Недавняя волна хакерских преступлений сделала “утечку данных” ключевым словом для поиска на Тайване. Многие известные сервисные платформы, как государственные, так и частные, подверглись атакам, приведшим к утечке данных. Следовательно, некоторые из этих операторов платформ сталкиваются с требованиями о существенной компенсации. Затронутые платформы охватывают широкий спектр отраслей, включая книжные магазины, кинотеатры, услуги совместного использования велосипедов, маршрутные автобусы, прокат автомобилей и даже авиакомпании. В ответ Тайвань принял усиленные меры по предотвращению утечек данных и связанных с ними случаев мошенничества.
- Закон о защите персональных данных (“PDPA”)
16 мая 2023 года законодательный орган Юаня принял законопроект, вносящий поправки в PDPA. Поправки (i) создают новую “Комиссию по защите персональных данных” в качестве единственного и унифицированного органа Тайваня по защите данных (“DPA”) и (ii) повышают максимальный штраф для частного лица, которое не разработает план обеспечения безопасности и технического обслуживания в соответствии с требованиями закона, до 15 миллионов NDP (около 500 000 долларов США).
Создание нового DPA является ответом на решение Конституционного суда Тайваня (решение 111 Hsien-Pan-13) от 2022 года, в котором говорится, что отсутствие на Тайване единого и независимого органа по защите данных нарушает право на неприкосновенность частной жизни, поскольку конфиденциальность личных данных недостаточно защищена. Суд постановил, что необходимые поправки должны быть внесены в течение трех лет для обеспечения усиленной защиты. До внесения этой последней поправки в PDPA PDPA делегировала полномочия по обеспечению соблюдения PDPA компетентному органу, ответственному за конкретную отрасль или сектор. Например, раскрытие личных данных при покупке автобусных билетов регулировалось Министерством транспорта и коммуникаций, в то время как Министерство культуры выступало в роли регулирующего органа, если раскрытие личных данных осуществлялось при покупке билета в кино. В случае несогласия между различными компетентными органами Национальный совет по развитию несет ответственность за толкование PDPA для разрешения любых конфликтов. Недавние поправки к PDPA заканчивают эту эпоху распыленного регулирования путем создания единого органа по защите данных, регулирующего и интерпретирующего PDPA в соответствии с международной практикой.
Дополненные санкции PDPA направлены на повышение соблюдения частными организациями своих обязанностей по созданию и своевременному внедрению плана обеспечения безопасности и технического обслуживания в соответствии со статьей 27 (1) PDPA. До недавних поправок максимальный штраф за несоблюдение составлял 200 000 новозеландских долларов. Более того, компетентный орган не может оштрафовать компанию, не соблюдающую требования, без предварительного направления корректирующего письма с предписанием соблюдать требования к установленному сроку. В будущем Комиссия по защите персональных данных будет уполномочена налагать административный штраф от 20 000 до 2 миллионов НТДГ вместе с постановлением о внесении исправлений. Если частная организация не выполнит предписание об исправлении положения к указанному сроку, штраф может быть увеличен максимум до 15 миллионов новозеландских динаров. Усиленный и ускоренный штраф означает, что для предприятий на Тайване как никогда важно внедрять планы обеспечения безопасности и технического обслуживания, объявленные компетентным органом, и своевременно корректировать их в соответствии с требованиями обстоятельств.
Бизнес, стремящийся соблюдать требования, должен знать, что последний план обеспечения безопасности и технического обслуживания был объявлен Министерством экономики 23 мая 2023 года. Он направлен на регулирование безопасности персональных данных в секторе “розничных продаж товаров общего назначения”. В настоящее время регулируется более 60 отраслей, и ожидается, что будут добавлены новые отрасли.
2. Закон об управлении кибербезопасностью (“CSMA”)
Другим законом о защите данных, о котором стоит знать, является CSMA. В отличие от PDPA, CSMA менее известен общественности, поскольку в основном решает проблему кибербезопасности способом, требующим значительных технических знаний в таких вопросах, как оценка уязвимости, тестирование на проникновение и архитектура сети. Однако компания не должна упускать из виду CSMA, поскольку он так же важен, как и PDPA, для эффективной борьбы с утечками данных.
По словам министра Министерства цифровых технологий (“MODA”) Одри Тан, в CSMA вскоре будут внесены поправки, касающиеся следующих четырех основных изменений:
- Компетентный орган будет изменен с исполнительного Юаня на Министерство цифровых дел.
- Некоторым частным организациям потребуется нанять главного сотрудника по кибербезопасности и штатный персонал по кибербезопасности.
- Местное правительство будет уполномочено проводить аудит частных организаций.
- Регулируемые организации и заинтересованные стороны смогут высказать свое мнение.
До подготовки своих поправок Министерство обороны проведет проверки устойчивости государственных организаций и проведет аудиты кибербезопасности по меньшей мере с 40 частными поставщиками услуг электронной коммерции. В частности, MODA планирует имитировать хакерские атаки, чтобы помочь частным организациям разработать более подробные рекомендации по нарушениям кибербезопасности.
В свете поправок к PDPA и потенциальных изменений в CSMA крайне важно, чтобы тайваньские компании в каждом секторе – от стартапов до традиционных конгломератов – были заблаговременно подготовлены. Надежная и совместимая система защиты данных и кибербезопасности может не только смягчать, но и предотвращать утечки данных, тем самым сводя к минимуму или даже избегая финансового ущерба и ущерба репутации, связанного с такими инцидентами.