قم بتحسين لعبة الجولف الخاصة بك باستخدام جهاز محاكاة الجولف المعروض للبيع
تقييم البيانات ، مفتاح موافقة المستخدم للامتثال لقانون الصين
يجب على الشركات الدولية التي تعالج البيانات من الصين الحصول على موافقة المستخدم وإنشاء خريطة بيانات ، خاصة بالنظر إلى التدفق عبر الحدود والإقامة ، لضمان الامتثال حتى مع الحاجة إلى مزيد من الوضوح بشأن قانون حماية المعلومات الشخصية الصيني.
يجب على الشركات الدولية التي تعالج المعلومات الواردة من الصين الحصول على موافقة المستخدم وإنشاء خريطة بيانات ، حتى لا تتعارض مع قانون حماية المعلومات الشخصية في البلاد (PIPL). على وجه التحديد ، يجب عليهم النظر عن كثب في تدفق البيانات عبر الحدود والإقامة ، حتى مع استمرار الحاجة إلى مزيد من الوضوح بشأن بعض المكونات في التشريع الجديد.
المنظمات التي تم إنشاؤها بالفعل للامتثال للائحة العامة لحماية البيانات في أوروبا (GDPR) ، على الرغم من ذلك ، لديها أساس جيد للعمل من أجل الالتزام بـ PIPL.
تم تمرير التشريع الصيني في أغسطس ، ودخل حيز التنفيذ الشهر الماضي ، ووضع القواعد الأساسية حول كيفية جمع البيانات واستخدامها وتخزينها. ويحدد متطلبات معالجة البيانات للشركات التي يقع مقرها خارج الصين ، والتي تضمنت اجتياز تقييم أمني أجرته سلطات الدولة.
يتعين على الشركات متعددة الجنسيات (MNCs) التي تنقل المعلومات الشخصية للبلد أيضًا الحصول على شهادة بشأن حماية البيانات من المؤسسات المهنية. وصفت الحكومة الصينية التشريع بأنه ضروري لمعالجة "الفوضى" التي نشأت ، حيث كانت المنصات على الإنترنت تجمع البيانات الشخصية بشكل مفرط .
نظرًا لأنه تم تصميمه على نطاق واسع بعد القانون العام لحماية البيانات (GDPR) ، فإن الشركات التي أعدت نفسها لتشريعات حماية البيانات في الاتحاد الأوروبي ستكون في وضع أفضل للتحضير للامتثال PIPL.
على سبيل المثال ، يوضح كلا المشروعين الحاجة إلى الحصول على موافقة المستخدم والقواعد المتعلقة بسيادة البيانات ، وفقًا لما ذكرته شين ليو ، وهي زميلة كبيرة مقرها شنغهاي في شركة المحاماة بينسينت ماسونز.
مثل القانون العام لحماية البيانات (GDPR) ، ستحتاج الشركات إلى الحصول على موافقة قبل جمع واستخدام البيانات من العملاء بموجب PIPL. حدد التشريع الصيني أيضًا البنود القياسية التي يجب تضمينها في عقود الخدمة أو الاتفاقيات بين الطرفين - أحدهما قدم البيانات والآخر الذي حصل عليها - والتي كانت مماثلة لتلك المفصلة بموجب القانون العام لحماية البيانات (GDPR).
قال شين في مقابلة مع Mulkhas إن هذا يضمن أن المنظمات التي جمعت البيانات ومعالجتها ستوفر مستويات مماثلة من الحماية بموجب PIPL كما هو الحال مع الناتج المحلي الإجمالي.
قال جوهانا هارينجتون ، كبير المسؤولين القانونيين في Elements Global Services ، المتخصصة في تكنولوجيا الموارد البشرية ، إن التوافق مع القانون العام لحماية البيانات ( GDPR) يضع المؤسسات على المسار الصحيح نحو الالتزام بـ PIPL بالإضافة إلى التشريعات الصينية الأخرى ذات الصلة ، على وجه التحديد ، قانون الأمن السيبراني في البلاد لعام 2017 وفواتير أمن البيانات لعام 2021. والامتثال. تعمل الشركة مع مكاتب محاماة محلية في الصين ، حيث لديها أيضًا شركاء سكرتارية للشركات.
وأشار هارينجتون أيضًا إلى الحاجة إلى موافقة المستخدم قبل معالجة البيانات أو نقلها خارج الصين كمكون مشترك تشاركه PIPL و GDPR.
بالإضافة إلى ذلك ، يتطلب كلا القانونين من المؤسسات تلبية متطلبات معينة ، مثل الغرض الواضح والمعقول ، لمعالجة البيانات التي جمعوها ولديها عمليات مطبقة للحفاظ على حماية البيانات. وشمل ذلك نشر أدوات أمان البيانات وإجراء عمليات التخفيف من المخاطر ، مثل جدار الحماية وإشعارات الخصوصية عبر الإنترنت.
قال سوفان بين ، الرئيس التنفيذي لشركة Odaseva ، إنه مثل القانون العام لحماية البيانات (GDPR) ، يحدد PIPL الحاجة إلى ضمان اشتراك المستخدم وإعادة تصنيف البيانات. يقدم مورد إدارة البيانات أدوات تم الترويج لها لضمان توافق البيانات ، بما في ذلك مع القانون العام لحماية البيانات (GDPR) و PIPL ، أثناء انتقالها عبر الشبكة العالمية للمؤسسة.
قال بين لـ ZDNet إن المستهلكين المحميين بموجب كلا التشريعين لهم الحق أيضًا في طلب حذفهم أو حذفهم من قاعدة بيانات المنظمة.
بدأت الجهود المتضافرة لتحديد ملكية البيانات وإعادة الموافقة للمستهلكين ، بغض النظر عن مكان وجود بياناتهم ، مع القانون العام لحماية البيانات (GDPR) ، والذي تم إصداره في عام 2016. وقال إن تشريعات الاتحاد الأوروبي قد عرضت مفهوم عمليات نقل البيانات عبر الحدود ، لذا فإن القواعد تتطلب من المنظمات للحصول على الموافقة كلما نقلوا البيانات خارج الوطن الأصلي للمستخدم لم تكن فريدة من نوعها لـ PIPL.
وأشار إلى أن المنظمين الصينيين يتمتعون بميزة الوقت لتقييم تأثير مثل هذه القوانين واعتماد نهج حديث.
أصبحت البيانات أصلًا رئيسيًا لكل مؤسسة على مر السنين ، بينما تطورت التقنيات أيضًا. قال إن اللوائح التي تم وضعها في التسعينيات ، على سبيل المثال ، لم تعد ذات صلة بظهور التقنيات السحابية ، مضيفًا أن العديد من البلدان تعمل على تحديث لوائح البيانات الخاصة بها بحيث تكون أكثر توافقًا مع عصر السحابة.
تظل الأسئلة حول موافقة المستخدم ، تتعارض مع القوانين الدولية
ولكن في حين أن PIPL تشترك في العديد من أوجه التشابه مع اللائحة العامة لحماية البيانات ، كانت هناك بعض الاختلافات المهمة بين كلا التشريعين والتي يجب على المنظمات مراعاتها.
وفقًا لهرينغتون ، لا تتضمن PIPL المصالح أو الأغراض المشروعة كشرط لمعالجة البيانات ، بينما يتضمن القانون العام لحماية البيانات (GDPR). هذا ، على سبيل المثال ، يمكّن المنظمات من معالجة البيانات الشخصية لموظفيها ، حيث يعتبر ذلك لسبب مشروع.
قد يعني استبعاد الأغراض المشروعة أنه سيتعين على الشركات متعددة الجنسيات الحصول على موافقة جميع الموظفين في الصين ، إذا لم يكونوا قد فعلوا ذلك بالفعل ، قبل أن يُسمح لإدارات الموارد البشرية بمعالجة المعلومات الشخصية للموظف.
قال هارينجتون إن عدم اليقين بشأن مفهوم موافقة المستخدم ، والذي لم يتم تحديده جيدًا بعد في PIPL ، كان أحد الأسباب المحتملة لشركات التكنولوجيا الكبرى لاختيار مغادرة السوق الصينية.
كان الوضوح حول الموافقة أمرًا بالغ الأهمية لأنه بموجب التشريع الصيني ، يجب تطبيقه قبل معالجة البيانات. وأضافت أنه بما أن القانون جديد ولم يتم اختباره ، فلا يزال يتعين وضع تعريفات أوضح في بعض المجالات.
وفقًا لـ شين ، حدد التشريع ثلاثة مجالات يجب على المنظمات معالجتها فيما يتعلق بنقل البيانات عبر الحدود. وشملت هذه الحاجة إلى إجراء تقييم أمني حكومي ، للحصول على الموافقة ، إذا تجاوزت البيانات المعالجة الحد الأدنى المحدد في التشريع.
دعت بعض المتطلبات إلى إنشاء شهادات معينة ، في حالات محددة ، بين جهة تصدير البيانات ومتلقي البيانات ، ولكن كيفية تنفيذ هذه الإجراءات لا تزال غير واضحة ، على حد قوله.
سيحتاج كلا الطرفين أيضًا إلى الموافقة على نموذج ، أو نموذج ، عقد تحدده الجهة المنظمة. شروط هذا العقد ، ومع ذلك ، لم يتم الإفراج عنها بعد.
قال شين إن هناك مزيدًا من عدم اليقين بشأن قواعد PIPL المتعلقة بسيادة البيانات ، والتي بموجبها لا يمكن تقديم البيانات الشخصية المخزنة في الصين إلى السلطات أو المنظمات الأجنبية دون موافقة الحكومة الصينية.
في حين أن هذه السياسة ليست جديدة ، كما هو مذكور بالفعل في أمن البيانات في البلاد والقوانين الجنائية الدولية للشركات ، إلا أن هناك أسئلة حول كيفية حدوث ذلك جنبًا إلى جنب مع القوانين الدولية. يمنح قانون CLOUD الأمريكي (توضيح الاستخدام القانوني الخارجي للبيانات) ، على وجه الخصوص ، سلطة إنفاذ القانون الأمريكية للمطالبة بالوصول إلى البيانات المخزنة بواسطة موفري الخدمات السحابية ، بما في ذلك البيانات الموجودة خارج الولايات المتحدة.
قال شين إن القيام بذلك في الصين سيكون خرقًا لـ PIPL ، مما قد يخلق معضلة للشركات متعددة الجنسيات العاملة في البلاد. وأضاف أن الأحكام ، إن وجدت ، والإجراءات التي يتعين على المنظمات اتباعها في ظل هذه الظروف غير واضحة في الوقت الحالي.
وأشار بن إلى أن المنظمات تبذل المزيد من الجهود ، على وجه الخصوص ، لضمان الامتثال للمواصفات المتعلقة بالبيانات عبر الحدود وإقامة البيانات. وقال إن PIPL حددت عتبات معينة يتعين على المنظمات بموجبها الالتزام بالمبادئ التوجيهية حول كيفية معالجة البيانات عبر الحدود. يتعين على الشركات التي تتعامل مع بيانات شخصية لأكثر من مليون مستخدم ، على سبيل المثال ، أو التي اضطرت إلى نقل بيانات شخصية لأكثر من 100000 مستخدم ، الالتزام بسياسات محددة.
وقال إن السياسات الإضافية المتعلقة بإقامة البيانات ستنطبق أيضًا على أنواع معينة من البيانات . على سبيل المثال ، يجب على الشركات التي تعالج البيانات التي تعتبر أكثر حساسية اجتياز تقييم أمني بواسطة إدارة الفضاء الإلكتروني في الصين (CAC).
ونصح الشركات بممارسة مزيد من العناية في التعامل مع مثل هذه البيانات عبر الحدود ، لضمان الامتثال لـ PIPL.
وأشار كذلك إلى أنه على عكس اللائحة العامة لحماية البيانات حيث كانت هناك فترة سماح مدتها سنتان يمكن خلالها للمنظمات الاستعداد قبل تطبيق الإنفاذ والغرامات ، لم يكن لدى PIPL بدل مماثل. بالإضافة إلى ذلك ، تم تمرير التشريع الصيني ودخل حيز التنفيذ في فترة زمنية أقصر ، مما يمنح الشركات وقتًا أقل للاستعداد للامتثال.
البحث عن ممثل محلي ، الموافقة كخطوات أولى
في حين أن التشريع جديد وبعض التعريفات لا تزال غير واضحة ، هناك بعض الخطوات الأولى التي يمكن للمنظمات اتخاذها نحو الامتثال PIPL. وتشمل هذه تعيين ممثل محلي والتسجيل ، عند الاقتضاء ، لدى السلطات المختصة.
قال هارينجتون إن طلب موافقة المستخدم على جميع أشكال البيانات سيكون بمثابة خط أساس جيد يمكن البدء منه ، بالإضافة إلى ضمان وجود غرض واضح لجمع بيانات المستخدم.
كما أوصت المنظمات بتعيين ممثلين محليين للتعامل مع العمليات المتعلقة بالبيانات في الصين وإجراء تقييم أمني لإدارة البيانات الخاصة بهم.
نصحت Xin الشركات بإنشاء خريطة بيانات ، بما في ذلك تحديد أنواع البيانات الشخصية التي تحتفظ بها ، وإجراء مراجعة الامتثال لتحديد الفجوات بين ممارسات البيانات الحالية ومتطلبات PIPL.
وقال إنهم سيحتاجون بعد ذلك إلى تعزيز سياسات البيانات الخاصة بهم وكذلك البنية التحتية لتكنولوجيا المعلومات والهيكل التنظيمي وفقًا لذلك لسد أي ثغرات.
نظرًا لوجود وحدات عمل مختلفة تقوم بمعالجة البيانات بشكل مختلف ، شدد على حاجة المؤسسات للتأكد من أن لديها فهمًا شاملاً لكيفية قيام جميع هذه الأقسام بجمع البيانات ومعالجتها.
كما أكد على أهمية تدريب الموظفين وتعزيز الوعي العام بسياسات إدارة البيانات. وأضاف أنه يمكن للشركات النظر في تعيين ممثل لكل وحدة عمل يركز على حماية البيانات ويقدم تقارير إلى مسؤول خصوصية البيانات في الشركة.
فيما يتعلق بالتعامل مع البيانات الشخصية للموظفين ، اقترحت شين أيضًا أن المنظمات صاغت قواعد العمل الخاصة بها لدمج ممارسات جمع البيانات والحماية. عند قبول عملهم في المنظمة ، كان الموظفون قد قدموا الموافقة على جمع البيانات الشخصية وإدارتها على النحو المنصوص عليه في عقد العمل أو كتيب الشركة.
وقال إن هذا لن يتطلب بعد ذلك من الشركات الحصول بشكل منفصل على موافقة الموظف لـ PIPL. ومع ذلك ، أشار إلى أن معظم الشركات متعددة الجنسيات التي عالجت بيانات الموظفين في الصين ستحتاج على الأرجح إلى إجراء تقييم منفصل لتأثير الخصوصية.
وقال إن أي منظمة ترغب في نقل البيانات من الصين سيُطلب منها أيضًا إجراء مثل هذه التقييمات ، مضيفًا أن أولئك الذين يقدمون بيانات شخصية حساسة لطرف ثالث سيحتاجون إلى القيام بالمثل.
وفقًا لـ PIPL ، فإن المخالفين الذين لا يمتثلون لأوامر تصحيح الخرق سيواجهون غرامات تصل إلى مليون يوان (150.000 دولار) ، في حين يمكن تغريم الشخص المسؤول عن ضمان الامتثال ما بين 10000 يوان (1500 دولار) و 100000 يوان (15000 دولار) .
بالنسبة للحالات "الخطيرة" ، تفرض السلطات الصينية أيضًا غرامات تصل إلى 50 مليون يوان (7.5 مليون دولار) أو 5٪ من حجم مبيعات الشركة السنوي للسنة المالية السابقة. بالإضافة إلى ذلك ، قد يتم تعليق عملياتها التجارية أو إلغاء تصاريح العمل والتراخيص.