21 декабря 2016 года, Национальный Технический комитет Китая по стандартизации в области информационной безопасности (全国信息安全标准化技术委员会 - National Information Security Standardization Technical Committee, NISSTC, ) выложил для публичного обсуждения ряд проектов стандартов в области информационной безопасности (далее - Стандарты), см.
В их число входят документы по таким вопросам, как:
- Персональные данные,
- Кибербезопасность,
- Большие данные,
- Устройства определенных видов, и
- Системы управления промышленными объектами.
В частности, проект стандарта требований к безопасности персональных данных (《信息安全技术 个人信息安全规范》- «Технологии информационной безопасности – Требования к защите персональных данных», см. ) содержит рекомендации в отношении сбора, хранения, использования, передачи и раскрытия персональных данных определенными организациями, - а именно, теми, что ведут обработку данных более 10 тысяч субъектов ПДн в течение 12-ти месяцев и более подряд; и чей штат превышает 10 сотрудников или же чей ежегодный оборот превышает 1 миллион юаней.
Многие положения стандарта перекрываются с другим добровольным руководством, опубликованном в 2013 г. (GB/Z 28828-2012《信息安全技术公共及商用服务信息系统个人信息保护指南》- «Технологии информационной безопасности - Государственные и коммерческие услуги - Информационные системы - Руководство по защите персональных данных», см. ) - например, в части определения ключевых понятий в данной области, таких, как «специальные персональные данные», «явно вырожденное согласие» и «подразумеваемое согласие», которые в настоящее время отсутствуют в обязательных для исполнения законах и нормативных актах КНР о защите персональных данных.
Стандарт является значительным шагом вперед, поскольку предлагает рекомендации по ряду вопросов.
Во-первых, в требованиях к защите персональных данных впервые появляются европейские понятия «субъект персональных данных» и «оператор персональных данных», а также воспринять восемь принципов защиты неприкосновенности частной жизни Организации экономического сотрудничества и развития (ОЭСР - Organisation for Economic Co-operation and Development, OECD), хотя и отсутствует такое взаимосвязанное понятие, как «обработчик данных», а также разграничения обязанностей и ответственности операторов и обработчиков персональных данных.
Во-вторых, по сравнению со стандартом 2013 года расширяется трактовка понятия «персональные данные», теперь под ними понимается любая информацию, которая может быть идентифицирована «любым разумным способом», который может использовать оператор или любые другие стороны.
Персональные данные включает в себя информацию, которая может раскрыть личность физического лица, а также иную идентифицируемую информацию (включая биометрические данные и виртуальных идентификаторы, такие, как псевдонимы и идентификаторы в социальных сетях); информацию, собранную при использовании различных услуг (в том числе содержание телекоммуникационных сообщений и посты в социальных сетях, списки контактов и переписку); и информацию о персональных услугах (в том числе протоколы аудита соответствующих услуг, идентификаторы оборудования и геолокационные данные). Более четко определено понятие специальных (чувствительных) персональных данных, которое также расширено путем включения геолокационных данных и записей телефонных разговоров, чего обычно не делается в других юрисдикциях.
В-третьих, стандарт требует от ряда организаций создавать специализированные подразделения и назначать сотрудников, в обязанности которых входит обеспечение информационной безопасности. Оценку рисков безопасности требуется проводить ежегодно, а также всякий раз в случае существенных изменений в законодательстве о защите персональных данных, в случае существенное изменений во внутренней деловой деятельности соответствующего бизнеса, либо в случае инцидента безопасности.
Особое внимание уделяется специальным персональным данным, для которых требуется отдельная система документирования операций, связанных со сбором, хранением, доступом и модификацией таких данных.
Для отслеживания персональных данных и для оценки эффективности мер безопасности требуется проведение аудита безопасности, хотя в стандарте нет никаких указаний о том, насколько часто его следует выполнять.
Стандарт включает систему уведомлении об утечках, требующую обязательного информирования Центра реагирования на компьютерные инциденты национальной компьютерной сети или соответствующего подразделения в течение 24 часов с момента обнаружения утечки персональных данных более чем 10 тысяч субъектов либо специальных персональных данных более 1000 человек. Субъекты ПДн также должны уведомляться, хотя для этого никаких конкретных сроков не устанавливается, и взамен уведомлений такого рода, если сделать их «затруднительно», могут делаться публичные заявления. Ничего не сказано о том, в какие случаях уведомление субъекта ПДн можно считать затруднительным.
В-четвертых, стандарт содержит типовое уведомление об обработке персональных данных. В нем предполагается, что персональные данные могут включать как информацию, полученную как непосредственно от субъекта ПДн, так и от третьих сторон, а также статистические данные, полученных на основе таких персональных данных (не очень понятно, каким образом такие данные могут представлять собой персональные данные).
Также требуется четко описать типы собираемых персональных данных, а также дать отдельное уведомление об обработке специальных персональных данных. Существуют специальные требования, относящиеся к онлайн-платформам и требующие от них раскрытия потенциальных рисков, связанных с транзакциями на платформе, а также разъяснения всех мер безопасности, которые платформы используют для защиты собираемых ими персональных данных.
(Окончание следует)
Габриэла Кеннеди (Gabriela Kennedy) и Джан Сяоянь (Xiaoyan Zhang)
Источник: сайт Mondaq
