Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Che cos'è la 'Legge sulla Sicurezza dei Dati Cinese' e quali misure dovrebbero adottare le aziende giapponesi?

Che cos'è la 'Legge sulla Sicurezza dei Dati Cinese' e quali misure dovrebbero adottare le aziende giapponesi?

General Corporate

Che cos'è la 'Legge sulla Sicurezza dei Dati Cinese' e quali misure dovrebbero adottare le aziende giapponesi?

La legge sulla sicurezza dei dati cinese, una normativa nel campo dei dati in Cina, è stata implementata a settembre del 2021 (Reiwa 3). Essa si applica a tutti i trattamenti di dati che avvengono all’interno del territorio cinese, pertanto le aziende che operano o prevedono di espandersi in Cina dovranno rivedere e possibilmente modificare le proprie politiche e regolamenti esistenti. Tuttavia, ci sono persone che non hanno ancora compreso appieno questa legge o che sono incerte sulle misure da adottare.

In questo articolo, pertanto, forniremo una panoramica della legge sulla sicurezza dei dati cinese, i punti chiave per comprenderla, le sanzioni previste e le strategie da adottare in Giappone.

Cos’è la Legge sulla Sicurezza dei Dati in Cina?

Domanda

La Legge sulla Sicurezza dei Dati in Cina (中华人民共和国数据安全法, Legge sulla Sicurezza dei Dati della Repubblica Popolare Cinese) è una legge relativa alla sicurezza dei dati in Cina, entrata in vigore nel settembre 2021. È stata promulgata per proteggere la sicurezza nazionale, così come la Legge sulla Sicurezza Informatica della Cina, entrata in vigore nel giugno 2017.

Legge sulla Sicurezza Informatica della Cina: una legge per proteggere la sicurezza delle “reti” in Cina.

Gli obiettivi della Legge sulla Sicurezza dei Dati in Cina sono descritti come segue (Articolo 1):

    • Regolamentazione delle attività di gestione dei dati


    • Garanzia della sicurezza dei dati


    • Promozione dello sviluppo e dell’utilizzo dei dati


    • Protezione dei legittimi diritti e interessi di individui e organizzazioni


    • Protezione della sovranità, sicurezza e interessi di sviluppo nazionale

Mentre la Legge sulla Sicurezza Informatica della Cina regolava i dati elettronici, la Legge sulla Sicurezza dei Dati in Cina si caratterizza per includere nel suo ambito di regolamentazione anche i dati non elettronici, come quelli cartacei (Articolo 3). La Legge sulla Sicurezza dei Dati in Cina stabilisce disposizioni relative alla classificazione dei dati, all’istituzione di un sistema di certificazione della sicurezza e agli obblighi di protezione della sicurezza dei dati.


Punti chiave per comprendere la Legge sulla Sicurezza dei Dati in Cina

Punti chiave

La Legge sulla Sicurezza dei Dati cinese comprende diverse disposizioni che possono risultare complesse da comprendere. In questo articolo, spiegheremo in dettaglio i seguenti cinque punti chiave relativi al contenuto della legge.

    • Ambito di applicazione della regolamentazione


    • Stabilimento di norme per la classificazione e la graduazione dei dati


    • Gestione della sicurezza dei dati


    • Regolamentazione del trasferimento dei dati


    • Revisione della sicurezza nazionale


Oggetti di Regolamentazione

I dati regolamentati dalla legge includono tutte le attività di “elaborazione dei dati” che si svolgono all’interno della Cina. Anche le attività di elaborazione dei dati che avvengono al di fuori della Cina sono soggette a regolamentazione se danneggiano la sicurezza nazionale cinese, l’interesse pubblico o gli interessi dei cittadini e delle organizzazioni.

Il termine “dati” si riferisce alla registrazione di informazioni tramite metodi elettronici o altri mezzi, e si deve prestare attenzione al fatto che questo include anche i documenti cartacei. L'”elaborazione dei dati” comprende la raccolta, la conservazione, l’uso, l’elaborazione, la trasmissione, la fornitura e la divulgazione dei dati, e chiunque svolga queste attività è definito come “elaboratore di dati”.


Sull’istituzione di norme per la classificazione e la graduazione dei dati

I responsabili del trattamento dei dati devono garantire la sicurezza dei dati basandosi sul sistema di protezione per livelli. Tale sistema rappresenta un regime di valutazione pubblica per la gestione della sicurezza della rete, e le misure da adottare variano a seconda del livello. Inoltre, è necessario classificare i dati in base all’entità del danno che la loro distruzione o perdita potrebbe causare alla sicurezza nazionale, all’interesse pubblico o a individui e organizzazioni.

La classificazione si divide in tre categorie: “dati generali”, “dati importanti” e “dati centrali”. Il “Regolamento sulla sicurezza dei dati di rete (bozza per la raccolta di opinioni)” definisce i dati importanti come quelli che, in caso di alterazione, distruzione, perdita, acquisizione o utilizzo illegale, potrebbero danneggiare la sicurezza nazionale o l’interesse pubblico. I dati centrali si riferiscono a dati che sono collegati alla sicurezza nazionale, alle infrastrutture vitali dell’economia nazionale, alla vita importante dei cittadini e agli interessi pubblici principali (articolo 21).

Al momento della redazione, non esiste ancora un elenco specifico per i dati importanti o centrali, quindi è consigliabile classificare i dati trattati facendo riferimento agli esempi di dati importanti indicati nel “Regolamento sulla sicurezza dei dati di rete (bozza per la raccolta di opinioni)”. È inoltre fondamentale monitorare continuamente gli elenchi pubblicati dalle autorità competenti.


Gestione della sicurezza dei dati

Le responsabilità richieste ai responsabili del trattamento dei dati includono le seguenti:

    • Attuazione di formazione e addestramento sulla sicurezza dei dati


    • Obblighi di protezione dei dati basati sul sistema di protezione a livelli


    • Continua attuazione del monitoraggio dei rischi


    • Stabilire un sistema di gestione della sicurezza per l’intero ciclo di vita dei dati


    • Nomina di un responsabile


    • Misure tecniche

In linea di principio, i requisiti sono simili a quelli del “Sistema di Gestione della Sicurezza delle Informazioni (ISMS)”, ma è necessario prestare attenzione alle misure di gestione che devono essere adottate in base alla classificazione dei dati.

In caso di incidente, è necessario intervenire immediatamente e segnalarlo agli utenti e alle autorità competenti. Inoltre, quando si trattano dati importanti, è necessario eseguire valutazioni del rischio periodicamente e presentare i rapporti di valutazione del rischio ai dipartimenti competenti correlati.


Riguardo la regolamentazione del trasferimento dei dati

Il trasferimento dei dati è soggetto a regolamentazione nel caso di dati importanti. È specificato che le disposizioni della legge sulla cybersecurity si applicano quando gli operatori di infrastrutture critiche di informazione in Cina trasferiscono all’estero dati importanti acquisiti o generati durante le attività nel territorio cinese.

Infrastrutture critiche di informazione: operatori di strutture che, se danneggiate o soggette a perdita di dati, potrebbero minacciare la sicurezza nazionale in settori come energia, trasporti, finanza, servizi pubblici, ecc., e potrebbero causare danni significativi alla sicurezza nazionale, alla vita dei cittadini e all’interesse pubblico.

Se il soggetto che tratta i dati non rientra tra gli operatori di infrastrutture critiche di informazione, deve sottoporsi a una valutazione di sicurezza da parte delle autorità secondo il “Regolamento di valutazione della sicurezza per il trasferimento di dati all’estero” e può trasferire i dati solo dopo aver superato tale valutazione.

Secondo il “Regolamento sulla gestione della sicurezza dei dati di rete (bozza per la raccolta di opinioni)”, anche nel caso di trasferimento all’estero di dati non considerati importanti, è necessario sottoporsi e superare la valutazione di sicurezza delle autorità nei seguenti casi:

    • Se i dati trasferiti oltre confine includono dati importanti


    • Se gli operatori di infrastrutture critiche di informazione o i soggetti che trattano le informazioni personali di più di un milione di persone forniscono dati personali all’estero

Inoltre, sono elencati i seguenti obblighi per coloro che trasferiscono dati all’estero:

    • Non fornire all’estero informazioni personali oltre gli scopi, l’ambito, il metodo, il tipo e la dimensione dei dati specificati nel rapporto di valutazione dell’impatto sulla protezione dei dati personali presentato al dipartimento di informazione di rete


    • Non fornire all’estero informazioni personali e dati importanti oltre gli scopi, l’ambito, il tipo e la dimensione dei dati specificati nella valutazione di sicurezza del dipartimento di informazione di rete


    • Accettare e gestire reclami degli utenti relativi all’esportazione dei dati


    • Conservare i registri relativi e i registri di autorizzazione all’esportazione dei dati per più di tre anni


    • Se l’esportazione dei dati danneggia i legittimi diritti e interessi di individui, organizzazioni o dell’interesse pubblico, il soggetto che tratta i dati è responsabile secondo la legge

Chi trasferisce dati all’estero ha anche l’obbligo di redigere un rapporto sulla sicurezza dell’esportazione dei dati e di segnalarlo al dipartimento di informazione di rete del distretto.


Riguardo la Revisione della Sicurezza Nazionale

È importante prestare attenzione al fatto che, se il governo cinese ritiene che le attività di elaborazione dei dati possano danneggiare la sicurezza nazionale della Cina, verrà condotta una revisione della sicurezza nazionale. Il risultato di tale revisione è definitivo e non è possibile contestarlo tramite ricorsi amministrativi o azioni legali.


Le sanzioni previste dalla legge sulla sicurezza dei dati

Uomo che avverte

In caso di violazione della legge sulla sicurezza dei dati, si possono incorrere in sanzioni quali ordini di correzione e avvertimenti, multe, sospensione delle attività per effettuare le correzioni necessarie, interruzione delle operazioni correlate e revoca della licenza d’impresa.

Ad esempio, se non si adempiono agli obblighi stabiliti dagli articoli 27, 29 e 30 della legge cinese sulla sicurezza dei dati (Chinese Data Security Law), oltre agli ordini di correzione e agli avvertimenti, possono essere imposte multe che vanno da 50.000 a 500.000 yuan al direttore responsabile e ad altri diretti responsabili.

È importante notare che in caso di violazione della legge sulla sicurezza dei dati, non solo la persona giuridica, ma anche i diretti responsabili e altri dipendenti con responsabilità dirette possono essere soggetti a sanzioni. Le violazioni possono avere un impatto significativo sull’intera organizzazione, quindi è essenziale adottare misure preventive in conformità con la legge.


Misure di conformità alla legge sulla sicurezza dei dati per le aziende giapponesi

Uomo che guida

La legge sulla sicurezza dei dati si applica a tutti i trattamenti di dati effettuati all’interno della Cina, quindi molte aziende giapponesi devono adeguarsi. In questo articolo, spiegheremo in dettaglio le misure che le aziende giapponesi dovrebbero adottare in risposta alla legge sulla sicurezza dei dati.

Gestione dei dati

Per prima cosa, è necessario rivedere la gestione dei dati. È importante chiarire quali dati vengono generati, accumulati e cancellati all’interno dell’azienda e comprendere la situazione attuale del trattamento dei dati. Attraverso il data mapping, è fondamentale verificare in anticipo la classificazione dei dati, lo stato di trasferimento dei dati al di fuori della Cina e le misure di gestione dei dati attuali per poter adottare le azioni necessarie in base alla classificazione dei dati.

Secondo la legge cinese sulla sicurezza dei dati, sono richieste misure di protezione specifiche per i dati importanti e i dati centrali. Pertanto, potrebbe essere necessario ridefinire la classificazione della riservatezza delle informazioni in base alla classificazione.

Tuttavia, al momento attuale, i livelli di sicurezza per ciascuna classificazione sono ancora poco chiari. Poiché potrebbero essere definiti in futuro, è essenziale monitorare gli elenchi pubblicati dalle autorità cinesi competenti. Allo stesso tempo, è consigliabile impostare livelli di sicurezza tenendo conto delle classificazioni, includendo il controllo degli accessi, l’autenticazione, la sicurezza delle comunicazioni e le misure fisiche.

Inoltre, è necessario rivedere la politica di sicurezza e applicare politiche adeguate in base alle classificazioni dei dati identificate attraverso il data mapping.

Valutazione e segnalazione dei rischi

Se attraverso il data mapping si determina che i dati trattati dall’azienda includono dati importanti, è necessario effettuare una valutazione dei rischi relativi al trattamento dei dati. Inoltre, è obbligatorio segnalare i risultati di tale valutazione alle autorità competenti.

Dato che la valutazione dei rischi deve essere effettuata regolarmente, è importante stabilire delle regole per garantire che possa essere eseguita in modo continuativo.

Formazione dei dipendenti

In Cina, vengono continuamente introdotte nuove normative relative alla sicurezza. Inoltre, la gestione dei dati e la valutazione dei rischi non sono processi che si concludono con una sola implementazione. Pertanto, è necessario eseguire regolarmente revisioni e miglioramenti per assicurare che queste pratiche si radichino all’interno dell’azienda, richiedendo così la formazione dei dipendenti.

Non solo i reparti legali e amministrativi, ma anche quelli di gestione dei rischi devono essere coinvolti, rendendo la collaborazione tra i vari reparti un aspetto cruciale. Sebbene la legge presenti ancora aspetti poco chiari, ci sono stati casi di applicazione di sanzioni per violazioni, quindi è essenziale adeguarsi alla legge sulla sicurezza dei dati.


Le caratteristiche delle tre leggi cinesi sulla cybersicurezza

Le tre leggi cinesi sulla cybersicurezza si riferiscono collettivamente alla “Legge sulla cybersicurezza”, alla “Legge sulla sicurezza dei dati” e alla “Legge sulla protezione delle informazioni personali” adottate dalla Cina. La Legge sulla cybersicurezza mira a contrastare gli attacchi informatici, la Legge sulla sicurezza dei dati si concentra sulla conservazione dei dati, mentre la Legge sulla protezione delle informazioni personali è volta a rafforzare la sicurezza delle informazioni personali.

Articolo correlato: Cos’è la legge cinese sulla cybersicurezza? Spiegazione dei punti chiave per la conformità

Nonostante le differenze tra di loro, una caratteristica comune di queste leggi è che stabiliscono sanzioni amministrative, risarcimenti per danni civili e responsabilità penali in caso di violazione. Inoltre, le violazioni non riguardano solo le persone giuridiche, ma anche i responsabili diretti, i quali possono essere soggetti a divieti di esercitare le stesse attività professionali o essere inseriti nel registro dei trasgressori nazionale.


Riassunto: Prestare attenzione alla regolamentazione cinese sui dati e agire rapidamente

La Legge sulla Sicurezza dei Dati cinese è una normativa applicabile al trattamento dei dati in Cina, che stabilisce classificazioni, livelli di protezione e valutazioni del rischio. Oltre alla Legge sulla Cybersecurity, sono state pubblicate diverse leggi, tra cui la “Legge sulla Protezione dei Dati Personali” e le “Norme sulla Gestione delle Vulnerabilità della Sicurezza dei Prodotti Internet”, richiedendo un adeguamento normativo indispensabile.

Nonostante alcune parti della regolamentazione rimangano poco chiare, come la concretizzazione dei livelli di sicurezza per categoria, ci sono stati casi di sanzioni pecuniarie per violazioni, il che rende essenziale l’adeguamento alla legge. È fondamentale monitorare la regolamentazione cinese e adottare le misure possibili al momento attuale.

Se state conducendo o pianificate di avviare attività commerciali in Cina, si consiglia di consultare un avvocato esperto nelle leggi cinesi.


Presentazione delle strategie del nostro studio legale

Lo studio legale Monolith è specializzato in IT, con particolare esperienza nel settore di Internet e del diritto. Negli ultimi anni, il business globale ha visto un’espansione senza precedenti, e la necessità di controlli legali da parte di esperti è in costante aumento. Il nostro studio offre soluzioni per questioni legali internazionali, inclusi servizi per la Cina, gli Stati Uniti e i paesi dell’Unione Europea.

Aree di competenza dello studio legale Monolith: Affari internazionali e legali all’estero

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

L'aumento rapido delle firme elettroniche e dei contratti elettronici durante la pandemia di Corona: Spiegazione della loro validità

L'aumento rapido delle firme elettroniche e dei contratti elettronici durante la pandemia di Cor.

General Corporate

Che cos'è il GDPR? Spiegazione dei punti chiave per le aziende giapponesi e confronto con la legge sulla protezione dei dati personali

Che cos'è il GDPR? Spiegazione dei punti chiave per le aziende giapponesi e confronto con la leg.

General Corporate

Che cos'è il sistema di sanzioni pecuniarie nella 'Japanese Premiums and Representations Act' (Legge giapponese sulla rappresentazione dei premi)? Spiegazione dei metodi di gestione attraverso esempi reali

Che cos'è il sistema di sanzioni pecuniarie nella 'Japanese Premiums and Representations Act' (L.

General Corporate

Il ruolo della gestione delle crisi e degli avvocati appreso dalla fuga di informazioni dell'Università Keio

Il ruolo della gestione delle crisi e degli avvocati appreso dalla fuga di informazioni dell'Uni.

General Corporate

Cosa dovrebbe rivelare un'azienda in caso di una violazione dei dati

Cosa dovrebbe rivelare un'azienda in caso di una violazione dei dati

General Corporate

Cosa sono le ore medie necessarie per i servizi legali a tariffa oraria, come la creazione di contratti

Cosa sono le ore medie necessarie per i servizi legali a tariffa oraria, come la creazione di co.

General Corporate

Quali sono i punti da considerare nella creazione di una politica sulla privacy basata sulla 'Legge sulla protezione delle informazioni personali' giapponese?

Quali sono i punti da considerare nella creazione di una politica sulla privacy basata sulla 'Le.

General Corporate

Punti chiave della revisione della 'Legge Speciale sul Commercio' (Japanese Special Commercial Law) contro le 'pratiche di abbonamento fraudolento nel commercio elettronico'.

Punti chiave della revisione della 'Legge Speciale sul Commercio' (Japanese Special Commercial L.

General Corporate

Punti da considerare quando si utilizzano materiali gratuiti con limitazioni come 'OK per uso personale'

Punti da considerare quando si utilizzano materiali gratuiti con limitazioni come 'OK per uso pe.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su