gerichtet sein gegenGesetz über die persönliche GarantieWir haben die "Zwölf Reaktionsmaßnahmen" für verschiedene Branchen und Unternehmen zusammengefasst, um die neuen Management- und Compliance-Anforderungen der Industrie zu erfüllen. Außerdem geben wir Empfehlungen ab, wie die verschiedenen Branchen diese Maßnahmen in Übereinstimmung mit ihrem spezifischen Branchenumfeld und ihren Bedürfnissen umsetzen können. Die "Zwölf Maßnahmen" sind im Folgenden aufgeführt:
Einrichtung eines Klassifizierungs- und hierarchischen Verwaltungssystems für personenbezogene Daten
Einrichtung einer Organisation zum Schutz personenbezogener Daten und Benennung einer Person, die für den Schutz personenbezogener Daten im Falle der Erfüllung der Anforderungen verantwortlich ist
Einrichtung eines Systems zur Verwaltung personenbezogener Daten während des gesamten Lebenszyklus
Einrichtung einer Plattform für die Verwaltung von Berechtigungen für personenbezogene Daten und einer Schnittstelle zum System für die Verwaltung von Zugriffsrechten im Unternehmen
Feststellung der persönlichenInformationssicherheitSysteme zur Folgenabschätzung
Einrichtung eines Notfallsystems für Sicherheitsvorfälle bei personenbezogenen Daten und eines Verfahrens zur Zusammenarbeit mit den Regulierungsbehörden bei der Untersuchung und Beweissammlung
Einrichtung eines Systems zur Verwaltung von Treuhändern für personenbezogene Daten
Einrichtung eines Mechanismus für die Entgegennahme und Bearbeitung von Anträgen auf Ausübung der Rechte von Personen, die personenbezogene Daten verarbeiten
Einrichtung eines Systems zur Prüfung der Einhaltung der Vorschriften über den Schutz personenbezogener Daten
Einrichtung eines Systems zur Aus- und Weiterbildung im Bereich der persönlichen Informationssicherheit
Einrichtung eines Sicherheitsbewertungssystems für die grenzüberschreitende Übermittlung personenbezogener Daten
Einrichtung eines Systems zur Gestaltung des Schutzes der Privatsphäre, eines Prüfmechanismus für die Nutzung von Nutzerprofilen, Big-Data-Analysen, künstlicher Intelligenz und anderen Hochtechnologien durch Anwendungen (APPs) sowie umfassende Nutzung von Verschlüsselung, De-Identifizierung und anderen Technologien zur Verarbeitung von Daten.
Das folgende Diagramm stellt diese "zwölf Antworten" den Bedürfnissen im Rahmen des Personenschutzgesetzes gegenüber
Im Folgenden wird beschrieben, wie die Zwölf Antworten auf den Finanzsektor angewandt wurden.
- Einrichtung eines Klassifizierungs- und hierarchischen Verwaltungssystems für personenbezogene Daten
Artikel 51 des Personenversicherungsgesetzes verlangt von den Verarbeitern personenbezogener Daten, "personenbezogene Daten als Verschlusssache zu verwalten", und viele Finanzinstitute haben bereits in den vergangenen Jahren im Rahmen ihrer Data-Governance-Programme Metalldaten als Verschlusssache eingestuft, obwohl es im Allgemeinen an Input aus der Sicherheitsperspektive mangelt.
Die am 1. Oktober 2020 in Kraft getretene Norm GB/T 35273-2020 "Personal Information Security Standard" definiert in den Abschnitten 3.1 und 3.2 die Begriffe "persönliche Daten" und "sensible persönliche Daten" und gibt in den Anhängen A und B die Bestimmungsmethoden und -arten an.
Und die von der Zentralbank herausgegebene JR/T 0171-2020 "Technical Specification for the Protection of Personal Financial Information", die am 13. Februar 2020 in Kraft getreten ist, enthält in den Abschnitten 3.2 und 3.3 Definitionen der Begriffe "persönliche Finanzinformationen" und "zahlungsrelevante Informationen" und in den Abschnitten 4.1 und 4.2 detaillierte Erläuterungen und Klassifizierungen:
C3: Informationen zur Benutzerkennung
C2: Informationen zur Identifizierung des Nutzers, Informationen zum Finanzstatus und wichtige Informationen zu Produkten und Dienstleistungen
C1: Verwendung personenbezogener Finanzdaten durch Finanzinstitute
JR/T 0197-2020 "Finanzen", herausgegeben von der Zentralbank, das am 23. September 2020 in Kraft tratDatensicherheitDie Klassifizierungsrichtlinien regeln die Klassifizierung und den Sicherheitsschutz von Finanzdaten im weiteren Sinne und sind die detailliertesten Richtlinien für die Klassifizierung und das Sicherheitsmanagement von Finanzdaten. In Abschnitt 3.10 werden Finanzdaten definiert, und in Abschnitt 3.11 werden personenbezogene Finanzinformationen in einer Weise definiert, die vollständig mit der Definition in Abschnitt 3.2 der Technischen Spezifikation für den Schutz personenbezogener Finanzinformationen übereinstimmt; in den Abschnitten ... 2 und 4.3 werden die Grundsätze und der Anwendungsbereich der Klassifizierung näher erläutert; und in Abschnitt 5 werden die Elemente, Regeln und der Prozess der Sicherheitsklassifizierung von Finanzdaten, das dynamische Änderungsmanagement und die Identifizierung wichtiger Daten im Detail beschrieben:
Anhang A enthält eine sehr detaillierte Referenztabelle mit typischen Klassifizierungsregeln für Finanzdaten, in der die Auflistung personenbezogener Finanzdaten vollständiger und detaillierter ist und vollständig mit C3, C2 und C1 in der Technischen Spezifikation für den Schutz personenbezogener Finanzdaten sowie mit personenbezogenen Daten und sensiblen personenbezogenen Daten in der Spezifikation für die Sicherheit personenbezogener Daten übereinstimmt, wie in der nachstehenden Tabelle dargestellt. Es wird vorgeschlagen, dass Finanzinstitute die Klassifizierung und Einstufung entsprechend der Granularität der Referenztabelle und in Verbindung mit der tatsächlichen Situation ihrer eigenen Organisationen vornehmen können:
JR/T 0197 | JR/T 0171 | GB/T 35273 |
Stufe 4: Informationen, die die Privatsphäre des Einzelnen sehr stark beeinträchtigenInformationen zur traditionellen Identifizierung(Magnetspurdaten der Karte (oder gleichwertige Informationen des Chips), Kartenprüfnummer (CVN und CVN2), Ablaufdatum der Karte, Karten-PIN, Transaktions-PIN für Netzzahlungen, PIN für die Kontoanmeldung, Transaktions-PIN, Abfrage-PIN usw.)Schwacher Schutz biometrischer Daten(Gesichter, Stimmabdrücke, Gangart, Ohrenabdrücke, Augenabdrücke, Handschrift usw.)Starke Privatsphäre biometrische Informationen(Fingerabdrücke, Iris, usw.) | C3 | Sensible persönliche Informationen |
Stufe 3: Informationen, die die Privatsphäre von Personen ernsthaft beeinträchtigenGrundlegende persönliche Profilinformationen(Name, Geschlecht, Nationalität, ethnische Zugehörigkeit, Heirat, Dokumente, Adresse usw.)Informationen über persönliches Eigentum(Einkommen, Immobilien, Fahrzeuge, Steuerzahlungen, Altersvorsorge, Sozialversicherung, Krankenversicherung usw.)Persönliche Kontaktinformationen(Mobiltelefon, Festnetz, E-Mail, Mikrosignal, usw.)Persönliche Gesundheit und physische Informationen(Gesundheitszustand, Krankenhausaufenthaltsberichte, ärztliche Anordnungen, Untersuchungsberichte, chirurgische Anästhesieberichte, Krankenpflegeberichte, Medikamentenberichte, Informationen über Allergien, Informationen über die Mutterschaft, medizinische Vorgeschichte, Diagnose und Behandlung, familiäre Vorgeschichte, aktuelle medizinische Vorgeschichte, Vorgeschichte von Infektionskrankheiten usw.)Persönliche Standortinformationen(Land, Stadt, Region, Straße, Breitengrad, Längengrad, usw.)Informationen zur Unterstützung der persönlichen Identifizierung(Dynamische Passwörter, SMS-Verifizierungscodes, Antworten auf Passwort-Erinnerungsfragen, dynamische Passwörter mit Sprachausgabe usw.)Persönliche Kreditinformationen(Informationen zur Kreditaufnahme, Informationen zur Rückzahlung, Informationen zu Zahlungsrückständen)Informationen über zwischenmenschliche Beziehungen(Eltern, Kinder, Geschwister, Ehepartner, soziale Beziehungen)Grundlegende Informationen zum Etikett(persönliche Kennzeichnungen, die auf der Grundlage grundlegender Merkmale wie Bildung, Beruf usw. erstellt werden)Informationen zum Beziehungsetikett(persönliche Kennzeichnung auf der Grundlage assoziativer Attribute wie familiäre Beziehungen, berufliche Beziehungen, Geschäftsbeziehungen) | C2 | Sensible persönliche Informationen |
Stufe 2: Informationen, die die Privatsphäre einer Person mäßig oder leicht beeinträchtigenPersönliche Informationen zur Schulbildung(Schule, Fakultät, Ausbildung, Abschluss, Fachrichtung, Eintrittsdatum, Datum des Abschlusses usw.)Persönliche Karriereinformationen(Einheit, Position, Arbeitsort, Einkommen, Anfangszeit, Endzeit, usw.)Informationen zum persönlichen Qualifikationsnachweis(Zeugnisnummer, ausstellende Behörde, Datum des Inkrafttretens, Ablaufdatum usw.)Persönliche Informationen zur Partei(Parteizugehörigkeit, Zeitpunkt der Einreise)Informationen über die öffentlich-privaten Beziehungen(Berufsinformation)Informationen zum persönlichen Verhalten(Online- und Offline-Konsultationen, Aufzeichnungen über Käufe und Nutzung, Browsing-Aufzeichnungen, Fahrgewohnheiten usw.)Andere Tags(Vertragsabschluss-Tag, Transaktions-Tag, Verhaltens-Tag, Marketing-Dienstleistungs-Tag, Risiko-Tag, Wert-Tag) | C1 | Persönliche Informationen |
- Einrichtung einer Organisation zum Schutz personenbezogener Daten und Benennung einer Person, die für den Schutz personenbezogener Daten im Falle der Erfüllung der Anforderungen verantwortlich ist
Artikel 52 des Gesetzes über den Schutz personenbezogener Daten legt fest, dass die Verarbeiter personenbezogener Daten verpflichtet sind, "personenbezogene Daten bis zu der vom Staatlichen Amt für Netzinformation festgelegten Menge zu verarbeiten und eine für den Schutz personenbezogener Daten verantwortliche Person zu benennen, die für die Überwachung der Verarbeitung personenbezogener Daten und der getroffenen Schutzmaßnahmen zuständig ist." In Artikel 66 heißt es: "Wer personenbezogene Daten unter Verstoß gegen die Bestimmungen dieses Gesetzes verarbeitet oder personenbezogene Daten verarbeitet, ohne die in diesem Gesetz ...... festgelegten Verpflichtungen zum Schutz personenbezogener Daten zu erfüllen, wird mit einer Geldstrafe in Höhe von 10.000 Yuan oder mehr als 100.000 Yuan gegen die direkt verantwortliche Person und andere direkt verantwortliche Personen belegt. Wenn die Umstände schwerwiegend sind, verhängt ...... eine Geldstrafe von nicht weniger als 100.000 Yuan und nicht mehr als 1 Million Yuan gegen die direkt verantwortlichen Aufsichtspersonen und andere direkt verantwortliche Personen und kann beschließen, ihnen zu verbieten, für einen bestimmten Zeitraum als Geschäftsführer, Aufsichtspersonen, leitende Angestellte und Verantwortliche für den Schutz personenbezogener Daten in den betreffenden Unternehmen zu arbeiten."
Die Person, die für den Schutz personenbezogener Daten zuständig ist, ähnelt einem Datenschutzbeauftragten nach der Datenschutz-Grundverordnung, und ihre Aufgaben können auf die Empfehlungen in 7.2.2.B der Technischen Spezifikation für den Schutz personenbezogener Finanzdaten JR/T 0171-2020 verwiesen werden:
Verantwortlich für die Entwicklung und Verwaltung des Sicherheitssystems für persönliche Finanzinformationen der Organisation;
Entwicklung, Umsetzung und regelmäßige Aktualisierung einer Datenschutzpolitik und der dazugehörigen Protokolle;
Beaufsichtigung des Sicherheitsmanagements für persönliche Finanzdaten innerhalb der Organisation sowie zwischen der Organisation und externen Partnern;
Durchführung interner Audits des Informationssicherheitsmanagements, Analyse und Bearbeitung von Vorfällen im Zusammenhang mit der Informationssicherheit;
Organisation und Durchführung von Folgenabschätzungen in Bezug auf die Sicherheit personenbezogener Finanzdaten und Vorschlag von Gegenmaßnahmen zum Schutz personenbezogener Finanzdaten;
Die Organisation führt technische Tests von Finanzprodukten oder -dienstleistungen durch, bevor sie online gestellt werden, um eine unbekannte (mit den Funktionen und Datenschutzrichtlinien der Finanzprodukte oder -dienstleistungen unvereinbare) Erfassung, Nutzung, Weitergabe und sonstige Verarbeitung personenbezogener Finanzdaten zu vermeiden;
Veröffentlichung von Informationen über Beschwerden und Einsprüche usw. und unverzügliche Entgegennahme von Beschwerden und Einsprüchen im Zusammenhang mit persönlichen Finanzdaten.
Eine umfassendere Organisationsstruktur für den Schutz personenbezogener Finanzdaten findet sich in Abschnitt 8 "Data Security Organisational Assurance" der JR/T0223-2021 "Financial Data Lifecycle Security Specification", die am 8. April 2021 von der Zentralbank in Kraft gesetzt wurde:
Die Finanzinstitute sollten einen Ausschuss für das Management der Datensicherheit einsetzen, ein Top-Down-Managementsystem für die Datensicherheit einrichten, das die vier Ebenen der Entscheidungsfindung, Verwaltung, Ausführung und Überwachung abdeckt (siehe obige Abbildung), die Organisationsstruktur und die Positionseinstellungen klären und die wirksame Umsetzung der Anforderungen an den Schutz des Lebenszyklus von Daten gewährleisten.
- Einrichtung eines Systems zur Verwaltung persönlicher Finanzdaten über den gesamten Lebenszyklus hinweg
Artikel 4 des Personenversicherungsgesetzes definiert den Umgang mit personenbezogenen Daten eindeutig als "die Erhebung, Speicherung, Verwendung, Verarbeitung, Übermittlung, Bereitstellung, Offenlegung und Löschung personenbezogener Daten" und deckt damit den gesamten Lebenszyklus personenbezogener Daten ab, und die Artikel 5-32 enthalten verschiedene entsprechende detaillierte Anforderungen. Finanzinstitute müssen ein Managementsystem einrichten, das den gesamten Lebenszyklus personenbezogener Finanzinformationen abdeckt, um die Anforderungen des Gesetzes zum Schutz personenbezogener Daten in jeder Phase dynamisch zu erfüllen.
In den Abschnitten 6 und 7 von JR/T 0171-2020 "Technische Spezifikation für den Schutz personenbezogener Finanzdaten" werden technische Anforderungen und Managementanforderungen für den Lebenszyklus personenbezogener Finanzdaten festgelegt. Und JR/T0223-2021 "Financial Data Life Cycle Security Specification" (Spezifikation für die Sicherheit von Finanzdaten im Lebenszyklus) enthält umfassendere und systematischere Sicherheitsanforderungen für die gesamten Finanzdaten unter dem Gesichtspunkt des Lebenszyklus.
StiftungNetzwerksicherheitJR/T0071.2-2020 "Implementation Guidelines for Network Security Level Protection for the Financial Industry", die für Level Protection 2.0 aktualisiert wurde und am 11. November 2020 in Kraft getreten ist, legte ebenfalls erweiterte Anforderungen für den Schutz personenbezogener Informationen für die Finanzindustrie vor (7.1.4.11, 8.1.4.11 und 9.1.4.11), wobei die Anforderungen für den Schutz personenbezogener Informationen unter dem Allgemeinen Gleichwertigen Schutz 2.0 von 2 auf 6 Artikel erweitert wurden und insbesondere Anforderungen für die Verwaltung, Kontrolle, Inspektion und Bewertung des gesamten Lebenszyklus sowie Anforderungen für die Anzeige-, Entwicklungs-, Test- und Austausch- und Übertragungsprozesse hinzugefügt wurden. Die Anforderungen für den Schutz personenbezogener Daten im Rahmen des Allgemeinen Gleichstellungsgesetzes 2.0 wurden von 2 auf 6 Artikel erweitert, und insbesondere wurden Anforderungen für die Verwaltung, Kontrolle, Prüfung und Bewertung des gesamten Lebenszyklus sowie Anforderungen für die Anzeige, Entwicklung und Prüfung sowie die gemeinsame Nutzung und Weitergabe von Informationen hinzugefügt.
Mehrere Normen können abgebildet und kombiniert werden, um die entsprechenden Anforderungen des Personenversicherungsgesetzes zu erfüllen (siehe unten).
- Einrichtung einer Plattform für die Verwaltung von Berechtigungen für personenbezogene Daten und einer Schnittstelle zum System für die Verwaltung von Zugriffsrechten im Unternehmen
Artikel 13 des Gesetzes über den Schutz personenbezogener Daten legt fest, dass die autorisierte Zustimmung der betroffenen Person die primäre Grundlage für die Rechtmäßigkeit der Sammlung und Verarbeitung personenbezogener Daten ist, und die Artikel 23, 25, 26, 29 und 39 sehen vor, dass die individuelle Zustimmung der betroffenen Person in fünf Fällen erforderlich ist, nämlich wenn die personenbezogenen Daten einem Dritten zur Verfügung gestellt werden, wenn sie offen gehandhabt werden, wenn die an öffentlichen Orten gesammelten personenbezogenen Daten für andere Zwecke verwendet werden, wenn die gesammelten personenbezogenen Daten in einer sensiblen Weise gehandhabt werden und wenn sie außerhalb des Landes zur Verfügung gestellt werden. Artikel 15 räumt der betroffenen Person das Recht ein, ihre Einwilligung zu widerrufen. Artikel 15 räumt den Betroffenen das Recht ein, ihre Einwilligung zu widerrufen. Um die Anforderungen des Gesetzes zum Schutz personenbezogener Daten zu erfüllen, müssen die Finanzinstitute daher eine Plattform einrichten, die eine dynamische Verknüpfung zwischen der Genehmigung des Betroffenen und dem Zugangskontrollsystem des Unternehmens herstellt, um den gesamten Lebenszyklus personenbezogener Finanzdaten abzudecken.
Wie in der nachstehenden Abbildung dargestellt, weist die einheitliche Plattform für das Berechtigungsmanagement den Daten, die durch die ausdrückliche Autorisierung des Subjekts der personenbezogenen Daten (Kunde) durch Etiketten usw. erfasst werden, "Berechtigungsattribute" zu und richtet eine Attribut-basierte Zugriffskontrolle (ABAC) für diese Daten ein, die dann mit der rollenbasierten Zugriffskontrolle (RBAC) kombiniert wird, die üblicherweise in Authentifizierungs- und Zugriffskontrollsystemen auf Unternehmensebene verwendet wird. - ABAC wird dann mit der rollenbasierten Zugriffskontrolle (Role Base Access Control, RBAC) kombiniert, die üblicherweise in Authentifizierungs- und Zugriffskontrollsystemen auf Unternehmensebene verwendet wird, und auf verschiedene Anwendungssysteme und Geschäftsprozesse angewendet, die am Lebenszyklus personenbezogener Daten beteiligt sind, und dynamisch angepasst. Anpassen.
- Einrichtung eines Folgenabschätzungssystems für die Sicherheit personenbezogener Daten
Artikel 55 des Personenversicherungsgesetzes verlangt in den folgenden Fällen eine Sicherheitsfolgenabschätzung für personenbezogene Daten:
(i) Umgang mit sensiblen persönlichen Informationen;
(ii) Automatisierte Entscheidungsfindung unter Verwendung personenbezogener Daten;
(iii) Beauftragung mit der Verarbeitung personenbezogener Daten, Weitergabe personenbezogener Daten an andere Verarbeiter personenbezogener Daten und Offenlegung personenbezogener Daten;
(iv) Bereitstellung personenbezogener Daten außerhalb des Landes;
(v) andere Tätigkeiten zur Verarbeitung personenbezogener Daten, die erhebliche Auswirkungen auf die Rechte und Interessen von Personen haben.
Artikel 56, der festlegt, was in der Folgenabschätzung zum Schutz personenbezogener Daten enthalten sein sollte:
(a) ob der Zweck der Verarbeitung personenbezogener Daten, die Art und Weise der Verarbeitung usw. rechtmäßig, legitim und notwendig ist;
(ii) Auswirkungen auf die Rechte und Interessen von Einzelpersonen und Sicherheitsrisiken;
(iii) ob die getroffenen Schutzmaßnahmen rechtmäßig, wirksam und dem Risiko angemessen sind.
Die Berichte über die Folgenabschätzung zum Schutz personenbezogener Daten und die Aufzeichnungen über den Umgang damit sind mindestens drei Jahre lang aufzubewahren.
GB/T 39335-2020 "Guidelines for Security Impact Assessment of Personal Information" (Richtlinien für die Sicherheitsfolgenabschätzung personenbezogener Daten) enthält die grundlegenden Prinzipien und den Umsetzungsprozess der Sicherheitsfolgenabschätzung für personenbezogene Daten und listet im Anhang die wichtigsten Punkte der Abschätzung, Beispiele für risikoreiche Verarbeitungen personenbezogener Daten, häufig verwendete Hilfsmittel und Referenzmethoden auf. Dies ist ein sehr praktischer nationaler Standard, nach dem die Finanzinstitute ihr eigenes System zur Bewertung der Informationssicherheit. Die folgende Abbildung zeigt die von dieser nationalen Norm vorgeschlagenen spezifischen Bewertungsschritte:
Laut Anhang B, "Beispiele für risikoreiche Tätigkeiten bei der Verarbeitung personenbezogener Daten", müssen Finanzinstitute auf Folgendes achten:
Datenverarbeitungen, die die Bewertung oder das Scoring personenbezogener Daten beinhalten, insbesondere die Bewertung oder Vorhersage der Arbeitsleistung, der finanziellen Situation, des Gesundheitszustands, der Vorlieben oder Interessen einer betroffenen Person (z. B. Kreditanalyse vor der Aufnahme eines Kredits, Entscheidungen über die Festsetzung von Prämien auf der Grundlage der Lebensweise, des Gesundheitszustands usw.)
Verwendung personenbezogener Daten für automatisierte Analysen, um Gerichtsurteile oder andere Entscheidungen zu fällen, die erhebliche Auswirkungen auf Einzelpersonen haben (z. B. Erstellung von Marketingprogrammen, die auf die spezifischen Präferenzen eines Nutzers durch Nutzerprofile zugeschnitten sind)
Die Menge und das Gewicht der gesammelten sensiblen persönlichen Daten ist hoch, und die Häufigkeit der Sammlung muss hoch sein, und sie steht in engem Zusammenhang mit persönlichen Erfahrungen, Gedanken und Meinungen, Gesundheit und finanziellem Status usw.
Abgleich und Zusammenführung von Datensätzen aus verschiedenen Verarbeitungstätigkeiten und deren Anwendung auf das Geschäft (Betrugsprävention, Risikokontrolle usw.)
Die Datenverarbeitung betrifft schutzbedürftige Gruppen wie Minderjährige, Kranke, ältere Menschen, Menschen mit geringem Einkommen usw.
Anwendung innovativer Technologien oder Lösungen wie Biometrie, IoT, KI usw. (z. B. KI-Kundendienst)
Die Verarbeitung personenbezogener Daten kann dazu führen, dass die betroffene Person nicht in der Lage ist, ihre Rechte auszuüben, Dienstleistungen in Anspruch zu nehmen, vertragliche Garantien zu erhalten usw. (z. B. Kreditentscheidungen über potenzielle Kunden zu treffen).
In Anhang D, "Reference Methods for Assessing the Impact of Personal Information Security" (Referenzmethoden zur Bewertung der Auswirkungen der Sicherheit personenbezogener Daten), findet sich auch eine Tabelle zur Bestimmung des Risikoniveaus für eine umfassende Bewertung der beiden Dimensionen "Auswirkungsniveau" und "Wahrscheinlichkeitsniveau":
- Einrichtung eines Notfallsystems für Sicherheitsvorfälle bei personenbezogenen Daten und eines Verfahrens zur Zusammenarbeit mit den Regulierungsbehörden bei der Untersuchung und Beweissammlung
Artikel 51 des Gesetzes über den Schutz personenbezogener Daten sieht vor, dass der Verarbeiter personenbezogener Daten "einen Notfallplan für Sicherheitsvorfälle mit personenbezogenen Daten aufstellen und dessen Umsetzung organisieren" muss, und Artikel 57 sieht vor, dass "der Verarbeiter personenbezogener Daten im Falle eines Verlusts, einer Manipulation oder eines Verlusts personenbezogener Daten oder eines möglichen Verlusts personenbezogener Daten unverzüglich Abhilfemaßnahmen ergreift und die für den Schutz personenbezogener Daten verantwortlichen Abteilungen und Personen sowie den spezifischen Inhalt der Meldung benachrichtigt"; Artikel 63 gibt der für den Schutz personenbezogener Daten zuständigen Behörde das Recht, Untersuchungen durchzuführen und Beweise zu sammeln. Artikel 57 sieht vor, dass "der Verarbeiter personenbezogener Daten unverzüglich Abhilfemaßnahmen ergreift und die für den Schutz personenbezogener Daten zuständigen Stellen und Personen sowie den konkreten Inhalt der Meldung mitteilt"; Artikel 63 gibt der für den Schutz personenbezogener Daten zuständigen Behörde das Recht, Nachforschungen anzustellen und Beweise zu sammeln. Finanzinstitute sollten Notfallpläne für den Verlust oder die Manipulation personenbezogener Daten gemäß den Anforderungen dieses Gesetzes und unter Bezugnahme auf die Maßnahmen für die Verwaltung von Finanzdienstleistungen von Banken und Versicherungsinstituten als Reaktion auf unvorhergesehene Ereignisse, GB/T 38645 Guide to Emergency Exercises for Cybersecurity Incidents und den Emergency Response Plan for Cybersecurity Incidents of Shanghai Municipality (Ausgabe 2019) formulieren.
- Einrichtung eines Systems zur Verwaltung von Treuhändern für personenbezogene Daten
In Artikel 22 des Personenversicherungsgesetzes heißt es: "Der Beauftragte hat personenbezogene Daten gemäß der Vereinbarung zu verarbeiten und darf personenbezogene Daten nicht über den vereinbarten Zweck und die vereinbarte Art und Weise der Verarbeitung hinaus verarbeiten; wenn der Beauftragungsvertrag nicht in Kraft ist, ungültig ist, gekündigt oder beendet wird, hat der Beauftragte die personenbezogenen Daten an den Verarbeiter der personenbezogenen Daten zurückzugeben oder sie zu löschen und darf sie nicht zurückbehalten. Der Beauftragte darf ohne die Zustimmung des Verarbeiters der personenbezogenen Daten keine anderen Personen mit der Verarbeitung personenbezogener Daten beauftragen." In Artikel 55 heißt es: "Der Beauftragte ergreift in Übereinstimmung mit den Bestimmungen dieses Gesetzes und den einschlägigen Rechts- und Verwaltungsvorschriften die erforderlichen Maßnahmen, um die Sicherheit der verarbeiteten personenbezogenen Daten zu gewährleisten und den Verarbeiter personenbezogener Daten bei der Erfüllung seiner Pflichten nach diesem Gesetz zu unterstützen." Finanzinstitute können dies in Verbindung mit der ursprünglichen CBRC-Reihe von Vorschriften zu IT-Outsourcing-Risiken sowie den Anforderungen von 8.4 der JR/T0223-2021 "Financial Data Lifecycle Security Specification" handhaben.
- Einrichtung eines Mechanismus für die Entgegennahme und Bearbeitung von Anträgen auf Ausübung der Rechte von Personen, die personenbezogene Daten verarbeiten
Die Artikel 44 bis 49 von Kapitel 4 des Gesetzes zum Schutz personenbezogener Daten gewähren den Betroffenen eine Reihe von Rechten, und Artikel 50 schreibt vor, dass "die Verarbeiter personenbezogener Daten ein geeignetes Verfahren für die Annahme und Bearbeitung von Anträgen natürlicher Personen auf Ausübung ihrer Rechte einrichten müssen". Artikel 50 schreibt vor, dass "die Verarbeiter personenbezogener Daten ein geeignetes Verfahren für die Annahme und Bearbeitung von Anträgen natürlicher Personen einrichten müssen", und räumt den Betroffenen das Recht ein, Klage zu erheben, wenn ihr Antrag abgelehnt wird, und Artikel 70 sieht darüber hinaus ein Verfahren vor, das es den zuständigen Behörden und Organisationen ermöglicht, öffentliche Klage zu erheben.
Unter dem Gesichtspunkt der "Bequemlichkeit" sollten die Finanzinstitute versuchen, eine Omnikanal-Akzeptanzplattform einzurichten, insbesondere unter Berücksichtigung verschiedener Online-Kanäle wie APP und öffentliche Nummer.
- Einrichtung eines Systems zur Prüfung der Einhaltung der Vorschriften über den Schutz personenbezogener Daten
Artikel 54 des Personenversicherungsgesetzes schreibt vor, dass "die Auftragsverarbeiter personenbezogener Daten regelmäßig die Einhaltung der Gesetze und Verwaltungsvorschriften bei der Verarbeitung personenbezogener Daten überprüfen", und Artikel 64 ermächtigt die zuständigen Behörden, "die Auftragsverarbeiter personenbezogener Daten zu verpflichten, professionelle Organisationen mit der Durchführung von Prüfungen der Einhaltung der Vorschriften bei der Verarbeitung personenbezogener Daten zu beauftragen. Artikel 64 ermächtigt die zuständigen Stellen, von den "Verarbeitern personenbezogener Daten zu verlangen, dass sie Fachverbände mit der Durchführung von Prüfungen der Einhaltung der Vorschriften bei der Verarbeitung personenbezogener Daten beauftragen. Artikel 58 verlangt von "Verarbeitern personenbezogener Daten, die Dienste auf wichtigen Internetplattformen anbieten, eine große Anzahl von Nutzern haben und komplexe Geschäftsarten betreiben", "eine unabhängige Organisation einzurichten, die sich hauptsächlich aus externen Mitgliedern zusammensetzt, um den Schutz personenbezogener Daten zu überwachen" und "regelmäßig einen Bericht über die soziale Verantwortung für den Schutz personenbezogener Daten zu veröffentlichen und die soziale Kontrolle zu akzeptieren".
Finanzinstitute können Sicherheitsaudits gemäß JR/T0223-2021 Financial Data Lifecycle Security Specification 8.1.d festlegen.
Compliance-Audit, Risikomanagement und andere verwandte Positionen sollten als Aufsichtsebene des Datensicherheitsmanagements die folgenden Aufgaben erfüllen:
1) Je nach der tatsächlichen Situation des datenbezogenen Geschäfts der Organisation Festlegung der entsprechenden Auditstrategie und -spezifikationen, einschließlich, aber nicht beschränkt auf den Auditzyklus, den Auditmodus, die Auditform und andere Inhalte.
2) Überwachung der Umsetzung von Datensicherheitsmaßnahmen und -richtlinien.
3) Veröffentlichung von Informationen über Beschwerden und Meldeverfahren sowie rechtzeitige Entgegennahme von Beschwerden und Meldungen im Zusammenhang mit der Datensicherheit und dem Schutz der Privatsphäre.
4) Durchführung interner Audits und Analysen der Datensicherheit, Ermittlung von Problemen und Risiken und Bereitstellung von Feedback dazu sowie Überwachung der anschließenden einschlägigen Korrekturmaßnahmen der Einrichtung.
5) Mitwirkung an der Organisation und Koordinierung von Arbeiten im Zusammenhang mit externen Prüfungen.
- Einrichtung eines Systems zur Aus- und Weiterbildung im Bereich der persönlichen Informationssicherheit
Artikel 51 des Personenschutzgesetzes schreibt "regelmäßige Sicherheitsschulungen und -trainings für Mitarbeiter" vor. Schulungsprogramme können unter Bezugnahme auf die Anforderungen von 8.3.b der Sicherheitsspezifikation für den Lebenszyklus von Finanzdaten entwickelt werden:
1) Regelmäßige Durchführung von Schulungen und Trainings zum Thema Datensicherheit in Übereinstimmung mit dem Trainingsplan, der unter anderem die einschlägigen nationalen Gesetze und Vorschriften, Branchenregeln und -vorschriften, technische Standards sowie die internen datenschutzrelevanten Systeme und Managementverfahren der Finanzinstitute usw. umfasst, sowie Bewertung, Aufzeichnung und Archivierung der Schulungsergebnisse.
2) Regelmäßige Aufklärung und Schulung des Personals, das in engem Kontakt mit hochsicheren Daten steht, über Datensicherheit, Sensibilisierung für die regelmäßige Löschung von Daten im Büro und regelmäßige Selbstkontrolle der Datenlöschung.
3) Jährlich wird mindestens eine spezielle Schulung zur Datensicherheit für das mit der Verwaltung der Datensicherheit betraute Personal und für Mitarbeiter in Schlüsselpositionen durchgeführt.
4) Führen Sie mindestens einmal jährlich oder bei wesentlichen Änderungen der Datenschutzpolitik spezielle Schulungen und Bewertungen für Mitarbeiter in Schlüsselpositionen im Bereich der Datensicherheit durch, um sicherzustellen, dass sie mit der Datenschutzpolitik und den damit verbundenen Protokollen vertraut sind.
Der Aufbau eines Bewusstseins für die Sicherheit persönlicher Daten in der gesamten Belegschaft umfasst in der Regel vier Komponenten: Schulungsinhalte, Bewertung und Verfolgung, Kommunikationsplan und Sensibilisierungskultur.
- Einrichtung eines Sicherheitsbewertungssystems für die grenzüberschreitende Übermittlung personenbezogener Daten
Die grenzüberschreitende Übermittlung personenbezogener Daten ist in den Artikeln 38 bis 43 des Personenversicherungsgesetzes geregelt. Nachfolgend finden Sie eine Zusammenfassung der Gesetze und Vorschriften sowie der nationalen und branchenüblichen Bestimmungen, die für Finanzinstitute in Bezug auf die Lokalisierung und grenzüberschreitende Übermittlung personenbezogener Finanzdaten gelten:
a. "DieCybersicherheitsgesetzAbschnitt 37 des Gesetzes:
Personenbezogene Informationen und wichtige Daten, die von Betreibern kritischer Informationsinfrastrukturen im Rahmen ihrer Tätigkeit in der Volksrepublik China gesammelt und erzeugt werden, sind im Land zu speichern. Wenn es aus geschäftlichen Gründen notwendig ist, sie außerhalb des Landes verfügbar zu machen, ist eine Sicherheitsbewertung gemäß den von der staatlichen Internet-Informationsabteilung in Zusammenarbeit mit den zuständigen Abteilungen des Staatsrats formulierten Methoden durchzuführen.
b. Das Übereinkommen zur Beseitigung jeder Form von Diskriminierung der Frau.DatensicherheitsgesetzArtikel 26:
Wenn ein Land oder eine Region der Volksrepublik China diskriminierende Verbote, Beschränkungen oder andere ähnliche Maßnahmen in Bezug auf Investitionen, Handel und andere Angelegenheiten im Zusammenhang mit Daten, Datennutzung und Technologie auferlegt, kann die Volksrepublik China im Lichte der tatsächlichen Situation Gegenmaßnahmen gegen dieses Land oder diese Region ergreifen.
c. Abschnitt 31 des Datensicherheitsgesetzes:
Die Bestimmungen des Netzsicherheitsgesetzes der Volksrepublik China gelten für das Sicherheitsmanagement wichtiger Daten, die von Betreibern kritischer Informationsinfrastrukturen bei ihrer Tätigkeit im Hoheitsgebiet der Volksrepublik China erfasst und erzeugt werden, und die Maßnahmen für das Sicherheitsmanagement wichtiger Daten, die von anderen Datenverarbeitern bei ihrer Tätigkeit im Hoheitsgebiet der Volksrepublik China erfasst und erzeugt werden, werden vom Staatlichen Internet-Informationsdienst in Zusammenarbeit mit den zuständigen Abteilungen des Staatsrats ausgearbeitet.
d. Artikel 36 des Gesetzes über die Datensicherheit:
Die zuständigen Organe der Volksrepublik China bearbeiten Ersuchen ausländischer Justiz- oder Strafverfolgungsbehörden um die Bereitstellung von Daten in Übereinstimmung mit den einschlägigen Gesetzen und den internationalen Verträgen und Abkommen, die die Volksrepublik China abgeschlossen hat oder denen sie beigetreten ist, oder in Übereinstimmung mit dem Grundsatz der Gleichheit und des gegenseitigen Nutzens. Organisationen oder Einzelpersonen im Hoheitsgebiet der Volksrepublik China dürfen im Hoheitsgebiet der Volksrepublik China gespeicherte Daten nicht ohne die Zustimmung der zuständigen Organe der Volksrepublik China an ausländische Justiz- oder Strafverfolgungsbehörden weitergeben.
e. Das Übereinkommen über die Rechte des KindesGesetz zum Schutz persönlicher DatenArtikel 40:
Betreiber kritischer Informationsinfrastrukturen und Verarbeiter personenbezogener Daten, deren Umgang mit personenbezogenen Daten die von der nationalen Abteilung für Internet-Informationen festgelegte Menge erreicht, müssen personenbezogene Daten, die im Hoheitsgebiet der Volksrepublik China gesammelt und erzeugt wurden, in ihrem Hoheitsgebiet speichern. Ist es erforderlich, solche Informationen außerhalb des Landes bereitzustellen, müssen sie die von der nationalen Abteilung für Internet-Informationen organisierte Sicherheitsbewertung bestehen.
f. Artikel 41 des Gesetzes über den Schutz personenbezogener Daten:
Die zuständigen Behörden der Volksrepublik China bearbeiten Ersuchen ausländischer Justiz- oder Strafverfolgungsbehörden um Bereitstellung personenbezogener Daten, die im Hoheitsgebiet der Volksrepublik China gespeichert sind, in Übereinstimmung mit den einschlägigen Gesetzen und den internationalen Verträgen und Abkommen, denen die Volksrepublik China beigetreten ist, oder in Übereinstimmung mit dem Grundsatz der Gleichheit und des gegenseitigen Nutzens. Sofern nicht von den zuständigen Behörden der Volksrepublik China genehmigt, dürfen die Verarbeiter personenbezogener Daten ausländischen Justiz- oder Strafverfolgungsbehörden keine im Hoheitsgebiet der Volksrepublik China gespeicherten personenbezogenen Daten zur Verfügung stellen.
g. Artikel 42 des Gesetzes über den Schutz personenbezogener Daten:
Wenn eine Organisation oder eine Einzelperson außerhalb des Landes personenbezogene Daten verarbeitet, die die Rechte und Interessen der Bürger der Volksrepublik China in Bezug auf personenbezogene Daten verletzen oder die nationale Sicherheit oder die öffentlichen Interessen der Volksrepublik China gefährden, kann der Staatliche Internet-Informationsdienst sie in die Liste der Beschränkungen oder Verbote für die Bereitstellung personenbezogener Daten aufnehmen, dies öffentlich ankündigen und Maßnahmen wie die Beschränkung oder das Verbot der Bereitstellung personenbezogener Daten an sie ergreifen.
h. Artikel 43 des Gesetzes zum Schutz personenbezogener Daten:
Erlässt ein Land oder eine Region diskriminierende Verbote, Beschränkungen oder andere ähnliche Maßnahmen gegen die Volksrepublik China in Bezug auf den Schutz personenbezogener Daten, kann die Volksrepublik China entsprechend der tatsächlichen Situation Gegenmaßnahmen gegen dieses Land oder diese Region ergreifen.
i. Artikel 177 des Wertpapiergesetzes:
Die Wertpapierregulierungsbehörden im Ausland dürfen keine direkten Tätigkeiten wie Ermittlungen und Beweiserhebungen im Hoheitsgebiet der Volksrepublik China durchführen. Ohne die Zustimmung der dem Staatsrat unterstellten Wertpapieraufsichtsbehörden und der dem Staatsrat unterstellten zuständigen Behörden darf keine Einheit oder Einzelperson Dokumente und Informationen im Zusammenhang mit Wertpapiergeschäften außerhalb des Hoheitsgebiets der Volksrepublik China bereitstellen.
j. Artikel 5 des Gesetzes zur Bekämpfung der Geldwäsche:
Kundenidentitätsdaten und Transaktionsinformationen, die in Erfüllung der gesetzlichen Pflichten zur Bekämpfung der Geldwäsche erlangt werden, sind vertraulich zu behandeln; sie dürfen keiner Stelle oder Person zur Verfügung gestellt werden, es sei denn, dies geschieht in Übereinstimmung mit den gesetzlichen Bestimmungen.
k. Artikel 6 des Konzepts zur Überprüfung der Cybersicherheit - Überarbeiteter Entwurf zur Kommentierung:
Betreiber, deren persönliche Daten von mehr als 1 Million Nutzern im Ausland veröffentlicht werden, müssen sich beim Amt für die Überprüfung der Cybersicherheit zur Überprüfung der Cybersicherheit melden
l. Artikel 10 der Maßnahmen zur Überprüfung der Cybersicherheit - Überarbeiteter Entwurf zur Kommentierung:
Risiken der unbefugten Kontrolle, Störung oder Zerstörung kritischer Informationsinfrastrukturen, die sich aus der Nutzung von Produkten und Dienstleistungen ergeben
Gefährdung der Geschäftskontinuität kritischer Informationsinfrastrukturen aufgrund von Unterbrechungen bei der Lieferung von Produkten und Dienstleistungen
Die Sicherheit, Offenheit, Transparenz und Vielfalt der Bezugsquellen von Produkten und Dienstleistungen, die Zuverlässigkeit der Lieferkanäle und das Risiko von Versorgungsunterbrechungen aufgrund politischer, diplomatischer, handelspolitischer und anderer Faktoren.
Einhaltung der chinesischen Gesetze, Verwaltungsvorschriften und Dienstvorschriften durch Produkt- und Dienstleistungsanbieter.
Risiko des Diebstahls, des Verlusts, der Zerstörung und der illegalen Nutzung oder des Verlassens von Kerndaten, wichtigen Daten oder großen Mengen personenbezogener Informationen.
Das Risiko, dass kritische Informationsinfrastrukturen, Kerndaten, wichtige Daten oder große Mengen personenbezogener Daten von ausländischen Regierungen beeinflusst, kontrolliert oder böswillig ausgenutzt werden, nachdem sie im Ausland gelistet wurden.
m. Artikel 20 der Versuchsmaßnahmen zum Schutz personenbezogener Finanzinformationen (Daten) und 7.1.3.d der Technischen Spezifikation für den Schutz personenbezogener Finanzinformationen:
Personenbezogene Finanzdaten, die im Rahmen der Bereitstellung von Finanzprodukten oder -dienstleistungen im Hoheitsgebiet der Volksrepublik China erhoben und generiert werden, müssen im Hoheitsgebiet gespeichert, verarbeitet und analysiert werden. Wenn es aufgrund geschäftlicher Erfordernisse notwendig ist, personenbezogene Finanzinformationen an ausländische Institutionen (einschließlich des Hauptsitzes, der Muttergesellschaft oder von Zweigstellen, Tochtergesellschaften und anderen angeschlossenen Institutionen, die für die Erfüllung solcher Geschäfte erforderlich sind) zu übermitteln, gelten die folgenden besonderen Anforderungen:
Sie sollte mit den nationalen Gesetzen und Vorschriften sowie den einschlägigen Bestimmungen der Branchenbehörden in Einklang stehen;
Die ausdrückliche Zustimmung der betroffenen Person ist einzuholen;
Sicherheitsbewertungen von personenbezogenen Finanzdaten, die das Land verlassen, sollten gemäß den vom Staat und den zuständigen Abteilungen der Industrie formulierten Methoden und Standards durchgeführt werden, um sicherzustellen, dass die Datensicherheitskapazität der ausländischen Institutionen den Sicherheitsanforderungen des Staates, der zuständigen Abteilungen der Industrie und der Institutionen der Finanzindustrie entspricht;
Sie sollte durch die Unterzeichnung von Vereinbarungen und die Überprüfung vor Ort mit den ausländischen Einrichtungen die tatsächliche Erfüllung der Aufgaben und Pflichten der ausländischen Einrichtungen, wie z. B. die Vertraulichkeit persönlicher Finanzinformationen, die Löschung von Daten und die Koordinierung von Fällen, klären und überwachen.
n. Artikel 2 der "Maßnahmen zur Bewertung der Ausgangssicherheit personenbezogener Daten - Entwurf zur Stellungnahme":
Netzbetreiber, die im Rahmen ihrer Geschäftstätigkeit in der Volksrepublik China erhobene personenbezogene Daten (nachstehend "ausgehende personenbezogene Daten" genannt) bereitstellen, führen eine Sicherheitsbewertung gemäß diesen Maßnahmen durch. Ergibt die Sicherheitsbewertung, dass die Ausfuhr personenbezogener Informationen die nationale Sicherheit beeinträchtigen, dem öffentlichen Interesse schaden oder den wirksamen Schutz der Sicherheit personenbezogener Informationen erschweren könnte, dürfen die Informationen nicht ausgeführt werden.
In fast allen Gesetzen und Verordnungen wird das Erfordernis einer Sicherheitsprüfung für den Ausgang erwähnt, und die Zentralbank hat sogar klargestellt, dass die lokale "Speicherung, Verarbeitung und Analyse" personenbezogener Finanzdaten eine Sicherheitsprüfung und Genehmigung für den Ausgang erfordert. Auch in Artikel 38 des Personenversicherungsgesetzes wird dies klargestellt:
Wenn ein Verarbeiter personenbezogener Daten aufgrund geschäftlicher oder anderer Erfordernisse personenbezogene Daten außerhalb der Volksrepublik China bereitstellen muss, muss er eine der folgenden Bedingungen erfüllen:
(a) Bestehen der von der Staatlichen Abteilung für Netzinformation organisierten Sicherheitsbewertung gemäß den Bestimmungen von Artikel 40 dieses Gesetzes;
(ii) von einer professionellen Organisation für den Schutz personenbezogener Daten gemäß den Vorschriften der staatlichen Abteilung für Internetinformationen zertifiziert;
(c) Abschluss von Verträgen mit ausländischen Empfängern gemäß den von der nationalen Internet-Informationsabteilung formulierten Standardverträgen, in denen die Rechte und Pflichten beider Parteien vereinbart werden;
(d) Andere Bedingungen, die durch Gesetze, Verwaltungsvorschriften oder den staatlichen Internet-Informationsdienst festgelegt sind.
Es wird auch verlangt, dass die Verarbeiter personenbezogener Daten die notwendigen Maßnahmen ergreifen, um sicherzustellen, dass die Tätigkeiten der Empfänger im Ausland im Umgang mit personenbezogenen Daten den in diesem Gesetz festgelegten Standards für den Schutz personenbezogener Daten entsprechen.
Derzeit sind die "Measures for Security Assessment of Personal Information Outbound - Exposure Draft" und die "Guidelines for Security Assessment of Data Outbound - Exposure Draft" noch nicht in Kraft getreten. In Ermangelung eines umfassenderen und vollständigeren Sicherheitsbewertungssystems für den Export personenbezogener Daten durch die Finanzinstitute selbst wird jedoch empfohlen, wenn es tatsächlich erforderlich ist, personenbezogene Daten aufgrund geschäftlicher Erfordernisse ins Ausland zu übermitteln, eine Sicherheitsbewertung gemäß den beiden noch nicht in Kraft getretenen Vorschriften und Standards durchzuführen und den Aufsichtsbehörden einen Bericht zur Genehmigung vorzulegen.
Gemäß den "Guidelines for Security Assessment of Data Exit - Exposure Draft" ist zunächst eine Zweckbestimmung vorzunehmen, um die Rechtmäßigkeit, Legitimität und Notwendigkeit der Herausgabe personenbezogener Daten zu gewährleisten, und dann eine Sicherheitsbewertung des Ausmaßes der Auswirkungen der Informationen selbst sowie des Sicherheitsmanagements und der technischen Fähigkeiten der Absender und Empfänger der Daten vorzunehmen:
Tabelle 3: Skala zur Bestimmung der Rechte und Interessen des Einzelnen und des Ausmaßes der Auswirkungen auf die nationale Sicherheit, die wirtschaftliche Entwicklung und das öffentliche Interesse der Gesellschaft
Tabelle 4: Zuordnungen der Sicherheitsfähigkeiten von Sender und Empfänger
Tabelle 5: Bewertungsskala für die Wahrscheinlichkeit von Sicherheitsvorfällen
Tabelle 6: Referenztabelle zur Bestimmung der Sicherheitsrisikostufe
In der Richtlinie 4.2.5 heißt es: "Personenbezogene Informationen und wichtige Daten dürfen nicht exportiert werden, wenn der Datenexportplan bei der Bewertung des Exportzwecks die Anforderungen an die Rechtmäßigkeit, Legitimität und Notwendigkeit nicht erfüllt oder wenn das Risiko für die Sicherheit des Exports bei der Bewertung des Sicherheitsrisikos des Datenexports hoch oder sehr hoch ist".
- Einrichtung eines Systems zur Gestaltung des Schutzes der Privatsphäre, eines Prüfmechanismus für die Nutzung von Nutzerprofilen, Big-Data-Analysen, künstlicher Intelligenz und anderen Hochtechnologien durch Anwendungen (APPs) sowie umfassende Nutzung von Verschlüsselung, De-Identifizierung und anderen Technologien zur Verarbeitung von Daten.
In Artikel 73 des Personenversicherungsgesetzes wird die automatisierte Entscheidungsfindung definiert als "eine Tätigkeit, bei der die Verhaltensgewohnheiten, Interessen oder der wirtschaftliche, gesundheitliche oder kreditbezogene Status einer Person durch ein Computerprogramm automatisch analysiert und bewertet werden und bei der Entscheidungen getroffen werden". In Artikel 24 werden spezifische Anforderungen gestellt, um rote Linien für Big Data und Algorithmen zu ziehen, insbesondere wird "keine unangemessene unterschiedliche Behandlung von Personen in Bezug auf Transaktionspreise und andere Transaktionsbedingungen" hinzugefügt, um das Phänomen "Big Data tötet Vertrautheit" zu beseitigen, sowie die Anforderung, eine "bequeme Möglichkeit zur Ablehnung" und "eine bequeme Möglichkeit zur Ablehnung" bereitzustellen. "Darüber hinaus schränkt 7.4 des Kodex für die Sicherheit personenbezogener Daten auch die Verwendung von Nutzerprofilen ein und verlangt die Verwendung indirekter Nutzerprofile für kommerzielle Zwecke. Die Finanzinstitute sollten ein System zur Gestaltung des Datenschutzes einrichten, das das Konzept des Standarddatenschutzes in alle Aspekte der Produktentwicklung, der Dienstleistungen usw. einbezieht.
Artikel 73 des Personenversicherungsgesetzes definiert Anonymisierung und De-Identifizierung, und Artikel 51 verlangt von den Verarbeitern personenbezogener Daten, "entsprechende sicherheitstechnische Maßnahmen wie Verschlüsselung und De-Identifizierung zu ergreifen", und Finanzinstitute können in den erforderlichen Szenarien geeignete Verschlüsselungs- und De-Identifizierungs-Technologien gemäß den spezifischen Anforderungen für Verschlüsselung und De-Identifizierung in der Technischen Spezifikation für den Schutz personenbezogener Finanzdaten von JR/T 0171-2020 und unter Bezugnahme auf GB/T 37964-2019 Richtlinien für die De-Identifizierung personenbezogener Daten anwenden. Finanzinstitute können in den erforderlichen Szenarien geeignete Verschlüsselungs- und De-Identifizierungs-Technologien gemäß den spezifischen Anforderungen für Verschlüsselung und De-Identifizierung in der Technischen Spezifikation für den Schutz personenbezogener Finanzdaten JR/T 0171-2020 und unter Bezugnahme auf die GB/T 37964-2019 Richtlinien für die De-Identifizierung personenbezogener Daten anwenden.
Um den Einsatz der Privacy-Computing-Technologie in der Finanzbranche zu fördern, hat die Zentralbank die JR/T 0196-2020 "Multi-Party Secure Computing Technical Specifications for Financial Applications" (MPC) herausgegeben und die Sicherheits- und Leistungsanforderungen dargelegt.
Wenn die Privacy-Computing-Technologie in Zukunft weiterentwickelt wird, um den Anforderungen verschiedener Finanzgeschäftsszenarien in Bezug auf Anwendungsbereich und Leistung gerecht zu werden, wird sie die gemeinsame Nutzung von Daten unter verschiedenen Anforderungen in hohem Maße gewährleisten und gleichzeitig ein hohes Maß an Sicherheit bieten, wie z. B. bei der gemeinsamen Kreditsammlung und grenzüberschreitenden Datenszenarien. Die Finanzinstitute sollten der Entwicklung der Privacy-Computing-Technologie große Aufmerksamkeit widmen und sie aktiv ausprobieren.
Abschließend möchte ich das "Overarching Framework for Personal Information Management Systems" von Deloitte, einem Beratungsunternehmen, empfehlen.
Und die Abbildung der von den drei Zentralbanken herausgegebenen Finanzstandards, die in diesem Papier wiederholt empfohlen werden, um diese "zwölf Antworten" zu verwirklichen.
Vielen Dank für die Lektüre und bleiben Sie dran, wenn wir weitere Analysen für andere stark regulierte Branchen herausbringen!
In dieser digitalen Welt kann der Ruf eines Unternehmens online beginnen und enden. Netze sind überall, so dass die Cybersicherheit eine gemeinsame Verantwortung für das gesamte Unternehmen ist. Vertrauen ist der Eckpfeiler von Beziehungen und die Grundlage für alle Ihre Interaktionen mit Mitarbeitern, Lieferanten, Partnern und Kunden.
Originalartikel von David, bei Vervielfältigung bitte https://cncso.com/de/masnahmen-zum-schutz-personenbezogener-daten-law-html angeben.
Kommentare(2)
Sehr gute Referenz für die Umsetzung des Personenschutzgesetzes, fundierter, kudos.
@Roadrunner::Lernen Sie gemeinsam das neue Gesetz. :)