на практике проверка возраста в основном опирается на сведения, предоставляемые самим пользователем, что зачастую не обеспечивает должной защиты детей.


Часть 2. Практика

На практике в основном возникают лишь 2 вопроса: 1. Проверяют ли приложения возраст пользователей? и 2. Получают ли приложения согласие родителей?

1. Из 50 приложений 37 позволяли пользоваться рядом функций без создания учетной записи, но требовали создания учетной записи, если пользователь хотел приобрести услуги или продукты. Остальные 13 приложений полностью блокировали доступ ко всем функциям приложения. В приложениях используются простые механизмы самопроверки возраста (заполнение даты рождения, решение простых вопросов на вычисление). Данные проверки не являются надежными и их легко обойти.

2. Было выбрано 100 приложений из категории «Дети». Из них 66 приложений запрашивали любой тип согласия (то есть не было направлено на получение согласия родителей). 


Выводы

По мнению авторов, действующие сегодня в Китае правила не являются совершенными и могут быть улучшены. В частности, в ходе анализа авторы пришли к следующим выводам:

  1. В настоящее время в Китае используют «универсальную» модель, признавая все личные данные детей конфиденциальной информацией, подлежащей равной защите. Однако по мнению авторов, это может привести к существенным рискам, так как специальная информация (например, биометрические данные) будет обрабатываться на основании простого согласия родителей, точно так же как и общая информация (имя или возраст).
  2. Текст PIPL не дает ясности в отношении практической реализации положений закона, что создает правовую неопределенность для операторов, родителей и детей.
  3. Правила, касающиеся правовой основы обработки персональных данных детей, не отвечают поставленным целям (в частности, речь идет про чрезмерную зависимость от согласия родителей, при которой не учитывается потенциальный конфликт интересов между родителями и детьми). Авторы выражают опасение в том, что это может нарушить право на частную жизнь детей и их право быть услышанными.

На наш взгляд, данная статья является полезной для изучения концепции персональных данных детей в Китае. Авторами, несмотря на название статьи, затрагиваются более широкие вопросы, чем защита персональных данных детей, что на наш взгляд является правильным, так как без понимания общего подхода к обработке персональных данных разобраться в проблеме защиты персональных данных детей было бы проблематично. 

Данная статья полезна для изучения еще и по той причине, что учитывая объем китайских информационных рынков, вовлеченность китайских компаний и отдельных сервисов в мировую цифровую экономику, а также возможность экстерриториального применения PIPL, данный закон представляет собой реальность, с которой придется считаться многим компаниям в мире, не исключая российские.

 


 

Нашли опечатку?
Выделите её, нажмите Ctrl+Enter и отправьте нам уведомление. Спасибо за участие!
Сервис предназначен только для отправки сообщений об орфографических и пунктуационных ошибках.

Национальный исследовательский университет «Высшая школа экономики»Факультет праваПроектная группа «Право в цифровую эпоху»Обзор статьи “Теория и практика: защита личной информации детей в Китае”. Авторы: Lu Zhang, Konrad Kollnig
Редактору
© НИУ ВШЭ 1993–2025  Адреса и контакты  Условия использования материалов  Политика конфиденциальности  Карта сайта 

Шрифты HSE Sans и HSE Slab разработаны в Школе дизайна НИУ ВШЭ