با تصویب قانون «امنیت سایبری» رقم خورد
گام بزرگ چین برای حفاظت از دادهها
مقررات برای پلتفرمهای اینترنتی پلتفرمهای اینترنتی و شبکههای اجتماعی طبق قانون چین موظفند در صورت پیشنهاد یا اعمال هرگونه اصلاحاتی در قوانین پلتفرم و سیاستهای حفظ حریم خصوصی، کاربران را ظرف 3 روز مطلع کنند. بدین ترتیب اگر این پلتفرمها با بیش از 100 میلیون کاربر فعال روزانه، قصد داشته باشند خط مشی حفظ حریم خصوصی خود را به گونهای تغییر دهند که تأثیر قابلتوجهی بر کاربران داشته باشد، باید توسط یک آژانس ثالث تأیید شده دولتی مورد بازبینی قرار گیرند. همچنین پلتفرمهایی که از فناوریهای نوظهور مانند هوش مصنوعی و واقعیت مجازی استفاده میکنند، باید مورد ارزیابی امنیتی قرار گیرند.
آرزو کیهان
خبرنگار
«قانون امنیت سایبری» چین با مجموعهای از اقدامهای جدید برای تقویت الزامات قوانین موجود در زمینه حفاظت از دادهها و امنیت سایبری بیشتر تصویب شد. با تصویب لایحه مقررات امنیتی، شرکتها موظف به حفاظت بیشتر از دادهها در چندین زمینه از جمله مدیریت دادههای «مهم»، انتقال دادههای فرامرزی، حفاظت از اطلاعات شخصی و مسئولیتهای پلتفرمهای اینترنتی شدند.
چرا تصویب قانون امنیت داده برای چین اهمیت دارد؟
حدود 3 سال پیش کنگره ملی خلق چین، قانونی را تصویب کرد که برای محافظت از دادههای آنلاین کاربران طراحی شده بود. قانون «حفاظت از حریم اطلاعات شخصی»، در حقیقت بخشی از تلاش چین برای قانونمندسازی فضای سایبری بود که الزامات بیشتری برای شرکتهای فناوری تعیین میکرد یعنی در حالی که مردم از مدیریت نادرست و سوءاستفاده از اطلاعات ناراضی بودند، در این قانون، چین به شرکتهای فناوری بزرگ خود دستور داد اطلاعات کاربران را به شیوه امنتری ذخیره کنند.
سرانجام هم در 30 اوت 2024 کنگره ملی چین پس از دو سال و نیم بررسی، رسماً قانون مدیریت امنیت دادههای شبکه را تصویب کرد. هرچند متن نهایی این قانون هنوز منتشر نشده است، اما انتظار میرود تا پایان سالجاری یا حداکثر اوایل سال آینده منتشر شود. با توجه به دوره طولانی تهیه پیشنویس، انتظار میرود چندین اصلاحیه به قانون اضافه شود. با وجود این بسیاری از مقررات وضع شده در پیشنویس در حال حاضر عملاً لازمالاجراست.
این سند گسترده بر اساس قوانین مندرج در چهارچوب دادهها و امنیت سایبری موجود چین متشکل از قانون امنیت سایبری (CSL)، قانون امنیت دادهها (DSL) و قانون حفاظت از اطلاعات شخصی (PIPL) تهیه شده و الزامات قانونی را برای شرکتها ایجاد کرده است.
مقررات مربوط به چه کسانی است؟
قوانین امنیت سایبری برای نهادهای داخلی و بینالمللی که در فعالیتهای پردازش داده در قلمرو چین شرکت میکنند، قابل اجراست. اما برای نهادهای مستقر در خارج از چین، این مقررات زمانی قابل اعمال است که دادههای افراد و سازمانها را با هدف ارائه محصولات و خدمات داخلی پردازش کرده یا رفتار افراد و شرکتها را در چین تجزیه و تحلیل و ارزیابی میکنند.
به طور کلی دادههای «مهم» به عنوان اطلاعاتی تعریف میشوند که میتواند تهدیدی برای امنیت ملی، به خطر انداختن ثبات اقتصادی و پیشرفت فناوری باشد یا تأثیر قابلتوجهی بر بخشهای صنعتی و مخابراتی بگذارد.
قانون امنیت سایبری
قانون جدید درباره تعهدات پردازشگران داده برای ایجاد و حفظ سیستمهای حفاظت از امنیت دادهها و اقدامهایی مانند پشتیبانگیری، رمزگذاری و کنترل دسترسی به منظور ممانعت از سرقت و آسیب دادهها و اطلاعات تصویب شده است. پردازشگران داده همچنین ملزم به تقویت امنیت سیستمهای پردازش داده، شبکههای انتقال داده و محیطهای ذخیرهسازی دادهها هستند.
این آییننامه، شرکتها و افراد را ملزم میکند تا 3 روز پس از وقوع هر نقض دادهای، به مقامهای عالی رتبه گزارش دهند و در صورت مشکوک شدن به هرگونه فعالیت مجرمانه، حادثه را به مقامهای امنیت عمومی اطلاع دهند. علاوه بر آن، اگر نقض امنیتی اطلاعات شخصی بیش از 100هزار کاربر را درگیر کند، پردازشگر داده باید به مقامهای فضای سایبری محلی اطلاع دهد و گزارش تحقیق و ارزیابی را ظرف پنج روز پس از وقوع حادثه تهیه کند.
همچنین بر اساس الزامات امنیتی، 10 ژوئیه 2024، سندی منتشر شد که تصریح میکرد شرکتهایی با بیش از یک میلیون کاربر چینی فعال خارج از کشور باید تحت بازبینی امنیتی قرار بگیرند.
تلاش برای حفاظت از اطلاعات شخصی
برخی از الزامات تکرار شده در آییننامه جدید، مقرراتی هستند که تصریح میکنند پردازش اطلاعات شخصی فقط باید برای «یک هدف روشن و معقول» انجام شود و از اصول اصلی «توجیه، قانونی بودن و ضرورت» پیروی کند. همچنین باید بر اساس رضایت صریح و آگاهانه کاربر باشد، زیرا در غیر این صورت، ارائه هر گونه اطلاعات ممنوع خواهد بود.
برای اطمینان از حفاظت اطلاعات، پردازشگران اطلاعات شخصی ملزم میشوند در صورتی که خدمات پلتفرم اینترنتی مهمی ارائه میدهند و کاربران زیاد یا ساختار تجاری پیچیدهای دارند، قوانین حفاظتی پلتفرم خود را ایجاد کنند.
همچنین هنگام جمعآوری اطلاعات باید به مواردی چون فهرستی از اهداف و شکل استفاده شخصی، روش جمعآوری و پردازش، نوع اطلاعات شخصی جمعآوری شده، تعداد دفعات جستوجو و محلی که فرد اطلاعات شخصی خود را ذخیرهسازی میکند، توجه شود. البته مدت نگهداری اطلاعات شخصی یا روش تعیین مدت نگهداری و روش پردازش آن هم مهم است.
الزام دریافت رضایت برای پردازش اطلاعات شخصی
دادهپردازان مجاز، برای هر نوع خدمات باید رضایتنامه جداگانهای اخذ کنند. برای پردازش دادههای حساس مانند اطلاعات مربوط به بیومتریک، هویت، سلامت، حسابهای مالی و محل نگهداری، رضایت فردی لازم است. پردازشگران داده باید برای پردازش اطلاعات شخصی افراد زیر 14 سال هم از قیم رضایت بگیرند. همچنین آنها نمیتوانند از طریق اطلاعات نادرست، تقلب یا به اجبار، رضایت مشتریان خود را برای استفاده از دادهها کسب کنند. در نهایت هم این پردازشگران در صورتی که دیگر نیازی به دادهها برای ارائه خدمات نداشته باشند و محدودیت زمانی ذخیرهسازی اطلاعات هم به پایان رسیده باشد، باید هر گونه اطلاعات شخصی غیرضروری را ظرف 15 روز حذف کنند.
قوانین انتقال دادههای فرامرزی
طبق این قانون، شرکتهایی که برای قراردادهای تجاری خود نیاز به انتقال داده به خارج از کشور دارند باید از فیلترهای خاصی عبور کنند که این امر شامل دریافت گواهینامه حفاظت از اطلاعات شخصی برای شرکت انتقالدهنده دادهها و گیرنده خارج از کشور است. علاوه بر آن، شرکتهایی که دادههای «مهم» را پردازش میکنند و میخواهند در خارج از کشور فعالیت کنند هم باید یک ارزیابی امنیتی انجام دهند یا آن را به یک آژانس خدمات امنیت دادهها بسپارند.
این جریمههای سنگین
در قانون جدیدی که در چین تصویب شده، از جریمه به عنوان بازدارنده استفاده شده است. در همین راستا با توجه به میزان و نوع تخلف، میزان جریمههای وضع شده متفاوت است اما این رقم میتواند به 50 میلیون یوان(7/8 میلیون دلار) یا 5 درصد از گردش مالی شرکتها و حتی بیشتر هم برسد. از سوی دیگر مطابق این قانون، هرگونه درآمدی که به صورت غیرقانونی به دست آمده باشد، ضبط خواهد شد. در برخی شرایط هم ممکن است به شرکتها دستور داده شود که فعالیت خود را به حالت تعلیق درآورند و حتی در مواردی مجوز کسب و کار آنها نیز لغو خواهد شد.
بــــرش
مسئولیتهای امنیتی برای دادههای مهم
در قانون جدید، دادههای «مهم» شامل اطلاعاتی است که در صورت دستکاری و نشت اطلاعات، میتواند امنیت ملی و منافع عمومی را به خطر بیندازد. همچنین اطلاعات دولتی و دادههای مجریان قانون و امور قضایی هم در لیست اطلاعات مهم قرار دارند. قانون جدید از پردازشگران دادههای مهم میخواهد یک کارمند باتجربه را به عنوان مسئول امنیت دادههای مهم تعیین و آژانس امنیت داده را تحت نظارت این شخص ایجاد کنند. از وظایف آژانس امنیت داده میتوان به تحقیق و ارائه پیشنهادها برای تصمیمگیریهای مرتبط با امنیت دادهها، تدوین و اجرای طرحهای امنیت اطلاعات و مقابله با حوادث امنیتی اشاره کرد. همچنین پرسنل فنی و مدیریتی مرتبط با امنیت دادهها باید آموزش ببینند و خرید محصولات و خدمات شبکه ایمن و قابل اعتماد را در اولویت قرار دهند.