Денис Гавчук – Правовое регулирование защиты персональных данных в гостиничной индустрии России и Китая. Монография (страница 4)

Сначала отели получают необходимую информацию о посетителях на стадии бронирования, такую как имена, контактные данные, паспортные сведения, пожелания по проживанию и платежные реквизиты. Такая информация используется для оформления заказов и оказания качественных услуг. Одновременно с этим возникает потребность в защите этих данных от нелегального доступа и кражи, что достигается применением современных инструментов безопасности и шифрования.

Так, в 2022 году произошла крупная утечка примерно 1,5 млрд записей из платформ Weibo, DiDi и Компартии Шанхая.

В июне 2025 года специалисты портала Cybernews зафиксировали ещё одну крупную утечку данных объемом около 4 млрд финансовых записей, включая информацию из сервисов WeChat и Alipay, общий размер массива составил 631 ГБ.

Ещё одним ключевым моментом является соответствие Закону о защите персональных данных (PIPL), ставшему обязательным с ноября 2021 года. Согласно данному закону, отели обязаны заручиться согласием гостей на обработку их данных, предоставлять им доступ к собственным сведениям и возможность удалить их.

Сотрудники гостиничного сектора должны постоянно совершенствовать знания в сфере информационной безопасности, осознавая высокую ценность личной информации клиентов и методы предотвращения потенциальных угроз. Управление персональными данными в китайских отелях представляет собой сложную многоступенчатую систему, включающую выполнение законодательных норм, внедрение современных технологий и специализированное обучение работников, нацеленное на повышение надёжности и конфиденциальности информации о гостях.

На международном уровне, наиболее известным актом, регулирующим защиту данных, является Общий регламент по защите данных (GDPR) Европейского Союза. Данный нормативно-правовой акт вводит жесткие правила обработки персональных данных и значительные штрафы за их нарушение.18 Штрафы могут достигать до 20 миллионов евро или 4% от годового оборота компании, в зависимости от того, что больше. К тому же GDPR устанавливает права субъектов данных, позволяя им требовать доступ к своим данным, их исправление или даже удаление.

Несоблюдение правил обработки и защиты данных грозит юридическим лицам не только финансовыми потерями, но и серьезными репутационными рисками, способными нанести долгосрочный ущерб бизнесу. Утрата или несанкционированное использование информации способна подорвать доверие клиентов и партнёров, что приведет к значительным отрицательным последствиям для компании.

Помимо внешнего регулирования, многие организации вводят внутренние инструкции и процедуры по защите данных. Работодатели могут наказывать сотрудников, нарушивших правила обработки персональных данных, вплоть до расторжения трудового договора. Нарушения принципов защиты данных приводят не только к юридическим последствиям, но и вызывают значительные этические проблемы, связанные с нарушением прав и интересов клиентов.

В современной цифровой среде грамотное обращение с персональной информацией превращается из простого юридического обязательства в неотъемлемый элемент успешной деловой практики, непосредственно связанный с поддержанием положительной репутации предприятия и стабильностью его развития.

Таким образом, правовое регулирование защиты персональных данных в гостиничном бизнесе Китая основывается на комплексной системе законодательных актов, включающей Закон о кибербезопасности 2016 года и Закон о личных данных 2021 года, которые устанавливают строгие требования к сбору, хранению и обработке клиентской информации с обязательным размещением критических данных на территории страны.

Практическая реализация данного законодательства в отелях требует внедрения современных CRM-систем, получения согласия клиентов на обработку данных, обучения персонала основам информационной безопасности и назначения ответственных за защиту данных сотрудников.

Выводы по первой главе

Первая глава посвящена изучению правовых основ защиты персональных данных в гостиничном бизнесе России и Китая.

Персональные данные определяются как любая информация, связанная с физическим лицом, которую можно прямо или косвенно идентифицировать.

В российском и китайском законодательстве выделяется две основные категории данных: обычные и специальные, каждая из которых требует разного уровня защиты.

Существуют сходства в определении персональных данных и подходов к их защите, но наблюдаются принципиальные различия в уровнях защиты и подходах к трансграничной передаче данных.

Основное нормативное регулирование обеспечивается Федеральным законом №152-ФЗ «О персональных данных», который распространяется на всю территорию России.

Отдельные законодательные акты регулируют обработку данных в области связи, труда и торговли.

Несмотря на существование общих правовых актов, гостиничный сегмент сталкивается с недостатком узконаправленных стандартов и подробного регулирования, что затрудняет эффективное обеспечение защиты данных.

Правовая база Китая представлена тремя основными законами: Законом о кибербезопасности, Законом о защите персональных данных и Законом о безопасности данных. Подход Китая характеризуется повышенной ориентацией на национальную безопасность и общественные интересы, выражающейся в строгих правилах локализации данных и усиленном государственном контроле. Особенности гостиничного дела заключаются в применении уникальных национальных документов и цифровых платформ, позволяющих отслеживать перемещение и активность туристов.

Ключевыми проблемами остаются отсутствие ясных стандартов обработки данных, низкая эффективность контролирующих механизмов и сложности в соблюдении прав субъектов данных. Перспективные пути улучшения ситуации включают создание специализированных отраслевых стандартов, усиление ответственности операторов и расширение международного взаимодействия.

Таким образом, первая глава обозначает ключевые аспекты правового регулирования защиты персональных данных в гостиничном бизнесе России и Китая, раскрывая сходства и различия в подходах, а также выделяя основные проблемы и направления совершенствования.

ГЛАВА 2. ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСТИНИЧНОМ БИЗНЕСЕ РОССИИ И КИТАЯ

2.1. Недостатки российского законодательства о защите персональных данных в контексте гостиничного сектора

В российском законодательстве о защите персональных данных существует серьезный пробел, связанный с отсутствием специализированных стандартов обработки персональных данных для гостиничной индустрии. Данный недостаток создает множественные проблемы как для операторов данных, так и для субъектов персональных данных.

Федеральный закон №152-ФЗ «О персональных данных» устанавливает общие принципы и требования к обработке персональных данных, однако не учитывает специфику различных отраслей экономики. Гостиничный сектор характеризуется особыми условиями сбора, хранения и использования персональных данных, которые не находят должного отражения в действующем правовом регулировании.19

Отсутствие отраслевых стандартов и недостаточная конкретизация требований к обработке персональных данных в гостиничной сфере находят свое отражение в статистике административных правонарушений. Анализ данных Роскомнадзора о выявленных нарушениях в сфере обработки персональных данных за период 2019—2024 гг. демонстрирует масштабы проблемы правоприменения действующего законодательства (см. приложение 1).

Представленные данные свидетельствуют о волнообразной динамике выявленных административных правонарушений в сфере защиты персональных данных. Несмотря на значительное снижение количества зафиксированных нарушений в период 2020—2022 гг. (что может быть связано с ограничениями контрольно-надзорной деятельности в период пандемии), с 2023 года наблюдается устойчивый рост числа выявленных правонарушений.

Динамика административных правонарушений в сфере обработки персональных данных в Российской Федерации в 2019—2024 гг. отражена в приложении 1.20

Увеличение количества нарушений в 2023—2024 гг. на 76% по сравнению с минимальными показателями 2022 года указывает на системные проблемы в сфере обеспечения защиты персональных данных.

Согласно исследованию экспертно-аналитического центра ГК InfoWatch, в 2024 году наблюдалось существенное увеличение масштабов компрометации персональных данных в российских организациях. Общий объем скомпрометированных записей составил 1,581 млрд единиц, что на 30% превышает показатели 2023 года (1,202 млрд записей).

При этом количество зарегистрированных инцидентов возросло незначительно – с 569 до 592 случаев. Наибольшую долю утечек (29%) составляет аутентификационная информация, включающая пароли, логины и контактные данные пользователей. Ведущую позицию по количеству инцидентов занимает торговая сфера (35,1% случаев компрометации ПДн), за которой следуют государственные органы (18%) и телекоммуникационная отрасль (9,8%). Значительную угрозу представляют внутренние нарушители, на долю которых приходится 18,5% всех инцидентов, при этом 98% таких действий носят умышленный характер21.

Анализ судебной практики по защите персональных данных потребителей за 2019—2024 годы демонстрирует устойчивую тенденцию к усилению защиты прав субъектов персональных данных и формированию единообразной правоприменительной практики контролирующими и судебными органами.