Bộ Công nghiệp và Công nghệ thông tin Trung Quốc (MIIT) đề xuất phân loại bốn cấp để chính quyền địa phương và các công ty thực hiện đánh giá và ứng phó với các sự cố bảo mật dữ liệu.
Động thái cho thấy mối lo ngại của Bắc Kinh về nguy cơ rò rỉ dữ liệu quy mô lớn và các vụ tấn công mạng diễn ra tại nền kinh tế lớn thứ hai thế giới.
Reuters cho hay, kế hoạch dự phòng này được đưa ra trong bối cảnh căng thẳng địa chính trị gia tăng với Mỹ và phương Tây, cũng như sau sự cố xảy ra vào năm ngoái, khi tin tặc tuyên bố đã lấy được kho thông tin cá nhân của một tỷ người Trung Quốc từ cảnh sát Thượng Hải.
Hiện dự thảo của MIIT đang lấy ý kiến công chúng, bao gồm đề xuất hệ thống mã màu bốn cấp tùy thuộc vào mức độ tổn hại gây ra cho an ninh quốc gia, mạng thông tin và trực tuyến của công ty hoặc hoạt động của nền kinh tế.
Theo kế hoạch, những sự cố gây thiệt hại hơn 1 tỷ nhân dân tệ (141 triệu USD) và ảnh hưởng đến thông tin cá nhân của hơn 100 triệu người hoặc thông tin “nhạy cảm” của hơn 10 triệu người, sẽ được xếp vào loại “đặc biệt nghiêm trọng”, phải đưa ra cảnh báo đỏ.
Đối với các cảnh báo màu đỏ và màu cam, những thực thể liên quan và cơ quan quản lý địa phương phải thiết lập quy trình xử lý khủng hoảng trong 24 giờ, đồng thời thông báo lên MIIT về sự cố trong vòng 10 phút kể từ khi phát hiện vụ việc.
“Nếu sự cố được đánh giá là nghiêm trọng… thì cần phải báo cáo ngay cho cơ quan quản lý ngành địa phương, không được phép báo cáo muộn, báo cáo sai, che giấu hoặc bỏ sót báo cáo”, trích tuyên bố từ MIIT.
Hiện tại, khung pháp lý cao nhất của nước này để quản lý bảo mật dữ liệu bao gồm ba luật: Luật An ninh mạng, Luật Bảo mật Dữ liệu và Luật Bảo vệ Thông tin Cá nhân.
Theo đó, chính quyền trung ương đã thiết lập chế độ quản lý xuất dữ liệu cá nhân. Ngoài các biện pháp trong hợp đồng tiêu chuẩn, chế độ này bao gồm các quy tắc yêu cầu công ty tiến hành đăng ký đánh giá bảo mật tại cơ quan giám sát internet quốc gia hoặc đăng ký chứng nhận bảo vệ thông tin cá nhân từ cơ quan có thẩm quyền.
Theo các biện pháp đánh giá bảo mật về truyền dữ liệu xuyên biên giới, có hiệu lực từ ngày 1/9, các công ty xử lý dữ liệu cá nhân liên quan đến hơn 1 triệu người phải trải qua đánh giá bảo mật nếu họ muốn truyền dữ liệu ra nước ngoài.
Các công ty phải gửi báo cáo tự đánh giá bảo mật cho cơ quan quản lý mạng địa phương và Cơ quan quản lý không gian mạng Trung Quốc (CAC) để trải qua hai vòng xem xét.
Hiện tại, hoạt động chuyển dữ liệu ra nước ngoài được coi là hợp pháp nếu bên chuyển ký hợp đồng với bên nhận, đồng thời nộp dữ liệu dự kiến chuyển giao vượt qua bài kiểm tra bảo mật của cơ quan chức năng.