Hiina küberjulgeolekuseadus – mis see on? Selgitame järgimise põhipunkte
Teikoku Databanki eriraport “Eriprojekt: Jaapani ettevõtete “Hiina turule sisenemise” suundumused (2022)[ja]” kohaselt on Hiinas tegutsevaid Jaapani ettevõtteid kokku 12,706. Hiinaga seotud äri tegevaid ettevõtteid võib olla veelgi rohkem. Hiinas jõustus 2017. aastal “Hiina küberjulgeoleku seadus”.
Selle tulemusena peavad Hiinas äri ajavad ettevõtted oma tegevust kohandama vastavalt seadusele, muutes oma poliitikaid ja rakendades tehnilisi kaitsemeetmeid. Siiski võib olla neid, kes ei tea, milline see seadus täpselt on või kuidas sellega kohaneda.
Seetõttu selgitame selles artiklis “Hiina küberjulgeoleku seaduse” üldjooni, reguleerimisala ja vajalikke meetmeid. Kui te juba tegutsete Hiinas või kaalute sinna laienemist, siis kasutage seda teavet kindlasti ära.
Hiina küberturvalisuse seaduse ülevaade
Hiina küberturvalisuse seadus (网络安全法) on Hiina seadus, mis jõustus 2017. aasta juunis. Seaduse eesmärk on esimeses artiklis kirjeldatud järgmiselt:
- Võrgu turvalisuse tagamine
- Küberruumi suveräänsuse, riigi turvalisuse ja avaliku huvi kaitsmine
- Kodanike, juriidiliste isikute ja teiste organisatsioonide õigustatud õiguste ja huvide kaitse
- Majandusliku ja sotsiaalse informatiseerimise arengu edendamine
Võrgustik on määratletud kui “arvutite, muude infoterminalide ja nendega seotud seadmete poolt moodustatud süsteem, mis kogub, salvestab, edastab, vahetab ja töötleb infot kindlate reeglite ja programmide järgi (artikkel 76)”, mis hõlmab nii internetti kui ka intranetti.
Hiina küberturvalisuse seadus erineb EL-i üldisest andmekaitsemäärusest (GDPR) ja Jaapani isikuandmete kaitse seadusest, kuna see ei keskendu ainult “isikute ja organisatsioonide teabe kaitsele”, vaid ka “Hiina riikliku turvalisuse ja avaliku huvi kaitsmisele”. Seadus sätestab sihtrühma ettevõtjatele küberturvalisuse taseme kaitse rakendamise, vastavuse järgimise ja õiguste ja kohustuste selge määratlemise.
Küberturvalisusega seotud seaduste hulka kuulub ka Hiina andmeturvalisuse seadus.
Seotud artikkel: Mis on Hiina andmeturvalisuse seadus? Jaapani ettevõtetele vajalikud meetmed selgitatud[ja]
Hiina küberjulgeoleku seaduse reguleerimisala
Jaapani ettevõtted võivad sattuda Hiina küberjulgeoleku seaduse reguleerimisalasse järgmistel juhtudel:
- Tegelevad info käitlemisega Hiinas
- Kannavad infot üle Hiinast Jaapanisse
Isegi kui ettevõtte asukoht on Jaapanis, kuuluvad nad seaduse alla, kui nad vastavad eeltoodud tingimustele. Reguleerimisalasse kuuluvate isikute hulka loetakse “võrguoperaatorid” ja “olulise infoinfrastruktuuri haldajad”.
Võrguoperaator tähendab võrgu omanikku või haldajat, samuti võrguteenuse pakkujat.
Olulise infoinfrastruktuuri haldaja on isik, kes opereerib seadmeid valdkondades, nagu energia, transport, finants ja avalikud teenused, mille kahjustumine või andmeleke võib oluliselt ohustada riigi julgeolekut, rahva elu või avalikku huvi.
Hiina küberturvalisuse seaduse sisu
Hiina küberturvalisuse seadus sätestab järgmised kohustused:
- Küberturvalisuse tasemete kehtestamine
- Riiklike kohustuslike standardite järgimine
- Nõue kasutada tegelike nimede registreerimist
- Kohustused olulise infoinfrastruktuuri haldajatele
- Halda- ja reageerimissüsteemide loomine
Allpool selgitame iga punkti üksikasjalikumalt.
Küberjulgeoleku tasemete kehtestamine
Hiina küberjulgeolekuseaduse (Chinese Cybersecurity Law) artikli 21 kohaselt on sätestatud võrguoperaatoritele järgitav “tasemekaitse süsteem”, mis nõuab, et Hiinas võrke omavad ettevõtted ja organisatsioonid peavad hankima tasemekaitse sertifikaadi.
Tasemekaitse süsteem on avalik hindamissüsteem võrguturvalisuse haldusstruktuurile. Selle süsteemi alla kuuluvad järgmised valdkonnad:
- Võrguinfrastruktuur
- IoT (Internet of Things)
- Tööstuslikud juhtimissüsteemid
- Suuremahulised internetisaidid ja andmekeskused
- Avalike teenuste platvormid
Tasemekaitse süsteemis klassifitseeritakse infosüsteemid viieks tasemeks, lähtudes süsteemi kahjustumisel tekkiva mõju ulatusest ja kahju suurusest.
| Kahju ulatus subjektile | |||
| Tavaline kahju | Tõsine kahju | Erakordselt tõsine kahju | |
| Kodanikud ja juriidilised isikud | 1. tase | 2. tase | 3. tase |
| Sotsiaalne kord ja avalik huvi | 2. tase | 3. tase | 4. tase |
| Riigi julgeolek | 3. tase | 4. tase | 5. tase |
Lisaks on iga taseme definitsioon järgmine:
| Tase | Definitsioon |
| 1. tase | Võrk, mille rikkumisel on mõju seotud kodanike, juriidiliste isikute ja teiste organisatsioonide seaduslikele õigustele ja huvidele, kuid mis ei mõjuta riigi julgeolekut, sotsiaalset korda ega avalikku huvi |
| 2. tase | Võrk, mille rikkumisel tekib seotud kodanikele, juriidilistele isikutele ja teistele organisatsioonidele olulist kahju või kahjustatakse sotsiaalset korda ja avalikku huvi, kuid mis ei mõjuta riigi julgeolekut |
| 3. tase | Võrk, mille rikkumisel tekib seotud kodanikele, juriidilistele isikutele ja teistele organisatsioonidele väga olulist kahju või mis ohustab riigi julgeolekut |
| 4. tase | Eriti oluline võrk, mille rikkumisel tekib märkimisväärne kahju sotsiaalsele korrale ja avalikule huvile või mis toob kaasa väga olulist kahju riigi julgeolekule |
| 5. tase | Äärmiselt oluline võrk, mille rikkumisel tekib riigi julgeolekule väga olulist kahju |
Iga klassifikatsiooni jaoks on kehtestatud järgitavad infoturbe standardid. Võrguoperaatoritele on tavaliselt kohaldatav 2. tase või kõrgem, olulise infoinfrastruktuuri operaatoritele 3. tase või kõrgem.
Taseme saamiseks esitavad operaatorid ametiasutustele taseme iseseisva taotluse, kuid lõpuks on vajalik saada nõusolek avaliku julgeoleku osakonnalt. Lisaks nõuab tasemekaitse süsteem, et 2. taseme või kõrgema tasemega süsteemid peavad läbima hindamisasutuse hindamise. Tasemekaitse süsteemi rikkumisel võib rakenduda trahv, seega on vajalik olla ettevaatlik.
Riiklike kohustuslike standardite järgimine
Internetitoodete ja -teenuste pakkujad peavad tagama, et nende pakutavad teenused vastavad riiklikele kohustuslikele standarditele (artikkel 22). Pakkujad ei tohi installeerida pahatahtlikke programme.
Lisaks, kui avastatakse toote või teenuse defektid, haavatavused või muud riskid, tuleb viivitamatult võtta tarvitusele meetmed, teavitada kasutajaid ja raporteerida asjakohastele reguleerivatele asutustele.
Septembris 2021 (Reiwa 3) jõustus “Internetitoodete turvalisuse haavatavuste haldamise määrus”, mis on suunatud võrguoperaatoritele, seega tuleks viidata ka sellele määrusele ja vastavalt tegutseda.
Nõutakse tegeliku nime registreerimist
Kui pakute kasutajatele võrguühenduse teenuseid, fikseeritud või mobiiltelefonivõrgu ühendamise protseduure, infojagamise teenuseid või kiirsõnumiteenuseid, peate nõudma kasutajatelt nende tegelike nimede registreerimist. Kui kasutaja ei registreeri oma tegelikku nime, ei tohi te talle teenust pakkuda.
Lisaks on võrguoperaatoritel kohustus kontrollida, et kasutajate poolt edastatav informatsioon ei rikuks seadusi.
Olulise infoinfrastruktuuri haldajate kohustused
Olulise infoinfrastruktuuri haldajad peavad lisaks võrguoperaatoritele kehtestatud turvameetmete rakendamisele võtma kasutusele ka järgmised meetmed:
- Süsteemide ja andmebaaside regulaarne varundamine
- Turvaintsidentidele reageerimise plaani koostamine
- Aastane turvaaudit
- Andmete lokaliseerimine
Andmete lokaliseerimine: protsess, kus andmeid hoitakse ja töödeldakse riigis, kus need genereeriti
2021. aasta septembris (Reiwa 3) jõustunud “Japanese Olulise Infoinfrastruktuuri Turvalisuse Kaitse Määrus” sätestab olulise infoinfrastruktuuri haldamise, tunnustamise ja haldajate kohustused veelgi konkreetsemalt, mistõttu on vajalik ka sellele viidata.
Haldus- ja reageerimissüsteemi loomine
Võrguoperaatoritelt nõutakse muuhulgas järgmist (paragrahv 21).
- Turvalisuse haldussüsteemi ja operatsiooniprotseduuride väljatöötamine
- Võrgu turvaeest vastutava isiku määramine
- Reageerimiskava koostamine turvaintsidentidele ja tehniliste meetmete rakendamine
- Võrgu jälgimistehnoloogia kasutuselevõtt ja logide säilitamine (vähemalt 6 kuud)
- Andmete klassifitseerimine, oluliste andmete varundamine ja krüpteerimine ning muud kaitsemeetmed
Kui rikutakse küberturvalisuse seadust
Kui rikutakse turvameetmete nõudeid, mis on kehtestatud vastavalt turvaklassi kaitse süsteemile, antakse välja parandamiskäsk ja hoiatus. Kui käsku eiratakse või kui ohustatakse võrgu turvalisust, tuleb maksta trahvi summas vähemalt 10 000 jüaani (umbes 1 300 eurot) kuni 100 000 jüaani (umbes 13 000 eurot). Lisaks sellele määratakse otseselt vastutavale isikule trahv summas 5 000 jüaani (umbes 650 eurot) kuni 50 000 jüaani (umbes 6 500 eurot).
Samuti antakse välja parandamiskäsk ja hoiatus juhul, kui paigaldatakse pahatahtlikke programme või kui ei võeta meetmeid toodete või teenuste puuduste või turvaaukudega seotud riskide vastu. Kui käsku eiratakse, nõutakse trahvi maksmist.
Trahvisummad varieeruvad sõltuvalt rikkumise olemusest ja võib juhtuda, et määratakse veebilehe sulgemine, äritegevuse loa tühistamine või ettevõtte tegevuse peatamine, mistõttu on oluline olla ettevaatlik. On olnud juhtumeid, kus rikkumise tõttu on määratud rahatrahvid ja vastutavatel isikutel on keelatud elu lõpuni samas valdkonnas tegutseda, seega on küberturvalisuse meetmete rakendamine hädavajalik.
Jaapani ettevõtetele vajalikud küberjulgeoleku seaduse vastased meetmed
Hiina küberjulgeoleku seadus on keeruline ning mõned võivad olla segaduses, kust alustada. Selles artiklis selgitame, milliseid samme peaksid Jaapani ettevõtted astuma.
Koostöö korraldamine infotehnoloogia osakonna ja digitaalse transformatsiooni (DX) seotud osakondadega
Hiina küberjulgeoleku seadusega kohanemiseks on vajalik rakendada operatsiooniprotsesside loomist ja isikuandmete halduseeskirjade väljatöötamist ning täiendamist. Samuti on hädavajalik tehnoloogiliste meetmete rakendamine oma süsteemidele, et vastata kaitseklassi süsteemile.
See ei ole ülesanne ainult õigus- või haldusosakondadele, vaid on vaja luua koostööstruktuur infotehnoloogia osakonna ja DX seotud osakondadega.
Oma süsteemide vastavuse määramine erinevatele kaitseklassidele
Esmalt tuleb hinnata oma süsteemide kaitseklasse. Vastavalt sellele klassile peavad kõik osakonnad rakendama küberjulgeoleku nõuetele vastavaid meetmeid. Õigus-, haldus- ja riskijuhtimisosakonnad peavad läbi vaatama ja vajadusel muutma seadustele vastavaid eeskirju ja protseduure, samas kui infotehnoloogia ja DX seotud osakonnad peavad tegelema tehniliste aspektidega. Allpool selgitame iga osakonna vastavaid meetmeid.
Õigus-, haldus- ja riskijuhtimisosakonnad
Võrrelge kaitseklassides sätestatud nõudeid oma ettevõtte haldusseisundi ja infoturbe struktuuriga, vaadake üle olemasolevad eeskirjad ja operatsioonisüsteemid. Seejärel kaaluge, kuidas vastata nõuetele, ning vajadusel töötage välja või muutke süsteeme.
Kui kaitseklass on teine või kõrgem, tuleb teavitada ka asutusi. Kui ettevõtet peetakse oluliseks infoinfrastruktuuri operaatoriks, nõutakse kolmanda või kõrgema klassi kaitse sertifikaati. Lisaks tuleb tegeleda andmete lokaliseerimise regulatsioonidega, korraldada töötajatele regulaarseid infoturbe koolitusi ja tehnilisi treeninguid jne. Kui on tõenäoline, et ettevõte kuulub olulise infoinfrastruktuuri operaatorite hulka, on mõistlik koostöös nõuandva advokaadiga määratleda vastavusstrateegia.
Hiinas on viimasel ajal jõustunud mitmeid turvaregulatsioone. Seetõttu peab riskijuhtimisosakond kohandama oma riskijuhtimisstrateegiaid vastavalt uutele määrustele.
Infotehnoloogia ja DX seotud osakonnad
Infotehnoloogia ja DX seotud osakonnad peavad rakendama kaitseklasse vastavaid turvameetmeid. Alustuseks tuleb hinnata olemasolevate süsteemide turvameetmeid ja kui need on puudulikud, integreerida süsteemid vastavalt küberjulgeoleku seadusele.
Lisaks küberjulgeoleku seadusele tuleb arvestada ka andmete lokaliseerimise regulatsioonide, piiriüleste piirangute ja valitsuse juurdepääsuga. On vaja mõista, milliseid andmeid edastatakse väljapoole Hiinat, ning üle vaadata oma andmete kogumise ja säilitamise praktikad.
Küberjulgeoleku seadus nõuab, et lisaks eeskirjade muutmisele tuleb rakendada ka tehnilisi kaitsemeetmeid, mistõttu on osakondadevaheline koostöö hädavajalik.
Kokkuvõte: Kui Teie ettevõttel on probleeme, konsulteerige spetsialistiga
Hiina küberjulgeoleku seadus on süsteem, mis on loodud Hiina rahvusliku julgeoleku kaitsmiseks. Küberjulgeoleku seaduse nõuetega kohanemiseks on vajalik mitte ainult õigus- ja haldusosakondade poolt kehtestatud eeskirjade muutmine, vaid ka tehniliste kaitsemeetmete rakendamine.
Pärast küberjulgeoleku seaduse jõustumist on järjest kehtestatud andmete vastavusse viimise seadusi, nagu “Interneti toodete turvalisuse haavatavuse halduse määrused” ja “Küberjulgeoleku läbivaatamise menetlus (riikliku julgeoleku läbivaatamise süsteemi konkretiseeriv süsteem)”. Rikkumise korral võib ettevõte saada trahvi, veebilehe sulgemise või äritegevuse loa tühistamise näol halduskaristusi, seega on vajalik olla ettevaatlik. Kui tegelete äriga Hiinas või plaanite seda tulevikus teha, soovitame konsulteerida Hiina seadustega hästi kursis oleva advokaadiga.
Meie büroo poolt pakutavad meetmed
Monolith õigusbüroo on IT- ja internetiäris tugev õigusnõustamise ettevõte. Oleme tegelenud juhtumitega üle kogu maailma, sealhulgas Hiinas, Ameerika Ühendriikides ja Euroopa Liidu riikides. Äritegevuse laiendamisel välismaale kaasnevad paljud õiguslikud riskid, mistõttu on hädavajalik saada tuge kogenud advokaatidelt. Meie büroo on kursis kohalike seaduste ja määrustega ning teeb koostööd õigusbüroodega üle kogu maailma.
Monolith õigusbüroo tegevusvaldkonnad: Rahvusvaheline õigus ja välisäri[ja]
Related Articles
Mis on protseduurid veebipõhise visiitkaardi vahetamiseks? Selgitame ka eripärasid seoses Jaapan.
General Corporate
Kuidas kirjutada lahkumislepingut, mida ei lükata tagasi, ja selgitame lepingu sõlmimise olulisi.
General Corporate
Milline on karistusmaksete süsteem Jaapani 'Kingituste Kuvamise Seaduses'? Selgitame toime tulek.
General Corporate
Elektrooniliste allkirjade ja lepingute järsk suurenemine koroonakriisi ajal: nende efektiivsuse.
General Corporate
Kas 'No Claim, No Return' tähendab absoluutselt tagastamisvõimatust? Seadusliku jõu selgitus
General Corporate
Millised on seaduslikud probleemid, millele tuleks tähelepanu pöörata ICO valge raamatu koostami.
General Corporate
