7 июля 2022 г. Управление киберпространства Китая (далее именуемое «УКК») выпустило «Меры по оценке безопасности передачи исходящих данных» (далее именуемые «Меры по оценке»). Вместе с тремя основными законами, а именно Законом о кибербезопасности, Законом о безопасности данных и Законом о защите личной информации, а также соответствующими законами и постановлениями. Китай создал правовую систему для управления и защиты данных в киберпространстве. Меры по оценке дополнительно регулируют деятельность по передаче исходящих данных, уточняют конкретные положения об оценке безопасности исходящих данных и выдвигают такие принципы, как сочетание предварительной оценки и постоянного надзора за оценкой безопасности исходящих данных, а также сочетание самооценки риска и оценки безопасности. Мы выбрали для обсуждения следующие темы с точки зрения предприятий:

1. Что такое «исходящая передача данных»?

Меры применяются, когда обработчик данных предоставляет получателям за границей оценку безопасности важных данных и личной информации, собранных и сгенерированных во время операций на территории Китайской Народной Республики. Отвечая на вопрос о мерах, УКК пояснил, что деятельность по передаче исходящих данных, упомянутая в мерах, в основном включает следующее:

Во-первых, обработчики данных будут передавать и хранить данные, собранные и сгенерированные в ходе внутренних операций за границей.

Во-вторых, данные, собранные и сгенерированные обработчиками данных, хранятся в Китае, и к ним могут получить доступ учреждения, организации или отдельные лица за пределами страны.

Таким образом, чтобы определить, является ли передача исходящих данных регулируемой Мерами оценки, необходимо выполнить следующие элементы:

1) Тип данных: важные данные или персональные данные, собранные и сгенерированные в рамках внутренних операций;
2) Исходящий метод: предоставляется за границу, включая физическое пересечение и удаленный доступ;
3) Определение заморских территорий: другие страны/регионы, кроме материковой части Китайской Народной Республики, включая Гонконг, Макао и Тайвань;
4) Стороны, осуществляющие деятельность по передаче исходящих данных: как провайдер передачи данных, так и получатель данных.

2. При каких обстоятельствах запускается «Оценка безопасности исходящих данных»?

При каких обстоятельствах об экспорте данных необходимо сообщать компетентным органам для оценки, что стало ключевым вопросом правил передачи исходящих данных. В ранее объявленных правилах передачи исходящих данных было предпринято много попыток решить проблему условий запускающих процесс для оценки безопасности передачи исходящих данных. Меры оценки объединяют и повторяют соответствующие правила Закона о кибербезопасности, Закона о безопасности данных и Закона о защите личной информации и, наконец, устанавливают четыре условия с точки зрения типа данных, типа субъекта, масштаба данных и т. д.:

1) Исходящие данные содержат важные данные, независимо от того, является ли обработчик данных элементом для проведения «важной операции информационной инфраструктуры».

2) Обработчик данных представляет собой особый субъект: обработчиком данных «важной операции информационной инфраструктуры» является субъект, который предоставляет личную информацию за границей;

3) Количество данных, обрабатываемых обработчиком данных, превышает пороговое значение:

  1. обработка личной информации достигает более 1 миллиона человек; или же
  2. с 1 января предыдущего года личная информация более 100 000 человек или конфиденциальная личная информация 10 000 человек была предоставлена за границу.

4) Иные обстоятельства, предусмотренные Государственным департаментом интернет-информации, требующие проведения оценки защищенности декларации об экспорте данных.

3. Как определить оператора критической информационной инфраструктуры?

В соответствии со статьей 2 Положения о защите критической информационной инфраструктуры, обнародованного в 2021 году, критическая информационная инфраструктура относится к важным отраслям и областям, таким как общественные коммуникации и информационные услуги, энергетика, транспорт, водное хозяйство, финансы, государственные услуги, электронная почта. правительства, национальной оборонной науки и техники и других важных сетевых объектов, которые в случае их уничтожения, потери функционирования или утечки данных могут создать серьезную угрозу национальной безопасности, национальной экономике и средствам к существованию людей, а также общественным интересам, информационным системам и т. д. В соответствии со статьей 10 Таможенных правил, отдел работ по охране несет ответственность за организацию идентификации критической информационной инфраструктуры в отрасли и сфере в соответствии с сформулированными им правилами идентификации, и уведомление оператора о результатах определения. Исходя из этого, как только предприятие будет идентифицировано как оператор критической информационной инфраструктуры, оно получит уведомление от соответствующих органов. Понятно, что если предприятие не получит уведомление от компетентного органа о том, что оно является оператор критической информационной инфраструктуры, оно не может на данный момент считать себя оператором критической информационной инфраструктуры. Однако считается, что с введением соответствующих нормативных актов будут усовершенствованы и уточнены и правила идентификации.
4. Рекомендации по соответствию

В соответствии со статьей 20 Мер по оценке, данные меры вступи тают в силу с 1 сентября 2022 года. Официальное введение в действие означает, что предоставляется предприятиям путь реализации для проведения оценок безопасности при передаче исходящих данных, и оценки безопасности при передаче исходящих данных будут официально реализованы. Для предприятий, которые соответствуют четырем типам ситуаций в настоящих Мерах, которые должны объявлять оценки безопасности и действительно нуждаются в передаче исходящих данных, они должны как можно скорее разобраться с ситуацией с данными, доверить профессиональные учреждения или провести самооценку самостоятельно, подписать юридические документы, такие как контракты на экспорт данных, которые соответствуют требованиям с зарубежными получателями, и как можно скорее выполнить декларации об оценке безопасности. Хотя Меры по оценке дают льготный период в шесть месяцев, учитывая, что сначала может потребоваться самооценка, а самооценка, исправление, изменение отчетов о самооценке могут занять много времени, рекомендуется, чтобы предприятия выполняли соответствующую работу по мере необходимости. как можно скорее и активно корректировать бизнес-инфраструктуру передачи исходящих данных, чтобы обеспечить ведение бизнеса в соответствии с законами и правилами.