Ministerstwo Przemysłu i Technologii Informacyjnych Chin opublikowało projekt planu dotyczącego reakcji lokalnych władz i firm w przypadku incydentu związanego z bezpieczeństwem danych. Propozycja obejmuje system czterech poziomów działań, z różnymi środkami reakcji dostosowanymi do skali incydentu.
System cyberbezpieczeństwa w Chinach
Chińskie Ministerstwo Przemysłu i Technologii Informacyjnych opublikowało szczegółowy projekt planu określającego, w jaki sposób władze lokalne i firmy powinny oceniać i reagować na incydenty. Plan prezentuje czteropoziomowy system oznaczony kolorami, w zależności od stopnia szkód wyrządzonych bezpieczeństwu narodowemu, sieci internetowej i informacyjnej firmy lub funkcjonowaniu gospodarki.
Zgodnie z planem zdarzenia związane z utratą przekraczającą 1 miliard juanów (141 milionów dolarów), wpływające na dane osobowe ponad 100 milionów osób lub zawierające „wrażliwe” informacje dotyczące ponad 10 milionów osób, zostaną zaklasyfikowane jako „szczególnie poważne”, co skutkuje wydaniem czerwonego ostrzeżenia. Firmy i odpowiednie lokalne organy regulacyjne zaangażowane w reakcję na czerwone i pomarańczowe ostrzeżenia będą musiały wprowadzić 24-godzinną rotację pracy w celu rozwiązania incydentu, a Ministerstwo Przemysłu i Technologii Informacyjnych musi zostać poinformowane o naruszeniu danych w ciągu dziesięciu minut od jego wystąpienia.
Jak działa zgłaszanie naruszeń w Chinach?
W tym kontekście warto wskazać, jak działa zgłaszanie naruszeń ochrony danych osobowych w Chinach. Wedle chińskiej ustawy o ochronie danych osobowych w przypadku podejrzenia lub faktycznego naruszenia ochrony danych osobowych administrator danych osobowych musi niezwłocznie podjąć środki zaradcze i powiadomić osoby, których dane dotyczą, oraz odpowiednie organy regulacyjne. Ustawa wymaga, aby powiadomienie zawierało określone treści:
- rodzaj(e) danych osobowych, których dotyczy naruszenie;
- przyczynę i możliwe szkody, które mogą wyniknąć z naruszenia;
- wszelkie środki zaradcze podjęte przez administratora danych osobowych oraz środki, które osoby fizyczne mogą podjąć w celu złagodzenia szkody; oraz
- dane kontaktowe administratora danych osobowych.
Chiny planują zaostrzyć kary za naruszenia cyberbezpieczeństwa
Ustawa ponadto określa próg ryzyka wystąpienia szkody, w którym konieczne jest zawiadomienie osób, których dane dotyczą. Jeśli środki podjęte przez administratora danych osobowych mogą skutecznie złagodzić szkodę spowodowaną naruszeniem danych, administrator danych osobowych nie będzie zobowiązany do powiadamiania osób, których dane dotyczą, chyba że organ nadzorczy postanowi inaczej.
Wzrost zagrożeń związanych z ochroną danych osobowych
Proponowany czterostopniowy system, jest mocnym rozszerzeniem obecnego systemu notyfikacji. Jednakże niektóre proponowane rozwiązania, szczególnie dotyczące limitu czasu na zgłoszenie naruszenia przy najwyższym zagrożeniu, mogą być nieosiągalne dla organizacji. Pokazuje to jednak, że w Chinach ochrona danych osobowych oraz cyberbezpieczeństwo traktowane są bardzo poważnie.
Źródło:
https://iapp.org/news/a/china-proposes-tiered-system-to-address-data-breaches/
