Mitä on Kiinan kyberturvallisuuslaki? Selitämme tärkeät noudatettavat kohdat
Teikoku Databankin ‘Erityisraportti: Japanilaisten yritysten ‘Kiinan markkinoille tulo’ -trenditutkimus (2022)[ja]‘ mukaan Kiinassa toimii 12 706 japanilaista yritystä. Kiinaan liittyvää liiketoimintaa harjoittavia yrityksiä on todennäköisesti vielä enemmän. Kiinassa astui voimaan ‘Kiinan kyberturvallisuuslaki’ vuonna 2017.
Tämän seurauksena Kiinassa liiketoimintaa harjoittavien on täytynyt päivittää käytäntöjään ja ottaa käyttöön teknisiä suojatoimenpiteitä lain vaatimusten mukaisesti. On kuitenkin mahdollista, että jotkut eivät ole varmoja siitä, mitä laki pitää sisällään tai miten siihen tulisi reagoida.
Tässä artikkelissa käsittelemme ‘Kiinan kyberturvallisuuslain’ pääkohtia, sääntelyn kohteita ja tarvittavia toimenpiteitä. Jos harjoitatte liiketoimintaa Kiinassa tai harkitsette sinne laajentumista, suosittelemme tutustumaan tähän artikkeliin.
Kiinan kyberturvallisuuslain yleiskatsaus
Kiinan kyberturvallisuuslaki (网络安全法) on Kiinassa kesäkuussa 2017 (2017年6月) voimaan astunut laki. Lain tarkoitus on ensimmäisessä pykälässä kuvattu seuraavasti:
- Verkon turvallisuuden takaaminen
- Kyberavaruuden suvereniteetin, valtion turvallisuuden ja yleisen edun suojeleminen
- Kansalaisten, yritysten ja muiden yhteisöjen laillisten oikeuksien ja etujen suojaaminen
- Talouden ja yhteiskunnan informatisaation kehittämisen edistäminen
Verkolla tarkoitetaan “tietokoneiden, muiden informaatiopäätelaitteiden ja niihin liittyvien laitteistojen muodostamaa kokonaisuutta, joka kerää, tallentaa, siirtää, vaihtaa ja käsittelee tietoa tietyin säännöin ja ohjelmien mukaisesti (76. pykälä)”, ja se kattaa sekä internetin että intranetin.
Kiinan kyberturvallisuuslaki eroaa EU:n yleisestä tietosuoja-asetuksesta (GDPR) ja Japanin henkilötietojen suojalain (個人情報保護法) siinä, että se ei keskity pelkästään “yksilöiden ja organisaatioiden tiedon suojaamiseen”, vaan myös “Kiinan valtion turvallisuuden ja yleisen edun suojelemiseen”. Laki määrittelee kohdeyrityksille kyberturvallisuuden tason suojelun toteuttamisen, compliance-sääntöjen noudattamisen ja oikeuksien ja velvollisuuksien selkeyttämisen.
Kyberturvallisuuteen liittyviä lakeja ovat myös Kiinan dataturvallisuuslaki.
Aiheeseen liittyvä artikkeli: Mikä on Kiinan dataturvallisuuslaki? Selitämme toimenpiteet, joita japanilaisyritysten tulisi toteuttaa[ja]
Kiinan kyberturvallisuuslain sääntelyn kohteet
Japanilaiset yritykset voivat joutua Kiinan kyberturvallisuuslain piiriin seuraavissa tapauksissa:
- He käsittelevät tietoja Kiinan sisällä
- He siirtävät tietoja Kiinasta Japaniin
Yrityksen pääkonttorin sijainti Japanissa ei vaikuta; jos edellä mainitut tilanteet pätevät, yritys kuuluu lain soveltamisalaan. Sääntelyn kohteisiin kuuluvat muun muassa “verkon operaattorit” ja “keskeisen tietoinfrastruktuurin operaattorit”.
Verkon operaattorilla tarkoitetaan verkon omistajaa tai hallinnoijaa sekä verkkopalveluiden tarjoajaa.
Keskeisen tietoinfrastruktuurin operaattorilla tarkoitetaan toimijoita, jotka hallinnoivat laitoksia aloilla, kuten energia, liikenne, rahoitus ja julkiset palvelut, joissa vahingon sattuessa voi olla uhka kansalliselle turvallisuudelle. Tällaiset laitokset voivat merkittävästi vaarantaa kansallisen turvallisuuden, kansalaisten elämänlaadun tai yleisen edun, jos ne vaurioituvat tai niistä vuotaa tietoja.
Kiinan kyberturvallisuuslain sisältö
Kiinan kyberturvallisuuslaki määrittelee muun muassa seuraavat velvoitteet:
- Kyberturvallisuuden luokitusjärjestelmän perustaminen
- Valtion pakollisten standardien noudattaminen
- Todellisen nimen rekisteröinti vaaditaan
- Velvoitteet kriittisen tietoinfrastruktuurin operaattoreille
- Valvonnan ja vastauksen hallintajärjestelmän kehittäminen
Tässä osiossa käymme läpi kunkin näistä yksityiskohtaisemmin.
Kyberturvallisuuden luokitusjärjestelmän käyttöönotto
Kiinan kyberturvallisuuslain (Chinese Cybersecurity Law) 21. pykälässä määrätään, että verkko-operaattoreiden on noudatettava “luokitusjärjestelmää”, ja Kiinassa verkkoja omistavien yritysten ja organisaatioiden on hankittava luokitusjärjestelmän sertifikaatti.
Luokitusjärjestelmä on julkinen arviointijärjestelmä verkkoturvallisuuden hallintarakenteelle. Järjestelmän soveltamisalaan kuuluvat seuraavat:
- Verkkoinfrastruktuuri
- IoT
- Teollisuuden ohjausjärjestelmät
- Laajamittaiset internet-sivustot ja datakeskukset
- Julkinen palvelualusta
Luokitusjärjestelmässä tietojärjestelmät luokitellaan niiden aiheuttaman vahingon laajuuden ja suuruuden perusteella seuraaviin viiteen luokkaan:
| Kohteen kärsimän vahingon aste | |||
| Yleinen vahinko | Vakava vahinko | Erityisen vakava vahinko | |
| Kansalaiset ja yritykset jne. | 1. luokka | 2. luokka | 3. luokka |
| Sosiaalinen järjestys ja yleinen etu | 2. luokka | 3. luokka | 4. luokka |
| Kansallinen turvallisuus | 3. luokka | 4. luokka | 5. luokka |
Lisäksi kunkin luokan määritelmät ovat seuraavat:
| Luokka | Määritelmä |
| 1. luokka | Verkko, jonka tuhoutuminen vaikuttaa kansalaisten, yritysten ja muiden organisaatioiden laillisiin oikeuksiin ja etuihin, mutta ei kansalliseen turvallisuuteen, sosiaaliseen järjestykseen tai yleiseen etuun. |
| 2. luokka | Verkko, jonka tuhoutuminen aiheuttaa merkittävää vahinkoa kansalaisten, yritysten ja muiden organisaatioiden laillisiin oikeuksiin ja etuihin tai vaarantaa sosiaalista järjestystä ja yleistä etua, mutta ei vaikuta kansalliseen turvallisuuteen. |
| 3. luokka | Verkko, jonka tuhoutuminen aiheuttaa erittäin merkittävää vahinkoa kansalaisten, yritysten ja muiden organisaatioiden laillisiin oikeuksiin ja etuihin tai vaarantaa kansallista turvallisuutta. |
| 4. luokka | Verkko, jonka tuhoutuminen aiheuttaa huomattavaa vahinkoa sosiaaliselle järjestykselle ja yleiselle edulle tai erittäin merkittävää vahinkoa kansalliseen turvallisuuteen. |
| 5. luokka | Verkko, jonka tuhoutuminen aiheuttaa äärimmäisen merkittävää vahinkoa kansalliseen turvallisuuteen. |
Kukin luokka määrittelee noudatettavat tietoturvanormit. Verkko-operaattoreille yleensä sovelletaan 2. luokkaa tai korkeampaa, kun taas kriittisen infrastruktuurin operaattoreille sovelletaan yleensä 3. luokkaa tai korkeampaa.
Luokituksen saamiseksi operaattorit jättävät luokituksen itsearviointihakemuksen viranomaisille, mutta lopulta tarvitaan julkisen turvallisuuden osaston hyväksyntä. Lisäksi luokitusjärjestelmässä 2. luokkaa tai korkeampaa on arvioitava arviointilaitoksen toimesta. Luokitusjärjestelmän rikkomisesta voi seurata sakkoja, joten varovaisuus on tarpeen.
Pakollisten kansallisten standardien noudattaminen
Internet-tuotteiden ja -palveluiden tarjoajien on noudatettava maan pakollisia standardeja (22. pykälä). Tarjoajien ei tule asentaa haittaohjelmia.
Lisäksi, jos tuotteissa tai palveluissa havaitaan puutteita, haavoittuvuuksia tai muita riskejä, on niiden välittömästi ryhdyttävä toimenpiteisiin, ilmoitettava käyttäjille ja raportoitava asia asianomaisille viranomaisille.
Syyskuussa 2021 (Reiwa 3) otettiin käyttöön “Internet-tuotteiden tietoturva-aukkojen hallintaa koskevat määräykset (网络产品安全漏洞管理规定)”, jotka kohdistuvat verkon operaattoreihin, joten on suositeltavaa ottaa myös nämä määräykset huomioon ja toimia niiden mukaisesti.
Aitojen nimien rekisteröinti vaaditaan
Kun tarjoamme käyttäjille verkkoyhteyspalveluita, kiinteän puhelimen ja matkapuhelimen verkkoyhteysmenettelyjä, tiedonjakopalveluita sekä pikaviestipalveluita, on käyttäjien suoritettava aitojen nimien rekisteröinti. Jos käyttäjä ei rekisteröi aitoa nimeään, ei palvelun tarjoaminen ole sallittua.
Lisäksi verkon ylläpitäjillä on velvollisuus tarkastella, ettei käyttäjien lähettämä tieto riko lakia.
Välttämättömät toimenpiteet tärkeän tietoinfrastruktuurin ylläpitäjille
Tärkeän tietoinfrastruktuurin ylläpitäjien on toteutettava verkon ylläpitäjille asetettujen turvatoimien lisäksi myös seuraavanlaisia toimenpiteitä:
- Järjestelmien ja tietokantojen säännöllinen varmuuskopiointi
- Turvallisuuspoikkeamien hallintasuunnitelman laatiminen
- Vuosittainen turvallisuusarviointi
- Tietojen lokalisointi
Tietojen lokalisointi: Prosessi, jossa tietoja säilytetään ja käsitellään niiden alkuperämaan rajojen sisällä
Syyskuussa 2021 (Reiwa 3) voimaan astuneessa ‘Japanin tärkeän tietoinfrastruktuurin turvallisuuden suojelua koskevassa asetuksessa’ määritellään tarkemmin tärkeän tietoinfrastruktuurin hallinnointi, sertifiointi ja ylläpitäjien velvollisuudet, joten on tärkeää tutustua myös näihin määräyksiin.
Hallinto- ja vastausjärjestelmän kehittäminen
Verkon operaattoreilta vaaditaan muun muassa seuraavia asioita (21. pykälä).
- Turvallisuuden hallintajärjestelmän ja käyttöohjeiden laatiminen
- Verkon turvallisuusvastaavan määrittäminen
- Turvallisuuspoikkeamien varalta vastausstrategian suunnittelu ja teknisten toimenpiteiden toteuttaminen
- Verkon valvontatekniikan käyttöönotto ja lokitietojen säilyttäminen (vähintään kuusi kuukautta)
- Tietojen luokittelu sekä kriittisten tietojen varmuuskopiointi ja salaus
Säännökset, jotka koskevat rikkomuksia Japanin kyberturvallisuuslaissa
Jos rikot turvallisuusvaatimuksia, jotka on asetettu luokitusjärjestelmän suojausmekanismissa, saat korjauskäskyn ja varoituksen. Jos kieltäydyt noudattamasta käskyä tai vaarannat verkon turvallisuuden, sinun on maksettava sakkoa vähintään 10 000 juania (noin 1 300 euroa) ja enintään 100 000 juania (noin 13 000 euroa). Lisäksi suoraan vastuussa olevalle henkilölle voidaan määrätä sakkoa 5 000 juanista (noin 650 euroa) 50 000 juaniin (noin 6 500 euroa) asti.
Sakkoja ja varoituksia voidaan myös määrätä, jos asennat haittaohjelmia tai jos et ryhdy toimenpiteisiin tuotteiden tai palveluiden puutteiden tai turvallisuusaukkojen riskien hallitsemiseksi. Jos kieltäydyt noudattamasta korjauskäskyä, seuraa sakon maksuvelvollisuus.
Rikkomuksen laadusta riippuen sakon määrä voi vaihdella, ja sinulle voidaan määrätä myös verkkosivuston sulkeminen, liiketoimintaluvan mitätöinti tai liiketoiminnan keskeyttäminen. On tärkeää olla tietoinen siitä, että aiemmin on ollut tapauksia, joissa rikkomuksen vuoksi on määrätty sakkoja ja vastuuhenkilöille on asetettu elinikäinen kielto toimia samalla alalla, joten kyberturvallisuustoimenpiteet ovat välttämättömiä.
Japanilaisyritysten toteutettavat kyberturvallisuuslain toimenpiteet
Kiinan kyberturvallisuuslaki on monimutkainen, ja monet eivät tiedä, mistä aloittaa. Tässä artikkelissa selitämme toimenpiteet, joita japanilaisyritysten tulisi toteuttaa.
Tietojärjestelmäosaston ja DX-liittyvien osastojen kanssa yhteistyötä tekevän järjestelmän kehittäminen
Kiinan kyberturvallisuuslain noudattamiseksi on tarpeen kehittää toimintaprosesseja ja laatia tai päivittää henkilötietojen hallintasäännöksiä. Lisäksi tekniset toimenpiteet ovat välttämättömiä, jotta voidaan vastata luokitusjärjestelmän vaatimuksiin.
Oikeudellisten ja hallinnollisten osastojen ei tulisi toimia yksin, vaan kehittää yhteistyöjärjestelmä tietojärjestelmäosaston ja DX-liittyvien osastojen kanssa.
Määritä, mihin luokkaan yrityksen omistamat järjestelmät kuuluvat
Ensimmäinen askel on yrityksen järjestelmien luokittelun määrittäminen. Tämän luokituksen mukaisesti kunkin osaston on toteutettava kyberturvallisuutta noudattavia toimenpiteitä. Oikeudellisten, hallinnollisten ja riskienhallinnan osastojen on tarkistettava ja päivitettävä säännöksiä ja toimintatapoja, kun taas tietojärjestelmä- ja DX-liittyvien osastojen on vastattava teknisistä toimenpiteistä. Tässä selitämme kunkin osaston toimenpiteitä.
Oikeudelliset, hallinnolliset ja riskienhallinnan osastot
Vertaa luokituksessa määriteltyjä asioita yrityksen hallintatilanteeseen ja tietoturvakäytäntöihin, ja tarkista ja päivitä tarvittaessa säännöksiä ja toimintatapoja. Lisäksi on harkittava, miten vastataan vaatimuksiin, ja toteutettava tarvittavat järjestelmän kehitys- ja muutostoimenpiteet.
Jos luokitus on toinen luokka tai korkeampi, on tehtävä ilmoitus viranomaisille. Jos yritystä pidetään tärkeän tietoinfrastruktuurin operaattorina, vaaditaan kolmannen luokan tai korkeamman luokitusjärjestelmän sertifikaatin hankkimista. Lisäksi on vastattava datan lokalisaatiosäännöksiin, järjestettävä säännöllistä tietoturvakoulutusta ja teknistä koulutusta työntekijöille, ja monia muita toimenpiteitä on toteutettava. Jos yrityksellä on mahdollisuus kuulua tärkeän tietoinfrastruktuurin operaattoreihin, on suositeltavaa keskustella asianajajan kanssa ja laatia toimintasuunnitelma.
Viime vuosina Kiinassa on otettu käyttöön useita turvallisuuteen liittyviä säännöksiä. Riskienhallinnan osaston on siksi vastattava uusiin säännöksiin sopeutuvista riskitoimenpiteistä.
Tietojärjestelmä- ja DX-liittyvät osastot
Tietojärjestelmä- ja DX-liittyvien osastojen on toteutettava luokituksen mukaisia turvatoimenpiteitä. Ensin on arvioitava yrityksen olemassa olevien järjestelmien turvatoimenpiteet ja puutteiden ilmetessä integroitava kyberturvallisuuslain mukaisia järjestelmiä.
Kyberturvallisuuslain lisäksi on vastattava datan lokalisaatiosäännöksiin, rajat ylittäviin rajoituksiin ja hallituksen pääsyyn liittyviin vaatimuksiin. On ymmärrettävä, mitä tietoja siirretään Kiinan ulkopuolelle, ja tarkistettava yrityksen datan keräämisen ja säilyttämisen tilanne.
Kyberturvallisuuslain mukaan ei riitä, että päivitetään vain säännöksiä, vaan on myös toteutettava teknisiä suojatoimenpiteitä, joten osastojen välinen yhteistyö on välttämätöntä.
Yhteenveto: Kun tarvitsette apua yrityksenne toiminnassa, kääntykää asiantuntijan puoleen
Kiinan kyberturvallisuuslaki on järjestelmä, joka on luotu Kiinan kansallisen turvallisuuden varmistamiseksi. Kyberturvallisuuslain noudattamiseksi ei riitä, että yrityksen oikeudellinen tai hallinnollinen osasto päivittää säännöksiään, vaan on myös toteutettava teknisiä suojatoimenpiteitä.
Kyberturvallisuuslain voimaantulon jälkeen on säädetty lukuisia datacomplianceen liittyviä lakeja, kuten “Internet-tuotteiden tietoturvaheikkouksien hallintamääräykset” ja “Kyberturvallisuuden tarkastusmenettelyt (kansallisen turvallisuuden tarkastusjärjestelmän konkretisoiva järjestelmä)”. Rikkomukset voivat johtaa sakkojen määräämiseen, verkkosivustojen sulkemiseen tai liiketoimintalupien mitätöintiin, joten varovaisuus on tarpeen. Jos yrityksenne toimii Kiinassa tai suunnittelee toimintaa siellä, suosittelemme konsultoimaan Kiinan lainsäädäntöön perehtynyttä asianajajaa.
Toimenpiteemme teidän palveluksessanne
Monolith Lakitoimisto on IT- ja internet-liiketoimintaan erikoistunut lakitoimisto. Olemme käsitelleet tapauksia ympäri maailmaa, mukaan lukien Kiina, Yhdysvallat ja EU-maat. Liiketoiminnan laajentaminen ulkomaille tuo mukanaan monia oikeudellisia riskejä, joten kokeneen asianajajan tuki on välttämätöntä. Toimistomme on perehtynyt paikallisiin lakeihin ja säädöksiin ja tekee yhteistyötä lakitoimistojen kanssa eri puolilla maailmaa.
Monolith Lakitoimiston palvelualueet: Kansainvälinen oikeudellinen neuvonta ja ulkomaantoiminta[ja]
Related Articles
AI-ohjelmistokehityssopimus: urakkasopimus vai toimeksiantosopimus? Sopimuksen huomioitavat kohd.
General Corporate
Mitä tehdä, jos henkilötietoja on vuotanut? Selitämme yritysten tulisi toteuttaa hallinnollisia .
General Corporate
Tapauksista oppiminen: 'Tavaramerkkioikeuden loukkaamisen' kriteerit ja rangaistukset (vankeus j.
General Corporate
