Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Kinas Data Sikkerhedslov: Hvad er det, og hvilke foranstaltninger bør japanske virksomheder træffe?

Kinas Data Sikkerhedslov: Hvad er det, og hvilke foranstaltninger bør japanske virksomheder træffe?

General Corporate

Kinas Data Sikkerhedslov: Hvad er det, og hvilke foranstaltninger bør japanske virksomheder træffe?

Den kinesiske Data Security Law (データセキュリティ法), som er en lov inden for dataområdet i Kina, trådte i kraft i september 2021 (2021年9月). Da den gælder for al databehandling, der foregår inden for Kinas grænser, bliver virksomheder, der driver forretning i Kina eller planlægger at etablere sig der, nødt til at revidere og muligvis ændre deres eksisterende regler og styringspolitikker. Der kan dog være nogle, der ikke forstår lovens indhold eller som er usikre på, hvilke foranstaltninger de skal implementere.

I denne artikel vil vi derfor forklare de grundlæggende aspekter af den kinesiske Data Security Law, vigtige punkter for forståelse, sanktioner, og hvilke forholdsregler der kan tages i Japan.

Hvad er den kinesiske Data Security Law?

Spørgsmål

Den kinesiske Data Security Law (中华人民共和国数据安全法) er en lov vedrørende datasikkerhed i Kina, som trådte i kraft i september 2021. Ligesom den kinesiske Cybersecurity Law, som blev implementeret i juni 2017, blev den indført for at beskytte nationens sikkerhed.

Kinesisk Cybersecurity Law: En lov til beskyttelse af sikkerheden for Kinas “netværk”.

Målene for den kinesiske Data Security Law er beskrevet som følger (Artikel 1):

    • Regulering af datahåndteringsaktiviteter
    • Sikring af datasikkerhed
    • Fremme af udvikling og anvendelse af data
    • Sikring af legitime rettigheder og interesser for individer og organisationer
    • Beskyttelse af national suverænitet, sikkerhed og udviklingsinteresser

Den kinesiske Cybersecurity Law regulerede elektroniske data, men den kinesiske Data Security Law karakteriseres ved også at regulere ikke-elektroniske data, såsom papirdokumenter (Artikel 3). Den kinesiske Data Security Law fastsætter regler for klassificering af data, etablering af et sikkerhedscertificeringssystem og forpligtelser til beskyttelse af datasikkerhed.


Forståelse af den kinesiske Data Security Law: Nøglepunkter

Nøglepunkter

Den kinesiske Data Security Law indeholder mange forskellige bestemmelser, og det kan være en udfordring at forstå dem alle. I det følgende vil vi uddybe indholdet af Data Security Law gennem fem nøglepunkter.

    • Reguleringsomfang
    • Udvikling af normer for dataklassificering og -niveauer
    • Forvaltning af datasikkerhed
    • Regulering af dataoverførsel
    • National sikkerhedsgennemgang

Reguleringsobjekter

Alle former for ‘databehandling’ udført inden for Kinas grænser er reguleret af lovgivningen. Dette gælder også for databehandlingsaktiviteter, der foregår uden for Kina, hvis de kan skade den kinesiske stats sikkerhed, offentlige interesser eller borgernes og organisationers interesser.

‘Data’ refererer til optegnelser af informationer, der kan være elektroniske eller i andre former, og det er vigtigt at bemærke, at dette også inkluderer papirdokumenter. ‘Databehandling’ omfatter indsamling, opbevaring, brug, behandling, transmission, tilvejebringelse og offentliggørelse af data, og enhver, der udfører disse handlinger, betragtes som en ‘databehandler’.


Om etablering af normer for dataklassificering og -gradering

Dataansvarlige skal sikre databeskyttelse baseret på et graderingssystem for beskyttelse. Graderingssystemet er et offentligt evalueringsregime for netværkssikkerhedsstyring, og de nødvendige tiltag varierer afhængigt af klassificeringen. Desuden skal data klassificeres baseret på omfanget af skade, som ødelæggelse eller lækage af data kan forårsage for national sikkerhed, offentlig interesse eller skade på individer og organisationer.

Klassificeringen opdeles i tre kategorier: ‘almindelige data’, ‘vigtige data’ og ‘kerne data’. Ifølge ‘Udkast til forordning om netværksdatasikkerhed (høringsudkast)’, defineres vigtige data som data, hvis ændring, ødelæggelse, lækage, ulovlig erhvervelse eller ulovlig brug kan skade national sikkerhed eller offentlig interesse. Kerne data relaterer til data, der er afgørende for national sikkerhed, nationens økonomiske livsnerven, vigtige aspekter af borgernes liv og væsentlige offentlige interesser (Artikel 21).

På tidspunktet for skrivning er der endnu ikke offentliggjort en konkret fortegnelse over vigtige eller kerne data, så det er en god idé at klassificere de data, man håndterer, baseret på eksemplerne på vigtige data, der er nævnt i ‘Udkast til forordning om netværksdatasikkerhed (høringsudkast)’. Det er også vigtigt at overvåge fortegnelser offentliggjort af de relevante myndigheder.


Om håndtering af datasikkerhed

Der er en række krav, som dataansvarlige skal opfylde, herunder:

    • Gennemførelse af datasikkerhedsuddannelse og træning
    • Overholdelse af beskyttelsesforpligtelser i henhold til gradueret beskyttelsessystem
    • Kontinuerlig risikomonitorering
    • Etablering af et sikkerhedsstyringssystem gennem hele dataens livscyklus
    • Udnævnelse af en ansvarlig person
    • Tekniske foranstaltninger

Grundlæggende er det lignende krav som dem, der findes i ‘Information Security Management System (ISMS)’, men det er vigtigt at være opmærksom på, at der skal træffes forvaltningsforanstaltninger, der svarer til klassificeringen af data.

I tilfælde af en hændelse skal der straks træffes foranstaltninger, og både brugere og myndigheder skal informeres. Desuden, når man behandler vigtige data, er det nødvendigt at udføre regelmæssige risikovurderinger og indsende risikovurderingsrapporter til de relevante jurisdiktionelle afdelinger.


Om regulering af dataoverførsel

Når det kommer til dataoverførsel, er der reguleringer for vigtige data. Det er angivet, at operatører af kritisk informationsinfrastruktur, som har indsamlet eller genereret vigtige data i forbindelse med deres aktiviteter i Kina, skal overholde bestemmelserne i den japanske Cybersecurity Law, når de overfører disse data på tværs af landegrænser.

Kritisk informationsinfrastruktur: Operatører af faciliteter, som, hvis beskadiget eller udsat for datalæk, kan true national sikkerhed og alvorligt skade national sikkerhed, borgernes liv og offentlig interesse i sektorer som energi, transport, finans og offentlige tjenester.

Hvis du er en databehandler, der ikke falder ind under kategorien af operatører af kritisk informationsinfrastruktur, skal du følge ‘Japanese Data Overseas Transfer Security Assessment Procedures’ og bestå en sikkerhedsvurdering foretaget af de relevante myndigheder, før du kan overføre dataene.

Ifølge ‘Japanese Network Data Security Management Regulations (udkast til offentlig høring)’, skal du også bestå en sikkerhedsvurdering fra myndighederne, selv når du overfører ikke-vigtige data til udlandet, i følgende tilfælde:

    • Hvis de data, der overføres på tværs af grænser, indeholder vigtige data
    • Hvis operatører af kritisk informationsinfrastruktur eller databehandlere, der behandler personoplysninger for mere end en million personer, leverer personoplysninger til udlandet

Desuden er der følgende forpligtelser for dem, der overfører data til udlandet:

    • Ikke at levere personoplysninger til udlandet ud over det formål, omfang, metode, datatyper og størrelse, der er angivet i den personoplysningbeskyttelsesvurderingsrapport, der er indsendt til netværksinformationsafdelingen
    • Ikke at levere personoplysninger og vigtige data til udlandet ud over det formål, omfang, datatyper og størrelse, der er specificeret i sikkerhedsvurderingen fra netværksinformationsafdelingen
    • At acceptere og behandle klager fra brugere vedrørende eksport af data
    • At opbevare relevante logfiler og godkendelsesoptegnelser for dataeksport i mindst tre år
    • At databehandlere er ansvarlige i henhold til loven, hvis eksport af data skader de legitime rettigheder og interesser for personer, organisationer eller offentligheden

Når du overfører data til udlandet, er du også forpligtet til at udarbejde en sikkerhedsrapport om dataeksport og rapportere til netværksinformationsafdelingen i distriktet.


Om National Sikkerhedsgennemgang

Det er vigtigt at være opmærksom på, at hvis den kinesiske regering vurderer, at databehandlingsaktiviteter skader den kinesiske nations sikkerhed, vil der blive foretaget en national sikkerhedsgennemgang. Resultatet af en national sikkerhedsgennemgang er endeligt, og det er ikke muligt at gøre indsigelser gennem administrative klager eller retssager.


Straffebestemmelser i henhold til databeskyttelsesloven

Mand der advarer

Hvis man overtræder databeskyttelsesloven, kan man blive pålagt sanktioner såsom påbud om rettelse, advarsler, bøder, midlertidig ophør af forretninger for at foretage rettelser, suspension af relaterede forretningsaktiviteter eller annullering af forretningslicenser.

For eksempel, hvis man undlader at opfylde de forpligtelser, der er fastsat i artiklerne 27, 29 og 30 i den kinesiske databeskyttelseslov, kan der udover påbud om rettelse og advarsler også pålægges bøder på mellem 50.000 og 500.000 yuan til de direkte ansvarlige og andre personer med direkte ansvar.

Det er vigtigt at være opmærksom på, at i tilfælde af overtrædelse af databeskyttelsesloven, er det ikke kun juridiske personer, der kan blive straffet, men også de direkte ansvarlige og andre ansatte med direkte ansvar. Hvis man modtager en straf for en overtrædelse, kan det have en stor indvirkning på hele organisationen, så det er afgørende at have de nødvendige foranstaltninger på plads i forhold til loven.

Foranstaltninger vedrørende databeskyttelsesloven, som japanske virksomheder bør iværksætte

Mand der vejleder

Databeskyttelsesloven gælder for al databehandling inden for Kinas grænser, hvilket betyder, at mange japanske virksomheder skal tage stilling til den. I det følgende vil vi detaljeret forklare de foranstaltninger vedrørende databeskyttelsesloven, som japanske virksomheder bør iværksætte.

Datahåndtering

Først og fremmest bør man revurdere sin datahåndtering. Det er vigtigt at få klarhed over, hvilke data der genereres, opbevares og slettes i virksomheden, og at forstå den nuværende situation omkring databehandling. Ved hjælp af datamapping bør man på forhånd identificere dataklassifikationer, overførsler af data ud af Kina og de nuværende foranstaltninger til datahåndtering, så man kan sikre, at de nødvendige tiltag er på plads for hver kategori af data.

Under den kinesiske databeskyttelseslov kræves der særlige beskyttelsesforanstaltninger for vigtige og kerne data. Derfor kan det blive nødvendigt at redefinere klassifikationen af fortrolige oplysninger i overensstemmelse med disse kategorier.

Det skal dog bemærkes, at sikkerhedsniveauerne for de forskellige kategorier endnu er uklare. Da de kan blive konkretiseret i fremtiden, er det afgørende at holde øje med kataloger udgivet af de kinesiske myndigheder. Samtidig er det betryggende at indstille sikkerhedsniveauer, der tager højde for klassifikationerne, herunder adgangskontrol, autentifikation, kommunikationssikkerhed og fysiske foranstaltninger.

Desuden bør man revidere sin sikkerhedspolitik og anvende politikker, der passer til de datakategorier, som er identificeret gennem datamapping.

Gennemførelse og rapportering af risikovurdering

Hvis det vurderes, at virksomhedens data indeholder vigtige data som følge af datamapping, skal der foretages en risikovurdering af databehandlingen. Resultaterne skal også rapporteres til de relevante myndigheder.

Da risikovurderinger skal udføres regelmæssigt, er det vigtigt at etablere regler, så de kan udføres kontinuerligt.

Uddannelse af medarbejdere

I Kina implementeres der løbende nye sikkerhedsrelaterede regler. Desuden er håndtering af data og risikovurdering ikke noget, der blot gøres én gang; det kræver regelmæssig revision og forbedring for at blive integreret i virksomhedens kultur. Derfor er det nødvendigt at uddanne medarbejderne løbende.

Det er ikke kun juridiske og administrative afdelinger, der skal involveres, men også risikostyringsafdelinger, og derfor er samarbejde på tværs af afdelingerne afgørende. Selvom loven stadig har uklare aspekter, er der allerede tilfælde, hvor sanktioner er blevet anvendt for overtrædelser, hvilket gør det klart, at det er essentielt at overholde databeskyttelsesloven.


Kendetegn ved de kinesiske Cyber Tre Love

De kinesiske Cyber Tre Love refererer til en samlet betegnelse for “Cybersikkerhedsloven”, “Datasikkerhedsloven” og “Personoplysningsbeskyttelsesloven”, som Kina har implementeret. Cybersikkerhedsloven fokuserer på foranstaltninger mod cyberangreb, Datasikkerhedsloven på bevarelse af data, og Personoplysningsbeskyttelsesloven på at styrke sikkerheden af personlige oplysninger.

Relateret artikel: Hvad er den kinesiske Cybersikkerhedslov? En forklaring på de vigtigste punkter for overholdelse[ja]

På denne måde, selvom hver lov har sine forskelle, er det et fællestræk, at de alle fastsætter administrative sanktioner, civilretligt erstatningsansvar og strafferetligt ansvar for overtrædelser. Desuden gælder overtrædelserne ikke kun for juridiske personer, men også for de direkte ansvarlige personer, som risikerer at blive forbudt at arbejde inden for samme område eller at blive opført i landets overtræderregister.


Konklusion: Hurtig handling er nødvendig, mens man nøje overvåger Kinas datalovgivning

Den kinesiske Data Security Law er en lov, der finder anvendelse på databehandling i Kina og fastsætter regler for klassificering og gradinddeling af databeskyttelse samt risikovurdering. Der er offentliggjort forskellige love, herunder Cybersecurity Law, “Personal Information Protection Law” og “Regulations on the Management of Security Vulnerabilities in Internet Products”, og det er afgørende at handle i overensstemmelse med disse.

Selvom der på nuværende tidspunkt er uklarheder, såsom at sikkerhedsniveauerne for de forskellige kategorier endnu ikke er konkretiseret, er der allerede tilfælde, hvor virksomheder er blevet bødestraffet for overtrædelser, hvilket understreger vigtigheden af at overholde loven. Det er vigtigt at være opmærksom på Kinas lovgivning og træffe de nødvendige foranstaltninger nu.

Hvis du driver virksomhed i Kina eller planlægger at gøre det, anbefales det at konsultere en advokat, der er specialiseret i kinesisk lovgivning.


Vejledning om foranstaltninger fra vores kontor

Monolith Advokatfirma er et advokatfirma med omfattende erfaring inden for IT, især internet og jura. I de senere år er global forretning blevet stadig mere udbredt, og behovet for juridisk kontrol af eksperter er stigende. Vores firma tilbyder løsninger inden for international juridisk service, herunder i lande som Kina, USA og EU-landene.

Monolith Advokatfirmas ekspertiseområder: International juridisk service og udenlandske forretninger[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Hvad henviser til overtrædelse af 'japanske patentrettigheder'?

Hvad henviser til overtrædelse af 'japanske patentrettigheder'?

General Corporate

Fem punkter at tjekke for at indgå den korrekte M&A-rådgivningsaftale

Fem punkter at tjekke for at indgå den korrekte M&A-rådgivningsaftale

General Corporate

Spil og Lovgivning (Del to): Japansk Forbrugeraftalelov, Japansk Lov om Specifik Handel og Japansk Lov om Telekommunikationsvirksomhed

Spil og Lovgivning (Del to): Japansk Forbrugeraftalelov, Japansk Lov om Specifik Handel og Japan.

General Corporate

Tjekpunkter ved udarbejdelse af grundlæggende kontrakter for personaleformidling

Tjekpunkter ved udarbejdelse af grundlæggende kontrakter for personaleformidling

General Corporate

En advokats letforståelige forklaring på nøglepunkterne i oprettelsen af en grundlæggende kontrakt for udstationering af arbejdstagere (Japanese 'Roudousha Haken Kihon Keiyakusho')

En advokats letforståelige forklaring på nøglepunkterne i oprettelsen af en grundlæggende kontra.

General Corporate

Drag-Along Right-klausulen i investeringsaftaler for startups

Drag-Along Right-klausulen i investeringsaftaler for startups

General Corporate

YouTuber bør kende til ophavsretten: 'Spilkommentering' kan blive ulovligt

YouTuber bør kende til ophavsretten: 'Spilkommentering' kan blive ulovligt

General Corporate

Hvordan håndterer man skruppelløse videresælgere? En ekspert forklarer fem modforanstaltninger

Hvordan håndterer man skruppelløse videresælgere? En ekspert forklarer fem modforanstaltninger

General Corporate

Anmodning om videoredigering til Cloud-arbejdere: Forklaring af de 6 punkter i en forretningsuddelegationskontrakt

Anmodning om videoredigering til Cloud-arbejdere: Forklaring af de 6 punkter i en forretningsudd.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen