MONOLITH LAW OFFICE+81-3-6262-3248Všední dny 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Co je čínský zákon o kybernetické bezpečnosti? Vysvětlení klíčových bodů pro jeho dodržování

General Corporate

Co je čínský zákon o kybernetické bezpečnosti? Vysvětlení klíčových bodů pro jeho dodržování

Podle speciálního průzkumu “Trendy vstupu japonských firem do Číny (2022)[ja]” od Japonské císařské datové banky (Teikoku Databank) je počet japonských firem působících v Číně 12 706. Počet firem, které se zabývají čínským byznysem, je pravděpodobně ještě vyšší. V Číně byl v roce 2017 zaveden “Čínský zákon o kybernetické bezpečnosti”.

V důsledku toho se firmy rozvíjející svůj byznys v Číně musely přizpůsobit novým právním předpisům a implementovat technická ochranná opatření. Možná se ale najdou ti, kteří nejsou jistí, co tento zákon přesně znamená, nebo jak by měli postupovat.

V tomto článku proto vysvětlíme základní informace o Čínském zákonu o kybernetické bezpečnosti, jeho regulačním rámci a opatřeních, která byste měli zvážit. Pokud již podnikáte v Číně nebo o tom uvažujete, určitě si tento článek přečtěte.

Přehled čínského zákona o kybernetické bezpečnosti

Žena poskytující informace

Čínský zákon o kybernetické bezpečnosti (网络安全法), který byl implementován v červnu 2017 (2017年6月), stanovuje právní rámec v Číně. Cíle zákona jsou v prvním článku popsány následovně:

  • Zajištění bezpečnosti sítí
  • Ochrana kybernetické suverenity, národní bezpečnosti a veřejného zájmu
  • Ochrana legitimních práv a zájmů občanů, právnických osob a dalších organizací
  • Podpora rozvoje informatizace ekonomiky a společnosti

Termín “síť” je definován jako “systém složený z počítačů, jiných informačních terminálů a příslušných zařízení, který podle určitých pravidel a programů shromažďuje, ukládá, přenáší, vyměňuje a zpracovává informace (článek 76)”, což zahrnuje nejen internet, ale i intranety.

Čínský zákon o kybernetické bezpečnosti se liší od Obecného nařízení o ochraně osobních údajů EU (GDPR) a Japonského zákona o ochraně osobních údajů tím, že nechrání pouze informace jednotlivců a organizací, ale také zabezpečuje ochranu národní bezpečnosti a veřejného zájmu Číny. Zákon stanovuje povinnosti pro dotčené podniky, včetně implementace systému kybernetické bezpečnosti, dodržování compliance a zřetelné definice práv a povinností.

Kromě tohoto zákona existují v Číně i další právní předpisy týkající se bezpečnosti, jako je Čínský zákon o datové bezpečnosti.

Související článek: Co je čínský zákon o datové bezpečnosti? Vysvětlení opatření, která by měly japonské společnosti přijmout[ja]

Regulace cílů čínského zákona o kybernetické bezpečnosti

Pravidla

Japonské společnosti se stanou předmětem čínského zákona o kybernetické bezpečnosti v následujících případech:

  • Manipulace s informacemi probíhá uvnitř Číny
  • Přenos informací z Číny do Japonska

I když je sídlo společnosti v Japonsku, pokud dojde k situacím uvedeným výše, stává se společnost předmětem tohoto zákona. Mezi subjekty, na které se vztahuje regulace, patří “provozovatelé sítí” a “provozovatelé kritické informační infrastruktury”.

Provozovatel sítě je vlastník nebo správce sítě, který poskytuje síťové služby.

Provozovatel kritické informační infrastruktury je subjekt, který provozuje zařízení v oblastech, kde by poškození mohlo ohrozit národní bezpečnost (například v energetice, dopravě, financích, veřejných službách atd.), a kde by poškození nebo únik dat mohl značně poškodit národní bezpečnost, život občanů nebo veřejný zájem.

Obsah čínského zákona o kybernetické bezpečnosti

Fotografie ženy

Čínský zákon o kybernetické bezpečnosti stanovuje následující povinnosti:

  • Zavedení úrovní kybernetické bezpečnosti
  • Soulad s povinnými národními standardy
  • Požadavek na registraci pod skutečným jménem
  • Povinnosti provozovatelů důležité informační infrastruktury
  • Vytvoření systému správy a reakce

Zde podrobně vysvětlíme jednotlivé body.

Zavedení úrovní kybernetické bezpečnosti

V článku 21 Čínského zákona o kybernetické bezpečnosti (Chinese Cybersecurity Law) je stanoven systém ochrany podle úrovní, který musí dodržovat provozovatelé sítí, a podniky či organizace vlastnící sítě v Číně jsou povinny získat certifikaci ochrany podle úrovní.

Systém ochrany podle úrovní je veřejný hodnotící systém pro správu bezpečnosti sítě. Mezi oblasti, které spadají do tohoto systému, patří:

  • Infrastruktura sítě
  • IoT (Internet věcí)
  • Průmyslové řídicí systémy
  • Rozsáhlé internetové stránky a datová centra
  • Platformy veřejných služeb

V systému ochrany podle úrovní jsou informační systémy klasifikovány do pěti úrovní na základě rozsahu a velikosti škody, která by mohla vzniknout v případě jejich poškození.

Stupeň škody způsobené subjektu
Obecná škodaVážná škodaZvláště vážná škoda
Občané a právnické osoby atd.1. úroveň2. úroveň3. úroveň
Sociální řád a veřejný zájem2. úroveň3. úroveň4. úroveň
Národní bezpečnost3. úroveň4. úroveň5. úroveň

Definice jednotlivých úrovní jsou následující:

ÚroveňDefinice
1. úroveňSíť, jejíž poškození by způsobilo narušení zákonných práv a zájmů občanů, právnických osob a dalších organizací, ale neovlivnilo by národní bezpečnost, sociální řád ani veřejný zájem
2. úroveňSíť, jejíž poškození by způsobilo vážné škody na zákonných právech a zájmech občanů, právnických osob a dalších organizací, nebo by ohrozilo sociální řád a veřejný zájem, ale neovlivnilo by národní bezpečnost
3. úroveňDůležitá síť, jejíž poškození by způsobilo velmi vážné škody na zákonných právech a zájmech občanů, právnických osob a dalších organizací, nebo by ohrozilo národní bezpečnost
4. úroveňZvláště důležitá síť, jejíž poškození by výrazně narušilo sociální řád a veřejný zájem, nebo by způsobilo velmi vážné škody na národní bezpečnosti
5. úroveňExtrémně důležitá síť, jejíž poškození by způsobilo velmi vážné škody na národní bezpečnosti

Pro každou úroveň jsou stanoveny standardy informační bezpečnosti, které je nutné dodržovat. Provozovatelé sítí obvykle musí splňovat požadavky 2. úrovně a vyšší, zatímco provozovatelé kritické informační infrastruktury musí splňovat požadavky 3. úrovně a vyšší.

Pro získání úrovně je nutné podat samostatnou žádost úřadům, ale konečný souhlas musí být získán od ministerstva veřejné bezpečnosti. Systém ochrany podle úrovní také vyžaduje, aby subjekty s 2. úrovní a vyšší byly hodnoceny hodnotící agenturou. Je třeba být opatrný, protože porušení systému ochrany podle úrovní může vést k uložení pokuty.

Dodržování povinných státních norem

Poskytovatelé internetových produktů a služeb musí zajistit, aby jejich služby byly v souladu s povinnými státními normami (článek 22). Poskytovatelé nesmí instalovat škodlivé programy.

Kromě toho, pokud poskytovatelé objeví v produktech nebo službách jakékoli vady, zranitelnosti nebo jiná rizika, musí okamžitě přijmout opatření, informovat uživatele a nahlásit situaci příslušným regulačním úřadům.

V září 2021 (Gregoriánský kalendářní rok) byly zavedeny “Předpisy pro správu zranitelností bezpečnosti internetových produktů (网络产品安全漏洞管理规定)”, které se týkají provozovatelů sítí, takže je důležité se také těmito předpisy řídit a přizpůsobit jim.

Požaduje se registrace pod skutečným jménem

Při poskytování služeb, jako jsou síťové připojovací služby, postupy pro připojení k pevným a mobilním telefonním sítím, služby sdílení informací nebo instant messaging služby, je vyžadováno, aby uživatelé byli registrováni pod svým skutečným jménem. Pokud uživatelé neprovedou registraci pod skutečným jménem, nesmí se jim tyto služby poskytovat.

Dále mají provozovatelé sítí povinnost přezkoumávat, zda informace zveřejňované uživateli neporušují zákony.

Povinnosti provozovatelů klíčových informačních infrastruktur

Provozovatelé klíčových informačních infrastruktur jsou povinni nejen provádět bezpečnostní opatření uložená provozovatelům sítí, ale také je nutné zavést následující opatření:

  • Pravidelné zálohování systémů a databází
  • Vytvoření plánu reakce na bezpečnostní incidenty
  • Roční hodnocení bezpečnosti
  • Lokalizace dat

Lokalizace dat: Proces ukládání a zpracování dat v rámci hranic země, kde byla data vygenerována

V září 2021 (září roku Reiwa 3) bylo zavedeno “Nařízení o ochraně bezpečnosti klíčových informačních infrastruktur”, které dále specifikuje správu, certifikaci a povinnosti provozovatelů klíčových informačních infrastruktur, a proto je také nutné se na tento dokument odkazovat.

Vytvoření systému řízení a reakce

Od provozovatelů sítí se vyžaduje následující (článek 21).

  • Zavedení systému bezpečnostního managementu a provozních předpisů
  • Určení odpovědné osoby za bezpečnost sítě
  • Vytvoření plánu reakce na bezpečnostní incidenty a příprava technických opatření
  • Implementace technologií pro monitorování sítě a uchovávání logů (alespoň 6 měsíců)
  • Klasifikace dat a ochranná opatření, jako je zálohování a šifrování klíčových dat

Ustanovení v případě porušení zákona o kybernetické bezpečnosti

Upozornění

Pokud dojde k porušení bezpečnostních požadavků vyžadovaných systémem stupňové ochrany, budou vydány příkazy k nápravě a varování. V případě odmítnutí příkazu nebo ohrožení bezpečnosti sítě bude uložena pokuta ve výši od 10 tisíc jüanů (CNY) do 100 tisíc jüanů. Osobě, která nese přímou odpovědnost, bude uložena pokuta od 5 tisíc jüanů do 50 tisíc jüanů.

Dále budou vydány příkazy k nápravě a varování i v případě, že je instalován škodlivý program, nebo nejsou přijata opatření proti rizikům, jako jsou vady produktů nebo služeb a bezpečnostní mezery. Pokud jsou tyto příkazy odmítnuty, vznikne povinnost zaplatit pokutu.

Výše pokuty se liší v závislosti na obsahu porušení a může být nařízeno uzavření webových stránek, zrušení obchodní licence nebo zastavení podnikatelské činnosti, proto je třeba být opatrný. V minulosti byly případy, kdy byla za porušení uložena pokuta a zodpovědné osobě byl zakázán doživotní vstup do stejného oboru, což zdůrazňuje, že opatření pro kybernetickou bezpečnost jsou nezbytná.

Opatření proti kybernetické bezpečnosti, která by japonské firmy měly přijmout

Muž poskytující návod

Čínský zákon o kybernetické bezpečnosti je složitý a někteří možná nevědí, kde začít. V tomto článku vysvětlíme, jaká opatření by japonské firmy měly přijmout.

Vytvoření koordinovaného systému spolupráce s oddělením informačních systémů a oddělením pro digitální transformaci (DX)

Pro zvládnutí čínského zákona o kybernetické bezpečnosti je nutné vybudovat operační procesy a vytvořit nebo doplnit předpisy pro správu osobních údajů. Kromě toho je nezbytné přijmout technická opatření pro vlastní systémy, aby byly v souladu s systémem ochrany podle úrovní.

Místo individuálního přístupu právních a administrativních oddělení je třeba vytvořit koordinovaný systém spolupráce s oddělením informačních systémů a oddělením pro digitální transformaci (DX).

Určení úrovně ochrany, které odpovídají systémy ve vlastnictví společnosti

Nejprve je třeba určit úroveň ochrany vlastních systémů. Podle této úrovně je nutné, aby každé oddělení přijalo opatření v souladu s kybernetickou bezpečností. Právní, administrativní a oddělení pro řízení rizik musí přehodnotit a případně upravit předpisy a provozní postupy, zatímco oddělení informačních systémů a DX musí řešit technické aspekty. Níže vysvětlíme jednotlivá opatření.

Právní, administrativní a oddělení pro řízení rizik

Porovnáme položky stanovené v úrovni ochrany s aktuálním stavem správy a informační bezpečnostní strukturou společnosti, přezkoumáme provozní systémy a přidáme předpisy. Poté je třeba zvážit, jakým způsobem reagovat a provést potřebné změny nebo zavedení systémů.

Pokud je úroveň ochrany druhá nebo vyšší, je nutné také podat hlášení příslušným úřadům. Pokud je společnost považována za provozovatele kritické informační infrastruktury, vyžaduje se získání certifikace ochrany na třetí nebo vyšší úrovni. Kromě toho je třeba se vypořádat s mnoha dalšími úkoly, jako je dodržování pravidel pro lokalizaci dat, pravidelné školení zaměstnanců v oblasti informační bezpečnosti a technické tréninky. Pokud existuje možnost, že společnost spadá do kategorie provozovatelů kritické infrastruktury, je dobré se poradit s právním poradcem a stanovit plán reakce.

V posledních letech bylo v Číně zavedeno mnoho bezpečnostních předpisů. Oddělení pro řízení rizik proto bude muset přijmout opatření odpovídající novým regulacím.

Oddělení informačních systémů a DX

Oddělení informačních systémů a DX musí zavést systémy ochrany bezpečnosti odpovídající stanovené úrovni. Nejprve je třeba zhodnotit stávající bezpečnostní opatření vlastních systémů a v případě nedostatků je doplnit o systémy odpovídající zákonu o kybernetické bezpečnosti.

Kromě zákona o kybernetické bezpečnosti je třeba se vypořádat také s regulacemi lokalizace dat, přeshraničními omezeními a přístupem vlády. Je nutné mít přehled o tom, jaká data jsou přenášena mimo Čínu, a přehodnotit vlastní postupy získávání a ukládání dat.

Zákon o kybernetické bezpečnosti vyžaduje nejen revizi předpisů, ale také zavedení technických ochranných opatření, což znamená, že koordinace mezi odpovídajícími odděleními je nezbytná.

Shrnutí: Pokud máte problémy s interními opatřeními, poraďte se s odborníky

Fotografie muže a ženy

Čínský zákon o kybernetické bezpečnosti je systém vytvořený za účelem zajištění národní bezpečnosti Číny. Aby bylo možné se přizpůsobit zákonu o kybernetické bezpečnosti, je třeba nejen revidovat předpisy právního nebo obecního oddělení, ale také provádět technická ochranná opatření.

Od zavedení zákona o kybernetické bezpečnosti byly postupně zavedeny další právní předpisy týkající se datového souladu, jako jsou “Předpisy pro správu zranitelnosti bezpečnosti internetových produktů” nebo “Metody pro kybernetické bezpečnostní posouzení (systém specifikující národní bezpečnostní kontrolní režim)”. Porušení těchto předpisů může vést k pokutám, uzavření webových stránek nebo zrušení obchodní licence, což vyžaduje zvýšenou pozornost. Pokud již podnikáte v Číně nebo to plánujete v budoucnu, doporučujeme konzultovat s právníkem, který je obeznámen s čínským právem.

Představení opatření naší kanceláře

Advokátní kancelář Monolith je právní firma specializující se na IT, internet a obchodní právo. Máme zkušenosti s případy z celého světa, včetně Číny, Spojených států amerických a zemí Evropské unie. Při rozvíjení podnikání v zahraničí se často setkáváme s mnoha právními riziky, a proto je podpora od zkušených právníků nezbytná. Naše kancelář má hluboké znalosti místních zákonů a předpisů a spolupracuje s právními kancelářemi po celém světě.

Oblasti práce advokátní kanceláře Monolith: Mezinárodní právní služby a zahraniční podnikání[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zpět na začátek