30 сентября 2021 г. Министерство промышленности и информатизации КНР опубликовало для общественных консультаций проект «Правил регулирования безопасности данных в сфере промышленности и информатизации (пробных)» (далее – Правила регулирования). Новые правила будут регулировать обработку промышленных и телекоммуникационных данных на территории КНР, определять классификацию и категории промышленных и телекоммуникационных данных (обычные данные, важные данные и государственные основные данные) и устанавливать основные требования для осуществления отдельных операций с данными.
Проект Правил регулирования – первый проект нормативного правового акта, подготовленный министерством Госсовета КНР на основании нового Закона КНР «О безопасности данных». В соответствии с новым законом все министерства и ведомства Госсовета КНР несут ответственность за обеспечение безопасности данных и осуществление контроля за безопасностью данных в соответствующих отраслях и сферах деятельности. Кроме того, в соответствии со ст. 21 Закона КНР «О безопасности данных» на ведомства возложена задача по определению того, какие именно данные следует отнести к «важным» и, следовательно, требующим особой защиты.
Министерство промышленности и информатизации КНР (в ведении которого находится государственное регулирование промышленности и телекоммуникаций) будет осуществлять контроль за деятельностью по обработке промышленных и телекоммуникационных данных, а также обеспечивать безопасность данных, относящихся к этим категориям. Поскольку в регионах КНР регулирование промышленности и телекоммуникаций обычно разделено между двумя управлениями, на местах контроль будет осуществляться по отдельности управлениями (отделами) промышленности и информатизации и управлениями по телекоммуникациям.
Пределы применения правил
В соответствии с проектом Правила регулирования будут применяться при обработке промышленных и телекоммуникационных данных на территории КНР за исключением: а) обработки данных, затрагивающих сведения, составляющие государственную тайну, и использование криптографии; и б) обработки военных данных.
Кроме того, отдельные правила будут предусмотрены для обработки правительственных данных (будут отдельно определены Министерством промышленности и информатизации КНР), данных оборонной науки и техники и оборонной промышленности (отдельно будут приняты Государственным управлением оборонной науки, техники и промышленности) и данных в сфере табачной промышленности (отдельно будут приняты Государственным управлением табачной монополии).
К промышленным данным проект относит данные, собираемые и создаваемые в процессе разработки и проектирования (НИОКР), производственной деятельности, управления предприятием, технического обслуживания, эксплуатации платформ, оказания услуг ASP (услуги приложений) и других видах деятельности в сфере сырьевой промышленности, производства оборудования, потребительских товаров, электронно-информационной промышленности, создания программного обеспечения, информационных технологий, производства взрывчатых веществ гражданского назначения и других видах промышленного производства.
К телекоммуникационным данным относятся данные, созданные и создаваемые в процессе деятельности по оказанию телекоммуникационных услуг (включая информационные услуги в интернет).
Операторами промышленных и телекоммуникационных данных в соответствии с проектом являются промышленные предприятия, предприятия по производству ПО и оказанию IT-услуг, телекоммуникационные предприятия, обладающие лицензий на оказание телекоммуникационных услуг, а также другие субъекты предпринимательской деятельности в сфере промышленности и информатизации, которые выполняют различного рода операции (сбор, хранение, использование, переработка, передача, предоставление, раскрытие) с промышленными и телекоммуникационными данными.
Классификация и категории данных
Операторы данных обязаны в соответствии с отраслевыми требованиями, деловой необходимостью, источниками данных, назначением данных и другими условиями проводить классификацию и маркировку данных для создания перечня видов данных (например, данные процессов НИОКР, производства, менеджмента, технической поддержки, операционной деятельности, а также персональные данные).
В соответствии с проектом все промышленные и телекоммуникационные данные предлагается разделить на обычные данные, важные данные и основные данные. Основанием на деления данных на три категории является степень вреда, который может быть причинен государственной безопасности, публичным интересам, правам и законным интересам организаций и физических лиц в случае модификации, нарушения, раскрытия, незаконного приобретения или незаконного использования данных (далее совместно – нарушения).
К обычным данным должны быть отнесены данные, нарушение которых создает небольшое влияние на публичные интересы, права и законные интересы организаций и физических лиц, небольшое негативное общественное влияние, причиняет вред небольшому количеству пользователей и предприятий либо вред от нарушения имеет небольшие территориальные пределы, небольшую длительность, не оказывает существенного влияния на деятельность предприятий, развитие отрасли, технический прогресс или состояние производства. Кроме того, к обычным должны быть отнесены данные с небольшой стоимостью восстановления или расходов на устранение негативного влияния и другие данные, которые не были отнесены к важным или основным.
К важным данным проект Правил регулирования относит:
- данные, нарушение которых создает угрозу для политики, территории, военного дела, экономики, культуры, общества, науки и техники, интернета и других сетей, биосферы, природных ресурсов, ядерной безопасности и других сфер деятельности и оказывает влияние на безопасность данных, имеющих отношение к государственной безопасности в сфере зарубежных интересов, биологии, космоса, полярных зон (Арктики и Антарктики), глубинной зоны мирового океана, искусственного интеллекта и других важнейших сфер деятельности;
- данные, нарушение которых оказывает влияние на развитие, производство, функционирование, рентабельность промышленности и телекоммуникаций;
- данные, нарушение которых приводит к возникновению существенных происшествий (чрезвычайных ситуаций) в области безопасности данных или безопасности производства и имеет существенное негативное влияние на общество, публичные интересы, права и законные интересы организаций и отдельных лиц;
- данные, нарушение которых может создавать каскадный эффект и создавать негативное влияние на множество отраслей, регионов или предприятий, создавать длительное негативное влияние либо оказывать существенное негативное влияние на развитие отрасли, технический прогресс и состояние производства;
Кроме того, к важным должны быть отнесены данные с достаточно высокой стоимостью восстановления или устранения негативного влияния и другие данные, признанные важными по результатам работы органов отраслевого регулирования.
К основным данным должны быть отнесены:
- данные, нарушение которых создает существенную угрозу для политики, территории, военного дела, экономики, культуры, общества, науки и техники, интернета и других сетей, биосферы, природных ресурсов, ядерной безопасности и других сфер деятельности и оказывает существенное влияние на безопасность данных, имеющих отношение к государственной безопасности в сфере зарубежных интересов, биологии, космоса, полярных зон (Арктики и Антарктики), глубинной зоны мирового океана, искусственного интеллекта и других важнейших сфер деятельности;
- данные, нарушение которых оказывает существенное влияние на промышленность, отрасль телекоммуникаций, а также важнейшие системообразующие предприятия, ключевую информационную инфраструктуру, важнейшие ресурсы в данных сферах деятельности;
- данные, нарушение которых может привести к существенному ущербу для производства и управления в промышленности, функционирования и обслуживания телекоммуникаций и интернета, что может вызвать масштабное прекращение промышленного производства, прекращение работы сетей и сервисов на значительной территории или утрате возможности обработки данных в значительном объеме;
- другие данные, признанные основными по результатам оценки, проводимой Министерством промышленности и информатизации КНР.
Оценка значимости данных и создание перечней важных и основных данных будут проводиться на трех уровнях: общегосударственном, региональном и локальном.
- На общегосударственном уровне отраслевые перечни важных данных и основных данных для применения на территории всей страны определяется Министерством промышленности и информатизации КНР.
- На региональном уровне местные управления промышленности и информатизации и управления по телекоммуникациям выполняют работу по оценке значимости данных и создают отраслевые перечни важных данных и основных данных для соответствующих регионов и направляют составленные перечни в Министерство промышленности и информатизации КНР.
- На локальном уровне каждый оператор промышленных и телекоммуникационных данных создает систему основанной на классификации многоуровневой защиты данных и представляет перечни важных данных и основных данных в управление промышленности и информатизации и управление по телекоммуникациям по месту нахождения.
В целях контроля Министерство промышленности и информатизации КНР в соответствии с проектом создаст специальную платформу для уведомительной регистрации важных данных и основных данных.
Заключение
Кроме того, проект Правил регулирования предусматривает обязанности операторов при выполнении отдельных действий (планирование, сбор, хранение, использование, перемещение, предоставление, экспорт, уничтожение данных), определяет основные правила мониторинга безопасности и действий при возникновении чрезвычайных ситуаций (происшествий в сфере безопасности) и осуществления государственного контроля за безопасностью данных, а также предусматривает юридическую ответственность. В соответствии с проектом в случае привлечения оператора к ответственности за нарушение правил обеспечения безопасности данных он может быть включен в перечень предприятий, утративших доверие, или перечень предприятий с негативными явлениями в деятельности.
Проект «Правил регулирования безопасности данных в сфере промышленности и информатизации (пробных)» опубликован для общественных консультаций, которые будут завершены 30 октября 2021 г. В период консультаций все заинтересованные лица вправе вносить предложения и рекомендации, которые могут быть учтены Министерством промышленности и информатизации КНР при подготовке окончательного проекта.
Регистрация юридических лиц, проверка контрагентов в Китае, составление и экспертиза договоров, защита интеллектуальной собственности, юридический консалтинг.
