Закон Китайской Народной Республики о защите личной информации (вступает в силу 1 ноября 2021 года)
Статьи 54 и 64: Обеспечивают базовую правовую основу для проведения проверок соблюдения требований по защите персональной информации, требуя от компаний активного выполнения своих обязательств по проведению проверок и сотрудничества с регулирующими органами.
Правила управления безопасностью сетевых данных (вступают в силу 1 января 2025 года)
Статья 27: Для дальнейшего уточнения требований к аудиту сетевые обработчики данных должны периодически проводить аудиты соответствия, либо самостоятельно, либо с привлечением профессиональных организаций, своей обработки личной информации в соответствии с законами и административными правилами.
Меры по управлению аудитом соответствия в области защиты личной информации (издано 14 февраля 2025 года, вступило в силу 1 мая 2025 года)
Официально введены в действие первые вспомогательные правила для проведения аудита соответствия требованиям защиты персональной информации.
Оглавление
01 Ключевой шаг в переходе от принципов к реальности при проведении аудита личного страхования
14 февраля 2025 годаЗащита личной информацииНадзорный аудитМеры по управлению" (далее - "Меры") были официально опубликованы, ознаменовав собой переход китайского надзора за защитой персональной информации из стадии "совершенствования законодательства" в стадию "углубления правоприменения". ПосколькуЗакон о защите личной информацииВведение Схемы имеет большое значение, поскольку это первое правило, сопровождающее обязательство по "проведению регулярных аудитов соответствия", предусмотренное статьей 54:(1) Уточнение требований к посадке для заполнения системыПустой:главнокомандующий (военный)Личная защитаАбстрактные требования этого документа были преобразованы в 26 конкретных показателей аудита (например, прозрачность автоматизированного принятия решений, механизмы защиты информации о несовершеннолетних и т.д.);(2) Повышение ответственности за разъяснение оснований для проведения индивидуальных страховых проверок:Уточнить, что обработчики персональных данных, которые "обрабатывают информацию о более чем 10 миллионах человек", должны проходить обязательный аудит с периодичностью не реже одного раза в два года; и что наличие персональных данных не является поводом для беспокойства.информационная безопасностьВ случае инцидента или риска, Управление по защите может потребовать от обработчика личной информации поручить профессиональной организации провести аудит защиты личности;(3) Создание скоординированного механизма управления защитой личной информации:Была создана трехуровневая система управления "самоинспекция предприятия + аудит третьей стороны + административный надзор", а крупные платформы, в частности, должны ввести внешний независимый надзорный орган.Следите за сетьюБезопасность данныхПосле принятия Административного регламента Меры стали важным элементом законодательной мозаики в области защиты персональных данных в Китае. Введение Меры привело к значительному увеличению затрат предприятий на соблюдение требований, но в то же время прояснило неясности в предыдущей законодательной базе для отраслей, интенсивно использующих персональные данные (например, телекоммуникации и Интернет, финансы и медицинское обслуживание), и предоставило конкретный путь к соблюдению требований, подлежащий исполнению.
02Основные изменения в новых положениях Схемы
Прошло полтора года с момента публикации проекта экспозиции, и в официальный проект мер было внесено большое количество изменений, включая снижение порога срабатывания аудита и изменения в стратегии управления. Все эти изменения отражают всеохватность и гибкость регулирования, что в целом соответствует тенденции, представленной Положениями о содействии и регулировании трансграничного потока данных и Положениями об управлении безопасностью сетевых данных, которые будут выпущены в 2024 году. Ниже перечислены изменения, на которые следует обратить внимание в официальном проекте мер:I. Увеличение порога для проведения обязательного аудита: 10 миллионов человексоздатькритический переломный моментОбязательные требования к порогу срабатывания и частоте проведения аудита соответствия требованиям по защите персональной информации - это наиболее тревожные элементы, которые можно выразить одним предложением - выше порог, ниже частота.
Пороговое значение объема личной информации
Требования к частоте
Обстоятельства ниже порогового уровня
окончательная версия
Более 10 миллионов
Не реже 1 раза в 2 года
Нет четкого требования
проект резолюции для публичных комментариев
Более 1 миллиона
Не менее 1 раза в год
Не реже 1 раза в 2 года
С "1 миллиона" до "10 миллионов" в официальном проекте мер значительно увеличен обязательный порог для проведения проверок соблюдения требований по защите персональных данных, а частота применения увеличена с порога "1 миллион" до "10 миллионов" в обнародованном проекте мер.Сократите слова "не реже одного раза в год" до "не реже одного раза в два года".В то же время для предприятий, которые не соответствуют пороговому значению, больше нет четких требований к аудиту соответствия, но они по-прежнему должны выполнять требование о проведении регулярных проверок в соответствии с Законом о защите личной информации. В то же время для предприятий, которые не соответствуют пороговому значению, больше нет четкого требования о проведении аудита соответствия, но, согласно Закону о защите персональной информации, они по-прежнему должны выполнять требование о проведении регулярных аудитов. Поэтому таким предприятиям рекомендуется своевременно проводить аудиты соответствия требованиям защиты персональной информации в соответствии с характером их деятельности и чувствительностью персональной информации, чтобы своевременно выявлять риски, поскольку, в конце концов, предприятия не хотят быть спровоцированными на "пассивный аудит! В конце концов, компании не должны стремиться к "пассивному аудиту".II. "Реактивный аудит", основанный на нормативных требованиях: определение трех сценариевВ дополнение к механизму "проактивного аудита", о котором говорилось выше, регулирующие органы могут потребовать от предприятий поручить профессиональным организациям проведение аудита соответствия в случае возникновения инцидентов или рисков, связанных с безопасностью персональной информации.В официальном проекте Схемы были определены три новых сценария:(1) Если будет установлено, что существует высокий риск того, что деятельность по обработке личной информации серьезно затронет права и интересы частных лиц, или что существует серьезный недостаток мер безопасности;(2) Деятельность по обработке личной информации, которая может нарушить права и интересы большого числа лиц;(3) В случае инцидента, связанного с безопасностью личной информации, который привел к утечке, фальсификации, потере или уничтожению личной информации более 1 миллиона человек или чувствительной личной информации более 100 000 человек.С точки зрения событий риска, если задействована "личная информация более 1 миллиона человек или более 100 000 человек", согласно "Плану экстренного реагирования на инциденты безопасности данных в области промышленности и информационных технологий (для пробного применения)", т.е. если происходит более крупное событие безопасности данных или более, регулирующие органы могут потребовать от предприятий провести проверку соответствия требованиям по защите личной информации.В Схеме разъясняется, что один и тот же инцидент или риск информационной безопасности не должен неоднократно требовать от предприятия проведения аудита соответствия.III. Выбор формата аудита: самостоятельный аудит ИЛИ поручение профессиональным органамКак в официальном проекте, так и в проекте экспозиции, проведение аудита соответствия требованиям защиты персональной информации распространяется как на внутренние организации, так и на сторонние профессиональные организации.При форме "активного аудита" предприятия могут выбирать способ проведения аудита соответствия в соответствии со своими фактическими потребностями. Однако если надзорные органы требуют проведения аудита соблюдения требований по защите персональной информации, Меры четко указывают, что "профессиональная организация должна быть выбрана в соответствии с требованиями отдела защиты", и что отчет об аудите и исправления, выданные профессиональной организацией, должны быть представлены в отдел защиты, а конкретные сроки выполнения указаны ниже:
Сроки представления аудиторских отчетов
Сроки представления отчетов об исправлениях
окончательная версия
Не определено, определяется в каждом конкретном случае, и предприятие может подать заявку на продление
В течение 15 рабочих дней после завершения исправления
проект резолюции для публичных комментариев
В течение 90 рабочих дней компании могут подать заявку на продление
неуточненный
IV. Сторонние профессиональные организации: поощрение аккредитации + согласие на надзорСторонние профессиональные организации также являются ключевой частью аудита соответствия требованиям защиты персональной информации, и вопрос о том, должны ли они обладать четкой квалификацией для проведения аудита соответствия, вызывает серьезные опасения.В предыдущем проекте было ясно сказано, что компания "создаст рекомендуемый каталог профессиональных организаций для проведения аудита соответствия требованиям по защите персональной информации" и будет поощрять компании отдавать предпочтение этим организациям. А на сайтеОфициальный проект мер исключает соответствующие положения "Рекомендуемого каталога" и сохраняет "Поощрение соответствующих профессиональных органов к прохождению сертификации", что в определенной степени по-прежнему предполагает, что предприятия должны отдавать предпочтение выбору квалифицированных органов для проведения аудита соответствия, только механизм рекомендаций каталога ослаблен.Меры также предусматривают регулярную ротацию и надзор за деятельностью сторонних профессиональных организаций при проведении аудита соответствия требованиям по защите персональных данных:(1) Соблюдение правовых норм и обязательств по соблюдению конфиденциальности.(2) Аудиты соответствия не могут быть переданы на субподряд другим организациям.(3) Проверки соответствия не должны проводиться в отношении одного и того же проверяемого лица более трех раз подряд, это требование направлено на профессиональный орган и его филиалы, а также на лицо, ответственное за проведение проверок соответствия.(4) Обязанность принимать надзор и инспекцию.В отношении профессиональных организаций, проводящих аудит соблюдения требований по защите персональной информации, Меры в основном определяют, что они должны быть профессиональными и независимыми и в то же время подлежать надзору со стороны органов защиты и общественности. Поощрение механизма сертификации также повышает порог входа для профессиональных организаций, формируя благотворную экологию "нормативное руководство + рыночный выбор".V. Другое: Установление порога лицом, ответственным за защиту личной информацииСтатья 52 Закона о защите персональной информации требует от компаний, обрабатывающих персональную информацию, назначить лицо, ответственное за защиту персональной информации, если объем обработки персональной информации достигает "количества, установленного государственным департаментом чистой информации", но спустя более трех лет окончательный ответ на вопрос "установленного количества" так и не был прояснен соответствующими документами, и в итоге он был определен в официальном проекте Меры - на этот раз Меры определены в официальном проекте Меры. Окончательный ответ на вопрос "предписанное количество" был окончательно определен в официальном проекте Меры.Обработчик личной информации, который обслуживает более одного миллиона человек, должен назначить лицо, ответственное за защиту личной информации, которое также отвечает за проведение аудита соответствия требованиям по защите личной информации.После того, как Меры уточнили условия создания должности ответственного за защиту персональной информации, можно ожидать, что требования Закона о защите персональной информации, такие как требование к предприятиям раскрывать контактную информацию ответственного за защиту персональной информации и сообщать его имя и контактную информацию в надзорные органы, вскоре будут реализованы более глубоко.
03Основные принципы аудита соблюдения требований к защите персональной информации
Важной частью выпуска Меры является то, что "Справочные пункты для аудита соответствия требованиям защиты персональной информации" в первоначальном проекте экспозиции теперь переименованы в "Руководство по аудиту соответствия требованиям защиты персональной информации". По сравнению с версией в проекте экспозиции, руководство по аудиту в официальном проекте было упрощено и оптимизировано по многим параметрам и, например, исключены оценка безопасности алгоритмических моделей в сценариях автоматизированного принятия решений, подача и проверка технологической этики, а также проверка требований к надзору независимых органов и внешних членов крупных интернет-платформ, в результате чего осталось 26 пунктов аудита, которые в целом классифицированы в следующей таблице:
Руководство по аудиту соблюдения требований к защите персональной информации
Основываясь на основной линии "Выявление рисков - Проверка соответствия - Динамическое улучшение", Руководство по аудиту устанавливает дифференцированные стандарты проверки для конкретных сценариев высокого риска (защита несовершеннолетних, трансграничная передача, автоматизированное принятие решений и т. д.) и призывает предприятия соблюдать следующие принципы защиты личной информации Принципы:(1) Основа законности имеет приоритет:Особое внимание уделяется принципам "законности, легитимности и необходимости" при работе с персональными данными, при этом особое внимание уделяется обоснованности "согласия" (например, отдельное согласие, механизмы повторного согласия).(2) Иерархическое управление на основе сценариев:Сосредоточить самопроверку на сценариях повышенного риска (например, информация о несовершеннолетних, биометрические данные) и уточнить принцип "высокий риск - высокие обязательства".(3) Технология и управление движутся на двух колесах:Требуется как эффективность технических мер безопасности (например, шифрование, деидентификация), так и полнота внутренних систем управления (например, планы действий в чрезвычайных ситуациях, программы обучения).26 требований к аудиту в Руководстве по аудиту дают предприятиям четкий объем обзора для проведения аудита соответствия требованиям защиты персональной информации, а проведение аудита на практике теперь может ссылаться на национальный стандарт "Требования к аудиту соответствия требованиям защиты персональной информации технологии безопасности данных" (в настоящее время запрашиваются комментарии), который подробно описывает конкретные операции аудита соответствия требованиям защиты персональной информации, включая процесс аудита, доказательства аудита, содержание аудита, методологию аудита и т.д., и предоставляет справочные документы, такие как шаблоны проектов аудита и шаблоны отчетов аудита, чтобы обеспечить справочную основу для проведения аудита соответствия требованиям защиты персональной информации. В нем также представлены справочные документы, такие как шаблоны проектов аудита и шаблоны аудиторских отчетов, которые обеспечивают справочную основу для проведения аудита соответствия требованиям личного страхования.
Процесс внедрения аудита соответствия требованиям защиты персональной информации (ссылка))
В прошлом году 36 предприятий приняли участие в пилотной работе по проведению аудита соответствия требованиям защиты персональной информации на основе этого стандарта. Административные меры по проведению аудита соответствия требованиям защиты персональной информации уже официально опубликованы, и в ближайшее время ожидается официальное опубликование национального стандарта требований к проведению аудита, чтобы предприятия могли ссылаться на него при проведении аудита своими силами или поручать его сторонней профессиональной организации.
04Бизнес-практика Предлагаемые ссылки
Аудит соблюдения требований по защите персональной информации вытекает из универсальных требований к соблюдению Закона о защите персональной информации, и только на основании Меры устанавливаются дифференцированные требования к частоте и объему аудита для обработчиков персональной информации с персональной информацией более 10 миллионов человек или более 1 миллиона человек. Меры будут официально введены в действие с 1 мая 2025 года, и с точки зрения практического соблюдения, ссылаясь на требования Меры, предприятия должны заранее подготовиться и составить планы работы:(1) Составление карт рисков:Проведение анализа несоответствий 27 положениям Руководства и определение приоритетных областей для исправления высокочастотных штрафов (например, неполучение действительного согласия, чрезмерный сбор, трансграничные нарушения).(2) Улучшить структуру управления:Учреждение штатного сотрудника по защите персональной информации и наделение его полномочиями по координации работы различных подразделений. Также была создана система обеспечения соответствия, состоящая из трех элементов: системы, технологии и персонала, чтобы избежать "сосредоточения на технологиях, а не на управлении".(3) Разработка соответствия на основе сценариев:Разработайте специальные руководства по соблюдению требований для таких ключевых сценариев, как автоматизированное принятие решений, защита несовершеннолетних, распознавание лиц и трансграничная передача данных.
(4) Механизмы динамического реагирования:Ежеквартальное обновление отчетов об оценке воздействия на защиту персональных данных с сохранением цепочки доказательств для внесения исправлений. Проводите регулярные внутренние аудиты + имитационные проверки регулирующих органов, чтобы убедиться в том, что механизмы действий на случай непредвиденных обстоятельств действуют.
Оригинал статьи предоставлен Cyber Institute, при воспроизведении просьба указывать: https://cncso.com/ru/аудит-соблюдения-требований-по-защит.
