China konkretisiert seine Datenschutzregeln. Die im November 2021 veröffentlichte Network Data Security Management Regulation (Draft for Comments) enthält detailliertere Leitlinien bezüglich der Pflichten der Verarbeiter wichtiger Daten.
Daten werden in allgemeine Daten, wichtige Daten und nationale Kerndaten unterteilt. Wichtige Daten beziehen sich auf Daten, die die nationale Sicherheit und das öffentliche Interesse gefährden können, wenn sie manipuliert, beschädigt, durchgesickert oder unrechtmäßig erlangt oder verwendet werden. Dazu gehören auch Daten aus Industrie, Telekommunikation, Energie, Verkehr und anderen Schlüsselbereichen. Zur Bestimmung wichtiger Daten wird den Unternehmen aber nur ein allgemeiner Leitfaden an die Hand geben, die branchenspezifischen Kataloge werden von den entsprechenden Regierungsstellen derzeit entwickelt.
Wenn ein Datensicherheitsvorfall wichtige Daten betrifft oder den Schwellenwert für personenbezogene Daten von 100.000 Personen erreicht, ist der Vorfall innerhalb von acht Stunden an die städtische Cyberspace-Abteilung und die zuständigen Behörden zu melden. Innerhalb von fünf Arbeitstagen nach der Beseitigung des Vorfalls ist ein Untersuchungs- und Bewertungsbericht zu erstellen. Der Bericht muss die Ursache des Vorfalls, die Schadensfolgen, die Verantwortung für die Behandlung und Verbesserungsmaßnahmen enthalten.
Der Entwurf enthält erstmals spezifische Anforderungen des MLPS 2.0 an den Verarbeiter wichtiger Daten: Ein IT-System, das mit wichtigen Daten umgeht, sollte grundsätzlich höher als Stufe 3 eingestuft werden und die Anforderungen erfüllen, die das MLPS 2.0 an Betreiber kritischer Informationsinfrastrukturen stellt. Für die gemeinsame Nutzung, den Handel, die Beauftragung und die jährliche Bewertung wichtiger Daten sieht der Entwurf weitere Verpflichtungen vor.
Wir verfolgen die Entwicklungen der Kataloge wichtiger Daten in den einzelnen Branchen zeitnah. Auf Grundlage dieser Informationen können wir in den Unternehmen mit einem Data Mapping wichtige Daten identifizieren, Datenbestände organisieren und den gesetzeskonformen Aufbau eines Datenklassifizierungssystems rechtzeitig abschließen.
China Intellectual Property Blog 