suomi English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fi/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Arkisin 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Mitä on Kiinan tietoturvalaki? Selitämme toimenpiteet, joita japanilaisyritysten tulisi toteuttaa

Mitä on Kiinan tietoturvalaki? Selitämme toimenpiteet, joita japanilaisyritysten tulisi toteuttaa

General Corporate

Mitä on Kiinan tietoturvalaki? Selitämme toimenpiteet, joita japanilaisyritysten tulisi toteuttaa

Kiinan tietoturvalaki on Kiinan tietoalaa koskeva laki, joka tuli voimaan syyskuussa 2021 (Reiwa 3). Koska se soveltuu kaikkeen Kiinassa tapahtuvaan tietojenkäsittelyyn, yritysten, jotka toimivat Kiinassa tai suunnittelevat sinne laajentumista, on tarkistettava ja mahdollisesti uudistettava olemassa olevia säännöksiä ja hallintapolitiikkoja. On kuitenkin niitä, jotka eivät ymmärrä, millainen laki on kyseessä, tai jotka ovat epävarmoja toteutettavista toimenpiteistä.

Tässä artikkelissa käsittelemme Kiinan tietoturvalain yleiskatsausta, sen ymmärtämisen kannalta keskeisiä seikkoja, rangaistuksia sekä Japanissa toteutettavia toimenpiteitä.

Mikä on Kiinan tietoturvallisuuslaki?

Kysymys

Kiinan tietoturvallisuuslaki (中华人民共和国数据安全法) on Kiinassa syyskuussa 2021 (2021年9月) voimaan astunut laki, joka koskee Kiinan tietoturvallisuutta. Se on säädetty samoin kuin Kiinan kyberturvallisuuslaki, joka astui voimaan kesäkuussa 2017 (2017年6月), maan turvallisuuden suojelemiseksi.

Kiinan kyberturvallisuuslaki: Laki Kiinan ‘verkoston’ turvallisuuden suojelemiseksi

Kiinan tietoturvallisuuslain tavoitteet on määritelty seuraavasti (1 artikla):

  • Datan käsittelytoiminnan sääntely
  • Tietoturvallisuuden varmistaminen
  • Datan kehittämisen ja käytön edistäminen
  • Yksilöiden ja organisaatioiden oikeutettujen oikeuksien ja etujen turvaaminen
  • Kansakunnan suvereniteetin, turvallisuuden ja kehitysedun suojeleminen

Kiinan kyberturvallisuuslaissa säänneltiin elektronista dataa, mutta Kiinan tietoturvallisuuslaissa säännellään myös ei-elektronista dataa, kuten paperilla olevaa tietoa (3 artikla). Kiinan tietoturvallisuuslaissa määritellään muun muassa datan luokittelua, tietoturvasertifiointijärjestelmän kehittämistä ja tietoturvallisuuden suojeluvelvoitteita.

Kiinan tietoturvalain ymmärtämisen kannalta keskeiset seikat

Keskeiset seikat

Kiinan tietoturvalaissa on monia säännöksiä, jotka voivat olla vaikeita ymmärtää. Tässä artikkelissa selitämme tietoturvalain sisältöä viiden keskeisen kohdan kautta.

  • Sääntelyn kohteet
  • Tietojen luokittelua ja tasoluokitusta koskevien normien kehittäminen
  • Tietoturvan hallinnointi
  • Tietojen siirtoa koskevat säännökset
  • Kansallisen turvallisuuden tarkastus

Sääntelyn kohteet

Lain säätelemää dataa ovat kaikki Kiinan sisällä tapahtuvat ‘datan käsittelytoimet’. Mikäli datan käsittelytoimia suoritetaan Kiinan ulkopuolella, sovelletaan sääntelyä myös silloin, jos toimet vahingoittavat Kiinan valtion turvallisuutta, yleistä etua tai kansalaisten ja organisaatioiden etuja.

‘Data’ tarkoittaa sähköisesti tai muilla tavoin tallennettua informaatiota, ja on tärkeää huomata, että se kattaa myös paperilla olevan tiedon. ‘Datan käsittely’ käsittää datan keräämisen, tallentamisen, käytön, käsittelyn, lähettämisen, tarjoamisen ja paljastamisen. Henkilöt, jotka suorittavat näitä toimia, tunnetaan ‘datan käsittelijöinä’.

Tietojen luokittelusta ja arvottamisesta

Tietojenkäsittelijöiden on varmistettava tietoturva perustuen luokitus- ja suojausjärjestelmään. Luokitus- ja suojausjärjestelmä on virallinen arviointijärjestelmä verkkoturvallisuuden hallintarakenteelle, ja vaadittavat toimenpiteet vaihtelevat luokituksen mukaan. Lisäksi tietojen tuhoamisen tai vuotamisen aiheuttama vahinko kansalliselle turvallisuudelle, yleiselle edulle tai yksilöille ja organisaatioille määrittää, miten tiedot on luokiteltava.

Luokittelu jakautuu kolmeen kategoriaan: ‘yleiset tiedot’, ‘tärkeät tiedot’ ja ‘ydintiedot’. ‘Verkkotietojen turvallisuuden hallinnan asetuksen (luonnos kommentteja varten)’ määrittelee tärkeät tiedot sellaisiksi tiedoiksi, joiden ‘muuntelu, tuhoaminen, vuotaminen, laiton hankinta tai laiton käyttö voi vaarantaa kansallisen turvallisuuden tai yleisen edun’. Ydintiedot liittyvät kansallisen turvallisuuden, kansantalouden elintärkeisiin toimintoihin, kansalaisten tärkeisiin elämänalueisiin ja keskeisiin yleisiin etuihin (21. pykälä).

Kirjoitushetkellä tärkeille ja ydintiedoille ei ole vielä julkaistu konkreettista luetteloa, joten ‘Verkkotietojen turvallisuuden hallinnan asetuksen (luonnos kommentteja varten)’ esimerkkejä tärkeistä tiedoista kannattaa käyttää apuna käsiteltävien tietojen luokittelussa. On myös tärkeää seurata toimivaltaisen viranomaisen julkaisemia luetteloita.

Tietoturvan hallinnasta

Tietojenkäsittelijöiltä vaadittavia toimenpiteitä ovat muun muassa seuraavat:

  • Tietoturvakoulutuksen ja -harjoitusten järjestäminen
  • Tietoturvan suojausvelvoitteet luokitusjärjestelmän mukaisesti
  • Riskien seurannan jatkuvuuden varmistaminen
  • Turvallisuuden hallintajärjestelmän perustaminen koko datan elinkaaren ajalle
  • Vastuuhenkilön nimittäminen
  • Tekniset toimenpiteet

Periaatteessa nämä vaatimukset muistuttavat ‘Tietoturvallisuuden hallintajärjestelmän (ISMS)’ vaatimuksia, mutta on tärkeää huomioida, että tietojen luokittelun mukaisia hallintatoimenpiteitä on sovellettava.

Mikäli tietoturvaloukkaus tapahtuu, on toimenpiteet toteutettava välittömästi ja tapahtumasta on ilmoitettava sekä käyttäjille että viranomaisille. Lisäksi, kun käsitellään arkaluonteisia tietoja, on riskiarviointeja suoritettava säännöllisesti ja riskiarviointiraportit toimitettava asiaankuuluville viranomaisille.

Tietojen siirron sääntelystä

Tietojen siirtoa koskevat säännökset tulevat sovellettaviksi erityisesti silloin, kun kyse on merkittävistä tiedoista. Kun merkittävän tietoinfrastruktuurin operaattori siirtää Kiinassa liiketoiminnassaan hankkimiaan tai tuottamiaan merkittäviä tietoja rajan yli, sovelletaan kyseiseen toimintaan Japanin kyberturvallisuuslain säännöksiä.

Merkittävä tietoinfrastruktuuri: Laitteistot, joiden vahingoittuminen tai tietovuodot voivat merkittävästi heikentää kansallista turvallisuutta, kansalaisten elämää tai yleistä etua aloilla, kuten energia, liikenne, rahoitus ja julkiset palvelut, ja jotka voivat uhata valtion turvallisuutta.

Jos tietojenkäsittelijä ei kuulu merkittävän tietoinfrastruktuurin operaattoreihin, tulee hänen noudattaa ‘Tietojen ulkomaille siirron turvallisuusarvioinnin menettelysääntöjä’ ja läpäistä viranomaisten turvallisuusarviointi ennen tietojen siirtoa.

‘Verkkotietojen turvallisuuden hallinnan asetuksen (luonnos kommentteja varten)’ mukaan myös muut kuin merkittävät tiedot on siirrettävä ulkomaille vain, jos ne täyttävät seuraavat ehdot ja läpäisevät viranomaisten turvallisuusarvioinnin:

  • Jos rajat ylittävässä datassa on merkittäviä tietoja
  • Jos merkittävän tietoinfrastruktuurin operaattori tai yli miljoonan henkilön tietoja käsittelevä tietojenkäsittelijä tarjoaa henkilötietoja ulkomaille

Lisäksi tietojen ulkomaille siirtäjän velvollisuuksiin kuuluu muun muassa seuraavat:

  • Älä tarjoa henkilötietoja ulkomaille ylittäen verkkotieto-osaston toimittamassa henkilötietojen suojan vaikutusten arviointiraportissa määritellyt tarkoitukset, laajuuden, menetelmät, tiedon tyypit ja koot
  • Älä tarjoa henkilötietoja tai merkittäviä tietoja ulkomaille ylittäen verkkotieto-osaston turvallisuusarvioinnissa määritellyt tarkoitukset, laajuuden, tiedon tyypit ja koot
  • Ota vastaan ja käsittele käyttäjien valituksia tietojen viennistä
  • Säilytä asiaankuuluvia lokitietoja ja tietojen vientihyväksynnän kirjauksia vähintään kolme vuotta
  • Jos tietojen vienti vahingoittaa yksilöiden, organisaatioiden tai yleisen edun oikeutettuja oikeuksia ja etuja, tietojenkäsittelijän on kannettava vastuu lain mukaisesti

Kun tietoja siirretään ulkomaille, on myös velvollisuus laatia tietojen vientiturvallisuusraportti ja raportoida siitä alueelliselle verkkotieto-osastolle.

Kansallisen turvallisuuden tarkastuksesta

Kiinan hallituksen mukaan, jos datakäsittelytoimintaa pidetään Kiinan kansallista turvallisuutta vaarantavana, on syytä olla tietoinen siitä, että suoritetaan kansallisen turvallisuuden tarkastus. Kansallisen turvallisuuden tarkastuksen tulokset ovat lopullisia, eikä niitä voi haastaa hallinnollisilla muutoksenhauilla tai oikeustoimilla.

Tietoturvallisuuslain rangaistussäännökset

Varoittava mies

Tietoturvallisuuslain rikkomisesta voi seurata korjauskäskyjä ja varoituksia, sakkoja, toiminnan keskeyttämistä korjauksen ajaksi, tiettyjen liiketoimintojen keskeyttämistä tai liiketoimintaluvan peruuttamista.

Esimerkiksi Kiinan tietoturvallisuuslain (Japanese Data Security Law) 27., 29. ja 30. pykälässä määriteltyjen velvoitteiden laiminlyönnistä voi seurata korjauskäskyjä ja varoituksia, ja suoraan vastuussa oleville henkilöille sekä muille suoran vastuun kantaville voi tulla määrättäväksi 50 000 juanin (noin 6 500 euroa) ja 500 000 juanin (noin 65 000 euroa) välisiä sakkoja.

Tietoturvallisuuslain rikkomisesta voivat rangaistuksen kohteeksi joutua paitsi yritykset myös suoraan vastuussa olevat henkilöt ja muut suoran vastuun kantavat työntekijät. On tärkeää huomioida, että rikkomuksesta seuraava rangaistus voi vaikuttaa merkittävästi koko organisaatioon, minkä vuoksi on välttämätöntä ryhtyä toimenpiteisiin lain noudattamiseksi.

Japanilaisyritysten toteutettavat toimenpiteet Kiinan tietoturvallisuuslain mukaisesti

Opastava mies

Kiinan tietoturvallisuuslaki koskee kaikkia Kiinassa käsiteltäviä tietoja, joten monien japanilaisyritysten on ryhdyttävä toimenpiteisiin lain vaatimusten täyttämiseksi. Tässä artikkelissa käymme yksityiskohtaisesti läpi toimenpiteitä, joita japanilaisyritysten tulisi toteuttaa tietoturvallisuuslain noudattamiseksi.

Tiedonhallinta

Ensimmäisenä tarkastelemme tiedonhallintaa. On tärkeää selvittää, millaisia tietoja yrityksessä tuotetaan, kertyy ja poistetaan, ja ymmärtää nykyiset tietojenkäsittelykäytännöt. Tietojen luokittelun mukaisesti on olennaista tehdä tietokartoitus, jossa selvitetään tietojen luokittelu, siirrot Kiinan ulkopuolelle ja nykyiset tiedonhallintatoimenpiteet.

Kiinan tietoturvallisuuslaissa vaaditaan erityisiä suojatoimenpiteitä tärkeille ja ydintiedoille. Tämän vuoksi on tarpeen määritellä uudelleen tiedon luottamuksellisuusluokat luokittelun mukaisesti.

Kuitenkin tällä hetkellä turvallisuustasojen luokittelu on osittain epäselvä. Koska tulevaisuudessa luokittelua voidaan tarkentaa, on tärkeää seurata Kiinan viranomaisten julkaisemia luetteloita. Samanaikaisesti on suositeltavaa asettaa luokittelun huomioon ottavia turvallisuustasoja, kuten pääsynvalvonta, autentikointi, tietoliikenteen turvallisuus ja fyysiset toimenpiteet.

Lisäksi tietoturvapolitiikkaa tulee tarkistaa ja soveltaa tietokartoituksen avulla luokiteltuihin tietoryhmiin sopivia politiikkoja.

Riskinarvioinnin suorittaminen ja raportointi

Kun tietokartoituksen perusteella yrityksen käsittelyssä on havaittu tärkeitä tietoja, on suoritettava riskinarviointi tietojenkäsittelylle. Lisäksi on raportoitava tulokset viranomaisille.

Riskinarviointi on tehtävä säännöllisesti, joten on tärkeää luoda säännöt, jotka mahdollistavat sen jatkuvan toteuttamisen.

Työntekijöiden koulutus

Kiinassa otetaan käyttöön yhä uusia turvallisuuteen liittyviä säädöksiä. Tiedonhallinta ja riskinarviointi eivät ole kertaluonteisia toimenpiteitä, vaan niitä on säännöllisesti tarkistettava ja parannettava, jotta ne juurtuvat osaksi yrityskulttuuria. Tämä edellyttää työntekijöiden koulutusta.

Koska asiaan liittyvät niin lakiosasto kuin hallinto- ja riskienhallintayksikötkin, on tärkeää, että eri osastot eivät toimi erillään vaan yhteistyössä. Vaikka laki on tällä hetkellä osin epäselvä, on jo tapauksia, joissa rikkomuksista on seurannut sanktioita. Tämän vuoksi tietoturvallisuuslain noudattaminen on välttämätöntä.

Kiinan kyberturvallisuuden kolmen lain erityispiirteet

Kiinan kyberturvallisuuden kolme lakia viittaavat Kiinassa voimaan astuneisiin kyberturvallisuuslakiin, tietoturvallisuuslakiin ja henkilötietojen suojalakiin. Kyberturvallisuuslaki keskittyy kyberhyökkäysten torjuntaan, tietoturvallisuuslaki tiedon säilyttämiseen ja henkilötietojen suojalaki henkilötietojen turvallisuuden vahvistamiseen.

Liittyvä artikkeli: Mikä on Kiinan kyberturvallisuuslaki? Tärkeät noudatettavat seikat selitettynä[ja]

Näin ollen, vaikka laeilla on omat erityispiirteensä, niille kaikille on yhteistä se, että ne määrittelevät hallinnolliset rangaistukset, siviilioikeudelliset vahingonkorvaukset ja rikosoikeudelliset vastuut rikkomusten varalta. Lisäksi rikkomuksen kohteena voivat olla paitsi yritykset myös niiden suorat vastuuhenkilöt, jotka voivat joutua kieltoon harjoittaa samaa liiketoimintaa tai heidän tietonsa voivat päätyä valtion rikkomustietokantaan.

Yhteenveto: Kiinnitä huomiota Kiinan datalainsäädäntöön ja toimi nopeasti

Kiinan Data Security Law on laki, joka sovelletaan Kiinassa tapahtuvaan datan käsittelyyn ja joka määrittelee muun muassa datan luokittelun, suojaustasot ja riskiarvioinnit. Useita lakeja, kuten Cybersecurity Law, Personal Information Protection Law ja Internet Product Security Vulnerability Management Regulations, on julkaistu, ja niiden vaatimusten mukainen toiminta on välttämätöntä.

Tällä hetkellä turvallisuustasojen luokittelu ei ole täysin selkeä, ja vaikka epäselvyyksiä onkin, on jo nähty tapauksia, joissa rikkomuksista on seurannut sakkoja. Siksi on tärkeää, että toimimme lain vaatimusten mukaisesti. On olennaista pysyä ajan tasalla Kiinan lainsäädännön suhteen ja toteuttaa toimenpiteitä sen mukaisesti.

Jos sinulla on liiketoimintaa Kiinassa tai suunnittelet sen aloittamista, suosittelemme konsultoimaan Kiinan lainsäädäntöön perehtynyttä asianajajaa.

Toimenpiteemme esittely

Monolith Lakitoimisto on IT-alan, erityisesti internetin ja oikeudellisten palveluiden, rikkaan kokemuksen omaava lakitoimisto. Globalisaation myötä kansainvälinen liiketoiminta on kasvanut merkittävästi, ja asiantuntijoiden suorittaman oikeudellisen tarkastuksen tarve on lisääntynyt. Tarjoamme ratkaisuja kansainvälisiin oikeudellisiin kysymyksiin, kuten Kiinan, Yhdysvaltojen ja EU-maiden lainsäädäntöön liittyen.

Monolith Lakitoimiston palvelualueet: Kansainvälinen oikeudellinen neuvonta ja ulkomaantoiminta[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Mikä on patenttien, tavaramerkkien, tekijänoikeuksien ja muiden immateriaalioikeuksien loukkaamisen riski ja sen torjuntakeinot?

Mikä on patenttien, tavaramerkkien, tekijänoikeuksien ja muiden immateriaalioikeuksien loukkaami.

General Corporate

Japanin 'Provider Responsibility Limitation Law' muuttuu 'Information Distribution Platform Measures Law' (JouPla-laki) - Uudistuksen keskeiset kohdat selitettynä

Japanin 'Provider Responsibility Limitation Law' muuttuu 'Information Distribution Platform Meas.

General Corporate

Mitkä ovat tärkeät oikeudelliset seikat D2C-liiketoiminnassa ja milloin tulisi kääntyä asianajajan puoleen?

Mitkä ovat tärkeät oikeudelliset seikat D2C-liiketoiminnassa ja milloin tulisi kääntyä asianajaj.

General Corporate

Videonmuokkauksen pyytäminen pilvipalvelutyöntekijältä: Selittää kuusi kohtaa liiketoiminnan ulkoistamissopimuksessa

Videonmuokkauksen pyytäminen pilvipalvelutyöntekijältä: Selittää kuusi kohtaa liiketoiminnan ulk.

General Corporate

Seed-kierroksen sijoitussopimuksen solmimisen tarpeellisuus

Seed-kierroksen sijoitussopimuksen solmimisen tarpeellisuus

General Corporate

Kuinka Yhdysvaltain laki eroaa Japanin laista? Selitämme tärkeät seikat, jotka on tiedettävä ennen paikallisen yhtiön perustamista

Kuinka Yhdysvaltain laki eroaa Japanin laista? Selitämme tärkeät seikat, jotka on tiedettävä enn.

General Corporate

Verkkokaupassa alkoholin myynnin huomioon otettavat seikat - Selitys Japanin 'alkoholiverolakiin

Verkkokaupassa alkoholin myynnin huomioon otettavat seikat - Selitys Japanin 'alkoholiverolakiin

General Corporate

Mikä on 'lääkelaissa' (Japanese Pharmaceutical Affairs Law) määrätty sakkojärjestelmä? Selitämme toimenpiteet, joita se koskee, ja tapaukset, joissa sakkoja voidaan alentaa tai poistaa

Mikä on 'lääkelaissa' (Japanese Pharmaceutical Affairs Law) määrätty sakkojärjestelmä? Selitämme.

General Corporate

Voiko kilpailun välttämisvelvollisuus työsopimuksessa estää siirtymisen kilpailevaan yritykseen?

Voiko kilpailun välttämisvelvollisuus työsopimuksessa estää siirtymisen kilpailevaan yritykseen?

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

TOPへ戻る