{"id":65679,"date":"2024-04-03T17:58:45","date_gmt":"2024-04-03T08:58:45","guid":{"rendered":"https:\/\/monolith.law\/fi\/?p=65679"},"modified":"2024-08-02T10:51:15","modified_gmt":"2024-08-02T01:51:15","slug":"china-data-security-law","status":"publish","type":"post","link":"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law","title":{"rendered":"Mit\u00e4 on Kiinan tietoturvalaki? Selit\u00e4mme toimenpiteet, joita japanilaisyritysten tulisi toteuttaa"},"content":{"rendered":"\n<p>Kiinan tietoturvalaki on Kiinan tietoalaa koskeva laki, joka tuli voimaan syyskuussa 2021 (Reiwa 3). Koska se soveltuu kaikkeen Kiinassa tapahtuvaan tietojenk\u00e4sittelyyn, yritysten, jotka toimivat Kiinassa tai suunnittelevat sinne laajentumista, on tarkistettava ja mahdollisesti uudistettava olemassa olevia s\u00e4\u00e4nn\u00f6ksi\u00e4 ja hallintapolitiikkoja. On kuitenkin niit\u00e4, jotka eiv\u00e4t ymm\u00e4rr\u00e4, millainen laki on kyseess\u00e4, tai jotka ovat ep\u00e4varmoja toteutettavista toimenpiteist\u00e4.<\/p>\n\n\n\n<p>T\u00e4ss\u00e4 artikkelissa k\u00e4sittelemme Kiinan tietoturvalain yleiskatsausta, sen ymm\u00e4rt\u00e4misen kannalta keskeisi\u00e4 seikkoja, rangaistuksia sek\u00e4 Japanissa toteutettavia toimenpiteit\u00e4.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Mika_on_Kiinan_tietoturvallisuuslaki\" title=\"Mik\u00e4 on Kiinan tietoturvallisuuslaki?\">Mik\u00e4 on Kiinan tietoturvallisuuslaki?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Kiinan_tietoturvalain_ymmartamisen_kannalta_keskeiset_seikat\" title=\"Kiinan tietoturvalain ymm\u00e4rt\u00e4misen kannalta keskeiset seikat\">Kiinan tietoturvalain ymm\u00e4rt\u00e4misen kannalta keskeiset seikat<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Saantelyn_kohteet\" title=\"S\u00e4\u00e4ntelyn kohteet\">S\u00e4\u00e4ntelyn kohteet<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Tietojen_luokittelusta_ja_arvottamisesta\" title=\"Tietojen luokittelusta ja arvottamisesta\">Tietojen luokittelusta ja arvottamisesta<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Tietoturvan_hallinnasta\" title=\"Tietoturvan hallinnasta\">Tietoturvan hallinnasta<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Tietojen_siirron_saantelysta\" title=\"Tietojen siirron s\u00e4\u00e4ntelyst\u00e4\">Tietojen siirron s\u00e4\u00e4ntelyst\u00e4<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Kansallisen_turvallisuuden_tarkastuksesta\" title=\"Kansallisen turvallisuuden tarkastuksesta\">Kansallisen turvallisuuden tarkastuksesta<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Tietoturvallisuuslain_rangaistussaannokset\" title=\"Tietoturvallisuuslain rangaistuss\u00e4\u00e4nn\u00f6kset\">Tietoturvallisuuslain rangaistuss\u00e4\u00e4nn\u00f6kset<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Japanilaisyritysten_toteutettavat_toimenpiteet_Kiinan_tietoturvallisuuslain_mukaisesti\" title=\"Japanilaisyritysten toteutettavat toimenpiteet Kiinan tietoturvallisuuslain mukaisesti\">Japanilaisyritysten toteutettavat toimenpiteet Kiinan tietoturvallisuuslain mukaisesti<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Tiedonhallinta\" title=\"Tiedonhallinta\">Tiedonhallinta<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Riskinarvioinnin_suorittaminen_ja_raportointi\" title=\"Riskinarvioinnin suorittaminen ja raportointi\">Riskinarvioinnin suorittaminen ja raportointi<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Tyontekijoiden_koulutus\" title=\"Ty\u00f6ntekij\u00f6iden koulutus\">Ty\u00f6ntekij\u00f6iden koulutus<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Kiinan_kyberturvallisuuden_kolmen_lain_erityispiirteet\" title=\"Kiinan kyberturvallisuuden kolmen lain erityispiirteet\">Kiinan kyberturvallisuuden kolmen lain erityispiirteet<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Yhteenveto_Kiinnita_huomiota_Kiinan_datalainsaadantoon_ja_toimi_nopeasti\" title=\"Yhteenveto: Kiinnit\u00e4 huomiota Kiinan datalains\u00e4\u00e4d\u00e4nt\u00f6\u00f6n ja toimi nopeasti\">Yhteenveto: Kiinnit\u00e4 huomiota Kiinan datalains\u00e4\u00e4d\u00e4nt\u00f6\u00f6n ja toimi nopeasti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/monolith.law\/fi\/general-corporate\/china-data-security-law\/#Toimenpiteemme_esittely\" title=\"Toimenpiteemme esittely\">Toimenpiteemme esittely<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Mika_on_Kiinan_tietoturvallisuuslaki\"><\/span>Mik\u00e4 on Kiinan tietoturvallisuuslaki?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/question.jpg\" alt=\"Kysymys\" class=\"wp-image-63910\" \/><\/figure>\n\n\n\n<p>Kiinan tietoturvallisuuslaki (\u4e2d\u534e\u4eba\u6c11\u5171\u548c\u56fd\u6570\u636e\u5b89\u5168\u6cd5) on Kiinassa syyskuussa 2021 (2021\u5e749\u6708) voimaan astunut laki, joka koskee Kiinan tietoturvallisuutta. Se on s\u00e4\u00e4detty samoin kuin Kiinan kyberturvallisuuslaki, joka astui voimaan kes\u00e4kuussa 2017 (2017\u5e746\u6708), maan turvallisuuden suojelemiseksi.<\/p>\n\n\n\n<p class=\"has-small-font-size\">Kiinan kyberturvallisuuslaki: Laki Kiinan &#8216;verkoston&#8217; turvallisuuden suojelemiseksi<\/p>\n\n\n\n<p>Kiinan tietoturvallisuuslain tavoitteet on m\u00e4\u00e4ritelty seuraavasti (1 artikla):<\/p>\n\n\n\n<ul>\n<li>Datan k\u00e4sittelytoiminnan s\u00e4\u00e4ntely<\/li>\n\n\n\n<li>Tietoturvallisuuden varmistaminen<\/li>\n\n\n\n<li>Datan kehitt\u00e4misen ja k\u00e4yt\u00f6n edist\u00e4minen<\/li>\n\n\n\n<li>Yksil\u00f6iden ja organisaatioiden oikeutettujen oikeuksien ja etujen turvaaminen<\/li>\n\n\n\n<li>Kansakunnan suvereniteetin, turvallisuuden ja kehitysedun suojeleminen<\/li>\n<\/ul>\n\n\n\n<p>Kiinan kyberturvallisuuslaissa s\u00e4\u00e4nneltiin elektronista dataa, mutta Kiinan tietoturvallisuuslaissa s\u00e4\u00e4nnell\u00e4\u00e4n my\u00f6s ei-elektronista dataa, kuten paperilla olevaa tietoa (3 artikla). Kiinan tietoturvallisuuslaissa m\u00e4\u00e4ritell\u00e4\u00e4n muun muassa datan luokittelua, tietoturvasertifiointij\u00e4rjestelm\u00e4n kehitt\u00e4mist\u00e4 ja tietoturvallisuuden suojeluvelvoitteita.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Kiinan_tietoturvalain_ymmartamisen_kannalta_keskeiset_seikat\"><\/span>Kiinan tietoturvalain ymm\u00e4rt\u00e4misen kannalta keskeiset seikat<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/point.jpg\" alt=\"Keskeiset seikat\" class=\"wp-image-63912\" \/><\/figure>\n\n\n\n<p>Kiinan tietoturvalaissa on monia s\u00e4\u00e4nn\u00f6ksi\u00e4, jotka voivat olla vaikeita ymm\u00e4rt\u00e4\u00e4. T\u00e4ss\u00e4 artikkelissa selit\u00e4mme tietoturvalain sis\u00e4lt\u00f6\u00e4 viiden keskeisen kohdan kautta.<\/p>\n\n\n\n<ul>\n<li>S\u00e4\u00e4ntelyn kohteet<\/li>\n\n\n\n<li>Tietojen luokittelua ja tasoluokitusta koskevien normien kehitt\u00e4minen<\/li>\n\n\n\n<li>Tietoturvan hallinnointi<\/li>\n\n\n\n<li>Tietojen siirtoa koskevat s\u00e4\u00e4nn\u00f6kset<\/li>\n\n\n\n<li>Kansallisen turvallisuuden tarkastus<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Saantelyn_kohteet\"><\/span>S\u00e4\u00e4ntelyn kohteet<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Lain s\u00e4\u00e4telem\u00e4\u00e4 dataa ovat kaikki Kiinan sis\u00e4ll\u00e4 tapahtuvat &#8216;datan k\u00e4sittelytoimet&#8217;. Mik\u00e4li datan k\u00e4sittelytoimia suoritetaan Kiinan ulkopuolella, sovelletaan s\u00e4\u00e4ntely\u00e4 my\u00f6s silloin, jos toimet vahingoittavat Kiinan valtion turvallisuutta, yleist\u00e4 etua tai kansalaisten ja organisaatioiden etuja.<\/p>\n\n\n\n<p>&#8216;Data&#8217; tarkoittaa s\u00e4hk\u00f6isesti tai muilla tavoin tallennettua informaatiota, ja on t\u00e4rke\u00e4\u00e4 huomata, ett\u00e4 se kattaa my\u00f6s paperilla olevan tiedon. &#8216;Datan k\u00e4sittely&#8217; k\u00e4sitt\u00e4\u00e4 datan ker\u00e4\u00e4misen, tallentamisen, k\u00e4yt\u00f6n, k\u00e4sittelyn, l\u00e4hett\u00e4misen, tarjoamisen ja paljastamisen. Henkil\u00f6t, jotka suorittavat n\u00e4it\u00e4 toimia, tunnetaan &#8216;datan k\u00e4sittelij\u00f6in\u00e4&#8217;.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tietojen_luokittelusta_ja_arvottamisesta\"><\/span>Tietojen luokittelusta ja arvottamisesta<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Tietojenk\u00e4sittelij\u00f6iden on varmistettava tietoturva perustuen luokitus- ja suojausj\u00e4rjestelm\u00e4\u00e4n. Luokitus- ja suojausj\u00e4rjestelm\u00e4 on virallinen arviointij\u00e4rjestelm\u00e4 verkkoturvallisuuden hallintarakenteelle, ja vaadittavat toimenpiteet vaihtelevat luokituksen mukaan. Lis\u00e4ksi tietojen tuhoamisen tai vuotamisen aiheuttama vahinko kansalliselle turvallisuudelle, yleiselle edulle tai yksil\u00f6ille ja organisaatioille m\u00e4\u00e4ritt\u00e4\u00e4, miten tiedot on luokiteltava.<\/p>\n\n\n\n<p>Luokittelu jakautuu kolmeen kategoriaan: &#8216;yleiset tiedot&#8217;, &#8216;t\u00e4rke\u00e4t tiedot&#8217; ja &#8216;ydintiedot&#8217;. &#8216;Verkkotietojen turvallisuuden hallinnan asetuksen (luonnos kommentteja varten)&#8217; m\u00e4\u00e4rittelee t\u00e4rke\u00e4t tiedot sellaisiksi tiedoiksi, joiden &#8216;muuntelu, tuhoaminen, vuotaminen, laiton hankinta tai laiton k\u00e4ytt\u00f6 voi vaarantaa kansallisen turvallisuuden tai yleisen edun&#8217;. Ydintiedot liittyv\u00e4t kansallisen turvallisuuden, kansantalouden elint\u00e4rkeisiin toimintoihin, kansalaisten t\u00e4rkeisiin el\u00e4m\u00e4nalueisiin ja keskeisiin yleisiin etuihin (21. pyk\u00e4l\u00e4).<\/p>\n\n\n\n<p>Kirjoitushetkell\u00e4 t\u00e4rkeille ja ydintiedoille ei ole viel\u00e4 julkaistu konkreettista luetteloa, joten &#8216;Verkkotietojen turvallisuuden hallinnan asetuksen (luonnos kommentteja varten)&#8217; esimerkkej\u00e4 t\u00e4rkeist\u00e4 tiedoista kannattaa k\u00e4ytt\u00e4\u00e4 apuna k\u00e4sitelt\u00e4vien tietojen luokittelussa. On my\u00f6s t\u00e4rke\u00e4\u00e4 seurata toimivaltaisen viranomaisen julkaisemia luetteloita.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tietoturvan_hallinnasta\"><\/span>Tietoturvan hallinnasta<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Tietojenk\u00e4sittelij\u00f6ilt\u00e4 vaadittavia toimenpiteit\u00e4 ovat muun muassa seuraavat:<\/p>\n\n\n\n<ul>\n<li>Tietoturvakoulutuksen ja -harjoitusten j\u00e4rjest\u00e4minen<\/li>\n\n\n\n<li>Tietoturvan suojausvelvoitteet luokitusj\u00e4rjestelm\u00e4n mukaisesti<\/li>\n\n\n\n<li>Riskien seurannan jatkuvuuden varmistaminen<\/li>\n\n\n\n<li>Turvallisuuden hallintaj\u00e4rjestelm\u00e4n perustaminen koko datan elinkaaren ajalle<\/li>\n\n\n\n<li>Vastuuhenkil\u00f6n nimitt\u00e4minen<\/li>\n\n\n\n<li>Tekniset toimenpiteet<\/li>\n<\/ul>\n\n\n\n<p>Periaatteessa n\u00e4m\u00e4 vaatimukset muistuttavat &#8216;Tietoturvallisuuden hallintaj\u00e4rjestelm\u00e4n (ISMS)&#8217; vaatimuksia, mutta on t\u00e4rke\u00e4\u00e4 huomioida, ett\u00e4 tietojen luokittelun mukaisia hallintatoimenpiteit\u00e4 on sovellettava.<\/p>\n\n\n\n<p>Mik\u00e4li tietoturvaloukkaus tapahtuu, on toimenpiteet toteutettava v\u00e4litt\u00f6m\u00e4sti ja tapahtumasta on ilmoitettava sek\u00e4 k\u00e4ytt\u00e4jille ett\u00e4 viranomaisille. Lis\u00e4ksi, kun k\u00e4sitell\u00e4\u00e4n arkaluonteisia tietoja, on riskiarviointeja suoritettava s\u00e4\u00e4nn\u00f6llisesti ja riskiarviointiraportit toimitettava asiaankuuluville viranomaisille.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tietojen_siirron_saantelysta\"><\/span>Tietojen siirron s\u00e4\u00e4ntelyst\u00e4<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Tietojen siirtoa koskevat s\u00e4\u00e4nn\u00f6kset tulevat sovellettaviksi erityisesti silloin, kun kyse on merkitt\u00e4vist\u00e4 tiedoista. Kun merkitt\u00e4v\u00e4n tietoinfrastruktuurin operaattori siirt\u00e4\u00e4 Kiinassa liiketoiminnassaan hankkimiaan tai tuottamiaan merkitt\u00e4vi\u00e4 tietoja rajan yli, sovelletaan kyseiseen toimintaan Japanin kyberturvallisuuslain s\u00e4\u00e4nn\u00f6ksi\u00e4.<\/p>\n\n\n\n<p class=\"has-small-font-size\">Merkitt\u00e4v\u00e4 tietoinfrastruktuuri: Laitteistot, joiden vahingoittuminen tai tietovuodot voivat merkitt\u00e4v\u00e4sti heikent\u00e4\u00e4 kansallista turvallisuutta, kansalaisten el\u00e4m\u00e4\u00e4 tai yleist\u00e4 etua aloilla, kuten energia, liikenne, rahoitus ja julkiset palvelut, ja jotka voivat uhata valtion turvallisuutta.<\/p>\n\n\n\n<p>Jos tietojenk\u00e4sittelij\u00e4 ei kuulu merkitt\u00e4v\u00e4n tietoinfrastruktuurin operaattoreihin, tulee h\u00e4nen noudattaa &#8216;Tietojen ulkomaille siirron turvallisuusarvioinnin menettelys\u00e4\u00e4nt\u00f6j\u00e4&#8217; ja l\u00e4p\u00e4ist\u00e4 viranomaisten turvallisuusarviointi ennen tietojen siirtoa.<\/p>\n\n\n\n<p>&#8216;Verkkotietojen turvallisuuden hallinnan asetuksen (luonnos kommentteja varten)&#8217; mukaan my\u00f6s muut kuin merkitt\u00e4v\u00e4t tiedot on siirrett\u00e4v\u00e4 ulkomaille vain, jos ne t\u00e4ytt\u00e4v\u00e4t seuraavat ehdot ja l\u00e4p\u00e4isev\u00e4t viranomaisten turvallisuusarvioinnin:<\/p>\n\n\n\n<ul>\n<li>Jos rajat ylitt\u00e4v\u00e4ss\u00e4 datassa on merkitt\u00e4vi\u00e4 tietoja<\/li>\n\n\n\n<li>Jos merkitt\u00e4v\u00e4n tietoinfrastruktuurin operaattori tai yli miljoonan henkil\u00f6n tietoja k\u00e4sittelev\u00e4 tietojenk\u00e4sittelij\u00e4 tarjoaa henkil\u00f6tietoja ulkomaille<\/li>\n<\/ul>\n\n\n\n<p>Lis\u00e4ksi tietojen ulkomaille siirt\u00e4j\u00e4n velvollisuuksiin kuuluu muun muassa seuraavat:<\/p>\n\n\n\n<ul>\n<li>\u00c4l\u00e4 tarjoa henkil\u00f6tietoja ulkomaille ylitt\u00e4en verkkotieto-osaston toimittamassa henkil\u00f6tietojen suojan vaikutusten arviointiraportissa m\u00e4\u00e4ritellyt tarkoitukset, laajuuden, menetelm\u00e4t, tiedon tyypit ja koot<\/li>\n\n\n\n<li>\u00c4l\u00e4 tarjoa henkil\u00f6tietoja tai merkitt\u00e4vi\u00e4 tietoja ulkomaille ylitt\u00e4en verkkotieto-osaston turvallisuusarvioinnissa m\u00e4\u00e4ritellyt tarkoitukset, laajuuden, tiedon tyypit ja koot<\/li>\n\n\n\n<li>Ota vastaan ja k\u00e4sittele k\u00e4ytt\u00e4jien valituksia tietojen viennist\u00e4<\/li>\n\n\n\n<li>S\u00e4ilyt\u00e4 asiaankuuluvia lokitietoja ja tietojen vientihyv\u00e4ksynn\u00e4n kirjauksia v\u00e4hint\u00e4\u00e4n kolme vuotta<\/li>\n\n\n\n<li>Jos tietojen vienti vahingoittaa yksil\u00f6iden, organisaatioiden tai yleisen edun oikeutettuja oikeuksia ja etuja, tietojenk\u00e4sittelij\u00e4n on kannettava vastuu lain mukaisesti<\/li>\n<\/ul>\n\n\n\n<p>Kun tietoja siirret\u00e4\u00e4n ulkomaille, on my\u00f6s velvollisuus laatia tietojen vientiturvallisuusraportti ja raportoida siit\u00e4 alueelliselle verkkotieto-osastolle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Kansallisen_turvallisuuden_tarkastuksesta\"><\/span>Kansallisen turvallisuuden tarkastuksesta<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Kiinan hallituksen mukaan, jos datak\u00e4sittelytoimintaa pidet\u00e4\u00e4n Kiinan kansallista turvallisuutta vaarantavana, on syyt\u00e4 olla tietoinen siit\u00e4, ett\u00e4 suoritetaan kansallisen turvallisuuden tarkastus. Kansallisen turvallisuuden tarkastuksen tulokset ovat lopullisia, eik\u00e4 niit\u00e4 voi haastaa hallinnollisilla muutoksenhauilla tai oikeustoimilla.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tietoturvallisuuslain_rangaistussaannokset\"><\/span>Tietoturvallisuuslain rangaistuss\u00e4\u00e4nn\u00f6kset<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/yellowcard.jpg\" alt=\"Varoittava mies\" class=\"wp-image-63913\" \/><\/figure>\n\n\n\n<p>Tietoturvallisuuslain rikkomisesta voi seurata korjausk\u00e4skyj\u00e4 ja varoituksia, sakkoja, toiminnan keskeytt\u00e4mist\u00e4 korjauksen ajaksi, tiettyjen liiketoimintojen keskeytt\u00e4mist\u00e4 tai liiketoimintaluvan peruuttamista.<\/p>\n\n\n\n<p>Esimerkiksi Kiinan tietoturvallisuuslain (Japanese Data Security Law) 27., 29. ja 30. pyk\u00e4l\u00e4ss\u00e4 m\u00e4\u00e4riteltyjen velvoitteiden laiminly\u00f6nnist\u00e4 voi seurata korjausk\u00e4skyj\u00e4 ja varoituksia, ja suoraan vastuussa oleville henkil\u00f6ille sek\u00e4 muille suoran vastuun kantaville voi tulla m\u00e4\u00e4r\u00e4tt\u00e4v\u00e4ksi 50 000 juanin (noin 6 500 euroa) ja 500 000 juanin (noin 65 000 euroa) v\u00e4lisi\u00e4 sakkoja.<\/p>\n\n\n\n<p>Tietoturvallisuuslain rikkomisesta voivat rangaistuksen kohteeksi joutua paitsi yritykset my\u00f6s suoraan vastuussa olevat henkil\u00f6t ja muut suoran vastuun kantavat ty\u00f6ntekij\u00e4t. On t\u00e4rke\u00e4\u00e4 huomioida, ett\u00e4 rikkomuksesta seuraava rangaistus voi vaikuttaa merkitt\u00e4v\u00e4sti koko organisaatioon, mink\u00e4 vuoksi on v\u00e4ltt\u00e4m\u00e4t\u00f6nt\u00e4 ryhty\u00e4 toimenpiteisiin lain noudattamiseksi.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Japanilaisyritysten_toteutettavat_toimenpiteet_Kiinan_tietoturvallisuuslain_mukaisesti\"><\/span>Japanilaisyritysten toteutettavat toimenpiteet Kiinan tietoturvallisuuslain mukaisesti<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/man-guiding.jpg\" alt=\"Opastava mies\" class=\"wp-image-63914\" \/><\/figure>\n\n\n\n<p>Kiinan tietoturvallisuuslaki koskee kaikkia Kiinassa k\u00e4sitelt\u00e4vi\u00e4 tietoja, joten monien japanilaisyritysten on ryhdytt\u00e4v\u00e4 toimenpiteisiin lain vaatimusten t\u00e4ytt\u00e4miseksi. T\u00e4ss\u00e4 artikkelissa k\u00e4ymme yksityiskohtaisesti l\u00e4pi toimenpiteit\u00e4, joita japanilaisyritysten tulisi toteuttaa tietoturvallisuuslain noudattamiseksi.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tiedonhallinta\"><\/span>Tiedonhallinta<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Ensimm\u00e4isen\u00e4 tarkastelemme tiedonhallintaa. On t\u00e4rke\u00e4\u00e4 selvitt\u00e4\u00e4, millaisia tietoja yrityksess\u00e4 tuotetaan, kertyy ja poistetaan, ja ymm\u00e4rt\u00e4\u00e4 nykyiset tietojenk\u00e4sittelyk\u00e4yt\u00e4nn\u00f6t. Tietojen luokittelun mukaisesti on olennaista tehd\u00e4 tietokartoitus, jossa selvitet\u00e4\u00e4n tietojen luokittelu, siirrot Kiinan ulkopuolelle ja nykyiset tiedonhallintatoimenpiteet.<\/p>\n\n\n\n<p>Kiinan tietoturvallisuuslaissa vaaditaan erityisi\u00e4 suojatoimenpiteit\u00e4 t\u00e4rkeille ja ydintiedoille. T\u00e4m\u00e4n vuoksi on tarpeen m\u00e4\u00e4ritell\u00e4 uudelleen tiedon luottamuksellisuusluokat luokittelun mukaisesti.<\/p>\n\n\n\n<p>Kuitenkin t\u00e4ll\u00e4 hetkell\u00e4 turvallisuustasojen luokittelu on osittain ep\u00e4selv\u00e4. Koska tulevaisuudessa luokittelua voidaan tarkentaa, on t\u00e4rke\u00e4\u00e4 seurata Kiinan viranomaisten julkaisemia luetteloita. Samanaikaisesti on suositeltavaa asettaa luokittelun huomioon ottavia turvallisuustasoja, kuten p\u00e4\u00e4synvalvonta, autentikointi, tietoliikenteen turvallisuus ja fyysiset toimenpiteet.<\/p>\n\n\n\n<p>Lis\u00e4ksi tietoturvapolitiikkaa tulee tarkistaa ja soveltaa tietokartoituksen avulla luokiteltuihin tietoryhmiin sopivia politiikkoja.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Riskinarvioinnin_suorittaminen_ja_raportointi\"><\/span>Riskinarvioinnin suorittaminen ja raportointi<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Kun tietokartoituksen perusteella yrityksen k\u00e4sittelyss\u00e4 on havaittu t\u00e4rkeit\u00e4 tietoja, on suoritettava riskinarviointi tietojenk\u00e4sittelylle. Lis\u00e4ksi on raportoitava tulokset viranomaisille.<\/p>\n\n\n\n<p>Riskinarviointi on teht\u00e4v\u00e4 s\u00e4\u00e4nn\u00f6llisesti, joten on t\u00e4rke\u00e4\u00e4 luoda s\u00e4\u00e4nn\u00f6t, jotka mahdollistavat sen jatkuvan toteuttamisen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tyontekijoiden_koulutus\"><\/span>Ty\u00f6ntekij\u00f6iden koulutus<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Kiinassa otetaan k\u00e4ytt\u00f6\u00f6n yh\u00e4 uusia turvallisuuteen liittyvi\u00e4 s\u00e4\u00e4d\u00f6ksi\u00e4. Tiedonhallinta ja riskinarviointi eiv\u00e4t ole kertaluonteisia toimenpiteit\u00e4, vaan niit\u00e4 on s\u00e4\u00e4nn\u00f6llisesti tarkistettava ja parannettava, jotta ne juurtuvat osaksi yrityskulttuuria. T\u00e4m\u00e4 edellytt\u00e4\u00e4 ty\u00f6ntekij\u00f6iden koulutusta.<\/p>\n\n\n\n<p>Koska asiaan liittyv\u00e4t niin lakiosasto kuin hallinto- ja riskienhallintayksik\u00f6tkin, on t\u00e4rke\u00e4\u00e4, ett\u00e4 eri osastot eiv\u00e4t toimi erill\u00e4\u00e4n vaan yhteisty\u00f6ss\u00e4. Vaikka laki on t\u00e4ll\u00e4 hetkell\u00e4 osin ep\u00e4selv\u00e4, on jo tapauksia, joissa rikkomuksista on seurannut sanktioita. T\u00e4m\u00e4n vuoksi tietoturvallisuuslain noudattaminen on v\u00e4ltt\u00e4m\u00e4t\u00f6nt\u00e4.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Kiinan_kyberturvallisuuden_kolmen_lain_erityispiirteet\"><\/span>Kiinan kyberturvallisuuden kolmen lain erityispiirteet<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/3-pieces.jpg\" alt=\"\" class=\"wp-image-63915\" \/><\/figure>\n\n\n\n<p>Kiinan kyberturvallisuuden kolme lakia viittaavat Kiinassa voimaan astuneisiin <em>kyberturvallisuuslakiin<\/em>, <em>tietoturvallisuuslakiin<\/em> ja <em>henkil\u00f6tietojen suojalakiin<\/em>. Kyberturvallisuuslaki keskittyy kyberhy\u00f6kk\u00e4ysten torjuntaan, tietoturvallisuuslaki tiedon s\u00e4ilytt\u00e4miseen ja henkil\u00f6tietojen suojalaki henkil\u00f6tietojen turvallisuuden vahvistamiseen.<\/p>\n\n\n\n<p>Liittyv\u00e4 artikkeli: <a href=\"https:\/\/monolith.law\/corporate\/china-cyber-security-law\" target=\"_blank\" rel=\"noreferrer noopener\">Mik\u00e4 on Kiinan kyberturvallisuuslaki? T\u00e4rke\u00e4t noudatettavat seikat selitettyn\u00e4[ja]<\/a><\/p>\n\n\n\n<p>N\u00e4in ollen, vaikka laeilla on omat erityispiirteens\u00e4, niille kaikille on yhteist\u00e4 se, ett\u00e4 ne m\u00e4\u00e4rittelev\u00e4t hallinnolliset rangaistukset, siviilioikeudelliset vahingonkorvaukset ja rikosoikeudelliset vastuut rikkomusten varalta. Lis\u00e4ksi rikkomuksen kohteena voivat olla paitsi yritykset my\u00f6s niiden suorat vastuuhenkil\u00f6t, jotka voivat joutua kieltoon harjoittaa samaa liiketoimintaa tai heid\u00e4n tietonsa voivat p\u00e4\u00e4ty\u00e4 valtion rikkomustietokantaan.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Yhteenveto_Kiinnita_huomiota_Kiinan_datalainsaadantoon_ja_toimi_nopeasti\"><\/span>Yhteenveto: Kiinnit\u00e4 huomiota Kiinan datalains\u00e4\u00e4d\u00e4nt\u00f6\u00f6n ja toimi nopeasti<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/japan-china.jpg\" alt=\"\" class=\"wp-image-63916\" \/><\/figure>\n\n\n\n<p>Kiinan Data Security Law on laki, joka sovelletaan Kiinassa tapahtuvaan datan k\u00e4sittelyyn ja joka m\u00e4\u00e4rittelee muun muassa datan luokittelun, suojaustasot ja riskiarvioinnit. Useita lakeja, kuten Cybersecurity Law, Personal Information Protection Law ja Internet Product Security Vulnerability Management Regulations, on julkaistu, ja niiden vaatimusten mukainen toiminta on v\u00e4ltt\u00e4m\u00e4t\u00f6nt\u00e4.<\/p>\n\n\n\n<p>T\u00e4ll\u00e4 hetkell\u00e4 turvallisuustasojen luokittelu ei ole t\u00e4ysin selke\u00e4, ja vaikka ep\u00e4selvyyksi\u00e4 onkin, on jo n\u00e4hty tapauksia, joissa rikkomuksista on seurannut sakkoja. Siksi on t\u00e4rke\u00e4\u00e4, ett\u00e4 toimimme lain vaatimusten mukaisesti. On olennaista pysy\u00e4 ajan tasalla Kiinan lains\u00e4\u00e4d\u00e4nn\u00f6n suhteen ja toteuttaa toimenpiteit\u00e4 sen mukaisesti.<\/p>\n\n\n\n<p>Jos sinulla on liiketoimintaa Kiinassa tai suunnittelet sen aloittamista, suosittelemme konsultoimaan Kiinan lains\u00e4\u00e4d\u00e4nt\u00f6\u00f6n perehtynytt\u00e4 asianajajaa.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Toimenpiteemme_esittely\"><\/span>Toimenpiteemme esittely<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Monolith Lakitoimisto on IT-alan, erityisesti internetin ja oikeudellisten palveluiden, rikkaan kokemuksen omaava lakitoimisto. Globalisaation my\u00f6t\u00e4 kansainv\u00e4linen liiketoiminta on kasvanut merkitt\u00e4v\u00e4sti, ja asiantuntijoiden suorittaman oikeudellisen tarkastuksen tarve on lis\u00e4\u00e4ntynyt. Tarjoamme ratkaisuja kansainv\u00e4lisiin oikeudellisiin kysymyksiin, kuten Kiinan, Yhdysvaltojen ja EU-maiden lains\u00e4\u00e4d\u00e4nt\u00f6\u00f6n liittyen.<\/p>\n\n\n\n<p>Monolith Lakitoimiston palvelualueet: <a href=\"https:\/\/monolith.law\/global-jpn2fgn\" target=\"_blank\" rel=\"noreferrer noopener\">Kansainv\u00e4linen oikeudellinen neuvonta ja ulkomaantoiminta[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kiinan tietoturvalaki on Kiinan tietoalaa koskeva laki, joka tuli voimaan syyskuussa 2021 (Reiwa 3). Koska se soveltuu kaikkeen Kiinassa tapahtuvaan tietojenk\u00e4sittelyyn, yritysten, jotka toimivat Kiin [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":65978,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/posts\/65679"}],"collection":[{"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/comments?post=65679"}],"version-history":[{"count":2,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/posts\/65679\/revisions"}],"predecessor-version":[{"id":65979,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/posts\/65679\/revisions\/65979"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/media\/65978"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/media?parent=65679"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/categories?post=65679"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/fi\/wp-json\/wp\/v2\/tags?post=65679"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}