Китай выпускает проект правил, требующих аудита защиты данных для определенных компаний.

Китайское правительство опубликовало предлагаемые правила, которые потребуют, чтобы некоторые обработчики данных проходили ежегодные или двухгодичные проверки. Китайское управление киберпространства опубликовало на своем веб-сайте первый проект текста законопроекта, озаглавленный «Административные меры по аудиту соответствия в области защиты личной информации».

Предлагаемые правила требуют ежегодной сертификации для процессоров, которые обладают конфиденциальными данными о более чем миллионе человек. Те, у кого менее миллиона человек, будут проходить двухгодичные проверки.

Многонациональные фирмы должны будут придерживаться правил, что ставит прецедент для европейских и американских организаций в Китае. Правила также распространяются на соблюдение рамок и доступ к внутренним данным одобренными правительством «профессиональными аудиторами».

Хотя в проекте правил признается, что обработчики данных имеют прерогативу для проведения автономных проверок безопасности, государство сохраняет за собой право требовать внешних аудитов, особенно в обстоятельствах, представляющих повышенный риск утечки данных. В случаях, связанных с государственным надзором, процесс аудита должен быть завершен в течение 90 дней, а окончательные отчеты представляются непосредственно китайскому правительству.

Правила также обязали бы компании разрабатывать планы реагирования на утечки данных и возникающие непредвиденные обстоятельства.

Участие общественности в предлагаемых правилах будет продолжаться по местным каналам, связанным с государственными системами, до 2 сентября 2023 года. Правила вступят в силу 1 января 2024 года.

Ранее Китай принял две другие меры безопасности данных: Закон о защите личной информации (PIPL) и Закон о безопасности данных (DSL) в 2021 году. Эти правила были приняты в соответствии с PIPL.