Новые законы Китая о данных оставляют у фирм больше вопросов, чем ответов

18
Freshworks, конкурент Salesforce, проводит IPO в США

Китай устанавливает новые нормативные основы для своей гигантской интернет-индустрии, но новый закон о безопасности данных и другие правила неоднозначны, поэтому компании опасаются, что они могут случайно пересечь черту, говорят юристы.

Закон о безопасности данных, который вступает в силу 1 сентября, требует, чтобы все компании в Китае классифицировали данные, которые они обрабатывают, по нескольким категориям и регулирует порядок хранения и передачи таких данных другим сторонам.

Ключевые категории включают «основные национальные данные» и «важные данные», неправильное обращение с которыми может повлечь за собой наказание в размере до 10 миллионов юаней или даже уголовное обвинение. Но, по словам юристов, правительство еще не дало определения для них и не предоставило дополнительных подробностей о том, какие данные могут попадать в какую категорию.

Например, в законе сказано только, что компании, желающие передать «важные данные» за границу, должны каждый раз проводить оценку безопасности.

«Нет ни списка, ни приложения, ни примеров», – говорит Николас Бахманьяр, старший консультант пекинской юридической фирмы LEAF. «Так что мы здесь немного в темноте».

В тот же день страна также введет новые правила, направленные на защиту «критически важной информационной инфраструктуры», но, по словам экспертов, определения такой инфраструктуры также неясны.

Операторы критически важной информационной инфраструктуры столкнутся с более строгими требованиями к безопасности данных, особенно когда речь идет о трансграничной передаче данных. В 2017 году Пекин представил список отраслей, которые он считал критическими в широком смысле, такими как «общественные коммуникации».

Ожидается, что отраслевые регулирующие органы выпустят более подробные рамки, но еще не сделали этого.

«Даже если вы могли бы сделать выводы из того, что происходит в новостях, а затем из публичных заявлений о принудительных мерах против определенных компаний, официального способа сравнительного анализа самих себя не существует», – сказал Алекс Робертс, корпоративный советник шанхайского офиса юридической фирмы Linklaters.

Правовые меры отражают растущую обеспокоенность Пекина по поводу огромного количества данных, накопленных частными компаниями, и того, может ли такая информация подвергнуться риску атак и неправомерного использования, особенно со стороны иностранных государств.

Закон Китая о кибербезопасности 2017 года требует, чтобы компании хранили данные в Китае, а также соглашались на проверки безопасности, и 1 ноября он будет дополнительно дополнен законами, регулирующими обращение с личной информацией.

Старший инженер маркетингового агентства в Шанхае сказал, что один из его клиентов нанял стороннего аудитора, чтобы оценить, может ли его компания соответствовать новым правилам для проекта. Он отказался назвать свое имя, поскольку ему не разрешили общаться со СМИ.

«Вам необходимо доказать, как хранятся ваши данные, что у вас есть план восстановления, что бы ни случилось, ваше приложение безопасно, и все ваши данные находятся в Китае», – сказал он. «Эти процессы очень бюрократизированы и предназначены для очень крупных компаний, которыми мы не являемся».

Один из случаев, за которым внимательно наблюдают, – это дело Didi Global, которое мощный регулятор киберпространства Китая начал расследование в связи с угрозами безопасности данных в прошлом месяце, всего через два дня после дебюта компании в Нью-Йорке.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here