Китай въведе програма за сертифициране, за да регулира трансфера на лична информация в чужбина, за да подобри сигурността на данните, като същевременно улесни трансграничните потоци в рамките на ясна правна рамка. Правилата ще влязат в сила на 1 януари 2026 г.
Администрацията за киберпространство на Китай, най-големият интернет регулатор в страната, и Държавната администрация за регулиране на пазара съвместно пуснаха мерките в петък, като подробно описват изискванията за лица, които изпращат лични данни в чужбина.
Според служител на CAC програмата предлага законов път за износителите на данни, които отговарят на националните стандарти за сертифициране, както е посочено в Закона за защита на личната информация.
Сертифицирането е достъпно за обработващи лична информация, които не са оператори на критична информационна инфраструктура. Прилага се за тези, които от началото на календарната година са прехвърлили нечувствителни лични данни на между 100 000 и по-малко от 1 милион лица или чувствителни лични данни на по-малко от 10 000 души. Важните данни са изключени.
Мерките изрично забраняват на процесорите на данни да разделят големи трансфери на данни на по-малки партиди, за да избегнат задължителни оценки на сигурността.
Съгласно новата рамка обработващите данни трябва да подават заявления до акредитирани сертифициращи органи. Срокът на валидност на всеки сертификат е три години.
От сертифициращите институции се изисква да качат подробности за сертифицирането в национална платформа за обществени услуги за акредитация за сертифициране.
Ако се установи, че сертифициран субект има несъответствия между действителните експортирани данни и обхвата на неговото сертифициране или вече не отговаря на критериите за сертифициране, на институцията ще бъде разрешено да спре или отмени сертификата. Всички нарушения на закони или разпоредби, свързани с експортирането на данни, трябва незабавно да бъдат докладвани на регулаторите.
Сертифициращите органи също трябва да подадат записи в CAC в рамките на 10 работни дни след акредитацията. Както CAC, така и Държавната администрация за регулиране на пазара ще контролират дейностите по сертифициране.
Органите в киберпространството на провинциално или по-високо ниво и съответните отдели могат да извикат сертифицирани обработващи данни за разговори, ако бъдат открити големи рискове или инциденти със сигурността на данните.
Нашия източник е Българо-Китайска Търговско-промишлена палaта
