Laut Measures on Data Export Security Assessment (Draft for Comments) und Network Data Security Management Regulation (Draft for Comments) werden wichtige Daten und die Verpflichtungen von Verabeiter wichtiger Daten wie folgt erklärt:
China definiert wichtige Daten ausgesprochen breit. Wichtig sind Daten, welche die nationale Sicherheit oder das öffentliche Interesse gefährden können, wenn sie manipuliert, zerstört, weitergegeben oder unrechtmäßig erlangt oder verwendet werden. Dazu gehören beispielsweise:
- Unveröffentlichte Daten über Regierungsangelegenheiten, Arbeitsgeheimnisse, nachrichtendienstliche Daten sowie Daten der Strafverfolgungs- und Justizbehörden.
- Ausfuhrkontrolldaten, Daten über Kerntechnologie, Konstruktionspläne und Herstellungsverfahren im Zusammenhang mit ausfuhrkontrollierten Gütern, Daten über wissenschaftliche und technologische Errungenschaften in Bereichen wie Verschlüsselung, Biologie, elektronische Informationen und künstliche Intelligenz, die sich unmittelbar auf die nationale Sicherheit und die wirtschaftliche Wettbewerbsfähigkeit auswirken.
- Volkswirtschaftliche Betriebsdaten, wichtige Geschäftsdaten der Industrie und statistische Daten, die dem Schutz oder der eingeschränkten Verbreitung unterliegen.
- Daten über die sichere Produktion und den Betrieb von Schlüsselindustrien und -sektoren wie Industrie, Telekommunikation, Energie, Verkehr, Wasser, Finanzen, Wehrtechnik, Zoll und Steuern sowie Daten über wichtige Systemkomponenten und Ausrüstungslieferketten.
- Nationale Grunddaten über Bevölkerung, Gesundheit, natürliche Ressourcen und Umwelt, Geographie, Mineralien und Meteorologie.
- Daten über den Aufbau, den Betrieb und die Sicherheit nationaler Infrastrukturen und kritischer Informationsinfrastrukturen. Daten über die geographische Lage oder die Sicherheit wichtiger sensibler Gebiete wie nationale Verteidigungseinrichtungen, militärische Gebiete und nationale Verteidigungsforschungs- und -produktionseinrichtungen.
- Andere Daten, die Auswirkungen auf die Sicherheit der Politik, des Landes, des Militärs, der Wirtschaft, der Kultur, der Gesellschaft, der Wissenschaft und Technologie, der Ökologie, der Ressourcen, der Nuklearanlagen, der überseeischen Interessen, der Biologie, des Weltraums, der Polarregionen und der Tiefsee Chinas haben können.
Vorfälle: Wenn ein Datensicherheitsvorfall wichtige Daten betrifft, ist der Vorfall innerhalb von acht Stunden an die städtische Cyberspace-Abteilung und die zuständigen Behörden zu melden. Innerhalb von fünf Arbeitstagen nach der Beseitigung des Vorfalls ist ein Untersuchungs- und Bewertungsbericht zu erstellen. Der Bericht muß die Ursache des Vorfalls, die Schadensfolgen, die Verantwortung für die Behandlung und Verbesserungsmaßnahmen enthalten.
MLPS-Einstufung: Ein IT-System, das mit wichtigen Daten umgeht, sollte bei der Zertifizierung im Rahmen des Multi Level Protection Scheme grundsätzlich höher als Stufe 3 eingestuft werden und die Anforderungen erfüllen, die das MLPS 2.0 an Betreiber kritischer Informationsinfrastrukturen stellt. Für die gemeinsame Nutzung, den Handel, die Beauftragung und die jährliche Bewertung wichtiger Daten sieht der Entwurf weitere Verpflichtungen vor.
Nach dem Measures for Data Export Security Assessments (Draft for Comments) sind die Durchführung einer Selbsteinschätzung der Datenexportrisiken und anschließende Meldung einer Sicherheitsbewertung des Datenexports an die State Internet Information Department notwendig, wenn die Daten Verarbeiter die wichtige Daten ins Ausland übermitteln.
China Intellectual Property Blog 