Двенадцать основных ответов на Закон о защите личной информации

противЛичная защитаВ связи с появлением новых требований к управлению и соблюдению требований мы обобщили «Двенадцать основных мер реагирования» для использования в различных отраслях и предприятиях. Мы также предоставим рекомендации о том, как различные отрасли могут реализовать эти меры реагирования, исходя из конкретных обстоятельств и потребностей отрасли. «Двенадцать основных мер реагирования» заключаются в следующем:

Создать систему классификации и иерархического управления личной информацией.
Создать организацию по защите личной информации и назначить лицо, ответственное за защиту личной информации, если требования соблюдены.
Создайте систему управления полным жизненным циклом личной информации.
Создать платформу управления авторизацией субъектов персональных данных и подключить ее к системе управления правами доступа предприятия.
построить личныйинформационная безопасностьсистема оценки воздействия
Создать систему экстренного реагирования на инциденты, связанные с безопасностью личной информации, и процесс сотрудничества с регулирующими органами для расследования и сбора доказательств.
Создать систему доверительного управления личной информацией
Создать механизм приема и обработки заявок субъектов персональных данных для реализации своих прав.
Создать систему аудита соблюдения требований по защите личной информации.
Создать систему образования и обучения в области личной информационной безопасности.
Создать систему оценки безопасности трансграничной передачи личной информации.
Создайте систему проектирования конфиденциальности для проверки использования высокотехнологичных технологий, таких как профилирование пользователей, анализ больших данных и искусственный интеллект в приложениях (APP), и в полной мере используйте технологии конфиденциальности, такие как шифрование и деидентификация.
На рисунке ниже эти «двенадцать основных мер реагирования» сопоставлены с потребностями системы индивидуальной правовой защиты.

Ниже приводится наша разработка конкретного применения «Двенадцати основных контрмер» в финансовой отрасли.

1. Создать систему классификации и иерархического управления личной информацией.
   Статья 51 Закона о личной защите предусматривает, что обработчики личной информации должны «внедрить секретное управление личной информацией». .

GB/T 35273-2020 «Спецификация безопасности личной информации» 3.1 и 3.2, вступившая в силу 1 октября 2020 года, определяет личную информацию и личную конфиденциальную информацию, а также предоставляет методы и типы определения в Приложениях A и B.

В разделах 3.2 и 3.3 документа JR/T 0171-2020 «Технические спецификации по защите личной финансовой информации», обнародованного Центральным банком и вступившего в силу 13 февраля 2020 г., приводятся определения личной финансовой информации и информации, чувствительной к платежам, и приводятся их в разделе 4.1. и 4.2. Подробное объяснение и классификация:

C3: Идентификационная информация пользователя.

C2: Идентификационная информация пользователя, информация о финансовом статусе и ключевая информация о продуктах и услугах.

C1: Внутреннее использование личной финансовой информации финансовыми учреждениями

Центральный банк обнародовал JR/T 0197-2020 «Финансовые правила», которые вступили в силу 23 сентября 2020 года.Безопасность данныхРуководство по классификации дополнительно стандартизирует иерархическую защиту финансовых данных в широком смысле и является наиболее подробным руководством по классифицированному и иерархическому управлению безопасностью финансовых данных. Среди них 3.10 определяет финансовые данные. Определение личной финансовой информации в 3.11 полностью соответствует определению в 3.2 «Технических спецификаций защиты личной финансовой информации»; .2 и 4.3 дополнительно поясняют принципы и объем градации. В разделе 5 подробно описаны элементы, правила и процессы классификации безопасности финансовых данных, управления изменениями динамического уровня и идентификации важных данных:

В Приложении А подробно приводится справочная таблица типичных правил классификации финансовых данных. Перечень личных финансовых данных является более полным и подробным и может полностью соответствовать C3, C2 и C1 в «Технических спецификациях по защите личных финансовых данных». Информация». А также личная информация и личная конфиденциальная информация в «Спецификациях безопасности личной информации», как показано в таблице ниже. Финансовым учреждениям рекомендуется проводить классификацию и классификацию на основе детализации справочной таблицы и фактического положения единицы:

ДЖР/Т 0197	ДЖР/Т 0171	ГБ/Т 35273
Уровень 4: Информация, которая серьезно влияет на личную конфиденциальность.традиционная аутентификационная информация(Данные отслеживания банковской карты (или информация об эквиваленте чипа), код проверки карты (CVN и CVN2), срок действия карты, пароль банковской карты, пароль транзакции онлайн-платежа, пароль для входа в учетную запись, пароль транзакции, пароль запроса и т. д.)Слабо конфиденциальная биометрическая информация(Лицо, отпечаток голоса, походка, отпечаток уха, отпечаток глаза, почерк и т. д.)Надежная биометрическая информация конфиденциальности(отпечаток пальца, радужная оболочка глаза и т. д.)	С3	конфиденциальная личная информация
Уровень 3: Информация, которая серьезно влияет на личную конфиденциальность.Основная информация личного профиля(имя, пол, национальность, этническая принадлежность, брак, свидетельство, адрес и т. д.)информация о личной собственности(Доходы, недвижимость, транспортные средства, налоги, резервный фонд, социальное обеспечение, медицинское страхование и т. д.)Личная контактная информация(Мобильный телефон, стационарный телефон, электронная почта, идентификатор WeChat и т. д.)Информация о личном здоровье и физиологии(Симптомы, записи о госпитализации, медицинские назначения, протоколы анализов, записи о хирургической анестезии, записи медсестер, записи о приеме лекарств, информация об аллергиях, информация о фертильности, история болезни, диагноз и лечение, семейная история болезни, текущая история болезни, история инфекционных заболеваний и т. д.)Персональная информация о местоположении(Страна, город, регион, улица, долгота и широта и т. д.)Личная идентификационная информация(Динамический пароль, код подтверждения по SMS, ответы на вопросы по паролю, динамический пароль голосовой распечатки и т. д.)личная кредитная информация(Информация о кредите, информация о погашении, информация о просроченной задолженности)информация о личных отношениях(родители, дети, братья и сестры, супруг, социальные отношения)Основная информация на этикетке(Персональные теги на основе основных атрибутов, таких как образование, род занятий и т. д.)Информация тега отношений(Личные теги, созданные на основе связанных атрибутов, таких как семейные отношения, профессиональные отношения и деловые отношения)	С2	конфиденциальная личная информация
Уровень 2: Информация, которая умеренно или незначительно затрагивает личную конфиденциальность.Информация о личном образовании(школа, кафедра, академическая квалификация, степень, предмет, дата поступления, дата окончания и т.д.)Личная и профессиональная информация(Подразделение, должность, место работы, доход, время начала, время окончания и т. д.)Информация о личном квалификационном сертификате(Номер сертификата, орган, выдавший его, дата вступления в силу, срок действия и т. д.)Личная партийная и правительственная информация(Вечеринка, время присоединения)информация о государственно-частных отношениях(информация о вакансии)информация о личном поведении(Онлайн- и оффлайн-консультации, покупки, записи об использовании; записи просмотров, привычки вождения и т. д.)Другие теги(метка подписи, метка транзакции, метка поведения, метка маркетинговой службы, метка риска, метка ценности)	С1	персональная информация

2. Создать организацию по защите личной информации и назначить лицо, ответственное за защиту личной информации, если требования соблюдены.
   Статья 52 Закона о защите личной информации предусматривает, что обработчики личной информации должны "обрабатывать личную информацию в объеме, установленном национальным департаментом киберпространства. Обработчики личной информации должны назначить лицо, ответственное за защиту личной информации, которое будет нести ответственность за контроль над обработкой личной информации". принятые меры защиты». «Статья 66 «Правовая ответственность» предусматривает, что «в случае обработки персональных данных с нарушением положений настоящего Закона или обработки персональных данных без выполнения обязательств по защите персональных данных, предусмотренных настоящим Законом... непосредственно Ответственное лицо и другой непосредственно ответственный персонал должны быть оштрафованы на сумму более 10 000 юаней. Штраф в размере не более 100 000 юаней. В серьезных случаях... непосредственно ответственное лицо и другой непосредственно ответственный персонал должны быть оштрафованы на сумму не менее 100 000 юаней. 100 000, но не более 1 000 000 юаней, и может быть принято решение о запрете им занимать должности директоров или руководителей соответствующих предприятий в течение определенного периода времени., старших менеджеров и лиц, отвечающих за защиту личной информации».

Лицо, ответственное за защиту личной информации, аналогично DPO, предусмотренному GDPR. Его должностные обязанности см. в рекомендациях в пункте 7.2.2.B в JR/T 0171-2020 «Технические спецификации для защиты личных финансовых данных». Информация":

Отвечает за разработку и управление системой управления безопасностью личной финансовой информации учреждения;
Разрабатывать, внедрять и регулярно обновлять политику конфиденциальности и соответствующие процедуры;
Контролировать управление безопасностью личной финансовой информации внутри организации, а также между организацией и внешними партнерами;
Проводить внутренние аудиты управления информационной безопасностью, анализировать и устранять инциденты, связанные с информационной безопасностью;
Организовать и провести оценку воздействия на безопасность личной финансовой информации и предложить контрмеры и предложения по защите личной финансовой информации;
Организовывать техническое тестирование перед выпуском финансовых продуктов или услуг в Интернете, чтобы избежать неизвестного (несовместимого с функциями финансовых продуктов или услуг и политик конфиденциальности) сбора, использования, обмена и другой обработки личной финансовой информации;
Публикуйте информацию о жалобах и методах апелляции и оперативно принимайте жалобы и апелляции, связанные с личной финансовой информацией.
Более подробную организационную структуру защиты личной финансовой информации можно найти в разделе 8 «Организационные гарантии безопасности данных» документа JR/T0223-2021 «Спецификация безопасности жизненного цикла финансовых данных», опубликованного и вступившего в силу Центральным банком 8 апреля 2021 г.:

Финансовые учреждения должны создать комитет по управлению безопасностью данных, создать нисходящую систему управления безопасностью данных, охватывающую четыре уровня принятия решений, управления, исполнения и надзора (см. рисунок выше), уточнить организационную структуру и настройки должностей, и обеспечить безопасность жизненного цикла данных.Эффективное выполнение требований по защите.

3. Создайте систему управления полным жизненным циклом личной финансовой информации.
   Статья 4 Закона о защите личности четко определяет обработку личной информации, включающую «сбор, хранение, использование, обработку, передачу, предоставление, раскрытие, удаление и т. д. личной информации», охватывающую весь жизненный цикл личной информации, тогда как статья 5-32 Статья предусматривает различные соответствующие подробные требования. Финансовые учреждения должны создать систему управления, охватывающую весь жизненный цикл личной финансовой информации, чтобы динамично соответствовать требованиям законов о защите личности на каждом звене.

Разделы 6 и 7 JR/T 0171-2020 «Технические спецификации защиты личной финансовой информации» соответственно выдвигают технические требования и требования к управлению жизненным циклом личной финансовой информации. JR/T0223-2021 «Спецификация безопасности жизненного цикла финансовых данных» выдвигает более полные и систематические требования к безопасности для общих финансовых данных с точки зрения жизненного цикла.

в соответствии синформационная безопасностьJR/T0071.2-2020 «Руководство по внедрению уровня защиты кибербезопасности в финансовой отрасли», обновленное версией Level Protection 2.0 и вступающее в силу 11 ноября 2020 года, также выдвигает расширенные требования к защите личной информации для финансовой отрасли (7.1. 4.11, 8.1.4.11 и 9.1.4.11) требования к защите личной информации в Общей классификации защиты 2.0 расширены с 2 до 6, особенно требования к управлению, контролю, проверке и оценке общего жизненного цикла, а также требования к отображению и разработке. Требования к тестированию, совместному использованию и передаче ссылок.

Несколько спецификаций могут быть относительно хорошо сопоставлены друг с другом, и, объединенные вместе, они могут в основном удовлетворить соответствующие требования индивидуальной правовой защиты (как показано ниже).

4. Создать платформу управления авторизацией субъектов персональных данных и подключить ее к системе управления правами доступа предприятия.
   Статья 13 Закона о защите личности предусматривает, что основным правовым основанием сбора и обработки персональной информации является разрешение и согласие субъекта персональной информации. Статьи 23, 25, 26, 29 и 39 также предусматривают соответственно, что при предоставлении и публичная обработка третьим лицам. Отдельное согласие субъекта личной информации требуется при пяти обстоятельствах, включая использование личной информации, собранной в общественных местах, для других целей, сбор и обработку конфиденциальной личной информации и предоставление ее за границу. Статья 15 дает субъектам личной информации право отозвать согласие. Таким образом, финансовые учреждения должны создать платформу, которая сможет динамически связывать авторизацию субъектов личной информации с системой контроля доступа предприятия, чтобы охватить весь жизненный цикл личной финансовой информации и соответствовать требованиям закона о защите личности.

Как показано на рисунке ниже, единая платформа управления авторизацией присваивает собранным данным «атрибуты авторизации» путем явной авторизации субъектов персональных данных (клиентов) посредством тегов и т. д. и устанавливает контроль доступа на основе атрибутов авторизации (Attribute Base Access Control). - ABAC) для этих данных.), а затем в сочетании с контролем доступа на основе ролей (Role Base Access Control – RBAC), обычно используемым в системах аутентификации личности и контроля доступа на уровне предприятия и применяемым к различным прикладным системам и связям бизнес-процессов. включая жизненный цикл личной информации и добиться динамической корректировки.

5. Создать систему оценки воздействия на личную информационную безопасность
   Статья 55 Закона о защите личности требует, чтобы оценка воздействия на безопасность личной информации проводилась при следующих обстоятельствах:

(1) Обработка конфиденциальной личной информации;

(2) Использовать личную информацию для автоматического принятия решений;

(3) Поручать обработку личной информации, предоставлять личную информацию другим обработчикам личной информации и раскрывать личную информацию;

(4) Предоставление личной информации за границей;

(5) Другие действия по обработке личной информации, которые оказывают существенное влияние на личные права и интересы.

Статья 56 определяет, что должна включать в себя оценка воздействия на защиту личной информации:

(1) Являются ли цель и метод обработки личной информации законными, законными и необходимыми;

(2) Влияние на личные права и риски безопасности;

(3) Являются ли принятые защитные меры законными, эффективными и соразмерными уровню риска.

Отчеты об оценке воздействия на защиту личной информации и записи об обработке должны храниться не менее трех лет.

GB/T 39335-2020 «Руководство по оценке воздействия на безопасность личной информации» содержит основные принципы и процесс реализации оценки воздействия на безопасность личной информации, а также перечисляет ключевые моменты оценки, примеры действий по обработке личной информации с высоким уровнем риска, а также список часто используемых инструментов в приложении и эталонный метод, который является очень практичным национальным стандартом. Финансовые учреждения могут использовать его для создания своей собственной системы оценки безопасности личной финансовой информации, основанной на их фактических условиях. На следующем рисунке показаны конкретные этапы оценки, рекомендуемые данным национальным стандартом:

Согласно Приложению Б «Примеры действий по обработке личной информации с высоким уровнем риска» финансовым учреждениям необходимо обратить внимание на следующее:

Обработка данных включает в себя оценку или выставление оценок субъекту персональных данных, в частности оценку или прогнозирование производительности труда, экономического положения, состояния здоровья, предпочтений или интересов субъекта персональных данных (например, кредитный анализ перед выдачей кредита на основе образа жизни, состояния здоровья). ) решения по установлению премий и т. д.)
Использовать личную информацию для автоматического анализа для вынесения судебных постановлений или других решений, которые оказывают существенное влияние на отдельных лиц (например, создание маркетинговых планов на основе конкретных предпочтений пользователя посредством профилирования пользователей).
Объем и доля собираемой личной конфиденциальной информации велики, частота сбора высока, и она тесно связана с личным опытом, мыслями, мнениями, здоровьем, финансовым положением и т. д.
Сопоставляйте и объединяйте наборы данных из различных видов обработки и применяйте их в бизнесе (предотвращение мошенничества, контроль рисков и т. д.).
В обработке данных участвуют уязвимые группы, такие как несовершеннолетние, пациенты, пожилые люди, люди с низким доходом и т. д.
Применение инновационных технологий или решений, таких как биометрическая идентификация, Интернет вещей, искусственный интеллект и т. д. (например, служба поддержки клиентов с использованием искусственного интеллекта)
Обработка личной информации может привести к тому, что субъект личной информации не сможет реализовать свои права, использовать услуги или получить договорную защиту (например, принимать решения о кредитовании для потенциальных клиентов).
Приложение D «Эталонный метод оценки воздействия на личную информационную безопасность» также содержит таблицу определения уровня риска для комплексной оценки в двух измерениях «уровень воздействия» и «уровень возможности»:

6. Создать систему экстренного реагирования на инциденты, связанные с безопасностью личной информации, и процесс сотрудничества с регулирующими органами для расследования и сбора доказательств.
   Статья 51 Закона о защите личной информации предусматривает, что обработчики личной информации должны «разработать и организовать реализацию планов действий в чрезвычайных ситуациях в случае инцидентов, связанных с безопасностью личной информации». Обработчики личной информации должны немедленно принять меры по исправлению положения и уведомить департаменты и лиц, выполняющих обязанности по защите личной информации, а также конкретный контент, о котором необходимо уведомить». Статья 63 дает отделу защиты личной информации право проводить расследование и собирать доказательства. Финансовые учреждения должны соблюдать требования настоящего Закона и ссылаться на «Меры по администрированию финансовых услуг для банковских и страховых учреждений в ответ на чрезвычайные ситуации», GB/T 38645 «Руководство по проведению экстренных учений на случай инцидентов кибербезопасности» и «Шанхайские План действий в случае инцидента кибербезопасности (издание 2019 г.)» и т. д. Разработайте планы действий в чрезвычайных ситуациях на случай утечки, подделки и потери личной информации.

7. Создать систему доверительного управления личной информацией
   Статья 22 Закона о защите личности предусматривает, что «доверенное лицо должно обрабатывать личную информацию в соответствии с договором и не обрабатывать личную информацию за пределами согласованных целей обработки, методов обработки и т. д.; если договор поручения недействителен, недействителен, аннулировано или прекращено, доверенная сторона должна обрабатывать личную информацию. Личная информация должна быть возвращена обработчику или удалена и не должна сохраняться. Без согласия обработчика личной информации доверенное лицо не должно поручать другим обработку личной информации. Статья 55 предусматривает, что «доверительный управляющий обязан соблюдать положения настоящего Закона и соответствующие законы и административные правила, принимать необходимые меры для обеспечения безопасности обрабатываемой личной информации и оказывать помощь обработчикам личной информации в выполнении своих обязательств по настоящему закону». Финансовые учреждения могут объединить первоначальную серию правил по рискам аутсорсинга информационных технологий Комиссии по регулированию банковской деятельности Китая и JR/T0223-2021 «Финансовый менеджмент в соответствии с требованиями 8.4 в «Спецификации безопасности жизненного цикла данных».

8. Создать механизм приема и обработки заявок субъектов персональных данных для реализации своих прав.
   Статьи 44–49 главы 4 Закона о защите личности предоставляют субъектам личной информации ряд прав и требуют в статье 50, чтобы «обработчики личной информации должны создать удобный механизм приема и обработки заявок, позволяющий физическим лицам осуществлять свои права», и предоставить им ряд прав.Субъекты личной информации имеют право подать в суд, если их заявление отклонено.Статья 70 также предусматривает механизм возбуждения соответствующими ведомствами и организациями публичных обвинений.

С точки зрения требования «удобства» финансовые учреждения должны сделать все возможное, чтобы создать омниканальную платформу приема, особенно учитывая различные онлайн-каналы, такие как приложения, публичные учетные записи и т. д.

9. Создать систему аудита соблюдения требований по защите личной информации.
   Статья 54 Закона о защите личности требует, чтобы «обработчики личной информации регулярно проводили проверки соблюдения ими законов и административных правил при обработке личной информации». деятельности по обработке личной информации». Статья 58 требует, чтобы «обработчики личной информации с важными услугами интернет-платформы, большим количеством пользователей и сложными типами бизнеса» «создавали независимое агентство, состоящее в основном из внешних членов, для надзора за защитой личной информации» и «регулярно публиковали информацию о защите личной информации». Отчет о социальной ответственности и принятие социального надзора»

Финансовые учреждения могут уточнить аудит безопасности в соответствии с разделом 8.1.d документа JR/T0223-2021 «Спецификация безопасности жизненного цикла финансовых данных».

Аудит соответствия, управление рисками и другие связанные с этим должности, как надзорный уровень управления безопасностью данных, должны выполнять следующие должностные обязанности:

1) На основании фактической ситуации в бизнесе организации, связанном с данными, определить соответствующие стратегии и спецификации аудита, включая, помимо прочего, циклы аудита, методы аудита, формы аудита и т. д.

2) Контролировать реализацию политик и руководящих принципов безопасности данных.

3) Публиковать такую информацию, как жалобы и способы подачи сообщений, а также оперативно принимать жалобы и отчеты, связанные с безопасностью данных и защитой конфиденциальности.

4) Проводить внутренние аудиты и анализ безопасности данных, выявлять и предоставлять отзывы о проблемах и рисках, а также контролировать последующую работу организации по их устранению.

5) Сотрудничать в организации и координации работ, связанных с внешним аудитом.

10. Создать систему образования и обучения в области личной информационной безопасности.
    Статья 51 Закона о личной защите требует «регулярного обучения и подготовки сотрудников по вопросам безопасности». Вы можете обратиться к требованиям пункта 8.3.b «Спецификации безопасности жизненного цикла финансовых данных» для разработки плана обучения:

1) Регулярно проводить обучение и обучение по вопросам безопасности данных в соответствии с планом обучения. Содержание обучения включает, помимо прочего, соответствующие национальные законы и правила, отраслевые правила и положения, технические стандарты, а также внутренние системы, связанные с безопасностью данных, и процедуры управления. учреждений финансового сектора и т. д., а результаты обучения оцениваются, записываются и архивируются.

2) Регулярно проводить обучение и обучение по вопросам безопасности данных для персонала, который тесно контактирует с данными высокого уровня безопасности, повышать осведомленность о регулярном удалении офисных данных и регулярно проводить самопроверку удаления данных.

3) Проводить специальное обучение по безопасности данных не реже одного раза в год для штатного и ключевого персонала, занимающегося управлением безопасностью данных.

4) Не реже одного раза в год или в случае серьезных изменений в политике конфиденциальности проводить профессиональное обучение и оценку персонала, занимающего ключевые позиции в области безопасности данных, чтобы гарантировать, что персонал владеет политикой конфиденциальности и соответствующими процедурами.

Построение осведомленности о личной информационной безопасности для всех сотрудников обычно включает четыре части: содержание обучения, оценка и отслеживание, план коммуникаций и культура осведомленности.

11. Создать систему оценки безопасности трансграничной передачи личной информации.
    Статьи 38–43 Закона о защите личности регулируют трансграничную передачу личной информации. Ниже кратко излагаются законы, нормативные акты, а также положения национальных и отраслевых стандартов, применимые к финансовым учреждениям в отношении локализации и трансграничной передачи личной финансовой информации:

а."Закон о кибербезопасности》Статья 37:

Персональная информация и важные данные, собранные и генерируемые операторами критической информационной инфраструктуры во время деятельности на территории Китайской Народной Республики, хранятся на территории Китайской Народной Республики. Если действительно необходимо предоставить информацию за границу в связи с потребностями бизнеса, оценка безопасности проводится в соответствии с методами, сформулированными национальным департаментом кибербезопасности и информатизации совместно с соответствующими департаментами Госсовета.

б.закон о безопасности данных》Статья 26:

Если какая-либо страна или регион примет дискриминационные запреты, ограничения или другие аналогичные меры против Китайской Народной Республики в отношении инвестиций, торговли и т. д., связанных с данными, технологиями разработки и использования данных, Китайская Народная Республика может ввести ограничения в отношении страны. или региона в зависимости от реальной ситуации.Подождите, пока будут приняты меры.

в. Статья 31 Закона о безопасности данных:

Положения Закона о кибербезопасности Китайской Народной Республики применяются к управлению исходящей безопасностью важных данных, собранных и генерируемых операторами критической информационной инфраструктуры в ходе их операций на территории Китайской Народной Республики; другие обработчики данных собирают и генерируют данные. в своей деятельности на территории Китайской Народной Республики Меры по управлению исходящей безопасностью важных данных разрабатываются национальным департаментом кибербезопасности и информатизации совместно с соответствующими департаментами Госсовета.

г. Статья 36 Закона о безопасности данных:

Компетентные органы Китайской Народной Республики обрабатывают запросы о предоставлении данных от иностранных судебных или правоохранительных органов в соответствии с соответствующими законами и международными договорами и соглашениями, заключенными Китайской Народной Республикой или к которым она присоединилась, или в соответствии с принципом равенства. и взаимность. Без разрешения компетентных органов Китайской Народной Республики отечественные организации и частные лица не могут предоставлять данные, хранящиеся на территории Китайской Народной Республики, иностранным судебным или правоохранительным органам.

е.»Закон о защите личной информации》Статья 40:

Операторы критической информационной инфраструктуры и обработчики личной информации, которые обрабатывают объем личной информации, указанный национальным департаментом кибербезопасности и информатизации, должны хранить личную информацию, собранную и созданную на территории Китайской Народной Республики, на территории Китайской Народной Республики. Если действительно необходимо предоставить его за границу, он должен пройти оценку безопасности, организованную национальным департаментом кибербезопасности и информатизации.

е. Статья 41 «Закона о защите личной информации»:

Компетентные органы Китайской Народной Республики рассматривают запросы иностранных судебных или правоохранительных органов о предоставлении личной информации, хранящейся на территории страны, в соответствии с соответствующими законами и международными договорами и соглашениями, заключенными Китайской Народной Республикой или к которым она присоединилась, или в соответствии с принципом равенства и взаимности. Без одобрения компетентных органов Китайской Народной Республики обработчики личной информации не должны предоставлять личную информацию, хранящуюся на территории Китайской Народной Республики, иностранным судебным или правоохранительным органам.

г. Статья 42 «Закона о защите личной информации»:

Если зарубежные организации или частные лица занимаются деятельностью по обработке личной информации, которая нарушает права граждан Китайской Народной Республики на личную информацию или ставит под угрозу национальную безопасность или общественные интересы Китайской Народной Республики, национальный департамент кибербезопасности и информатизации может включать в себя их в список ограничений или запретов на предоставление личной информации. Сделайте объявление и примите такие меры, как ограничение или запрет на предоставление им личной информации.

h. Статья 43 Закона о защите личной информации:

Если какая-либо страна или регион примет дискриминационные запреты, ограничения или другие аналогичные меры против Китайской Народной Республики с точки зрения защиты личной информации, Китайская Народная Республика может принять ответные меры против страны или региона, исходя из фактической ситуации.

i. Статья 177 Закона о ценных бумагах:

Зарубежным органам регулирования ценных бумаг не разрешается напрямую проводить расследования, сбор доказательств и другую деятельность на территории Китайской Народной Республики. Без согласия органа Государственного совета по регулированию ценных бумаг и соответствующих компетентных департаментов Государственного совета ни одно подразделение или физическое лицо не может без разрешения предоставлять документы и информацию, относящиеся к коммерческой деятельности с ценными бумагами за границей.

к. Статья 5 Закона о борьбе с отмыванием денег:

Информация о личности клиента и информация о транзакциях, полученная при выполнении обязанностей или обязательств по борьбе с отмыванием денег в соответствии с законом, должны храниться в тайне; они не должны предоставляться какому-либо подразделению или физическому лицу, кроме как в соответствии с положениями законодательства.

к. «Меры по проверке кибербезопасности – пересмотренный проект для комментариев» Статья 6:

Операторы, которые владеют личной информацией более 1 миллиона пользователей и хотят разместить ее за рубежом, должны подать заявку на проверку кибербезопасности в Управление по проверке кибербезопасности.

l. Статья 10 «Мер по проверке кибербезопасности – пересмотренный проект для комментариев»:

Риски незаконного контроля, вмешательства или разрушения критической информационной инфраструктуры, вызванные использованием продуктов и услуг.
Угрозы непрерывности деятельности критически важной информационной инфраструктуры из-за перебоев в поставках продуктов и услуг.
Безопасность, открытость, прозрачность, разнообразие источников продуктов и услуг, надежность каналов поставок, а также риск прерывания поставок из-за политических, дипломатических, торговых и других факторов.
Соблюдение поставщиками продуктов и услуг китайских законов, административных правил и ведомственных правил.
Риск кражи, утечки, повреждения, незаконного использования или экспорта за границу основных данных, важных данных или больших объемов личной информации.
После включения в список за границей существует риск того, что критическая информационная инфраструктура, основные данные, важные данные или большой объем личной информации будут затронуты, контролироваться и злонамеренно использоваться иностранными правительствами.
м. Статья 20 «Опытных мер по защите личной финансовой информации (данных)» и 7.1.3.д «Технических условий защиты личной финансовой информации» предусматривают:

Личная финансовая информация, собранная и созданная в ходе предоставления финансовых продуктов или услуг на территории Китайской Народной Республики, должна храниться, обрабатываться и анализироваться на территории Китайской Народной Республики. . Если в связи с деловыми потребностями действительно необходимо предоставить личную финансовую информацию зарубежным учреждениям (включая головной офис, материнскую компанию или филиалы, дочерние компании и другие связанные учреждения, необходимые для ведения бизнеса), конкретные требования заключаются в следующем:

Должен соответствовать национальным законам и правилам, а также соответствующим постановлениям отраслевых органов;
Должно быть получено явно выраженное согласие субъекта личной финансовой информации;
Оценка безопасности экспорта личной финансовой информации должна проводиться в соответствии с методами и стандартами, сформулированными государством и соответствующими отраслевыми ведомствами, чтобы гарантировать, что возможности защиты данных зарубежных учреждений соответствуют требованиям безопасности государства, соответствующих отраслевых ведомств и финансовых учреждений. ;
Путем подписания соглашений с зарубежными учреждениями, проверок на местах и т. д. необходимо уточнять и контролировать эффективное выполнение обязанностей и обязательств зарубежных учреждений, таких как конфиденциальность личной финансовой информации, удаление данных и помощь в случае.
п. Статья 2 «Меры по оценке безопасности передачи персональной информации за границу – проект для комментариев»:

Сетевые операторы, которые предоставляют личную информацию, собранную во время операций на территории Китайской Народной Республики, в зарубежные страны (далее — экспорт личной информации), должны проводить оценки безопасности в соответствии с настоящими Мерами. Если в результате оценки безопасности будет установлено, что экспорт личной информации может повлиять на национальную безопасность, нанести вред общественным интересам или трудно эффективно защитить безопасность личной информации, экспорт не допускается.

Почти во всех законах и постановлениях упоминается требование оценки безопасности при выезде из страны, а центральный банк пояснил, что местное «хранение, обработка и анализ» личной финансовой информации требует оценки безопасности и разрешения на выезд. Статья 38 Закона о личной защите также разъясняет:

Если обработчику личной информации действительно необходимо предоставить личную информацию за пределами территории Китайской Народной Республики в связи с деловыми потребностями, он должен соответствовать одному из следующих условий:

(1) Пройти оценку безопасности, организованную национальным департаментом кибербезопасности и информатизации в соответствии с положениями статьи 40 настоящего Закона;

(2) Получить сертификат защиты личной информации от профессиональной организации в соответствии с правилами национального департамента киберпространства;

(3) Заключить договор с зарубежным получателем в соответствии со стандартным договором, сформулированным национальным департаментом кибербезопасности и информатизации, в котором оговариваются права и обязанности обеих сторон;

(4) Другие условия, предусмотренные законами, административными регламентами или национальным департаментом кибербезопасности и информатизации.

Кроме того, обработчики персональной информации обязаны принимать необходимые меры для обеспечения соответствия деятельности иностранных получателей, обрабатывающих персональную информацию, стандартам защиты личной информации, предусмотренным настоящим Законом.

В настоящее время ни «Меры по оценке безопасности передачи персональных данных – проект для комментариев», ни «Руководство по оценке безопасности передачи данных – проект для комментариев» еще не вступили в силу. Однако если само финансовое учреждение не имеет более комплексной и полной системы оценки безопасности исходящей передачи личной информации, если действительно необходимо передать личную информацию за границу в связи с потребностями бизнеса, рекомендуется провести оценку безопасности. в соответствии с этими двумя правилами и стандартами, которые еще не вступили в силу и представлены в надзорный орган. Отправьте отчет и получите одобрение.

Согласно «Руководству по оценке безопасности передачи данных – Проект для комментариев», мы должны сначала провести оценку цели, чтобы убедиться в законности, легитимности и необходимости передачи личной информации за границу, а затем оценить влияние на саму информацию и безопасность отправитель и получатель данных.Управление и технические возможности для проведения оценок безопасности:

Таблица 3: Определение уровня воздействия на права и интересы личности, национальную безопасность, экономическое развитие и социальные общественные интересы

Таблица 4. Возможности обеспечения безопасности отправителя и получателя

Таблица 5: Таблица определения уровня вероятности инцидента безопасности

Таблица 6: Справочная таблица для определения уровней риска безопасности

Согласно Руководству 4.2.5 «После оценки план экспорта данных не соответствует требованиям законности, легитимности и необходимости при оценке цели экспорта, или риск безопасности выхода при оценке риска безопасности экспорта данных является высоким или чрезвычайно высоким, личная информация и важные данные не могут быть экспортированы»

12. Создайте систему проектирования конфиденциальности для проверки использования высокотехнологичных технологий, таких как профилирование пользователей, анализ больших данных и искусственный интеллект в приложениях (APP), и в полной мере используйте технологии конфиденциальности, такие как шифрование и деидентификация.
    Статья 73 Закона о личной защите определяет автоматизированное принятие решений: «Это относится к деятельности, которая автоматически анализирует и оценивает поведенческие привычки, интересы или экономику, здоровье, кредитный статус и т. д. человека с помощью компьютерных программ и принимает решения». Статья 24 предъявляет особые требования и проводит красную линию для больших данных и алгоритмов, в частности добавляя, что «необоснованное дифференцированное обращение с отдельными лицами с точки зрения цен транзакций и других условий транзакций» добавлено, чтобы предотвратить явление «больших данных, убивающих привычность», и требует «удобный способ отказа».Кроме того, 7.4 «Спецификаций безопасности персональной информации» также накладывает ограничения на использование портретов пользователей, требуя использовать косвенные портреты пользователей при проведении коммерческого продвижения. Финансовые учреждения должны создать систему обеспечения конфиденциальности и внедрить концепцию конфиденциальности по умолчанию во все аспекты разработки продуктов и услуг.

Статья 73 Закона о личной защите определяет анонимность и деидентификацию, а статья 51 требует, чтобы обработчики личной информации «принимали соответствующее шифрование, деидентификацию и другие технические меры безопасности». шифрования и деидентификации в «Технических спецификациях по защите личной финансовой информации» 2020 года и обратитесь к GB/T 37964-2019 «Руководство по деидентификации личной информации», чтобы использовать соответствующие технологии шифрования и деидентификации в необходимых случаях. сценарии.

Чтобы стимулировать применение технологий конфиденциальных вычислений в финансовой отрасли, центральный банк специально выпустил JR/T 0196-2020 «Технические спецификации для финансовых приложений многосторонних безопасных вычислений» (MPC) и предложил требования к безопасности и производительности. На следующем рисунке показаны основные вычислительные технологии обеспечения конфиденциальности. Сравнение

Если технология конфиденциальных вычислений получит дальнейшее развитие в будущем, она сможет удовлетворить потребности различных финансовых бизнес-сценариев с точки зрения масштаба и производительности и в значительной степени обеспечит совместное использование данных для различных нужд, сохраняя при этом чрезвычайно высокий уровень безопасности, например, совместные сценарии, такие как кредитная отчетность и трансграничные данные. Все финансовые учреждения должны уделять пристальное внимание развитию технологий конфиденциальности вычислений и активно их опробовать.

Наконец, я хотел бы порекомендовать вам «Общую структуру системы управления личной информацией» от консалтингового агентства Deloitte.

А финансовые стандарты, изданные тремя крупнейшими центральными банками, неоднократно рекомендованные в этой статье, могут помочь реализовать эти «двенадцать основных мер реагирования».

Спасибо за внимание, мы продолжим анализировать другие строго регулируемые отрасли, так что следите за обновлениями!

В этом цифровом мире репутация компании может начаться или закончиться в Интернете. Сети повсюду, поэтому кибербезопасность — это общая ответственность всего предприятия. Доверие является краеугольным камнем любых отношений и основой всех взаимодействий с сотрудниками, поставщиками, партнерами и клиентами.