चीन उद्योग और सूचना प्रौद्योगिकी क्षेत्रों में डेटा सुरक्षा पर मसौदा उपाय जारी करता है

चीन उद्योग और सूचना प्रौद्योगिकी क्षेत्रों में डेटा सुरक्षा पर मसौदा उपाय जारी करता है उद्योग और सूचना प्रौद्योगिकी मंत्रालय ("एमआईआईटी"), सार्वजनिक टिप्पणियों के पहले दौर के बाद, जो 30 अक्टूबर, 2021 को संपन्न हुआ, ने उद्योग और सूचना प्रौद्योगिकी क्षेत्रों में डेटा सुरक्षा पर प्रशासनिक उपायों का एक नया मसौदा प्रकाशित किया (परीक्षण कार्यान्वयन के लिए) ) (ड्राफ्ट "उपाय") फरवरी 10 पर टिप्पणी के लिए 21 फरवरी, 2022 तक। 1 - buxmi

उद्योग और सूचना प्रौद्योगिकी मंत्रालय (“एमआईआईटी”), सार्वजनिक टिप्पणियों के पहले दौर के बाद, जो 30 अक्टूबर, 2021 को संपन्न हुआ, ने उद्योग और सूचना प्रौद्योगिकी क्षेत्रों में डेटा सुरक्षा पर प्रशासनिक उपायों का एक नया मसौदा प्रकाशित किया (परीक्षण कार्यान्वयन के लिए) ) (ड्राफ्ट “उपाय”) फरवरी 10 पर टिप्पणी के लिए 21 फरवरी, 2022 तक। 1

डेटा सुरक्षा कानून (“डीएसएल”) में निर्दिष्ट उद्योग नियामकों में से एक के रूप में, एमआईआईटी उद्योग और सूचना प्रौद्योगिकी क्षेत्रों (“आईआईटी डेटा”) में डेटा के लिए सुरक्षा प्रबंधन प्रणालियों को परिष्कृत करने के लिए कर्तव्यबद्ध है। मसौदा उपाय श्रेणी और वर्गीकरण के आधार पर और महत्वपूर्ण डेटा के प्रबंधन के लिए डेटा सुरक्षा के लिए आवश्यकताओं को निर्दिष्ट करेगा; एमआईआईटी के कर्तव्यों और इसके स्थानीय समकक्षों (प्रत्येक एक “स्थानीय नियामक”) के दायरे को परिभाषित करें; और संपूर्ण जीवन-चक्र डेटा सुरक्षा सुरक्षा के लिए आवश्यकताओं को निर्धारित करें, जो सभी मसौदे के आठ अध्यायों के 41 लेखों में परिलक्षित होते हैं।

आवेदन की गुंजाइश

मसौदा उपायों ने पहले महत्वपूर्ण परिभाषाएं और आवेदन के लिए सीमाएं निर्धारित की हैं। मसौदा उपायों में उद्योग डेटा, दूरसंचार डेटा और रेडियो डेटा शामिल करने के लिए IIT डेटा को परिभाषित किया गया है। उद्योग डेटा, बदले में, विभिन्न उद्योग क्षेत्रों और क्षेत्रों (अनुच्छेद 3, पैरा 1) में अनुसंधान एवं विकास और डिजाइन, निर्माण, व्यवसाय संचालन और प्रबंधन, रखरखाव, और मंच संचालन के दौरान उत्पन्न और एकत्र किए गए डेटा का मतलब होगा। IIT डेटा प्रोसेसर (“डेटा प्रोसेसर”) में औद्योगिक उद्यम, सॉफ्टवेयर और आईटी सेवा उद्यम, दूरसंचार व्यवसाय संचालन लाइसेंस वाले दूरसंचार सेवा ऑपरेटर, साथ ही रेडियो फ्रीक्वेंसी और स्टेशन इकाई उपयोगकर्ता (अनुच्छेद 3, पैरा 2) शामिल होंगे। व्यक्तिगत जानकारी, सैन्य जानकारी, राज्य रहस्य, क्रिप्टोग्राफी, सरकारी मामलों से जुड़े IIT डेटा की सुरक्षा का प्रबंधन,

श्रेणी और वर्गीकरण द्वारा प्रशासन

डीएसएल को लागू करने की आवश्यकताओं के अनुसार, एमआईआईटी डेटा श्रेणी और वर्गीकरण, महत्वपूर्ण डेटा और कोर डेटा की पहचान और सत्यापन, और महत्वपूर्ण डेटा और कोर डेटा की वर्गीकृत सुरक्षा के लिए मानकों और विनिर्देशों को तैयार करेगा जो प्राथमिकता संरक्षण के अधीन हैं ( अनुच्छेद 7)।

आईआईटी डेटा के रूप में वर्गीकृत किया जाएगा, लेकिन इन तक सीमित नहीं है: आर एंड डी डेटा, उत्पादन और संचालन डेटा, प्रबंधन डेटा, रखरखाव डेटा, और व्यापार सेवा डेटा (अनुच्छेद 8)।

See also  Un guide pour travailler sur la scène technologique de Seattle - L'ère de l'information

महत्वपूर्ण डेटा और कोर डेटा

डीएसएल (अनुच्छेद 8) की भाषा के अनुरूप, आईआईटी डेटा को संवेदनशीलता के स्तर के आधार पर तीन श्रेणियों में विभाजित किया जाएगा: सामान्य डेटा (यानी, डेटा जो निम्नलिखित दो श्रेणियों में से किसी एक में नहीं आता है), महत्वपूर्ण डेटा और कोर आंकड़े।

मसौदा उपाय आईआईटी क्षेत्रों में “महत्वपूर्ण डेटा” को डेटा के रूप में परिभाषित करता है जिसके लिए खतरे की डिग्री निम्नलिखित मानदंडों में से किसी एक को पूरा करेगी (अनुच्छेद 10):

  1. राजनीतिक, क्षेत्रीय, सैन्य, आर्थिक, सांस्कृतिक, सामाजिक, वैज्ञानिक और तकनीकी, विद्युत चुम्बकीय, नेटवर्क, पारिस्थितिक, संसाधन, या परमाणु सुरक्षा के लिए खतरा पैदा करता है, या विदेशी हितों, जीव विज्ञान, अंतरिक्ष जैसे राष्ट्रीय सुरक्षा से संबंधित किसी भी प्रमुख क्षेत्र को प्रभावित करता है। , ध्रुवीय क्षेत्र, गहरे समुद्र और कृत्रिम बुद्धिमत्ता;
  2. आईआईटी क्षेत्र के विकास, उत्पादन, परिचालन या आर्थिक हितों को गंभीर रूप से प्रभावित करता है;
  3. प्रमुख डेटा सुरक्षा घटनाओं या उत्पादन सुरक्षा घटनाओं का कारण बनता है, सार्वजनिक हित या व्यक्तियों या संगठनों के वैध अधिकारों और हितों पर गंभीर प्रभाव पड़ता है, और/या एक बड़ा प्रतिकूल सामाजिक प्रभाव पड़ता है;
  4. इस तरह के डेटा के नुकसान के कारण व्यापक प्रभाव स्पष्ट है, प्रभाव के दायरे में उद्योग में कई उद्योग, क्षेत्र या कई उद्यम शामिल हैं, या प्रभाव लंबे समय तक रहता है, जिससे उद्योग के विकास पर गंभीर प्रभाव पड़ता है, तकनीकी प्रगति, और औद्योगिक पारिस्थितिकी; या
  5. अन्य महत्वपूर्ण डेटा जैसा कि एमआईआईटी द्वारा मूल्यांकन और निर्धारित किया गया है।

मसौदा उपाय आईआईटी क्षेत्रों में “कोर डेटा” को डेटा के रूप में परिभाषित करता है जिसके लिए खतरे की डिग्री निम्नलिखित शर्तों में से किसी एक को पूरा करती है (अनुच्छेद 11):

  1. राजनीति, क्षेत्र, सैन्य, अर्थव्यवस्था, संस्कृति, समाज, विज्ञान और प्रौद्योगिकी, विद्युत चुम्बकीय, नेटवर्क, पारिस्थितिकी, संसाधनों और परमाणु सुरक्षा के लिए एक गंभीर खतरा है, या राष्ट्रीय सुरक्षा से संबंधित ऐसे प्रमुख क्षेत्रों पर गंभीर प्रभाव डालता है जैसे कि विदेशी हित, जीव विज्ञान, अंतरिक्ष, ध्रुवीय क्षेत्र, गहरे समुद्र और कृत्रिम बुद्धिमत्ता;
  2. आईआईटी और इसके प्रमुख प्रमुख उद्यमों, महत्वपूर्ण सूचना बुनियादी ढांचे या महत्वपूर्ण संसाधनों पर महत्वपूर्ण प्रभाव पड़ता है;
  3. औद्योगिक उत्पादन और संचालन, दूरसंचार नेटवर्क (इंटरनेट सहित) संचालन और सेवाओं, और रेडियो व्यवसाय को बड़ा नुकसान पहुंचाता है, जिसके परिणामस्वरूप बड़े पैमाने पर शटडाउन, बड़े पैमाने पर रेडियो व्यवसाय में रुकावट, बड़े पैमाने पर नेटवर्क और सेवा पक्षाघात, और बड़े पैमाने पर नुकसान होता है। व्यवसाय प्रसंस्करण क्षमताओं की संख्या; या
  4. अन्य मुख्य डेटा जैसा कि एमआईआईटी द्वारा मूल्यांकन और निर्धारित किया गया है।
See also  एनवीडिया का कहना है कि साइबर हमले के बाद कर्मचारी, कंपनी की जानकारी ऑनलाइन लीक हो गई

महत्वपूर्ण डेटा और कोर डेटा की सूची

मसौदा उपायों के लिए डेटा प्रोसेसर को अपने महत्वपूर्ण डेटा और कोर डेटा के संबंध में अपने स्थानीय नियामकों के साथ फाइलिंग करने की आवश्यकता होगी। फाइलिंग में बिना किसी सीमा के, श्रेणी, वर्गीकरण और डेटा के आकार को शामिल करना होगा; उद्देश्य और प्रसंस्करण के तरीके; उपयोग की गुंजाइश; जिम्मेदार पार्टियां; साझा पार्टियां; सीमा पार स्थानांतरण; और सुरक्षा सुरक्षा उपाय, लेकिन डेटा ही नहीं (अनुच्छेद 12, पैरा 1)। यदि फाइलिंग की सामग्री इन आवश्यकताओं को पूरा करती है तो डेटा प्रोसेसर अपने फाइलिंग के लिए रसीद प्राप्त करेंगे (अनुच्छेद 12, पैरा 2)। डेटा प्रोसेसर को स्थानीय नियामक (अनुच्छेद 12, पैरा 3) को श्रेणी या आकार के संदर्भ में महत्वपूर्ण या कोर डेटा के 30% या बड़े परिवर्तन की रिपोर्ट करने की भी आवश्यकता होगी।

औद्योगिक विकास खंड में एक विशिष्ट तत्व के रूप में, मसौदा उपाय यह प्रदान करेगा कि डेटा प्रोसेसर को सामाजिक नैतिकता और नैतिकता का पालन करना आवश्यक है (अनुच्छेद 5, पैरा 2)।

पूर्ण जीवन-चक्र सुरक्षा प्रबंधन

उपायों के मसौदे के तहत, डेटा प्रोसेसर अपने डेटा की सुरक्षा सुनिश्चित करने के लिए जिम्मेदार प्राथमिक पक्ष होंगे और डेटा संग्रह, भंडारण, उपयोग, प्रसंस्करण, संचरण, प्रावधान और प्रकटीकरण। इस दायित्व में विशेष रूप से शामिल होंगे:

सीमा पार स्थानांतरण

चीन में एकत्रित और उत्पन्न महत्वपूर्ण डेटा और कोर डेटा को लागू कानून या डीएसएल जैसे विनियमों के अनुसार आवश्यक रूप से चीन में संग्रहीत करने की आवश्यकता होगी। यह डेटा स्थानीयकरण आवश्यकता है। सीमा पार स्थानांतरण के मामले में महत्वपूर्ण डेटा सुरक्षा मूल्यांकन के अधीन होगा (अनुच्छेद 21, पैरा 1)। कोर डेटा चीन नहीं छोड़ सकता है। मसौदा उपाय आगे यह प्रदान करेगा कि डेटा प्रोसेसर एमआईआईटी अनुमोदन (अनुच्छेद 21, पैरा 2) के बिना चीन के अंदर संग्रहीत आईआईटी क्षेत्र के डेटा को विदेशी उद्योग, दूरसंचार या रेडियो कानून प्रवर्तन संस्थाओं को प्रदान नहीं कर सकते हैं। ये आवश्यकताएं डीएसएल के अनुरूप हैं।

यह ध्यान देने योग्य है कि, जब विदेशों में गैर-सरकारी दलों के साथ सीमा पार डेटा साझा करने की बात आती है, तो केवल महत्वपूर्ण डेटा और कोर डेटा उपर्युक्त अनुपालन आवश्यकताओं और प्रतिबंधों के अधीन होते हैं। सामान्य IIT डेटा को विदेशों में स्थानांतरित करते समय, डेटा प्रोसेसर को सुरक्षा मूल्यांकन करने की आवश्यकता नहीं होती है। दूसरे शब्दों में, बहुराष्ट्रीय IIT कंपनियों के चीनी सहायक और संयुक्त उद्यम सामान्य डेटा को स्वतंत्र रूप से अपने प्रधान कार्यालयों में स्थानांतरित कर सकते हैं, लेकिन महत्वपूर्ण डेटा को स्थानांतरित करते समय एक सुरक्षा मूल्यांकन करने की आवश्यकता होगी, और कोर डेटा स्थानांतरित नहीं कर सकते।

See also  Fremtiden for datalagring er dobbeltspiralformet, viser forskning

इसका मतलब है कि बहुराष्ट्रीय आईआईटी कंपनियों को सामान्य डेटा और महत्वपूर्ण/कोर डेटा के बीच सावधानी से अंतर करना होगा। दैनिक कार्यों से संबंधित अधिकांश डेटा में सामान्य डेटा होना चाहिए। कई बहुराष्ट्रीय IIT कंपनियों के पास ऐसे क्षेत्रों (जैसे, दूरसंचार और रेडियो प्रसारण) में विदेशी निवेश पर प्रतिबंध के कारण महत्वपूर्ण / कोर डेटा तक बहुत कम पहुंच है। बहुराष्ट्रीय आईआईटी कंपनियों को अन्य कंपनियों, विशेष रूप से राज्य के स्वामित्व वाले उद्यमों से अनजाने में महत्वपूर्ण / कोर डेटा प्राप्त न करने के लिए सावधानी बरतनी चाहिए, ऐसी अन्य कंपनियों के साथ अनुबंध की शर्तों में डेटा ट्रांसफर प्रतिबंधों को निर्धारित करके। इसके अलावा, बहुराष्ट्रीय IIT कंपनियां अपने घरेलू देशों में IIT नियामकों को कोई IIT डेटा स्थानांतरित नहीं कर सकती हैं, जैसे कि संघीय संचार आयोग,

सुरक्षा मूल्यांकन

महत्वपूर्ण डेटा और कोर डेटा प्रोसेसर को वर्ष में कम से कम एक बार सुरक्षा मूल्यांकन करने और स्थानीय नियामक (अनुच्छेद 31) को मूल्यांकन रिपोर्ट प्रदान करने की आवश्यकता होगी। साधारण डेटा के लिए डेटा प्रोसेसर को नियमित आधार पर आत्म-सुरक्षा मूल्यांकन करने के लिए प्रोत्साहित किया जाता है।

दंड

उपायों का उल्लंघन करने वाली कंपनियों को डीएसएल और साइबर सुरक्षा कानून के अनुसार दंडित किया जाएगा। दंड में चेतावनी, जुर्माना, अवैध आय की जब्ती, और प्रासंगिक लाइसेंस और परमिट के निलंबन या निरसन शामिल हैं। यदि उल्लंघन अपराध बनता है तो आपराधिक दायित्व भी लगाया जा सकता है।

डीएसएल के अनुरूप, मसौदा उपाय सीमा पार डेटा हस्तांतरण के खिलाफ पूर्वाग्रह प्रस्तुत करते हैं जो कि डब्ल्यूटीओ के सेवाओं में व्यापार पर सामान्य समझौते (जीएटीएस) के तहत चीन की प्रतिबद्धताओं के साथ तनाव में है और चीन की हाल ही में व्यापक और प्रगतिशील समझौते का एक पक्ष बनने की इच्छा है। ट्रांस-पैसिफिक पार्टनरशिप (CPTPP) और डिजिटल इकोनॉमी पार्टनरशिप एग्रीमेंट (DEPA) के लिए, दो एशिया-प्रशांत क्षेत्रीय व्यापार समझौते, डिजिटल व्यापार को सुविधाजनक बनाने के लिए मजबूत विषयों के साथ, सूचना के सीमा पार हस्तांतरण सहित।

Recent Posts

Categories