Законы КитаяО Китае

Китайский режим кибербезопасности

Китай удаляет Didi из магазинов приложений: Что мы узнали из этого дела и китайского режима кибербезопасности

В ответ на новые законы Китая о кибербезопасности, предприятия должны повысить свою осведомленность о соблюдении требований сетевой информационной безопасности – Портал PRC.TODAY.

После IPO в США китайская компания Didi Global Inc подверглась китайскому регуляторному зондированию, предлагая уроки для соблюдения требований кибербезопасности в Китае. Мы перечислим некоторые важные шаги, на которые должны обратить внимание иностранные предприятия, поскольку кибербезопасность и соблюдение требований безопасности данных становятся главными приоритетами для китайских регуляторов, особенно в быстро развивающемся технологическом секторе.

Краткое введение в дело Диди

Китайское управление кибербезопасности объявило 2 июля 2021 года, что оно запускает обзор китайской ведущей автомобильной компании Didi Global Inc., которая привлекла около 4,4 миллиарда долларов США в ходе своего IPO на Нью-Йоркской фондовой бирже 30 июня. Согласно сообщению, этот обзор был проведён «для защиты от рисков национальной безопасности данных, для обеспечения национальной безопасности и общественных интересов», как это предусмотрено Законом о кибербезопасности Китайской Народной Республики (2017) (далее – «Закон о кибербезопасности») и Законом о государственной безопасности Китайской Народной Республики (2015) (далее – «Закон о государственной безопасности»). Во время проверки, Didi была вынуждена приостановить регистрацию новых пользователей в Китае.

4 июля Администрация киберпространства Китая («CAC») уведомила магазины приложений об удалении Didi Chuxing из-за «серьёзных» нарушений законов и нормативных актов, касающихся сбора и использования личной информации. После дела Диди Чусина CAC опубликовал объявление о проведении проверки сетевой безопасности Yunmanman, Trucking Gang и BOSS Zhipin 5 июля. Все эти компании недавно котировались на бирже NASDAQ, как и Didi Global.

Почему Didi?

Недавние действия китайского правительства на этих платформах вновь привлекли внимание людей к вопросам кибербезопасности.

Правовая основа для обзора кибербезопасности Didi лежит в Законе о кибербезопасности, Законе о государственной безопасности, Мерах по обзору кибербезопасности (2020 год), в которых предусмотрены различные соответствующие правила кибербезопасности. Например, в соответствии со статьей 59 Закона о государственной безопасности, государство проводит проверку безопасности в отношении продуктов и услуг сетевых информационных технологий, которые влияют или могут повлиять на государственную безопасность. В соответствии со статьей 35 Закона о кибербезопасности, CAC и департаменты Государственного Совета могут проводить проверку любых закупок сетевых продуктов и услуг оператором критической информационной инфраструктуры (далее – CIIO), которые могут угрожать национальной безопасности. Между тем, статья 2 Мер по обзору кибербезопасности предусматривает, что обзор кибербезопасности необходим, когда CIIO покупает сетевые продукты или услуги.

Согласно вышеприведенному содержанию, объектом проверки кибербезопасности является «покупка сетевых продуктов и услуг CIIO», которая «влияет или может повлиять на национальную безопасность».

Как поставщик услуг транспортной отрасли Китая, данные, которыми располагает Диди, могут включать личную информацию пользователей, данные о дорожном движении, маршруте проезда и т.д., Что определённо соответствует определению «критически важной информационной инфраструктуры» в статье 31 Закона о кибербезопасности, предусматривающей важные отрасли, такие как информационные услуги и транспорт, как критически важная информационная инфраструктура.

Читайте и другие НОВОСТИ КИТАЯ  Китайская компания EHang, производитель пассажирских БПЛА, готова к работе в городских условиях

Чиновники из CAC, Министерства общественной безопасности, Министерства государственной безопасности и Министерства природных ресурсов, а также налоговые, транспортные и антимонопольные органы начали расследование на месте в офисах компании после этого объявления, и, похоже, обсуждение всё ещё находится на предварительной стадии. По данным CAC, Didi было предложено строго следовать законодательным требованиям и серьёзно исправить существующие проблемы для защиты информации пользователей.

Обзор китайского законодательства в области кибербезопасности

Действующая правовая база кибербезопасности

В течение нескольких десятилетий в Китае не существовало единого закона о кибербезопасности, пока правовая база по кибербезопасности не была сформирована Законом о кибербезопасности (2017), Законом о защите личной информации (Проект) и соответствующими вспомогательными мерами и нормативными актами.

С момента своего вступления в силу в июне 2017 года Закон о кибербезопасности (2017), как первый принятый закон о кибербезопасности, установил общие требования к реализации различных областей сетевой безопасности, соответствия данных и защиты личной информации. Он предусматривает, что государство принимает градуированную систему защиты кибербезопасности, в соответствии с которой сетевые операторы обязаны обеспечивать безопасность сети от сбоев и предотвращать раскрытие, кражу или подделку сетевых данных.

Различные законы и положения, департамент правила, национальные стандарты и отраслевые стандарты были выпущены за последние четыре года на основе кибербезопасности законом (2017), в том числе персональных данных закон (проект), а данные безопасности закон Китайской Народной Республики (2021) (далее по тексту именуется данных безопасность право).

Новый Закон о защите данных был объявлен в июне 2021 года и вступит в силу в сентябре этого года. Как первый основной закон в области данных, Закон о безопасности данных (2021) включает 7 глав и 55 статей, предусматривающих общие положения, безопасность и развитие данных, систему безопасности данных, обязательства по защите данных, безопасность и открытость государственных данных, юридическую ответственность и дополнительные положения.

Закон о защите данных (2021) окажет глубокое влияние на практику защиты данных в Китае и тех иностранных организациях, которые обрабатывают данные из Китая.

Кроме того, до сих пор были установлены различные режимы защиты данных.

Новая система классификации и иерархической защиты данных

Государство осуществляет защиту данных в соответствии с важностью этих данных для экономического и социального развития, а также с ущербом, причиняемым их утечкой национальной безопасности и общественным интересам.

Система оценки риска критических данных

Эта система оценки, которая станет регулярным регулирующим механизмом для критических данных, означает, что внутренняя оценка риска критических данных может стать нормализованным требованием соответствия для предприятий.

Национальная система проверки безопасности данных

Эта система проверки полностью отличается от той, которая предусмотрена Законом о кибербезопасности (2017). Предмет рассмотрения в Законе о кибербезопасности включает только CIIO, а поведение включает в себя влияние на продукт или услугу политических или других факторов, за исключением утечки данных. Однако в Законе о безопасности данных (2021) предмет деятельности с данными не ограничен, а объекты проверки безопасности данных включают как онлайн, так и оффлайн деятельность с данными.

Читайте и другие НОВОСТИ КИТАЯ  Обновление Sony PSN правил поведения для пользователей материкового Китая вызывает споры

Система оценки экспорта критических данных

Согласно статье 25 закона, государство осуществляет экспортный контроль за данными, которые подпадают под контроль и связаны с обеспечением национальной безопасности и выполнением международных обязательств.

С разных точек зрения, Закон о кибербезопасности (2017 год), Закон о безопасности данных (2021 год) и Закон о защите личной информации (Проект) будут вместе служить основными законами о кибербезопасности и совместно строить систему правовой защиты данных и сетевой безопасности в Китае после того, как последняя будет создана в будущем.

Меры по обзору кибербезопасности (Проект пересмотра для комментариев)

Уведомление о запросе общественных комментариев по Мерам обзора кибербезопасности (Проект Пересмотра для комментариев) (далее именуемый «Проект пересмотра») было объявлено CAC вскоре после рассмотрения Didi 10 июля 2021 года.

Как упоминалось выше, первоначальные Меры по обзору кибербезопасности предусматривали в статье 2, что объектом обзора кибербезопасности является «критическая информационная инфраструктура», но проект пересмотра включает в сферу обзора кибербезопасности «процессоры данных».

Кроме того, в проект пересмотренной версии добавлена ​​статья 6, в которой говорится, что если любой оператор, владеющий личной информацией более одного миллиона пользователей, становится публичным за рубежом, он должен подать заявку на проверку кибербезопасности, что является немаловажным пунктом, а также наиболее актуальным пунктом для недавнего обзора кибербезопасности отечественных интернет-компаний, зарегистрированных в США.

Статья 14 Проекта Редакции продлевает срок процедуры рассмотрения с первоначальных 45 рабочих дней до трёх месяцев, который может быть продлён для сложных случаев. Эта поправка может привести к соответствующему продлению графика подготовки зарубежного листинга.

Как предприятия должны реагировать на новые законы о кибербезопасности?

Поскольку Закон о безопасности данных скоро вступит в силу, ожидается, что Закон о защите личной информации и другие правила и положения, связанные с кибербезопасностью, информационной безопасностью, безопасностью данных, соблюдением требований к данным и защитой личной информации, также будут реализованы.

Эти недавно объявленные законы и проекты посылают сильный и чёткий сигнал китайскому правительству о том, что кибербезопасность будет подвергаться дальнейшим ограничениям соответствующими законами наряду с развитием обширной и новаторской цифровой экономики страны.

По мере постепенного совершенствования соответствующих правовых положений, закон также повысит требования предприятий к соблюдению требований к данным и управлению ими. Предприятия должны предвидеть нормативную практику и вызывать фактические правовые последствия в случаях несоблюдения.

В ответ на новые законы о кибербезопасности, предприятия должны повысить свою осведомленность о соблюдении требований сетевой информационной безопасности. Предвосхищение потенциальных рисков и подача заявки на проверку кибербезопасности в соответствии с требованиями законодательства должны активно проводиться в соответствии с условиями предприятия.

Кроме того, предприятия должны регулярно проводить оценку рисков в отношении процесса обзора кибербезопасности, CIIO, безопасности экспорта данных и других связанных с этим аспектов.

Если есть что-либо, что повлияет или может повлиять на государственную безопасность Китая, предприятие должно немедленно обратиться в Управление по обзору кибербезопасности и подать заявку на обзор кибербезопасности.

Статья о китайском режиме кибербезопасности, подготовлена Порталом PRC.TODAY по материалам сотрудников агентства China Briefing – Софи Вы и Эмилия Цзинь.

Если вам понравилась статья или появились вопросы, оставьте ваш комментарий или обсудите эту статью на форуме.ютуб китай сегодня prc.today

посмотрите другие новости Китая на prc.today

Инвестирование в китайский город Чжуншань

Система социального кредитования Китая

Поделиться:

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back to top button