Новый закон Китая о защите данных разъясняет правила
ШАНГАЙ, 27 августа. Китай устанавливает новые регулятивные основы для своей огромной интернет-индустрии, но новый закон о безопасности данных и другие правила являются слишком мягкими, чтобы компании боялись, что они случайно могут перейти черту, говорят юристы.
Закон о защите данных, который вступает в силу 1 сентября, требует, чтобы все компании в Китае классифицировали данные, которые они обрабатывают, на несколько категорий и регулирует, как такие данные хранятся и передаются другим сторонам.
К соответствующим категориям относятся национальные базовые данные и важные данные, за которые миллинг может повлечь за собой штраф в размере до 10 миллионов йен или даже уголовное обвинение. Но правительство пока не дало более подробных определений для этих данных и не предоставило определений того, какого рода данные могут подпадать под какую категорию, говорят юристы.
Например, закон говорит только о том, что компании, желающие передать важные данные за границу, должны каждый раз проходить оценку безопасности.
Нет списка, есть отжиг, нет примеров, говорит Николас Бахманьяр, старший консультант пекинской юридической фирмы LEAF. Так что мы немного в темноте.
Страна также введет новые правила, направленные на защиту критической информационной инфраструктуры, в тот же день, но эксперты говорят, что определения такой инфраструктуры столь же неясны. Операторы критически важной информационной инфраструктуры столкнутся с более жесткими требованиями к безопасности данных, особенно когда дело доходит до международной передачи данных. В 2017 году Пекин представил список отраслей, которые он считает критически важными в широком смысле, таких как общественные коммуникации.
Ожидается, что отраслевые регуляторы выпустят более подробные инструкции, но пока их не выпустили.
Даже если вы можете делать выводы из того, что происходит в новостях, а затем публично объявлять о принудительных мерах в отношении определенных компаний, официального способа успокоиться нет, - говорит Алекс Робертс, корпоративный советник шанхайского офиса юридической фирмы LinkedIn.
Юридические шаги отражают растущую озабоченность Пекина по поводу гор данных, собранных частными фирмами, и того, может ли такая информация подвергаться риску атаки и неправильного использования, особенно иностранными государствами.
Китайский закон о кибербезопасности на 2017 год требует, чтобы компании имели доступ к персональным данным в Китае, а также согласовывали проверки безопасности, а с 1 ноября он будет дополнен законами о кибербезопасности. Старший инженер маркетингового агентства в Шанхае сказал, что один из его клиентов нанял стороннего аудитора, чтобы оценить, может ли его компания соответствовать новым правилам для проекта. Он отказался назвать свое имя, поскольку ему не разрешили общаться со СМИ.
Ваши данные должны доказать, где хранятся ваши данные, у вас есть план восстановления, что бы ни случилось, ваше приложение безопасно, и все ваши данные находятся в Китае, сказал парень. Эти процессы очень большие и предназначены для очень крупных компаний, которыми мы не являемся.
Одним из таких дел, за которым пристально следят, является дело компании Didi Global, которая в прошлом месяце, через два дня после дебюта компании в Пекине, провела в Нью-Йорке расследование по поводу рисков безопасности данных, связанных с мощным китайским регулятором киберпространства.
Китайское космическое управление также расследует онлайн-рекрутинговую платформу Zhipin, принадлежащую Huhun, и две коммерческие платформы, управляемые Full Truck Alliance, ссылаясь на риски национальной безопасности данных.
Репортажи Джерри Дойла и редакторов Бренды Го и Джоша Хорнетта.