9 października 2024 r. Krajowy Komitet Techniczny ds. Standaryzacji Bezpieczeństwa Informacji (TC260) ogłosił zatwierdzenie GB/T 44588-2024, krajowego standardu technologii bezpieczeństwa danych dotyczących przetwarzania danych osobowych na platformach internetowych, produktach i usługach. Standard ten wejdzie w życie 1 kwietnia 2025 roku.
Norma ta odzwierciedla ewoluujące podejście Chin do bezpieczeństwa cybernetycznego i ochrony danych osobowych, dostosowując się do najlepszych światowych praktyk i ustanawiając bezpieczniejsze ramy przetwarzania wrażliwych informacji.
Kluczowe wymagania
Bezpieczeństwo danych osobowych już w fazie projektowania:
Wszystkie platformy internetowe i usługi cyfrowe są zobowiązane do włączenia środków bezpieczeństwa do projektowania i rozwoju swoich systemów. Obejmuje to przeprowadzanie ocen bezpieczeństwa, wdrażanie kontroli ochrony danych osobowych oraz zapewnienie, że systemy są odporne na nieautoryzowany dostęp i naruszenia danych.
Minimalizacja danych:
Standard wymaga, aby platformy i usługi gromadziły minimalną ilość danych osobowych niezbędnych do ich działania. Gromadzenie danych osobowych musi być ograniczone, uzasadnione konkretnymi potrzebami biznesowymi i proporcjonalne do celu ich wykorzystania.
Zgoda i przejrzystość:
Spółki muszą uzyskać wyraźną zgodę użytkownika na gromadzenie, przetwarzanie i udostępnianie danych osobowych. Użytkownikom należy zapewnić jasną komunikację na temat tego, jakie dane są gromadzone i w jaki sposób będą one wykorzystywane, umożliwiając im podejmowanie świadomych decyzji dotyczących ich danych osobowych.
Transgraniczny transfer danych:
GB/T 44588-2024 wprowadza surowe zasady dotyczące transgranicznego przekazywania danych osobowych. Przed jakimkolwiek transferem transgranicznym firmy muszą ocenić ryzyko i upewnić się, że kraj docelowy zapewnia odpowiedni poziom ochrony danych.
Dostęp do danych i zarządzanie nimi:
Organizacje są zobowiązane do wdrożenia rygorystycznych mechanizmów kontroli dostępu i uwierzytelniania, aby zapewnić, że tylko upoważniony personel ma dostęp do wrażliwych danych osobowych. Wymagane są również regularne audyty i przeglądy praw dostępu do danych.
Reagowanie na incydenty i powiadamianie o naruszeniach danych:
Firmy muszą mieć ustalone plany reagowania na incydenty w celu wykrywania, zarządzania i zgłaszania naruszeń danych. W przypadku naruszenia bezpieczeństwa muszą niezwłocznie powiadomić odpowiednie organy i osoby dotknięte naruszeniem, aby złagodzić jego skutki.
Zarządzanie cyklem życia danych:
Wymóg ten zapewnia, że dane są bezpiecznie zarządzane przez cały cykl ich życia - od gromadzenia do usunięcia. Właściwe procedury przechowywania i bezpiecznego usuwania danych osobowych po zakończeniu ich cyklu życia mają kluczowe znaczenie dla zapobiegania wyciekom danych i nieuprawnionemu wykorzystaniu.
New National Standard on Data Security Approved in China
On October 9, 2024, the National Information Security Standardization Technical Committee (TC260) announced the approval of GB/T 44588-2024, a national standard for Data Security Technology concerning personal information processing on internet platforms, products, and services. The standard, which will take effect on April 1, 2025.
This standard reflects China’s evolving approach to cybersecurity and personaldata protection, aligning with global best practices and establishing a more secure framework for handling sensitiveinformation.
Key Requirements
Personal Information Security by Design:
All internet platforms and digital services are required to embed security measures into the design and development of their systems. This involves conducting security assessments, implementing protective controls for personal data, and ensuring that systems are resistant to unauthorized access and data breaches.
Data Minimization:
The standard mandates that platforms and services must collect the minimum amount of personal data necessary for their operations. Personal information collection must be limited, justified by specific business needs, and proportional to the purpose of its use.
Consent and Transparency:
Companies must obtain explicit user consent for collecting, processing, and sharing personal data. Clear communication about what data is being collected and how it will be used must be provided to users, empowering them to make informed decisions about their personal information.
Cross-Border Data Transfers:
GB/T 44588-2024 introduces strict rules for transferring personal data across borders. Before any cross-border transfer, companies must evaluate the risks and ensure that the destination country provides an adequate level of data protection.
Data Access and Management:
Organizations are required to implement stringent access controls and authentication mechanisms to ensure that only authorized personnel have access to sensitive personal information. Regular audits and reviews of data access rights are also required.
Incident Response and Data Breach Notification:
Companies must have established incident response plans in place to detect, manage, and report data breaches. In the event of a security breach, they must notify relevant authorities and affected individuals promptly to mitigate the impact.
Data Lifecycle Management:
This requirement ensures that data is securely managed throughout its lifecycle—from collection to deletion. Proper procedures for dataretention and secure disposal of personal information at the end of its lifecycle are crucial to prevent data leaks and unauthorized use.
Autor: Sebastian Burgemejster
Comments