بــــرش

مسئولیت‌های امنیتی برای داده‌های مهم

در قانون جدید، داده‌های «مهم» شامل اطلاعاتی است که در صورت دستکاری و نشت اطلاعات، می‌تواند امنیت ملی و منافع عمومی را به خطر بیندازد. همچنین اطلاعات دولتی و داده‌های مجریان قانون و امور قضایی هم در لیست اطلاعات مهم قرار دارند. قانون جدید از پردازشگران داده‌های مهم می‌خواهد یک کارمند باتجربه را به عنوان مسئول امنیت داده‌های مهم تعیین و آژانس امنیت داده ‌را تحت نظارت این شخص ایجاد کنند. از وظایف آژانس امنیت داده می‌توان به تحقیق و ارائه پیشنهادها برای تصمیم‌گیری‌های مرتبط با امنیت داده‌ها، تدوین و اجرای طرح‌های امنیت اطلاعات و مقابله با حوادث امنیتی اشاره کرد. همچنین پرسنل فنی و مدیریتی مرتبط با امنیت داده‌ها باید آموزش ببینند و خرید محصولات و خدمات شبکه ایمن و قابل اعتماد را در اولویت قرار دهند.

 

آرزو کیهان – روزنامه ایران: مقررات برای پلتفرم‌های اینترنتی پلتفرم‌های اینترنتی و شبکه‌های اجتماعی طبق قانون چین موظفند در صورت پیشنهاد یا اعمال هرگونه اصلاحاتی در قوانین پلتفرم و سیاست‌های حفظ حریم خصوصی، کاربران را ظرف 3 روز مطلع کنند. بدین ترتیب اگر این پلتفرم‌ها با بیش از 100 میلیون کاربر فعال روزانه، قصد داشته باشند خط مشی حفظ حریم خصوصی خود را به گونه‌ای تغییر دهند که تأثیر قابل‌توجهی بر کاربران داشته باشد، باید توسط یک آژانس ثالث تأیید شده دولتی مورد بازبینی قرار گیرند. همچنین پلتفرم‌هایی که از فناوری‌های نوظهور مانند هوش مصنوعی و واقعیت مجازی استفاده می‌کنند، باید مورد ارزیابی امنیتی قرار گیرند.

«قانون امنیت سایبری» چین با مجموعه‌ای از اقدام‌های جدید برای تقویت الزامات قوانین موجود در زمینه حفاظت از داده‌ها و امنیت سایبری بیشتر تصویب شد. با تصویب لایحه مقررات امنیتی، شرکت‌ها موظف به حفاظت بیشتر از داده‌ها در چندین زمینه از جمله مدیریت داده‌های «مهم»، انتقال داده‌های فرامرزی، حفاظت از اطلاعات شخصی و مسئولیت‌های پلتفرم‌های اینترنتی شدند.

چرا تصویب قانون امنیت داده برای چین اهمیت دارد؟
حدود 3 سال پیش کنگره ملی خلق چین، قانونی را تصویب کرد که برای محافظت از داده‌های آنلاین کاربران طراحی شده بود. قانون «حفاظت از حریم اطلاعات شخصی»، در حقیقت بخشی از تلاش چین برای قانونمندسازی فضای سایبری بود که الزامات بیشتری برای شرکت‌های فناوری تعیین می‌کرد یعنی در حالی که مردم از مدیریت نادرست و سوء‌استفاده از اطلاعات ناراضی بودند، در این قانون، چین به شرکت‌های فناوری بزرگ خود دستور داد اطلاعات کاربران را به شیوه امن‌تری ذخیره کنند.
سرانجام هم در 30 اوت 2024 کنگره ملی چین پس از دو سال و نیم بررسی، رسماً قانون مدیریت امنیت داده‌های شبکه را تصویب کرد. هرچند متن نهایی این قانون هنوز منتشر نشده است، اما انتظار می‌رود تا پایان سال‌جاری یا حداکثر اوایل سال آینده منتشر شود. با توجه به دوره طولانی تهیه پیش‌نویس، انتظار می‌رود چندین اصلاحیه به قانون اضافه شود. با وجود این بسیاری از مقررات وضع شده در پیش‌نویس در حال حاضر عملاً لازم‌الاجراست.
این سند گسترده بر اساس قوانین مندرج در چهارچوب داده‌ها و امنیت سایبری موجود چین متشکل از قانون امنیت سایبری (CSL)، قانون امنیت داده‌ها (DSL) و قانون حفاظت از اطلاعات شخصی (PIPL) تهیه شده و الزامات قانونی را برای شرکت‌ها ایجاد کرده است.

مقررات مربوط به چه کسانی است؟
قوانین امنیت سایبری برای نهادهای داخلی و بین‌المللی که در فعالیت‌های پردازش داده در قلمرو چین شرکت می‌کنند، قابل اجراست. اما برای نهادهای مستقر در خارج از چین، این مقررات زمانی قابل اعمال است که داده‌های افراد و سازمان‌ها را با هدف ارائه محصولات و خدمات داخلی پردازش کرده یا رفتار افراد و شرکت‌ها را در چین تجزیه و تحلیل و ارزیابی می‌کنند.
به طور کلی داده‌های «مهم» به عنوان اطلاعاتی تعریف می‌شوند که می‌تواند تهدیدی برای امنیت ملی، به خطر انداختن ثبات اقتصادی و پیشرفت فناوری باشد یا تأثیر قابل‌توجهی بر بخش‌های صنعتی و مخابراتی بگذارد.

قانون امنیت سایبری
قانون جدید درباره تعهدات پردازشگران داده برای ایجاد و حفظ سیستم‌های حفاظت از امنیت داده‌ها و اقدام‌هایی مانند پشتیبان‌گیری، رمزگذاری و کنترل دسترسی به منظور ممانعت از سرقت و آسیب داده‌ها و اطلاعات تصویب شده است. پردازشگران داده همچنین ملزم به تقویت امنیت سیستم‌های پردازش داده، شبکه‌های انتقال داده و محیط‌های ذخیره‌سازی داده‌ها هستند.
این آیین‌نامه، شرکت‌ها و افراد را ملزم می‌کند تا 3 روز پس از وقوع هر نقض داده‌ای، به مقام‌های عالی رتبه گزارش دهند و در صورت مشکوک شدن به هرگونه فعالیت مجرمانه، حادثه را به مقام‌های امنیت عمومی اطلاع دهند. علاوه بر آن، اگر نقض امنیتی اطلاعات شخصی بیش از 100هزار کاربر را درگیر کند، پردازشگر داده باید به مقام‌های فضای سایبری محلی اطلاع دهد و گزارش تحقیق و ارزیابی را ظرف پنج روز پس از وقوع حادثه تهیه کند.
همچنین بر اساس الزامات امنیتی، 10 ژوئیه 2024، سندی منتشر شد که تصریح می‌کرد شرکت‌هایی با بیش از یک میلیون کاربر چینی فعال خارج از کشور باید تحت بازبینی امنیتی قرار بگیرند.

تلاش برای حفاظت از اطلاعات شخصی
برخی از الزامات تکرار شده در آیین‌نامه جدید، مقرراتی هستند که تصریح می‌کنند پردازش اطلاعات شخصی فقط باید برای «یک هدف روشن و معقول» انجام شود و از اصول اصلی «توجیه، قانونی بودن و ضرورت» پیروی کند. همچنین باید بر اساس رضایت صریح و آگاهانه کاربر باشد، زیرا در غیر این صورت، ارائه هر گونه اطلاعات ممنوع خواهد بود.
برای اطمینان از حفاظت اطلاعات، پردازشگران اطلاعات شخصی ملزم می‌شوند در صورتی که خدمات پلتفرم اینترنتی مهمی ارائه می‌دهند و کاربران زیاد یا ساختار تجاری پیچیده‌ای دارند، قوانین حفاظتی پلتفرم خود را ایجاد کنند.
همچنین هنگام جمع‌آوری اطلاعات باید به مواردی چون فهرستی از اهداف و شکل استفاده شخصی، روش جمع‌آوری و پردازش، نوع اطلاعات شخصی جمع‌آوری شده، تعداد دفعات جست‌و‌جو و محلی که فرد اطلاعات شخصی خود را ذخیره‌سازی می‌کند، توجه شود. البته مدت نگهداری اطلاعات شخصی یا روش تعیین مدت نگهداری و روش پردازش آن هم مهم است.

الزام دریافت رضایت برای پردازش اطلاعات شخصی
داده‌پردازان مجاز، برای هر نوع خدمات باید رضایتنامه جداگانه‌ای اخذ کنند. برای پردازش داده‌های حساس مانند اطلاعات مربوط به بیومتریک، هویت، سلامت، حساب‌های مالی و محل نگهداری، رضایت فردی لازم است. پردازشگران داده باید برای پردازش اطلاعات شخصی افراد زیر 14 سال هم از قیم رضایت بگیرند. همچنین آنها نمی‌توانند از طریق اطلاعات نادرست، تقلب یا به اجبار، رضایت مشتریان خود را برای استفاده از داده‌ها کسب کنند. در نهایت هم این پردازشگران در صورتی که دیگر نیازی به داده‌ها برای ارائه خدمات نداشته باشند و محدودیت زمانی ذخیره‌سازی اطلاعات هم به پایان رسیده باشد، باید هر گونه اطلاعات شخصی غیرضروری را ظرف 15 روز حذف کنند.

قوانین انتقال داده‌های فرامرزی
طبق این قانون، شرکت‌هایی که برای قراردادهای تجاری خود نیاز به انتقال داده به خارج از کشور دارند باید از فیلترهای خاصی عبور کنند که این امر شامل دریافت گواهینامه حفاظت از اطلاعات شخصی برای شرکت انتقال‌دهنده داده‌ها و گیرنده خارج از کشور است. علاوه بر آن، شرکت‌هایی که داده‌های «مهم» را پردازش می‌کنند و می‌خواهند در خارج از کشور فعالیت کنند هم باید یک ارزیابی امنیتی انجام دهند یا آن را به یک آژانس خدمات امنیت داده‌ها بسپارند.

این جریمه‌های سنگین
در قانون جدیدی که در چین تصویب شده، از جریمه به عنوان بازدارنده استفاده شده است. در همین راستا با توجه به میزان و نوع تخلف، میزان جریمه‌های وضع شده متفاوت است اما این رقم می‌تواند به 50 میلیون یوان(7/8 میلیون دلار) یا 5 درصد از گردش مالی شرکت‌ها و حتی بیشتر هم برسد. از سوی دیگر مطابق این قانون، هرگونه درآمدی که به صورت غیرقانونی به دست آمده باشد، ضبط خواهد شد. در برخی شرایط هم ممکن است به شرکت‌ها دستور داده شود که فعالیت خود را به حالت تعلیق درآورند و حتی در مواردی مجوز کسب و کار آنها نیز لغو خواهد شد.