В Китае Закон Китайской Народной Республики о кибербезопасности («ЗКБ»), вступивший в силу 11 июня 2017 года, устанавливает правовые основы для сетей и обработки информации.

В рамках CSL закладывается основная правовая основа для регулирования цифровой безопасности и руководства соответствующими органами по принятию правил и положений. Сегодня правовая база в области кибербезопасности, безопасности данных и личной информации отражает комплексную и зрелую цифровую экосистему Китая и трансграничный обмен информацией.

В следующей таблице показаны три основных закона, регулирующих кибербезопасность, безопасность данных и личной информации, а также основные связанные с ними правила и положения.

Закон КНР о национальной безопасности
Закон о кибербезопасности (CSL)Закон о безопасности данных («DSL»)Закон о защите личной информации («PIPL»)
Положение об управлении безопасностью сетевых данных (проект для комментариев)Руководство по идентификации критических данных (проект для комментариев)Технологии информационной безопасности – Спецификации безопасности персональных данных (GB/T 35273-2020)
Меры по проверке кибербезопасностиАдминистративные меры по обеспечению безопасности данных в сфере промышленности и информационных технологий (для опытного внедрения) (проект для комментариев)Положения о киберзащите личной информации детей
Руководящие мнения по внедрению многоуровневой системы защиты кибербезопасности и системы защиты безопасности критической информационной инфраструктуры  

Законодательство о кибербезопасности, безопасности данных и персональных данных регулярно применяется, и если нарушение представляет собой преступление, может быть возбуждено уголовное дело. Внедрение правильных механизмов контроля и систем отчетности крайне важно для компаний, чтобы снизить юридическую ответственность.

Мы предлагаем вашему вниманию обзор вопросов и ответов, в котором кратко излагается то, что считается кибербезопасностью, безопасностью данных и личной информации в Китае, а также передовые методы обеспечения соответствия требованиям.

Кибербезопасность

В: Какие компании подпадают под действие CSL?

A: CSL распространяется на всех сетевых операторов в Китае и определяется как владельцы, администраторы сети и поставщики сетевых услуг . Другими словами, компании, создающие и использующие внутреннюю сеть, например, ИТ-систему, для управления компанией, считаются сетевыми операторами.

В: Каковы обязательства по обеспечению безопасности для сетевых операторов?

A: В соответствии со статьей 21 CSL операторы сетей должны выполнять следующие обязательства по защите безопасности в соответствии с требованиями системы секретной защиты и обеспечивать, чтобы сеть была свободна от помех, повреждений или несанкционированного доступа, а также предотвращать разглашение, кражу или фальсификацию сетевых данных.

На практике компании должны определить уровень безопасности своей сети и разработать соответствующие меры для её защиты. Эти обязательства более подробно изложены в Руководящих мнениях по внедрению многоуровневой системы защиты кибербезопасности и системы защиты безопасности критической информационной инфраструктуры (далее – «Мнения»). В соответствии с этими мнениями операторы сетей должны провести самооценку и разработать соответствующую многоуровневую схему защиты (MLPS). В ходе самооценки необходимо прежде всего определить уровень MLPS и оценить, соответствуют ли текущие меры требованиям установленного уровня MLPS.

Существует пять уровней MLPS, и чем выше уровень, тем более строгие меры защиты необходимы. Уровень MLPS определяется двумя факторами:

  • важность сетевой системы для национальной безопасности и социально-экономического развития; и
  • В случае повреждения сети соответствующий ущерб может быть нанесен национальной безопасности, социальному и экономическому развитию, а также законным правам и интересам других лиц или организаций.

Обычно сети критической информационной инфраструктуры (КИИ), которые могут повлиять на общественный порядок и общественные интересы, классифицируются как уровень 2 или выше, а уровень 5 используется для государственных военных систем.

Для уровней MLPS выше 1 требуется оценка, проводимая уполномоченной третьей стороной, которая должна быть представлена ​​в службу общественной безопасности для рассмотрения. После одобрения выдаётся сертификат MLPS. Важно отметить, что сертификация MLPS для уровней MLPS выше 1 является обязательной.

В: Какие сетевые операторы считаются CII?

A: КИИ определяется в соответствии с CSL как сетевая инфраструктура и информационные системы, эксплуатируемые и управляемые, которые могут нанести серьезный ущерб национальной безопасности, национальной экономике и жизнеобеспечению людей, а также общественным интересам, если они будут выведены из строя, сломаны или пострадают от утечки информации.

В настоящее время в статье 31 CSL предусмотрены следующие отрасли:

  • служба общественных коммуникаций и информации,
  • энергетика, транспорт;
  • охрана водных ресурсов;
  • финансы;
  • государственные услуги;
  • дела электронного правительства и
  • другие важные отрасли и сферы деятельности, а также другая критическая информационная инфраструктура.

В: Каковы обязательства по обеспечению безопасности для CII?

A: В соответствии с CSL CII должна выполнять следующие обязательства по обеспечению безопасности:

  • Создать независимые органы управления безопасностью и назначить лиц, ответственных за управление безопасностью, а также проверить опыт работы в сфере безопасности указанных ответственных лиц и персонала, занимающего ключевые должности;
  • Периодически проводить обучение по кибербезопасности, техническую подготовку и оценку навыков специалистов;
  • Создавайте резервные копии важных систем и баз данных для аварийного восстановления;
  • Разработать планы действий на случай инцидентов кибербезопасности, периодически проводить учения; а также
  • Иные обязанности, предусмотренные законами и административными актами.

На практике ключевым лицом, ответственным за обеспечение безопасности КИИ, будет назначен главный операционный директор (COO), в обязанности которого будет входить разработка, совершенствование и внедрение системы подотчётности в области кибербезопасности. COO несёт полную ответственность за обеспечение безопасности КИИ и может быть наказан за нарушения, предусмотренные в юридическом регламенте CSL.

Кроме того, CII обязаны хранить персональные и важные данные на территории Китая, а для экспорта таких данных требуется оценка безопасности. Таким образом, сбор соответствующих персональных данных и общих данных в Китае и их экспорт в центры обработки данных за пределами страны невозможен без соблюдения определённых критериев. В соответствии с DSL и PIPL трансграничная передача данных должна осуществляться через градуированную систему данных.

Безопасность данных

В: Что определяется как данные в соответствии с Законом о безопасности данных («DSL»)?

A: DSL определяет объем данных, охватывая как электронные, так и неэлектронные формы . Компании, которые занимаются обработкой данных, включая сбор, хранение, использование, обработку, передачу, предоставление и раскрытие данных, подпадают под действие DSL.

В: Каковы обязательства по безопасности для компаний, обрабатывающих данные?

A: Обязательства зависят от типа обрабатываемых данных. Для всех компаний, осуществляющих обработку данных, DSL устанавливает следующие обязательства:

  • создать и усовершенствовать систему управления безопасностью данных на протяжении всего рабочего процесса;
  • использовать законные и надлежащие методы сбора данных, а также получение данных незаконными способами запрещено;
  • организовывать и проводить обучение и тренинги по безопасности данных;
  • принять соответствующие технические меры и другие необходимые меры для обеспечения безопасности данных; и
  • принять немедленные меры по утилизации, уведомить пользователей по мере необходимости и сообщить о проблеме в соответствующий компетентный отдел.

Для компаний, обрабатывающих данные, отнесенные к важным данным, предусмотрены следующие обязательства:

  • определение ответственных лиц и органов управления за безопасность данных;
  • назначение должностного лица по безопасности данных и создание органа управления безопасностью данных.

Орган управления безопасностью данных возглавляется должностным лицом по безопасности данных и выполняет следующие обязанности:

  • изучение и выработка рекомендаций по основным решениям, связанным с безопасностью данных;
  • разработка и внедрение планов защиты безопасности данных и планов реагирования на инциденты, связанные с безопасностью данных;
  • проведение мониторинга рисков безопасности данных и оперативное устранение рисков и инцидентов безопасности данных;
  • организация таких мероприятий, как повышение осведомленности в вопросах безопасности данных, обучение и подготовка кадров, оценка рисков и учения по действиям в чрезвычайных ситуациях, которые должны проводиться на регулярной основе;
  • прием и рассмотрение жалоб и отчетов, связанных с безопасностью данных;
  • оперативно сообщать о ситуациях безопасности данных властям киберпространства и другим компетентным или регулирующим органам по мере необходимости.

Сотрудник по безопасности данных играет важную роль и должен обладать соответствующими знаниями и опытом управления в области безопасности данных. Кроме того, этот сотрудник должен быть членом руководящего уровня обработчика данных и иметь право напрямую сообщать о ситуациях, связанных с безопасностью данных, органам по кибербезопасности и другим компетентным или регулирующим органам.

В: Какие данные классифицируются как важные?

A: DSL выделяет два типа данных, подлежащих более строгому управлению и юридической ответственности. Во-первых, основные данные определяются как данные, связанные с национальной безопасностью, жизнеобеспечением национальной экономики, важными аспектами жизнеобеспечения людей и основными общественными интересами, которые подлежат более строгому управлению.

Во-вторых, каждый регион и департамент должен разработать каталог важных данных в соответствии со своими различными потребностями . При этом разработка региональных и отраслевых стандартов должна осуществляться в соответствии с национальным механизмом для обеспечения единообразия. Компетентным отраслевым департаментам поручено определить область применения и обеспечить её корректировку в соответствии с развитием отрасли.

В настоящее время на рассмотрение вынесены два проекта нормативных актов, в которых даны общие определения классификации данных.

  • В проекте административных правил по безопасности сетевых данных описывается, какие данные следует классифицировать на обычные, важные и основные.
  • Практические рекомендации по стандартам кибербезопасности – Рекомендации по классификации и оценке сетевых данных описывают уровни данных в соответствии с уровнем ущерба.
  • Данные первого уровня: в случае утечки и ненадлежащего использования данных не наносится ущерб законным правам и интересам отдельных лиц и организаций.
  • Данные второго уровня: если данные утекают и используются не по назначению, то это наносит незначительный ущерб законным правам и интересам отдельных лиц и организаций.
  • Данные третьего уровня: если данные утекают и используются не по назначению, это наносит обычный ущерб законным правам и интересам отдельных лиц и организаций.
  • Данные четвертого уровня: утечка и ненадлежащее использование данных наносит серьезный ущерб законным правам и интересам отдельных лиц и организаций.

Защита личной информации

В: Что считается персональной информацией в соответствии с Законом о защите персональной информации («PIPL»)?

A: Персональные данные включают как электронные, так и неэлектронные записи, однако не включают информацию, обрабатываемую анонимно. Другими словами, это информация, которая не идентифицирует физическое лицо, например, адрес Джо Икс.

Компании за пределами Китая не освобождены от PIPL. Любая компания за пределами Китая, обрабатывающая персональные данные физических лиц в Китае, может подпадать под действие PIPL.

В частности, PIPL определяет следующие обстоятельства для компаний за пределами Китая:

  • Если целью деятельности является предоставление товара или услуги физическому лицу, находящемуся на территории Китая;
  • Если целью деятельности является анализ или оценка поведения отдельного лица в Китае; или
  • Любые другие обстоятельства, предусмотренные законом или административными правилами.

На практике компаниям за пределами Китая следует проводить оценку рисков своей информационной базы данных.

В: Каковы обязательства по обеспечению безопасности для компаний, обрабатывающих персональные данные?

A: PIPL устанавливает следующие обязательства для компаний, обрабатывающих персональные данные («Обработчики»).

Раскрытие информации

Обработчики данных обязаны информировать лицо о следующих вопросах в доступной форме, ясным и понятным языком, а также правдиво, точно и полно:

  • Название организации или имя лица, осуществляющего обработку персональных данных, а также контактная информация;
  • Цель и способ обработки персональной информации, вид обрабатываемой персональной информации и срок ее хранения;
  • Способ и порядок осуществления лицом своих прав, предусмотренных настоящим Законом;
  • По всем остальным вопросам необходимо сообщать информацию в порядке, установленном законом или административными правилами.
Согласие

Обработчики данных могут собирать персональные данные только с согласия пользователя. При получении согласия компании должны учитывать следующее:

  • Согласие должно быть добровольным, и лицо должно быть четко проинформировано .
  • Физические лица могут запросить информацию о том, как собирается и хранится их личная информация, а также потребовать исправления и удаления этой информации.
  • У лица должна быть возможность отказаться.
  • Если пользователи отзывают свое согласие, обработчики данных должны прекратить сбор или незамедлительно удалить собранную персональную информацию.

Однако согласие не предоставляется при следующих обстоятельствах:

  • Если это необходимо для заключения или исполнения договора, стороной которого является физическое лицо, или если это необходимо для осуществления управления человеческими ресурсами в соответствии с законно установленной политикой занятости или законно заключенным коллективным договором;
  • Когда это необходимо для выполнения установленной законом ответственности или предусмотренного законом обязательства;
  • Если это необходимо для реагирования на чрезвычайную ситуацию в области общественного здравоохранения или для защиты жизни, здоровья или безопасности имущества физического лица в случае чрезвычайной ситуации;
  • Если персональные данные обрабатываются в разумных пределах для осуществления новостных репортажей, контроля за общественным мнением или любой другой деятельности в целях обеспечения общественного интереса;
  • Если персональные данные, которые уже были раскрыты физическим лицом или иным образом законно раскрыты
Конфиденциальные данные

Конфиденциальная персональная информация может обрабатываться только для определенной цели и включает в себя:

  • Религиозные убеждения;
  • Биометрия;
  • Конкретные идентичности, медицинские и оздоровительные;
  • Финансовые счета, местонахождение и другая информация физического лица;
  • Персональные данные несовершеннолетних в возрасте до четырнадцати лет

В отношении таких данных компании обязаны принимать строгие меры защиты, получать специальное согласие и информировать пользователя о необходимости защиты и влиянии на его права и интересы . В отношении персональных данных несовершеннолетних лиц в возрасте до четырнадцати лет обработчики должны получить согласие родителя или опекуна несовершеннолетнего.

На практике обязательства по обработке конфиденциальных данных существенно повлияют на деятельность указанного ниже отдела.

Бизнес-операцииКонфиденциальная личная информацияВлияние на операции
Человеческие ресурсыАдреса сотрудников: личные номера телефонов, адреса электронной почты, должность, подразделение, образование, вероисповедание, стенограммы, банковские счета, зарплаты и бонусы.Предоставление персональных данных в трудовом договоре не требует отдельного согласия. Однако может регулироваться дополнительными правилами и положениями.
Финансы и бухгалтерский учетБанковский счет, информация о депозитах. Имена клиентов и поставщиков, адреса, личный телефон, должность.Финансовая персональная информация требует особой категоризации. Некоторые категории конфиденциальной финансовой персональной информации могут нуждаться в локализации.
Маркетинг/Электронная коммерцияАдрес клиента, личный номер телефона, адрес электронной почты, записи об использовании программного обеспечения, записи о взаимодействии, записи о транзакциях и потребленииПерсональные алгоритмы ценообразования и автоматизированное принятие решений посредством анализа больших данных полностью запрещены новым PIPL и соответствующими нормативными актами.

В: Какие типы персональных данных можно передавать за границу?

A: Компании могут передавать персональные данные за пределы материкового Китая только при соблюдении одного из следующих условий:

  • Если была пройдена оценка безопасности, организованная национальным органом по киберпространству;
  • Если сертификация защиты персональных данных была предоставлена ​​профессиональным учреждением в соответствии с правилами национального органа по киберпространству;
  • Если с зарубежным получателем заключен договор, соответствующий стандартному договору, предоставленному национальным органом по киберпространству, устанавливающий права и обязанности обеих сторон; или
  • При соблюдении любого другого условия, предписанного законом, административными правилами или национальным органом по киберпространству.

Для компаний, особенно многонациональных, работающих с персональными данными сотрудников и поставщиков, находящихся в Китае, реализация положений о передаче персональных данных имеет важное значение для избежания штрафных санкций.

В соответствии с Мерами по оценке безопасности исходящей передачи данных, вступающими в силу с 1 сентября («Меры»), компании, обрабатывающие персональные данные более 1 миллиона человек, обязаны проводить оценку безопасности перед зарубежным преобразованием . В частности, данные Меры распространяются на компании, обрабатывающие следующий объём персональных данных.

  • Передача персональных данных более 100 000 физических лиц в совокупности с 1 января предыдущего года
  • Передача конфиденциальной персональной информации более 100 000 лиц в совокупности с 1 января предыдущего года
  • Другие ситуации, предусмотренные Государственным департаментом интернет-информации, требующие оценки безопасности.

На практике компании, не попадающие под действие Мер, должны быть осведомлены о правовых обязательствах, поскольку в сферу применения Мер включен пункт о всеобъемлющем регулировании.

Заключение

Законодательство, касающееся кибербезопасности, безопасности данных и личной информации, в Китае стремительно внедряется, а меры по его обеспечению ужесточаются. Для китайских компаний крайне важно внедрить механизм обеспечения соответствия требованиям и обучить сотрудников новым требованиям законодательства. Компаниям, работающим с технологиями и обрабатывающим данные, в первую очередь следует предпринять практические шаги для понимания и мониторинга текущей ситуации. В Horizons мы рекомендуем клиентам учитывать следующие моменты:

  • Обрабатываем ли мы большие объёмы данных и экспортируем ли эти данные за границу? Компаниям следует оценить, передаются ли данные в политически чувствительные страны и будет ли такая передача политизирована.
  • Представляют ли собранные и обработанные данные высокий риск ущерба для национальной безопасности? В частности, насколько велик ущерб в случае утечки или подделки данных.
  • Какие отрасли подлежат более пристальному контролю и контролю? Мониторинг соблюдения нормативных требований позволяет компаниям понять практическое применение таких законов, правил и нормативных актов. Кроме того, компания может получить представление о приоритетах регулирующих органов.

Связаться с нами

Если у вас есть вопросы или опасения, связанные с кибербезопасностью и данными, свяжитесь с нами по адресу talktous@horizons-advisory.com , чтобы запланировать консультацию. Horizons предоставит вам ценные знания, экспертизу и оптимальные решения.