A kínai adatbiztonsági törvény (中国データセキュリティ法) – Mik a japán vállalatok számára szükséges lépések?
A Kínai Adatbiztonsági Törvény (中国データセキュリティ法) egy olyan jogszabály, amely Kínában az adatkezelés területét szabályozza, és 2021 szeptemberében lépett életbe. Mivel a törvény minden Kínában végzett adatfeldolgozásra vonatkozik, a Kínában működő vállalatoknak, valamint azoknak, amelyek a jövőben tervezik a piacra lépést, felül kell vizsgálniuk és szükség esetén módosítaniuk kell meglévő szabályzataikat és kezelési irányelveiket. Azonban előfordulhat, hogy vannak olyanok, akik nem értik a törvény lényegét, vagy bizonytalanok abban, milyen intézkedéseket kellene megvalósítaniuk.
Ezért ebben a cikkben bemutatjuk a Kínai Adatbiztonsági Törvény áttekintését, a megértéséhez szükséges kulcspontokat, a szankciókat, valamint a japán vállalatok által alkalmazandó intézkedéseket.
Mi is az a Kínai Adatbiztonsági Törvény?
A Kínai Adatbiztonsági Törvény (中华人民共和国数据安全法) egy olyan jogszabály, amelyet 2021 szeptemberében léptettek érvénybe Kínában, és az adatbiztonsággal kapcsolatos előírásokat tartalmazza. A 2017 júniusában életbe lépett Kínai Kiberbiztonsági Törvényhez hasonlóan, a nemzetbiztonság védelme érdekében hozták létre.
Kínai Kiberbiztonsági Törvény: Egy törvény, amely Kína “hálózatának” biztonságát hivatott védeni.
A Kínai Adatbiztonsági Törvény céljait az alábbiakban foglalták össze (1. cikk):
- Adatkezelési tevékenységek szabályozása
- Adatbiztonság biztosítása
- Adatok fejlesztésének és felhasználásának elősegítése
- Személyek és szervezetek jogos érdekeinek és jogainak védelme
- A nemzet szuverenitásának, biztonságának és fejlődési érdekeinek védelme
A Kínai Kiberbiztonsági Törvény az elektronikus adatokat vette szabályozás alá, míg a Kínai Adatbiztonsági Törvény jellemzője, hogy nem csak az elektronikus, hanem a nem elektronikus adatokat, például papíralapú adatokat is szabályozási körébe foglalja (3. cikk). A Kínai Adatbiztonsági Törvény az adatok besorolását, a biztonsági tanúsítási rendszerek kiépítését, valamint az adatbiztonság védelmi kötelezettségeit is meghatározza.
A Kínai Adatbiztonsági Törvény megértésének kulcspontjai
A Kínai Adatbiztonsági Törvény számos előírást tartalmaz, amelyek megértése nem mindig egyértelmű. Ebben a részben az Adatbiztonsági Törvény tartalmát az alábbi öt kulcspont szerint részletezzük.
- Szabályozás alá eső területek
- Adatbesorolás és -minősítés szabályainak kidolgozása
- Adatbiztonsági menedzsment
- Adattranszfer szabályozása
- Nemzetbiztonsági felülvizsgálat
Szabályozás alá eső területek
A jogszabályok által szabályozott adatok minden olyan ‘adatkezelési’ tevékenységet magukban foglalnak, amelyek Kínában történnek. Ha az adatkezelési tevékenység Kína területén kívül zajlik, akkor is alkalmazandó, ha az a Kínai Állam biztonságát, a közérdeket vagy a polgárok és szervezetek érdekeit sérti.
A ‘data’ fogalma az elektronikus vagy más módon rögzített információkat jelenti, és fontos megjegyezni, hogy ez magában foglalja a papíralapú adatokat is. Az ‘adatkezelés’ magában foglalja az adatok gyűjtését, tárolását, használatát, feldolgozását, továbbítását, rendelkezésre bocsátását és nyilvánosságra hozatalát, és az ilyen tevékenységeket végző személyek ‘adatkezelőkké’ válnak.
Adatbesorolás és osztályozási normák megalkotása
Az adatkezelőknek biztosítaniuk kell az adatbiztonságot az osztályozási védelmi rendszer alapján. Az osztályozási védelmi rendszer egy hivatalos értékelési rendszer a hálózatbiztonsági menedzsment struktúrára, és az osztályozástól függően különböző intézkedéseket kell megtenni. Emellett az adatokat osztályozni kell a pusztításuk vagy szivárgásuk által okozott kár nagysága alapján is, figyelembe véve a nemzetbiztonságot, a közérdeket, valamint az egyénekre és szervezetekre gyakorolt károkat.
Az osztályozás három kategóriára bontható: „általános adatok”, „fontos adatok” és „központi adatok”. A „Hálózati Adatbiztonsági Kezelési Rendelet (véleményezési tervezet)” szerint a fontos adatok olyan adatok, amelyek „meghamisítása, megsemmisítése, kiszivárgása, jogellenes megszerzése vagy jogellenes felhasználása esetén veszélyeztethetik a nemzetbiztonságot vagy a közérdeket”. A központi adatok olyan adatok, amelyek a nemzetbiztonsággal, a nemzetgazdaság életvonalaival, a lakosság fontos életfeltételeivel vagy a jelentős közérdekkel állnak összefüggésben (21. cikk).
A cikk írásának idején még nem állnak rendelkezésre konkrét jegyzékek a fontos és a központi adatokról, ezért érdemes a „Hálózati Adatbiztonsági Kezelési Rendelet (véleményezési tervezet)”-ben szereplő fontos adatok példáit figyelembe véve besorolni a kezelt adatokat. Ezzel egyidejűleg fontos a hatáskörrel rendelkező szervek által közzétett jegyzékek monitorozása is.
Adatbiztonsági menedzsmentről
Az adatkezelőkkel szemben támasztott követelmények között szerepelnek a következők:
- Adatbiztonsági oktatás és képzés megvalósítása
- Az adatbiztonság védelmi kötelezettsége a besorolási védelmi rendszer alapján
- A kockázatfigyelés folyamatos végrehajtása
- Az adatéletciklus teljes körű biztonsági menedzsment rendszerének kiépítése
- Felelős személy kijelölése
- Műszaki intézkedések
Alapvetően hasonlítanak az „Információbiztonsági menedzsment rendszerek (ISMS)” követelményeihez, azonban figyelmet kell fordítani arra, hogy az adatok besorolásának megfelelő kezelési intézkedéseket kell megvalósítani.
Amennyiben incidens következik be, azonnali intézkedéseket kell hozni, és jelentést kell tenni a felhasználóknak, valamint az illetékes hatóságoknak. Továbbá, ha kritikus adatokat kezelünk, rendszeresen szükséges kockázatelemzést végezni, és a kockázatelemzési jelentést az illetékes szerveknek benyújtani.
Az adatátvitel szabályozásáról
Az adatátvitel esetében a fontos adatok átvitele szabályozás alá esik. Amennyiben a fontos információs infrastruktúra létesítmények üzemeltetői Kínában szerzik vagy hozzák létre a fontos adatokat és azokat határokon átnyúlóan kívánják átvinni, a Japanese Cybersecurity Law (kiberbiztonsági törvény) rendelkezései vonatkoznak rájuk.
Fontos információs infrastruktúra létesítmények: olyan létesítmények, amelyek üzemeltetői esetében károsodás vagy adatszivárgás következtében a nemzetbiztonságot veszélyeztethető területeken (például energia, közlekedés, pénzügy, közszolgáltatások) jelentős nemzetbiztonsági, lakossági életminőségi vagy közérdekű károk keletkezhetnek.
Amennyiben nem a fontos információs infrastruktúra létesítmények üzemeltetői végzik az adatfeldolgozást, a Japanese Data Overseas Transfer Security Assessment Procedures (adatok külföldre történő átvitelének biztonsági értékelési eljárásai) szerint kell eljárniuk, és az illetékes hatóság biztonsági értékelési vizsgálatát követően, sikeres minősítés után vihetik át az adatokat.
A Japanese Network Data Security Management Regulations (Draft for Public Comment) (hálózati adatbiztonsági kezelési szabályzat, véleményezési tervezet) szerint, még ha nem is fontos adatokat visznek át külföldre, az alábbi esetekben szükséges az illetékes hatóság biztonsági értékelési vizsgálatát elvégezni és sikeresen teljesíteni:
- Ha a határokon átnyúló adatok között fontos adatok is találhatók
- Ha a fontos információs infrastruktúra létesítmények üzemeltetői, vagy az egymillió vagy annál több személyes adatot feldolgozó adatkezelők személyes adatokat nyújtanak át külföldre
Ezenkívül az adatokat külföldre átvivő személyek kötelezettségei között szerepelnek a következők:
- Nem szabad a hálózati információs részlegnek benyújtott személyes adatvédelmi hatásvizsgálati jelentésben megadott célokat, hatóköröket, módszereket, adattípusokat és méreteket meghaladva személyes adatokat külföldre átadni
- Nem szabad a hálózati információs részleg biztonsági értékelésében meghatározott célokat, hatóköröket, adattípusokat és méreteket meghaladva személyes adatokat és fontos adatokat külföldre átadni
- Fogadni és kezelni kell az adatexporttal kapcsolatos felhasználói panaszokat
- Meg kell őrizni a kapcsolódó naplókat és az adatexport jóváhagyási feljegyzéseit legalább három évig
- Amennyiben az adatexport kárt okoz az egyének, szervezetek vagy a közérdek jogos jogai és érdekei számára, az adatfeldolgozónak a törvény alapján felelősséget kell vállalnia
Külföldre történő adatátvitel esetén kötelező egy adatexport biztonsági jelentést készíteni és azt a területi hálózati információs részlegnek benyújtani.
A nemzeti biztonsági felülvizsgálatról
Fontos figyelembe venni, hogy amennyiben a kínai kormány úgy ítéli meg, hogy az adatfeldolgozási tevékenység veszélyezteti a kínai nemzet biztonságát, akkor nemzeti biztonsági felülvizsgálatot végezhet. A nemzeti biztonsági felülvizsgálat eredménye végleges döntésnek számít, így nem áll módunkban az eredmény ellen közigazgatási jogorvoslati kérelemmel vagy peres eljárással érvényt szerezni.
Adataink védelmére vonatkozó jogszabályok szankciói
Amennyiben megszegik az adatvédelmi törvényt, előfordulhat, hogy helyesbítő intézkedéseket és figyelmeztetéseket rendelnek el, pénzbírságot szabnak ki, az üzleti tevékenységet felfüggesztik a helyesbítés érdekében, az érintett üzleti tevékenységeket leállítják, vagy akár az üzleti engedélyt is visszavonják.
Például, ha nem teljesítik a Kínai Adatvédelmi Törvény (Chinese Data Security Law) 27., 29., és 30. cikkelyében meghatározott kötelezettségeket, nemcsak helyesbítő intézkedéseket és figyelmeztetéseket rendelhetnek el, hanem az érintett felelős személyekre és egyéb közvetlenül felelős személyekre 50 ezer jüantól (Yuan) 500 ezer jüanig terjedő pénzbírságot is kiszabhatnak.
Az adatvédelmi törvény megsértése esetén nemcsak a jogi személyek, hanem a közvetlenül felelős vezetők és egyéb közvetlen felelősséggel bíró alkalmazottak is büntetési célponttá válhatnak. Fontos figyelembe venni, hogy a szabálysértés miatt kiszabott büntetések jelentős hatással lehetnek az egész szervezetre, ezért elengedhetetlen, hogy megfelelő intézkedéseket hozzanak a törvényi előírásoknak való megfelelés érdekében.
A japán vállalatok által megvalósítandó adatbiztonsági jogi intézkedések
Az adatbiztonsági törvény Kínában kezelt összes adatfeldolgozásra vonatkozik, így számos japán vállalatnak kell megfelelő intézkedéseket hoznia. Ebben a cikkben részletesen ismertetjük a japán vállalatok által végrehajtandó adatbiztonsági jogi intézkedéseket.
Adatkezelés
Először is felül kell vizsgálni az adatkezelést. Tisztázni kell a vállalaton belül, hogy milyen adatok hogyan keletkeznek, halmozódnak fel és törlődnek, és meg kell érteni a jelenlegi adatkezelési helyzetet. Az adatok osztályozása szerint szükséges intézkedések meghozatalához fontos előzetesen ellenőrizni az adatok osztályozását, a Kínán kívülre történő átutalás helyzetét és a jelenlegi adatkezelési intézkedéseket az adatok térképezése által.
A kínai adatbiztonsági törvény külön védelmi intézkedéseket ír elő a fontos és a központi adatok számára. Ezért szükség lehet az információk bizalmas besorolásának újradefiniálására az osztályozásnak megfelelően.
Azonban jelenleg a biztonsági szintek osztályozása bizonyos pontokon nem egyértelmű. Mivel a jövőben konkretizálódhatnak, elengedhetetlen a kínai hatóságok által közzétett jegyzékek figyelemmel kísérése. Ugyanakkor érdemes előre beállítani a hozzáférés-ellenőrzést, azonosítást, kommunikációs biztonságot, fizikai védelmet és egyéb, az osztályozást figyelembe vevő biztonsági szinteket.
Ezenkívül felül kell vizsgálni a biztonsági irányelveket, és alkalmazni kell a megfelelő irányelveket az adatok térképezése által osztályozott adatkategóriákra.
Kockázatértékelés végrehajtása és jelentése
Ha az adatok térképezése alapján úgy ítéljük meg, hogy a vállalat által kezelt adatok között vannak fontos adatok, akkor el kell végezni az adatfeldolgozás kockázatértékelését. Ezenkívül az eredményeket be kell jelenteni a hatóságoknak.
A kockázatértékelést rendszeresen kell végrehajtani, ezért fontos, hogy szabályozottan, folyamatosan végezhessük.
A munkavállalók oktatása
Kínában folyamatosan hajtanak végre új biztonsági rendszabályokat. Az adatkezelés és a kockázatértékelés nem egy egyszeri feladat, ezért rendszeres felülvizsgálatra és javításra van szükség, hogy az intézkedések a vállalaton belül meghonosodjanak. Ezért szükséges a munkavállalók oktatása is.
Mivel nem csak a jogi és általános ügyekkel foglalkozó részlegek, hanem a kockázatkezelési osztályok is részt vesznek ebben, a különböző részlegeknek nem egyedül, hanem összehangoltan kell reagálniuk. Jelenleg még vannak tisztázatlan részek a törvényben, de mivel már voltak olyan esetek, amikor szankciókat alkalmaztak a megsértése miatt, az adatbiztonsági törvénynek való megfelelés elengedhetetlen.
A kínai kiberhármas törvények jellemzői
A kínai kiberhármas törvények a Kínában bevezetett „Kiberbiztonsági törvény”, „Adatbiztonsági törvény” és „Személyes adatok védelméről szóló törvény” összefoglaló neve. A Kiberbiztonsági törvény a kibertámadások elleni védekezést, az Adatbiztonsági törvény az adatok megőrzését, a Személyes adatok védelméről szóló törvény pedig a személyes adatok biztonságának megerősítését célozza meg.
Kapcsolódó cikk: Mi a kínai kiberbiztonsági törvény? Pontokban a betartásának magyarázata[ja]
Így, bár mindegyik törvénynek megvannak a maga sajátosságai, jellemzőjük, hogy mind szabályozzák az adminisztratív szankciókat, a polgári jogi kártérítést és a büntetőjogi felelősséget a megsértés esetén. Továbbá, a szabályszegés nem csak a jogi személyekre vonatkozik, hanem azok közvetlen felelőseire is, akiknek esetlegesen megtilthatják az azonos tevékenység folytatását, vagy felkerülhetnek az ország szabályszegőinek információs listájára.
Összefoglalás: Figyeljünk a kínai adatvédelmi szabályozásra és lépjünk fel gyorsan
A Kínai Adatbiztonsági Törvény olyan jogszabály, amely Kínában az adatkezelésre vonatkozik, és rendelkezik az adatok osztályozásáról, besorolásáról, védelméről és a kockázatértékelésről. Többek között a Kiberbiztonsági Törvény, a „Személyes Adatok Védelméről szóló Törvény” és az „Internetes Termékek Biztonsági Sebezhetőségének Kezeléséről szóló Szabályzat” is közzétételre került, és ezeknek megfelelő intézkedések megtétele nélkülözhetetlen.
Jelenleg még nem konkretizálták a biztonsági szintek kategóriánkénti besorolását, és vannak tisztázatlan részek, de már voltak esetek, amikor bírságot szabtak ki a törvény megsértése miatt, így elmondható, hogy a jogszabályoknak való megfelelés elengedhetetlen. Fontos, hogy figyeljünk a kínai jogszabályokra és tegyük meg a jelenleg szükséges lépéseket.
Ha Kínában terjeszkedik vagy tervez terjeszkedni, javasoljuk, hogy konzultáljon egy olyan ügyvéddel, aki jól ismeri a kínai törvényeket.
Intézkedéseink bemutatása a Monolith Ügyvédi Irodánál
A Monolith Ügyvédi Iroda az IT területén, különösen az internet és a jogi szolgáltatások terén rendelkezik jelentős tapasztalattal. A globális üzleti tevékenységek az utóbbi években egyre inkább terjednek, és a szakértői jogi ellenőrzés szükségessége egyre növekszik. Irodánk nemzetközi jogi megoldásokat kínál, többek között Kínában, az Amerikai Egyesült Államokban és az Európai Unió tagállamaiban.
A Monolith Ügyvédi Iroda szakterületei: Nemzetközi jogi ügyek és külföldi vállalkozások[ja]