A kínai kibernetikai biztonsági törvény: Mi az? Magyarázat a betartásának kulcsfontosságú pontjaira

A Teikoku Databank “Különkiadás: A japán vállalatok kínai piacra lépésének trendjei (2022)[ja]” című jelentése szerint a Kínában jelen lévő japán vállalatok száma 12 706-ra emelkedett. A Kínával kapcsolatos üzleti tevékenységet folytató vállalatok száma valószínűleg ennél is magasabb. Kínában 2017-ben lépett életbe a “Kínai Kiberbiztonsági Törvény”.

Ennek eredményeképpen a Kínában üzleti tevékenységet folytató vállalatoknak jogszabályoknak megfelelő szabályzatokat kell bevezetniük és technikai védelmi intézkedéseket kell alkalmazniuk. Azonban előfordulhat, hogy vannak, akik nem ismerik a törvény részleteit vagy nem tudják, hogyan kellene megfelelniük neki.

Ezért ebben a cikkben bemutatjuk a “Kínai Kiberbiztonsági Törvény” áttekintését, a szabályozás alá eső területeket és a megvalósítandó intézkedéseket. Ha Ön Kínában folytat üzleti tevékenységet vagy tervezi a piacra lépést, mindenképpen vegye figyelembe ezt a cikket.

A kínai kiberbiztonsági törvény áttekintése

A kínai kiberbiztonsági törvény (网络安全法) egy 2017 júniusában hatályba lépett kínai jogszabály. A törvény célját az első cikkely a következőképpen fogalmazza meg:

• A hálózatok biztonságának garantálása
• A kibertér fennhatóságának, a nemzet biztonságának és a közérdek védelmének biztosítása
• A polgárok, jogi személyek és egyéb szervezetek jogos érdekeinek védelme
• A gazdasági és társadalmi informatizáció fejlődésének elősegítése

A “hálózat” alatt olyan rendszert értünk, “amelyet számítógépek, egyéb információs terminálok és kapcsolódó berendezések alkotnak, és amelyek bizonyos szabályoknak és programoknak megfelelően információkat gyűjtenek, tárolnak, továbbítanak, cserélnek és feldolgoznak (76. cikkely)”. Ez nem csak az internetet, hanem az intranetet is magában foglalja.

A kínai kiberbiztonsági törvény az EU Általános Adatvédelmi Rendeletétől (GDPR) és a japán személyes adatok védelméről szóló törvénytől eltérően nem csak a “személyek és szervezetek információinak védelmét” célozza meg, hanem a “kínai nemzetbiztonság és a közérdek védelmét” is. A törvény előírja a cégek számára a kiberbiztonsági szintű védelem megvalósítását, a megfelelőség betartását és a jogok és kötelezettségek tisztázását.

A biztonsággal kapcsolatos további törvények között szerepel a kínai adatbiztonsági törvény is.

Kapcsolódó cikk: Mi a kínai adatbiztonsági törvény? A japán vállalatok által megteendő lépések magyarázata[ja]

A kínai kiberbiztonsági törvény szabályozási hatálya

A japán vállalatok akkor esnek a kínai kiberbiztonsági törvény hatálya alá, ha a következő esetek valamelyike áll fenn:

• Információkezelés történik Kínában
• Információ átmozgatása Kínából Japánba

Az alapok Japánban vannak, de ha a fenti esetek valamelyike fennáll, akkor a vállalat a törvény hatálya alá tartozik. A szabályozás alá eső személyek közé tartoznak a “hálózatkezelők” és a “kritikus információs infrastruktúra üzemeltetői”.

A hálózatkezelő alatt a hálózat tulajdonosát vagy kezelőjét, illetve a hálózati szolgáltatásokat nyújtó személyeket értjük.

A kritikus információs infrastruktúra üzemeltetője olyan személyeket jelöl, akik olyan létesítményeket üzemeltetnek, amelyek károsodása vagy adatszivárgása esetén jelentős kockázatot jelenthet a nemzetbiztonságra, az állampolgárok életminőségére vagy a közérdekre, különösen olyan területeken, mint az energia, a közlekedés, a pénzügy vagy a közszolgáltatások.

A kínai kiberbiztonsági törvény tartalma

A kínai kiberbiztonsági törvény a következő kötelezettségeket írja elő:

• Kiberbiztonsági besorolások létrehozása
• Állami kötelező szabványoknak való megfelelés
• Valódi név alapján történő regisztráció követelménye
• Kötelezettségek a kritikus információs infrastruktúra üzemeltetői számára
• Irányítási és válaszadási rendszerek kiépítése

Ebben a részben minden egyes pontot részletesen ismertetünk.

Kiberbiztonsági besorolási rendszer bevezetése

A Kínai Kiberbiztonsági Törvény (Chinese Cybersecurity Law) 21. cikke meghatározza a hálózatüzemeltetők által betartandó „besorolási védelmi rendszert”, amely szerint a kínai hálózatokat birtokló vállalatoknak és szervezeteknek szükségük van besorolási védelmi tanúsítvány megszerzésére.

A besorolási védelmi rendszer egy hivatalos értékelési rendszer a hálózatbiztonsági menedzsment struktúrára. Az érintett területek a következők:

• Hálózati infrastruktúra
• IoT (Internet of Things – Dolgok Internete)
• Ipari irányítási rendszerek
• Nagy méretű internetes oldalak és adatközpontok
• Közszolgáltatási platformok

A besorolási védelmi rendszerben az információs rendszerek károsodásának hatókörét és a károk mértékét figyelembe véve az alábbi öt kategóriába sorolják őket:

Az egyes szintek meghatározása a következő:

Minden kategóriához meghatározták a betartandó információbiztonsági szabványokat. Általában a hálózatüzemeltetőknek a 2. szint felett, a kritikus információs infrastruktúra üzemeltetőinek pedig a 3. szint felett kell megfelelniük.

A besorolás megszerzése érdekében a hálózatüzemeltetők saját kezdeményezésre jelentkeznek a besorolásra, de végül a Közbiztonsági Minisztérium (Public Security Bureau) jóváhagyását kell szerezniük. Emellett a besorolási védelmi rendszer szerint a 2. szint felett egy értékelő intézet által végzett értékelést is el kell végezni. A besorolási védelmi rendszer megsértése esetén bírság kiszabása is lehetséges, ezért óvatosság szükséges.

Az állami kötelező szabványoknak való megfelelés

Az internetes termékeket és szolgáltatásokat nyújtó szolgáltatóknak meg kell felelniük az állami kötelező szabványoknak (22. cikk). A szolgáltatóknak tilos rosszindulatú programokat telepíteniük.

Amennyiben a termékekben vagy szolgáltatásokban hibát, sebezhetőséget vagy egyéb kockázatot észlelnek, haladéktalanul intézkedéseket kell tenniük, tájékoztatniuk kell a felhasználókat és jelentést kell tenniük az illetékes hatóságoknak.

2021 szeptemberében (Reiwa 3) életbe lépett az „Internetes termékek biztonsági sebezhetőségének kezelésére vonatkozó előírások (网络产品安全漏洞管理规定)”, amelyek a hálózatkezelőkre vonatkoznak, így ezeket az előírásokat is figyelembe kell venni és megfelelő intézkedéseket kell hozni.

Kötelező a valódi név regisztrációja

Amikor hálózati kapcsolatot biztosító szolgáltatásokat, vezetékes és mobiltelefon-hálózati csatlakozási eljárásokat, információ megosztó szolgáltatásokat, azonnali üzenetküldő szolgáltatásokat és egyebeket nyújtunk a felhasználóknak, kötelezővé válik a felhasználók valódi névvel történő regisztrációja. Amennyiben a felhasználó nem végez valódi név regisztrációt, a szolgáltatást nem nyújthatjuk.

Továbbá, a hálózat üzemeltetőinek kötelessége, hogy felülvizsgálják, a felhasználók által közzétett információk nem sértik-e a törvényeket.

Kötelezettségek a fontos információs infrastruktúra létesítmények üzemeltetői számára

A fontos információs infrastruktúra létesítmények üzemeltetőinek nem csak a hálózatkezelőkre vonatkozó biztonsági intézkedéseket kell megvalósítaniuk, hanem az alábbi további intézkedésekre is szükség van:

• Rendszeres biztonsági mentések készítése a rendszerekről és adatbázisokról
• Biztonsági incidensekre vonatkozó választerv kidolgozása
• Éves biztonsági értékelés
• Adatlokáció

Adatlokáció: Az a folyamat, amikor az adatokat azon az ország területén tárolják és dolgozzák fel, ahol azokat előállították.

A 2021 (Reiwa 3) szeptemberében hatályba lépett „Fontos Információs Infrastruktúra Létesítmények Biztonságának Védelméről szóló Rendelet” részletesebben határozza meg a fontos információs infrastruktúra létesítmények kezelését, akkreditációját és az üzemeltetők kötelezettségeit, ezért ezt is figyelembe kell venni.

Irányítási és válaszadási rendszer kiépítése

A hálózatkezelők számára előírt követelmények a következők (21. cikk):

• Biztonsági menedzsment rendszerek és működési szabályzatok kidolgozása
• A hálózat biztonságért felelős személy kijelölése
• Biztonsági incidensekre reagáló választerv kidolgozása és technikai intézkedések megvalósítása
• A hálózatfigyelő technológiák bevezetése, naplózás megőrzése (legalább 6 hónapig)
• Adatbesorolás, kritikus adatok biztonsági mentése és titkosítása, valamint egyéb védelmi intézkedések

A japán kiberbiztonsági törvény (サイバーセキュリティ法) megsértése esetén alkalmazandó szabályok

Amennyiben megszegik a rangsorolási védelmi rendszer (等級保護制度) által előírt biztonsági követelményeket, helyesbítő utasítást és figyelmeztetést kapnak. Ha valaki visszautasítja az utasítást, vagy veszélyezteti a hálózat biztonságát, 10 ezer jüantól (1万元) 100 ezer jüanig (10万元) terjedő bírságot kell fizetnie. Ezenkívül a közvetlen felelős személyre 5 ezer jüantól (5千元) 50 ezer jüanig (5万元) terjedő bírságot szabnak ki.

Ha valaki rosszindulatú programot telepít, vagy nem tesz intézkedéseket a termékek vagy szolgáltatások hibái, illetve biztonsági rései és egyéb kockázatok ellen, szintén helyesbítő utasítást és figyelmeztetést kap, és ha ezt elutasítja, bírságfizetési kötelezettség keletkezik.

A megsértés jellegétől függően a bírság összege változhat, és előfordulhat, hogy a weboldal bezárására, a működési engedély visszavonására vagy a vállalkozás tevékenységének felfüggesztésére is utasítást kapnak, ezért kiemelt figyelmet igényel. A múltban előfordultak olyan esetek, amikor a megsértés miatt pénzbírságot szabtak ki, és az érintett személyekre életük végéig terjedő tilalmat rendeltek el az adott iparágban való munkavégzésre, így elmondható, hogy a kiberbiztonsági intézkedések elengedhetetlenek.

A japán vállalatok által megteendő kiberbiztonsági jogi intézkedések

A kínai kiberbiztonsági törvény összetettsége miatt előfordulhat, hogy nem tudjuk, hol kezdjük a felkészülést. Ebben a cikkben bemutatjuk, milyen lépéseket kell megtenniük a japán vállalatoknak.

Az információs rendszer részlegekkel és a DX (digitális transzformáció) kapcsolatos részlegekkel való együttműködési rendszer kiépítése

A kínai kiberbiztonsági törvénynek való megfelelés érdekében szükséges lehet az üzemeltetési folyamatok kialakítása, a személyes adatok kezelésére vonatkozó szabályzatok kidolgozása és kiegészítése. Emellett a besorolási védelmi rendszernek való megfelelés érdekében elengedhetetlenek a technikai intézkedések a vállalat rendszereiben.

Nem csak a jogi és általános ügyviteli részlegeknek kell egyénileg megfelelniük, hanem szükséges egy olyan rendszer kiépítése is, amely az információs rendszer részlegekkel és a DX kapcsolatos részlegekkel is együttműködik.

Meghatározni, hogy a vállalat által birtokolt rendszerek melyik besorolási szintnek felelnek meg

Először is meg kell állapítani a vállalat rendszereinek besorolási szintjét. Ezen szinteknek megfelelően minden részlegnek a kiberbiztonsági előírásoknak megfelelően kell eljárnia. A jogi, általános ügyviteli és kockázatkezelési részlegeknek a törvényeknek való megfelelés érdekében szabályzatokat és működési eljárásokat kell felülvizsgálniuk és módosítaniuk, míg az információs rendszer és DX kapcsolatos részlegeknek a technikai megfelelésre kell összpontosítaniuk. Itt bemutatjuk az egyes részlegek megfelelési lépéseit.

Jogi, általános ügyviteli és kockázatkezelési részlegek

Össze kell hasonlítani a besorolási szintek által meghatározott követelményeket a vállalat jelenlegi kezelési állapotával és információbiztonsági rendszerével, majd szükség esetén kiegészíteni a szabályzatokat és felülvizsgálni a működési rendszert. Ezután meg kell határozni a megfelelés módját, és szükség esetén intézkedéseket és módosításokat kell végrehajtani.

Ha a besorolási szint a második vagy magasabb, akkor bejelentést kell tenni a hatóságoknak. Ha a vállalatot kritikus információs infrastruktúra üzemeltetőjének tekintik, akkor a harmadik vagy magasabb szintű besorolási védelmi tanúsítvány megszerzése válik kötelezővé. Emellett számos más kötelezettség is felmerül, mint például a helyi adattárolási szabályozásnak való megfelelés, a dolgozók rendszeres információbiztonsági oktatása és technikai képzése. Ha fennáll a lehetőség, hogy a vállalat kritikus információs infrastruktúra üzemeltetőjének minősül, érdemes tanácsadó ügyvéddel konzultálni és előre meghatározni a megfelelési stratégiát.

Az utóbbi időben Kínában sorra léptetik életbe a biztonsági rendszabályokat. Emiatt a kockázatkezelési részlegeknek az új szabályozásoknak megfelelő kockázatkezelési stratégiákat kell kidolgozniuk.

Információs rendszer és DX kapcsolatos részlegek

Az információs rendszer részlegeknek és a DX kapcsolatos részlegeknek a besorolási szintnek megfelelő biztonsági védelmi intézkedéseket kell bevezetniük. Először is át kell tekinteni a vállalat meglévő rendszereinek biztonsági védelmi intézkedéseit, és ha hiányosságokat találnak, be kell építeniük a kiberbiztonsági törvénynek megfelelő rendszereket.

Nem csak a kiberbiztonsági törvényre kell figyelmet fordítani, hanem a helyi adattárolási szabályozásra, a határokon átnyúló korlátozásokra és a kormányzati hozzáférésre is. Tudomásul kell venni, hogy milyen adatokat továbbítanak Kínán kívülre, és felül kell vizsgálni a vállalat adatgyűjtési és tárolási gyakorlatát.

A kiberbiztonsági törvény nem csak a szabályozások módosítását írja elő, hanem technikai védelmi intézkedéseket is megkövetel, ezért elengedhetetlen a megfelelő részlegek közötti együttműködés.

Összefoglalás: Ha vállalata nehézségekbe ütközik, forduljon szakértőhöz

A Kínai Kiberbiztonsági Törvény egy olyan rendszer, amelyet Kína nemzetbiztonságának védelme érdekében hoztak létre. A Kiberbiztonsági Törvény előírásainak megfeleléshez nemcsak a jogi és általános ügyviteli osztályok által végrehajtott szabályzatok módosítására van szükség, hanem technikai védelmi intézkedések megtételére is.

A Kiberbiztonsági Törvény hatálybalépése óta számos adatvédelmi jogszabályt alkottak, mint például az “Internetes Termékek Biztonsági Sebezhetőségének Kezelésére Vonatkozó Szabályzat” vagy a “Kiberbiztonsági Felülvizsgálati Eljárás (a nemzetbiztonsági felülvizsgálati rendszer konkretizálása)”. Szabálysértés esetén büntetésre, weboldalak bezárására vagy a működési engedély visszavonására számíthatunk, ezért fontos a fokozott óvatosság. Ha Kínában terjeszkedik vagy tervez terjeszkedni, javasoljuk, hogy konzultáljon egy olyan ügyvéddel, aki jól ismeri a kínai jogszabályokat.

Intézkedéseink bemutatása az Önök számára

A Monolith Jogügyi Iroda egy olyan jogi szolgáltató, amely az IT, az internet és az üzleti jog területén kiemelkedő szakértelemmel rendelkezik. Olyan ügyekben is képviseltünk már ügyfeleket, amelyek Kínát, az Amerikai Egyesült Államokat, az Európai Unió tagállamait és más világrészeket érintettek. Amikor egy vállalat külföldön kíván terjeszkedni, számos jogi kockázattal kell szembenéznie, ezért elengedhetetlen az tapasztalt ügyvédek által nyújtott támogatás. Irodánk tisztában van a helyi jogszabályokkal és szabályozásokkal, és együttműködik a világ különböző részein található jogi irodákkal.

A Monolith Jogügyi Iroda szakterületei: Nemzetközi jogi ügyek és külföldi vállalkozások[ja]