चीनी साइबर सुरक्षा कानून क्या है? अनुपालन के दौरान ध्यान में रखने योग्य मुख्य बिंदु

जापानी इंपीरियल डेटा बैंक की ‘विशेष योजना: जापानी कंपनियों के “चीन प्रवेश” के रुझान का सर्वेक्षण (2022)[ja]‘ के अनुसार, चीन में प्रवेश कर चुकी जापानी कंपनियों की संख्या 12,706 हो गई है। चीन से संबंधित व्यापार करने वाली कंपनियां इससे भी अधिक हो सकती हैं। चीन में, ‘जापानी चीन साइबर सुरक्षा कानून’ 2017 में लागू हुआ था।

इसके चलते, चीन में व्यापार विकास के लिए, कानून के अनुसार नियमों का संशोधन और तकनीकी सुरक्षा उपाय करना अनिवार्य हो गया है। फिर भी, कुछ लोगों को यह नहीं पता कि यह कानून क्या है या इसके अनुपालन के तरीके क्या हैं।

इसलिए, इस लेख में हम ‘जापानी चीन साइबर सुरक्षा कानून’ के मुख्य बिंदुओं, विनियमन के लक्ष्यों, और उठाए जाने वाले उपायों की व्याख्या करेंगे। जो लोग चीन में व्यापार विकास कर रहे हैं या भविष्य में प्रवेश करने की सोच रहे हैं, उन्हें अवश्य ही इसे पढ़ना चाहिए।

चीनी साइबर सुरक्षा कानून का सारांश

चीनी साइबर सुरक्षा कानून (网络安全法) वह कानून है जो जून 2017 (平成29年) में लागू किया गया था। इस कानून का उद्देश्य धारा 1 में निम्नलिखित रूप में वर्णित है:

• नेटवर्क की सुरक्षा को सुनिश्चित करना
• साइबर स्पेस की संप्रभुता, राष्ट्रीय सुरक्षा, और सार्वजनिक हितों की रक्षा करना
• नागरिकों, कॉर्पोरेट और अन्य संगठनों के वैध अधिकारों और हितों की सुरक्षा करना
• आर्थिक और सामाजिक सूचना विकास को बढ़ावा देना

नेटवर्क से तात्पर्य है, “कंप्यूटर या अन्य सूचना टर्मिनल और संबंधित उपकरणों द्वारा निर्मित, जो निश्चित नियमों और प्रोग्रामों के अनुसार जानकारी को एकत्रित, संग्रहित, प्रेषित, आदान-प्रदान, और संसाधित करते हैं (धारा 76)” और यह केवल इंटरनेट तक ही सीमित नहीं है, बल्कि इंट्रानेट को भी शामिल करता है।

चीनी साइबर सुरक्षा कानून, यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन (GDPR) और जापानी व्यक्तिगत सूचना संरक्षण कानून से अलग है, क्योंकि यह केवल ‘व्यक्तिगत और संगठनात्मक जानकारी की सुरक्षा’ ही नहीं, बल्कि ‘चीनी राष्ट्रीय सुरक्षा और सार्वजनिक हितों की सुरक्षा’ को भी उद्देश्य बनाता है। कानून में, संबंधित व्यवसायों के लिए साइबर सुरक्षा ग्रेड संरक्षण के कार्यान्वयन, अनुपालन का पालन, और अधिकारों और कर्तव्यों की स्पष्टता जैसे मामलों को निर्धारित किया गया है।

सुरक्षा से संबंधित अन्य कानूनों में चीनी डेटा सुरक्षा कानून भी शामिल है।

संबंधित लेख: चीनी डेटा सुरक्षा कानून क्या है? जापानी कंपनियों को कौन से उपाय करने चाहिए, इसकी व्याख्या[ja]

चीनी साइबर सुरक्षा कानून के नियमन के अधीन व्यवसाय

जापानी कंपनियां तब चीनी साइबर सुरक्षा कानून के दायरे में आती हैं, जब निम्नलिखित स्थितियां लागू होती हैं:

• चीन के अंदर जानकारी का संचालन होता है
• चीन से जापान को जानकारी का स्थानांतरण होता है

यदि आपका मुख्यालय जापान में है, फिर भी उपरोक्त स्थितियों में आप इस कानून के अधीन होंगे। नियमन के अधीन व्यक्तियों में ‘नेटवर्क ऑपरेटर’ और ‘महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर सुविधाओं के ऑपरेटर’ शामिल हैं।

नेटवर्क ऑपरेटर से तात्पर्य उन व्यक्तियों से है जो नेटवर्क के मालिक या प्रबंधक हैं, या नेटवर्क सेवाएं प्रदान करते हैं।

महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर सुविधाओं के ऑपरेटर से तात्पर्य उन व्यक्तियों से है जो ऐसी सुविधाओं का संचालन करते हैं जिनके क्षतिग्रस्त होने पर राष्ट्रीय सुरक्षा को खतरा हो सकता है, जैसे कि ऊर्जा, परिवहन, वित्त, और सार्वजनिक सेवाओं जैसे क्षेत्रों में, और जिनके द्वारा डेटा लीक या क्षति से राष्ट्रीय सुरक्षा, नागरिकों के जीवन और सार्वजनिक हित को गंभीर रूप से नुकसान पहुंच सकता है।

चीनी साइबर सुरक्षा कानून की सामग्री

चीनी साइबर सुरक्षा कानून में निम्नलिखित जिम्मेदारियां निर्धारित की गई हैं।

• साइबर सुरक्षा के ग्रेड की स्थापना
• राष्ट्रीय अनिवार्य मानकों का पालन
• वास्तविक नाम पंजीकरण की आवश्यकता
• महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर सुविधाओं के संचालकों के लिए जिम्मेदारियां
• प्रबंधन और प्रतिक्रिया तंत्र का निर्माण

यहाँ हम प्रत्येक की विस्तार से व्याख्या करेंगे।

साइबर सुरक्षा के ग्रेड स्थापना

चीनी साइबर सुरक्षा कानून (Chinese Cybersecurity Law) के अनुच्छेद 21 के अनुसार, नेटवर्क ऑपरेटरों को पालन करने वाली ‘ग्रेड प्रोटेक्शन सिस्टम’ का प्रावधान किया गया है, और चीन के भीतर नेटवर्क का मालिकाना हक रखने वाली कंपनियों और संगठनों को ग्रेड प्रोटेक्शन प्रमाणन प्राप्त करना आवश्यक है।

ग्रेड प्रोटेक्शन सिस्टम एक सार्वजनिक मूल्यांकन प्रणाली है जो नेटवर्क सुरक्षा प्रबंधन व्यवस्था का आकलन करती है। इसके अंतर्गत आने वाले क्षेत्र निम्नलिखित हैं:

• नेटवर्क इंफ्रास्ट्रक्चर
• IoT
• औद्योगिक नियंत्रण प्रणाली
• बड़े इंटरनेट साइट्स और डेटा सेंटर्स
• सार्वजनिक सेवा प्लेटफॉर्म

ग्रेड प्रोटेक्शन सिस्टम में, जानकारी प्रणाली के क्षतिग्रस्त होने पर प्रभाव की परिधि और क्षति के आकार के आधार पर, निम्नलिखित पांच ग्रेड में वर्गीकृत किया गया है:

इसके अलावा, प्रत्येक ग्रेड की परिभाषा निम्नलिखित है:

इस वर्गीकरण के अनुसार, सूचना सुरक्षा के मानकों का पालन करना निर्धारित किया गया है। नेटवर्क ऑपरेटरों के लिए द्वितीय ग्रेड या उससे ऊपर, और महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर ऑपरेटरों के लिए तृतीय ग्रेड या उससे ऊपर का ग्रेड लागू होना सामान्य है।

ग्रेड प्राप्ति के लिए, ऑपरेटरों को स्वयं अपने ग्रेड का आवेदन करना होता है, लेकिन अंततः पब्लिक सेफ्टी डिपार्टमेंट से सहमति प्राप्त करना आवश्यक है। इसके अलावा, ग्रेड प्रोटेक्शन सिस्टम के तहत, द्वितीय ग्रेड या उससे ऊपर के लिए मूल्यांकन संस्थान द्वारा मूल्यांकन करवाना अनिवार्य है। ग्रेड प्रोटेक्शन सिस्टम का उल्लंघन करने पर जुर्माना लग सकता है, इसलिए सावधानी बरतनी चाहिए।

राष्ट्रीय अनिवार्य मानकों का अनुपालन

इंटरनेट उत्पादों और सेवाओं के प्रदाताओं को अपनी प्रदान की गई सेवाओं को राष्ट्रीय अनिवार्य मानकों के अनुरूप बनाना आवश्यक है (धारा 22)। प्रदाताओं को दुर्भावनापूर्ण प्रोग्राम स्थापित करने की अनुमति नहीं है।

इसके अलावा, यदि उत्पादों या सेवाओं में कोई दोष, कमजोरी या अन्य जोखिम पाया जाता है, तो तुरंत उपाय करने और उपयोगकर्ताओं को सूचित करने के साथ-साथ संबंधित नियामक प्राधिकरणों को रिपोर्ट करना आवश्यक है।

2021年 (रेइवा 3年) के सितंबर में, ‘इंटरनेट उत्पाद सुरक्षा कमजोरी प्रबंधन नियम (网络产品安全漏洞管理规定)’ नेटवर्क ऑपरेटरों के लिए लागू किए गए थे, इसलिए इस नियम का भी संदर्भ लेना और उसके अनुसार कार्य करना आवश्यक होगा।

実名登録が求められる (वास्तविक नाम पंजीकरण की आवश्यकता)

नेटवर्क कनेक्शन सेवाएं, स्थिर टेलीफोन और मोबाइल फोन के नेटवर्क कनेक्शन प्रक्रियाएं, सूचना साझा करने की सेवाएं, इंस्टेंट मैसेजिंग सेवाएं आदि उपयोगकर्ताओं को प्रदान करते समय, उपयोगकर्ताओं का वास्तविक नाम पंजीकरण करना अनिवार्य है। यदि उपयोगकर्ता वास्तविक नाम पंजीकरण नहीं करते हैं, तो उन्हें सेवा प्रदान नहीं की जा सकती है।

इसके अलावा, नेटवर्क ऑपरेटरों को यह भी जिम्मेदारी है कि वे यह सुनिश्चित करें कि उपयोगकर्ताओं द्वारा प्रसारित की जा रही सूचना किसी भी कानून का उल्लंघन तो नहीं कर रही है।

महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर सुविधा संचालकों के लिए अनिवार्य कर्तव्य

महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर सुविधाओं के संचालकों को नेटवर्क संचालकों पर लागू सुरक्षा उपायों को अंजाम देने के साथ-साथ, निम्नलिखित जैसे अतिरिक्त उपाय भी करने की आवश्यकता होती है:

• सिस्टम और डेटाबेस का नियमित बैकअप लेना
• सुरक्षा घटनाओं के प्रतिक्रिया योजना का निर्माण
• वार्षिक सुरक्षा मूल्यांकन
• डेटा लोकलाइजेशन

डेटा लोकलाइजेशन: डेटा को उस देश की सीमा के भीतर संग्रहित और संसाधित करने की प्रक्रिया, जहां डेटा उत्पन्न हुआ है।

सितंबर 2021 (रेइवा 3) में लागू किए गए ‘महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर सुविधा सुरक्षा संरक्षण नियमावली’ में, महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर सुविधाओं के प्रबंधन, प्रमाणन और संचालकों के कर्तव्यों को और अधिक विस्तार से निर्धारित किया गया है, इसलिए इसे भी संदर्भित करना आवश्यक है।

प्रबंधन और प्रतिक्रिया तंत्र का निर्माण

नेटवर्क ऑपरेटरों से जो अपेक्षाएँ की जाती हैं, उनमें निम्नलिखित शामिल हैं (धारा 21)।

• सुरक्षा प्रबंधन प्रणाली और संचालन प्रक्रियाओं का निर्माण
• नेटवर्क के सुरक्षा प्रभारी की पहचान
• सुरक्षा घटनाओं के लिए प्रतिक्रिया योजना का विकास और तकनीकी उपायों की स्थापना
• नेटवर्क की निगरानी तकनीक का कार्यान्वयन, लॉग रिकॉर्ड्स का संरक्षण (कम से कम 6 महीने)
• डेटा वर्गीकरण, महत्वपूर्ण डेटा का बैकअप और एन्क्रिप्शन जैसे सुरक्षा उपाय

साइबर सुरक्षा कानून (Japanese Cybersecurity Law) का उल्लंघन करने पर प्रावधान

यदि आप ग्रेड प्रोटेक्शन सिस्टम द्वारा निर्धारित सुरक्षा आवश्यकताओं का उल्लंघन करते हैं, तो आपको सुधारात्मक आदेश और चेतावनी जारी की जाएगी। यदि आप आदेश को अस्वीकार करते हैं या नेटवर्क की सुरक्षा को खतरे में डालते हैं, तो आपको 10,000 युआन से लेकर 100,000 युआन तक का जुर्माना भरना पड़ सकता है। सीधे जिम्मेदार व्यक्ति पर 5,000 युआन से लेकर 50,000 युआन तक का जुर्माना लगाया जा सकता है।

इसके अलावा, यदि आप मालिशियस प्रोग्राम इंस्टॉल करते हैं या उत्पादों और सेवाओं में दोष या सुरक्षा छिद्रों जैसे जोखिमों के लिए उपाय नहीं करते हैं, तो भी आपको सुधारात्मक आदेश और चेतावनी जारी की जाएगी, और यदि आप इसे अस्वीकार करते हैं तो जुर्माने का भुगतान करना पड़ सकता है।

उल्लंघन की प्रकृति के आधार पर जुर्माने की राशि भिन्न हो सकती है, और वेबसाइट को बंद करने, व्यापार लाइसेंस को निरस्त करने, या व्यावसायिक गतिविधियों को रोकने जैसे आदेश भी दिए जा सकते हैं, इसलिए सावधानी बरतना जरूरी है। अतीत में, उल्लंघन के कारण जुर्माने और जिम्मेदार व्यक्तियों पर आजीवन समान उद्योग में काम करने पर प्रतिबंध लगाने जैसे मामले भी हुए हैं, इसलिए साइबर सुरक्षा के उपाय अत्यंत आवश्यक हैं।

जापानी कंपनियों को लेने चाहिए साइबर सुरक्षा कानून के उपाय

चीनी साइबर सुरक्षा कानून जटिल है, इसलिए कुछ लोगों को यह समझ नहीं आता कि शुरुआत कहां से करें। यहां हम जापानी कंपनियों के लिए उचित उपायों की व्याख्या करेंगे।

सूचना प्रणाली विभाग और DX संबंधित विभागों के साथ सहयोग की व्यवस्था बनाना

चीनी साइबर सुरक्षा कानून का पालन करने के लिए, ऑपरेशन प्रक्रियाओं का निर्माण और व्यक्तिगत जानकारी प्रबंधन नियमों का निर्धारण और जोड़ना आवश्यक है। साथ ही, ग्रेड प्रोटेक्शन सिस्टम के अनुरूप, अपने सिस्टम के लिए तकनीकी उपाय अत्यंत महत्वपूर्ण हैं।

कानूनी और सामान्य प्रशासन विभागों को अकेले ही इसका सामना नहीं करना चाहिए, बल्कि सूचना प्रणाली विभाग और DX संबंधित विभागों के साथ सहयोग की व्यवस्था बनाना आवश्यक है।

अपनी कंपनी के प्रत्येक सिस्टम का ग्रेड निर्धारित करना

सबसे पहले, अपने सिस्टम का ग्रेड निर्धारण करें। उस ग्रेड के अनुसार, प्रत्येक विभाग को साइबर सुरक्षा के अनुरूप उपाय करने की आवश्यकता है। कानूनी, सामान्य प्रशासन और जोखिम प्रबंधन विभागों को कानून के अनुरूप नियमों और प्रक्रियाओं की समीक्षा और संशोधन करना होगा, जबकि सूचना प्रणाली और DX संबंधित विभागों को तकनीकी पहलुओं में उपाय करने होंगे। यहां हम प्रत्येक उपाय की व्याख्या करेंगे।

कानूनी, सामान्य प्रशासन और जोखिम प्रबंधन विभाग

ग्रेड में निर्धारित मामलों और अपनी कंपनी की प्रबंधन स्थिति, सूचना सुरक्षा प्रणाली की तुलना करें, नियमों की जोड़ और प्रक्रिया प्रणाली की समीक्षा करें। फिर, कैसे उपाय करना है इस पर विचार करें और प्रणाली की स्थापना या संशोधन करना आवश्यक होगा।

यदि ग्रेड दूसरे स्तर से ऊपर है, तो प्राधिकरण को सूचना भी देनी होगी। यदि आपकी कंपनी को महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर संचालक माना जाता है, तो तीसरे स्तर या उससे ऊपर के ग्रेड प्रोटेक्शन प्रमाणन की आवश्यकता होगी। डेटा लोकलाइजेशन नियमों का पालन, कर्मचारियों को नियमित सूचना सुरक्षा शिक्षा और तकनीकी प्रशिक्षण देना आदि, अनेक उपाय करने होंगे। यदि आपकी कंपनी महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर संचालक के रूप में मानी जा सकती है, तो वकील सलाहकार से परामर्श करके उपाय नीति तय करना सुरक्षित होगा।

हाल के वर्षों में, चीन में सुरक्षा संबंधित नियमों का लगातार कार्यान्वयन हो रहा है। इसलिए, जोखिम प्रबंधन विभाग को नए नियमों के अनुसार जोखिम उपाय करने की आवश्यकता होगी।

सूचना प्रणाली और DX संबंधित विभाग

सूचना प्रणाली और DX संबंधित विभागों को ग्रेड के अनुसार सुरक्षा संरक्षण उपायों की प्रणाली को लागू करना होगा। सबसे पहले, अपनी कंपनी की मौजूदा सिस्टम की सुरक्षा संरक्षण उपायों को व्यवस्थित करें, और यदि कोई कमी है, तो साइबर सुरक्षा कानून के अनुरूप सिस्टम को शामिल करें।

साइबर सुरक्षा कानून के अलावा, डेटा लोकलाइजेशन नियमों, सीमा पार प्रतिबंधों, सरकारी पहुंच आदि का भी सामना करना होगा। चीन के बाहर किस प्रकार का डेटा स्थानांतरित किया जा रहा है, इसकी समझ बनाएं और अपनी कंपनी के डेटा प्राप्ति और संग्रहण की स्थिति की समीक्षा करें।

साइबर सुरक्षा कानून में, केवल नियमों के संशोधन तक सीमित नहीं रहना चाहिए, बल्कि तकनीकी सुरक्षा उपाय भी करने होंगे, इसलिए विभागों के बीच सहयोग अत्यंत महत्वपूर्ण है।

सारांश: अपनी कंपनी के अनुकूलन में समस्या होने पर, कृपया विशेषज्ञों से परामर्श लें

चीनी साइबर सुरक्षा कानून चीनी राष्ट्रीय सुरक्षा के लिए बनाई गई एक प्रणाली है। साइबर सुरक्षा कानून के अनुरूप होने के लिए, केवल कानूनी विभाग या प्रशासनिक विभाग द्वारा नियमों का संशोधन ही नहीं, बल्कि तकनीकी सुरक्षा उपायों को भी करने की आवश्यकता है।

साइबर सुरक्षा कानून लागू होने के बाद, ‘इंटरनेट उत्पाद सुरक्षा कमजोरियों का प्रबंधन नियम’ और ‘साइबर सुरक्षा समीक्षा विधि (राष्ट्रीय सुरक्षा समीक्षा प्रणाली को विशिष्ट बनाने वाली प्रणाली)’ जैसे डेटा अनुपालन से संबंधित कानून एक के बाद एक बनाए जा रहे हैं। उल्लंघन करने पर जुर्माना, वेबसाइट का बंद होना, व्यापार लाइसेंस का निरसन जैसे प्रशासनिक दंड का सामना करने की संभावना है, इसलिए सावधानी बरतनी चाहिए। यदि आप चीन में व्यापार विस्तार कर रहे हैं या भविष्य में ऐसा करने की योजना बना रहे हैं, तो हम आपको चीनी कानूनों के जानकार वकीलों से परामर्श करने की सलाह देते हैं।

हमारे कानूनी फर्म द्वारा उपायों की जानकारी

मोनोलिथ कानूनी फर्म IT और इंटरनेट बिजनेस में विशेषज्ञता रखने वाली एक कानूनी फर्म है। हमने चीन, अमेरिका, EU देशों सहित विश्व भर के मामलों में सहायता की है। विदेशों में व्यापार विस्तार करते समय, कई कानूनी जोखिम सामने आते हैं, इसलिए अनुभवी वकीलों द्वारा समर्थन अत्यंत आवश्यक होता है। हमारी फर्म स्थानीय कानूनों और नियमों में गहरी समझ रखती है और विश्व भर के कानूनी फर्मों के साथ सहयोग करती है।

मोनोलिथ कानूनी फर्म के विशेषज्ञता के क्षेत्र: अंतर्राष्ट्रीय कानूनी मामले और विदेशी व्यापार[ja]