Kinas 'Japanese Cybersecurity Law' - Hvad er det? En forklaring på nøglepunkterne for overholdelse
Ifølge “Special Feature: Survey on the Trends of Japanese Companies’ Expansion into China (2022)” fra The Japanese Teikoku Databank, er der 12.706 japanske virksomheder, der har etableret sig i Kina. Antallet af virksomheder, der er involveret i forretninger relateret til Kina, er sandsynligvis endnu højere. I Kina blev “Chinese Cybersecurity Law” indført i 2017.
Dette har betydet, at virksomheder, der ønsker at udvide deres forretninger i Kina, nu skal revidere deres politikker i overensstemmelse med loven og implementere tekniske beskyttelsesforanstaltninger. Men der kan være nogle, der ikke er klar over, hvad denne lov indebærer, eller hvordan man skal håndtere den.
I denne artikel vil vi derfor forklare hovedpunkterne i den kinesiske cybersikkerhedslov, hvem der er reguleret af den, og hvilke foranstaltninger man bør tage. Hvis du driver forretning i Kina eller overvejer at ekspandere dertil, bør du absolut tage et kig på denne information.
Oversigt over den kinesiske cybersikkerhedslov
Den kinesiske cybersikkerhedslov (网络安全法) er en lov, der blev implementeret i Kina i juni 2017. Lovens formål er beskrevet i artikel 1 som følger:
- At sikre netværkssikkerhed
- At beskytte cyberspace suverænitet, national sikkerhed og offentlige interesser
- At beskytte borgere, juridiske personer og andre organisationers legitime rettigheder og interesser
- At fremme udviklingen af økonomisk og social informatisering
Med “netværk” menes “systemer bestående af computere eller andre informationsenheder og tilhørende udstyr, som indsamler, opbevarer, transmitterer, udveksler og behandler information i henhold til visse regler og programmer (artikel 76)”, og det inkluderer ikke kun internettet, men også intranet.
Den kinesiske cybersikkerhedslov adskiller sig fra EU’s generelle databeskyttelsesforordning (GDPR) og den japanske lov om beskyttelse af personoplysninger ved ikke kun at fokusere på “beskyttelse af personlige og organisationsoplysninger”, men også på “beskyttelse af den kinesiske nations sikkerhed og offentlige interesser”. Loven fastsætter forpligtelser for relevante virksomheder, herunder implementering af cybersikkerhedsniveau beskyttelse, overholdelse af compliance og klarlægning af rettigheder og forpligtelser.
Der findes også andre love relateret til sikkerhed, såsom den kinesiske datasekretesslov.
Relateret artikel: Hvad er den kinesiske datasekretesslov? En forklaring på de foranstaltninger, japanske virksomheder bør tage[ja]
Reguleringsemner under den kinesiske Cybersecurity Lov
Japanske virksomheder bliver omfattet af den kinesiske Cybersecurity Lov i følgende tilfælde:
- Der håndteres information inden for Kinas grænser
- Information overføres fra Kina til Japan
Selv hvis virksomhedens base er i Japan, vil den blive omfattet af loven, hvis den falder ind under ovenstående kriterier. Regulerede enheder inkluderer ‘netværksoperatører’ og ‘operatører af kritisk informationsinfrastruktur’.
En netværksoperatør er ejeren eller administratoren af et netværk, eller den, der leverer netværkstjenester.
En operatør af kritisk informationsinfrastruktur er den, der driver faciliteter i sektorer, som, hvis de blev beskadiget, kunne true national sikkerhed, såsom energi, transport, finans og offentlige tjenester. Disse faciliteter, hvis de blev beskadiget eller udsat for datalæk, kunne alvorligt skade national sikkerhed, borgernes liv og offentlig interesse.
Indholdet af den kinesiske Cybersecurity-lov
Den kinesiske Cybersecurity-lov fastlægger følgende forpligtelser:
- Opsætning af cybersikkerhedsniveauer
- Overholdelse af nationale obligatoriske standarder
- Krav om registrering med det rigtige navn
- Forpligtelser for operatører af kritisk informationsinfrastruktur
- Opbygning af styrings- og responssystemer
Her vil vi forklare hver af disse punkter i detaljer.
Etablering af cybersikkerhedsklassifikationer
I henhold til artikel 21 i den kinesiske Cybersecurity Law, er der fastsat et ‘klassifikationssystem for beskyttelse’, som netværksoperatører skal overholde, og virksomheder og organisationer, der ejer netværk i Kina, skal opnå klassifikationscertificering.
Klassifikationssystemet for beskyttelse er et offentligt evalueringsystem for netværkssikkerhedsstyring. Det omfatter følgende områder:
- Netværksinfrastruktur
- IoT
- Industrielle kontrolsystemer
- Store internetsteder og datacentre
- Offentlige serviceplatforme
I klassifikationssystemet for beskyttelse inddeles informationssystemer i fem niveauer baseret på omfanget og størrelsen af skaden, når de bliver beskadiget.
| Grad af skade på objektet | |||
| Generel skade | Alvorlig skade | Meget alvorlig skade | |
| Borgere og juridiske personer mv. | 1. niveau | 2. niveau | 3. niveau |
| Social orden og offentlig interesse | 2. niveau | 3. niveau | 4. niveau |
| National sikkerhed | 3. niveau | 4. niveau | 5. niveau |
Desuden er definitionerne for hvert niveau som følger:
| Niveau | Definition |
| 1. niveau | Generelle netværk, hvor skade vil påvirke de lovlige rettigheder og interesser for de berørte borgere, juridiske personer og andre organisationer, men ikke national sikkerhed, social orden eller offentlig interesse. |
| 2. niveau | Generelle netværk, hvor skade vil forårsage alvorlig skade på de lovlige rettigheder og interesser for de berørte borgere, juridiske personer og andre organisationer, eller skade på social orden og offentlig interesse, men ikke på national sikkerhed. |
| 3. niveau | Vigtige netværk, hvor skade vil forårsage meget alvorlig skade på de lovlige rettigheder og interesser for de berørte borgere, juridiske personer og andre organisationer, eller skade på national sikkerhed. |
| 4. niveau | Meget vigtige netværk, hvor skade vil forårsage betydelig skade på social orden og offentlig interesse, eller meget alvorlig skade på national sikkerhed. |
| 5. niveau | Ekstremt vigtige netværk, hvor skade vil forårsage meget alvorlig skade på national sikkerhed. |
For hvert klassifikationsniveau er der fastsat standarder for informationssikkerhed, som skal overholdes. Det er almindeligt, at netværksoperatører skal overholde 2. niveau eller højere, mens operatører af kritisk informationsinfrastruktur skal overholde 3. niveau eller højere.
For at opnå en klassifikation indsender operatørerne en selvstændig ansøgning om klassifikation til myndighederne, men de skal til sidst opnå samtykke fra Public Security Department. Desuden kræver klassifikationssystemet for beskyttelse, at 2. niveau og højere skal evalueres af en evalueringsinstitution. Det er vigtigt at være opmærksom, da der kan pålægges bøder for overtrædelse af klassifikationssystemet for beskyttelse.
Overensstemmelse med nationale obligatoriske standarder
Det er et krav, at udbydere af internetprodukter og -tjenester sikrer, at deres tjenester overholder de nationale obligatoriske standarder (artikel 22). Udbydere må ikke installere ondsindede programmer.
Desuden, hvis udbyderne opdager defekter, sårbarheder eller andre risici i deres produkter eller tjenester, skal de straks træffe foranstaltninger, informere brugerne og rapportere til de relevante myndigheder.
I september 2021 (Reiwa 3) blev “Regler for håndtering af sikkerhedssårbarheder i internetprodukter (网络产品安全漏洞管理规定)” indført, som er rettet mod netværksoperatører. Det er derfor vigtigt at henvise til og overholde disse regler.
Krav om registrering med det rigtige navn
Når man tilbyder tjenester som netværksforbindelse, fastnet- og mobiltelefontjenester, informationsservices og instant messaging-tjenester, er det et krav, at brugerne registrerer sig med deres rigtige navn. Hvis en bruger ikke registrerer sig med det rigtige navn, må tjenesten ikke tilbydes.
Desuden har netværksoperatører en pligt til at sikre, at de oplysninger, som brugerne sender, ikke overtræder loven.
Forpligtelser for operatører af kritisk informationsinfrastruktur
Operatører af kritisk informationsinfrastruktur skal ikke kun implementere de sikkerhedsforanstaltninger, der er pålagt netværksoperatører, men også følgende foranstaltninger er nødvendige:
- Regelmæssig backup af systemer og databaser
- Udarbejdelse af en beredskabsplan for sikkerhedshændelser
- Årlig sikkerhedsvurdering
- Data-lokalisering
Data-lokalisering: Processen med at opbevare og behandle data inden for grænserne af det land, hvor dataene er genereret
I september 2021 (Reiwa 3) blev “Japanese Ordinance on the Security Protection of Critical Information Infrastructure” implementeret, som yderligere specificerer forvaltningen af kritisk informationsinfrastruktur, akkreditering og operatørernes forpligtelser, så det er også nødvendigt at henvise til denne.
Opbygning af styrings- og responssystemer
Det, der kræves af netværksoperatører, omfatter følgende (Artikel 21):
- Udvikling af sikkerhedsstyringssystemer og driftsprocedurer
- Udnævnelse af en ansvarlig for netværkssikkerhed
- Udarbejdelse af en responsplan for sikkerhedshændelser og etablering af tekniske foranstaltninger
- Implementering af netværksovervågningsteknologi og opbevaring af logfiler (i mindst 6 måneder)
- Dataklassificering og beskyttelsesforanstaltninger såsom backup og kryptering af kritiske data
Bestemmelser ved overtrædelse af den japanske Cybersecurity-lov
Hvis du overtræder de sikkerhedskrav, der er fastsat i gradbeskyttelsessystemet, vil du modtage en rettelsesordre og en advarsel. Hvis du afviser ordren eller truer netværkssikkerheden, skal du betale en bøde på mellem 10.000 yuan (svarende til ca. 10.000 DKK) og 100.000 yuan (svarende til ca. 100.000 DKK). Desuden vil der blive pålagt en bøde på mellem 5.000 yuan (svarende til ca. 5.000 DKK) og 50.000 yuan (svarende til ca. 50.000 DKK) til den person, der har det direkte ansvar.
Der vil også blive udstedt en rettelsesordre og en advarsel, hvis du installerer ondsindede programmer eller undlader at træffe foranstaltninger mod risici såsom mangler i produkter eller tjenester eller sikkerhedshuller. Hvis du afviser dette, vil der blive pålagt en bøde.
Størrelsen på bøden varierer afhængigt af overtrædelsens art, og du kan også risikere at få din hjemmeside lukket, din forretningslicens annulleret eller din virksomheds drift stoppet, så det er vigtigt at være opmærksom. Der har tidligere været tilfælde, hvor overtrædelser har ført til bødestraf, og den ansvarlige person er blevet forbudt at arbejde i samme branche for livstid, så det er afgørende at tage forholdsregler mod cybersikkerhedstrusler.
Cybersikkerhedsforanstaltninger japanske virksomheder bør tage
Den kinesiske cybersikkerhedslov er kompleks, og det kan være svært at vide, hvor man skal starte. Her forklarer vi de foranstaltninger, som japanske virksomheder bør tage.
Etablere et samarbejde mellem IT-afdelingen og DX-relaterede afdelinger
For at overholde den kinesiske cybersikkerhedslov er det nødvendigt at udvikle driftsprocesser og udforme eller tilføje persondatahåndteringsregler. Derudover er tekniske foranstaltninger afgørende for at overholde beskyttelsesniveau-systemet for virksomhedens egne systemer.
Det er ikke nok, at juridiske og administrative afdelinger håndterer dette individuelt; der skal etableres et samarbejde mellem IT-afdelingen og DX-relaterede afdelinger.
Vurdere hvilket niveau virksomhedens systemer opfylder
Først skal virksomhedens systemer klassificeres efter niveau. Afhængigt af dette niveau skal de forskellige afdelinger implementere cybersikkerhedsforanstaltninger. Juridiske, administrative og risikostyringsafdelinger skal revidere og opdatere politikker og procedurer i overensstemmelse med loven, mens IT- og DX-relaterede afdelinger skal håndtere de tekniske aspekter. Her forklarer vi de forskellige tilgange.
Juridiske, administrative og risikostyringsafdelinger
Sammenlign de krav, der er fastsat i de forskellige niveauer, med virksomhedens nuværende styring og informationssikkerhedssystemer, og overvej tilføjelse af politikker og revision af driftsprocedurer. Det kan også være nødvendigt at udvikle og ændre systemer.
Hvis niveauet er klasse 2 eller højere, skal der også indberettes til myndighederne. Hvis virksomheden anses for at være en operatør af kritisk informationsinfrastruktur, kræves der certificering for beskyttelsesniveau klasse 3 eller højere. Derudover skal virksomheden håndtere data-lokalisering, regelmæssig informationssikkerhedsuddannelse og teknisk træning af medarbejdere. Hvis der er en chance for at blive betragtet som en operatør af kritisk informationsinfrastruktur, er det en god idé at konsultere en rådgivende advokat for at fastlægge en handlingsplan.
I de senere år har Kina indført en række sikkerhedsrelaterede regler. Risikostyringsafdelingerne skal derfor tilpasse sig nye regler og håndtere risici i overensstemmelse hermed.
IT- og DX-relaterede afdelinger
IT- og DX-relaterede afdelinger skal implementere sikkerhedsforanstaltninger, der passer til deres klassificeringsniveau. Først og fremmest skal de gennemgå de eksisterende systemers sikkerhedsforanstaltninger og, hvis nødvendigt, integrere systemer, der overholder cybersikkerhedsloven.
Ud over cybersikkerhedsloven skal der også tages højde for data-lokalisering, grænseoverskridende begrænsninger og regeringsadgang. Det er vigtigt at forstå, hvilke data der overføres uden for Kina, og at revidere virksomhedens dataindsamling og opbevaring.
Under cybersikkerhedsloven er det ikke nok kun at revidere politikker; tekniske sikkerhedsforanstaltninger er også nødvendige, hvilket gør samarbejde mellem de relevante afdelinger afgørende.
Konklusion: Hvis du har problemer med din virksomheds håndtering, så søg rådgivning hos en ekspert
Den kinesiske Cybersecurity Law er et system skabt for at beskytte den nationale sikkerhed i Kina. For at overholde Cybersecurity Law er det nødvendigt ikke kun at revidere politikkerne i juridiske og administrative afdelinger, men også at implementere tekniske beskyttelsesforanstaltninger.
Siden implementeringen af Cybersecurity Law er en række love relateret til datacompliance, såsom “Regler for håndtering af sikkerhedssårbarheder i internetprodukter” og “Cybersecurity Review Measures (et system, der konkretiserer det nationale sikkerhedsgennemgangssystem)”, blevet vedtaget. Overtrædelser kan føre til bøder, lukning af websites eller annullering af forretningslicenser, så det er vigtigt at være opmærksom. Hvis du driver forretning i Kina eller planlægger at gøre det, anbefales det at konsultere en advokat, der er kyndig i kinesisk lovgivning.
Vejledning i foranstaltninger fra vores kontor
Monolith Advokatfirma er et advokatfirma med styrker inden for IT, internet og forretning. Vi har håndteret sager fra forskellige lande verden over, herunder Kina, USA og EU-landene. Når man udvider sin forretning internationalt, følger der mange juridiske risici med, og derfor er support fra erfarne advokater uundværlig. Vores firma har indgående kendskab til lokal lovgivning og regulativer og samarbejder med advokatfirmaer over hele verden.
Monolith Advokatfirmas ekspertiseområder: International juridisk rådgivning og udenlandske forretninger[ja]
Related Articles
Fordelene og ulemperne ved at kende til 'Forretningsoverdragelse' og 'Virksomhedsopdeling'
General Corporate
Seks punkter at være opmærksom på for at undgå tab, når du indgår en korrekt 'forretningsallianc.
General Corporate
International Arbitration: What Is It? An Explanation of What You Should Know When Involved in a.
General Corporate
Hvad er risikoen for krænkelse af intellektuelle ejendomsrettigheder som patenter, varemærker, o.
General Corporate
Hvad er kriterierne for gyldigheden af disciplinær afskedigelse baseret på privat e-mail brug på.
General Corporate
Vigtige punkter at være opmærksom på ved åbning af en online butik, en forklaring på den japansk.
General Corporate
