En comparación con la Ley de Ciberseguridad de la República Popular China y la Ley de Seguridad de Datos de la República Popular China, ¿qué jurisdicción se implementa?
En comparación con la Ley de Ciberseguridad de la República Popular China, la Ley de Seguridad de Datos de la República Popular China ha logrado un gran avance en la jurisdicción extranjera
1. Complementar y ampliar el concepto de "datos".
La "Ley de Ciberseguridad" que ha entrado en vigor no define "datos", sino que utiliza "datos de red" (diversos datos electrónicos recopilados, almacenados, transmitidos, procesados y generados a través de Internet) y "Personales". información" (todo tipo de información registrada electrónicamente o de otras formas que puedan identificar la identidad personal de una persona física sola o en combinación con otra información). Los dos conceptos en realidad cubren el uso de diversos datos electrónicos y datos en la participación de los ciudadanos en actividades en línea. Algunos datos fuera de línea que involucran información personal.
Debido a diferencias en las perspectivas legislativas, la "Ley de Seguridad de Datos" define directa y concisamente "datos" como "cualquier registro de información en forma electrónica o no electrónica", y su alcance de protección es más amplio que el de la "Ley de Seguridad de las Redes", muy ampliado, este cambio unificó los registros electrónicos y la información registrada de otras formas en la categoría de datos, que no sólo cumple con los requisitos de seguridad de la información de la era digital, sino que también se adapta a los nuevos requisitos de la era digital. protección de la información y seguridad general de la información en la era de la economía digital.
2. La "Ley de Seguridad de Datos" tiene cierto "efecto extraterritorial", proporcionando una base legal para contrarrestar la "jurisdicción de largo alcance" de las leyes extranjeras pertinentes.
En comparación con la "Ley de Seguridad de Redes", "Esta Ley se aplicará a la construcción, operación, mantenimiento y uso de redes dentro del territorio de la República Popular China, así como a la supervisión y gestión de seguridad de la red", la "Ley de Seguridad de Datos" va más allá, estipulando que "las organizaciones e individuos fuera de la República Popular China que lleven a cabo actividades de datos que perjudiquen la seguridad nacional de la República Popular China, los intereses públicos o los derechos legítimos y los intereses de los ciudadanos u organizaciones serán responsables de conformidad con la ley "Hoy en día, con el rápido desarrollo de Internet, la recopilación y el almacenamiento de datos ya han superado las restricciones de las fronteras nacionales. Por ejemplo, el RGPD de la UE lo ha hecho. amplió enormemente el alcance de su jurisdicción extraterritorial de seguridad de datos. GDPR presta más atención al principio de efecto Siempre que el efecto objetivo sea procesar los datos personales de personas físicas en este país o región, se regirá por GDPR. La introducción de "efectos extraterritoriales" en la "Ley de Seguridad de Datos" es de gran importancia para la protección de la soberanía nacional de mi país y los derechos individuales de los ciudadanos.
3. Ambas leyes mencionaron el concepto de "datos importantes", pero debido al problema de la escala de control en la práctica, su alcance no estaba claramente definido.
La “Ley de Ciberseguridad” estipula la clasificación, protección y exportación de datos importantes. El artículo 21 de la ley estipula que los operadores de red deben "tomar medidas tales como clasificación de datos, copia de seguridad de datos importantes y cifrado". El artículo 25 de la "Ley de seguridad de datos" también estipula que los procesadores de datos importantes deben establecer un responsable de la seguridad de los datos y una agencia de gestión. Aunque ninguna ley define el alcance de los datos importantes, se pueden identificar y utilizar como referencia a través de las definiciones de otras leyes y normas relevantes. Por ejemplo: el 28 de mayo de 2019, la Oficina Nacional de Información de Internet anunció las "Medidas de gestión de seguridad de datos (). Solicitud) Borrador de Opinión)". Define claramente los "datos importantes" como: "Los datos importantes se refieren a datos que pueden afectar directamente la seguridad nacional, la seguridad económica, la estabilidad social, la salud y la seguridad públicas una vez filtrados, como información gubernamental no divulgada, población a gran escala, salud genética, geografía". , recursos minerales, etc. Los datos importantes generalmente no incluyen la producción y operación de la empresa ni la información de gestión interna, información personal, etc.
4. La “Ley de Seguridad de Datos” establece un nuevo “sistema de evaluación de la seguridad de los datos” con un alcance de evaluación más amplio.
En la "Ley de Ciberseguridad" y las "Medidas para la Evaluación de la Seguridad de la Información Personal y la Transferencia de Datos Importantes al Exterior (Borrador para Comentarios)" y las "Medidas para la Gestión de la Seguridad de los Datos (Borrador para Comentarios)", las disposiciones para la exportación de datos al extranjero están estipulados un sistema de evaluación de seguridad, pero el sistema anterior se limita a la evaluación durante el proceso de exportación de datos o datos importantes. Por ejemplo, el artículo 37 de la Ley de Ciberseguridad estipula: La información personal y los datos importantes recopilados y generados por los operadores de infraestructura de información crítica durante las operaciones dentro del territorio de la República Popular China se almacenarán dentro del territorio.
Si realmente es necesario proporcionar información en el extranjero debido a necesidades comerciales, se realizará una evaluación de seguridad de acuerdo con los métodos formulados por el departamento nacional de ciberseguridad e informatización junto con los departamentos pertinentes del Consejo de Estado. La evaluación de la seguridad de los datos prevista en la "Ley de Seguridad de los Datos" tiene un alcance más amplio y se dirige a todas las actividades de datos de los procesadores de datos importantes. El artículo 28 de la "Ley de Seguridad de Datos" estipula: "Los procesadores de datos importantes llevarán a cabo evaluaciones periódicas de los riesgos de sus actividades relacionadas con los datos de conformidad con las reglamentaciones y presentarán informes de evaluación de riesgos a las autoridades competentes pertinentes. Los informes de evaluación de riesgos incluirán información en poder del organización El tipo y cantidad de datos importantes, la recopilación, el almacenamiento, el procesamiento y el uso de datos, los riesgos de seguridad de los datos que se enfrentan y sus contramedidas, etc."
Análisis de casos de aplicación de la ley
Al observar los casos de aplicación de la ley de la Ley de Ciberseguridad en 2018, los riesgos de cumplimiento de agencias, instituciones y empresas se concentran principalmente en la protección del nivel de seguridad de la red. , protección de información personal, revisión del contenido de información de la red, productos y servicios de la red, etc. Dado que la "Ley de Seguridad de Datos" aún no se ha implementado oficialmente, también podemos referirnos al enfoque de las medidas de aplicación de la ley y sanción de la Ley de Ciberseguridad, que es de referencia para el cumplimiento corporativo para los profesionales de la ciberseguridad y ayudará a evitar las redes corporativas. y campos minados de seguridad de la información. Mejorar el sistema de defensa de seguridad de la red propia de la empresa.
1. El principal sujeto responsable de la “Ley de Ciberseguridad” son los operadores de red.
Para las empresas, según el artículo 76, párrafo 3, de la Ley de Ciberseguridad, los operadores de red se refieren a los propietarios, administradores y proveedores de servicios de red de la red. Según casos específicos de aplicación de la ley, las entidades responsables se concentran principalmente en las tres categorías siguientes: operadores de sitios web y plataformas con funciones de divulgación de información (como Sina Weibo, la plataforma pública WeChat, Baidu y Toutiao) y empresas de tecnología de redes; escuelas, colegios y otras instituciones.
El principal responsable según la "Ley de Seguridad de Datos" es el procesador de datos importantes. En el "Capítulo 4 Obligaciones de protección de la seguridad de los datos, Artículo 27 Los procesadores de datos importantes deben definir claramente la persona a cargo de la seguridad de los datos y la agencia de gestión, e implementar las responsabilidades de protección de la seguridad de los datos".
2. Los principales organismos encargados de hacer cumplir la ley de la "Ley de Ciberseguridad": Administración del Ciberespacio de China, Ministerio de Industria y Tecnología de la Información y Ministerio de Seguridad Pública.
Aunque actualmente no existen regulaciones o pautas claras que informen a cada departamento de aplicación de la ley sobre el alcance principal de aplicación de la ley, según los casos de aplicación de la ley en Internet de 2018, los puntos generales de aplicación de la ley de cada departamento se muestran en la siguiente figura. .
El artículo 6 del Capítulo 1 Disposiciones Generales de la "Ley de Seguridad de Datos" estipula que los departamentos competentes y la supervisión de la industria, industria, telecomunicaciones, transporte, finanzas, recursos naturales, salud, educación, ciencia y tecnología y otros los departamentos competentes son responsables de las responsabilidades de supervisión de la seguridad de los datos; las agencias de seguridad pública y las agencias de seguridad nacional asumen las responsabilidades de supervisión de la seguridad de los datos; el departamento nacional de ciberseguridad e informatización es responsable de coordinar la seguridad de los datos de la red y el trabajo de supervisión relacionado. Tenemos que esperar el análisis de los casos de aplicación de la ley un año después.