GDPR, PIPL и 152-ФЗ: сравнение трёх главных законов о защите персональных данных
Три закона — GDPR в ЕС, PIPL в Китае и 152-ФЗ в России — сформировали глобальный стандарт защиты персональных данных. Все три действуют экстерриториально: нарушение GDPR грозит штрафом до €20 млн, даже если ваша компания находится в Москве. Разбираем, чем они похожи, чем отличаются и когда российскому бизнесу нужно учитывать каждый из них.
Три закона: краткий обзор
Вступил в силу 25 мая 2018 года. Заменил Директиву 1995/46/EC. Регулирует обработку персональных данных физических лиц на территории ЕС и ЕЭЗ. Принят после многолетних дискуссий о цифровой приватности и скандалов с Cambridge Analytica. Стал образцом для законодательства десятков стран — Бразилии (LGPD), Японии, Великобритании (UK GDPR), Южной Кореи (PIPA) и других.
Вступил в силу 1 ноября 2021 года. Первый в Китае комплексный закон о защите личных данных. Закрыл пробел между несколькими ранее действовавшими нормами: Законом о киберпространстве (2017), Стандартом GB/T 35273 и рядом отраслевых регуляций. Регулирует обработку данных граждан КНР, в том числе иностранными компаниями за пределами Китая.
Принят 27 июля 2006 года, существенно реформирован в 2022 году ФЗ-266 и в 2024–2025 годах ФЗ-420. Регулирует обработку персональных данных граждан РФ и любых персональных данных, обрабатываемых на территории России. В 2026 году санкции достигли уровня, сопоставимого с европейскими: повторная утечка — до 500 млн руб. или 3% выручки.
Сравнительная таблица GDPR, PIPL и 152-ФЗ
| Критерий | GDPR (ЕС) | PIPL (Китай) | 152-ФЗ (Россия) |
|---|---|---|---|
| Год вступления в силу | 2018 | 2021 | 2006 (ред. 2022–2025) |
| Территориальное действие | Данные резидентов ЕС везде в мире | Данные граждан КНР везде в мире | ПДн на территории РФ; граждане РФ |
| Правовые основания обработки | 6 оснований, включая согласие | 7 оснований, включая согласие | Согласие + 9 иных оснований (ст.6) |
| Согласие субъекта | Добровольное, конкретное, однозначное | Добровольное, информированное | Добровольное, информированное |
| DPO / ответственное лицо | Обязателен в ряде случаев | Обязателен для крупных операторов | Обязательно ответственное лицо |
| Локализация данных | Не требуется внутри ЕС | Хранение в КНР (с исключениями) | Первичный сбор — в РФ (ст. 18.1) |
| Уведомление об утечке | 72 часа в надзорный орган | Немедленно в CAC (без точного срока) | 24 ч → РКН; 72 ч → расследование |
| Право на удаление | Да (право на забвение) | Да | Да (отзыв согласия → удаление за 30 дн.) |
| Максимальный штраф | €20 млн / 4% выручки | 50 млн CNY / 5% выручки в КНР | 18 млн руб. (нарушение хранения) / 500 млн руб. (повторная утечка) |
| Надзорный орган | DPA каждой страны-члена | CAC (Cyberspace Administration of China) | Роскомнадзор (РКН) |
GDPR: когда он применяется к российскому бизнесу
GDPR применяется к российской компании, если выполняется хотя бы одно из двух условий (ст. 3 GDPR):
- Предложение товаров/услуг лицам в ЕС: сайт с ценами в евро, обращение на европейских языках, доставка в страны ЕС, реклама на европейскую аудиторию
- Мониторинг поведения лиц в ЕС: использование трекеров, пикселей, аналитики для отслеживания пользователей из ЕС
Сам факт технической доступности сайта из ЕС — не основание для применения GDPR. Если вы не таргетируете европейских пользователей и не собираете их данные целенаправленно, GDPR вас не касается.
Российский интернет-магазин одежды доставляет только по России, сайт на русском языке, цены в рублях. Клиент из Германии случайно заходит и оставляет email. GDPR не применяется — нет целенаправленного предложения услуг жителям ЕС. Но если тот же магазин запустит рекламу в Facebook с геотаргетингом на Германию — GDPR начинает действовать.
PIPL: когда он применяется к российскому бизнесу
PIPL применяется к российской компании (ст. 3 PIPL), если она:
- Предоставляет товары/услуги лицам на территории КНР
- Анализирует или оценивает поведение лиц на территории КНР
- Выполняет иную обработку ПДн, предусмотренную законом
Дополнительно: обработчики ПДн, передающие данные за пределы КНР, обязаны пройти оценку безопасности данных (Data Security Assessment) в CAC — государственном регуляторе киберпространства Китая.
Для большинства российских малых и средних компаний PIPL нерелевантен: они не работают на китайском рынке. Актуален для компаний с присутствием в КНР, приложений, использующих Chinese App Stores, или сервисов с аудиторией из Китая.
Что общего у всех трёх законов
Несмотря на разные юрисдикции, GDPR, PIPL и 152-ФЗ построены на одних принципах. Их общий фундамент — документ Совета Европы Конвенция 108 (1981), к которой присоединился СССР. Все три закона требуют:
- Законного основания для обработки персональных данных
- Принципа минимизации: собирать только то, что нужно
- Права субъекта на доступ, исправление и удаление данных
- Уведомления об утечках данных
- Технических и организационных мер защиты
- Ограничения на трансграничную передачу данных
Почему российский бизнес изучает GDPR
Даже не работая с ЕС, знание GDPR полезно по нескольким причинам:
- GDPR — методологический образец. 152-ФЗ в редакции 2022–2025 годов во многом воспроизводит логику GDPR: права субъектов, уведомление об утечках, оценка воздействия на приватность (DPIA / оценка рисков)
- Международное сотрудничество. Российские разработчики, работающие на зарубежные компании, часто обязаны соблюдать GDPR по договору
- Стандарты безопасности. Практики GDPR (privacy by design, data minimisation) — лучший мировой стандарт защиты, который полезен независимо от юрисдикции
152-ФЗ под ключ — для вашего бизнеса
Политика конфиденциальности, согласие на обработку ПДн, уведомление РКН — все документы в редактируемом формате с вашими данными.
Посмотреть тарифы — от 590 ₽Часто задаваемые вопросы
GDPR — закон ЕС 2018 года о защите персональных данных граждан Европейского союза. Действует везде в мире, если вы целенаправленно работаете с европейскими пользователями. Максимальный штраф — €20 млн или 4% годовой выручки компании.
Основные отличия: территория действия (GDPR — данные резидентов ЕС везде, 152-ФЗ — данные в РФ), размер штрафов (GDPR до €20 млн, 152-ФЗ до 500 млн руб. за повторную утечку), уведомление об утечке (GDPR 72 часа, 152-ФЗ 24 и 72 часа).
Только если они целенаправленно предлагают товары/услуги жителям ЕС или мониторят их поведение. Большинство российских малых бизнесов без таргетинга на ЕС под GDPR не подпадают.
PIPL (Personal Information Protection Law) — закон КНР о защите персональных данных, действует с 1 ноября 2021 года. Аналог GDPR для Китая с экстерриториальным действием. Максимальный штраф — 50 млн юаней или 5% годовой выручки в Китае.
Нет — одна лишь техническая доступность не достаточна. GDPR применяется при целенаправленном предложении услуг европейским резидентам: сайт на европейских языках, цены в евро, реклама на ЕС. Случайные посетители из ЕС на русскоязычном сайте GDPR не активируют.