¿Cuál es el efecto extraterritorial de la Ley de Seguridad de Datos?
1. La ley de seguridad de datos complementa y amplía el concepto de “datos”.
La ley de seguridad de red vigente no define "datos", sino que utiliza "datos de red" (diversos datos electrónicos recopilados, almacenados, transmitidos, procesados y generados a través de Internet) y "datos personales". Información" (todo tipo de información registrada electrónicamente o de otras formas que puedan identificar la identidad personal de una persona física por sí sola o en combinación con otra información). En realidad, estos dos conceptos abarcan todo tipo de datos electrónicos utilizados por los ciudadanos en actividades en línea e involucran a individuos.
Debido a diferencias en la legislación, la "Ley de Seguridad de Datos" define directa y concisamente "datos" como "cualquier registro de información existente en forma electrónica o no electrónica", y su alcance de protección es más amplio que eso. de la "Ley de Seguridad de Redes" 》Muy ampliada. Este cambio coloca los registros electrónicos y la información registrada de otras maneras en la categoría de datos, que no solo cumple con los requisitos de seguridad de la información en la era digital, sino que también se adapta a los nuevos requisitos de protección general de la información y seguridad general de la información en la economía digital. era.
2. La "Ley de Seguridad de Datos" tiene cierto "efecto extraterritorial" y proporciona una base legal para contrarrestar la "jurisdicción de largo alcance" de las leyes extranjeras pertinentes.
En comparación con la Ley de Ciberseguridad, que establece que “Esta ley se aplica a la construcción, operación, mantenimiento y uso de redes dentro del territorio de la República Popular China, así como a la supervisión y gestión de redes seguridad”, la Ley de Seguridad de Datos va un paso más allá y estipula que “la República Popular China La República de China y las organizaciones e individuos fuera del país realizan actividades de datos que ponen en peligro la seguridad nacional, los intereses públicos sociales o los ciudadanos de la República Popular”. Hoy en día, con el rápido desarrollo de Internet, la recopilación y el almacenamiento de datos han excedido durante mucho tiempo las fronteras nacionales. Por ejemplo, el RGPD de la Unión Europea ha ampliado enormemente su jurisdicción sobre la seguridad de los datos extraterritoriales. de efecto. Siempre que constituya objetivamente el procesamiento de datos personales de personas físicas en un país o región, se regirá por el GDPR. La ley es de gran importancia para la protección de la soberanía nacional de mi país y los derechos individuales de.
3. Ambas leyes mencionan el concepto de "datos importantes", pero debido a problemas para comprender la escala en la práctica, su alcance no está claramente definido. La "Ley de Ciberseguridad" estipula la protección jerárquica y la salida de datos importantes. El artículo 21 de la ley estipula que los operadores de red deben "adoptar clasificación de datos, copias de seguridad, cifrado, etc. para los datos importantes". "La Ley de Seguridad" también estipula que los procesadores de datos importantes deben establecer líderes de seguridad de datos y agencias de gestión. Aunque las dos leyes no definen el alcance de los datos importantes, pueden pasar a través de otras leyes y regulaciones relevantes. Como referencia, por ejemplo, el 28 de mayo de 2009, la Oficina Nacional de Información de Internet publicó las "Medidas de gestión de seguridad de datos (borrador para comentarios)", que definía claramente "datos importantes" como: "Los datos importantes se refieren a datos que pueden afectar directamente. seguridad nacional, seguridad económica, estabilidad social, salud y seguridad públicas, como información gubernamental no divulgada, población a gran escala, salud genética, geografía, recursos minerales, etc. Los datos importantes generalmente no incluyen la producción y operación de la empresa, la información de gestión interna ni la información personal.
4. La “Ley de Seguridad de Datos” establece un nuevo “sistema de evaluación de la seguridad de los datos” con un alcance de evaluación más amplio.
En las "Medidas para la evaluación de la seguridad de la información personal y la transferencia de datos importantes al extranjero (borrador para comentarios)" y las "Medidas para la gestión de la seguridad de los datos (borrador para comentarios)" de la Ley de Ciberseguridad, se incluye un sistema de evaluación de la seguridad de la transferencia de datos. Está estipulado, pero el sistema antes mencionado se limita a la evaluación de datos o datos importantes durante el proceso de salida. Por ejemplo, el artículo 37 de la Ley de Ciberseguridad estipula que la información personal y los datos importantes recopilados y generados por operadores de infraestructura de información crítica dentro del territorio de la República Popular China deben almacenarse dentro del territorio. Si realmente es necesario proporcionar información en el extranjero debido a necesidades comerciales, se realizará una evaluación de seguridad de acuerdo con los métodos formulados por el departamento nacional de ciberseguridad e informatización junto con los departamentos pertinentes del Consejo de Estado. El alcance de la evaluación de la seguridad de los datos estipulada en la Ley de Seguridad de los Datos es más amplio y se dirige a todas las actividades de datos de los procesadores de datos importantes. El artículo 28 de la "Ley de seguridad de datos" estipula: "Los procesadores de datos importantes deberán realizar periódicamente evaluaciones de riesgos de sus actividades de datos de acuerdo con las regulaciones y presentar informes de evaluación de riesgos a las autoridades competentes pertinentes. Los informes de evaluación de riesgos deberán incluir datos importantes en poder de la organización El tipo y la cantidad de datos, la recopilación, el almacenamiento, el procesamiento y el uso de datos, los riesgos de seguridad de los datos que enfrentan y sus contramedidas"
Análisis de casos de aplicación de la ley
Mirando a 2018, 1 " Según los casos de aplicación de la Ley de Ciberseguridad, los riesgos de cumplimiento de agencias, instituciones y empresas se concentran principalmente en cinco aspectos: protección del nivel de seguridad de la red, protección de la información personal, revisión del contenido de la información de la red y productos y servicios de la red. Dado que la "Ley de seguridad de datos" aún no se ha implementado oficialmente, también podemos referirnos al enfoque de aplicación y las medidas de sanción de la "Ley de seguridad cibernética", que tiene importancia de referencia para el cumplimiento corporativo y ayuda a los profesionales de la seguridad cibernética a evitar campos minados de seguridad de la información y las redes corporativas. , mejorar su propio sistema de defensa de seguridad de la red.
1. La Ley de Ciberseguridad es responsabilidad principalmente de los operadores de red.
Para las empresas, según el artículo 76, párrafo 3, de la Ley de Ciberseguridad, los operadores de red se refieren a los propietarios, administradores y proveedores de servicios de red.
Específicamente, en combinación con los casos de aplicación de la ley, las entidades responsables se concentran principalmente en las tres categorías siguientes: operadores de sitios web y plataformas con funciones de divulgación de información (como Sina Weibo, la plataforma pública WeChat, Baidu y Toutiao) y empresas de tecnología de redes; ; Escuelas, colegios y otras instituciones.
El principal responsable según la ley de seguridad de datos es el procesador de datos importantes. En el artículo 27 del "Capítulo 4 Obligaciones de protección de la seguridad de los datos", los procesadores de datos importantes deben aclarar las responsabilidades de seguridad de los datos y las agencias de gestión, e implementar responsabilidades de protección de la seguridad de los datos. "Hay una explicación.
2. Los principales organismos encargados de hacer cumplir la ley de la "Ley de Ciberseguridad": la Administración del Ciberespacio de China, el Ministerio de Industria y Tecnología de la Información y el Ministerio de Seguridad Pública.
p>
Aunque no existen disposiciones claras o Las pautas informan a cada departamento de aplicación de la ley sobre el alcance principal de la aplicación de la ley, pero de acuerdo con los Casos de aplicación de la ley en Internet de 2018, los puntos generales de aplicación de la ley de cada departamento se muestran en la siguiente figura
El artículo 6 del Capítulo 1 de la "Ley de Seguridad de Datos" estipula las autoridades competentes y de supervisión de la industria, industria, telecomunicaciones, transporte, finanzas, recursos naturales, salud, educación, ciencia y tecnología y otras competentes. los departamentos son responsables de la supervisión de la seguridad de los datos; las agencias de seguridad pública y las agencias de seguridad nacional son responsables de la supervisión de la seguridad de los datos; el departamento de información de la red nacional es responsable de coordinar la seguridad de los datos y el trabajo de supervisión relacionado, las preocupaciones específicas de aplicación de la ley; Los departamentos tendrán que esperar el análisis de los casos policiales dentro de un año.