В этом информационном бюллетене кратко излагаются последние достижения в области кибербезопасности и защиты данных в Китае с акцентом на законодательные, правоприменительные и отраслевые разработки в этой области.
Изменения в законодательстве
24 октября были официально опубликованы Правила защиты несовершеннолетних в киберпространстве (“Правила”). Правила содержат подробные и всеобъемлющие положения о регулировании сетевого информационного контента, защите личной информации несовершеннолетних в сетях и профилактике и лечении интернет-зависимости несовершеннолетних. Например, Правила требуют, чтобы онлайн-игры, веб-вещание и другие поставщики сетевых услуг предоставляли модель работы для несовершеннолетних; в них также подчеркивается, что поставщики сетевых продуктов и услуг должны использовать искусственный интеллект, большие данные и алгоритмические модели для усиления идентификации и мониторинга киберзапугивания. . Правила предусматривают, что обработчики персональных данных должны проводить ежегодные проверки соответствия своей деятельности по обработке персональных данных несовершеннолетних и сообщать о результатах проверок Администрации киберпространства Китая и другим ведомствам.
9 октября MIIT опубликовал Правила внедрения оценки рисков безопасности данных в сфере промышленности и информации (для пробного внедрения) (проект для комментариев), в которых оговаривается, что важные данные и основные процессоры обработки данных должны проводить оценку рисков безопасности данных не реже одного раза в год (при этом результаты оценки действительны в течение одного года) и сообщать или обновлять отчет об оценке отраслевым надзорным органам в течение 10 рабочих дней после завершения оценки. Оценка фокусируется на том, являются ли цель, способ и объем обработки данных законными, обоснованными и необходимыми, а также на разработке и внедрении процессов и стратегий систем управления безопасностью данных.
24 октября MIIT опубликовал Меры по засекреченному и дифференцированному управлению промышленной интернет-безопасностью (проект для комментариев), который открыт для комментариев до 22ноября 2023 года (“Меры“). Среди прочего, Меры дают понять, что промышленные интернет-предприятия могут проводить независимую классификацию, и им необходимо учитывать такие элементы, как масштаб предприятия, сфера бизнеса, степень применения промышленного Интернета, степень функционирования важных систем, степень владения важными данными, степень важности для развития отрасли и безопасности производственной цепочки поставок, а также влияние последствий инцидента кибербезопасности.
18 октября Пекинское бюро экономики и информации опубликовало Программу пилотной работы системы управления данными в Пекине, в которой отобрано 13 пилотных подразделений для самостоятельного создания руководителей по обработке данных (CDO), в круг обязанностей CDO входит содействие созданию цифрового правительства, усиление управления ресурсами данных, расширение возможностей руководства и надзора, повышение грамотности в области цифрового мышления и содействие формированию команд талантов. В то же время Программа работы поощряет правительства районного уровня проводить пилотные работы в отдельных подчиненных подразделениях, которые могут это делать, и активно поощряет несколько типов предприятий к созданию CDO.
19 октября Администрация киберпространства Шанхая выпустила Руководство для веб-платформ Шанхайского веб-сайта по приему и удалению сообщений о нарушениях в Интернете с участием предприятий (пробная версия), в котором подчеркивается необходимость сосредоточиться на защите законных прав и интересов предприятий, подлежащих включению в список, и стабилизации рыночной стоимости предприятий. Основное внимание уделяется принятию и удалению контрафактной информации, которая вводит в заблуждение идентификационные данные корпоративного органа, утечке информации, которая нарушает конфиденциальность предпринимателей, а также другой информации, которая злонамеренно мешает нормальной работе и развитию предприятия.
8 октября Метеорологическое бюро провинции Гуйчжоу и Администрация по развитию больших данных опубликовали Пилотную рабочую программу по реформе рыночного распределения метеорологических данных в провинции Гуйчжоу (“Рабочая программа”). В Программе работы указывается на необходимость поощрения условного и платного использования метеорологических данных и содействия торговле метеорологическими данными и другими продуктами через Гуйянскую биржу больших данных.
Изменения в правоприменении
24 октября Министерство промышленности и информационных технологий (MIIT) опубликовало 6-ю партию списков приложений (SDK) за 2023 год, которые нарушали права и интересы пользователей. В общей сложности в список были включены 22 предприятия, связанные с проблемами, включавшими незаконный сбор и использование личной информации, обязательное использование приложений, частые и чрезмерные запросы разрешений и неполную информацию в публичных объявлениях SDK.
18 октября Главное управление финансового надзора провинции Шаньси опубликовало три основных случая риска, напоминая потребителям о необходимости повысить осведомленность о борьбе с мошенничеством и лучше защищать свою личную информацию. В одном случае речь шла о потребителе, которому был нанесен ущерб его правам и интересам, а также кредитному рейтингу из-за того, что он предоставил свои документы и другую информацию другому лицу для подачи заявки на получение гарантии по кредиту. Суперинтендант напоминает потребителям не предоставлять свои документы, удостоверяющие личность, банковские карты и т.д. Третьим лицам и не оставлять свою личную финансовую информацию в Интернете по своему желанию.
30 октября Администрация киберпространства Пекина в соответствии с Законом о безопасности данных возбудила дело по расследованию предполагаемых нарушений безопасности сетевых данных трех предприятий в регионе и наложила административные взыскания в виде предписания об исправлении, предупреждения и штрафа в размере 50 000 юаней на каждого из них, а также штрафа в размере 10 000 юаней на непосредственных руководителей и других ответственных лиц. Было обнаружено, что три предприятия не выполнили свои обязательства по защите данных и что в развернутых базах данных имелись лазейки для несанкционированного доступа, что привело к утечке некоторых данных.
Недавно администрация киберпространства Шанхая обнаружила, что в базе данных технологической компании была лазейка для несанкционированного доступа, а данные были украдены и переданы за границу. После уведомления Шанхайской администрации киберпространства компания по-прежнему не провела своевременное и эффективное исправление и удалила базу данных без разрешения, с намерением избежать наказания. 11 октября Шанхайское информационное бюро Интернета в соответствии с Законом о безопасности данных обязало компанию внести исправления, вынесло предупреждение и наложило штраф в размере 80 000 юаней, а также наложило штраф в размере 10 000 юаней на исключительно ответственный персонал компании.
Недавно суд нового района Тяньцзинь Биньхай завершил рассмотрение дела о недобросовестной конкуренции, в котором покупки подписки на приложение было достаточно, чтобы обойти “режим, удобный для детей” нескольких сторонних приложений в области сетевого аудио и видео (включая приложения от истца) – пропуская и блокируя всплывающее окно входа в “режим, удобный для детей” сторонних приложений, приложение ответчика нарушило соответствующие законы и нормативные акты о защите несовершеннолетних и подорвало рыночный порядок о добросовестной конкуренции и экологии отрасли, что представляет собой недобросовестную конкуренцию. Таким образом, суд полностью поддержал иск истца и постановил, что ответчик должен возместить истцу экономический ущерб в размере 3 миллионов юаней.
12. Высокий суд провинции Гуандун публикует типичные дела о защите личной информации
31 октября Высокий суд провинции Гуандун опубликовал ряд типичных дел о защите личной информации. Эти дела включают судебные разбирательства в общественных интересах по защите личной информации, споры об ответственности за нарушение сетевых правил и споры о защите личной информации, которые защищают частную жизнь и информационную безопасность и регулируют коммерческое рекламное поведение путем законодательного регулирования нарушений прав и интересов в отношении личной информации. К ним относятся незаконный сбор и обработка информации интернет-платформами, нарушение алгоритмических ошибок в работе, отправка коммерческих SMS-сообщений без согласия и незаконный сбор изображений лиц.
16 октября Синьцзян-Уйгурский автономный район опубликовал Положения о применении критериев усмотрения при наложении административных штрафов за управление сетевой безопасностью. В Положениях перечислены основания для наказаний и дискреционные критерии в общей сложности за 24 правонарушения, которые подразделяются на “незначительные правонарушения, общие правонарушения и серьезные правонарушения”, и оговариваются подробные правила. Например, незаконное получение, продажа или предоставление информации об отслеживании, коммуникационном контенте, кредитной информации и информации о собственности объемом до 15-30 единиц является “общим правонарушением” и может повлечь наложение штрафа в размере 300 000-700 000 юаней; продажа или предоставление информации о отслеживании независимо от количества предметов, используемых другими лицами для осуществления незаконной деятельности, является “серьезным правонарушением”; продажа или предоставление информации независимо от количества предметов, используемых другими лицами для осуществления незаконной деятельности, является “серьезным правонарушением”. “Серьезные нарушения могут повлечь за собой штраф в размере 700 000-1 000 000 юаней.
Недавно интернет-полиция Ганьсу провела специальные мероприятия по исправлению положения в областях, где распространены преступления против личной информации граждан, таких как телекоммуникационные сети, агенты по недвижимости и образовательные учреждения. Например, органы общественной безопасности Ланьчжоу провели расследование и разобрались с магазином связи, который собирал и конфиденциально использовал личную информацию студентов для обработки телефонных карточек на основании неполного рабочего дня, и наложили штраф в размере 10 000 долларов в соответствии с Законом о кибербезопасности.
15. Шесть компаний по недвижимости в Нинся наказаны за ненадлежащую защиту личной информации
6 октября местные органы общественной безопасности предупредили шесть компаний, занимающихся недвижимостью в Нинся, и приказали им исправить ситуацию в течение определенного периода из-за скрытой опасности утечки информации. Было обнаружено, что на офисных компьютерах ряда компаний, занимающихся недвижимостью, ненадлежащим образом хранилось большое количество личной информации, такой как домашние адреса, номера удостоверений личности и контактные данные владельцев недвижимости в сообществе; данные не были зашифрованы, на офисных компьютерах не было паролей, личная информация не классифицировалась и не управлялась, а также не принимались шифрование, деидентификация и другие технические меры, и риск утечки личной информации владельцев был чрезвычайно высок.
16. Коммуникационные бюро разных провинций выпустили циркуляры об удалении приложений, которые нарушают права и интересы пользователей (ссылки по теме: Провинция , Провинция Сычуань, Провинция Чжэцзян)
Недавно коммуникационные бюро Гуандуна, Сычуани, Чжэцзяна и других провинций выпустили циркуляры об удалении приложений, ущемляющих права и интересы пользователей, которые охватывают широкий спектр категорий, таких как финансовый лизинг, имущественные услуги, образование и технологии. Связанные с этим проблемы включают незаконный сбор личной информации, обязательное использование приложений, частый и чрезмерный запрос разрешений и сложность аннулирования учетной записи.
Развитие отрасли
25 октября состоялось торжественное открытие Национального бюро данных, которым управляет Национальная комиссия по развитию и реформам. Национальное бюро данных отвечает за координацию содействия созданию системы базы данных, координацию интеграции и совместного использования информационных ресурсов, их эксплуатации и использования, а также за координацию содействия планированию и строительству цифрового Китая, цифровой экономики и цифрового общества. Создание Национального бюро данных будет способствовать ускоренным инновациям и интеграции цифровых технологий, таких как Интернет, большие данные, облачные вычисления, искусственный интеллект и блокчейн, обеспечит глубокую интеграцию цифровых технологий с реальной экономикой и будет способствовать развитию цифровой экономики.
Министерство общественной безопасности провело первое заседание Юридического консультативного комитета по кибербезопасности и специальный семинар по правовой системе кибербезопасности в Пекине с 10 по 11 октября. Юридический консультативный комитет по кибербезопасности усилит юридические исследования в области кибербезопасности, пресечет и исправит новые виды киберпреступности, защитит от рисков безопасности, связанных с современными технологиями и приложениями, и усилит комплексное киберуправление.
С 25 октября Надзорное бюро провинции Хэбэй Государственного финансового надзора и администрации Китайской Народной Республики (SFSA) проводит специальную работу, чтобы напомнить банкам о “неактивных счетах” и очистить “спящие полисы” личного страхования. Термин “неактивный аккаунт” относится к личному банковскому счету, на котором не осуществлялись активные операции в течение пяти или более лет и на котором все еще имеется баланс. “Полисы срочного страхования” относятся к полисам, которые еще не получили компенсацию или выплаты по наступлению срока действия страховых случаев или истечения срока действия договоров страхования, или еще не получили денежные выплаты за приостановление или расторжение договоров страхования. Напоминание помогает потребителям понять, как открывать свои банковские счета, своевременно проверять, использовать или аннулировать избыточные счета, а также повысить эффективность использования средств.
19 октября Шанхайская фондовая биржа опубликовала Руководство по соблюдению требований к безопасности транзакций с данными и список рекомендаций по соблюдению требований к транзакциям с данными, требования к соблюдению которых включают соответствие предмета транзакции, полноту системы управления безопасностью данных, легитимность источника данных и подтверждение товарности продукта с данными. Чтобы облегчить предприятиям понимание и внедрение оценки соответствия требованиям, в Руководящих принципах содержится перечень соображений по соблюдению требований, помогающих предприятиям эффективно выявлять риски соблюдения требований и безопасности, а также облегчать сотрудничество предприятий со сторонними организациями, предоставляющими услуги по оценке соответствия требованиям.
24 октября Шанхайская муниципальная комиссия по защите прав и интересов потребителей и Шанхайская ассоциация продаж автомобилей совместно разработали и выпустили “Руководство по соблюдению требований к защите личной информации в индустрии продаж автомобилей в Шанхае”. Среди прочего, в Руководстве четко указано, что сбор личной информации должен быть тесно связан со сценариями потребителей, такими как консультирование потребителей автомобилей, тест-драйвы, заказ, использование, автострахование, финансы и послепродажное обслуживание, и не должен выходить за рамки, необходимые для законов, нормативных актов и услуг. В то же время, без согласия отдельных потребителей или необходимости обеспечения безопасности вождения, такая информация, как следы транспортных средств, навигационные записи, водительские удостоверения и другая информация, не должна анализироваться и оцениваться для личного анализа или автоматического принятия решений.
24 октября Шанхайская муниципальная комиссия экономики и информационных технологий выпустила “Шанхайский каталог инноваций и научных достижений индустрии кибербезопасности 2023 года”, который включает в себя три категории инноваций в области базовых технологий, прикладных технологий и инноваций в сфере услуг и охватывает достижения в области безопасности искусственного интеллекта (ИИ), конфиденциальных вычислений, цифровой идентификации, безопасности цепочки поставок программного обеспечения, облачной безопасности, служб безопасного доступа, безопасности обращения данных, интеллектуального промышленного контроля, безопасности финансовых технологий и служб безопасности операций. Эти достижения направлены на содействие развитию индустрии кибербезопасности Шанхая и повышение возможностей и уровней защиты в сфере кибербезопасности.
9 октября Департамент экономики и информационных технологий провинции Чжэцзян объявил, что организует первую серию пилотной работы по декларированию корпоративных данных (CDO). Согласно уведомлению, провинция Чжэцзян определит несколько пилотных предприятий, ответственных за обработку данных, которые будут поощрять предприятия к внедрению системы CDO, раскрывать ценность элементов данных и ускорять цифровую трансформацию. Предприятия должны соответствовать условиям надежных институтов и систем экономического управления, придавать большое значение работе по управлению данными и располагать более масштабными информационными ресурсами.
Добавить комментарий