# Политика торговли данными для иностранцев, регистрирующих компанию в Шанхае ## Уважаемые инвесторы, давайте разберемся с главным Коллеги, меня зовут Лю, и за моими плечами уже 12 лет работы в компании «Цзясюй Финансы и Налоги» и 14 лет практики регистрации иностранных предприятий в Китае. Поверьте, я видел столько изменений в правилах, что мог бы написать книгу. Но сегодня хочу поговорить о теме, которая вызывает у многих инвесторов настоящую головную боль — политика торговли данными для иностранцев, регистрирующих компанию в Шанхае. Шанхай — это не просто город, это ворота в китайский рынок для многих зарубежных предпринимателей. Но последние несколько лет здесь произошли серьезные изменения в регулировании потоков данных. Если раньше можно было «как-нибудь» оформить документы и не париться, то теперь ситуация кардинально иная. Помню случай 2019 года, когда один немецкий клиент потерял три недели из-за того, что не учел требования по локализации данных. Мы тогда вытаскивали его буквально за уши, но осадочек остался. Сейчас Китай активно развивает правовую базу в области кибербезопасности и защиты информации. Закон о кибербезопасности, Закон о защите личной информации, Закон о безопасности данных — это три кита, на которых держится вся система. И если вы планируете регистрировать компанию в Шанхае, вам придется с этим считаться. Давайте по порядку разберем ключевые аспекты этой политики.

Локализация данных

Итак, первый и, пожалуй, самый важный аспект — это требование о локализации данных. Что это значит на практике? Все данные, которые ваша компания собирает о гражданах Китая, должны храниться на территории КНР. Вы не можете просто так взять и отправить их на сервер в Германию или США. Это прямое нарушение закона, и штрафы тут серьезные — до 5% от годового оборота компании. Я сам видел, как одна финтех-компания из Сингапура попала на миллионные убытки из-за такой оплошности. Но тут есть нюансы. Закон о безопасности данных, который вступил в силу в сентябре 2021 года, разделяет данные на несколько категорий: личные данные, важные данные и核心数据 (ключевые данные). Для каждой категории свои требования. Личные данные — это самая распространенная категория, и с ними проще всего. Вы должны получить согласие пользователя на сбор и обработку данных, четко объяснить, зачем вам эти данные, и обеспечить их защиту. Для важных данных, которые касаются национальной безопасности или общественных интересов, требования строже. Вам может потребоваться пройти оценку безопасности при передаче данных за границу. И вот тут многие иностранные инвесторы спотыкаются. Они не понимают, что даже простая передача данных о сотрудниках из шанхайского офиса в штаб-квартиру в Европе может считаться трансграничной передачей данных. Поэтому я всегда советую своим клиентам сразу на этапе регистрации компании продумывать IT-инфраструктуру, чтобы не переделывать все потом.

Оценка безопасности

Теперь поговорим об оценке безопасности при трансграничной передаче данных. Это, скажу я вам, отдельная песня. Если ваша компания планирует передавать данные за пределы Китая, вам нужно пройти специальную процедуру оценки. Звучит страшно, но на деле это просто набор формальностей, если подойти к делу грамотно. Процедура начинается с того, что вы должны провести самооценку — определить, какие данные передаются, в каком объеме, с какой целью и какие риски это создает. Затем вы подаете заявку в компетентный орган — обычно это Управление по делам кибербезопасности или его региональные подразделения. Оценка может занять от 30 до 60 рабочих дней, а в сложных случаях — и дольше. В моей практике был случай с японской торговой компанией, которая собиралась передавать в Токио данные о китайских поставщиках. Мы подготовили документы за две недели, но потом еще два месяца ждали решения. Оказалось, что в их списке были сведения, которые можно было классифицировать как «важные данные», а они этого не учли. Пришлось переделывать пакет документов. С тех пор я всегда советую клиентам нанимать местного консультанта по защите данных (DPO), который будет отвечать за этот участок работы. Кстати, есть исключения. Если вы передаете данные в рамках выполнения международных договоров или соглашений, в которых участвует Китай, оценка может не потребоваться. Но такие случаи редки, и лучше на них не рассчитывать. На практике 90% иностранных компаний в Шанхае проходят полную процедуру оценки.

Согласие пользователей

Третий аспект — это получение согласия пользователей на обработку персональных данных. Звучит банально, но на деле это один из самых проблемных пунктов для иностранных инвесторов. Дело в том, что китайское законодательство требует не просто формального согласия, а «информированного и осознанного» согласия. То есть пользователь должен четко понимать, какие именно данные вы собираете, зачем и как будете их использовать. Я часто вижу, как западные компании пытаются применить у себя в Китае те же политики конфиденциальности, что и в Европе или США. Это большая ошибка. Китайские пользователи привыкли к другому формату — более детальному и конкретному. Мало написать общими фразами, нужно расписать каждый пункт. Например, если вы собираете данные о местоположении пользователя, вы должны объяснить, для каких целей — для рекламы, для анализа поведения или для улучшения сервиса. В одном известном мне кейсе американский стартап в Шанхае пытался использовать единую форму согласия для всех услуг. Через три месяца после запуска они получили жалобу от регулятора и были вынуждены приостановить работу на неделю. Мы помогли им переделать систему, но они потеряли время и деньги. Теперь я всегда рекомендую клиентам разрабатывать политику конфиденциальности с учетом местной специфики, а не копировать западные шаблоны.

Назначение ответственных

Четвертый аспект касается назначения ответственных лиц за защиту данных. По китайскому законодательству, компания, которая обрабатывает персональные данные, должна назначить ответственного за защиту данных (Data Protection Officer, DPO). Это может быть как сотрудник компании, так и внешний консультант, но обязательно человек, который находится в Китае и понимает местное законодательство. Для иностранных компаний это часто становится проблемой, потому что они хотят назначить кого-то из штаб-квартиры, кто контролирует процессы глобально. Но регулятор требует, чтобы DPO был доступен для контакта в рабочее время по пекинскому времени. Иначе как они будут с ним взаимодействовать в случае проверки? Я помню случай с французской логистической компанией, которая назначила DPO в Париже. Когда к ним пришла проверка, инспекторы просто не смогли дозвониться до него из-за разницы во времени. Пришлось срочно нанимать местного специалиста. Кстати, DPO несет персональную ответственность за нарушения. Если что-то пойдет не так, штраф могут выписать не только компании, но и лично ответственному. Поэтому многие местные специалисты просят за свои услуги немалые деньги — от 50 до 150 тысяч юаней в год. Но это cheaper than paying fines, как говорят мои западные коллеги. Лучше заплатить профессионалу, чем потом разбираться с регулятором.

Уведомление об утечках

Пятый аспект — это процедура уведомления об утечках данных. Если в вашей компании произошла утечка персональных данных или их незаконное использование, вы обязаны уведомить об этом регулятора в течение 48 часов. Это очень жесткое требование, и многие иностранные компании к нему не готовы. У них нет внутренних процедур, нет планов реагирования на инциденты, и в результате они пропускают сроки. В моей практике был случай с британской консалтинговой компанией, у которой хакеры украли базу данных клиентов. Они узнали об этом в пятницу вечером, но решили подождать до понедельника, чтобы разобраться. В итоге они уведомили регулятора только через 72 часа. Штраф составил 200 тысяч юаней, плюс им пришлось приостановить обработку данных на две недели. Клиенты, естественно, были недовольны, и компания потеряла несколько контрактов. Я всегда советую клиентам заранее разработать план реагирования на инциденты. Включите в него контакты регулятора, шаблоны уведомлений, процедуру внутреннего расследования. Проведите учебную тревогу — это поможет выявить слабые места. И обязательно заключите договор с местной юридической фирмой, которая специализируется на защите данных. Они помогут вам быстро составить документы и дадут рекомендации, как минимизировать последствия.

Взаимодействие с регулятором

Шестой аспект — это взаимодействие с регулятором. Работать с китайскими государственными органами — это целое искусство, и многие иностранные инвесторы это недооценивают. Вы должны быть готовы к тому, что к вам могут прийти с внеплановой проверкой, запросить документы или провести аудит. И к этому нужно быть готовым. Правила взаимодействия с регулятором просты, но их нужно соблюдать неукоснительно. Все запросы должны быть обработаны в установленные сроки, документы должны быть предоставлены на китайском языке, и желательно, чтобы с инспекторами общался местный сотрудник, который знает, как правильно себя вести. Я всегда говорю клиентам: не пытайтесь решать вопросы через знакомства или подарки — это может только усугубить ситуацию. Лучше будьте максимально открыты и прозрачны. Был случай с австралийской горнодобывающей компанией, которая регистрировала представительство в Шанхае. Они не подали вовремя отчет об обработке данных, и к ним пришли с проверкой. Генеральный директор попытался объяснить ситуацию на английском, но инспекторы не поняли и выписали предписание. Потом мы помогли им нанять местного юриста, который сопроводил процедуру, и все закончилось хорошо. Но нервы они потрепали себе изрядно. ## Резюме и выводы Итак, подведем итоги. Политика торговли данными для иностранцев, регистрирующих компанию в Шанхае, — это не просто набор бюрократических требований. Это система, которая направлена на защиту прав граждан КНР и национальной безопасности, но при этом создает определенные вызовы для зарубежного бизнеса. Я считаю, что к этим правилам нужно относиться с пониманием и уважением, а не как к препятствию. Из опыта работы я вижу, что успешные иностранные компании в Шанхае — это те, которые заранее продумывают стратегию работы с данными. Они инвестируют в местную инфраструктуру, нанимают квалифицированных специалистов и выстраивают отношения с регулятором. Да, это требует дополнительных затрат, но эти затраты окупаются за счет стабильной работы и отсутствия штрафов. Будущее политики торговли данными в Китае, на мой взгляд, будет двигаться в сторону большей интеграции с международными стандартами, но с сохранением национальной специфики. Китай не откажется от требований локализации данных, но может смягчить процедуры для компаний, которые демонстрируют хорошую практику защиты данных. Поэтому мой совет всем инвесторам: не экономьте на защите данных, это ваша страховка от проблем в будущем. ## Взгляд компании «Цзясюй Финансы и Налоги» В компании «Цзясюй Финансы и Налоги» мы твердо убеждены, что политика торговли данными — это не препятствие, а возможность для иностранных инвесторов выстроить доверительные отношения с китайскими партнерами и клиентами. За 12 лет работы мы помогли сотням иностранных компаний пройти все этапы регистрации и адаптации к местным требованиям, включая аспекты защиты данных. Наш опыт показывает, что ключ к успеху — это комплексный подход: от правильного выбора организационной структуры до настройки IT-систем и обучения персонала. Мы рекомендуем нашим клиентам не рассматривать соблюдение политики торговли данными как одноразовую задачу, а интегрировать его в корпоративную культуру. Только так можно обеспечить долгосрочную стабильность бизнеса в Китае. Если у вас возникли вопросы или вы хотите получить консультацию по регистрации компании в Шанхае с учетом всех требований по защите данных, наша команда всегда готова помочь.