Hiina andmeturbe seadus – mis see on? Selgitame, milliseid meetmeid peaksid Jaapani ettevõtted võtma
Hiina andmeturbe seadus (中国データセキュリティ法) on Hiina andmevaldkonna seadus, mis jõustus 2021. aasta septembris (2021年9月). Kuna see kehtib kõigi Hiina territooriumil teostatavate andmetöötluste kohta, peavad Hiinas tegutsevad ettevõtted või ettevõtted, kes plaanivad sinna laieneda, üle vaatama ja vajadusel muutma oma olemasolevaid eeskirju ja halduspoliitikaid. Siiski võib olla neid, kes ei mõista, milline see seadus täpselt on, või kes on segaduses, milliseid meetmeid tuleks rakendada.
Selleks anname käesolevas artiklis ülevaate Hiina andmeturbe seaduse põhijoontest ja mõistmiseks olulistest punktidest, karistustest ning Jaapanis rakendatavatest meetmetest.
Mis on Hiina andmeturbe seadus?
Hiina andmeturbe seadus (Hiina Rahvavabariigi andmeturbe seadus) on Hiinas andmeturvalisusega seotud seadus, mis jõustus 2021. aasta septembris (Reiwa 3). See loodi sarnaselt 2017. aasta juunis jõustunud Hiina küberjulgeoleku seadusega riigi turvalisuse kaitsmiseks.
Hiina küberjulgeoleku seadus: seadus, mis kaitseb Hiina “võrgu” turvalisust
Hiina andmeturbe seaduse eesmärgid on järgmised (artikkel 1):
- Andmetöötlustegevuse reguleerimine
- Andmeturvalisuse tagamine
- Andmete arendamise ja kasutamise edendamine
- Isikute ja organisatsioonide õiguste ja huvide kaitse
- Riigi suveräänsuse, turvalisuse ja arenguhuvide kaitsmine
Kuigi Hiina küberjulgeoleku seadus reguleeris elektroonilisi andmeid, hõlmab Hiina andmeturbe seadus reguleerimisalasse nii elektroonilisi kui ka mitteelektroonilisi andmeid, nagu paberil olevad andmed (artikkel 3). Hiina andmeturbe seadus sätestab andmete klassifitseerimise, turvasertifitseerimissüsteemide väljatöötamise ja andmeturvalisuse kohustused.
Hiina andmeturbe seaduse mõistmise võtmetähtsusega punktid
Hiina andmeturbe seadus sisaldab mitmeid sätteid, millest paljudel võib olla keeruline täielikult aru saada. Selles jaotises selgitame üksikasjalikult viit põhipunkti, mis aitavad mõista andmeturbe seaduse sisu.
- Reguleerimisala
- Andmete klassifitseerimise ja tasemestamise normide kehtestamine
- Andmete turvalisuse haldamine
- Andmete ülekandmise reguleerimine
- Riikliku julgeoleku läbivaatamine
Reguleeritavad andmed
Seadusega reguleeritavad andmed hõlmavad kõiki “andmetöötluse” toiminguid, mis toimuvad Hiina territooriumil. Kui andmetöötlustegevus toimub väljaspool Hiinat, rakendub regulatsioon juhul, kui see kahjustab Hiina riiklikku julgeolekut, avalikku huvi või kodanike ja organisatsioonide huve.
“Andmed” tähendavad teabe salvestamist elektroonilisel või muul viisil, mis hõlmab ka paberil olevat teavet, millele tuleb tähelepanu pöörata. “Andmetöötlus” hõlmab andmete kogumist, salvestamist, kasutamist, töötlemist, edastamist, pakkumist ja avalikustamist ning selliseid toiminguid teostav isik on “andmetöötleja”.
Andmete klassifitseerimise ja astmestamise normide kehtestamine
Andmetöötlejad peavad tagama andmeturvalisuse, mis põhineb astmestatud kaitse süsteemil. Astmestatud kaitse süsteem on avalik hindamissüsteem võrguturvalisuse haldusstruktuurile, kus erinevad astmed nõuavad erinevaid meetmeid. Samuti on vaja andmeid klassifitseerida sõltuvalt sellest, kui suurt kahju võib nende hävitamine või lekkimine põhjustada riiklikule julgeolekule, avalikule huvile või isikutele ja organisatsioonidele.
Klassifitseerimine jaguneb kolmeks: “üldandmed”, “olulised andmed” ja “tuumandmed”. “Võrguandmete turvalisuse halduse määruse (arvamuste kogumise eelnõu)” kohaselt määratletakse olulised andmed kui andmed, mille võltsimine, hävitamine, lekkimine, ebaseaduslik hankimine või ebaseaduslik kasutamine võib ohustada riiklikku julgeolekut või avalikku huvi. Tuumandmed on andmed, mis on seotud riikliku julgeoleku, rahvusliku majanduse elutähtsate süsteemide, oluliste kodanike elu ja peamiste avalike huvidega (artikkel 21).
Kirjutamise hetkel ei ole oluliste ega tuumandmete konkreetset loetelu veel avaldatud, seega on soovitatav klassifitseerida käideldavad andmed “Võrguandmete turvalisuse halduse määruse (arvamuste kogumise eelnõu)” toodud oluliste andmete näidete põhjal. Samuti on oluline jälgida vastutava osakonna avaldatavat loetelu.
Andmete turvalisuse haldusest
Andmetöötlejatelt nõutakse muuhulgas järgmisi toiminguid:
- Andmeturvalisuse koolituste ja treeningute läbiviimine
- Andmeturvalisuse kohustuste täitmine vastavalt klassifikatsioonikaitse süsteemile
- Riskide jälgimise pidev rakendamine
- Turvalisuse haldussüsteemi loomine kogu andmete elutsükli ulatuses
- Vastutava isiku määramine
- Tehnilised meetmed
Põhimõtteliselt on need nõuded sarnased “Infoturbe haldussüsteemi (ISMS)” nõuetega, kuid on oluline pöörata tähelepanu andmete klassifikatsioonile vastavate haldusmeetmete rakendamisele.
Juhul kui intsidendid peaksid aset leidma, tuleb viivitamatult rakendada meetmeid ning teavitada kasutajaid ja asutusi. Lisaks, kui töödeldakse olulisi andmeid, on vajalik regulaarselt läbi viia riskihindamisi ning esitada riskihindamise aruanded vastavatele järelevalveasutustele.
Andmete ülekandmise regulatsioonidest
Andmete ülekandmist reguleeritakse oluliste andmete puhul. Kui olulise informatsiooni infrastruktuuri haldaja soovib üle kanda Hiinas äritegevuse käigus kogutud või loodud olulisi andmeid üle piiri, siis kohaldatakse Jaapani küberturvalisuse seaduse sätteid.
Olulise informatsiooni infrastruktuur: Sellised rajatised, mille kahjustumine või andmeleke võib ohustada riigi julgeolekut (näiteks energia, transport, finants, avalikud teenused jne) ja mille tõttu võib riiklik julgeolek, kodanike elu või avalik huvi saada oluliselt kahjustada.
Kui andmetöötleja ei kuulu olulise informatsiooni infrastruktuuri haldajate hulka, peab ta järgima Jaapani andmete riigist väljaviimise turvalisuse hindamise protseduuri, läbima ametiasutuse turvalisuse hindamise ja saama heakskiidu enne andmete ülekandmist.
Jaapani võrguandmete turvalisuse halduse määruse (arvamuste kogumise mustand) kohaselt peavad isegi olulistest andmetest erinevate andmete riigist väljaviimisel järgima ametiasutuse turvalisuse hindamist ja saama heakskiidu järgmistel juhtudel:
- Kui piiriüleselt üle kantavates andmetes sisaldub olulisi andmeid
- Kui olulise informatsiooni infrastruktuuri haldaja või üle miljoni isiku andmeid töötlev andmetöötleja soovib edastada isikuandmeid välisriiki
Lisaks on andmete riigist väljaviijal järgmised kohustused:
- Mitte edastada isikuandmeid välisriiki üle võrguinformatsiooni osakonnale esitatud isikuandmete kaitse mõjuhinnangu aruandes märgitud eesmärkide, ulatuse, meetodite, andmete liikide ja suuruse piiridest
- Mitte edastada isikuandmeid ja olulisi andmeid välisriiki üle võrguinformatsiooni osakonna turvalisuse hindamisel määratud eesmärkide, ulatuse, andmete liikide ja suuruse piiridest
- Vastu võtta ja menetleda kasutajate kaebusi andmete ekspordi kohta
- Säilitada seotud logisid ja andmete ekspordi heakskiidu kirjeid vähemalt kolm aastat
- Kui andmete eksport kahjustab isikute, organisatsioonide või avaliku huvi õigustatud õigusi ja huve, peab andmetöötleja vastutama seaduse alusel
Kui andmeid viiakse riigist välja, on kohustus koostada andmete ekspordi turvalisuse aruanne ja esitada see kohalikule võrguinformatsiooni osakonnale.
Riikliku julgeoleku läbivaatuse kohta
Kui Hiina valitsus otsustab, et andmetöötlustegevus kahjustab Hiina riiklikku julgeolekut, on oluline olla teadlik, et viiakse läbi riikliku julgeoleku läbivaatus. Riikliku julgeoleku läbivaatuse tulemused on lõplikud, mistõttu ei ole võimalik esitada halduskaebusi ega algatada kohtumenetlust otsuse vaidlustamiseks.
Andmekaitse seaduse sanktsioonid
Andmekaitse seaduse rikkumisel võidakse ettevõttele määrata paranduskäsk ja hoiatus, trahvid, äritegevuse peatamine paranduste tegemiseks, seotud tegevusalade peatamine või äritegevuse litsentsi tühistamine.
Näiteks, kui ei täideta Hiina andmekaitse seaduse (Japanese Data Security Law) artiklite 27, 29 ja 30 kohaseid kohustusi, võidakse lisaks paranduskäskudele ja hoiatustele määrata otsestele vastutajatele ja teistele vastutavatele isikutele trahve summas 50 000 kuni 500 000 jüaani.
On oluline märkida, et andmekaitse seaduse rikkumisel ei puuduta sanktsioonid ainult juriidilist isikut, vaid ka otseseid vastutajaid ja teisi vastutust kandvaid töötajaid. Rikkumisest tulenevad sanktsioonid võivad avaldada suurt mõju kogu organisatsioonile, seega on vajalik rakendada meetmeid seadusest kinnipidamiseks.
Jaapani ettevõtetele vajalikud andmeturbe seaduse vastased meetmed
Andmeturbe seadus kehtib kõikide Hiina territooriumil töödeldavate andmete suhtes, mistõttu on paljud Jaapani ettevõtted, kes peavad sellega kohanema. Selles artiklis selgitame üksikasjalikult, milliseid meetmeid Jaapani ettevõtted peaksid andmeturbe seaduse osas rakendama.
Andmete haldamine
Alustuseks tuleb üle vaadata andmete haldamine. On oluline selgelt määratleda, milliseid andmeid ettevõttes kuidas loodud, kogutud ja kustutatud on ning mõista praegust andmete käsitlemise olukorda. Andmete klassifitseerimiseks ja vajalike meetmete rakendamiseks on oluline teha andmete kaardistamine, et eelnevalt kontrollida andmete liigitust, ülekandmist väljapoole Hiinat ja praeguseid andmehaldusmeetmeid.
Hiina andmeturbe seaduse kohaselt nõutakse oluliste ja tuumandmete jaoks erinevaid kaitsemeetmeid. Seetõttu võib olla vajalik ka teabe konfidentsiaalsusklassifikatsioonide ümbermääratlemine vastavalt klassifikatsioonile.
Kuid praegu on klassifikatsioonipõhiste turvatase osas teatud ebaselgus. Kuna tulevikus võib oodata täpsustusi, on hädavajalik jälgida Hiina reguleerivate asutuste avaldatud nimekirju. Samal ajal on turvalisem seada turvatase, arvestades klassifikatsiooni, ning rakendada juurdepääsu kontrolli, autentimist, kommunikatsiooniturvalisust ja füüsilisi turvameetmeid.
Lisaks tuleb üle vaadata turvapoliitika ja rakendada andmete kaardistamise abil liigitatud andmekategooriatele vastavat poliitikat.
Riskihindamise läbiviimine ja aruandlus
Kui andmete kaardistamise tulemusena leitakse, et ettevõtte poolt käsitletavad andmed sisaldavad olulisi andmeid, tuleb läbi viia andmetöötluse riskihindamine. Samuti tuleb selle tulemused ametiasutustele teatada.
Kuna riskihindamist tuleb teha regulaarselt, on oluline luua reeglid, mis võimaldavad seda pidevalt teostada.
Töötajate koolitus
Hiinas kehtestatakse järjest uusi turvaga seotud eeskirju. Lisaks ei piirdu andmete haldamine ja riskihindamine ühekordse tegevusega. Seetõttu on vajalik regulaarselt ülevaadata ja parandada protsesse, et need ettevõttes juurduksid, ning korraldada töötajatele koolitusi.
Kuna kaasatud on mitte ainult õigus- ja haldusosakonnad, vaid ka riskijuhtimise osakonnad, on oluline osakondadevaheline koostöö. Kuigi seadus on praegu veel mõnes osas ebaselge, on olnud juhtumeid, kus rikkumiste eest on määratud karistusi, mistõttu on andmeturbe seadusega kohanemine hädavajalik.
Hiina küberturvalisuse kolme seaduse eripärad
Hiina küberturvalisuse kolm seadust viitavad Hiinas jõustunud “Küberturvalisuse seadusele”, “Andmete turvalisuse seadusele” ja “Isikuandmete kaitse seadusele”. Küberturvalisuse seadus keskendub küberohtude vastu võitlemisele, andmete turvalisuse seadus andmete säilitamisele ja isikuandmete kaitse seadus isikuandmete turvalisuse tugevdamisele.
Seotud artikkel: Mis on Hiina küberturvalisuse seadus? Järgimise olulised punktid selgitatud[ja]
Nii on igaühel neist oma erinevused, kuid ühiseks tunnusjooneks on see, et kõik need seadused sätestavad halduskaristused, tsiviilvastutuse ja kriminaalvastutuse rikkumiste eest. Lisaks kehtivad rikkumised mitte ainult juriidilistele isikutele, vaid ka nende otsesele vastutajale, kellel võib olla keelatud samas valdkonnas tegutseda või kelle nimi võib ilmuda riiklikku rikkujate nimekirja.
Kokkuvõte: Hiina andmeseadusandlusele tuleb tähelepanu pöörata ja kiiresti reageerida
Hiina andmeturbe seadus on õigusakt, mis kohaldub Hiina andmetöötlusele ja sätestab andmete klassifitseerimise, tasemestamise kaitse, riskihindamise ja muud aspektid. Lisaks on avaldatud mitmeid seadusi, sealhulgas küberjulgeoleku seadus, isikuandmete kaitse seadus ja internetitoodete turvanõrkuste halduse määrused, millele vastavus on hädavajalik.
Kuigi praegu on turvatase kategooriate kaupa veel täpsustamata ja on olemas teatud ebaselgused, on trahve juba määratud rikkumiste eest, mis näitab, et seadusest kinnipidamine on hädavajalik. On oluline jälgida Hiina seadusandlust ja rakendada võimalikke meetmeid.
Kui teie ettevõte tegutseb Hiinas või plaanib seda teha, soovitame konsulteerida Hiina õigusele spetsialiseerunud advokaadiga.
Meie büroo poolt pakutavad meetmed
Monolith õigusbüroo on IT ja eriti interneti ning õiguse valdkonnas rikkaliku kogemusega õigusbüroo. Viimastel aastatel on globaalne äri jätkuvalt laienenud ja professionaalse õigusliku kontrolli vajadus on üha suurenenud. Meie büroo pakub lahendusi rahvusvahelise õiguse küsimustes, sealhulgas Hiina, Ameerika Ühendriikide ja Euroopa Liidu liikmesriikide õigusaktidega seotud teenuseid.
Monolith õigusbüroo tegevusvaldkonnad: Rahvusvaheline õigus ja välisäri[ja]