चीनी डेटा सुरक्षा कानून क्या है? जापानी कंपनियों को कौन से उपाय अपनाने चाहिए, इसकी व्याख्या

चीनी डेटा सुरक्षा कानून (Chinese Data Security Law) चीन के डेटा क्षेत्र में एक कानून है, जो 2021 के सितंबर में लागू हुआ था। चूंकि यह कानून चीन के भीतर किए जाने वाले सभी डेटा प्रोसेसिंग पर लागू होता है, इसलिए चीन में व्यापार करने वाली कंपनियों और भविष्य में विस्तार की योजना बना रही कंपनियों को अपने मौजूदा नियमों और प्रबंधन नीतियों की समीक्षा और संशोधन करने की आवश्यकता होगी। हालांकि, कुछ लोग इस कानून को समझ नहीं पा रहे होंगे या उचित उपाय करने को लेकर चिंतित होंगे।

इसलिए, इस लेख में हम चीनी डेटा सुरक्षा कानून के मुख्य बिंदुओं, इसे समझने के लिए महत्वपूर्ण बिंदुओं, दंडात्मक प्रावधानों और जापान में इसके प्रतिक्रिया उपायों के बारे में विस्तार से बताएंगे।

चीनी डेटा सुरक्षा कानून क्या है?

चीनी डेटा सुरक्षा कानून (चीनी जनवादी गणराज्य डेटा सुरक्षा कानून) वह कानून है जो सितंबर 2021 में लागू हुआ था, और यह चीन की डेटा सुरक्षा से संबंधित है। यह कानून जून 2017 में लागू हुए ‘चीनी साइबर सुरक्षा कानून’ की तरह, राष्ट्रीय सुरक्षा की रक्षा के लिए बनाया गया था।

चीनी साइबर सुरक्षा कानून: चीन के ‘नेटवर्क’ की सुरक्षा के लिए बनाया गया कानून

चीनी डेटा सुरक्षा कानून के उद्देश्य निम्नलिखित हैं (धारा 1)।

• डेटा संचालन गतिविधियों का नियमन
• डेटा सुरक्षा की गारंटी
• डेटा के विकास और उपयोग को बढ़ावा देना
• व्यक्तियों और संगठनों के वैध अधिकारों और हितों की सुरक्षा
• राष्ट्रीय संप्रभुता, सुरक्षा और विकास के हितों की रक्षा

जहां चीनी साइबर सुरक्षा कानून इलेक्ट्रॉनिक डेटा को नियमन का विषय बनाता था, वहीं चीनी डेटा सुरक्षा कानून में इलेक्ट्रॉनिक के साथ-साथ कागजी जैसे गैर-इलेक्ट्रॉनिक डेटा को भी नियमन का विषय बनाया गया है (धारा 3)। इस कानून में डेटा के वर्गीकरण, सुरक्षा प्रमाणन प्रणाली की स्थापना, और डेटा सुरक्षा के संरक्षण के कर्तव्यों के बारे में निर्देश दिए गए हैं।

चीनी डेटा सुरक्षा कानून को समझने के महत्वपूर्ण बिंदु

चीनी डेटा सुरक्षा कानून में विभिन्न प्रावधान हैं, और इसे पूरी तरह समझ पाना कई लोगों के लिए कठिन हो सकता है। यहाँ हम डेटा सुरक्षा कानून की सामग्री को निम्नलिखित पाँच महत्वपूर्ण बिंदुओं पर विस्तार से समझाएंगे।

• नियमन के अधीन
• डेटा वर्गीकरण और ग्रेडिंग मानकों का निर्माण
• डेटा की सुरक्षा प्रबंधन
• डेटा स्थानांतरण के नियमन
• राष्ट्रीय सुरक्षा समीक्षा

नियमन के अधीन

कानून द्वारा नियमित डेटा वह सभी है जो चीन के भीतर ‘डेटा प्रोसेसिंग’ के दौरान होता है। यदि डेटा प्रोसेसिंग की गतिविधियाँ चीन के बाहर की जाती हैं, तब भी यह लागू होता है अगर वे चीनी राष्ट्रीय सुरक्षा, सार्वजनिक हित, या नागरिकों और संगठनों के हितों को हानि पहुँचाते हैं।

‘डेटा’ से आशय इलेक्ट्रॉनिक या अन्य तरीकों से जानकारी के रिकॉर्ड से है, जिसमें कागजी रिकॉर्ड भी शामिल हैं, इस बिंदु पर ध्यान देना जरूरी है। ‘डेटा प्रोसेसिंग’ से तात्पर्य डेटा के संग्रहण, संरक्षण, उपयोग, प्रोसेसिंग, प्रेषण, प्रदान, और प्रकटीकरण आदि से है, और ये क्रियाएँ करने वाले को ‘डेटा प्रोसेसर’ कहा जाता है।

डेटा वर्गीकरण और ग्रेडिंग मानकों की स्थापना के बारे में

डेटा प्रोसेसर को ग्रेड प्रोटेक्शन सिस्टम के आधार पर डेटा सुरक्षा सुनिश्चित करनी चाहिए। ग्रेड प्रोटेक्शन सिस्टम एक सार्वजनिक मूल्यांकन प्रणाली है जो नेटवर्क सुरक्षा प्रबंधन को मान्यता प्रदान करती है, और ग्रेड के अनुसार उठाए जाने वाले कदम भिन्न होते हैं। इसके अलावा, डेटा के नष्ट होने या लीक होने से राष्ट्रीय सुरक्षा, सार्वजनिक हित, व्यक्तियों या संगठनों को होने वाले नुकसान की गंभीरता के आधार पर डेटा को वर्गीकृत करना आवश्यक है।

वर्गीकरण ‘सामान्य डेटा’, ‘महत्वपूर्ण डेटा’, और ‘कोर डेटा’ के तीन भागों में किया जाता है। ‘नेटवर्क डेटा सुरक्षा प्रबंधन विनियमन (राय अनुरोध ड्राफ्ट)’ के अनुसार, महत्वपूर्ण डेटा को ‘ऐसे डेटा के रूप में परिभाषित किया गया है जिसके बदलाव, नष्ट होने, लीक होने, अवैध प्राप्ति या अवैध उपयोग से राष्ट्रीय सुरक्षा या सार्वजनिक हित को खतरा हो सकता है।’ कोर डेटा वह है जो राष्ट्रीय सुरक्षा, राष्ट्रीय अर्थव्यवस्था की जीवन रेखा, महत्वपूर्ण नागरिक जीवन, और प्रमुख सार्वजनिक हित से संबंधित है (धारा 21)।

लेखन के समय तक, महत्वपूर्ण डेटा और कोर डेटा की विशिष्ट सूची उपलब्ध नहीं है, इसलिए ‘नेटवर्क डेटा सुरक्षा प्रबंधन विनियमन (राय अनुरोध ड्राफ्ट)’ में दिए गए महत्वपूर्ण डेटा के उदाहरणों का संदर्भ लेकर अपने डेटा को वर्गीकृत करना उचित होगा। साथ ही, संबंधित विभाग द्वारा प्रकाशित सूची की निगरानी करना भी महत्वपूर्ण है।

डेटा सुरक्षा प्रबंधन के बारे में

डेटा प्रोसेसर के रूप में अपेक्षित प्रतिक्रियाओं में निम्नलिखित शामिल हैं:

• डेटा सुरक्षा शिक्षा और प्रशिक्षण का कार्यान्वयन
• ग्रेड प्रोटेक्शन सिस्टम के अनुसार डेटा सुरक्षा की रक्षा कर्तव्य
• जोखिम निगरानी का निरंतर कार्यान्वयन
• डेटा जीवनचक्र के दौरान सुरक्षा प्रबंधन प्रणाली की स्थापना
• जिम्मेदार व्यक्ति की नियुक्ति
• तकनीकी उपाय

मूल रूप से, यह ‘जानकारी सुरक्षा प्रबंधन प्रणाली (ISMS)’ की मांगों के समान है, लेकिन डेटा के वर्गीकरण के अनुसार प्रबंधन उपायों को लागू करने की आवश्यकता पर ध्यान देना चाहिए।

यदि कोई घटना घटित होती है, तो तुरंत उपाय करना चाहिए और उपयोगकर्ताओं तथा प्राधिकरण को सूचित करना आवश्यक है। इसके अलावा, महत्वपूर्ण डेटा को संसाधित करते समय, नियमित रूप से जोखिम मूल्यांकन करना और संबंधित नियामक विभागों को जोखिम मूल्यांकन रिपोर्ट प्रस्तुत करने की आवश्यकता भी होती है।

डेटा के स्थानांतरण के नियमन के बारे में

डेटा के स्थानांतरण के संदर्भ में, महत्वपूर्ण डेटा के मामले में नियमन लागू होते हैं। जब महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर सुविधाओं के संचालक चीन के भीतर अपने व्यापारिक कार्यों के दौरान प्राप्त या उत्पन्न किए गए महत्वपूर्ण डेटा को सीमा पार करते हैं, तो उन पर जापानी साइबर सुरक्षा कानून के प्रावधान लागू होते हैं।

महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर सुविधाएं: ऐसे क्षेत्र जिनमें क्षति होने पर राष्ट्रीय सुरक्षा को खतरा हो सकता है (जैसे कि ऊर्जा, परिवहन, वित्त, सार्वजनिक सेवाएं आदि) और जिनके द्वारा संचालित सुविधाओं के नुकसान या डेटा लीक होने से राष्ट्रीय सुरक्षा, नागरिक जीवन और सार्वजनिक हित को गंभीर रूप से क्षति पहुंच सकती है।

यदि आप महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर सुविधाओं के संचालक नहीं हैं और डेटा प्रोसेसर हैं, तो आपको ‘डेटा अंतर्राष्ट्रीय स्थानांतरण सुरक्षा मूल्यांकन प्रक्रिया’ के अनुसार, प्राधिकरण द्वारा सुरक्षा मूल्यांकन की समीक्षा करवानी होगी और उसमें पास होने के बाद ही स्थानांतरण करना होगा।

‘नेटवर्क डेटा सुरक्षा प्रबंधन विनियमन (राय आमंत्रण मसौदा)’ के अनुसार, महत्वपूर्ण डेटा के अलावा अन्य डेटा को देश के बाहर स्थानांतरित करने के मामले में भी, निम्नलिखित स्थितियों में प्राधिकरण के सुरक्षा मूल्यांकन की समीक्षा प्राप्त करनी होगी और उसमें पास होना अनिवार्य है:

• यदि सीमा पार डेटा में महत्वपूर्ण डेटा शामिल है
• यदि महत्वपूर्ण सूचना इंफ्रास्ट्रक्चर सुविधाओं के संचालक या 10 लाख से अधिक व्यक्तियों की व्यक्तिगत जानकारी को संसाधित करने वाले डेटा प्रोसेसर व्यक्तिगत जानकारी को देश के बाहर प्रदान करते हैं

इसके अलावा, डेटा को देश के बाहर स्थानांतरित करने वालों के लिए निम्नलिखित जिम्मेदारियां निर्धारित की गई हैं:

• नेटवर्क सूचना विभाग को प्रस्तुत की गई व्यक्तिगत जानकारी संरक्षण प्रभाव मूल्यांकन रिपोर्ट में निर्दिष्ट उद्देश्य, क्षेत्र, तरीका, डेटा के प्रकार, आकार आदि को पार करके व्यक्तिगत जानकारी को देश के बाहर प्रदान नहीं करना
• नेटवर्क सूचना विभाग के सुरक्षा मूल्यांकन में निर्दिष्ट उद्देश्य, क्षेत्र, डेटा के प्रकार, आकार आदि को पार करके व्यक्तिगत जानकारी और महत्वपूर्ण डेटा को विदेश में प्रदान नहीं करना
• डेटा निर्यात से संबंधित उपयोगकर्ताओं की शिकायतों को स्वीकार करना और उनका निपटान करना
• संबंधित लॉग रिकॉर्ड और डेटा निर्यात अनुमोदन रिकॉर्ड को 3 वर्ष से अधिक समय तक संरक्षित रखना
• यदि डेटा का निर्यात व्यक्तियों, संगठनों, या सार्वजनिक हित के वैध अधिकारों और लाभों को हानि पहुंचाता है, तो डेटा प्रोसेसर को कानून के अनुसार जिम्मेदारी उठानी होगी

देश के बाहर डेटा स्थानांतरित करने के मामले में, डेटा निर्यात सुरक्षा रिपोर्ट तैयार करने और उसे जिला नेटवर्क सूचना विभाग को रिपोर्ट करने की जिम्मेदारी भी होती है।

राष्ट्रीय सुरक्षा समीक्षा के बारे में

यह ध्यान देना महत्वपूर्ण है कि यदि चीनी सरकार निर्णय लेती है कि डेटा प्रोसेसिंग गतिविधियाँ चीनी राष्ट्रीय सुरक्षा को हानि पहुँचाती हैं, तो राष्ट्रीय सुरक्षा समीक्षा की जाएगी। राष्ट्रीय सुरक्षा समीक्षा का परिणाम अंतिम निर्णय होता है, इसलिए प्रशासनिक अपील या मुकदमेबाजी के माध्यम से इसके खिलाफ आपत्ति उठाना संभव नहीं है।

डेटा सुरक्षा कानून के दंडात्मक प्रावधान

यदि डेटा सुरक्षा कानून का उल्लंघन किया जाता है, तो सुधारात्मक आदेश और चेतावनी, जुर्माना, व्यापार को रोकने के लिए सुधार, संबंधित व्यावसायिक गतिविधियों का निलंबन, और व्यापार लाइसेंस की रद्दीकरण जैसे दंड लगाए जा सकते हैं।

उदाहरण के लिए, चीनी डेटा सुरक्षा कानून (Chinese Data Security Law) के अनुच्छेद 27, 29, और 30 में निर्धारित कर्तव्यों का पालन न करने पर, सुधारात्मक आदेश और चेतावनी जारी की जा सकती है, साथ ही सीधे जिम्मेदार व्यक्ति और अन्य सीधे जिम्मेदार व्यक्तियों पर 5 लाख युआन से 50 लाख युआन तक का जुर्माना लगाया जा सकता है।

डेटा सुरक्षा कानून का उल्लंघन करने पर, केवल कानूनी संस्थाएं ही नहीं, बल्कि सीधे जिम्मेदार व्यक्ति और अन्य सीधे जिम्मेदारी वाले कर्मचारी भी दंड के दायरे में आते हैं, इस पर विशेष ध्यान देना जरूरी है। उल्लंघन के कारण दंडित होने पर, यह संगठन के पूरे संरचना पर गहरा प्रभाव डाल सकता है, इसलिए कानून के प्रति सावधानीपूर्वक उपाय करना आवश्यक हो सकता है।

जापानी कंपनियों को करने चाहिए डेटा सुरक्षा कानून के उपाय

डेटा सुरक्षा कानून चीन के भीतर संभाले जाने वाले सभी डेटा प्रोसेसिंग पर लागू होता है, इसलिए इसका पालन करने वाली जापानी कंपनियां काफी होंगी। यहां हम जापानी कंपनियों द्वारा किए जाने वाले डेटा सुरक्षा कानून के उपायों को विस्तार से समझाएंगे।

डेटा का प्रबंधन

सबसे पहले, डेटा प्रबंधन की समीक्षा करेंगे। अपनी कंपनी के भीतर, किस प्रकार का डेटा कैसे उत्पन्न, संग्रहित और हटाया जा रहा है, इसे स्पष्ट करें और वर्तमान डेटा हैंडलिंग की स्थिति को समझें। डेटा मैपिंग के जरिए, डेटा के वर्गीकरण, चीन के बाहर स्थानांतरण की स्थिति, और वर्तमान डेटा प्रबंधन उपायों को पहले से जांच लेना भी महत्वपूर्ण है।

चीनी डेटा सुरक्षा कानून में, महत्वपूर्ण डेटा और कोर डेटा के लिए विशेष सुरक्षा उपायों की मांग की जाती है। इसलिए, वर्गीकरण के अनुसार सूचना के गोपनीय वर्गीकरण को फिर से परिभाषित करने की आवश्यकता हो सकती है।

हालांकि, वर्तमान में वर्गीकरण के अनुसार सुरक्षा स्तर में अस्पष्टता है। भविष्य में इसके और अधिक स्पष्ट होने की संभावना है, इसलिए चीन के नियामक विभागों द्वारा प्रकाशित सूची की निगरानी अनिवार्य है। साथ ही, एक्सेस नियंत्रण, प्रमाणीकरण, संचार सुरक्षा, भौतिक उपाय आदि के लिए वर्गीकरण के अनुसार सुरक्षा स्तर की स्थापना करना भी सुरक्षित होगा।

इसके अलावा, सुरक्षा नीति की समीक्षा करें और डेटा मैपिंग द्वारा वर्गीकृत डेटा विभाजन के अनुसार नीति लागू करें।

जोखिम मूल्यांकन का कार्यान्वयन और रिपोर्टिंग

डेटा मैपिंग के माध्यम से, यदि आपकी कंपनी द्वारा संभाले जा रहे डेटा में महत्वपूर्ण डेटा शामिल है, तो डेटा प्रोसेसिंग के लिए जोखिम मूल्यांकन करें। इसके अलावा, उसके परिणामों को प्राधिकरण को रिपोर्ट करना होगा।

जोखिम मूल्यांकन को नियमित रूप से करना आवश्यक है, इसलिए इसे नियमित रूप से करने के लिए नियम बनाना महत्वपूर्ण है।

कर्मचारियों की शिक्षा

चीन में, सुरक्षा संबंधित नियमों को लगातार लागू किया जा रहा है। इसके अलावा, डेटा का प्रबंधन और जोखिम मूल्यांकन एक बार करने के बाद समाप्त नहीं होता है। इसलिए, नियमित रूप से समीक्षा और सुधार करना, और कंपनी के भीतर इसे स्थापित करने के लिए कर्मचारियों की शिक्षा भी आवश्यक है।

केवल कानूनी और सामान्य प्रशासन विभाग ही नहीं, बल्कि जोखिम प्रबंधन विभाग भी इसमें शामिल होंगे, इसलिए विभिन्न विभागों में अलग-अलग प्रतिक्रिया करने के बजाय, सहयोग महत्वपूर्ण होगा। वर्तमान में, कानून में अभी भी अस्पष्टता है, लेकिन उल्लंघन के कारण दंडात्मक कार्रवाई किए गए मामले भी हैं, इसलिए डेटा सुरक्षा कानून के प्रति प्रतिक्रिया अनिवार्य है।

चीनी साइबर तीन कानूनों की विशेषताएं

चीनी साइबर तीन कानूनों का अर्थ है, चीन द्वारा लागू किए गए ‘साइबर सुरक्षा कानून’, ‘डेटा सुरक्षा कानून’, और ‘व्यक्तिगत सूचना संरक्षण कानून’ के सामूहिक नाम हैं। साइबर सुरक्षा कानून साइबर हमलों के खिलाफ उपायों के लिए, डेटा सुरक्षा कानून डेटा की सुरक्षा के लिए, और व्यक्तिगत सूचना संरक्षण कानून व्यक्तिगत जानकारी की सुरक्षा को मजबूत करने के उद्देश्य से हैं।

संबंधित लेख：चीनी साइबर सुरक्षा कानून क्या है? अनुपालन के मुख्य बिंदुओं की व्याख्या[ja]

इस प्रकार, प्रत्येक कानून में अपनी विशिष्टताएं हैं, लेकिन उल्लंघन के मामले में प्रशासनिक दंड, नागरिक क्षतिपूर्ति, और आपराधिक जिम्मेदारी का प्रावधान करना इनकी एक सामान्य विशेषता है। इसके अलावा, उल्लंघन के लिए दायित्व केवल कंपनियों पर ही नहीं बल्कि उनके सीधे जिम्मेदार व्यक्तियों पर भी लागू होता है, और उन्हें उसी कार्य में शामिल होने से रोका जा सकता है या उनका नाम देश की उल्लंघनकर्ता सूचना में दर्ज किया जा सकता है।

सारांश: चीन के डेटा कानूनी नियमन पर ध्यान देते हुए त्वरित प्रतिक्रिया आवश्यक है

चीनी डेटा सुरक्षा कानून, चीन में डेटा प्रोसेसिंग पर लागू होने वाला एक कानून है, जो डेटा के वर्गीकरण, ग्रेडिंग सुरक्षा, जोखिम मूल्यांकन आदि के बारे में नियम तय करता है। साइबर सुरक्षा कानून के साथ-साथ ‘व्यक्तिगत सूचना सुरक्षा कानून’, ‘इंटरनेट उत्पाद सुरक्षा कमजोरी प्रबंधन नियम’ जैसे विभिन्न कानून प्रकाशित किए गए हैं, और इनके अनुसार प्रतिक्रिया देना अनिवार्य है।

वर्तमान समय में, वर्गीकरण के अनुसार सुरक्षा स्तरों को विशेष रूप से परिभाषित नहीं किया गया है और कुछ अस्पष्टताएं हैं, फिर भी, उल्लंघन के कारण जुर्माना लगाए जाने के मामले भी हैं, इसलिए कानून के प्रति प्रतिक्रिया देना अत्यंत आवश्यक है। चीन के कानूनी नियमन पर ध्यान देते हुए, वर्तमान में संभव कार्रवाई करना महत्वपूर्ण है।

यदि आप चीन में व्यापार विस्तार कर रहे हैं या भविष्य में ऐसा करने की योजना बना रहे हैं, तो हम आपको चीनी कानूनों के जानकार वकील से परामर्श करने की सलाह देते हैं।

हमारे कानूनी फर्म द्वारा उपायों की जानकारी

मोनोलिस कानूनी फर्म IT के क्षेत्र में, विशेषकर इंटरनेट और कानून के दोनों पहलुओं में व्यापक अनुभव रखने वाली एक कानूनी फर्म है। हाल के वर्षों में, वैश्विक व्यापार तेजी से बढ़ रहा है, और विशेषज्ञों द्वारा कानूनी जांच की आवश्यकता भी बढ़ रही है। हमारी फर्म चीन, अमेरिका, यूरोपीय संघ के देशों आदि में अंतर्राष्ट्रीय कानूनी मामलों पर समाधान प्रदान करती है।

मोनोलिस कानूनी फर्म के विशेषज्ञता के क्षेत्र: अंतर्राष्ट्रीय कानूनी मामले और विदेशी व्यापार[ja]