Welche Maßnahmen gibt es zum Datensicherheitsmanagement?

Die „Datensicherheitsmanagementmaßnahmen“ dienen der Wahrung der nationalen Sicherheit und der sozialen öffentlichen Interessen sowie dem Schutz der legitimen Rechte und Interessen von Bürgern, juristischen Personen und anderen Organisationen in Cyberspace und schützen Einzelpersonen Informationen und wichtige Datensicherheit, Abteilungsvorschriften, die in Übereinstimmung mit dem „Cybersicherheitsgesetz der Volksrepublik China“ und anderen Gesetzen und Vorschriften formuliert wurden.

Der Inhalt lautet wie folgt:

Kapitel 1 Allgemeine Bestimmungen

Artikel 1 dient der Wahrung der nationalen Sicherheit, der sozialen und öffentlichen Interessen und dem Schutz der Bürger , juristische Personen und andere Organisationen Diese Maßnahmen werden in Übereinstimmung mit dem „Cybersicherheitsgesetz der Volksrepublik China“ und anderen Gesetzen und Vorschriften formuliert, um die legitimen Rechte und Interessen im Cyberspace zu schützen und die Sicherheit persönlicher Informationen und wichtiger Daten zu gewährleisten.

Artikel 2 Diese Maßnahmen gelten für die Nutzung des Internets zur Durchführung der Datenerhebung, -speicherung, -übertragung, -verarbeitung, -nutzung und anderer Aktivitäten (im Folgenden als Datenaktivitäten bezeichnet) sowie für den Schutz und die Überwachung und Verwaltung der Datensicherheit auf dem Territorium der Volksrepublik China. Ausnahmen gelten für rein familiäre und persönliche Angelegenheiten.

Wenn Gesetze und Verwaltungsvorschriften etwas anderes vorsehen, haben diese Bestimmungen Vorrang.

Artikel 3: Der Staat misst der Gewährleistung der Datensicherheit und -entwicklung die gleiche Bedeutung bei, fördert die Forschung und Entwicklung von Technologien zum Schutz der Datensicherheit, fördert aktiv die Entwicklung und Nutzung von Datenressourcen und sorgt für den geordneten und freien Datenfluss Daten in Übereinstimmung mit dem Gesetz.

Artikel 4: Der Staat ergreift Maßnahmen zur Überwachung, Abwehr und Bewältigung von Datensicherheitsrisiken und -bedrohungen innerhalb und außerhalb der Volksrepublik China sowie zum Schutz von Daten vor Verlust, Diebstahl, Manipulation, Beschädigung und illegaler Nutzung usw., und bestrafen Sie sie im Einklang mit dem Gesetz. Illegale und kriminelle Aktivitäten, die die Datensicherheit gefährden.

Artikel 5: Unter der Leitung der Zentralen Kommission für Cybersicherheit und Informatisierung koordiniert, leitet und überwacht die nationale Abteilung für Cybersicherheit und Informatisierung den Sicherheitsschutz persönlicher Informationen und wichtiger Daten.

Cyberspace-Abteilungen in Präfekturen (Stadt) und darüber leiten und überwachen den Sicherheitsschutz personenbezogener Daten und wichtiger Daten in ihren jeweiligen Verwaltungsregionen entsprechend ihren Zuständigkeiten.

Artikel 6 Netzbetreiber müssen in Übereinstimmung mit den Bestimmungen der einschlägigen Gesetze und Verwaltungsvorschriften und unter Bezugnahme auf nationale Netzsicherheitsstandards Verpflichtungen zum Schutz der Datensicherheit erfüllen, Verantwortlichkeiten für das Datensicherheitsmanagement sowie Bewertungs- und Bewertungssysteme festlegen und formulieren Datensicherheitspläne und Umsetzung technischer Datensicherheitsschutzmaßnahmen, Durchführung von Datensicherheitsrisikobewertungen, Formulierung von Notfallplänen für Netzwerksicherheitsvorfälle, rechtzeitige Bearbeitung von Sicherheitsvorfällen und Organisation von Schulungen und Schulungen zur Datensicherheit.

Verwandte Empfehlungen: „FAQ“

Kapitel 2 Datenerfassung

Artikel 7 Netzbetreiber geben die Website, Anwendungen und weiter Andere Produkte, die personenbezogene Daten sammeln und verwenden, müssen gesondert Regeln für die Sammlung und Nutzung formulieren und offenlegen. Erhebungs- und Nutzungsregeln können in die Datenschutzrichtlinien von Websites, Anwendungen und anderen Produkten aufgenommen oder den Benutzern in anderer Form zur Verfügung gestellt werden.

Die Erhebungs- und Nutzungsregeln gemäß Artikel 8 sollten klar, spezifisch, einfach und allgemein zugänglich sein und den folgenden Inhalt hervorheben:

(1) Grundlegende Informationen der Netzbetreiber;

(2) Name und Kontaktdaten des Hauptverantwortlichen des Netzbetreibers und des Verantwortlichen für die Datensicherheit

(3) Zweck, Art, Menge, Häufigkeit, Methode, Umfang; usw. der Erhebung und Nutzung personenbezogener Daten;

(4) Ort, Zeitraum und Umgang mit personenbezogenen Daten nach Ablauf

(5) Regeln für die Weitergabe personenbezogener Daten an andere, sofern bereitgestellt an andere;

(6) Strategien zum Schutz personenbezogener Daten und andere damit zusammenhängende Informationen

(7) Personen mit personenbezogenen Daten widerrufen ihre Einwilligung sowie Möglichkeiten und Methoden zur Abfrage, Korrektur und Löschung personenbezogener Daten ;

(8) Beschwerde- und Meldewege und -methoden etc.

(9) Sonstige durch Gesetze und Verwaltungsvorschriften vorgeschriebene Inhalte.

Artikel 9 Wenn die Erhebungs- und Verwendungsregeln in der Datenschutzrichtlinie enthalten sind, sollten sie relativ konzentriert und zur besseren Lesbarkeit deutlich angegeben werden. Darüber hinaus dürfen Netzwerkbetreiber personenbezogene Daten nur erheben, wenn Nutzer die Erhebungs- und Verwendungsregeln kennen und ausdrücklich zustimmen.

Artikel 10 Netzwerkbetreiber sollten sich strikt an die Erhebungs- und Nutzungsregeln halten. Das funktionale Design von Websites und Anwendungen, die personenbezogene Daten sammeln oder verwenden, sollte mit der Datenschutzrichtlinie übereinstimmen und gleichzeitig angepasst werden.

Artikel 11 Netzbetreiber dürfen personenbezogene Datensubjekte nicht durch Standardautorisierung, Funktionsbündelung usw. mit der Begründung, die Servicequalität zu verbessern, das Benutzererlebnis zu verbessern oder Informationen gezielt zu verbreiten, dazu zwingen oder irreführen, ihrer Einwilligung zuzustimmen , Entwicklung neuer Produkte usw. Erhebung personenbezogener Daten.

Nachdem die Person mit personenbezogenen Daten der Erfassung personenbezogener Daten zugestimmt hat, um den Betrieb der Kerngeschäftsfunktionen von Netzwerkprodukten sicherzustellen, stellt der Netzwerkbetreiber der Person mit personenbezogenen Daten Kerngeschäftsfunktionsdienste zur Verfügung und darf die oben genannten Daten nicht sammeln Informationen aufgrund der Verweigerung oder des Widerrufs der Einwilligung des Betroffenen anderer Informationen bei gleichzeitiger Weigerung, Kerngeschäftsfunktionen bereitzustellen.

Artikel 12: Jede Erhebung personenbezogener Daten von Minderjährigen unter 14 Jahren bedarf der Zustimmung ihrer Erziehungsberechtigten.

Artikel 13 Netzbetreiber dürfen keine diskriminierenden Maßnahmen gegen Personen mit personenbezogenen Daten ergreifen, je nachdem, ob die Person mit personenbezogenen Daten die Erhebung personenbezogener Daten genehmigt hat und welchen Umfang die Genehmigung hat, einschließlich Servicequalität, Preisunterschiede usw.

Artikel 14 Netzwerkbetreiber, die personenbezogene Daten über andere Kanäle erhalten, haben die gleichen Schutzverantwortlichkeiten und -pflichten wie diejenigen, die personenbezogene Daten direkt erfassen.

Artikel 15 Wenn Netzwerkbetreiber wichtige Daten oder sensible persönliche Informationen für geschäftliche Zwecke sammeln, sollten sie eine Aufzeichnung bei der örtlichen Cybersicherheits- und Informationsabteilung einreichen. Der Archivierungsinhalt umfasst Erhebungs- und Nutzungsregeln, Zweck, Umfang, Methode, Umfang, Art, Zeitraum usw. der Erhebung und Nutzung, jedoch nicht den Dateninhalt selbst.

Artikel 16 Netzwerkbetreiber, die automatisierte Mittel zum Zugriff und zur Erfassung von Website-Daten verwenden, dürfen den normalen Betrieb der Website nicht ernsthaft beeinträchtigen. Ein Drittel des durchschnittlichen täglichen Datenverkehrs der Website. Wenn die Website die Beendigung der automatischen Zugriffserfassung anfordert, sollte dies gestoppt werden.

Artikel 17 Wenn Netzbetreiber wichtige Daten oder personenbezogene sensible Informationen für geschäftliche Zwecke sammeln, sollten sie die für die Datensicherheit verantwortliche Person identifizieren.

Der Verantwortliche für die Datensicherheit muss eine Person mit einschlägiger Managementerfahrung und Datensicherheitskompetenz sein. Er ist an wichtigen Entscheidungen bezüglich Datenaktivitäten beteiligt und berichtet direkt an den Hauptverantwortlichen des Netzbetreibers.

Artikel 18 Die für die Datensicherheit verantwortliche Person nimmt folgende Aufgaben wahr:

(1) Organisation der Ausarbeitung von Datenschutzplänen und Überwachung ihrer Umsetzung

(2) Organisieren Sie die Entwicklung von Datensicherheitsrisiken. Bewerten Sie die Behebung von Sicherheitsrisiken.

(3) Melden Sie bei Bedarf den Datenschutz und die Behandlung von Vorfällen. Akzeptieren und bearbeiten Sie Benutzerbeschwerden und -berichte.

Netzbetreiber sollten den Datensicherheitsverantwortlichen die notwendigen Ressourcen zur Verfügung stellen, damit diese ihre Aufgaben selbstständig wahrnehmen können.

Kapitel 3 Datenverarbeitung und -nutzung

Artikel 19 Netzbetreiber sollten sich auf relevante nationale Standards beziehen und Datenklassifizierung, Sicherung, Verschlüsselung und andere Maßnahmen ergreifen, um den Schutz zu stärken Persönliche Informationen und wichtiger Datenschutz.

Artikel 20: Netzwerkbetreiber sollten personenbezogene Daten nicht über die in den Erhebungs- und Verwendungsregeln festgelegte Aufbewahrungsfrist hinaus speichern. Benutzer sollten ihre personenbezogenen Daten nach der Kündigung ihres Kontos unverzüglich löschen Die personenbezogenen Daten sind individuell und können (unten) nicht wiederhergestellt werden, außer (als Anonymisierungsverarbeitung bezeichnet).

Artikel 21: Wenn Netzwerkbetreiber Anfragen zu personenbezogenen Daten, Berichtigungen, Löschungen und Löschungsanfragen für Benutzerkonten erhalten, müssen sie Konten innerhalb einer angemessenen Zeit und zu angemessenen Kosten anfragen, korrigieren, löschen oder kündigen.

Artikel 22 Netzwerkbetreiber dürfen personenbezogene Daten nicht unter Verstoß gegen die Erhebungs- und Nutzungsregeln verwenden. Wenn es aus geschäftlichen Gründen wirklich notwendig ist, den Umfang der Nutzung personenbezogener Daten zu erweitern, muss die Einwilligung des Betroffenen eingeholt werden.

Artikel 23: Netzwerkbetreiber, die Benutzerdaten und Algorithmen verwenden, um Nachrichteninformationen, kommerzielle Werbung usw. zu verbreiten (im Folgenden als „gezielter Push“ bezeichnet), müssen deutlich das Wort „gezielter Push“ angeben, um den Benutzern Folgendes bereitzustellen a stop Die Funktion zum Empfang gezielter Push-Informationen; wenn der Benutzer den Empfang gezielter Push-Informationen beenden möchte, sollte er den Push stoppen und die gesammelten Benutzerdaten und persönlichen Informationen wie Geräteidentifikationscodes löschen.

Netzwerkbetreiber, die gezielte Push-Aktivitäten durchführen, sollten sich an Gesetze und Verwaltungsvorschriften halten, soziale Moral, Geschäftsethik, öffentliche Ordnung und gute Sitten respektieren, ehrlich und vertrauenswürdig sein und Diskriminierung, Betrug und andere Verhaltensweisen strikt verbieten.

Artikel 24 Netzwerkbetreiber, die Big Data, künstliche Intelligenz und andere Technologien zur automatischen Synthese von Nachrichten, Blogbeiträgen, Beiträgen, Kommentaren und anderen Informationen verwenden, sollten das Wort „synthetisiert“ deutlich angeben und dürfen weder Nutzen noch Schaden anstreben . Informationen automatisch zum Nutzen anderer synthetisieren.

Artikel 25 Netzwerkbetreiber sollten Maßnahmen ergreifen, um Benutzer dazu zu drängen und daran zu erinnern, für ihr Online-Verhalten Verantwortung zu übernehmen und Selbstdisziplin zu stärken. Bei Benutzern, die von anderen erstellte Informationen über soziale Netzwerke weiterleiten, sollten sie den Informationsproduzenten automatisch markieren in diesem sozialen Netzwerk. Ein Konto oder eine unveränderliche Benutzer-ID in einem Netzwerk.

Artikel 26: Wenn Netzbetreiber Meldungen und Beschwerden über Fälschung, Fälschung oder Veruntreuung von im Namen anderer veröffentlichten Informationen erhalten, sollten sie umgehend reagieren und nach Überprüfung die Verbreitung sofort einstellen und die Informationen löschen.

Artikel 27 Bevor Netzwerkbetreiber personenbezogene Daten an andere weitergeben, sollten sie die möglichen Sicherheitsrisiken abschätzen und die Zustimmung der betroffenen Person einholen. Mit Ausnahme der folgenden Umstände:

(1) über legale öffentliche Kanäle und nicht offensichtlich gegen den Willen der betroffenen Person erhoben werden

(2) persönliche Informationen, die von der Person selbst offengelegt werden; Initiative;

(3) ) wurde anonymisiert

(4) Erforderlich, damit Strafverfolgungsbehörden ihre Aufgaben in Übereinstimmung mit dem Gesetz erfüllen können; zum Schutz der nationalen Sicherheit, sozialer öffentlicher Interessen und der Lebenssicherheit personenbezogener Daten.

Artikel 28 Vor der Veröffentlichung, Weitergabe, dem Handel oder der Bereitstellung wichtiger Daten im Ausland sollten Netzbetreiber die möglichen Sicherheitsrisiken bewerten und den zuständigen Regulierungsbehörden der Branche einen Bericht zur Genehmigung vorlegen , sollte es von der Abteilung für Cybersicherheit und Informatisierung der Provinz genehmigt werden.

Die Bereitstellung personenbezogener Daten im Ausland unterliegt den einschlägigen Vorschriften.

Artikel 29 Wenn inländische Benutzer auf das inländische Internet zugreifen, darf ihr Datenverkehr nicht ins Ausland weitergeleitet werden.

Artikel 30 Netzwerkbetreiber sollten die Datensicherheitsanforderungen und Verantwortlichkeiten für Drittanwendungen, die mit ihren Plattformen verbunden sind, klarstellen und die Betreiber von Drittanwendungen auffordern und beaufsichtigen, das Datensicherheitsmanagement zu stärken. Kommt es in einer Drittanwendung zu einem Datensicherheitsvorfall, der den Nutzern Schaden zufügt, trägt der Netzbetreiber die Verantwortung ganz oder teilweise, es sei denn, der Netzbetreiber kann nachweisen, dass ihn kein Verschulden trifft.

Artikel 31: Wenn ein Netzbetreiber fusioniert, sich umstrukturiert oder in Konkurs geht, übernimmt der Datenempfänger die Verantwortung und Pflichten für die Datensicherheit. Wenn kein Datenempfänger vorhanden ist, sollten die Daten gelöscht werden. Sofern Gesetze und Verwaltungsvorschriften etwas anderes vorsehen, haben diese Bestimmungen Vorrang.

Artikel 32: Netzwerkbetreiber analysieren und nutzen die ihnen zur Verfügung stehenden Datenressourcen, um Marktprognosen, statistische Informationen, Privat- und Unternehmenskredite und andere Informationen zu veröffentlichen, und dürfen die nationale Sicherheit, den Wirtschaftsbetrieb, die soziale Stabilität nicht beeinträchtigen oder den Rechtmäßigen schaden Rechte und Interessen anderer.

Kapitel 4 Überwachung und Verwaltung der Datensicherheit

Artikel 33: Bei der Wahrnehmung ihrer Aufgaben stellt die Cyberspace-Abteilung fest, dass die Verantwortlichkeiten des Netzbetreibers für das Datensicherheitsmanagement nicht vollständig umgesetzt werden. Der Hauptverantwortliche des Netzbetreibers sollte im Einklang mit den vorgeschriebenen Befugnissen und Verfahren befragt werden, um auf Abhilfe zu drängen.

Artikel 34 Der Staat ermutigt Netzwerkbetreiber, freiwillig die Zertifizierung des Datensicherheitsmanagements und der Anwendungssicherheit zu bestehen, und ermutigt Suchmaschinen, Anwendungsspeicher usw., empfohlene Anwendungen, die die Zertifizierung bestanden haben, klar zu identifizieren und ihnen Vorrang einzuräumen.

Die nationale Abteilung für Cybersicherheit und Informatisierung leitet in Zusammenarbeit mit der Marktüberwachungs- und Verwaltungsabteilung des Staatsrates die nationale Agentur für die Überprüfung und Zertifizierung der Netzwerksicherheit und organisiert die Zertifizierung des Datensicherheitsmanagements und der Anwendungssicherheit.

Artikel 35: Wenn ein Datensicherheitsvorfall wie die Offenlegung, Beschädigung oder der Verlust personenbezogener Daten auftritt oder wenn das Risiko eines Datensicherheitsvorfalls erheblich zunimmt, müssen die Netzbetreiber unverzüglich Abhilfemaßnahmen ergreifen und umgehend mitteilen Telefon, SMS, Benachrichtigung der Person über personenbezogene Daten per E-Mail oder Brief und Meldung an Branchenaufsichtsbehörden sowie Cybersicherheits- und Informationsabteilungen bei Bedarf.

Artikel 36 Wenn die jeweils zuständigen Behörden des Staatsrates von den Netzbetreibern verlangen, die in ihrem Besitz befindlichen relevanten Daten gemäß den Bestimmungen der Gesetze und Verwaltungsvorschriften bereitzustellen, um ihre Pflichten zur Wahrung der nationalen Sicherheit und des Sozialmanagements zu erfüllen , Wirtschaftsregulierung usw. Das Netzwerk muss vom Betreiber bereitgestellt werden.

Die jeweils zuständigen Behörden des Staatsrates sind für den Sicherheitsschutz der von Netzbetreibern bereitgestellten Daten verantwortlich und dürfen nicht für Zwecke verwendet werden, die nicht mit der Erfüllung ihrer Aufgaben in Zusammenhang stehen.

Artikel 37 Wenn ein Netzbetreiber gegen die Bestimmungen dieser Maßnahmen verstößt, müssen die zuständigen Abteilungen gemäß den Bestimmungen der einschlägigen Gesetze und Verwaltungsvorschriften und je nach den Umständen eine öffentliche Offenlegung vornehmen, illegale Gewinne einziehen und suspendieren relevantes Geschäft, Aussetzung des Geschäfts zur Berichtigung oder Schließung der Website, Entzug relevanter Geschäftslizenzen oder Entzug von Geschäftslizenzen und andere Strafen, wenn eine Straftat vorliegt, wird die strafrechtliche Verantwortlichkeit gemäß dem Gesetz verfolgt.

Kapitel 5 Ergänzende Bestimmungen

Artikel 38 Die Bedeutung der folgenden Begriffe in diesen Maßnahmen:

(1) Mit Netzbetreiber sind die Netzeigentümer gemeint , Manager und Netzwerkdienstleister.

(2) Netzwerkdaten beziehen sich auf verschiedene elektronische Daten, die über das Netzwerk erfasst, gespeichert, übertragen, verarbeitet und generiert werden.

(3) Unter personenbezogenen Daten versteht man verschiedene elektronisch oder auf andere Weise erfasste Informationen, die allein oder in Kombination mit anderen Informationen, einschließlich, aber nicht beschränkt auf den Namen und das Geburtsdatum, die persönliche Identität einer natürlichen Person identifizieren können und Ausweisdokument der natürlichen Person, persönliche biometrische Daten, Adresse, Telefonnummer usw.

(4) Der Begriff „Personenbezogene Daten“ bezieht sich auf die natürliche Person, die identifiziert oder mit personenbezogenen Daten in Verbindung gebracht wird.

(5) Wichtige Daten beziehen sich auf Daten, die, sobald sie durchgesickert sind, direkte Auswirkungen auf die nationale Sicherheit, die wirtschaftliche Sicherheit, die soziale Stabilität, die öffentliche Gesundheit und Sicherheit haben können, wie z. B. nicht offengelegte Regierungsinformationen, große Bevölkerungszahlen, genetische Gesundheit, Geographie, Bodenschätze usw. Wichtige Daten umfassen im Allgemeinen keine Unternehmensproduktion und -betrieb sowie interne Managementinformationen, persönliche Informationen usw.

Artikel 39: Datenaktivitäten, bei denen staatliche Geheiminformationen und Passwörter verwendet werden, werden in Übereinstimmung mit den einschlägigen nationalen Vorschriften umgesetzt.

Artikel 40 Diese Vorschriften treten am Tag, Monat, Jahr in Kraft.

Das obige ist der detaillierte Inhalt vonWelche Maßnahmen gibt es zum Datensicherheitsmanagement?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!