The year 2021 proved to be a milestone for data protection and cybersecurity in China. Most notably, the Personal Information Protection Law (“PIPL”) and theSegurança de dados Law (“DSL”) came into force in September and November respectively. The PIPL, the DSL and the Cyber Security Law (“CSL”) together represent the “troika” of the Chinese data protection and cybersecurity regulatory framework. Beyond the troika, implementing rules have sprung up, and the gloves are coming off in enforcement. As we are heading into 2022, what are the new challenges for businesses? Let’s take a closer look at these developments and what we can expect from them in the year 2022.
Neste segundo artigo, estabeleceremos os destaques do ano e as previsões de 2022 em termos de segurança de dados, segurança cibernética e desenvolvimento setorial.Clique aqui se você perdeu nosso primeiro artigo, onde demos uma visão geral da estrutura reguladora de proteção de dados e de segurança cibernética na China e desenvolvimento em proteção de informações pessoais.
Parte III.Segurança de dados
1.Desenvolvimentos regulatórios
Vimos desenvolvimentos adicionais na identificação e proteção de dados importantes, sistema de classificação de dados em vários níveis e regime de revisão de segurança de dados e seu impacto nas listagens no exterior, que foram solicitadas pelo DSL entrando em vigor.
1) The PRCSegurança de dados Law
A DSL foi oficialmente adotada pelo Comitê Permanente do Congresso Popular nacional em 10 de junho de 2021 e entrou em vigor em 1 de setembro de 2021.Os principais destaques da DSL incluem
(i) Melhorar a proteção de dados importantes, e.g.Avaliação de risco, nomeação do oficial de segurança de dados, regime de proteção de dados classificados em vários níveis, regras importantes de exportação de dados e criação de uma nova categoria de dados que receberão proteção de um nível ainda mais alto em comparação com dados importantes, ou seja, dados principais;
(ii) propondo estabelecer um sistema de classificação de dados;
(iii) fortalecer as obrigações de proteção de segurança de dados dos processadores de dados, e.g.Monitoramento de riscos e sistema de relatório de incidentes de segurança de dados;
(iv) impondo medidas que afetam pessoas relacionadas ao exterior, e.g.Revisão da Segurança Nacional, Controle de Exportação, Contrafeases contra Tratamento Desleal, Aprovação na Solicitação de Dados por órgãos judiciais ou policiais estrangeiros;e
(v) Incentivar a publicação e o uso de dados do governo.As empresas que fazem negócios na China devem tomar ações ativas e imediatas para avaliar se e como a DSL se aplica às suas atividades de processamento de dados dentro e fora da China, e quais medidas de segurança de dados que devem ser implementadas em vigor..(Clique aqui para obter nossas visualizações no DSL)
2) Proteção aprimorada de dados importantes
O termo "dados importantes", juntamente com as restrições ao seu processamento, foi introduzido pela primeira vez pela CSL em vigor em 2017, em que os operadores de operadores críticos de infraestruturas de informação ("CII") são necessários para localizar dados importantes e passar por uma avaliação governamental antes de exportarquaisquer dados importantes.O CSL é seguido por rascunhos de regulamentos e diretrizes que tentam definir e regular dados importantes.
O DSL impõe uma série de obrigações de proteção em todos os processadores de dados que processam dados importantes, mas não definem dados importantes.No entanto, a DSL estabelece que o estado coordenará os reguladores regionais e setoriais para emitir catálogos de dados importantes, aplicáveis a setores e indústrias relevantes.
Notavelmente, um projeto de orientação não obrigatória para identificar importante foi oficialmente divulgado pelo Comitê Técnico de Padronização Nacional de Segurança da Informação ("TC260") em 13 de janeiro de 2012 para consulta pública.O rascunho define dados importantes como dados gravados eletronicamente que, se destruídos, alterados sem autorização, vazados, obtidos ilegalmente ou usados, podem prejudicar a segurança nacionalmente e o interesse público e estabelece os fatores que devem ser considerados na identificação de dados importantes.
The Ministry of Industry and Information Technology (“MIIT”) published the draft Administrative Measures ofSegurança de dados in Industry and Information Technology (“MIIT Data Measures”) on 30 September 2021, which is the first draft implementing rules of the DSL released by sectoral regulators.O projeto de medidas de dados do MIIT estabelece os critérios para identificar dados importantes e dados principais e pretender estabelecer um sistema de arquivamento para processadores dados importantes e dados principais.O MIIT e suas filiais locais publicarão catálogos de dados importantes e dados principais no setor nos níveis central e local, respectivamente.
3) Sistema de classificação de dados multinível
O DSL propõe estabelecer um sistema de proteção de dados de classificação de vários níveis, mas não vai além do que indicar que o nível de um tipo específico de dados será determinado pelo “dano que uma alteração, destruição, vazamento ou aquisição ilegal não autorizados infligiráApós a segurança nacional, o interesse público ou o interesse legal de indivíduos ou organizações ”.
Também aparece sob a DSL que dados importantes serão um dos níveis no sistema.Isso é posteriormente confirmado pelo projeto de medidas de dados do MIIT, que afirma que os dados industriais e de telecomunicações serão divididos em três níveis, ou seja, dados comuns, dados importantes e dados principais.O rascunho também fornece que os dados devem ser classificados pelas necessidades da indústria, operação e fonte de dados e usos.Como tal, o rascunho divide dados nas classes a seguir, incluindo sem limitação dados de pesquisa, dados de produção e operação, dados de gerenciamento, dados de manutenção, dados de serviços comerciais e informações pessoais.O projeto de medidas de dados do MIIT nos proporcionou uma visão valiosa do sistema de proteção de dados de classificação multinível de dados a ser estabelecido sob a DSL e pode definir um precedente para os reguladores que são obrigados a estabelecer o sistema em seu respectivo setor.
O TC260 publicou uma orientação técnica não obrigatória sobre como identificar o nível e a classe de dados em dezembro de 2021.Esta orientação confirma que os dados serão divididos em três níveis, eu.e.Dados comuns, dados importantes e dados principais.Notavelmente, ele divide ainda os dados comuns em 4 níveis diferentes e fornece mais detalhes sobre o processo de identificação do nível de tipos específicos de dados.Em classificações, a orientação também fornece considerações e processo para classificação e estabelece as classes de tipos específicos de dados.A orientação técnica servirá como uma referência útil para processadores de dados que implementam o sistema.
4) Atualização da segurança de dados e regime de revisão de segurança cibernética
Em 28 de dezembro de 2021, a administração do ciberespaço da China ("CAC"), em conjunto com outros 12 ministérios, emitiu as medidas revisadas da revisão de segurança cibernética ("medidas de revisão de segurança cibernética"), que foi divulgada em 4 de janeiro de 2022 e entrará em vigor sobre15 de fevereiro de 2022.As medidas de revisão de segurança cibernética estendem o escopo da revisão de segurança cibernética da aquisição de produtos e serviços de rede por operadores de CII para incluir também atividades de processamento de dados por operadores de plataforma de rede que afetam ou podem afetar a segurança nacional.Em particular, os operadores de plataforma de rede que pretendem listar fora da China agora precisarão se inscrever para uma revisão de segurança cibernética sobre suas listagens se processarem informações pessoais de mais de um milhão de usuários.(Clique aqui para obter nossas visualizações)
A revisão de segurança cibernética sobre o processamento de dados deve ser considerada como parte do regime de revisão de segurança de dados sob a DSL, que autoriza as autoridades a conduzir a revisão de segurança nacional sobre atividades de processamento de dados que afetam ou podem afetar a segurança nacional.DSL propõe estabelecer um regime de revisão de segurança de dados.No entanto, as autoridades podem publicar mais regulamentos sobre o regime de revisão de segurança de dados.
2.Desenvolvimentos de aplicação
A aplicação da segurança dos dados permaneceu relativamente inativa no passado até o início de julho de 2021, quando o Escritório de Revisão da Cibersegurança do CAC emitiu anúncios para iniciar revisões de segurança cibernética em três empresas da Internet que acabaram de lançar seu IPO nos Estados Unidos no mês anterior, a saber, Didi,Manbang e Boss Zhipin.Os resultados dessas revisões de segurança cibernética ainda não foram publicados.Durante o período de revisão, os aplicativos móveis da Didi foram removidos das lojas de aplicativos e suspensos do novo registro de usuário.
A principal questão com a decisão é que, no momento em que o CAC iniciou a revisão de segurança cibernética listagens estrangeiras de operadores de plataforma de rede não estavam no escopo da revisão de segurança cibernética ainda.Isso deu origem à especulação de que as medidas revisadas de revisão de segurança cibernética são uma tentativa retrospectiva de fornecer um motivo legal para a decisão emitida anteriormente para iniciar a revisão de segurança cibernética.
3.Outlook para 2022
Mais reguladores setoriais para publicar regulamentos para implementar a DSL, em particular, os sistemas de classificação de dados de vários níveis em seus respectivos setores, juntamente com catálogos de dados importantes a serem divulgados em certos setores.Apesar disso, os escopos da CII, dados principais e dados importantes ainda não foram especificados nas leis e regulamentos atuais, o CAC ainda pode optar por fazer cumprir algumas medidas de revisão da DSL e da cibersegurança, onde consideram que a segurança ou interesse nacional é prejudicado.Depois que os regulamentos de implementação entrarem em vigor, esperamos ver ações maiores de execução.
Parte IV.Cíber segurança
1.Desenvolvimentos regulatórios
1) Proteção do CII fortalecido
O Regulamento sobre Infraestrutura de Informações Críticas (CII) Proteção de Segurança (“Regulação da CII”) entrou em vigor em 1 de setembro de 2021.O regulamento autoriza os reguladores setoriais a formular as regras para identificar o CII e identificar o CII dentro de seus respectivos setores.O regulamento da CII destaca algumas "indústrias e setores importantes", onde a CII será identificada, incluindo comunicações públicas e serviços de informação, energia, transporte, engenharia hidráulica, finanças, serviços públicos, governo eletrônico e indústria de tecnologia de defesa.
Ao fazer as regras, os departamentos de proteção levarão em consideração os seguintes fatores, incluindo:
(i) a importância da infraestrutura de rede e sistemas de informação para a operação chave ou principal do setor ou setor relevante;
(ii) o nível de dano na infraestrutura de rede e nos sistemas de informação em caso de destruição, perda de função ou vazamento de dados;e
(iii) qualquer impacto conseqüente em outras indústrias ou setores.
Depois que o CII é identificado, os reguladores setoriais devem notificar os operadores e o Ministério da Segurança Pública.No entanto, na data deste relatório, há muito pouca informação pública sobre se algum operador de CII foi identificado e, se sim, quem eles são.(Clique aqui para obter nossas visualizações)
2) Gerenciamento de vulnerabilidade de segurança de produtos de rede
O regulamento sobre o gerenciamento de vulnerabilidade de segurança de produtos de rede foi divulgado pelo MIIT, CAC e MPS Joint em 12 de julho e entrou em vigor em 1 de setembro de 2021.A regulamentação requer operadores de produtos e rede de rede, operadores de rede e plataformas que coletam informações de vulnerabilidade de segurança para estabelecer canais para receber informações sobre vulnerabilidade de segurança, verificar vulnerabilidades e tomar as medidas de remediação necessárias em tempo hábil em tempo hábil.Os operadores também são obrigados a relatar vulnerabilidades ao MIIT dentro de 2 dias e fornecer suporte técnico aos usuários.
O regulamento também estabelece requisitos para plataformas envolvidas nos negócios de coleta e publicação de informações de vulnerabilidade à rede.Em particular, as plataformas são proibidas de divulgar detalhes técnicos das vulnerabilidades em circunstâncias especificadas e são necessárias para fazer um arquivamento com o MIIT.
2.Desenvolvimentos de aplicação
As ações de execução contra violações dos requisitos regulatórios de segurança cibernética em 2021 estavam ativos.Comparado com as ações tomadas nos anos anteriores, o foco foi gradualmente mudado de lutar contra crimes cibernéticos e negociação ilegal de informações pessoais para o fracasso de implementar obrigações de conformidade com segurança cibernética.
Vimos operadores de rede sendo penalizados por não formular regras e protocolos internos de gerenciamento de segurança cibernética, implementar medidas de backup e criptografia de dados, monitorar as informações distribuídas em plataformas, nomear pessoal responsável por questões de segurança cibernética, implementar padrões técnicos aplicáveis, fazer correções no tempo após receber alertasDas autoridades, ou monitorar o tráfego on -line ou tomar medidas eficazes para remediar vulnerabilidades de rede podem atrair a atenção das autoridades das autoridades.
Estabelecemos abaixo de vários exemplos de ações de execução em 2021.
1) CII
3.Outlook para 2022
Espera -se que os reguladores setoriais formulem regras para identificar o CII em seus respectivos setores e notificar os operadores cuja infraestrutura de informação é identificada como CII.Além disso, o CAC e os reguladores setoriais estabelecem requisitos e obrigações mais detalhados para os operadores da CII, que abrirão o caminho para a aplicação.
2) MLPs
O regulamento central que rege o regime de MLPs sob o CSL, eu.e., the Regulation on theCíber segurança Multi-level Protection Scheme, is still in a draft form since its public consultation in June 2018.Atualmente, a implementação e a aplicação do esquema MLPS ainda se baseia nos regulamentos obsoletos publicados em 2007 apoiados pelos padrões técnicos recomendados publicados desde 2017.Esperamos que o novo regulamento seja publicado em 2022 estabeleça os procedimentos e requisitos para MLPs sob o CSL.
Parte V..Desenvolvimentos setoriais
1.Automotivo
A China fez uma série de movimentos para regular veículos inteligentes e conectados ("ICV") em 2021. As the first sectoral regulation targeted at data security after the DSL, six ministries, amongst which CAC, MIIT and MPS, published the Interim Provisions onAutomotivoSegurança de dados Management (“Auto Data Regulation”), effective on 1 October 2021, covers a wide range of players processing vehicle-related data and has begun to show its far-reaching impact on the industry.(Veja nossa visão aqui).Por exemplo, para implementar o requisito de relatório anual sob a regulamentação de dados automáticos, CACs locais em Xangai, Guangdong, Tianjin e Hebei CACS divulgaram avisos em dezembro de 2021, exigindo que os processadores de dados de automóveis enviem seus relatórios anuais sobre gerenciamento de segurança de dados automáticos.
A segurança cibernética e a proteção de dados se tornaram o topo da agenda do MIIT na regulação do ICV.Em junho de 2021, o MIIT publicou uma orientação para estabelecer uma estrutura de padrões de segurança cibernética para ICVs.Em uma opinião oficial publicada em 30 de julho de 2021, o MIIT fez dados e segurança cibernética um dos requisitos de entrada de mercado para fabricantes e produtos de ICV e emitiu um aviso exigindo que o fabricante do ICV realizasse a auto-avaliação de dados e segurança cibernética.Um mês após a publicação da regulamentação dos dados de automóveis, o MIIT emitiu um aviso para instar os reguladores de telecomunicações locais, transportadoras de telecomunicações, fabricantes de ICV e provedores de serviços e organizações de padronização para fortalecer dados e segurança cibernética.
O TC260 também emitiu uma série de padrões nacionais em 2021, como as diretrizes de segurança para processamento de dados coletados de veículos, abordando a transmissão de dados automáticos, armazenamento, exportação e outros requisitos.
Esperamos ver mais fiscalização e inspeção do MIIT sobre os fabricantes de ICV e aqueles que processam dados relacionados a automotivos na China em 2022.
2.Indústria financeira
Como uma indústria altamente regulamentada, a indústria financeira também viu alguns desenvolvimentos interessantes em relação à proteção e segurança de dados em 2021. For instance, further to the personal information protection impact assessment under the PIPL and data security assessment regime under the DSL, TC260 issued the FinancialSegurança de dados –Segurança de dados Assessment Specification in December 2021 for public consultation, aiming to provide guidance on assessment on financial data from the perspectives of security management, security protection and security operation and maintenance.As medidas administrativas de negócios de relatórios de crédito foram divulgadas em setembro de 2021 e entrou em vigor em 1 de janeiro de 2022.As medidas se concentram na proteção de informações pessoais e estabelecem orientações sobre a coleta, armazenamento, processamento, provisão e uso de informações de crédito.
Em termos de execução, vimos vários bancos e seu pessoal sendo penalizado pelo CBIRC e pelo Banco da China do Povo por várias violações relevantes para informações pessoais e esperamos ver mais ações de execução em 2022.
3.Assistência médica
Com a promoção aprimorada de iniciativas "Big data de assistência médica" e "Internet+ Health Medical" na China, a proteção e a segurança de dados atraíram crescente atenção no setor de saúde. In the context of massive health data being used for commercial purposes, the Guide for HealthSegurança de dados issued by TC260 took effect on 1 July 2021, which details the recommended guidance on data classification, data governance and data security measures through the whole healthcare data lifecycle.
Durante a pandemia covid-19, foram impostas crescentes penalidades a médicos ou outros funcionários do hospital que divulgaram intencionalmente informações pessoais de pessoas infectadas e seus contatos próximos sem autorização.Essas penalidades incluem não apenas ordens de alerta e multas monetárias, mas também detenção administrativa das pessoas relevantes que violavam a lei.
Embora as autoridades de saúde e drogas não tenham sido muito ativas no passado, elas podem intensificar seus esforços legislativos e de aplicação em 2022 para implementar o PIPL e o DSL em seu setor.
