Полная версия
Правовое регулирование защиты персональных данных в гостиничной индустрии России и Китая. Монография
Значимой частью деятельности службы является совершенствование информационных систем, содействующих реализации гражданских прав и повышению открытости органов власти.
Дополнительно Роскомнадзор осуществляет мероприятия по киберзащите, взаимодействуя с иными органами исполнительной власти для обороны жизненно важной информационной инфраструктуры страны от хакерских атак и иных видов цифрового вмешательства. Деятельность ведомства направлена на достижение баланса между прогрессом цифровых коммуникаций и обеспечением законных интересов граждан.
Таким образом, нормативная база защиты персональных данных в гостиничном бизнесе России представляет собой систему правовых актов, основу которой составляет Федеральный закон №152-ФЗ «О персональных данных», дополненный специализированными постановлениями и законами, регулирующими электронный документооборот и информационную безопасность. Реальное воплощение данного законодательства предполагает, что гостиничный сектор обязан официально соблюдать требования, касающиеся получения согласия на обработку данных и обеспечения их безопасности, а также организовывать внутренние системы защиты информации, находящиеся под надзором Роскомнадзора.
1.3. Особенности правового регулирования защиты персональных данных в гостиничном бизнесе Китая
«Закон о кибербезопасности», утвержденный Китаем в 2016 году, заложил основу для формирования правового фундамента, направленного на укрепление национальной безопасности и регулирование киберпространства. Документ охватывает разнообразные направления, начиная от информационной безопасности и сетевого администрирования, заканчивая защитой персональных данных граждан. Важнейшей целью закона является установление эффективного контроля над сетевыми инфраструктурами, включая введение обязательных требований к операторам критически важной информационной инфраструктуры (КИИ). Эти операторы обязаны предпринимать меры по повышению безопасности и осуществлять отчетность о состоянии сети.15
Данный закон затрагивает целый комплекс важнейших вопросов. Во-первых, он требует от организаций и компаний, работающих в Китае, устанавливать системы защиты данных и обеспечивать защиту сетевой инфраструктуры от киберугроз.16
Во-вторых, закон требует, чтобы данные, которые считаются «чувствительными» или «критическими», хранились на территории Китая и могли быть доступны для государственных органов при необходимости.
Наряду с Законом «О кибербезопасности», существуют и другие важные нормативные акты, затрагивающие рассматриваемую сферу. Одним из них является Закон о личных данных 2021 года, который закрепляет порядок сбора, хранения и обработки соответствующей информации.
Большое значение также имеет такой нормативный правовой акт, как Закон о противодействии кибершпионажу и киберпреступности, который предусматривает юридические основания для проведения расследований в сети Интернет, связанные с незаконным использованием данных.
Стоит упомянуть о различных инструкциях и предписаниях, которые издает министерство промышленности и информационных технологий Китая (MIIT), регулируя более детализированные вопросы, касающиеся технологий и стандартов в сфере кибербезопасности.17
Все эти законодательные акты формируют комплексную правовую систему, которая значительно усиливает контроль со стороны государства в области кибербезопасности, устанавливает строгие стандарты для обработки личных данных и направлена на создание безопасного цифрового пространства. В то же время такие меры также вызывают предупреждения о возможности чрезмерного контроля и ограничения свободы слова, что стало предметом критики со стороны международных правозащитных организаций.
Система управления персональными данными в китайской гостиничной индустрии представляет значительный исследовательский интерес, поскольку изучается, каким образом отрасль собирает, сохраняет и обеспечивает защиту информации о гостях. В свете растущих регуляторных требований в сфере кибербезопасности и охраны частных данных китайские отели внедряют усовершенствованные процедуры и стандарты обработки информации.
Сначала отели получают необходимую информацию о посетителях на стадии бронирования, такую как имена, контактные данные, паспортные сведения, пожелания по проживанию и платежные реквизиты. Такая информация используется для оформления заказов и оказания качественных услуг. Одновременно с этим возникает потребность в защите этих данных от нелегального доступа и кражи, что достигается применением современных инструментов безопасности и шифрования.
Так, в 2022 году произошла крупная утечка примерно 1,5 млрд записей из платформ Weibo, DiDi и Компартии Шанхая.
В июне 2025 года специалисты портала Cybernews зафиксировали ещё одну крупную утечку данных объемом около 4 млрд финансовых записей, включая информацию из сервисов WeChat и Alipay, общий размер массива составил 631 ГБ.
Ещё одним ключевым моментом является соответствие Закону о защите персональных данных (PIPL), ставшему обязательным с ноября 2021 года. Согласно данному закону, отели обязаны заручиться согласием гостей на обработку их данных, предоставлять им доступ к собственным сведениям и возможность удалить их.
Сотрудники гостиничного сектора должны постоянно совершенствовать знания в сфере информационной безопасности, осознавая высокую ценность личной информации клиентов и методы предотвращения потенциальных угроз. Управление персональными данными в китайских отелях представляет собой сложную многоступенчатую систему, включающую выполнение законодательных норм, внедрение современных технологий и специализированное обучение работников, нацеленное на повышение надёжности и конфиденциальности информации о гостях.
На международном уровне, наиболее известным актом, регулирующим защиту данных, является Общий регламент по защите данных (GDPR) Европейского Союза. Данный нормативно-правовой акт вводит жесткие правила обработки персональных данных и значительные штрафы за их нарушение.18 Штрафы могут достигать до 20 миллионов евро или 4% от годового оборота компании, в зависимости от того, что больше. К тому же GDPR устанавливает права субъектов данных, позволяя им требовать доступ к своим данным, их исправление или даже удаление.
Несоблюдение правил обработки и защиты данных грозит юридическим лицам не только финансовыми потерями, но и серьезными репутационными рисками, способными нанести долгосрочный ущерб бизнесу. Утрата или несанкционированное использование информации способна подорвать доверие клиентов и партнёров, что приведет к значительным отрицательным последствиям для компании.
Помимо внешнего регулирования, многие организации вводят внутренние инструкции и процедуры по защите данных. Работодатели могут наказывать сотрудников, нарушивших правила обработки персональных данных, вплоть до расторжения трудового договора. Нарушения принципов защиты данных приводят не только к юридическим последствиям, но и вызывают значительные этические проблемы, связанные с нарушением прав и интересов клиентов.
В современной цифровой среде грамотное обращение с персональной информацией превращается из простого юридического обязательства в неотъемлемый элемент успешной деловой практики, непосредственно связанный с поддержанием положительной репутации предприятия и стабильностью его развития.
Таким образом, правовое регулирование защиты персональных данных в гостиничном бизнесе Китая основывается на комплексной системе законодательных актов, включающей Закон о кибербезопасности 2016 года и Закон о личных данных 2021 года, которые устанавливают строгие требования к сбору, хранению и обработке клиентской информации с обязательным размещением критических данных на территории страны.
Практическая реализация данного законодательства в отелях требует внедрения современных CRM-систем, получения согласия клиентов на обработку данных, обучения персонала основам информационной безопасности и назначения ответственных за защиту данных сотрудников.
Выводы по первой главе
Первая глава посвящена изучению правовых основ защиты персональных данных в гостиничном бизнесе России и Китая.
Персональные данные определяются как любая информация, связанная с физическим лицом, которую можно прямо или косвенно идентифицировать.
В российском и китайском законодательстве выделяется две основные категории данных: обычные и специальные, каждая из которых требует разного уровня защиты.
Существуют сходства в определении персональных данных и подходов к их защите, но наблюдаются принципиальные различия в уровнях защиты и подходах к трансграничной передаче данных.
Основное нормативное регулирование обеспечивается Федеральным законом №152-ФЗ «О персональных данных», который распространяется на всю территорию России.
Отдельные законодательные акты регулируют обработку данных в области связи, труда и торговли.
Несмотря на существование общих правовых актов, гостиничный сегмент сталкивается с недостатком узконаправленных стандартов и подробного регулирования, что затрудняет эффективное обеспечение защиты данных.
Правовая база Китая представлена тремя основными законами: Законом о кибербезопасности, Законом о защите персональных данных и Законом о безопасности данных. Подход Китая характеризуется повышенной ориентацией на национальную безопасность и общественные интересы, выражающейся в строгих правилах локализации данных и усиленном государственном контроле. Особенности гостиничного дела заключаются в применении уникальных национальных документов и цифровых платформ, позволяющих отслеживать перемещение и активность туристов.
Ключевыми проблемами остаются отсутствие ясных стандартов обработки данных, низкая эффективность контролирующих механизмов и сложности в соблюдении прав субъектов данных. Перспективные пути улучшения ситуации включают создание специализированных отраслевых стандартов, усиление ответственности операторов и расширение международного взаимодействия.
Таким образом, первая глава обозначает ключевые аспекты правового регулирования защиты персональных данных в гостиничном бизнесе России и Китая, раскрывая сходства и различия в подходах, а также выделяя основные проблемы и направления совершенствования.
ГЛАВА 2. ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСТИНИЧНОМ БИЗНЕСЕ РОССИИ И КИТАЯ
2.1. Недостатки российского законодательства о защите персональных данных в контексте гостиничного сектора
В российском законодательстве о защите персональных данных существует серьезный пробел, связанный с отсутствием специализированных стандартов обработки персональных данных для гостиничной индустрии. Данный недостаток создает множественные проблемы как для операторов данных, так и для субъектов персональных данных.
Федеральный закон №152-ФЗ «О персональных данных» устанавливает общие принципы и требования к обработке персональных данных, однако не учитывает специфику различных отраслей экономики. Гостиничный сектор характеризуется особыми условиями сбора, хранения и использования персональных данных, которые не находят должного отражения в действующем правовом регулировании.19
Отсутствие отраслевых стандартов и недостаточная конкретизация требований к обработке персональных данных в гостиничной сфере находят свое отражение в статистике административных правонарушений. Анализ данных Роскомнадзора о выявленных нарушениях в сфере обработки персональных данных за период 2019—2024 гг. демонстрирует масштабы проблемы правоприменения действующего законодательства (см. приложение 1).
Представленные данные свидетельствуют о волнообразной динамике выявленных административных правонарушений в сфере защиты персональных данных. Несмотря на значительное снижение количества зафиксированных нарушений в период 2020—2022 гг. (что может быть связано с ограничениями контрольно-надзорной деятельности в период пандемии), с 2023 года наблюдается устойчивый рост числа выявленных правонарушений.
Динамика административных правонарушений в сфере обработки персональных данных в Российской Федерации в 2019—2024 гг. отражена в приложении 1.20
Увеличение количества нарушений в 2023—2024 гг. на 76% по сравнению с минимальными показателями 2022 года указывает на системные проблемы в сфере обеспечения защиты персональных данных.
Согласно исследованию экспертно-аналитического центра ГК InfoWatch, в 2024 году наблюдалось существенное увеличение масштабов компрометации персональных данных в российских организациях. Общий объем скомпрометированных записей составил 1,581 млрд единиц, что на 30% превышает показатели 2023 года (1,202 млрд записей).
При этом количество зарегистрированных инцидентов возросло незначительно – с 569 до 592 случаев. Наибольшую долю утечек (29%) составляет аутентификационная информация, включающая пароли, логины и контактные данные пользователей. Ведущую позицию по количеству инцидентов занимает торговая сфера (35,1% случаев компрометации ПДн), за которой следуют государственные органы (18%) и телекоммуникационная отрасль (9,8%). Значительную угрозу представляют внутренние нарушители, на долю которых приходится 18,5% всех инцидентов, при этом 98% таких действий носят умышленный характер21.
Анализ судебной практики по защите персональных данных потребителей за 2019—2024 годы демонстрирует устойчивую тенденцию к усилению защиты прав субъектов персональных данных и формированию единообразной правоприменительной практики контролирующими и судебными органами.
В сфере финансовых услуг судебная практика выявила системные нарушения требований законодательства о персональных данных. Показательным является дело, рассмотренное Арбитражным судом города Санкт-Петербурга и Ленинградской области от 30.07.2020 по делу № А56—25130/202022, подтвержденное Постановлением Тринадцатого арбитражного апелляционного суда от 25.11.2020 №13АП-21818/2020, 13АП-22245/2020. Суды установили, что включение в кредитный договор условий, при которых одна подпись заемщика одновременно подтверждает согласие с условиями договора и согласие на обработку персональных данных, является недопустимым и противоречит положениям Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Данная правовая позиция основывается на принципе осознанности и добровольности согласия субъекта персональных данных на их обработку.
Проблема избыточного срока хранения персональных данных получила развитие в постановлении Арбитражного суда Московского округа от 03.10.2022 по делу № А40—12838/202223. Судебная коллегия подтвердила законность привлечения кредитной организации к административной ответственности по части 2 статьи 14.8 КоАП РФ за установление в договоре 10-летнего срока обработки персональных данных после прекращения обязательств, что было признано завышенным и не подтвержденным конкретными целями обработки.
Транспортная сфера продемонстрировала особую проблематику в контексте передачи персональных данных неопределенному кругу третьих лиц. Решение Арбитражного суда Новосибирской области от 01.06.2021 по делу № А45—6560/202124, поддержанное постановлением Седьмого арбитражного апелляционного суда от 05.08.2021 и постановлением Арбитражного суда Западно-Сибирского округа от 26.10.2021 № Ф04—5462/2021, признало незаконным включение в договор с потребителем положений о возможности передачи персональных данных непоименованным третьим лицам.
Жилищно-коммунальная сфера характеризуется особой сложностью правоотношений по обработке персональных данных. Постановление Арбитражного суда Уральского округа от 23.01.2023 № Ф09—10171/22 по делу № А60—27757/202225 подтвердило нарушение газоснабжающей организацией требований частей 3 статьи 6, частей 1, 4 статьи 9 Федерального закона «О персональных данных» при включении в акт сдачи-приемки работ положения об автоматическом согласии заказчика на обработку персональных данных. Постановление Второго кассационного суда общей юрисдикции от 02.06.2020 по делу №16—3231/2020 выявило нарушения в сфере водоснабжения, связанные с поручением обработки персональных данных третьим лицам без обеспечения должной защиты информации.
Конец ознакомительного фрагмента.
Текст предоставлен ООО «Литрес».
Прочитайте эту книгу целиком, купив полную легальную версию на Литрес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.
Примечания
1
Китана, А. Н. А. Понятие и признаки персональных данных в российском праве / А. Н. А. Китана // Современная наука в условиях модернизационных процессов: проблемы, реалии, перспективы: Сборник научных статей по материалам VII Международной научно-практической конференции, Уфа, 12 января 2022 года. – Уфа: Общество с ограниченной ответственностью «Научно-издательский центр «Вестник науки», 2022. – С. 35—40. – EDN RXDSJS.
2
Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27.04.2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент о защите данных, GDPR) [Электронный ресурс]. URL: https://gdpr-text.com/ru/ (дата обращения: 14.01.2026).
3
Батыгова, Г. Б. Защита персональных данных / Г. Б. Батыгова // Синергия Наук. – 2021. – №62. – С. 161—165. – EDN ITHRFC.
4
Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ (ред. от 24.06.2025) // СПС «КонсультантПлюс».
5
Политика обеспечения безопасности киберпространства: опыт китайской народной республики – https://elibrary.ru/item.asp?id=39322163 – Дата просмотра 02.09.2025 г.
6
Сапронов, Д. Ю. Историческая ретроспектива правового регулирования персональных данных в некоторых странах / Д. Ю. Сапронов // Труды по интеллектуальной собственности. – 2022. – Т. 42, №3. – С. 26—31. – DOI 10.17323/tis.2022.15931. – EDN ULSYYW.
7
Моросанова А. А. Усиление регулирования защиты персональных данных в России: экономические последствия и риски // Управленец. 2023. №5. URL: https://cyberleninka.ru/article/n/usilenie-regulirovaniya-zaschity-personalnyh-dannyh-v-rossii-ekonomicheskie-posledstviya-i-riski (дата обращения: 02.09.2025).
8
Крюкова Д. Ю., Мокрецов Ю. В. Актуальные проблемы правового регулирования оборота и защиты персональных данных в России // Пенитенциарная наука. 2017. №2 (38). URL: https://cyberleninka.ru/article/n/aktualnye-problemy-pravovogo-regulirovaniya-oborota-i-zaschity-personalnyh-dannyh-v-rossii (дата обращения: 02.09.2025).
9
Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ (ред. от 24.06.2025) // СПС «КонсультантПлюс».
10
Сычева М. И. Проблемы правового регулирования защиты персональных данных в сети интернет // Международный журнал гуманитарных и естественных наук. 2022. №10—3. URL: https://cyberleninka.ru/article/n/problemy-pravovogo-regulirovaniya-zaschity-personalnyh-dannyh-v-seti-internet (дата обращения: 02.09.2025).
11
Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ (ред. от 24.06.2025) // СПС «КонсультантПлюс».
12
Федеральный закон «Об электронной подписи» от 06.04.2011 №63-ФЗ (ред. от 21.04.2025) // СПС «КонсультантПлюс».
13
Жириков, И. К. Перспективы развития гостиниц, свободных от персонала / И. К. Жириков // Туристский сезон 2021: проблемы и перспективы: Материалы научно-практического on-line форума, Севастополь, 02 апреля 2021 года / Под научной редакцией И. С. Кусова, Н. В. Шабалиной, Р. Р. Тимиргалеевой. – Майкоп: ООО «Электронные издательские технологии», 2021. – С. 121—123. – EDN SBQFLE.
14
Жириков, И. К. Перспективы развития гостиниц, свободных от персонала / И. К. Жириков // Туристский сезон 2021: проблемы и перспективы: Материалы научно-практического on-line форума, Севастополь, 02 апреля 2021 года / Под научной редакцией И. С. Кусова, Н. В. Шабалиной, Р. Р. Тимиргалеевой. – Майкоп: ООО «Электронные издательские технологии», 2021. – С. 121—123. – EDN SBQFLE.
15
Попова Е. К. Правовая защита личной информации: опыт китайской народной республики // Наука. Общество. Государство. 2024. №2 (46). URL: https://cyberleninka.ru/article/n/pravovaya-zaschita-lichnoy-informatsii-opyt-kitayskoy-narodnoy-respubliki (дата обращения: 02.09.2025).
16
Линь До Правовое регулирование защиты персональных данных и их контроль со стороны государства в Китае // Политика и общество. 2020. №2. URL: https://cyberleninka.ru/article/n/pravovoe-regulirovanie-zaschity-personalnyh-dannyh-i-ih-kontrol-so-storony-gosudarstva-v-kitae (дата обращения: 02.09.2025).
17
Гун Н. Защита персональных данных в Китае: законодательство в цифровую эпоху // Вестник Санкт-Петербургского университета. Право. 2023. Т. 14. №1. С. 159—172. URL: https://cyberleninka.ru/article/n/zaschita-personalnyh-dannyh-v-kitae-zakonodatelstvo-v-tsifrovuyu-epohu (дата обращения: 02.09.2025).
18
Аджиева З. И., Ногайлиева М. Х., Кубанов М. Б. Актуальные аспекты правового регулирования защиты персональных данных // Этносоциум и межнациональная культура. 2023. №185. URL: https://cyberleninka.ru/article/n/aktualnye-aspekty-pravovogo-regulirovaniya-zaschity-personalnyh-dannyh (дата обращения: 02.09.2025).
19
Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ (ред. от 24.06.2025) // СПС «КонсультантПлюс».
20
Судебная статистика РФ. Административные правонарушения. Показатели по отдельным правонарушениям [Электронный ресурс]. – URL: https://stat.xn–7sbqk8achja.xn–p1ai/stats/adm/t/31/s/1 (дата обращения: 02.09.2025)
21
Количество слитых персональных данных в 2024 году выросло на треть [Электронный ресурс]. – URL: https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret (дата обращения: 02.09.2025).
22
Решение от 30 июля 2020 г. по делу № А56—25130/2020 [Электронный ресурс]. – URL: https://sudact.ru/arbitral/doc/3zswxVFepf5N/?arbitral-txt=&arbitral-case_doc=%D0%9056-25130%2F2020&arbitral-lawchunkinfo=&arbitral-date_from=&arbitral-date_to=&arbitral-region=&arbitral-court=&arbitral-judge=&_=1751395123695&snippet_pos=8#snippet (дата обращения: 02.09.2025).
23
Постановление от 3 октября 2022 г. по делу № А40—12838/2022 [Электронный ресурс]. – URL: https://sudact.ru/arbitral/doc/5ZoVvZpRixNC/?arbitral-txt=&arbitral-case_doc=%D0%9040-12838%2F2022&arbitral-lawchunkinfo=&arbitral-date_from=&arbitral-date_to=&arbitral-region=&arbitral-court=&arbitral-judge=&_=1751394958321 (дата обращения: 02.09.2025).
24
Решение от 1 июня 2021 г. по делу № А45—6560/2021 [Электронный ресурс]. – URL: https://sudact.ru/arbitral/doc/97MIujFdZoWz/?arbitral-txt=&arbitral-case_doc=%D0%9045-6560%2F2021&arbitral-lawchunkinfo=&arbitral-date_from=&arbitral-date_to=&arbitral-region=&arbitral-court=&arbitral-judge=&_=1751395441960 (дата обращения: 02.09.2025).
25
Постановление от 23 января 2023 г. по делу № А60—27757/2022 [Электронный ресурс]. – URL: https://sudact.ru/arbitral/doc/qIashpmrgHVq/?arbitral-txt=&arbitral-case_doc=%D0%9060-27757%2F2022&arbitral-lawchunkinfo=&arbitral-date_from=&arbitral-date_to=&arbitral-region=&arbitral-court=&arbitral-judge=&_=1751395640656&snippet_pos=26#snippet (дата обращения: 02.09.2025).