Das Data Security Law (DSL) verpflichtet Unternehmen, ihre Daten in die Kategorien „allgemeine Daten“, „wichtige Daten“ und „Kerndaten“ einzuteilen. Welche Daten in diese Kategorien fallen, ist von Branche zu Branche unterschiedlich. Die größte Aufmerksamkeit hat bisher die Definition dieser Datenkategorien für die Automobilbranche erhalten. Auch in der Finanzbranche gibt es schon eine genauere Erläuterung, welche Daten in die drei Kategorien fallen. Die überarbeitete Version der Interim Administrative Measures for Data Security in Industry and Information Technology (Draft) definiert nun Datenkategorien für den Bereich Industrie und Informationstechnologie.
Das Dokument sieht vor, dass Daten im Bereich Industrie und Informationstechnologie in drei Kategorien eingeteilt werden: Industrie-, Telekommunikations- und Radio-Daten, die dann gemäß des DSL in die drei o.g. Level unterteilt werden müssen. Kerndaten, welche die nationale Sicherheit, die Lebensader der nationalen Wirtschaft, die Lebensgrundlage der chinesischen Bürger und wichtige öffentliche Interessen betreffen, werden normalerweise nicht von privaten Unternehmen erhoben oder verarbeitet. Daher sind für westliche Unternehmen in China vor allem die strengeren Regelungen zum Schutz wichtiger Daten zu beachten.
Industriedaten beinhalten F&E Zeichnungen und Daten zu Design, Produktion, Betrieb, Wartung, Plattformbetrieb sowie weitere Daten, die im laufenden Betrieb entstehen. Für alle diese Daten muss überprüft werden ob sie in die Kategorie der wichtigen Daten fallen. Wenn das der Fall ist, müssen die Daten gemäß dem DSL in China gespeichert werden. Sollen wichtige Daten ins Ausland übertragen werden, ist es notwendig, ein Datenexport-Sicherheitsassessment durchzuführen. Erhöhte Sicherheitsstandards müssen auch dann erfüllt werden, wenn die Daten nicht ins Ausland übertragen werden. Für Systeme mit wichtigen Daten muss mindestens das Sicherheitsniveau des MLPS-Levels 3 erfüllt werden.
Das Ministry of Industry and Information Technology (MIIT) strebt eine schnelle Umsetzung und Durchsetzung des Daten-Sicherheits-Managementsystems an. Es hat bereits 15 Pilotzonen festgelegt, in denen es verstärkt mit den Industrieunternehmen vor Ort zusammenarbeitet und die Umsetzung von Datensicherheitsmaßnahmen vorantreibt. Die administrative Strafverfolgung soll gestärkt und die technischen Möglichkeiten zur Datensicherheitsüberwachung, Risikoberichtserstattung und dem Umgang mit Datensicherheitsvorfällen verbessert werden. Ziel ist es, die Datensicherheitsüberwachung der entsprechenden Regionen umfassend zu verbessern und die Learnings aus den Pilotregionen zeitnah auf ganz China anzuwenden.
China Intellectual Property Blog 