Администрация киберпространства КНР (Cyberspace Administration of China, CAC) опубликовала проект нормативного документа, призванного обеспечить безопасность интернет-данных в стране.
Как пишет D-Russia со ссылкой на The Record, среди прочего документ предусматривает классификацию данных по трём категориям – общие, важные и ключевые. «Государство обеспечивает защиту первых двух категорий и строго охраняет информацию из третьей», – цитирует The Record документ.
В то же время издание указывает на расплывчатость формулировок содержащихся в проекте положений. К примеру, не ясно, какая информация может быть воспринята как представляющая угрозу национальной безопасности. К категории «важных данных» может быть отнесена самая разная информация, включая «неопубликованную правительственную информацию или экономические сведения».
Новые правила предлагается «применять к деятельности, связанной с обработкой данных, надзором и обеспечением безопасности сетевых данных на территории КНР». Положения документа будут распространяться на физических лиц и организации, находящиеся вне китайской территории, но предоставляющие продукты и услуги внутри КНР.
Кроме того, любая компания, которая «анализирует и оценивает поведение физических лиц и организаций внутри страны или вовлечена в обработку важных внутренних данных», должна будет исполнять новые нормы. Таким образом, делает вывод The Record, нововведения затронут работу таких компаний, как Google, Facebook и Twitter, даже если они не ведут бизнес в Китае.
В проекте также содержится положение, требующее от компаний, которые занимаются обработкой данных, создания механизма реагирования на происшествия, связанные с безопасностью данных. Его необходимо будет задействовать при выявлении хакерских атак. Обо всех инцидентах компании должны будут докладывать в «органы общественной безопасности».
В случае масштабных утечек, которые включают либо компрометацию важных данных, либо кражу персональных данных более 10 тысяч человек, компании, допустившие утечку, должны будут сообщить об инциденте в течение 8 часов с момента выявления действий злоумышленников, а также предоставить информацию о возможных последствиях атаки и способов их устранения в течение 5 рабочих дней.