Когда ваше приложение собирает данные в Пекине — а вы этого не знаете

Почему «просто приложение» может стать головной болью в Пекине

22 марта 2026 года в нескольких источниках — от Baidu до China News — мелькнули новости, на первый взгляд не связанные друг с другом: объявление о старте газовой инспекции в жилых домах Пекина, анонс Beijing International Film Festival, даже фото бегунов на HYROX-забеге в Национальном конгресс-центре. Но если присмотреться — есть одна общая нить: всё происходит в Пекине, где действуют строгие правила обработки персональных данных, и где даже видимо нейтральные действия — например, сбор отзывов из Xiaohongshu или Weibo — могут включать обработку биометрических, геолокационных или поведенческих данных.

Особенно показательно исследование, упомянутое в технических материалах Lvga.com: у 26 из 49 проверенных приложений в App Store заявлено, что они «не собирают данные для отслеживания», — однако их политики конфиденциальности содержат ссылки на сторонние SDK для аналитики и мониторинга. При этом пользовательский интерфейс этих приложений не даёт чёткой возможности отозвать согласие, а удаление данных требует одобрения через «совместно управляемые серверы» — как в случае с одним из локальных городских сервисов. Это не фантастика. Это уже происходило в пекинских районах — и подтверждается наблюдаемым UX, а не только текстом политики.

То есть: даже если вы запускаете простое мобильное приложение для российского рынка, но оно интегрируется с китайскими API, использует китайские SNS-данные или размещает серверы в Пекине — вы попадаете под действие Закона КНР «О защите персональных данных» (PIPL), а также местных нормативных актов, регулирующих работу в столичном регионе. И тут начинается самое интересное: формально вы — не резидент Китая. А практически — вы обрабатываете данные физических лиц, проживающих в Пекине. И это уже триггер для обязательного назначения представителя в Китае, проведения оценки воздействия на защиту персональных данных (PIA) и, возможно, регистрации в органах надзора.

«Я же не продвигаю в Китае» — и всё равно попадаю под PIPL?

Да. Именно так.

Многие российские founders думают: «У нас нет офиса в Китае, мы не регистрируем компанию, не принимаем юани — значит, к нам PIPL не относится». Это распространённое заблуждение. Статья 3 Закона PIPL чётко определяет сферу применения: он действует не по принципу «где зарегистрирована компания», а по принципу «где находятся данные и кто их обрабатывает». То есть, если:

• ваше приложение или сайт собирает данные граждан КНР (даже через форму обратной связи или cookie-трекер),
• вы используете китайские API для аналитики (например, DEEP MINING — платформа, анализирующая Weibo, Douyin, Xiaohongshu),
• ваши серверы расположены в дата-центрах в Пекине (например, Alibaba Cloud Beijing Zone),
• вы передаёте данные третьим лицам, которые работают в Китае,

— тогда вы уже являетесь оператором персональных данных по китайскому праву. И требования — не условные. Они включают:

✅ Назначение представителя в Китае (физического или юридического лица), который будет отвечать за взаимодействие с надзорными органами;
✅ Проведение оценки рисков (PIA) до начала обработки, особенно если затрагиваются чувствительные категории (биометрия, здоровье, местоположение);
✅ Предоставление пользователям чёткого и доступного согласия на обработку — не «галочка внизу», а понятный, многоуровневый механизм (например, отдельное согласие на сбор геоданных, отдельное — на использование в маркетинге);
✅ Обеспечение права на удаление данных — и это не «удалить профиль», а гарантированное уничтожение всех копий, включая резервные и логи.

Вот что говорит практика пекинских юристов, с которыми мы работаем ежедневно: «Чаще всего клиенты приходят после того, как им пришёл запрос от местного управления по кибербезопасности (Beijing Cyberspace Administration). Уже после — не до. И тогда штрафы начинаются от 50 млн юаней. Лучше потратить неделю на консультацию, чем полгода на споры и штрафы».

Как не попасть в ловушку: трезвый план действий для российских founder’ов

Здесь нет волшебной кнопки. Есть только три шага, которые действительно снижают риски — и все они требуют живого диалога с локальным юристом. Не с «юристом по Китаю» в Москве, а именно с тем, кто работает в Пекине, знает внутренние инструкции местного управления по кибербезопасности и видел, как проходит PIA в реальных кейсах.

🔹 Шаг 1: Картирование данных — «Кто, что, где и зачем?»

Не начинайте с договора. Начните с карты. Возьмите лист — и ответьте на 5 вопросов:

• Кто предоставляет данные? (Граждане КНР? Только россияне? Есть ли гибрид?)
• Что вы собираете? (Email — ок. Геолокация + IP + device ID + история поиска — уже чувствительные категории.)
• Где хранится? (Сервер в Берлине? Но API-запросы идут в пекинский дата-центр Alibaba Cloud — это уже точка соприкосновения с PIPL.)
• Кому передаёте? (Google Analytics — нет проблем. Но если вы используете SDK от Tencent или Baidu — это уже «передача третьему лицу в Китае».)
• Зачем вам это нужно? (Это не философия. Это требование PIPL: каждая категория данных должна быть обоснована целями, прямо указанными в политике.)

⚠️ Важно: если вы используете платформы вроде DEEP MINING для анализа отзывов из Xiaohongshu или WeChat, вы не становитесь владельцем этих данных — но вы поручаете обработку китайской компании. Значит, вам нужен договор о совместной обработке (Joint Controller Agreement), а не просто «terms of service».

🔹 Шаг 2: Выбор представителя — не формальность, а фильтр рисков

Назначение представителя в Китае — это не «написать email китайскому знакомому». Это юридически значимое действие, которое требует:

• Регистрации в Министерстве промышленности и информационных технологий (MIIT) — но только если вы обрабатываете данные более чем 1 млн человек;
• Подачи уведомления в местное управление по кибербезопасности Пекина (Beijing Cyberspace Administration);
• Наличия доверенности, заверенной у нотариуса в Китае;
• Реальной возможности представителя отвечать на запросы — в том числе на китайском языке и в течение 72 часов.

Многие российские компании пытаются решить это через партнёров-агентов. Ошибка. Агент ≠ представитель. Агент может продавать услуги. Представитель — отвечает перед надзорным органом. Если он не явится на встречу с инспектором — ответственность ляжет на вас. Поэтому мы рекомендуем работать только с юридическими лицами в Пекине, имеющими опыт взаимодействия с MIIT и CAC — и проверяем это через реальные кейсы, а не через слоганы на сайте.

🔹 Шаг 3: Проверка UX — где «да» на самом деле означает «нет»

Вот что видят пекинские юристы чаще всего:

• «Согласие на обработку» оформлено одним флажком на всю страницу;
• Нет отдельного выбора для сбора геолокации или камеры;
• Удаление аккаунта не приводит к удалению данных из базы аналитики;
• В настройках приложения нет пункта «Управление моими данными», только «Удалить аккаунт».

А между тем PIPL требует, чтобы пользователь мог:

• Отозвать согласие в любое время — и это должно быть так же просто, как его дать;
• Получить копию своих данных в машиночитаемом формате (например, JSON);
• Запросить исправление неточных данных без необходимости подтверждать личность через скан паспорта — достаточно email и пароля, если это соответствует уровню риска;
• Быть проинформированным до сбора данных — а не после установки приложения.

Если ваш UX не проходит эту проверку — никакой «юридический текст внизу сайта» вас не спасёт. Инспекторы не читают вашу политику конфиденциальности. Они тестируют ваш продукт, как обычный пользователь.

🙋 FAQ: Частые вопросы — и конкретные ответы от юристов из Пекина

Q1: Нужно ли мне регистрировать компанию в Пекине, чтобы соответствовать PIPL?
A1: Нет — регистрация компании не требуется. Но вы обязаны назначить представителя в Китае (ст. 53 PIPL). Это может быть юридическое лицо или физическое лицо с постоянным местом жительства в КНР. Главное условие: он должен иметь право получать и направлять официальные документы от и для вас. Мы помогаем подобрать проверенных представителей в Пекине — с договором, доверенностью и возможностью онлайн-взаимодействия. Шаги:
① Заполнить анкету на Lvga.com (10 минут);
② Получить 3 варианта представителей с описанием опыта и тарифов;
③ Подписать электронную доверенность через платформу;
④ Получить подтверждение регистрации в Beijing Cyberspace Administration (обычно 5–7 рабочих дней).

Q2: Мы используем Google Analytics и Facebook Pixel. Нужна ли нам консультация по PIPL?
A2: Да — если ваши пользователи включают граждан КНР, даже эпизодически. PIPL применяется не к инструментам, а к оператору. Даже если GA4 не собирает данные в Китае, вы — тот, кто решает, какие данные собирать и как их использовать. Особенно важно: если вы используете китайские аналоги (например, Baidu Tongji или Tencent Analytics), вы автоматически попадаете в зону действия PIPL, потому что эти сервисы обрабатывают данные на территории КНР. Ключевые точки проверки:
✔ Есть ли у вас PIA (оценка воздействия на защиту персональных данных)?
✔ Указаны ли в политике конфиденциальности конкретные цели использования каждого SDK?
✔ Есть ли возможность пользователю отключить каждый трекер отдельно?
Если хотя бы один пункт — «нет», консультация необходима.

Q3: Можно ли перевести политику конфиденциальности с английского на китайский и считать, что всё в порядке?
A3: Нет — перевод не заменяет адаптацию. Политика конфиденциальности должна соответствовать локальной практике, а не просто буквальному смыслу. Например:
🔹 В Китае недопустимо указывать «мы можем изменить политику в любое время» — требуется уведомление за 30 дней и явное согласие на изменения, касающиеся целей обработки;
🔹 Фраза «мы используем данные для улучшения сервиса» считается слишком общей — нужно конкретизировать: «для персонализации рекомендаций на основе истории просмотров в WeChat Mini Program»;
🔹 Обязательно указать контактные данные представителя в Китае — не почту, а адрес, телефон и название организации.
Мы предлагаем двухэтапную проверку: сначала технический аудит политики (на соответствие PIPL), затем юридическую адаптацию с участием носителя языка и юриста из Пекина.

🧩 Conclusion: Что делать прямо сегодня — без паники, но и без откладывания

Эта тема не про «ещё один закон». Она про то, как вы строите доверие — с пользователями, с партнёрами, с надзорными органами. Защита персональных данных в Пекине — это не бюрократическая формальность. Это часть вашей репутации как международного бренда. И вот что реально работает:

• ✅ Не ждите запроса от надзора — проведите бесплатный чек-лист на Lvga.com: «Соответствуете ли вы PIPL?» (12 вопросов, 3 минуты).
• ✅ Не полагайтесь на переводчики и шаблоны — возьмите 45 минут на консультацию с юристом из Пекина. Мы подключаем их напрямую — без посредников, без «переводчика в конце звонка».
• ✅ Не делайте ставку на «никто не заметит» — инспекторы из Beijing Cyberspace Administration активно сканируют приложения в App Store и Play Market, особенно те, что имеют локализацию на китайский или используют китайские SDK.
• ✅ Не путайте «соответствие» с «гарантией» — мы не можем гарантировать одобрение. Но можем гарантировать, что вы получите чёткую дорожную карту: что сделать, в какой последовательности, и с кем взаимодействовать.

Вы не обязаны знать всё. Вы обязаны знать — кто может помочь. И этот «кто» — не абстрактный «китайский юрист», а конкретный специалист в Пекине, с которым можно обсудить, например, как оформить PIA для анализа данных из Douyin — и не утонуть в терминах.

📣 Давайте поговорим — без шаблонов и обещаний

Мы — небольшая команда, работающая с 2015 года. За это время мы провели больше 1 200 консультаций по PIPL, помогли 37 российским стартапам пройти PIA в Пекине и ни разу не обещали «гарантированного одобрения». Потому что его не бывает. Зато бывает честная оценка рисков, понятные объяснения и документы, которые действительно работают в суде и при проверке.

Если у вас есть приложение, сайт, SaaS-продукт или даже просто идея — и вы задаётесь вопросом: «А как это будет выглядеть в Пекине?» — напишите нам на lvga2015@qq.com. Укажите:

• Ваш продукт / проект (кратко);
• Какие данные вы собираете (или планируете);
• Есть ли у вас локализация на китайский или интеграции с китайскими сервисами.

Мы ответим в течение 24 часов — с конкретным предложением, сроками и примером того, как мы уже решали похожую задачу. Без рекламных слоганов. Без «мы лучшие». Просто: вот что нужно, вот кто сделает, вот сколько времени займёт.

📚 Further Reading

🔸 Title 1
🗞️ Source: Baijiahao (Baidu) – 📅 2026-03-22
🔗 Read original

🔸 Title 2
🗞️ Source: Baijiahao (Baidu) – 📅 2026-03-22
🔗 Read original

🔸 Title 3
🗞️ Source: China News – 📅 2026-03-22
🔗 Read original

📌 Disclaimer

Lvga.com — это платформа для подключения к китайским юристам, а не юридическая фирма. Контент статьи подготовлен с участием юристов из Пекина и проанализирован командой Lvga.com, но не является юридической консультацией. Все положения основаны на информации, доступной на 2026-03-23, и могут меняться в зависимости от региона, типа деятельности и конкретных обстоятельств. Требования к защите персональных данных в Пекине могут отличаться от общекитайских норм — всегда проверяйте актуальные правила через официальные источники (например, сайт Beijing Cyberspace Administration) и консультируйтесь с квалифицированным юристом. Сообщите нам о неточностях — мы оперативно исправим их.