В рамках законодательной структуры Китая по кибербезопасности, безопасности данных и защите личных данных, меры по обзору кибербезопасности («меры»), состоящие всего из 22 статей, представляют собой административные правила, которые непосредственно направляют и регулируют процедуры проверки безопасности на основе Закона КНР о кибербезопасности. Таким образом, он имеет очень важный иерархический и эффективный уровень в законодательной структуре и тесно и напрямую связан с административной и правоприменительной практикой. Что касается законодательства, в этом документе были учтены важные соображения по вопросам национальной безопасности.
Только 12 июля 2021 года, впервые с момента вступления в силу пересмотра мер по кибербезопасности КНР, Государственное информационное бюро Интернета выпустило меры по пересмотру кибербезопасности (далее именуемый «проект»).
Судя по деталям этого пересмотра, недавний инцидент, в котором компания DIDI был заблокирован после проверки кибербезопасности из-за проблем с безопасностью данных, оказал большое влияние на этот проект.
В частности, 11 июня 2021 года компания DIDI Chuxing, которая объединилась с Uber и имеет монополию в Китае, официально подало в SEC заявку на IPO в США. 30 июня, то есть всего через 20 дней после подачи заявки, DIDI была успешно зарегистрирована на Нью-Йоркской фондовой бирже. Затем, 2 июля 2021 г., Китайское национальное сетевое информационное бюро запустило обзор кибербезопасности деятельности компании DIDI в Китае, потребовало убрать все приложения DIDI из онлайн-магазинов для исправления и остановило регистрацию новых пользователей в течение периода проверки на основания того, что DIDI подозревался в сборе и использовании частной информации в серьезное нарушение законов и нормативных актов. На момент написания статьи работа DIDI не восстановлена.
Обзор кибербезопасности DIDI — это первый раз, когда власти Китая публично объявили о мерах после вступления в силу Закона о кибербезопасности. Споры относительно безопасности данных и передачи данных за границу, вызванные предполагаемой упаковкой-продажей данных пользователей DIDI в США, скорее всего, будут прямой причиной, по которой DIDI подлежит проверке.
В статье 6 проекта прямо добавлено: «Оператор, подающий заявку на листинг за границей, должен обратиться в CRC для проверки кибербезопасности, если он владеет личной информацией более чем 1 миллиона пользователей». Трудно не вспомнить вышеупомянутый инцидент.
Кроме того, проект также напрямую продлил процедуру специальной проверки до трех месяцев, которая первоначально должна была быть завершена в течение 45 дней. Соответствующие органы получили практический опыт из первых рук в деле проверки кибербезопасности DIDI.
В статье 10 проекта факторы кибербезопасности уточнены с «риск кражи, утечки, повреждения ключевых данных» на «риск кражи, утечки, повреждения или незаконного использования или экспорта любых критических или ключевых данных или большой объем личной информации». Персональная информация и данные пользователя должны быть включены в объекты проверки и защиты. В проекте указано четкое направление, в котором должна развиваться защита, что представляет собой практическое введение для начала процедуры проверки кибербезопасности.
Хотя на этот раз выпущен только пересмотренный проект, без уверенности в том, что эта версия будет подвергаться дальнейшим изменениям в ходе последующих обсуждений, из этого проекта можно понять, что инцидент с DIDI позволил правительству Китая узнать о потенциальных проблемах национальной безопасности в рамках данных пользователей, хранящиеся у интернет-гигантов, и продемонстрировали стремление и внимание правительства к мониторингу передачи этих данных за границу. С вступлением в силу Закона о безопасности данных 1 сентября 2021 года и введением последующих соответствующих законов, постановлений и мер, а также в целом с нестабильной международной политической средой можно прогнозировать, что правительство Китая будет уделять беспрецедентное внимание. для контроля онлайн-безопасности. Предприятия должны быть готовы к ужесточению надзора.