Сравнительный обзор GDPR, 152-ФЗ и PIPL

Вы хотите приватности и спокойной жизни, бизнес стремится зарабатывать на ваших данных и таргетированной рекламе, а государству подавай тотальный контроль для поддержания порядка в своем понимании. Этот конфликт интересов, как и «задача трех тел», не имеет универсального стабильного решения.

Сегодня мы рассмотрим три подхода к защите персональных данных: европейский GDPR, российский 152-ФЗ и китайский PIPL. На первый взгляд, все три закона говорят об одном и том же, но дьявол кроется в деталях, которые определяют всё: от архитектуры приложения до размера потенциального штрафа.

Истоки защиты приватности 

Борьба за приватность началась задолго до интернета, лайков и cookie-файлов. Первый серьезный закон о защите персональных данных приняли в земле Гессен (Германия) в 1970 году. Однако предтечей современных законов о ПДн, включая GDPR, 152-ФЗ и опосредованно PIPL, стала подписанная 28 января 1981 года Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. 

• 27 июля 2006 года был принят Федеральный закон № 152-ФЗ «О персональных данных» — первая серьезная попытка адаптировать европейские концепции к российской действительности.

• 25 мая 2018 года в силу вступил GDPR (General Data Protection Regulation) — мощный экстерриториальный регламент, который заставил напрячься бизнес, ориентированный на европейские рынки. 

• 1 ноября 2021 года на сцену вышел китайский PIPL (Personal Information Protection Law) — молодой, но самобытный закон, отражающий взгляд Китая на баланс между правами личности и государственными интересами.

Общий фундамент?

Различия в законах начинаются с подхода к определению «персональных данных». В Европе надзорный орган еще в 2007 году выпустил подробные разъяснения — Opinion 4/2007 on the concept of personal data. В Китае существует национальный стандарт GB/T 35273–2020, который уточняет, какие категории данных считать персональными. 

Российский 152-ФЗ использует более общее определение: «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». На практике это ФИО плюс любой уточняющий параметр. Такая формулировка оставляет огромное поле для толкований. Например, является ли IP-адрес персональными данными? Ответ российского регулятора: «Зависит от контекста». Это не баг, а фича, которая дает регулятору пространство для маневра, но усложняет жизнь юристам и DPO (Data Protection Officer). Официальных подзаконных актов с перечнем и примерами персональных данных в России не существует. 

Другое различие — в распределении ролей при работе с ПДн. В европейской схеме «Контроллер» решает, зачем нужны данные, а «Процессор» хранит их или обрабатывает по поручению Контроллера. Ответственность между ними четко разграничена. В китайском законодательстве выделяется единая роль «Обработчик персональной информации», который определяет цели и осуществляет саму обработку. В России же различаются непосредственный «Оператор» (скажем, работодатель или интернет-магазин) и третья сторона, которой может делегироваться обработка персональных данных (например, облачный провайдер или внешнее кадровое агентство). Важный нюанс в том, что даже при привлечении такого подрядчика ответственность за нарушения, как правило, ложится на «Оператора». То есть аутсорсинг обработки данных не распределяет ответственность перед гражданином так четко, как в Европе.

Несмотря на все эти различия, все три закона построены на общих принципах. Изучив их, вы поймете 80% логики любого закона о персональных данных.

• Законность: данные нельзя собирать без правового основания.

• Ограничение целью: использовать данные можно только для заявленных целей.

• Минимизация данных: собирать нужно только необходимый минимум информации.

• Точность: информация должна быть актуальной.

• Ограничение хранения: данные хранятся не дольше, чем требуется для достижения цели.

• Целостность и конфиденциальность: обязанность защищать данные от утечек и несанкционированного доступа.

Посмотрим, как эти базовые заповеди интерпретируют в Москве, Брюсселе и Пекине.

Три взгляда на цифровые права

На примере этих актов хорошо видны философские различия в государственном регулировании IT-отрасли.

GDPR вырос из европейской гуманистической традиции: человек должен иметь рычаги влияния на корпорации. Так регламент закрепляет право гражданина на перенос данных (data portability). Например, вы можете прийти в банк и сказать: «Заверните мне все мои ПДн в машиночитаемом формате, так как я ухожу к конкурентам». Европейский закон гарантирует пользователю цифровых сервисов бесшовный перенос данных, и это заметно усиливает конкуренцию.

Российская модель тяготеет к государственному контролю. Ключевая особенность 152-ФЗ и связанных подзаконных актов — обязанность компании подать уведомление в Роскомнадзор и встать в реестр операторов персональных данных еще до начала их обработки. Это проактивный подход: оператор ПДн заранее сообщает о себе, видах собираемых данных, целях и способах их обработки. Словом, в России упор делается на строгий надзор и подотчетность операторов перед государством.

Китайские законотворцы оттолкнулись от европейского и российского опыта, адаптировав его к китайским реалиям. Не обошлось и без восточных хитростей: PIPL — это рамочный закон-конструктор, который содержит формулировки наподобие «в соответствии с будущими положениями». Правительство может в любой момент выпустить новый подзаконный акт с детальными правилами для конкретной отрасли, не переписывая ядро документа. Это развязывает регулятору руки, но приводит к неопределенности для бизнеса. Вторая особенность — наказания за нарушения. Только в Китае предусмотрена такая санкция, как полный запрет для иностранной компании на обработку персональных данных граждан КНР.

География имеет значение

Философия — это прекрасно, но бизнесу важнее знать, где ставить серверы и как рассылать рекламу. Здесь тоже есть фундаментальные различия.

Россия (152-ФЗ) работает по принципу «дома лучше». Согласно ч. 5 ст. 18 ФЗ 152, при первичном сборе персональных данных граждан РФ оператор обязан обеспечить их запись, систематизацию и хранение с использованием баз данных, находящихся на территории России. Это требование касается всех — от локального интернет-магазина до международного гиганта. 

Что же касается отправки информации за рубеж, то в России с 1 марта 2023 года действует разрешительный порядок трансграничной передачи данных. Прежде чем отправить байт информации в другое государство, нужно уведомить об этом Роскомнадзор, а в ряде случаев (если страна не обеспечивает адекватную защиту) — дождаться разрешения от регулятора. Подчеркнем, что это никак не отменяет жесткие требования к локализации баз данных на территории России. 

Китай (PIPL) подходит к вопросу избирательно. Местная локализация обязательна только для операторов критической информационной инфраструктуры (КИИ). Для остальных операторов требования мягче. При передаче данных за рубеж китайцы, как европейцы, чаще полагаются на стандартные договорные условия (SCC) или сертификацию безопасности.

В Евросоюзе (GDPR) нет прямого требования хранить данные строго внутри ЕС. Более того, в Европе действуют удобные и проработанные бюрократические механизмы для вывоза данных за пределы Союза (та самая трансграничная передача).

Обработка ПДн и маркетинг

Теперь поговорим о том, как обосновать обработку данных, если вы, к примеру, просто хотите продать клиенту кроссовки.

В GDPR существует практика «легитимного интереса» (Legitimate Interest). Компания может обрабатывать данные без согласия обладателя, если докажет, что ее бизнес-интерес перевешивает риски для приватности. 

Еще недавно это правовое основание использовалось, в том числе, для прямого маркетинга или антифрода. Впрочем, на практике обосновать перед регулятором «легитимный интерес» было крайне непросто. Для тех, кто все-таки решится на такую меру, регулятор выпустил подобные разъяснения по оценке легитимности. 

Но и эту юридическую «форточку» закрыли: согласно решению Европейского суда по делу Inteligo Media от 13 ноября 2025 года «легитимный интерес» больше не дает право на прямой маркетинг и рекламные рассылки с использованием ПДн. Теперь в этом вопросе ориентируются на Директиву 2002/58/ЕС (Директива о конфиденциальности и электронных коммуникациях), в которой говорится, что владелец данных в любом случае должен дать свое согласие на обработку. 

В 152-ФЗ и китайском PIPL понятия легитимного интереса никогда не было. Для маркетинга также нужно обязательное, конкретное согласие владельца ПДн. Шаг влево, шаг вправо — расстрел штраф.

Еще из общего — и в Европе, и в Китае, и в России согласие на обработку данных можно получить «кликом» или «свайпом» — главное, чтобы человека проинформировали об этом и была возможность доказать получение согласия. Притом в ряде случаев (например, биометрия, специальные категории данных) требуется согласие обладателя в письменной форме с паспортными данными и подписью. Возникает парадокс: чтобы защитить данные человека, бизнес вынужден собирать о нем еще больше информации.

Момент истины

Теперь попробуем смоделировать, как эти системы работают на практике. Допустим, крупная международная компания MegaService допустила утечку данных пользователей из России, Германии и Китая. База с именами, адресами и историей заказов оказалась в руках злоумышленников. Что ждет компанию и условных Ивана из Москвы, Ханса из Берлина и Ли из Шанхая?

В России компания должна в течение 24 часов с момента обнаружения инцидента отправить первичное уведомление в Роскомнадзор, а в течение 72 часов — предоставить результаты внутреннего расследования. Главный адресат — государство. Компания не обязана лично уведомлять Ивана об утечке. Он вообще может узнать обо всем только из новостей, если дело получит огласку в СМИ. Подробнее о правилах реагирования на утечки ПДн в России — в нашей прошлой статье.

В Евросоюзе сценарий иной. У компании есть 72 часа на уведомление ведущего надзорного органа. Но если утечка создает высокий риск для прав и свобод людей, компания обязана уведомить и самих пользователей. Ханс получит на почту письмо с описанием инцидента, рисков и рекомендациями по защите. 

В Китае главное — скорость. PIPL требует уведомить регулятора и пользователей «незамедлительно». Согласно административным мерам CAC (Государственной канцелярии интернет-информации), об инцидентах высокой степени тяжести нужно сообщить регулятору в течение одного часа.

Ли, как и Ханс, получит прямое уведомление. Но есть лазейка: компания может не уведомлять пользователей, если докажет, что смогла предотвратить вред от утечки. Однако регулятор вправе настоять на уведомлении. Вся система работает под пристальным контролем государства, цель которого — не только защитить пользователя, но и быстро купировать любые социальные или политические последствия инцидента.

Цена ошибки

Именно штрафы заставляют корпорации воспринимать законы всерьез. В России до недавнего времени они были символическими. Однако с 30 мая 2025 года в КоАП РФ внесены конкретные пункты, предусматривающие ответственность за утечки. А за повторную утечку введен оборотный штраф: от 1 до 3% от выручки за предшествующий год (либо размера капитала для кредитной организации), но не менее 20 млн рублей и не более 500 млн рублей. Правоприменительная практика только нарабатывается: по статистике за вторую половину 2025 года суды в половине случаев выдавали предупреждение, а штрафами закончились около 40% дел.

В Евросоюзе штраф может достигать 20 миллионов евро или 4% от общего мирового годового оборота компании — в зависимости от того, какая сумма больше. В 2024 году общая сумма штрафов по GDPR составила около 1,2 млрд евро. В первой половине 2025 года пять крупнейших штрафов превысили 3 млрд евро за шесть месяцев. При этом лишь около 1,3% всех дел против компаний в ЕС приводят к штрафу — большинство случаев закрывают без санкций или урегулируют иначе.

В Китае штраф может составить до 50 миллионов юаней или 5% от годового дохода. Плюс персональная ответственность для руководителей и ответственных лиц вплоть до уголовной, а также риск полного запрета на работу с данными. Один из громких примеров: сервис такси Didi был оштрафован на 8 млрд юаней, в том числе, за нарушения норм безопасности и обработки данных. Впрочем, Didi нарушил не только PIPL, но и ряд других законов.

Вывод прост. В Европе бьют по кошельку всей корпорации. В Китае — по кошельку, репутации, условиям ведения бизнеса в стране и персонально по менеджерам. Российское законодательство уверенно движется в сторону ужесточения, перенимая опыт обеих систем.

В чем 152-ФЗ обгоняет «учителей»

Хотя Россия активно заимствует у Европы концепцию оборотных штрафов, ошибочно считать 152-ФЗ отстающим нормативным актом. В нашем законодательстве есть несколько уникальных решений.

Запрет на «робота-судью». Как гласит статья 16 152-ФЗ, принятие решений с юридическими последствиями (например, автоматический отказ в кредите) не может основываться исключительно на автоматизированной обработке персональных данных. Для этого требуется письменное согласие человека. В GDPR и PIPL такие автоматизированные вердикты возможны, хотя и с рядом оговорок: обладатель ПДн может обжаловать решение и потребовать проверки с участием живого специалиста. Так что здесь российский закон дает пользователю больше защиты, чем GDPR или PIPL.

Назначение ответственного для всех операторов. В России любая компания-оператор обязана назначить лицо, ответственное за организацию обработки персональных данных. В GDPR и PIPL требование о назначении Data Protection Officer мягче и распространяется в основном на госорганы и компании, чья деятельность связана с масштабной обработкой чувствительных данных или систематическим мониторингом их обладателей. В этом аспекте российский закон строже.

Более формализованное уведомление субъектов по вопросам обработки их персональных данных. В 152-ФЗ представлен развернутый перечень информации, которую оператор обязан предоставить человеку при сборе его данных: цели обработки, правовые основания, перечень данных, сроки хранения, информация о трансграничной передаче и многое другое. В законодательстве КНР и ЕС такие детали менее формализованы.

Что дальше: ИИ, новые угрозы и гонка регуляторов

В сухом остатке мы видим три разных, но логичных подхода к управлению данными. GDPR — это бюрократический, но ориентированный на права человека стандарт. PIPL — прагматичный и государственно-центричный механизм контроля. 152-ФЗ — постоянно эволюционирующий гибрид, который ищет баланс между двумя подходами.

Расширенная таблица с подробным сравнением GDPR, 152-ФЗ и PIPL доступна в Telegram-канале Бастиона и официальной группе в VK. Скачайте и используйте в работе, чтобы не сверяться с законами по отдельности.

Главный вызов на ближайшие годы связан с применением искусственного интеллекта при обработке данных. Как регулировать работу нейронок, обеспечить прозрачность алгоритмических решений и реализовать «право на забвение», если данные пользователя уже стали частью обученной модели? Российское законодательство здесь пока в роли догоняющего, и именно в этом направлении мы, скорее всего, увидим самые большие изменения. Роль Роскомнадзора, вероятно, продолжит усиливаться.

Если же мыслить глобально, то возникает вопрос: удастся ли мировому сообществу найти баланс между инновациями, безопасностью и свободой в гонке за контролем данных? Каждая из описанных в статье законодательных моделей делает такую попытку и предлагает свой компромисс. 

Какая из этих моделей кажется вам оптимальной и почему? Не стесняйтесь делиться своим мнением в комментариях. 

PURP — Telegram-канал, где кибербезопасность раскрывается с обеих сторон баррикад

t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона