Co je čínský zákon o datové bezpečnosti? Vysvětlení opatření, která by japonské firmy měly přijmout
Čínský zákon o datové bezpečnosti (Chinese Data Security Law) je právní předpis upravující oblast dat v Číně, který byl zaveden v září 2021 (září 2021). Tento zákon se vztahuje na veškeré zpracování dat prováděné na území Číny, a proto je pro podniky působící v Číně nebo pro ty, které plánují vstup na čínský trh, nezbytné přezkoumat a případně upravit stávající předpisy a řídící politiky. Nicméně, mnozí možná ještě plně nepochopili, o jaký druh zákona se jedná, nebo si nejsou jisti, jaké kroky by měli podniknout.
V tomto článku proto představíme přehled Čínského zákona o datové bezpečnosti, klíčové body pro jeho pochopení, sankce, a také opatření, která by měla být přijata v Japonsku.
Co je čínský zákon o datové bezpečnosti?
Čínský zákon o datové bezpečnosti (中华人民共和国数据安全法), který byl implementován v září 2021, je právní předpis týkající se datové bezpečnosti v Číně. Byl zaveden za účelem ochrany národní bezpečnosti, podobně jako ‘čínský zákon o kybernetické bezpečnosti’, který byl implementován v červnu 2017.
Čínský zákon o kybernetické bezpečnosti: Zákon chránící bezpečnost ‘sítě’ v Číně
Cíle čínského zákona o datové bezpečnosti jsou uvedeny následovně (článek 1):
- Regulace aktivit spojených s manipulací dat
- Zajištění datové bezpečnosti
- Podpora vývoje a využití dat
- Ochrana legitimních práv a zájmů jednotlivců a organizací
- Ochrana národní suverenity, bezpečnosti a rozvojových zájmů
Zatímco čínský zákon o kybernetické bezpečnosti se zaměřoval na regulaci elektronických dat, čínský zákon o datové bezpečnosti se vyznačuje tím, že reguluje nejen elektronická, ale i neelektronická data, jako jsou papírová data (článek 3). Čínský zákon o datové bezpečnosti stanovuje například klasifikaci dat, vytvoření systému bezpečnostního ověřování a povinnosti ochrany datové bezpečnosti.
Klíčové body pro pochopení čínského zákona o datové bezpečnosti
Čínský zákon o datové bezpečnosti obsahuje řadu ustanovení, která mohou být pro mnohé obtížně pochopitelná. V tomto článku podrobně vysvětlíme následujících pět klíčových bodů obsahu zákona o datové bezpečnosti.
- Regulované subjekty
- Vytváření norem pro klasifikaci a hodnocení dat
- Řízení bezpečnosti dat
- Regulace přenosu dat
- Národní bezpečnostní přezkum
Regulované subjekty
Všechny “zpracování dat” prováděné v rámci Čínské lidové republiky jsou regulovány zákonem. Tato pravidla se vztahují i na zpracování dat prováděné mimo území Číny, pokud by mohla poškodit bezpečnost státu, veřejný zájem nebo zájmy občanů a organizací.
Termín “data” se vztahuje na záznamy informací provedené elektronicky nebo jinými způsoby, což zahrnuje i dokumenty na papíře. Je důležité si být vědom tohoto rozsahu. “Zpracování dat” zahrnuje činnosti jako sběr, ukládání, používání, zpracování, přenos, poskytování a zveřejňování dat. Osoba, která tyto činnosti provádí, se stává “zpracovatelem dat”.
O vytvoření normy pro klasifikaci a hodnocení dat
Zpracovatelé dat musí zajistit bezpečnost dat na základě systému ochrany podle tříd. Systém ochrany podle tříd je veřejný hodnotící systém pro správu bezpečnosti sítě, a podle třídy se liší odpovídající opatření, která je třeba přijmout. Dále je nutné klasifikovat data podle rozsahu škody, kterou mohou způsobit státu, veřejnému zájmu nebo jednotlivcům a organizacím, jako je zničení nebo únik dat.
Klasifikace se dělí na tři kategorie: “obecná data”, “důležitá data” a “klíčová data”. “Nařízení o bezpečnosti dat v síti (návrh k veřejné diskusi)” definuje důležitá data jako “data, jejichž pozměnění, zničení, únik, nezákonné získání nebo nezákonné použití by mohlo ohrozit národní bezpečnost nebo veřejný zájem”. Klíčová data jsou data související s národní bezpečností, životními zájmy národní ekonomiky, důležitými aspekty života občanů a hlavními veřejnými zájmy (článek 21).
V době psaní tohoto textu nebyly pro důležitá ani klíčová data vydány konkrétní seznamy, proto je vhodné klasifikovat data, která zpracováváte, na základě příkladů důležitých dat uvedených v “Nařízení o bezpečnosti dat v síti (návrh k veřejné diskusi)”. Je také důležité sledovat seznamy publikované příslušnými úřady.
O zabezpečení dat
Jako odpovědnost zpracovatelů dat se vyžaduje například:
- Provádění vzdělávání a školení v oblasti datové bezpečnosti
- Zajištění ochrany datové bezpečnosti na základě systému stupňové ochrany
- Kontinuální monitorování rizik
- Zavedení systému bezpečnostního managementu pro celý životní cyklus dat
- Jmenování odpovědné osoby
- Technická opatření
Základní požadavky jsou podobné systému managementu informační bezpečnosti (ISMS), ale je třeba věnovat pozornost tomu, že je nutné přijmout řídící opatření odpovídající klasifikaci dat.
V případě incidentu je nutné okamžitě přijmout opatření a nahlásit situaci uživatelům a příslušným úřadům. Když se zpracovávají důležitá data, je také nezbytné pravidelně provádět hodnocení rizik a předkládat zprávy o hodnocení rizik příslušným regulačním orgánům.
O regulaci přenosu dat
Přenos dat je regulován v případě, že se jedná o důležitá data. Je uvedeno, že pokud operátor důležité informační infrastruktury přenáší důležitá data získaná nebo vygenerovaná v rámci činnosti v Číně přes hranice, aplikují se na tento přenos ustanovení Japonského zákona o kybernetické bezpečnosti.
Důležitá informační infrastruktura: Zařízení, jejichž poškození nebo únik dat by mohl významně poškodit národní bezpečnost, život občanů nebo veřejný zájem v oblastech, které by mohly ohrozit státní bezpečnost, jako jsou energetika, doprava, finance, veřejné služby atd.
Pokud se jedná o zpracovatele dat, který není operátorem důležité informační infrastruktury, musí podle ‘Japonského zákona o hodnocení bezpečnosti přenosu dat do zahraničí’ podstoupit bezpečnostní hodnocení úřadem a po jeho úspěšném absolvování může data přenést.
Podle ‘Návrhu nařízení o bezpečnosti dat v síti (ve fázi sběru názorů)’ musí i při přenosu dat, která nejsou považována za důležitá, do zahraničí v následujících případech podstoupit bezpečnostní hodnocení úřadem a úspěšně ho absolvovat:
- Pokud přeshraniční data obsahují důležitá data
- Pokud operátor důležité informační infrastruktury nebo zpracovatel dat, který zpracovává osobní údaje více než milionu osob, poskytuje osobní údaje do zahraničí
Dále jsou jako povinnosti subjektů přenášejících data do zahraničí uvedeny následující:
- Neposkytovat osobní údaje do zahraničí nad rámec účelu, rozsahu, metody, typu a velikosti dat uvedených ve zprávě o hodnocení dopadu na ochranu osobních údajů předložené oddělení síťových informací
- Neposkytovat osobní údaje a důležitá data do zahraničí nad rámec účelu, rozsahu, typu a velikosti dat určených v bezpečnostním hodnocení oddělení síťových informací
- Přijímat a zpracovávat stížnosti uživatelů týkající se exportu dat
- Uchovávat záznamy souvisejících logů a záznamy o schválení exportu dat po dobu nejméně tří let
- V případě, že export dat poškodí legitimní práva a zájmy jednotlivců, organizací nebo veřejnosti, musí zpracovatel dat nést odpovědnost podle zákona
Při přenosu dat do zahraničí je také povinností vytvořit zprávu o bezpečnosti exportu dat a nahlásit ji místnímu oddělení síťových informací.
O kontrole národní bezpečnosti
Je důležité si všímat, že podle čínské vlády, pokud jsou činnosti zpracování dat považovány za ohrožující bezpečnost čínského státu, provádí se kontrola národní bezpečnosti. Výsledky kontroly národní bezpečnosti jsou konečné a nelze proti nim podat správní odpor ani je napadnout soudní žalobou.
Sankce za porušení zákona o datové bezpečnosti
Při porušení zákona o datové bezpečnosti mohou být uloženy sankce, jako jsou nápravné příkazy a varování, pokuty, zastavení provozu za účelem nápravy, zastavení souvisejících činností nebo zrušení obchodní licence.
Například, pokud nedojde k plnění povinností stanovených v článcích 27, 29 a 30 čínského zákona o datové bezpečnosti, může být vydán nápravný příkaz nebo varování, a také může být uložena pokuta přímo zodpovědným osobám a dalším přímo zodpovědným pracovníkům ve výši od 50 tisíc do 500 tisíc jüanů.
Je důležité si uvědomit, že při porušení zákona o datové bezpečnosti se sankce nevztahují pouze na právnické osoby, ale také na přímo zodpovědné osoby a další zaměstnance, kteří nesou přímou odpovědnost. V případě, že dojde k uložení sankcí za porušení, může to mít značný dopad na celou organizaci, a proto je nezbytné přijmout opatření k dodržování zákona.
Opatření pro zabezpečení dat, která by japonské společnosti měly provést
Protože čínský zákon o zabezpečení dat se vztahuje na veškeré zpracování dat prováděné v Číně, mnoho japonských společností se musí těmto předpisům přizpůsobit. V tomto článku podrobně vysvětlíme, jaká opatření by japonské společnosti měly v oblasti zabezpečení dat přijmout.
Správa dat
Nejprve je třeba přezkoumat správu dat. Je důležité mít jasno o tom, jaká data jsou ve vaší společnosti generována, ukládána a odstraňována, a pochopit současný stav zpracování dat. Důležité je také předem provést mapování dat, abyste mohli klasifikovat data, monitorovat jejich přenos mimo Čínu a ověřit stávající opatření pro správu dat.
Podle čínského zákona o zabezpečení dat se vyžadují specifická ochranná opatření pro důležitá a klíčová data. Proto bude nutné znovu definovat klasifikaci důvěrnosti informací podle této klasifikace.
Však v současné době jsou bezpečnostní úrovně pro jednotlivé kategorie dat nejasné. Vzhledem k tomu, že v budoucnu mohou být tyto úrovně konkretizovány, je nezbytné sledovat seznamy publikované čínskými regulačními orgány. Zároveň je vhodné nastavit bezpečnostní úrovně s ohledem na klasifikaci, včetně kontrol přístupu, autentizace, komunikačního zabezpečení a fyzických opatření.
Dále je třeba přezkoumat bezpečnostní politiku a aplikovat politiky odpovídající klasifikaci dat získaných mapováním dat.
Provádění a hlášení hodnocení rizik
Pokud mapování dat ukáže, že vaše společnost zpracovává důležitá data, je třeba provést hodnocení rizik spojených se zpracováním dat a výsledky nahlásit příslušným úřadům.
Hodnocení rizik je třeba provádět pravidelně, proto je důležité vytvořit pravidla, která umožní jeho stálé provádění.
Vzdělávání zaměstnanců
V Číně je postupně zaváděna řada bezpečnostních předpisů. Správa dat a hodnocení rizik nejsou jednorázové činnosti, je třeba je pravidelně přezkoumávat a zlepšovat, aby se staly součástí firemní kultury. Proto je nezbytné vzdělávat zaměstnance.
Nejde jen o právní nebo obecné administrativní oddělení, ale také o oddělení pro řízení rizik a další, proto je důležitá spolupráce mezi různými odděleními. Ačkoliv je zákon v současné době v některých aspektech nejasný, již došlo k případům, kdy byly na společnosti uvaleny sankce za jeho porušení, což zdůrazňuje nezbytnost přizpůsobení se zákonu o zabezpečení dat.
Charakteristika čínských tří kybernetických zákonů
Čínské tři kybernetické zákony zahrnují „Zákon o kybernetické bezpečnosti“, „Zákon o bezpečnosti dat“ a „Zákon o ochraně osobních údajů“, které Čína implementovala. Zákon o kybernetické bezpečnosti se zaměřuje na opatření proti kybernetickým útokům, Zákon o bezpečnosti dat na ochranu dat a Zákon o ochraně osobních údajů na posílení bezpečnosti osobních informací.
Související článek: Co je čínský zákon o kybernetické bezpečnosti? Vysvětlení klíčových bodů dodržování[ja]
Ačkoliv se tyto zákony v některých aspektech liší, všechny charakterizuje stanovení administrativních sankcí, civilních odškodnění a trestní odpovědnosti za jejich porušení. Navíc se sankce nevztahují pouze na právnické osoby, ale také na přímé odpovědné osoby, kterým může být zakázáno vykonávat stejnou činnost nebo mohou být zahrnuty do národního seznamu porušitelů.
Shrnutí: Pozorně sledujte čínskou regulaci dat a reagujte rychle
Čínský zákon o datové bezpečnosti je právní předpis uplatňovaný na zpracování dat v Číně, který stanovuje klasifikaci dat, hodnocení ochrany a rizik. Kromě zákona o kybernetické bezpečnosti byly zveřejněny i další zákony, jako je ‘Zákon o ochraně osobních údajů’ a ‘Předpisy pro správu zranitelností bezpečnosti internetových produktů’, a je nezbytné přizpůsobit se jim.
Ačkoliv v současné době nejsou bezpečnostní úrovně podle klasifikace plně konkretizovány a existují nejasnosti, již došlo k případům, kdy byly uloženy pokuty za porušení těchto předpisů, což zdůrazňuje nezbytnost reagovat na tyto zákony. Je důležité sledovat čínskou legislativu a podnikat kroky, které jsou možné provést nyní.
Pokud provozujete nebo plánujete podnikání v Číně, doporučujeme konzultaci s právníkem, který je obeznámen s čínskými zákony.
Představení opatření naší kanceláře
Právní kancelář Monolith je právní firma s bohatými zkušenostmi v oblasti IT, zejména internetu a práva. V posledních letech se globální podnikání neustále rozšiřuje a potřeba právní kontroly odborníky stále roste. Naše kancelář poskytuje řešení v oblasti mezinárodního práva, včetně právních služeb pro Čínu, Spojené státy, země EU a další.
Specializace právní kanceláře Monolith: Mezinárodní právo a zahraniční podnikání[ja]