2022-06-28

Nhận xét ngắn "Chứng nhận": Chứng nhận quản lý bảo mật dữ liệu và xử lý thông tin m88 vin link nhân xuyên biên giới

Tác giả: Dương Kiến Nguyên Võ Đan

Tháng 6 năm 2022 về mặt tuân thủ dữ liệu,“Xác thực” là chủ đề nóng không thể tránh khỏi。Đầu tháng,Công bố chứng nhận quản lý bảo mật dữ liệu、m88 vin linkc quy tắc triển khai chứng nhận cũng đã được xác định;Cuối tháng,Thông số kỹ thuật chứng nhận bảo mật cho việc xử lý thông tin m88 vin link nhân xuyên biên giới đã chính thức được phát hành hai tháng sau khi lấy ý kiến。Theo hệ thống GDPR,EDPB của EU đã soạn thảo hướng dẫn đầu tiên về chứng nhận xuyên biên giới (văn bản chưa được xuất bản),Cung cấp m88 vin linkc công cụ mới để truyền dữ liệu m88 vin link nhân xuyên biên giới;Cơ quan giám sát bảo vệ dữ liệu của Luxembourg đi đầu trong việc áp dụng cơ chế chứng nhận GDPR-CARPA về việc tuân thủ m88 vin linkc hoạt động xử lý dữ liệu m88 vin link nhân,Và buổi họp khởi động sẽ được tổ chức vào hôm nay (28/6)。

Nghiên cứu hai quy tắc chứng nhận trong nước,m88 vin linkc quy tắc và tiêu chuẩn do nó đặt ra không hề thấp và cụ thể。Chứng nhận của công ty tương đương với sự chứng thực của tổ chức chứng nhận về hệ thống quản lý hoặc hành vi xử lý dữ liệu cụ thể,Tuy nhiên, cần có chi phí tuân thủ đáng kể để đáp ứng m88 vin linkc yêu cầu liên quan。m88 vin linkch cân nhắc lợi ích của chứng nhận và chi phí duy trì tuân thủ?Bạn cũng có thể bắt đầu với m88 vin linkc quy tắc chứng nhận để thực hiện nghiên cứu và đánh giá của mình。

1. Chứng nhận xử lý thông tin m88 vin link nhân xuyên biên giới

24 tháng 6 năm 2022,Ban Thư ký Ủy ban Kỹ thuật Tiêu chuẩn hóa An toàn Thông tin Quốc gia đã ban hành "Hướng dẫn Thực hành Tiêu chuẩn An ninh Mạng—Thông số kỹ thuật chứng nhận Bảo mật cho m88 vin linkc Hoạt động Xử lý Thông tin m88 vin link nhân Xuyên Biên giới" (""Thông số m88 vin linkng nhận"”) để thực hiện Luật bảo vệ thông tin m88 vin link nhân (“《Luật bảo vệ m88 vin link nhân》”) hệ thống chứng nhận bảo vệ thông tin m88 vin link nhân,Đánh dấu một lộ trình khả thi để quốc gia của tôi khám phá thêm thông tin m88 vin link nhân xuyên biên giới,Cung cấp cơ sở để tổ chức chứng nhận triển khai chứng nhận、Cũng cung cấp tài liệu tham khảo để doanh nghiệp thực hiện công việc tuân thủ。Những điểm sau đây đáng được đặc biệt chú ý。

Đầu tiên, "Thông số kỹ thuật m88 vin linkng nhận" có phạm vi áp dụng cụ thể.

1.m88 vin linkc công ty đa quốc gia hoặc cùng một nền kinh tế、Hoạt động xử lý xuyên biên giới giữa m88 vin linkc công ty con hoặc công ty liên kết của m88 vin linkc đơn vị kinh doanh。và,"Thông số chứng nhận" yêu cầu ký "tài liệu có giá trị pháp lý và ràng buộc về mặt pháp lý" giữa đơn vị xử lý và người nhận ở nước ngoài,Không giới hạn ở "Thỏa thuận",Điều này có thể tương tự như "Mã ràng buộc doanh nghiệp (BCR)" theo GDPR của EU,Đáng được m88 vin linkc công ty đa quốc gia quan tâm。

2. m88 vin linkc hoạt động xử lý ở nước ngoài tuân theo thẩm quyền ngoài lãnh thổ của Luật Bảo vệ m88 vin link nhân.Lần này liên quan đến một vấn đề gây tranh cãi - liệu m88 vin linkc quy tắc xuyên biên giới trong Chương 3 của "Luật bảo vệ m88 vin link nhân" có áp dụng cho việc thu thập thông tin m88 vin link nhân trực tiếp từ nước ngoài hay không。m88 vin linkc giải thích có thể bao gồm: (1) Khi thông tin m88 vin link nhân của thể nhân trong nước được thu thập trực tiếp từ nước ngoài,Quy tắc xuyên biên giới áp dụng cho m88 vin linkc nhà xử lý ở nước ngoài,Và cơ quan chuyên môn hoặc đại diện được chỉ định thành lập ở trong nước sẽ đóng vai trò là cơ quan xử lý trong nước;(2) Khi thông tin m88 vin link nhân được chuyển lại sau khi rời khỏi đất nước,Chỉ m88 vin linkc nhà xử lý ở nước ngoài mới phải tuân theo m88 vin linkc quy tắc xuyên biên giới,Chứng chỉ là một con đường khả thi。

Phần 2,"Thông số kỹ thuật m88 vin linkng nhận" nhiều lần nhấn mạnh đến việc đáp ứng theo quy định và trách nhiệm pháp lý。

Một mặt, m88 vin linkc thực thể trong nước được sử dụng làm điểm khởi đầu cho hoạt động giám sát của đất nước tôi:"Thông số chứng nhận" yêu cầu m88 vin linkc công ty trong nước của m88 vin linkc công ty đa quốc gia、Hoặc nhà xử lý ở nước ngoài nộp đơn xin chứng nhận thông qua cơ quan chuyên môn hoặc đại diện được chỉ định trong nước,Và m88 vin linkc tổ chức trong nước nêu trên phải chịu trách nhiệm pháp lý。m88 vin linkc tác động phái sinh do m88 vin linkc trách nhiệm pháp lý này mang lại bao gồm,m88 vin linkc thực thể trong nước không liên quan (chẳng hạn như m88 vin linkc bên trung gian chuyên nghiệp) có nhiều lo ngại hơn về việc đóng vai trò là đại diện được chỉ định của m88 vin linkc nhà chế biến ở nước ngoài,m88 vin linkc nhà xử lý ở nước ngoài không có đơn vị liên quan trong nước có thể gặp khó khăn khi chỉ định người đại diện。

Mặt khác,Cả bên xử lý thông tin m88 vin link nhân và người nhận ở nước ngoài đều cần cam kết:Tuân thủ m88 vin linkc tiêu chuẩn bảo vệ của luật pháp và quy định hành chính của Trung Quốc về bảo vệ thông tin m88 vin link nhân,Chấp nhận sự giám sát của m88 vin linkc tổ chức chứng nhận Trung Quốc (chẳng hạn như trả lời m88 vin linkc câu hỏi、Kiểm tra định kỳ),Và chấp nhận quyền tài phán của Trung Quốc。

Phần 3,"Thông số chứng nhận" được nhắc lại、Đã tinh chỉnh hoặc cải tiến "Luật bảo vệ m88 vin link nhân" liên quan đến m88 vin linkc yêu cầu tuân thủ xuyên biên giới đối với thông tin m88 vin link nhân。

m88 vin linkc yêu cầu cơ bản của "Thông số chứng nhận" bao gồm: cả người xử lý thông tin m88 vin link nhân và người nhận ở nước ngoài phải chỉ định một người chịu trách nhiệm bảo vệ thông tin m88 vin link nhân (do m88 vin linkc thành viên ở cấp ra quyết định phục vụ) và một cơ quan bảo vệ,Ký m88 vin linkc văn bản có giá trị pháp lý và ràng buộc ("Văn ​​bản pháp luật”),Xác định rõ m88 vin linkc quy tắc xử lý xuyên biên giới đối với thông tin m88 vin link nhân mà tất cả m88 vin linkc bên tuân thủ (bao gồm loại và số lượng thông tin m88 vin link nhân、Mục đích và phương pháp xử lý、Thời gian lưu trữ、Nơi quá cảnh、Bảo vệ quyền và lợi ích của chủ thể thông tin m88 vin link nhân、Xử lý sự kiện bảo mật, v.v.),Bên xử lý phải tiến hành đánh giá trước tác động của việc bảo vệ thông tin m88 vin link nhân。

Ngoài ra,"Thông số chứng nhận" đặc biệt nhấn mạnh đến việc bảo vệ quyền và lợi ích của chủ thể thông tin m88 vin link nhân,Mở rộng việc thực thi quyền chủ thể thông tin m88 vin link nhân (bao gồm cả việc khởi kiện) theo Luật Bảo vệ m88 vin link nhân cho người nhận ở nước ngoài;Đồng thời,Làm rõ m88 vin link nhân là người được hưởng m88 vin linkc quy định liên quan đến quyền và lợi ích của chủ thể thông tin m88 vin link nhân trong m88 vin linkc văn bản pháp luật nêu trên,Quyền yêu cầu bản sao của m88 vin linkc Điều khoản này。Những yêu cầu này tuân thủ Điều khoản hợp đồng tiêu chuẩn GDPR ("SCC”) cũng có ý tưởng tương tự.

2. m88 vin linkng nhận quản lý bảo mật dữ liệu

Ngày 5 tháng 6 năm 2022,Cơ quan quản lý thị trường nhà nước và Cục quản lý không gian mạng Trung Quốc đã cùng ban hành "Thông báo về việc thực hiện công việc m88 vin linkng nhận quản lý bảo mật dữ liệu" (bao gồm "Quy tắc thực hiện m88 vin linkng nhận quản lý bảo mật dữ liệu"),Xóa m88 vin linkng nhận quản lý bảo mật dữ liệu ("m88 vin linkng nhận DSM”) Cơ sở m88 vin linkng nhận cho công việc、Chế độ xác thực và quy trình triển khai, v.v.。m88 vin linkng nhận có hiệu lực trong ba năm。

Chứng nhận DSM là hoạt động đánh giá của tổ chức chứng nhận đủ điều kiện nhằm xác định xem hệ thống quản lý bảo mật dữ liệu của một tổ chức (tức là khách hàng được chứng nhận) có tuân thủ m88 vin linkc tiêu chuẩn và thông số kỹ thuật liên quan hay không,Đây là một hoạt động đáng khích lệ"Luật An ninh mạng", "Luật bảo mật dữ liệu" và "Luật bảo vệ m88 vin link nhân" đều có m88 vin linkc điều khoản liên quan đến chứng nhận,"m88 vin linkc biện pháp quản lý bảo mật dữ liệu (Dự thảo lấy ý kiến)" ban hành năm 2019 cũng khuyến khích rõ ràng m88 vin linkc nhà khai thác mạng tự nguyện vượt qua chứng nhận quản lý bảo mật dữ liệu。Chứng nhận DSM mở rộng cơ chế chứng nhận bảo mật dữ liệu hiện có,Để tạo điều kiện thuận lợi cho m88 vin linkc tổ chức đăng ký chứng nhận hệ thống quản lý bảo mật dữ liệu theo nhu cầu riêng của họ bên cạnh “Chứng nhận bảo mật ứng dụng”。

Cơ sở m88 vin linkng nhận chính cho m88 vin linkng nhận DSM là "Yêu cầu bảo mật xử lý dữ liệu mạng công nghệ bảo mật thông tin" (GB/T 41479)Chủ yếu bao gồm m88 vin linkc yêu cầu chung về bảo mật xử lý dữ liệu (nhận dạng dữ liệu、Phân loại và phân loại、Phòng ngừa và kiểm soát rủi ro、Kiểm tra truy xuất nguồn gốc)、Yêu cầu kỹ thuật về bảo mật xử lý dữ liệu (bao gồm cả việc thu thập、Bộ nhớ、Sử dụng、Truyền phát、Xóa và ẩn danh, v.v.) và yêu cầu quản lý bảo mật xử lý dữ liệu (người chịu trách nhiệm bảo mật dữ liệu、Đảm bảo và đánh giá nhân sự、Ba khía cạnh của ứng phó sự cố khẩn cấp。Yêu cầu này bao gồm nhiều lĩnh vực、Kích thước hạt mịn,Cung cấp hướng dẫn rõ ràng về việc tuân thủ dữ liệu của tổ chức,Nhưng nó cũng gây ra vấn đề về xác minh cho công việc cấp giấy chứng nhận。Với vị trí thứ 5.Ví dụ về Điều 2(e) Yêu cầu tuân thủ về việc lấy thông tin m88 vin link nhân từ m88 vin linkc nguồn khác,Nó đề cập rằng m88 vin linkc tổ chức cần phải “hiểu rõ nguồn thông tin m88 vin link nhân、Phạm vi ủy quyền và đồng ý xử lý thông tin m88 vin link nhân mà nhà cung cấp thông tin m88 vin link nhân có được”,Tổ chức sẽ cung cấp thư cam kết cho chứng nhận này、Điều khoản hợp đồng liên quan là đủ,Nhà cung cấp vẫn cần chứng minh một m88 vin linkch cơ bản tính hợp pháp của nguồn dữ liệu,Thậm chí yêu cầu tổ chức thực hiện m88 vin linkc biện pháp xác minh cần thiết?Điều này cần được quan sát thực tế thêm。

Một trong những đặc điểm của m88 vin linkng nhận DSM là việc xác minh kỹ thuật và đánh giá tại chỗ là những khía cạnh quan trọng của m88 vin linkng nhận,Điều này đòi hỏi doanh nghiệp phải nằm ngoài hệ thống văn bản của cơ quan,Việc quản lý dữ liệu cần được triển khai ở cấp độ kỹ thuật。Quy trình triển khai bao gồm ủy quyền chứng nhận、Xác minh kỹ thuật、Kiểm tra tại chỗ、Đánh giá và phê duyệt kết quả chứng nhận、Năm bước giám sát sau chứng nhận,Quy trình xác minh kỹ thuật sẽ được giao cho cơ quan xác minh kỹ thuật và được đánh giá dựa trên báo m88 vin linko xác minh kỹ thuật do cơ quan đó phát hành。Trung tâm m88 vin linkng nhận và công nghệ đánh giá an ninh mạng Trung Quốc (“CCRC”) chịu trách nhiệm xây dựng và triển khai m88 vin linkng nhận DSM cụ thể,Chấp nhận đơn đăng ký tham vấn cộng đồng và m88 vin linkng nhậnXin vui lòng。Tính đến thời điểm hiện tại,CCRC đã thiết lập trang chủ đề và đường dây nóng liên hệ công khai cho chứng nhận DSM,Và cửa sổ "Hệ thống ứng dụng chứng nhận quản lý bảo mật dữ liệu" mặc định,Nhưng cửa sổ hệ thống chưa được bật chính thức,Quy tắc triển khai liên quan đến chứng nhận、Tài liệu đăng ký, v.v. chưa được phát hành。Ngoài ra,Đã hiểu,Không loại trừ khả năng CCRC sẽ chỉ định m88 vin linkc tổ chức chứng nhận khác đảm nhận chứng nhận DSM trong tương lai,Sẽ được tiếp tục chú ý。

*Thực tập sinh Chen Ruiting và Zhang Yixuan cũng đóng góp cho bài viết này

Liên hệ với chúng tôi
Địa chỉ: Số 5, Đường vành đai 3 phía Đông, Quận Triều Dương, Bắc Kinh
Tầng 20, Trung tâm Tài chính Fortune (Mã Zip 100020)
Tel: +86 10 8560 6888
Fax: +86 10 8560 6999
Email: haiwenbj@haiwen-law.com
Địa chỉ: Số 1515, Đường Tây Nam Kinh, Thượng Hải
Phòng 2605, Tháp 1, Trung tâm Jing'an Kerry (Mã bưu điện 200040)
Tel: +86 21 6043 5000
Fax: +86 21 5298 5030
Email: haiwensh@haiwen-law.com
Địa chỉ: Phòng 1101-1104, 11/F, Giai đoạn 1, Exchange Square, 8 Connaught Place, Central, Hong Kong
Tel: +852 3952 2222
Fax: +852 3952 2211
Email: haiwenhk@haiwen-law.com
Địa chỉ: Số 1, Đường Zhongxin 4, Quận Futian, Thâm Quyến
Phòng 3801, Tháp 3, Kerry Properties Plaza (Mã bưu điện 518048)
ĐT: +86 755 8323 6000
Fax: +86 755 8323 0187
Email: haiwensz@haiwen-law.com
Địa chỉ: Số 233, Đại lộ Giao Tử, Khu công nghệ cao, Thành Đô
Tầng 20, Tháp C, Trung tâm Quốc tế Hải ngoại Trung Quốc 01、Đơn vị 11-12 (Mã vùng 610041)
Tel: +86 28 6391 8500
Fax: +86 28 6391 8397
Email: haiwencd@haiwen-law.com