Стандарты классификации и градации данных для иностранных предприятий в Китае: инструкция от практика с 14-летним стажем

Коллеги, добрый день. Я — Лю, уже 14 лет занимаюсь регистрацией и администрированием иностранных компаний в Китае в компании «Цзясюй Финансы и Налоги». За это время сменилось три поколения нормативов по защите данных. Если раньше иностранцы спрашивали: «Где тут налоговая?», то теперь главный вопрос: «А как нам делить данные на “важные” и “обычные”?». И это не бюрократическая прихоть. С 2021 года Китай ввел целый комплекс стандартов, которые фактически перекроили операционные процессы для любого инофирмы.

Представьте: вы ведете бизнес в Шанхае, собираете данные сотрудников и клиентов. Раньше это была просто база в Excel. Сегодня же ошибка в градации может стоить лицензии или, в худшем случае, уголовного дела. В этой статье я, опираясь на реальные кейсы из нашей практики, расскажу, как именно работают стандарты классификации и градации данных для иностранных предприятий. Мы разберем не только теорию, но и типичные «грабли», на которые наступают директора-иностранцы.

Основа градации: закон «трёх корзин»

Начнём с фундамента. В Китае действует многоуровневая система, которую в народе называют «тремя корзинами»: «Государственные секреты», «Важные данные» и «Обычные данные». Для иностранных предприятий ключевой является вторая категория — «важные данные». Согласно «Методам оценки безопасности перемещения важных данных за рубеж» от 2022 года, любая утечка или неправильная передача таких данных за границу карается штрафом до 5% от оборота.

Но беда в том, что четкого списка «важных данных» для всех отраслей нет. Например, для производственной компании это может быть информация о технологических процессах, а для IT-фирмы — данные о пользователях. Я помню случай с немецким автопроизводителем: они считали «важными» только чертежи, но забыли про логистические данные по поставкам критических компонентов. В итоге — предписание от Cyberspace Administration of China (CAC). Поэтому первое правило: не копируйте западные шаблоны. В Китае градация строится не столько на коммерческой тайне, сколько на национальной безопасности.

На практике это означает, что вам придётся провести аудит каждого документа. Есть ли в нём сведения о поставках сырья, которые влияют на цепочку? Есть ли данные о сотрудниках с указанием их национальности? Если да — это уже не просто HR-база, а потенциально «важный» массив. В «Цзясюй» мы для клиентов составляем карту данных, где каждый элемент помечаем цветом: красный — нельзя вывозить, жёлтый — требует одобрения, зелёный — обычный.

Роль отраслевых регуляторов

Важно понимать: CAC — это не единственный контролёр. В Китае действует принцип «отраслевой вертикали». Например, для финтеха ключевым регулятором является Народный банк, для медицинских данных — Национальная комиссия здравоохранения. И они часто выпускают собственные стандарты градации, которые могут быть жёстче государственных.

Был у нас клиент — британский стартап по телемедицине. Они радостно отправили на сервера в Лондон обезличенные данные пациентов. И попали под статью. Почему? Потому что по стандартам здравоохранения КНР (GB/T 39725-2020) «обезличенные данные» о здоровье всё равно приравниваются к «важным», если их можно сопоставить с географией пациента. Пришлось срочно отзывать данные и строить дата-центр в Гуанчжоу.

Как я обычно советую коллегам: не ждите общего постановления. Скачайте реестр отраслевых стандартов для вашей сферы. Их более 200 штук. Найдите свой код ОКВЭД (в китайской версии) и посмотрите, какие категории данных перечислены. Если ваш продукт связан с образованием или финансами — готовьтесь к самым строгим требованиям. Там градация доходит до четвёртого уровня, где даже расписание уроков может считаться чувствительным.

Локация хранения: где лежат данные?

Многие иностранцы думают, что достаточно купить облако у Alibaba Cloud или Tencent — и всё, требования выполнены. Но стандарты классификации требуют детальной спецификации: где именно, в каком городе, на каком физическом сервере лежат данные. Закон «О безопасности данных» и «Закон о кибербезопасности» предписывают хранить «важные данные» исключительно на территории материкового Китая. Исключение — только после прохождения оценки.

Но есть нюанс. Я видел, как одна американская юридическая фирма арендовала мощности в Пекине, но при этом их админы имели удаленный доступ из Нью-Йорка. Формально данные лежали в Китае, но система управления пользователями (IAM) была настроена с нарушением. По новым Правилам (2023 года), даже если данные физически в Китае, но администратор за границей — это считается «передачей за рубеж», если он может их просматривать. Фирму оштрафовали на 1.2 млн юаней.

Решение, которое мы отработали: создание «зеркальной» системы. То есть часть данных (обычные) может дублироваться в облаке с доступом из-за границы, а «важные» — только через VPN-туннель с дополнительной авторизацией. Это дороже, но безопаснее. Кстати, для малого бизнеса есть лайфхак: использовать локальные серверы в партнерских зонах (например, в Вэйхае или Чэнду), где аренда дешевле, но требования к физической защите такие же, как в Шанхае.

Кадровый аспект: кто отвечает за градацию?

Ещё один камень преткновения — роли. Согласно «Методическим рекомендациям по управлению безопасностью данных», в компании должен быть назначен Ответственный за безопасность данных (Data Security Officer, DSO). Это не просто ИТ-директор. Это лицо, которое юридически отвечает за классификацию. Иностранец может быть CEO, но DSO должен быть гражданином КНР с постоянной регистрацией в Китае.

Помню, ко мне пришёл клиент из Сингапура. У них в штате был DSO — китаец, но он работал удалённо из Гонконга. CAC посчитал, что он не имеет физического присутствия в материковом Китае, и это нарушение. Пришлось срочно нанимать нового специалиста в офисе в Шэньчжэне. Причём кандидат должен был пройти аттестацию в CAC. Это занимает до 3 месяцев.

На практике я рекомендую не экономить на этой должности. Если у вас нет штатного DSO, можно аутсорсить его функции на компанию вроде нашей. Мы уже не раз спасали клиентов: берём на себя документооборот по классификации, ведем реестр данных и предоставляем отчёты регулятору. Но помните: DSO — это «живой» человек, который подписывает бумаги. Если он недобросовестный, штраф выпишут компании.

Процедура трансграничной передачи

Теперь самое сложное: как легально отправить данные за границу? Если данные признаны «важными», то для их вывоза нужно пройти оценку безопасности (Security Assessment) в CAC. Процедура долгая: от 3 до 6 месяцев. Нужно предоставить: карту данных, договор с получателем, политику конфиденциальности и доказательства, что иностранная сторона обеспечит уровень защиты не ниже китайского.

Один из наших клиентов — швейцарская страховая компания — хотела передать в штаб-квартиру в Цюрих статистику по страховым случаям в Китае. Данные были обезличены, но CAC потребовал доказать, что их нельзя «деанонимизировать». Мы потратили месяц на подготовку заключения от аккредитованной лаборатории. В итоге — передача разрешена, но только после подписания дополнительного соглашения о штрафах за утечку.

Здесь я хочу предостеречь от самоуверенности. Часто слышу: «Мы передаём просто таблицу с цифрами». Но в Китае контекст решает всё. Если таблица содержит прогнозы спроса на сырьё — это может быть сочтено важным для экономической безопасности. Приходится буквально каждую ячейку проверять. Мы разработали чек-лист из 30 пунктов, и всё равно 10% запросов возвращают на доработку.

Ошибки в маркировке и упаковке

Повседневная рутина тоже полна подводных камней. Даже если вы правильно классифицировали данные, нужно правильно их маркировать на физических носителях. Например, если вы передаёте флешку с «обычными данными» через курьерскую службу, на пакете должна быть пометка «Обычные данные». Без этой пометки, если флешка потеряется, вас могут обвинить в нарушении правил защиты.

Был случай: французская компания перевозила сервер из Пекина в Шанхай. На коробке была наклейка «Документация». Таможня вскрыла — а там жёсткие диски с базами клиентов. Итог: изъятие на месяц, разбирательство. Мы потом помогали доказывать, что это «обычные данные» (списки заказов). Но осадок остался. Сейчас я советую всем: используйте стандартные цветные стикеры, рекомендованные GB/T 39477-2020. Красный — важные, синий — обычные.

Кстати, о курьерах. В Китае есть специальные лицензированные перевозчики для «важных данных». Если вы отправляете через обычный SF Express, а данные засекречены — это нарушение. Мы для клиентов заключили договор с компанией, которая специализируется на безопасной перевозке цифровых носителей. У них даже машины с бронированными сейфами. Это кажется излишеством, но когда сумма ущерба от штрафа перекрывает стоимость перевозки в 10 раз, выбор очевиден.

Заключительный итог

Подводя черту, хочу сказать: стандарты классификации данных в Китае — это не просто бюрократия. Это инструмент, который защищает как государство, так и сам бизнес. Для иностранных предприятий это вызов, но и возможность: те, кто правильно внедрит систему, получат конкурентное преимущество в виде доверия со стороны китайских партнёров и регуляторов.

Главные выводы: не игнорируйте отраслевые тонкости, назначайте компетентного DSO, проводите аудит данных раз в квартал и всегда консультируйтесь с профессионалами. Я за 14 лет убедился: лучше потратить 50 000 юаней на консалтинг, чем 500 000 на штрафы и потерю репутации.

Что касается перспектив: в 2025 году ожидается ужесточение правил для зарубежных облачных провайдеров. Рекомендую уже сейчас смотреть в сторону гибридных решений и использования китайских дата-центров. И помните: безопасность данных — это не расходы, а инвестиция в стабильность.