Защита персональных данных в Азии: законодательства Сингапура, Гонконга, Индии и Китая
- 4 марта, 2025
- Законодательства, Защита данных
За последние годы вопросы защиты персональных данных приобрели глобальную значимость. В Азии, где цифровая экономика стремительно развивается, правовые нормы в этой сфере формируются под влиянием не только международных тенденций, но и национальных особенностей. В отличие от стран Запада, где регулирование персональных данных часто опирается на концепцию частного контроля над информацией, в Азии большую роль играет вмешательство государства и баланс между безопасностью, экономическим развитием и приватностью.
Рассмотрим ключевые законы о защите персональных данных в четырех крупных азиатских юрисдикциях — Сингапуре, Гонконге, Индии и Китае. Разберем, как они формировались, какие принципы лежат в их основе и чем они отличаются от европейского Общего регламента по защите данных (GDPR).
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Сингапур: Закон о защите персональных данных (PDPA)
Сингапур стал одной из первых стран Азии, которая внедрила закон о защите персональных данных. Закон о защите персональных данных (PDPA — Personal Data Protection Act) был принят в 2012 году. Его основная цель — создать сбалансированную систему регулирования, при которой граждане получат контроль над своими персональными данными, а бизнесу не будут навязаны чрезмерные ограничения.
PDPA применяется ко всем организациям, которые осуществляют деятельность, связанную со сбором, использованием и раскрытием персональных данных в Сингапуре, и не являются государственными агентствами или не действуют от имени государственных агентств. Подробнее на cтр. 9 документа.
Также PDPA применяется к организациям, которые собирают, используют и раскрывают персональные данные в Сингапуре. Это происходит независимо от того, созданы ли они или признаны в соответствии с законодательством Сингапура или являются резидентами или имеют офис или место ведения бизнеса в Сингапуре. Подробнее на странице 22 документа.
Основные принципы PDPA включают:
📎 Согласие и прозрачность. Компании обязаны информировать пользователей о том, какие данные они собирают и с какой целью. Согласие может быть явным или подразумеваемым, если человек добровольно предоставляет информацию, например, заполняя форму на сайте. Подробнее — на странице 43 документа.
📎 Ограничение целью. Организации должны собирать, использовать или раскрывать персональные данные только для тех целей, на которые человек дал свое согласие.
📎 Защита информации. Компании обязаны применять разумные меры безопасности для предотвращения утечек.
📎 Права граждан. Любой человек может запросить доступ к своим данным и потребовать их исправления.
📎 Трансграничная передача. Если персональные данные передаются за границу, принимающая сторона должна обеспечивать достаточный уровень защиты.
PDPA демонстрирует одну из ключевых особенностей азиатского регулирования – стремление создать гибкий баланс между интересами бизнеса и защитой персональных данных. В отличие от Китая или Индии, где защита данных тесно связана с государственным контролем, в Сингапуре закон больше ориентирован на корпоративную ответственность и саморегулирование.
Как закон применяется на практике?
PDPA не остается просто набором правил — он активно применяется регулирующими органами. В 2018 году произошло крупнейшее в истории страны нарушение защиты данных. Оно было связано с кибератакой на SingHealth, сеть медицинских учреждений. В результате атаки были скомпрометированы данные 1,5 млн пациентов, включая премьер-министра страны. За этот инцидент компании SingHealth и Integrated Health Information Systems, которая отвечала за ее IT-инфраструктуру, были оштрафованы на 740 тысяч долларов США. Этот случай стал сигналом для бизнеса о том, что нарушения PDPA ведут к реальным последствиям.
Последствия несоблюдения
Компании, нарушившие Закон о защите персональных данных (PDPA), могут получить штраф до 10% от годового оборота в Сингапуре или до 740 тысяч долларов США, если оборот ниже 7,4 млн долларов США.
Кроме этого:
📎 Нарушение правил реестра «Не звонить» грозит штрафом до 740 тысяч долларов США для организаций и 148 тысяч долларов США для частных лиц.
📎 Несанкционированное разглашение персональных данных или их незаконное использование может привести не только к штрафу, но и к тюремному заключению.
Последствия несоблюдения
Комиссия по защите персональных данных (PDPC — Personal Data Protection Commission) контролирует соблюдение PDPA, проводит проверки, расследует нарушения и накладывает штрафы. Орган был создан в 2013 году и также занимается консультированием бизнеса по вопросам соблюдения закона.
Гонконг: Указ о персональных данных (PDPO)
Гонконгский Указ о персональных данных (PDPO — Personal Data (Privacy) Ordinance) — один из старейших законов о защите персональных данных в Азии. Он был принят еще в 1995 году, но с тех пор претерпел значительные изменения. В 2019 году правительство Гонконга решило ужесточить закон о защите персональных данных. В 2021 году оно приняло поправки к PDPO, направленные на борьбу со сбором и публичным распространением персональных данных без согласия субъекта.
В отличие от Сингапура, где акцент сделан на бизнесе, PDPO ориентирован на защиту граждан. В этом он ближе к европейскому подходу GDPR, однако на практике его нормы иногда ослабляются, если дело касается национальной безопасности или политических расследований.
В Указе закреплены шесть принципов защиты данных, схожие с такими же принципами по GDPR. Они обязывают организации действовать прозрачно, ограничивать сбор информации, обеспечивать ее безопасность и уважать права граждан.
Как закон применяется на практике?
В 2021 году Гонконг ужесточил PDPO, введя уголовное наказание за доксинг — преднамеренное распространение персональных данных без согласия. Это было связано с многочисленными случаями публикации данных полицейских и чиновников в ходе протестов. Уже в 2022 году по этой статье были проведены первые аресты.
Кроме того, PDPO активно применяется в отношении транснациональных компаний. Например, в 2022 году гонконгский регулятор обязал Facebook удалить тысячи постов, содержащих персональные данные без согласия пользователей.
Последствия несоблюдения
Гонконгский Указ о персональных данных (PDPO) предусматривает наказания в виде штрафов и лишения свободы:
📎 Общие нарушения, незаконное раскрытие персональных данных и доксинг — штраф до 130 тысяч долларов и тюремное заключение до 5 лет, в зависимости от характера нарушения.
📎 Если компания игнорирует предписание регулятора, штраф может составлять 6500 долларов США, а ее руководство может быть заключено в тюрьму на 2 года.
📎 Повторное нарушение увеличивает штраф до 13 тысяч долларов США и тюремного срока до 2 лет, а также включает ежедневные штрафные санкции.
📎 Граждане, чьи данные были незаконно использованы, могут подать иск о компенсации ущерба.
Надзорный орган
Управление уполномоченного по защите персональных данных (PCPD — Privacy Commissioner for Personal Data) следит за исполнением PDPO, расследует инциденты и выдает предписания компаниям-нарушителям.
Индия: Закон о защите цифровых персональных данных (DPDP Act, 2023)
Индийский Закон о защите цифровых персональных данных (DPDP Act — Digital Personal Data Protection Act) — самый новый среди рассматриваемых нами. Принятый в 2023 году, он ориентирован на быстрорастущий цифровой рынок Индии и экстерриториально распространяется на иностранные компании, если обработка цифровых персональных данных осуществляется в целях предложения товаров или услуг в Индии.
Трансграничная передача персональных данных в соответствие с DPDP разрешена, за исключением случаев, когда правительство Индии ограничит передачу в конкретные страны, признанные небезопасными.
Последствия несоблюдения
Индийский Закон о защите цифровых персональных данных (DPDP) вводит штрафы за нарушение норм:
📎 До 30 млн долларов США за недостаточную защиту данных.
📎 До 24 млн долларов США за неуведомление регулятора или пользователей о произошедшей утечке.
📎 До 24 млн долларов США за нарушение правил обработки данных несовершеннолетних.
📎 До 18 миллионов долларов США за несоблюдение требований к безопасности для крупных организаций.
📎 Для частных лиц, нарушивших правила обработки данных, штрафы могут достигать 120 долларов США.
Надзорный орган
Совет по защите данных Индии (DPDBI — Data Protection Board of India) отвечает за расследование нарушений, наложение штрафов и контроль за трансграничной передачей данных.
Китай: Закон о защите персональной информации (PIPL)
Китайский Закон о защите персональной информации (PIPL — Personal Information Protection Law), вступивший в силу в 2021 году, считается одним из самых строгих в мире. Он распространяется на китайские компании и на международный бизнес, если он обрабатывает персональные данные лиц, находящихся в Китае, и при этом выполняется хотя бы одно из условий:
📎 Организация предоставляет товары или услуги гражданам Китая;
📎 Организация анализирует или оценивает поведение физических лиц, находящихся в Китае;
📎 Либо в иных случаях, предусмотренных законами и административными актами Китая. Это позволяет властям расширять применение закона.
Одним из ключевых отличий PIPL является жесткий государственный контроль. Операторы критической информационной инфраструктуры (CIIOs) и компании, обрабатывающие большие объемы персональных данных, обязаны хранить их внутри Китая, а передача таких данных за границу возможна только после одобрения регулятора. Для других компаний трансграничная передача возможна при соблюдении определенных требований, включая контрактные и сертификационные механизмы.
Китайский PIPL является самым жестким законом о защите данных в Азии, но его строгие требования соответствуют глобальному тренду на усиление государственного контроля. Однако, в отличие от европейского подхода, китайское регулирование направлено не только на защиту пользователей, но и на укрепление контроля государства над цифровыми потоками данных.
Прецеденты применения
В 2022 году китайский регулятор наложил крупнейший в истории страны штраф за нарушение PIPL. Компания Didi Global была оштрафована на $1,2 млрд за неправомерную передачу данных пользователей за границу.
Последствия несоблюдения
Китайский Закон о защите персональной информации (PIPL) включает крупные штрафы, запрет на работу в сфере обработки данных и приостановку бизнеса:
📎 За серьезные нарушения компании могут получить штраф до 7 млн долларов США или 5% годового оборота.
📎 Регулятор может приостановить деятельность компании или отозвать лицензию на ведение бизнеса.
📎 Ответственные за нарушение лица могут быть оштрафованы на 14 000 – 140 000 долларов США и временно лишены права занимать руководящие должности.
📎 Если компания игнорирует предписание исправить нарушение, штраф для организации составит до 140 тысяч долларов США, а для должностных лиц — 1,4-14 тысяч долларов США.
Надзорный орган
За соблюдением PIPL следит Государственная администрация киберпространства Китая (CAC — Cyberspace Administration of China). Она отвечает за общее регулирование, а также за расследование крупных нарушений. Дополнительно контролем занимаются другие ведомства, включая Министерство общественной безопасности и Государственный совет.
Общие тенденции азиатского законодательства
Можно выделить несколько ключевых тенденций, которые формируют ландшафт защиты персональных данных в Азии.
1. Государственный контроль и цифровой суверенитет
В Европе защита данных рассматривается скорее как индивидуальное право, в Азии регулирование тесно связано с национальными интересами. Китай и Индия особенно жестко контролируют трансграничную передачу данных и стремятся предотвратить утечку информации за рубеж. Даже в более либеральных юрисдикциях, таких как Сингапур и Гонконг, правительство оставляет за собой широкие полномочия по мониторингу обработки данных.
2. Экстерриториальное применение законов
Все четыре рассмотренных закона распространяются не только на местные компании, но и на иностранные организации, если они работают с персональными данными пользователей страны. Это создает дополнительные сложности для международного бизнеса, который вынужден адаптироваться к множеству национальных режимов регулирования.
3. Упор на цифровую безопасность
Азиатские страны активно борются с утечками данных и киберугрозами. Например, китайский PIPL и индийский DPDP вводят жесткие санкции за нарушения, а в Гонконге введено уголовное наказание за доксинг. Сингапур также демонстрирует жесткую политику правоприменения и активно штрафует компании за утечки персональных данных.
4. Гибкость в подходе к согласию
Хотя GDPR требует явного согласия пользователей на обработку данных, в Азии подходы различаются. Китай и Индия следуют строгой модели, требующей явного подтверждения. Сингапур и Гонконг разрешают подразумеваемое согласие, если оно логически следует из поведения пользователя.
5. Регулирования искусственного интеллекта
Тренер коучинга по подготовке к сдаче экзамена на международную сертификацию CIPP/A, Ксения Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/A, AIGP, FIP, называет эту тенденцию основной в сфере защиты персональных данных в Азии:
«Южная Корея создала второй compliance-закон по искусственному интеллекту после европейского AI Act. Сингапур лишь издает новые гайдлайны и пока не планирует никакого общего акта по искусственному интеллекту.
Индия пока тоже занята своим новым законом по защите персональных данных. Они лишь пока обсуждают финальные тексты, готовят гайдлайн. Китай после ситуации с DeepSeek заинтересовался более жестким регулированием ИИ, хотя он и так входил в компетенцию их основного контролирующего органа».
Сравнение азиатских законов с GDPR
Хотя азиатское регулирование часто сравнивают с GDPR, между ними существуют значительные различия.
1) Влияние государства. Европейская модель ориентирована на права граждан, тогда как в Азии регулирование часто исходит из интересов национальной безопасности. Это особенно заметно в Китае и Индии, где данные граждан рассматриваются как стратегический ресурс.
2) Передача данных за границу. GDPR допускает трансграничную передачу данных при наличии юридических гарантий, таких как стандартные договорные условия (SCC). В Азии же ограничения часто имеют геополитический характер – Китай жестко контролирует трансграничные потоки, а Индия запрещает передачу данных в страны, которые власти считают небезопасными.
3) Механизм наказаний. В Европе GDPR предусматривает штрафы до 4% от глобального оборота компании, в Китае эта планка повышена до 5%, а в Индии пока не установлены четкие штрафные санкции, но ожидается, что они будут жесткими.
4) Культура соблюдения. В ЕС компании активно внедряют программы комплаенса и защиты данных, опасаясь крупных штрафов. В Азии, напротив, регулирование часто вводится сверху вниз, и его соблюдение может зависеть от политической воли.
Заключение
Азиатское законодательство в сфере защиты данных продолжает активно развиваться, отражая как глобальные тренды, так и уникальные национальные особенности. В регионе заметен курс на усиление государственного контроля, защиту цифрового суверенитета и жесткие меры против утечек данных.
Для международного бизнеса это означает новые вызовы: компании должны не только соблюдать GDPR, но и адаптироваться к азиатским требованиям, которые часто бывают более жесткими и менее предсказуемыми.
В ближайшие годы можно ожидать дальнейшего ужесточения регулирования, особенно в Китае и Индии. Также возможно сближение норм с GDPR в странах, которые ориентируются на международный рынок, таких как Сингапур.
