¿Cuál es el trasfondo legislativo de la Ley de Protección de Seguridad de Datos?
1. La ley de seguridad de datos complementa y amplía el concepto de “datos”.
La ley de seguridad de red vigente no define "datos", sino que utiliza "datos de red" (diversos datos electrónicos recopilados, almacenados, transmitidos, procesados y generados a través de Internet) y "datos personales". Información" (todo tipo de información registrada electrónicamente o de otras formas que puedan identificar la identidad personal de una persona física por sí sola o en combinación con otra información). En realidad, estos dos conceptos abarcan todo tipo de datos electrónicos utilizados por los ciudadanos en actividades en línea e involucran a individuos.
Debido a diferencias en la legislación, la "Ley de Seguridad de Datos" define directa y concisamente "datos" como "cualquier registro de información existente en forma electrónica o no electrónica", y su alcance de protección es más amplio que eso. de la "Ley de Seguridad de Redes" 》Muy ampliada. Este cambio coloca los registros electrónicos y la información registrada de otras maneras en la categoría de datos, que no solo cumple con los requisitos de seguridad de la información en la era digital, sino que también se adapta a los nuevos requisitos de protección general de la información y seguridad general de la información en la economía digital. era.
2. La "Ley de Seguridad de Datos" tiene cierto "efecto extraterritorial" y proporciona una base legal para contrarrestar la "jurisdicción de largo alcance" de las leyes extranjeras pertinentes.
En comparación con la Ley de Ciberseguridad, que establece que “esta ley se aplica a la construcción, operación, mantenimiento y uso de redes dentro del territorio de la República Popular China, así como a la supervisión y gestión de redes seguridad”, la Ley de Seguridad de Datos va un paso más allá y estipula que “la República Popular China La República de China y las organizaciones e individuos fuera del país realizan actividades de datos que ponen en peligro la seguridad nacional, los intereses públicos sociales o los ciudadanos de la República Popular”. Hoy en día, con el rápido desarrollo de Internet, la recopilación y el almacenamiento de datos ya han traspasado las fronteras nacionales. Por ejemplo, el GDPR de la Unión Europea ha ampliado enormemente su jurisdicción sobre la seguridad de los datos extraterritoriales. Principio de efecto. Siempre que constituya objetivamente el procesamiento de datos personales de personas físicas en un país o región, se regirá por el RGPD. La ley es de gran importancia para la protección de la soberanía nacional de mi país y los derechos individuales. de los ciudadanos.
3. Ambas leyes mencionan el concepto de "datos importantes", pero debido a problemas con la escala en la práctica, su alcance no está claramente definido. La "Ley de seguridad de redes" estipula la protección jerárquica y la salida de datos importantes. El artículo 21 de la ley estipula que los operadores de redes deben "adoptar la clasificación de datos, copias de seguridad, cifrado, etc. para los datos importantes". La "Ley de Seguridad de Datos" también estipula que los procesadores de datos importantes deben establecer líderes de seguridad de datos y agencias de gestión. Aunque las dos leyes no definen el alcance de los datos importantes, pueden pasar a través de otras leyes y regulaciones relevantes. utilizado como referencia, el 28 de mayo de 2009, la Oficina Nacional de Información de Internet publicó las "Medidas de gestión de seguridad de datos (borrador para comentarios)", que definía claramente "datos importantes" como: "Los datos importantes se refieren a datos que pueden directamente. afectan la seguridad nacional, la seguridad económica, la estabilidad social, la salud y la seguridad públicas, como información gubernamental no divulgada, población a gran escala, salud genética, geografía, recursos minerales, etc. Los datos importantes generalmente no incluyen la producción y operación de la empresa, la información de gestión interna ni la información personal.
4. La “Ley de Seguridad de Datos” establece un nuevo “sistema de evaluación de la seguridad de los datos” con un alcance de evaluación más amplio.
En las "Medidas para la evaluación de la seguridad de la información personal y la transferencia de datos importantes al extranjero (borrador para comentarios)" y las "Medidas para la gestión de la seguridad de los datos (borrador para comentarios)" de la Ley de Ciberseguridad, se incluye un sistema de evaluación de la seguridad de la transferencia de datos. Está estipulado, pero el sistema antes mencionado se limita a la evaluación de datos o datos importantes durante el proceso de salida. Por ejemplo, el artículo 37 de la Ley de Ciberseguridad estipula que la información personal y los datos importantes recopilados y generados por operadores de infraestructura de información crítica dentro del territorio de la República Popular China deben almacenarse dentro del territorio. Si realmente es necesario proporcionar información en el extranjero debido a necesidades comerciales, se realizará una evaluación de seguridad de acuerdo con los métodos formulados por el departamento nacional de ciberseguridad e informatización junto con los departamentos pertinentes del Consejo de Estado. El alcance de la evaluación de la seguridad de los datos estipulada en la Ley de Seguridad de los Datos es más amplio y se dirige a todas las actividades de datos de los procesadores de datos importantes. El artículo 28 de la "Ley de seguridad de datos" estipula: "Los procesadores de datos importantes deberán realizar periódicamente evaluaciones de riesgos de sus actividades de datos de acuerdo con las regulaciones y presentar informes de evaluación de riesgos a las autoridades competentes pertinentes. Los informes de evaluación de riesgos deberán incluir datos importantes en poder de la organización El tipo y la cantidad de datos, la recopilación, el almacenamiento, el procesamiento y el uso de datos, los riesgos de seguridad de los datos que enfrentan y sus contramedidas.
”
Análisis de casos de aplicación de la ley
Al observar los casos de aplicación de la ley de ciberseguridad de 2018.1, los riesgos de cumplimiento de agencias, instituciones y empresas se concentran principalmente en la protección del nivel de seguridad de la red. cinco aspectos: protección de la información personal, revisión del contenido de la información de la red y productos y servicios de la red. Dado que la "Ley de seguridad de datos" aún no se ha implementado oficialmente, también podemos referirnos al enfoque de aplicación y las medidas de sanción de la "Ley de ciberseguridad". que tiene un significado de referencia para el cumplimiento corporativo, ayudando a los profesionales de la seguridad de la red a evitar campos minados de seguridad de la información y las redes corporativas y mejorar sus propios sistemas de defensa de seguridad de la red.
1.
Para las empresas, según el artículo 76, párrafo 3, de la Ley de Ciberseguridad, los operadores de redes se refieren a los propietarios de redes, administradores y proveedores de servicios de redes. Específicamente, según los casos de aplicación de la ley, las entidades responsables. Concentrado principalmente en las siguientes tres categorías: operadores de sitios web y plataformas con funciones de publicación de información (como Sina Weibo, plataforma pública WeChat, Baidu, Toutiao, empresas de tecnología/tecnología de red); p>El principal sujeto responsable de la ley de seguridad de datos es el procesador de datos importantes. En el "Capítulo 4 Obligaciones de protección de la seguridad de datos", el artículo 27 del procesador de datos importantes especificará la persona responsable de la seguridad de los datos y la agencia de gestión, y los implementará. Responsabilidad de protección de la seguridad de los datos”.
2. Los principales organismos encargados de hacer cumplir la ley de la "Ley de Ciberseguridad": la Administración del Ciberespacio de China, el Ministerio de Industria y Tecnología de la Información y el Ministerio de Seguridad Pública.
Aunque no existen regulaciones o pautas claras que informen a cada departamento de aplicación de la ley sobre el alcance principal de la aplicación de la ley, según los casos de aplicación de la ley en Internet de 2018, los puntos generales de aplicación de la ley de cada departamento se muestran en la siguiente figura.
El artículo 6 del Capítulo 1 de la "Ley de Seguridad de Datos" estipula la supervisión de los departamentos e industrias competentes Los departamentos competentes de industria, telecomunicaciones, transporte, finanzas, recursos naturales, salud, educación, ciencia y tecnología. son responsables de las responsabilidades de supervisión; las agencias de seguridad pública y las agencias de seguridad nacional asumen la responsabilidad de la supervisión de la seguridad de los datos; el departamento nacional de ciberseguridad e informatización es responsable de coordinar la seguridad de los datos de la red y el trabajo de supervisión relacionado. Habrá que esperar a que se analicen los casos de aplicación de la ley un año después.