(China Briefing) – Закон Китая «О безопасности данных» был опубликован 10 июня 2021 года и официально вступит в силу с 1 сентября 2021 года.
Этот закон можно рассматривать как ещё одну опору правовой базы Китая в области информационной безопасности и защиты данных (конфиденциальности), помимо Закона о кибербезопасности (CSL), который был запущен в 2017 году и сосредоточен на сетевой безопасности, и Закона о защите личной информации (PIPL), который находится на стадии второго чтения и, как ожидается, будет опубликован в конце этого года.
Прошло всего два месяца с момента второго чтения проекта Закона о безопасности данных (в апреле 2021 года), что указывает на то, что китайские законодательные органы стремятся быстро опубликовать его, чтобы противостоять возникающим угрозам безопасности данных.
В этой статье мы обращаемся к основным изменениям в опубликованной версии Закона о безопасности данных, по сравнению со вторым проектом. Мы также выделяем области, вызывающие озабоченность у иностранных компаний, ведущих бизнес в Китае.
Закон Китая о безопасности данных: Ключевые положения
Мы выделили изменения, внесенные в окончательную версию, и основные проблемы закона, как показано ниже:
• Стратегия «сверху вниз» – закон не только уточняет детали правовых требований, но и заявляет, что правительство будет внедрять национальный механизм защиты данных через «дизайн верхнего уровня» со связанными организациями. Есть ещё некоторые неясности, такие как определение «важных данных» и «основной даты», но мы можем ожидать, что более подробные правила или законы будут изданы местными властями или отраслевыми министерствами, такими как «Положение об управлении безопасностью данных», которое уже было включено в законодательную повестку дня Государственного совета на 2021 год.
• Классификация и защита данных – закон требует создать систему классификации данных как «важных данных», «основных данных» и общих данных на основе их конфиденциального характера, влияния на национальную безопасность и потенциального ущерба в случае нарушения данных. Каждый тип данных должен быть защищён соответствующими мерами. Для китайских компаний, использующих Интернет для обработки данных, MLPS (Multiple-Layer Protection Scheme, впервые введённая в CSL) должна стать основой процесса управления безопасностью данных, охватывающего полный жизненный цикл данных.
• Локализация данных и трансграничная передача – для операторов CII (критической информационной инфраструктуры) Важные данные должны храниться на территории Китая, а трансграничная передача регулируется CSL. Для операторов, не являющихся CII, ожидается, что трансграничная передача важных данных будет регулироваться мерами, объявленными Администрацией киберпространства Китая (CAC) и другими органами власти. Однако эти «меры» до сих пор не обнародованы.
• Непрерывное управление защитой данных – компания должна принять организационные меры, чтобы обеспечить достаточный ресурс для построения системы управления защитой данных через все бизнес-процессы, указав лицо, ответственное за безопасность данных, и соответствующее агентство управления, чтобы полностью нести ответственность за безопасность данных.
• Использование данных – Китай признал, что данные являются «новым типом производственного фактора» в 2020 году, и закон страны поощряет разработку и коммерческое использование данных. Следовательно, в рамках государственной стратегии «больших данных» поддерживается творческое использование данных во всех отраслях.
• Правовой консенсус – как компания, так и физическое лицо, которое контролирует защиту данных, будут подлежать штрафам и другим административным наказаниям, специфичным для компаний. Максимальный штраф за нарушение основной системы управления данными составляет 10 миллионов юаней вместе с отзывом лицензии на ведение бизнеса для компаний, в то время как максимальный штраф для непосредственно ответственного лица составит 500 000 юаней.
Как избежать риска несоблюдения Закона о безопасности данных?
Здесь мы предлагаем несколько предложений с технической точки зрения относительно методологии соблюдения Закона о безопасности данных.
-
Обеспечение организационными ресурсами
Защита данных ставит перед компаниями новые задачи, поскольку она выходит за рамки традиционной сферы информационной безопасности, поэтому существующие ресурсы внутри компании (как правило, ИТ-команда или команда информационной безопасности) могут оказаться неспособными выполнить ответственность за защиту данных.
Компания должна назначить ресурс и создать команду управления защитой данных с нисходящей структурой, такой как «комитет по информационной безопасности», который включает юридические, технические и бизнес-отделы сверху, а затем профессиональную команду из юридического, приватного и ИТ-отделов. В крупных компаниях команда информационной безопасности каждой бизнес-единицы также должна быть вовлечена.
-
Командная работа между ИТ и юридической командой
Соответствие безопасности данных, по-видимому, нуждается как в ИТ, так и в юридических группах, работающих вместе для обеспечения соответствия. Юридическая команда может интерпретировать юридическую оговорку и определить подробные требования (на абстрактном уровне), которые должны быть выполнены компанией, и лучше преобразовать такой юридический язык в формат, который может быть легко понятен ИТ-отделу.
Со своей стороны, ИТ-команда должна найти подходящие технические меры контроля и инструментарий для выполнения фактической защиты данных. Когда компания намеревается обратиться за профессиональной экспертизой к внешней стороне, следует в первую очередь учитывать возможности и интеграцию как технических, так и юридических ресурсов.
-
Определение требований соответствующими заинтересованными сторонами
Помимо прямого требования со стороны закона и регулирования со стороны органов власти, существует множество требований со стороны других заинтересованных сторон, которые также необходимо учитывать, таких как внешние клиенты, партнёры или поставщики.
Для бизнеса B2C обработка личной информации потребителя будет регулироваться Законом о безопасности данных. Для бизнеса B2B бизнес-секреты и другие бизнес-данные также важны для защиты.
Такие оценки требуют от компании анализа своей бизнес-модели и выявления всех потенциальных заинтересованных сторон, а затем дальнейшего сбора и определения соответствующих требований к защите данных.
-
Инвентаризация активов данных и сопоставление данных
Все меры контроля за защитой данных, как технические (например, шифрование), так и организационные (например, обращение к персоналу с просьбой следовать определенным процедурам обработки данных), должны применяться к целевому объекту – самим данным. Поэтому инвентаризация данных является одним из важных и основных этапов всего процесса защиты данных.
Прежде чем говорить о том, как защитить данные, сначала следует ответить на несколько вопросов: какие данные есть у компании, где хранятся данные, как они собираются и обрабатываются, кто и каким образом получает доступ к данным?
Классификация данных является ещё одним важным шагом, который классифицирует данные на различные типы в зависимости от их важности, назначения, источника и чувствительности. Поэтому, соответственно, могут применяться различные уровни мер контроля защиты данных.
Одна чёткая диаграмма потока данных или отображение данных, которая показывает, как данные текут внутри компании и между компанией и внешними сторонами, будет очень полезна, чтобы позволить команде защиты данных найти ключевой узел/узлы, которые могут нуждаться в дополнительных мерах защиты данных. Компания может рассмотреть возможность использования автоматических инструментов для обнаружения и идентификации типа данных с автоматической маркировкой, а также дальнейшего внедрения предопределенных мер контроля.
-
Целостный контроль во всем жизненном цикле данных
Стратегия управления или меры контроля, которые просто фокусируются на одном или нескольких узлах/точках, всегда недостаточно, так как на каждом этапе жизненного цикла данных существует так много различных потенциальных проблем.
Для приведения в соответствие с характеристиками различных фаз жизненного цикла данных или различных стадий, следует принимать различные меры контроля. Мы приводим здесь одну простую иллюстрацию для более лёгкого понимания:
-
Использование технических средств
В настоящее время все больше компаний имеют дело с большими объемами данных в своей повседневной деятельности, и обеспечить контроль безопасности вручную нереально. Внедрение и внедрение передовых инструментов безопасности имеет решающее значение для защиты данных.
Например, компании должны использовать инструмент DLP (Data Loss Prevention) для классификации и маркировки данных с помощью заранее определенной политики, чтобы предотвратить утечку их конфиденциальных данных из организации.
Что касается данных, которые необходимо передать внешней стороне, то развертывание такого инструмента, как AIP (Azure Information Protection), может обеспечить непрерывную защиту даже тогда, когда данные находятся за пределами традиционного периметра безопасности организации. Внедрение архитектуры безопасности на основе нулевого доверия может значительно повысить общий уровень защиты данных. Компания может рассмотреть возможность использования платформы Microsoft 365 productivity platform, которая включает в себя все функции, описанные в этом разделе.
-
Обучение пользователей
Конечный пользователь всегда является последней линией защиты в случае любого инцидента с безопасностью данных. Как часть организационных мер контроля, тренинг по повышению осведомленности о безопасности плюс тренинг по использованию технических средств компании для защиты данных является одним из важных этапов общего процесса защиты данных.
Некоторые хорошие платформы, такие как KnowBe4, можно использовать для планирования и разработки обучающей программы для всех сотрудников, обнаруживая реальную реакцию конечных пользователей на стимулированный фишинг для дальнейшего анализа и улучшения.
-
Непрерывное совершенствование
Защита данных – это одно долгое и бесконечное путешествие, которое требует постоянного совершенствования. Соответствующая платформа мониторинга должна быть развернута для мониторинга и регистрации активности данных, которая затем должна автоматически отправлять предупреждение о риске в команду управления защитой данных для ручного вмешательства.
Внутренний обзор и внешние независимые сторонние аудиты должны проводиться периодически и регулярно для выявления потенциальных слабых мест и корректирующих действий, которые должны быть приняты; результаты должны быть дополнительно проанализированы для следующего раунда Plan-Do-Check-Action (PDCA).
Статья «Китай выпускает Закон о безопасности данных: Некоторые экспертные наблюдения и комментарии» подготовлена Порталом PRC.TODAY, по материалам сотрудника агентства China Briefing – Томасом Чжаном.
Если вам понравилась статья или появились вопросы, оставьте ваш комментарий или обсудите эту статью на форуме.
Китай: Уйгурская проблема напрямую связана с уходом Запада из Афганистана
