Gesetz der Volksrepublik China über den Schutz personenbezogener Daten (in Kraft getreten am 1. November 2021)
Artikel 54 und 64: Sie bilden den grundlegenden Rechtsrahmen für die Überprüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten und verpflichten die Unternehmen zur proaktiven Erfüllung ihrer Prüfpflichten und zur Zusammenarbeit mit den Behörden.
Verordnungen über das Management der Netzdatensicherheit (gültig ab 1. Januar 2025)
Artikel 27: Zur weiteren Verfeinerung der Audit-Anforderungen führen die Auftragsverarbeiter in regelmäßigen Abständen selbst oder durch beauftragte Fachorganisationen Compliance-Audits durch, bei denen sie den Umgang mit personenbezogenen Daten im Einklang mit den Rechts- und Verwaltungsvorschriften überprüfen.
Maßnahmen für das Management von Compliance Audits zum Schutz personenbezogener Daten (veröffentlicht am 14. Februar 2025, in Kraft getreten am 1. Mai 2025)
Die ersten unterstützenden Regeln für Audits zur Einhaltung der Vorschriften zum Schutz personenbezogener Daten sind offiziell in Kraft.
Verzeichnis (auf der Festplatte des Computers)
01 Ein wichtiger Schritt auf dem Weg vom Prinzip zur Realität bei der Prüfung von Personenversicherungen
Am 14. Februar 2025 wird dieSchutz von personenbezogenen DatenPrüfungen der Einhaltung der VorschriftenManagement Measures" (im Folgenden als "Measures" bezeichnet) offiziell veröffentlicht, womit die Überwachung des Schutzes personenbezogener Daten in China offiziell von der Phase der "Verbesserung der Gesetzgebung" in die Phase der "Vertiefung der Rechtsdurchsetzung" übergeht. Da dieGesetz zum Schutz persönlicher DatenDie Einführung der Regelung ist von großer Bedeutung, da sie die erste Vorschrift ist, die mit der Verpflichtung in Artikel 54 einhergeht, "regelmäßige Prüfungen der Einhaltung der Vorschriften durchzuführen":(1) Verfeinerung der Anforderungen an die Landung, um das System zu füllenLeer:Oberbefehlshaber (Militär)Gesetz über die persönliche GarantieDie abstrakten Anforderungen in diesem Dokument wurden in 26 spezifische Prüfungsindikatoren umgesetzt (z. B. Transparenz der automatisierten Entscheidungsfindung, Mechanismen für den Schutz der Daten von Minderjährigen usw.);(2) Verstärkte Verantwortung für die Klärung der Auslöser für individuelle Versicherungsprüfungen:Spezifizieren Sie, dass Verarbeiter personenbezogener Daten, die "Informationen über mehr als 10 Millionen Menschen verarbeiten", mindestens alle zwei Jahre zu einem Audit verpflichtet sind und dass das Vorhandensein personenbezogener Daten kein Grund zur Sorge ist.InformationssicherheitWenn ein Vorfall oder ein Risiko vorliegt, kann die Schutzbehörde den Verarbeiter personenbezogener Daten auffordern, eine professionelle Organisation mit der Durchführung eines Audits zum Schutz personenbezogener Daten zu beauftragen;(3) Einrichtung eines koordinierten Governance-Mechanismus für den Schutz personenbezogener Daten:Es wurde ein dreistufiges Governance-System aus "Selbstinspektion des Unternehmens + Prüfung durch Dritte + behördliche Aufsicht" geschaffen, und insbesondere große Plattformen sind verpflichtet, eine externe, unabhängige Aufsichtsbehörde einzurichten.Folgen Sie dem NetzwerkDatensicherheitDie Maßnahmen haben sich im Tempo der Verwaltungsvorschriften zu einem wichtigen Teil des Gesetzespuzzles im Bereich des Schutzes personenbezogener Daten in China entwickelt. Die Einführung der Maßnahmen hat zu einem erheblichen Anstieg der Befolgungskosten für Unternehmen geführt, aber sie hat auch Unklarheiten im früheren Rechtsrahmen für datenintensive Branchen (z. B. Telekommunikation und Internet, Finanzen und medizinische Versorgung) geklärt und einen konkreten und durchsetzbaren Weg zur Einhaltung der Vorschriften geschaffen.
02Wesentliche Änderungen in den neuen Bestimmungen der Regelung
Eineinhalb Jahre sind seit der Veröffentlichung des Exposure Draft vergangen, und der offizielle Entwurf der Maßnahmen hat eine große Anzahl von Überarbeitungen erfahren, einschließlich der Senkung der Schwelle für die Auslösung von Audits und Änderungen in der Verwaltungsstrategie, die alle die Einbeziehung und Flexibilität der Verordnung widerspiegeln, die im Wesentlichen mit dem Trend übereinstimmt, der durch die Bestimmungen über die Erleichterung und Regulierung des grenzüberschreitenden Datenflusses und die Verordnungen über die Verwaltung der Netzdatensicherheit, die im Jahr 2024 veröffentlicht werden, vorgegeben wird. Im Folgenden sind die wichtigsten Änderungen des offiziellen Entwurfs der Maßnahmen aufgeführt:I. Anhebung der Schwelle für die Auslösung von Pflichtprüfungen: 10 Millionen Menschenbildenkritischer WendepunktDie obligatorische Auslöseschwelle und die Anforderungen an die Häufigkeit der Durchführung von Audits zur Einhaltung der Vorschriften zum Schutz personenbezogener Daten sind die besorgniserregendsten Elemente, die in einem Satz zusammengefasst sind: höhere Schwelle, geringere Häufigkeit.
Schwellenwert für die Menge der personenbezogenen Daten
Frequenzanforderungen
Umstände unterhalb des Schwellenwerts
endgültige Fassung
Über 10 Millionen
Mindestens 1 Mal alle 2 Jahre
Keine ausdrückliche Anforderung
Entschließungsentwurf zur öffentlichen Stellungnahme
Über 1 Million
Mindestens 1 Mal pro Jahr
Mindestens 1 Mal alle 2 Jahre
Mit dem offiziellen Entwurf der Maßnahmen wurde die verbindliche Auslöseschwelle für Audits zur Einhaltung der Vorschriften zum Schutz personenbezogener Daten von "1 Million" auf "10 Millionen" deutlich erhöht.Reduzieren Sie "mindestens einmal jährlich" auf "mindestens einmal alle zwei Jahre".Gleichzeitig gibt es für Unternehmen, die den Schwellenwert nicht erreichen, keine explizite Anforderung mehr für die Ordnungsmäßigkeitsprüfung, aber sie müssen nach dem Gesetz zum Schutz personenbezogener Daten immer noch die Anforderung erfüllen, regelmäßige Prüfungen durchzuführen. Gleichzeitig gibt es für Unternehmen, die den Schwellenwert nicht erreichen, keine explizite Anforderung mehr für die Ordnungsmäßigkeitsprüfung, aber sie müssen nach dem Gesetz zum Schutz personenbezogener Daten weiterhin die Anforderung erfüllen, regelmäßige Audits durchzuführen. Diesen Unternehmen wird daher empfohlen, rechtzeitig Ordnungsmäßigkeitsprüfungen zum Schutz personenbezogener Daten entsprechend der Art ihres Geschäfts und der Sensibilität ihrer personenbezogenen Daten durchzuführen, um Risiken rechtzeitig zu erkennen, denn schließlich wollen die Unternehmen nicht zu einer "passiven Prüfung" veranlasst werden! Schließlich wollen die Unternehmen nicht zu einem "passiven Audit" veranlasst werden.II. aufsichtsrechtliche "reaktive Rechnungsprüfung": Identifizierung von drei SzenarienZusätzlich zu dem oben erwähnten Mechanismus der "proaktiven Prüfung" können die Regulierungsbehörden von den Unternehmen verlangen, dass sie professionelle Organisationen mit der Durchführung von Konformitätsprüfungen beauftragen, wenn es zu Vorfällen oder Risiken im Bereich der Sicherheit personenbezogener Daten kommt.In dem offiziellen Entwurf der Regelung sind drei neue Szenarien vorgesehen:(1) Wenn festgestellt wird, dass ein hohes Risiko besteht, dass die Rechte und Interessen von Personen durch die Verarbeitung personenbezogener Daten ernsthaft beeinträchtigt werden oder dass ein schwerwiegender Mangel an Sicherheitsmaßnahmen besteht;(2) Tätigkeiten zur Verarbeitung personenbezogener Daten, die die Rechte und Interessen einer großen Zahl von Personen verletzen können;(3) Im Falle eines Sicherheitsvorfalls, der zum Durchsickern, zur Manipulation, zum Verlust oder zur Zerstörung von persönlichen Daten von mehr als 1 Million Menschen oder von mehr als 100.000 Menschen führt.Unter dem Gesichtspunkt von Risikoereignissen, wenn "mehr als 1 Million personenbezogene Daten oder mehr als 100.000 personenbezogene Daten" betroffen sind, können die Aufsichtsbehörden unter Bezugnahme auf den "Notfallplan für Datensicherheitsvorfälle im Bereich der Industrie und Informationstechnologie (zur probeweisen Umsetzung)", d.h. wenn ein größeres Datensicherheitsereignis oder mehr eintritt, von den Unternehmen verlangen, dass sie eine Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten durchführen.Die Regelung stellt klar, dass ein und derselbe Vorfall oder dasselbe Risiko im Bereich der Informationssicherheit ein Unternehmen nicht wiederholt zur Durchführung eines Compliance-Audits zwingen darf.III. die Wahl des Prüfungsformats: autonome Prüfungen ODER Beauftragung von BerufsverbändenSowohl im offiziellen Entwurf als auch im Exposure Draft umfasst die Durchführung von Audits zur Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowohl interne Organisationen als auch externe professionelle Organisationen.Bei der "aktiven Prüfung" können die Unternehmen die Art und Weise der Durchführung von Ordnungsmäßigkeitsprüfungen je nach ihren tatsächlichen Bedürfnissen wählen. Wenn jedoch die Aufsichtsbehörden eine Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten verlangen, stellen die Maßnahmen klar, dass "eine professionelle Organisation in Übereinstimmung mit den Anforderungen der Datenschutzabteilung ausgewählt werden muss" und dass der von der professionellen Organisation erstellte Prüfbericht und die Berichtigung der Datenschutzabteilung vorgelegt werden müssen, wobei die spezifischen Fristen für die Durchführung wie folgt sind:
Zeitrahmen für die Vorlage der Prüfungsberichte
Zeitrahmen für die Einreichung von Berichtigungsberichten
endgültige Fassung
Unbestimmt, wird von Fall zu Fall festgelegt, und das Unternehmen kann eine Verlängerung beantragen
Innerhalb von 15 Arbeitstagen nach Abschluss der Nachbesserung
Entschließungsentwurf zur öffentlichen Stellungnahme
Innerhalb von 90 Arbeitstagen können die Unternehmen eine Verlängerung beantragen
nicht spezifiziert
IV. unabhängige Berufsverbände: Förderung der Akkreditierung + Akzeptanz der AufsichtDie Frage, ob sie ausdrücklich für die Durchführung von Konformitätsprüfungen qualifiziert sein müssen oder nicht, hat für viel Gesprächsstoff gesorgt.Im vorherigen Entwurf wurde klargestellt, dass das Unternehmen "einen empfohlenen Katalog professioneller Organisationen für Audits zur Einhaltung des Schutzes personenbezogener Daten erstellen" und die Unternehmen auffordern würde, diesen Organisationen den Vorzug zu geben. UndIm offiziellen Entwurf der Maßnahmen werden die einschlägigen Bestimmungen des "Empfohlenen Katalogs" gestrichen und die "Ermutigung einschlägiger Berufsverbände zum Bestehen der Zertifizierung" beibehalten, was bis zu einem gewissen Grad immer noch darauf hindeutet, dass die Unternehmen vorrangig qualifizierte Stellen für die Durchführung von Konformitätsprüfungen auswählen sollten, nur dass der Mechanismus der Katalogempfehlung abgeschwächt wurde.Die Maßnahmen sehen auch eine regelmäßige Rotation und Beaufsichtigung dritter Berufsverbände bei der Durchführung von Konformitätsprüfungen zum Schutz personenbezogener Daten vor:(1) Einhaltung von Gesetzen und Vertraulichkeitsverpflichtungen.(2) Mit der Prüfung der Einhaltung der Vorschriften dürfen keine Unteraufträge an andere Organisationen vergeben werden.(3) Ordnungsmäßigkeitsprüfungen dürfen bei derselben geprüften Stelle nicht öfter als dreimal hintereinander durchgeführt werden; diese Anforderung richtet sich an die Berufsorganisation und die ihr angeschlossenen Unternehmen sowie an die für die Ordnungsmäßigkeitsprüfungen zuständige Person.(4) Verpflichtung zur Annahme der Überwachung und Kontrolle.Für die Berufsverbände, die Prüfungen der Einhaltung der Vorschriften zum Schutz personenbezogener Daten durchführen, schreiben die Maßnahmen vor allem vor, dass sie professionell und unabhängig sein und gleichzeitig der Aufsicht durch die Datenschutzbehörden und die Öffentlichkeit unterliegen müssen. Durch die Förderung des Zertifizierungsmechanismus wird auch die Eintrittsschwelle für Berufsverbände angehoben, so dass eine wohltuende Ökologie von "regulatorischer Anleitung + Marktwahl" entsteht.V. Sonstiges: Festlegung eines Schwellenwerts durch die für den Schutz personenbezogener Daten zuständige PersonArtikel 52 des Gesetzes über den Schutz personenbezogener Daten verpflichtet Unternehmen, die personenbezogene Daten verarbeiten, eine für den Schutz personenbezogener Daten verantwortliche Person zu benennen, wenn die Verarbeitung personenbezogener Daten "die vom State Net Information Department festgelegte Menge" erreicht, aber nach mehr als drei Jahren ist die endgültige Antwort auf die Frage der "festgelegten Menge" nicht durch die einschlägigen Dokumente geklärt worden, und sie wurde schließlich im offiziellen Entwurf der Maßnahmen festgelegt - dieses Mal werden die Maßnahmen im offiziellen Entwurf der Maßnahmen festgelegt. Die endgültige Antwort auf die Frage nach der "vorgeschriebenen Menge" ist im offiziellen Entwurf der Maßnahmen endgültig festgelegt worden.Ein Verarbeiter personenbezogener Daten, der mit mehr als einer Million Personen umgeht, muss einen Verantwortlichen für den Schutz personenbezogener Daten benennen, der auch für die Prüfung der Einhaltung des Schutzes personenbezogener Daten zuständig ist.Nachdem durch die Maßnahmen die Bedingungen für die Einsetzung des Datenschutzbeauftragten geklärt wurden, ist absehbar, dass die Anforderungen des Datenschutzgesetzes, wie z. B. die Verpflichtung der Unternehmen, die Kontaktdaten des Datenschutzbeauftragten offenzulegen und seinen Namen und seine Kontaktdaten den Aufsichtsbehörden mitzuteilen, bald eingehender umgesetzt werden.
03Kernrahmen für die Prüfung der Einhaltung des Schutzes personenbezogener Daten
Als ein wichtiger Teil der Freigabe der Maßnahmen wurden die "Referenzpunkte für die Prüfung der Einhaltung des Datenschutzes" im ursprünglichen Exposure Draft nun in "Leitlinien für die Prüfung der Einhaltung des Datenschutzes" umbenannt. Verglichen mit der Version im Exposure Draft wurden die Audit-Leitlinien im offiziellen Entwurf in vielerlei Hinsicht gestrafft und optimiert. So wurden beispielsweise die Sicherheitsbewertung algorithmischer Modelle in automatisierten Entscheidungsszenarien, die Einreichung und Überprüfung der technologischen Ethik und die Überprüfung der Aufsichtsanforderungen unabhängiger Stellen und externer Mitglieder großer Internetplattformen gestrichen, was zu 26 Audit-Punkten führt, die in der folgenden Tabelle als Ganzes kategorisiert sind:
Leitlinien für die Prüfung der Einhaltung des Schutzes personenbezogener Daten
Auf der Grundlage der Hauptlinie "Risikoidentifizierung - Überprüfung der Einhaltung der Vorschriften - dynamische Verbesserung" legen die Prüfungsleitlinien differenzierte Prüfungsstandards für bestimmte Hochrisikoszenarien (Schutz von Minderjährigen, grenzüberschreitende Übermittlung, automatisierte Entscheidungsfindung usw.) fest und fordern die Unternehmen auf, beim Schutz personenbezogener Daten die folgenden Grundsätze einzuhalten Grundsätze:(1) Die Grundlage der Rechtmäßigkeit hat Vorrang:Der Schwerpunkt liegt auf dem Grundsatz der "Rechtmäßigkeit, Legitimität und Notwendigkeit" im Umgang mit personenbezogenen Daten, mit besonderem Augenmerk auf der Gültigkeit der "Zustimmung" (z. B. getrennte Zustimmung, Mechanismen zur erneuten Zustimmung).(2) Szenariobasierte hierarchische Verwaltung:Konzentration der Selbstinspektion auf Szenarien mit hohem Risiko (z. B. Informationen über Minderjährige, biometrische Daten) und Klärung des Grundsatzes "hohes Risiko, hohe Verpflichtung".(3) Technologie und Management werden von zwei Rädern angetrieben:Sowohl die Wirksamkeit der technischen Sicherheitsmaßnahmen (z. B. Verschlüsselung, De-Identifizierung) als auch die Vollständigkeit der internen Managementsysteme (z. B. Notfallpläne, Schulungsprogramme) sind erforderlich.Die 26 Audit-Anforderungen in den Audit-Leitlinien geben den Unternehmen einen klaren Überprüfungsrahmen für die Durchführung von Datenschutz-Compliance-Audits, und die Durchführung von Audits in der Praxis kann sich nun auf den nationalen Standard "Data Security Technology Personal Information Protection Compliance Audit Requirements" (Kommentare werden erbeten) beziehen, der die spezifische Durchführung von Datenschutz-Compliance-Audits im Detail spezifiziert und das Audit-Verfahren, die Audit-Nachweise, den Audit-Inhalt, die Audit-Methodik usw. abdeckt und Referenzdokumente wie Audit-Entwurfsvorlagen und Audit-Berichtsvorlagen bereitstellt, um einen verweisbaren Implementierungsrahmen für die Durchführung von Datenschutz-Compliance-Audits zu bieten. Es bietet auch Referenzdokumente wie Audit-Entwürfe und Audit-Berichtsvorlagen, die einen Referenzrahmen für die Durchführung von Audits zur Einhaltung der Vorschriften in der Personenversicherung darstellen.
Audit zur Einhaltung des Schutzes personenbezogener Daten (Referenz))
Im vergangenen Jahr haben bereits 36 Unternehmen an der Pilotphase für die Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten auf der Grundlage dieser Norm teilgenommen. Die Verwaltungsmaßnahmen für die Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten wurden nun offiziell veröffentlicht, und die nationale Norm für die Prüfungsanforderungen wird voraussichtlich bald offiziell eingeführt, so dass sich die Unternehmen bei der Durchführung der Prüfung auf diese Norm beziehen können, wenn sie die Prüfung selbst durchführen oder eine dritte professionelle Organisation damit beauftragen.
04Geschäftspraxis Empfohlene Referenzen
Die Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten ist von den allgemeinen Anforderungen des Gesetzes zum Schutz personenbezogener Daten abgeleitet. Nur auf der Grundlage der Maßnahmen gibt es differenzierte Anforderungen an die Häufigkeit und den Umfang der Prüfungen für Verarbeiter personenbezogener Daten mit mehr als 10 Millionen Personen oder mehr als 1 Million personenbezogener Daten. Die Maßnahmen werden am 1. Mai 2025 formell umgesetzt, und im Hinblick auf die praktische Einhaltung der Anforderungen der Maßnahmen sollten die Unternehmen im Voraus Vorbereitungen und Arbeitspläne erstellen:(1) Erstellung von Risikokarten:Durchführung von Lückenanalysen in Bezug auf die 27 Bestimmungen der Leitlinien und Festlegung von Prioritäten für die Korrektur von häufig vorkommenden Sanktionen (z. B. Fehlen einer gültigen Zustimmung, übermäßige Erhebung, grenzüberschreitende Verstöße).(2) Verbesserung der Verwaltungsstruktur:Einrichtung eines Vollzeitbeauftragten für den Schutz personenbezogener Daten und Erteilung der Befugnis zur abteilungsübergreifenden Koordinierung. Außerdem hat sie ein Compliance-System eingerichtet, das drei Elemente umfasst: System, Technologie und Personal, um zu vermeiden, dass "der Schwerpunkt auf der Technologie und nicht auf dem Management liegt".(3) Szenariobasierter Entwurf der Einhaltung der Vorschriften:Entwicklung spezieller Compliance-Leitlinien für Schlüsselszenarien wie automatisierte Entscheidungsfindung, Schutz von Minderjährigen, Gesichtserkennung und grenzüberschreitende Übermittlung.
(4) Dynamische Reaktionsmechanismen:Vierteljährliche Aktualisierung der Berichte über die Folgenabschätzung zum Schutz personenbezogener Daten unter Beibehaltung der Beweiskette für die Berichtigung. Durchführung regelmäßiger interner Audits und virtueller behördlicher Inspektionen, um sicherzustellen, dass die Notfallmechanismen durchsetzbar sind.
Originalartikel vom Cyber Institute, bei Vervielfältigung bitte angeben: https://cncso.com/de/prufung-der-einhaltung-der-vorschriften-zum-schutz-personenbezogener-daten-html
