MONOLITH LAW OFFICE+81-3-6262-3248Weekdays 10:00-18:00 JST

MONOLITH LAW MAGAZINE

General Corporate

Hiina küberjulgeolekuseadus – mis see on? Selgitame järgimise põhipunkte

General Corporate

Hiina küberjulgeolekuseadus – mis see on? Selgitame järgimise põhipunkte

Teikoku Databanki eriraport “Eriprojekt: Jaapani ettevõtete “Hiina turule sisenemise” suundumused (2022)[ja]” kohaselt on Hiinas tegutsevaid Jaapani ettevõtteid kokku 12,706. Hiinaga seotud äri tegevaid ettevõtteid võib olla veelgi rohkem. Hiinas jõustus 2017. aastal “Hiina küberjulgeoleku seadus”.

Selle tulemusena peavad Hiinas äri ajavad ettevõtted oma tegevust kohandama vastavalt seadusele, muutes oma poliitikaid ja rakendades tehnilisi kaitsemeetmeid. Siiski võib olla neid, kes ei tea, milline see seadus täpselt on või kuidas sellega kohaneda.

Seetõttu selgitame selles artiklis “Hiina küberjulgeoleku seaduse” üldjooni, reguleerimisala ja vajalikke meetmeid. Kui te juba tegutsete Hiinas või kaalute sinna laienemist, siis kasutage seda teavet kindlasti ära.

Hiina küberturvalisuse seaduse ülevaade

Juhendav naine

Hiina küberturvalisuse seadus (网络安全法) on Hiina seadus, mis jõustus 2017. aasta juunis. Seaduse eesmärk on esimeses artiklis kirjeldatud järgmiselt:

  • Võrgu turvalisuse tagamine
  • Küberruumi suveräänsuse, riigi turvalisuse ja avaliku huvi kaitsmine
  • Kodanike, juriidiliste isikute ja teiste organisatsioonide õigustatud õiguste ja huvide kaitse
  • Majandusliku ja sotsiaalse informatiseerimise arengu edendamine

Võrgustik on määratletud kui “arvutite, muude infoterminalide ja nendega seotud seadmete poolt moodustatud süsteem, mis kogub, salvestab, edastab, vahetab ja töötleb infot kindlate reeglite ja programmide järgi (artikkel 76)”, mis hõlmab nii internetti kui ka intranetti.

Hiina küberturvalisuse seadus erineb EL-i üldisest andmekaitsemäärusest (GDPR) ja Jaapani isikuandmete kaitse seadusest, kuna see ei keskendu ainult “isikute ja organisatsioonide teabe kaitsele”, vaid ka “Hiina riikliku turvalisuse ja avaliku huvi kaitsmisele”. Seadus sätestab sihtrühma ettevõtjatele küberturvalisuse taseme kaitse rakendamise, vastavuse järgimise ja õiguste ja kohustuste selge määratlemise.

Küberturvalisusega seotud seaduste hulka kuulub ka Hiina andmeturvalisuse seadus.

Seotud artikkel: Mis on Hiina andmeturvalisuse seadus? Jaapani ettevõtetele vajalikud meetmed selgitatud[ja]

Hiina küberjulgeoleku seaduse reguleerimisala

Reeglid

Jaapani ettevõtted võivad sattuda Hiina küberjulgeoleku seaduse reguleerimisalasse järgmistel juhtudel:

  • Tegelevad info käitlemisega Hiinas
  • Kannavad infot üle Hiinast Jaapanisse

Isegi kui ettevõtte asukoht on Jaapanis, kuuluvad nad seaduse alla, kui nad vastavad eeltoodud tingimustele. Reguleerimisalasse kuuluvate isikute hulka loetakse “võrguoperaatorid” ja “olulise infoinfrastruktuuri haldajad”.

Võrguoperaator tähendab võrgu omanikku või haldajat, samuti võrguteenuse pakkujat.

Olulise infoinfrastruktuuri haldaja on isik, kes opereerib seadmeid valdkondades, nagu energia, transport, finants ja avalikud teenused, mille kahjustumine või andmeleke võib oluliselt ohustada riigi julgeolekut, rahva elu või avalikku huvi.

Hiina küberturvalisuse seaduse sisu

Naise foto

Hiina küberturvalisuse seadus sätestab järgmised kohustused:

  • Küberturvalisuse tasemete kehtestamine
  • Riiklike kohustuslike standardite järgimine
  • Nõue kasutada tegelike nimede registreerimist
  • Kohustused olulise infoinfrastruktuuri haldajatele
  • Halda- ja reageerimissüsteemide loomine

Allpool selgitame iga punkti üksikasjalikumalt.

Küberjulgeoleku tasemete kehtestamine

Hiina küberjulgeolekuseaduse (Chinese Cybersecurity Law) artikli 21 kohaselt on sätestatud võrguoperaatoritele järgitav “tasemekaitse süsteem”, mis nõuab, et Hiinas võrke omavad ettevõtted ja organisatsioonid peavad hankima tasemekaitse sertifikaadi.

Tasemekaitse süsteem on avalik hindamissüsteem võrguturvalisuse haldusstruktuurile. Selle süsteemi alla kuuluvad järgmised valdkonnad:

  • Võrguinfrastruktuur
  • IoT (Internet of Things)
  • Tööstuslikud juhtimissüsteemid
  • Suuremahulised internetisaidid ja andmekeskused
  • Avalike teenuste platvormid

Tasemekaitse süsteemis klassifitseeritakse infosüsteemid viieks tasemeks, lähtudes süsteemi kahjustumisel tekkiva mõju ulatusest ja kahju suurusest.

Kahju ulatus subjektile
Tavaline kahjuTõsine kahjuErakordselt tõsine kahju
Kodanikud ja juriidilised isikud1. tase2. tase3. tase
Sotsiaalne kord ja avalik huvi2. tase3. tase4. tase
Riigi julgeolek3. tase4. tase5. tase

Lisaks on iga taseme definitsioon järgmine:

TaseDefinitsioon
1. taseVõrk, mille rikkumisel on mõju seotud kodanike, juriidiliste isikute ja teiste organisatsioonide seaduslikele õigustele ja huvidele, kuid mis ei mõjuta riigi julgeolekut, sotsiaalset korda ega avalikku huvi
2. taseVõrk, mille rikkumisel tekib seotud kodanikele, juriidilistele isikutele ja teistele organisatsioonidele olulist kahju või kahjustatakse sotsiaalset korda ja avalikku huvi, kuid mis ei mõjuta riigi julgeolekut
3. taseVõrk, mille rikkumisel tekib seotud kodanikele, juriidilistele isikutele ja teistele organisatsioonidele väga olulist kahju või mis ohustab riigi julgeolekut
4. taseEriti oluline võrk, mille rikkumisel tekib märkimisväärne kahju sotsiaalsele korrale ja avalikule huvile või mis toob kaasa väga olulist kahju riigi julgeolekule
5. taseÄärmiselt oluline võrk, mille rikkumisel tekib riigi julgeolekule väga olulist kahju

Iga klassifikatsiooni jaoks on kehtestatud järgitavad infoturbe standardid. Võrguoperaatoritele on tavaliselt kohaldatav 2. tase või kõrgem, olulise infoinfrastruktuuri operaatoritele 3. tase või kõrgem.

Taseme saamiseks esitavad operaatorid ametiasutustele taseme iseseisva taotluse, kuid lõpuks on vajalik saada nõusolek avaliku julgeoleku osakonnalt. Lisaks nõuab tasemekaitse süsteem, et 2. taseme või kõrgema tasemega süsteemid peavad läbima hindamisasutuse hindamise. Tasemekaitse süsteemi rikkumisel võib rakenduda trahv, seega on vajalik olla ettevaatlik.

Riiklike kohustuslike standardite järgimine

Internetitoodete ja -teenuste pakkujad peavad tagama, et nende pakutavad teenused vastavad riiklikele kohustuslikele standarditele (artikkel 22). Pakkujad ei tohi installeerida pahatahtlikke programme.

Lisaks, kui avastatakse toote või teenuse defektid, haavatavused või muud riskid, tuleb viivitamatult võtta tarvitusele meetmed, teavitada kasutajaid ja raporteerida asjakohastele reguleerivatele asutustele.

Septembris 2021 (Reiwa 3) jõustus “Internetitoodete turvalisuse haavatavuste haldamise määrus”, mis on suunatud võrguoperaatoritele, seega tuleks viidata ka sellele määrusele ja vastavalt tegutseda.

Nõutakse tegeliku nime registreerimist

Kui pakute kasutajatele võrguühenduse teenuseid, fikseeritud või mobiiltelefonivõrgu ühendamise protseduure, infojagamise teenuseid või kiirsõnumiteenuseid, peate nõudma kasutajatelt nende tegelike nimede registreerimist. Kui kasutaja ei registreeri oma tegelikku nime, ei tohi te talle teenust pakkuda.

Lisaks on võrguoperaatoritel kohustus kontrollida, et kasutajate poolt edastatav informatsioon ei rikuks seadusi.

Olulise infoinfrastruktuuri haldajate kohustused

Olulise infoinfrastruktuuri haldajad peavad lisaks võrguoperaatoritele kehtestatud turvameetmete rakendamisele võtma kasutusele ka järgmised meetmed:

  • Süsteemide ja andmebaaside regulaarne varundamine
  • Turvaintsidentidele reageerimise plaani koostamine
  • Aastane turvaaudit
  • Andmete lokaliseerimine

Andmete lokaliseerimine: protsess, kus andmeid hoitakse ja töödeldakse riigis, kus need genereeriti

2021. aasta septembris (Reiwa 3) jõustunud “Japanese Olulise Infoinfrastruktuuri Turvalisuse Kaitse Määrus” sätestab olulise infoinfrastruktuuri haldamise, tunnustamise ja haldajate kohustused veelgi konkreetsemalt, mistõttu on vajalik ka sellele viidata.

Haldus- ja reageerimissüsteemi loomine

Võrguoperaatoritelt nõutakse muuhulgas järgmist (paragrahv 21).

  • Turvalisuse haldussüsteemi ja operatsiooniprotseduuride väljatöötamine
  • Võrgu turvaeest vastutava isiku määramine
  • Reageerimiskava koostamine turvaintsidentidele ja tehniliste meetmete rakendamine
  • Võrgu jälgimistehnoloogia kasutuselevõtt ja logide säilitamine (vähemalt 6 kuud)
  • Andmete klassifitseerimine, oluliste andmete varundamine ja krüpteerimine ning muud kaitsemeetmed

Kui rikutakse küberturvalisuse seadust

Tähelepanu hoiatus

Kui rikutakse turvameetmete nõudeid, mis on kehtestatud vastavalt turvaklassi kaitse süsteemile, antakse välja parandamiskäsk ja hoiatus. Kui käsku eiratakse või kui ohustatakse võrgu turvalisust, tuleb maksta trahvi summas vähemalt 10 000 jüaani (umbes 1 300 eurot) kuni 100 000 jüaani (umbes 13 000 eurot). Lisaks sellele määratakse otseselt vastutavale isikule trahv summas 5 000 jüaani (umbes 650 eurot) kuni 50 000 jüaani (umbes 6 500 eurot).

Samuti antakse välja parandamiskäsk ja hoiatus juhul, kui paigaldatakse pahatahtlikke programme või kui ei võeta meetmeid toodete või teenuste puuduste või turvaaukudega seotud riskide vastu. Kui käsku eiratakse, nõutakse trahvi maksmist.

Trahvisummad varieeruvad sõltuvalt rikkumise olemusest ja võib juhtuda, et määratakse veebilehe sulgemine, äritegevuse loa tühistamine või ettevõtte tegevuse peatamine, mistõttu on oluline olla ettevaatlik. On olnud juhtumeid, kus rikkumise tõttu on määratud rahatrahvid ja vastutavatel isikutel on keelatud elu lõpuni samas valdkonnas tegutseda, seega on küberturvalisuse meetmete rakendamine hädavajalik.

Jaapani ettevõtetele vajalikud küberjulgeoleku seaduse vastased meetmed

Juhendav mees

Hiina küberjulgeoleku seadus on keeruline ning mõned võivad olla segaduses, kust alustada. Selles artiklis selgitame, milliseid samme peaksid Jaapani ettevõtted astuma.

Koostöö korraldamine infotehnoloogia osakonna ja digitaalse transformatsiooni (DX) seotud osakondadega

Hiina küberjulgeoleku seadusega kohanemiseks on vajalik rakendada operatsiooniprotsesside loomist ja isikuandmete halduseeskirjade väljatöötamist ning täiendamist. Samuti on hädavajalik tehnoloogiliste meetmete rakendamine oma süsteemidele, et vastata kaitseklassi süsteemile.

See ei ole ülesanne ainult õigus- või haldusosakondadele, vaid on vaja luua koostööstruktuur infotehnoloogia osakonna ja DX seotud osakondadega.

Oma süsteemide vastavuse määramine erinevatele kaitseklassidele

Esmalt tuleb hinnata oma süsteemide kaitseklasse. Vastavalt sellele klassile peavad kõik osakonnad rakendama küberjulgeoleku nõuetele vastavaid meetmeid. Õigus-, haldus- ja riskijuhtimisosakonnad peavad läbi vaatama ja vajadusel muutma seadustele vastavaid eeskirju ja protseduure, samas kui infotehnoloogia ja DX seotud osakonnad peavad tegelema tehniliste aspektidega. Allpool selgitame iga osakonna vastavaid meetmeid.

Õigus-, haldus- ja riskijuhtimisosakonnad

Võrrelge kaitseklassides sätestatud nõudeid oma ettevõtte haldusseisundi ja infoturbe struktuuriga, vaadake üle olemasolevad eeskirjad ja operatsioonisüsteemid. Seejärel kaaluge, kuidas vastata nõuetele, ning vajadusel töötage välja või muutke süsteeme.

Kui kaitseklass on teine või kõrgem, tuleb teavitada ka asutusi. Kui ettevõtet peetakse oluliseks infoinfrastruktuuri operaatoriks, nõutakse kolmanda või kõrgema klassi kaitse sertifikaati. Lisaks tuleb tegeleda andmete lokaliseerimise regulatsioonidega, korraldada töötajatele regulaarseid infoturbe koolitusi ja tehnilisi treeninguid jne. Kui on tõenäoline, et ettevõte kuulub olulise infoinfrastruktuuri operaatorite hulka, on mõistlik koostöös nõuandva advokaadiga määratleda vastavusstrateegia.

Hiinas on viimasel ajal jõustunud mitmeid turvaregulatsioone. Seetõttu peab riskijuhtimisosakond kohandama oma riskijuhtimisstrateegiaid vastavalt uutele määrustele.

Infotehnoloogia ja DX seotud osakonnad

Infotehnoloogia ja DX seotud osakonnad peavad rakendama kaitseklasse vastavaid turvameetmeid. Alustuseks tuleb hinnata olemasolevate süsteemide turvameetmeid ja kui need on puudulikud, integreerida süsteemid vastavalt küberjulgeoleku seadusele.

Lisaks küberjulgeoleku seadusele tuleb arvestada ka andmete lokaliseerimise regulatsioonide, piiriüleste piirangute ja valitsuse juurdepääsuga. On vaja mõista, milliseid andmeid edastatakse väljapoole Hiinat, ning üle vaadata oma andmete kogumise ja säilitamise praktikad.

Küberjulgeoleku seadus nõuab, et lisaks eeskirjade muutmisele tuleb rakendada ka tehnilisi kaitsemeetmeid, mistõttu on osakondadevaheline koostöö hädavajalik.

Kokkuvõte: Kui Teie ettevõttel on probleeme, konsulteerige spetsialistiga

Mees ja naine

Hiina küberjulgeoleku seadus on süsteem, mis on loodud Hiina rahvusliku julgeoleku kaitsmiseks. Küberjulgeoleku seaduse nõuetega kohanemiseks on vajalik mitte ainult õigus- ja haldusosakondade poolt kehtestatud eeskirjade muutmine, vaid ka tehniliste kaitsemeetmete rakendamine.

Pärast küberjulgeoleku seaduse jõustumist on järjest kehtestatud andmete vastavusse viimise seadusi, nagu “Interneti toodete turvalisuse haavatavuse halduse määrused” ja “Küberjulgeoleku läbivaatamise menetlus (riikliku julgeoleku läbivaatamise süsteemi konkretiseeriv süsteem)”. Rikkumise korral võib ettevõte saada trahvi, veebilehe sulgemise või äritegevuse loa tühistamise näol halduskaristusi, seega on vajalik olla ettevaatlik. Kui tegelete äriga Hiinas või plaanite seda tulevikus teha, soovitame konsulteerida Hiina seadustega hästi kursis oleva advokaadiga.

Meie büroo poolt pakutavad meetmed

Monolith õigusbüroo on IT- ja internetiäris tugev õigusnõustamise ettevõte. Oleme tegelenud juhtumitega üle kogu maailma, sealhulgas Hiinas, Ameerika Ühendriikides ja Euroopa Liidu riikides. Äritegevuse laiendamisel välismaale kaasnevad paljud õiguslikud riskid, mistõttu on hädavajalik saada tuge kogenud advokaatidelt. Meie büroo on kursis kohalike seaduste ja määrustega ning teeb koostööd õigusbüroodega üle kogu maailma.

Monolith õigusbüroo tegevusvaldkonnad: Rahvusvaheline õigus ja välisäri[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Return to Top