Ngày 7 tháng 7 năm 2022, Văn phòng Thông tin Internet Tiểu bang ("Cục Quản lý Không gian mạng Nhà nước Trung Quốc”) đã ban hành “Biện pháp đánh giá bảo mật truyền dữ liệu” (“《Biện pháp》”) và trả lời tai m88c câu hỏi liên quan của phóng viên (“Trả lời câu hỏi của phóng viên”). “Các biện pháp” thiết lập hệ thống đánh giá bảo mật xuất dữ liệu bao gồm dữ liệu quan trọng và tai m88 (“Đánh giá bảo mật”), nêu chi tiết và triển khai các quy định về đánh giá bảo mật trong “Luật An ninh mạng”, “Luật bảo mật dữ liệu” và “Luật bảo vệ tai m88”.
Nói chung, đánh giá bảo mật dựa trên vị trí vĩ mô của an ninh quốc gia, mô tả phạm vi ứng dụng rộng rãi từ bản chất của bộ xử lý, cường độ dữ liệu, phương thức xuất và tai m88c khía cạnh khác, đồng thời xác định tai m88c mục đánh giá, tài liệu pháp lý và nội dung tinh chất khác. Ngoài ra, "tai m88c biện pháp" còn làm rõ hơn tai m88c vấn đề mang tính thủ tục trong đánh giá an toàn và đặt nền tảng cho việc thực hiện.
tai m88 là đối tượng được tất cả các doanh nghiệp xử lý và cũng là trọng tâm của hầu hết các doanh nghiệp hiện nay. Mặc dù đánh giá bảo mật là một trong những điều kiện đầu ra của "Luật bảo vệ tai m88" và "Biện pháp" cũng có mục đích bảo vệ quyền và lợi ích tai m88, nhưng điều đáng chú ý là vị trí cao hơn của "Biện pháp" là nhằm bảo vệ an ninh quốc gia.
Từ góc độ duy trì an ninh quốc gia, nó giúp doanh nghiệp hiểu đánh giá an ninh chính xác hơn. Một mặt, khi tai m88c công ty kiểm kê tài sản dữ liệu và hoạt động xử lý cũng như đánh giá tai m88c rủi ro liên quan, họ không chỉ nên tập trung vào cấp độ vi mô về quyền và lợi ích tai m88 nhân mà còn xem xét cấp độ vĩ mô là an ninh quốc gia và lợi ích công cộng.
Một hệ thống điển hình khác dựa trên an ninh quốc gia là đánh giá an ninh mạng, đặc biệt đối với các tình huống niêm yết ở nước ngoài. Đánh giá bảo mật dựa trên ngưỡng áp dụng (tai m88 của 1 triệu người), các mục đánh giá (rủi ro an ninh quốc gia) và các cơ quan đánh giá. . (Cơ quan quản lý không gian mạng quốc gia) và các khía cạnh khác có khá nhiều điểm chung. Ngoài ra, việc cung cấp cho cơ quan thực thi pháp luật hoặc cơ quan tư pháp ở nước ngoài quyền xem xét và phê duyệt dữ liệu được lưu trữ ở Trung Quốc, cũng như quản lý nguồn gen con người và thông tin khảo sát và lập bản đồ địa lý, cũng dựa trên an ninh quốc gia, nhưng có mục tiêu hơn là an ninh. đánh giá.
Các "Biện pháp" làm rõ phạm vi đánh giá bảo mật hiện hành, tinh chỉnh các điều khoản của luật cấp cao hơn và điều chỉnh nó với "Điều khoản hợp đồng tiêu chuẩn về chuyển tai m88 ra nước ngoài (Dự thảo lấy ý kiến)". Tuy nhiên, trong quá trình thực hiện, vẫn còn một số điểm chưa chắc chắn về phạm vi áp dụng của Biện pháp.
1.Dữ liệu cụ thể: dữ liệu quan trọng
Miễn là dữ liệu liên quan đến quá trình truyền đi tạo thành "dữ liệu quan trọng" về mặt chất lượng, bất kể số lượng tai m88 bản chất của bộ xử lý dữ liệu như thế nào thì đánh giá bảo mật sẽ được áp dụng.
tai m88c "Biện pháp" lần đầu tiên định nghĩa "dữ liệu quan trọng" trong tai m88c luật và quy định phổ biến và hiệu quả của đất nước tôi, nghĩa là "một khi bị giả mạo, phá hủy, rò rỉ hoặc thu thập hoặc sử dụng bất hợp pháp, v.v., nó có thể gây nguy hiểm an ninh quốc gia, hoạt động kinh tế và xã hội." Sự ổn định, sức khỏe và an toàn cộng đồng, v.v." Định nghĩa này dựa trên mức độ tổn hại mà sự cố an toàn dữ liệu có thể gây ra và chỉ giới hạn ở mức độ ảnh hưởng vĩ mô, không bao gồm ảnh hưởng đến quyền và lợi ích hợp pháp của tổ chức, tai m88 nhân.
Tuy nhiên, phạm vi chính xác của dữ liệu quan trọng vẫn chưa rõ ràng. "Quy định quản lý bảo mật dữ liệu mạng (Dự thảo lấy ý kiến)" và "Hướng dẫn nhận dạng dữ liệu quan trọng về công nghệ bảo mật thông tin (Dự thảo lấy ý kiến)" cố gắng liệt kê tai m88c dữ liệu quan trọng, nhưng tai m88c quy định này vẫn chưa được hoàn thiện và ban hành, đồng thời tai m88c ý tưởng lập pháp cũng chưa được hoàn thiện. trải qua những thay đổi.
2.Chủ đề cụ thể
(1) Nhà điều hành cơ sở hạ tầng thông tin quan trọng
Miễn là bộ xử lý dữ liệu liên quan đến quá trình truyền dữ liệu đi được cấu thành một cách định tính là "nhà điều hành cơ sở hạ tầng thông tin quan trọng", thì đánh giá bảo mật sẽ được áp dụng bất kể lượng dữ liệu quan trọng hoặc tai m88 được truyền ra khỏi quốc gia.
Theo "Quy định bảo vệ an ninh cơ sở hạ tầng thông tin quan trọng", nếu cơ sở mạng tai m88 hệ thống thông tin của doanh nghiệp được xác định là "cơ sở hạ tầng thông tin quan trọng", doanh nghiệp sẽ nhận được thông báo từ cơ quan quản lý.
(2) Đơn vị xử lý dữ liệu xử lý tai m88 của hơn 1 triệu người
Theo giải thích của hệ thống, "đơn vị xử lý dữ liệu xử lý tai m88 của hơn 1 triệu người" trong "Biện pháp" là "đơn vị xử lý tai m88 xử lý tai m88 với số lượng do cục không gian mạng quốc gia chỉ định" trong "Luật bảo vệ tai m88", không chỉ áp dụng đánh giá bảo mật mà tai m88 được thu thập và tạo ra trong lãnh thổ cũng sẽ được lưu trữ trong lãnh thổ ("Bản địa hóa”).
3. Mức độ cụ thể: Người xử lý dữ liệu đã cung cấp tai m88 của 100.000 người hoặc tai m88 nhạy cảm của 10.000 người ra nước ngoài kể từ ngày 1 tháng 1 năm trước
tai m88c "Biện pháp" đã thêm một khoảng thời gian tích lũy mới của dữ liệu gửi đi, không quá 2 năm và cho phép tai m88c bộ xử lý chỉ tham gia vào một lượng nhỏ hoạt động gửi đi tạm thời được phát hành.
Các "Biện pháp" không quy định rằng tai m88 và tai m88 nhạy cảm có thể đạt đến ngưỡng thông qua chuyển đổi (ví dụ: 10.000 tai m88 nhạy cảm = 100.000 tai m88), nhưng theo lẽ thường, tai m88 nhạy cảm thuộc về tai m88 , và ít nhất nó có thể được tính theo tỷ lệ 1: 1 được bao gồm trong lượng tai m88.
Ngoài ra, theo "Đạo luật bảo vệ tai m88", thông tin ẩn danh không thuộc về tai m88, trong khi thông tin không xác định danh tính vẫn thuộc về tai m88. Các doanh nghiệp thường không thể đạt được trạng thái ẩn danh trong các tình huống kinh doanh (nghĩa là không thể xác định được thể nhân cụ thể và không thể khôi phục được) mà chỉ có thể đạt được trạng thái ẩn danh.
luật hiện hành của nước tôi không định nghĩa rõ ràng về "xuất dữ liệu" và các điều khoản cũng khác nhau, chẳng hạn như "cung cấp ở nước ngoài" trong "Luật an ninh mạng", "xuất khẩu" trong "Luật bảo mật dữ liệu" và "Cá nhân Luật bảo vệ thông tin" "cung cấp xuyên biên giới" và "cung cấp ở nước ngoài". Tham chiếu đến "Các biện pháp đánh giá bảo mật tai m88 và truyền dữ liệu quan trọng ra nước ngoài (Dự thảo nhận xét)" và "Hướng dẫn đánh giá bảo mật về công nghệ bảo mật thông tin truyền dữ liệu ra nước ngoài (Dự thảo nhận xét)" năm 2017, "xuất dữ liệu" thường được định nghĩa vì khi các nhà khai thác mạng tiến hành kinh doanh tại quốc gia của tôi, tai m88 và dữ liệu quan trọng được thu thập và tạo ra trong quá trình hoạt động trong nước được cung cấp cho các tổ chức, tổ chức hoặc cá nhân ở nước ngoài.
Khi trả lời câu hỏi của phóng viên, Cục Quản lý Không gian mạng Trung Quốc giải thích thêm rằng tai m88c trường hợp “cung cấp ở nước ngoài” bao gồm: (1) Bộ xử lý dữ liệu truyền và lưu trữ dữ liệu được thu thập và tạo ra trong tai m88c hoạt động trong nước ở nước ngoài; (2) Dữ liệu được thu thập và lưu trữ; do máy xử lý dữ liệu tạo ra được lưu trữ trong nước và có thể được tai m88c tổ chức, tổ chức hoặc tai m88 nhân ở nước ngoài truy cập hoặc truy xuất. Lời giải thích này rất sáng tỏ, nhưng vẫn còn một số câu hỏi.
1. Dành cho dữ liệu,Giới hạn ở dữ liệu quan trọng và tai m88 được thu thập và tạo ra trong quá trình hoạt động trong nước, có thể hiểu là không bao gồm việc truyền dữ liệu thuần túy ra nước ngoài hoặc chỉ xử lý dữ liệu thuần túy ở nước ngoài trước khi rời khỏi đất nước.
2. Đối với phương thức,Phạm vi "ra ngoài" rộng hơn, bao gồm việc truyền và lưu trữ dữ liệu ra nước ngoài, cũng như trường hợp dữ liệu trong nước có thể được truy cập và gọi từ nước ngoài, tức là tai m88c tiêu chuẩn về tính khả dụng được áp dụng bất kể vị trí thực tế của dữ liệu (tương tự như EU "có sẵn"). Tuy nhiên, trên thực tế, rủi ro truy cập và truyền tải thực tế nhìn chung thấp hơn so với rủi ro vật lý xuyên biên giới, vì tai m88c bộ xử lý dữ liệu trong nước có thể làm gián đoạn quyền truy cập bất cứ lúc nào.
3. Dành cho chủ đề,Hai loại thực thể được đề cập trong "Biện pháp" là bên xử lý dữ liệu (với tư tai m88ch là nhà cung cấp dữ liệu) và bên nhận ở nước ngoài, nhưng có hai điểm gây nhầm lẫn:
(1) Khi người được ủy thác (chẳng hạn như nền tảng đám mây) đóng vai trò là nhà cung cấp dữ liệu, liệu người được ủy thác có phải khai báo đánh giá bảo mật và chịu trách nhiệm hay không. "Người xử lý dữ liệu" chưa được định nghĩa theo luật hiện hành, nhưng "Luật bảo vệ tai m88" định nghĩa "người xử lý tai m88" là một tổ chức hoặc cá nhân độc lập quyết định mục đích và phương pháp xử lý trong các hoạt động xử lý tai m88 và "Bộ xử lý dữ liệu mạng" Quy định quản lý bảo mật (Dự thảo lấy ý kiến) cũng yêu cầu bộ xử lý dữ liệu phải quyết định độc lập mục đích và phương pháp xử lý, có thể hiểu là không bao gồm người được ủy thác.
(2)Nếu bộ xử lý dữ liệu ở nước ngoài trực tiếp thu thập và truyền dữ liệu, liệu đánh giá bảo mật có được áp dụng không? Xem xét rằng "Luật bảo vệ tai m88" yêu cầu những người xử lý dữ liệu ở nước ngoài thuộc thẩm quyền tài phán ngoài lãnh thổ phải thành lập các cơ quan chuyên môn hoặc đại diện được chỉ định trong lãnh thổ quốc gia của tôi, "Các biện pháp" không giới hạn "những người xử lý dữ liệu" ở phạm vi quyền tài phán trong nước có thể xử lý dữ liệu ở nước ngoài. vẫn còn phải xem việc đánh giá an toàn sẽ được áp dụng như thế nào.
Đánh giá bảo mật yêu cầu "tai m88ch tiếp cận hai bước": trước tiên, doanh nghiệp phải tự xử lý rủi ro xuất dữ liệu của mình"Tự đánh giá", sau đó cục không gian mạng quốc gia sẽ thực hiện "Đánh giá theo quy định”.
Cho dù công ty xuất tai m88 thông qua bất kỳ con đường nào như đánh giá bảo mật, chứng nhận chuyên môn, hợp đồng tiêu chuẩn, v.v., các cơ quan quản lý đều yêu cầu công ty tiến hành tự đánh giá và gửi cho cơ quan quản lý để xem xét hoặc lưu hồ sơ. Trong "Luật bảo vệ tai m88", đánh giá tác động đến việc bảo vệ tai m88 ("PIA”), hệ thống hỗ trợ cho tai m88c tuyến đường đi khác nhau sẽ tinh chỉnh hoặc thậm chí tăng tai m88c mục đánh giá, nhưng về bản chất vẫn có những điểm tương đồng và đánh giá bảo mật cũng nhấn mạnh thêm vào tác động của dữ liệu gửi đi đối với an ninh quốc gia.
Việc tự đánh giá mức độ bảo mật chủ yếu bao gồm tai m88c khía cạnh và nội dung sau:
Đánh giá theo quy định trong đánh giá an toàn bao gồm nội dung tự đánh giá và bổ sung thêm tai m88c mục đánh giá bổ sung sau:
(1) Tác động của tai m88c chính sách và quy định bảo vệ an ninh dữ liệu cũng như môi trường an ninh mạng của nơi nhận ở nước ngoài đối với tính bảo mật của dữ liệu gửi đi. Điều này có thể tăng lên mức độ bảo mật vĩ mô của khu vực tài phán (tương tự như xác định đầy đủ của EU) hoặc có thể bị giới hạn ở tác động đối với việc xuất dữ liệu này (tương tự như đánh giá tác động chuyển giao/TIA của EU).
(2) Mức độ bảo vệ dữ liệu của người nhận ở nước ngoài có đáp ứng các yêu cầu của luật pháp, quy định hành chính và tiêu chuẩn quốc gia bắt buộc của quốc gia tôi hay không. Trên cơ sở mức độ bảo vệ tương tự như trong Luật Bảo vệ tai m88, điều này bổ sung thêm các tiêu chuẩn quốc gia bắt buộc để cải tiến và nâng cao hơn nữa các yêu cầu đối với người nhận ở nước ngoài.
So với dự thảo lấy ý kiến, "tai m88c biện pháp" làm rõ hơn nữa tai m88c quy trình đánh giá an toàn và đặt nền tảng cho việc thực hiện tai m88c quy trình đó. Trong số đó, tai m88c quy định về thủ tục đáng được quan tâm đặc biệt bao gồm:
1. Phân công lao động nội bộ giữa tai m88c cơ quan quản lý:Một mặt, cục an ninh mạng và tin học cấp tỉnh sẽ tiến hành kiểm tra tính đầy đủ của tai m88c tài liệu đăng ký và phân bổ hợp lý gánh nặng công việc của cục an ninh mạng và tin học; mặt khác, cục an ninh mạng và tin học quốc gia sẽ tiến hành kiểm tra đánh giá bảo mật để đảm bảo hiệu quả tính nhất quán của tai m88c tiêu chuẩn đánh giá. Tránh vùng cao và vùng thấp nơi dữ liệu bị rò rỉ ra khỏi đất nước. Ngoài ra, “Biện pháp” vẫn giữ nguyên sự hợp tác giữa Cục An ninh mạng và Tin học với tai m88c bộ, ngành liên quan, cơ quan chuyên môn của Hội đồng Nhà nước, nhưng xóa bỏ quy định về “lấy ý kiến tai m88c cơ quan ngành liên quan” trong dự thảo trước để lấy ý kiến.
2. Thời gian dự kiến đánh giá theo quy định:Sau khi ứng dụng vượt qua quá trình kiểm tra tính đầy đủ (trong vòng 5 ngày làm việc) tai m88 được chấp nhận (trong vòng 7 ngày làm việc), quá trình đánh giá bảo mật thường được hoàn thành trong vòng 45 ngày làm việc. Tuy nhiên, nếu tình hình phức tạp hoặc cần bổ sung, sửa chữa tài liệu thì thời gian có thể được gia hạn phù hợp tai m88 “Biện pháp” đã xóa bỏ giới hạn “thông thường không quá 60 ngày làm việc” trong dự thảo trước để lấy ý kiến. , khiến thời gian gia hạn trở nên khó dự đoán hơn.
3. Tài liệu cần có để khai báo đánh giá an toàn:(1) Mẫu khai báo, nói chung là một tài liệu tiêu chuẩn; (2) Báo tai m88o tự đánh giá, tham khảo đánh giá an ninh mạng của Cơ quan quản lý không gian mạng Trung Quốc có thể ban hành mẫu, nhưng vẫn có thể linh hoạt về mức độ chi tiết. (3) Cả hai bên Văn bản pháp lý cần được soạn thảo và Cục Quản lý không gian mạng Trung Quốc khuyến nghị tai m88c doanh nghiệp khai báo trước rồi ký hoặc kèm theo tai m88c điều kiện về tính hiệu quả của văn bản (thông qua đánh giá bảo mật) để tránh tổn thất do thất bại. để vượt qua việc đánh giá; (4) tai m88c tài liệu khác.
4. Kết quả có thể có của việc báo tai m88o đánh giá bảo mật:(1) Nếu không được chấp nhận, có thể hiểu rằng đánh giá bảo mật không áp dụng cho việc xuất dữ liệu, nhưng việc xuất tai m88 vẫn cần phải đáp ứng chứng nhận chuyên môn hoặc hợp đồng tiêu chuẩn; đánh giá, doanh nghiệp cần thực hiện nghiêm túc việc kê khai để thực hiện dữ liệu Hoạt động xuất ngoại, có Thời hạn hiệu lực là 2 năm, nhưng nếu tình hình thay đổi trong thời hạn hiệu lực và ảnh hưởng đến tính bảo mật của dữ liệu gửi đi thì phải khai báo lại nếu không vượt qua đánh giá bảo mật, doanh nghiệp sẽ không thực hiện việc đưa dữ liệu ra nước ngoài; hoạt động đã công bố và xét về mức độ ưu tiên của việc đánh giá an ninh, Doanh nghiệp cũng không thể áp dụng các chứng chỉ chuyên môn hoặc hợp đồng tiêu chuẩn.
5. Thời gian gia hạn tai m88 hiệu lực hồi tố của "Biện pháp":tai m88c "Biện pháp" sẽ có hiệu lực vào ngày 1 tháng 9 năm 2022. tai m88c hoạt động xuất dữ liệu đã được thực hiện trước khi triển khai phải được khắc phục trong vòng 6 tháng kể từ ngày triển khai. Một mặt, "Biện pháp" dành thời gian gia hạn để doanh nghiệp có thời gian chuẩn bị hợp lý cho công việc tuân thủ; mặt khác, "Biện pháp" có thể có hiệu lực hồi tố đối với tai m88c hoạt động xuất dữ liệu đã được thực hiện trước khi triển khai, tại thời điểm ít nhất là đối với những người vẫn đang trong quá trình thực hiện. Đối với hoạt động xuất dữ liệu tiếp tục, tai m88c công ty nên khai báo đánh giá bảo mật theo quy định của pháp luật.
Gần đây, nước tôi đã ban hành hoặc lấy ý kiến về tai m88c quy định hỗ trợ xuất dữ liệu, bao gồm đánh giá bảo mật,Hợp đồng tiêu chuẩn về chuyển giao tai m88 (Nhấp để xem bài viết diễn giải)、Chứng nhận bảo mật để xử lý tai m88 xuyên biên giới (nhấp để xem bài viết diễn giải)。
Đặc biệt là đợt đánh giá bảo mật sắp được triển khai chính thức, thường mất 57 ngày làm việc (5+7+45) và gần 3 ngày tự nhiên để hoàn thành. Theo “Biện pháp”, đối với tai m88c doanh nghiệp cần thực hiện đánh giá bảo mật, nếu không vượt qua đánh giá bảo mật hoặc không nhận được kết quả đánh giá trước ngày 1 tháng 3 năm 2023, điều này có thể ảnh hưởng đến việc xuất dữ liệu và thậm chí cả hoạt động liên tục của việc kinh doanh.
Về mặt đánh giá bảo mật, công việc tuân thủ dữ liệu mà doanh nghiệp có thể thực hiện trước chủ yếu bao gồm:
1. Kiểm kê tài sản dữ liệu và tai m88c hoạt động bên ngoài。Tài sản dữ liệu tai m88 hoạt động xử lý của doanh nghiệp rất phức tạp tai m88 liên quan đến nhiều tình huống kinh doanh tai m88 bộ phận kinh doanh, thường thiếu kho dữ liệu tập trung tai m88 toàn diện. Việc kiểm kê này là cơ sở thực tế để tự đánh giá tai m88 kê khai. Khuyến nghị doanh nghiệp tiến hành kiểm kê về quy mô, phạm vi, loại hình, độ nhạy, mục đích, phạm vi tai m88 phương pháp xử lý dữ liệu liên quan đến xuất khẩu ra nước ngoài càng sớm càng tốt. .
2. Xác định đường dẫn tuân thủ để xuất dữ liệu.tai m88c hoạt động gửi dữ liệu khác nhau có thể áp dụng cho tai m88c lộ trình tuân thủ khác nhau, chẳng hạn như đánh giá bảo mật, hợp đồng tiêu chuẩn, chứng nhận chuyên môn, v.v. Khuyến nghị tai m88c doanh nghiệp xác định xem hoạt động xuất dữ liệu của mình có yêu cầu đánh giá bảo mật từ tai m88c góc độ về bản chất, tính chất dữ liệu, mức độ dữ liệu, v.v. theo quy định của pháp luật hay không.
3. Thực hiện tự đánh giá.Tự đánh giá là một cơ chế nội bộ áp dụng cho tất cả hoạt động xuất dữ liệu, nhưng có một số khác biệt nhất định trong tai m88c mục đánh giá cụ thể theo tai m88c lộ trình tuân thủ khác nhau. Khuyến nghị doanh nghiệp thiết kế và tích hợp quy trình, nội dung tự đánh giá để đáp ứng yêu cầu của tai m88c luật và quy định khác nhau về tự đánh giá, đồng thời thực hiện hiệu quả công việc tự đánh giá và lập báo tai m88o đánh giá để nộp cho cơ quan quản lý. .
ICP Bắc Kinh số 05019364-1
