Apakah Undang-Undang Keselamatan Siber China? Penjelasan Mengenai Poin-Poin Penting untuk Mematuhi
Menurut “Kajian Khas: Trend Penetrasi Syarikat Jepun ke China (2022)” oleh Teikoku Databank[ja], terdapat 12,706 syarikat Jepun yang telah memasuki pasaran China. Bilangan syarikat yang terlibat dalam perniagaan berkaitan China mungkin lebih banyak lagi. Di China, “Undang-Undang Keselamatan Siber China” telah dikuatkuasakan pada tahun 2017.
Akibatnya, syarikat-syarikat yang ingin mengembangkan perniagaan mereka di China perlu melakukan pengubahan peraturan yang mematuhi undang-undang dan mengambil langkah-langkah perlindungan teknikal. Namun, mungkin ada di antara anda yang tidak pasti tentang isi kandungan undang-undang tersebut atau cara untuk mematuhinya.
Oleh itu, dalam artikel ini, kami akan menjelaskan garis besar “Undang-Undang Keselamatan Siber China”, subjek yang diatur, dan langkah-langkah yang perlu diambil. Bagi mereka yang sedang mengembangkan perniagaan di China atau yang mempertimbangkan untuk memasuki pasaran China pada masa depan, sila gunakan maklumat ini sebagai rujukan.
Gambaran Keseluruhan Undang-Undang Keselamatan Siber China
Undang-Undang Keselamatan Siber China (网络安全法) adalah undang-undang yang dikuatkuasakan di China pada bulan Jun 2017. Tujuan undang-undang ini dinyatakan dalam Artikel 1 seperti berikut:
- Menjamin keselamatan rangkaian
- Melindungi kedaulatan siber, keselamatan negara, dan kepentingan awam
- Memelihara hak dan kepentingan sah warga negara, badan hukum, dan organisasi lain
- Menggalakkan pembangunan informatisasi ekonomi dan sosial
Rangkaian merujuk kepada “sesuatu yang terdiri daripada komputer, peranti maklumat lain, dan peralatan berkaitan yang mengumpul, menyimpan, menghantar, bertukar, dan memproses maklumat mengikut peraturan dan program tertentu (Artikel 76)”, dan tidak hanya terbatas pada internet, tetapi juga intranet.
Undang-Undang Keselamatan Siber China berbeza dengan Peraturan Perlindungan Data Umum EU (GDPR) dan Undang-Undang Perlindungan Data Peribadi Jepun kerana ia tidak hanya bertujuan untuk ‘melindungi maklumat peribadi dan organisasi’, tetapi juga ‘melindungi keselamatan negara China dan kepentingan awam’. Undang-undang ini menetapkan pelaksanaan perlindungan keselamatan siber, pematuhan terhadap kepatuhan, dan penjelasan hak dan kewajiban bagi perniagaan yang terlibat.
Di samping itu, terdapat juga Undang-Undang Keselamatan Data China yang berkaitan dengan undang-undang keselamatan.
Artikel berkaitan: Apa itu Undang-Undang Keselamatan Data China? Penjelasan Langkah-langkah yang Harus Diambil oleh Syarikat Jepun[ja]
Sasaran Peraturan Undang-Undang Keselamatan Siber China
Syarikat Jepun mungkin menjadi sasaran Undang-Undang Keselamatan Siber China dalam situasi berikut:
- Ada pengendalian maklumat di dalam China
- Memindahkan maklumat dari China ke Jepun
Walaupun syarikat tersebut berpusat di Jepun, ia akan tertakluk kepada undang-undang ini jika situasi tersebut berlaku. Selain itu, pihak yang diatur termasuk ‘pengendali rangkaian’ dan ‘pengendali fasiliti infrastruktur maklumat kritikal’.
Pengendali rangkaian merujuk kepada pemilik atau pengurus rangkaian, serta mereka yang menyediakan perkhidmatan rangkaian.
Pengendali fasiliti infrastruktur maklumat kritikal merujuk kepada mereka yang mengendalikan kemudahan yang, jika rosak atau bocor data, boleh mengancam keselamatan negara, seperti dalam bidang tenaga, pengangkutan, kewangan, dan perkhidmatan awam, dan boleh menyebabkan kerugian besar kepada keselamatan negara, kehidupan rakyat, dan kepentingan awam.
Kandungan Undang-Undang Keselamatan Siber China
Undang-Undang Keselamatan Siber China menetapkan kewajiban-kewajiban berikut:
- Penggredan keselamatan siber
- Pematuhan terhadap standard mandatori negara
- Keperluan pendaftaran nama sebenar
- Kewajiban bagi pengendali infrastruktur maklumat penting
- Pembinaan sistem pengurusan dan respons
Di sini, kami akan menjelaskan setiap detail tersebut.
Penetapan Tahap Keselamatan Siber
Di bawah Artikel 21 Undang-Undang Keselamatan Siber China, sistem perlindungan tahap yang harus dipatuhi oleh pengendali rangkaian telah ditetapkan, dan syarikat atau organisasi yang memiliki rangkaian di dalam China perlu mendapatkan pengesahan perlindungan tahap.
Sistem perlindungan tahap adalah sistem penilaian rasmi untuk struktur pengurusan keselamatan rangkaian. Skop yang terlibat termasuk yang berikut:
- Infrastruktur rangkaian
- IoT
- Sistem kawalan industri
- Laman web skala besar dan pusat data
- Platform perkhidmatan awam
Dalam sistem perlindungan tahap, sistem maklumat diklasifikasikan ke dalam lima tahap berdasarkan skop dan skala kerugian apabila ia rosak:
Tahap kerugian yang dialami subjek | |||
Kerugian umum | Kerugian serius | Kerugian sangat serius | |
Rakyat dan badan korporat | Tahap 1 | Tahap 2 | Tahap 3 |
Ketertiban sosial & kepentingan awam | Tahap 2 | Tahap 3 | Tahap 4 |
Keselamatan negara | Tahap 3 | Tahap 4 | Tahap 5 |
Definisi bagi setiap tahap adalah seperti berikut:
Tahap | Definisi |
Tahap 1 | Rangkaian umum yang, jika rosak, akan menjejaskan hak dan kepentingan sah warga, badan korporat, dan organisasi lain, tetapi tidak mempengaruhi keselamatan negara, ketertiban sosial, atau kepentingan awam. |
Tahap 2 | Rangkaian umum yang, jika rosak, akan menyebabkan kerugian serius kepada hak dan kepentingan sah warga, badan korporat, dan organisasi lain, atau membahayakan ketertiban sosial dan kepentingan awam, tetapi tidak mempengaruhi keselamatan negara. |
Tahap 3 | Rangkaian penting yang, jika rosak, akan menyebabkan kerugian sangat serius kepada hak dan kepentingan sah warga, badan korporat, dan organisasi lain, atau membahayakan keselamatan negara. |
Tahap 4 | Rangkaian sangat penting yang, jika rosak, akan menyebabkan kerugian yang sangat signifikan kepada ketertiban sosial dan kepentingan awam, atau kerugian yang sangat penting kepada keselamatan negara. |
Tahap 5 | Rangkaian yang sangat penting yang, jika rosak, akan menyebabkan kerugian yang sangat serius kepada keselamatan negara. |
Berdasarkan klasifikasi ini, standard keselamatan maklumat yang harus dipatuhi telah ditetapkan. Biasanya, pengendali rangkaian perlu mematuhi tahap 2 ke atas, manakala pengendali infrastruktur maklumat penting perlu mematuhi tahap 3 ke atas.
Untuk mendapatkan tahap, pengendali perlu membuat permohonan tahap secara sukarela kepada pihak berkuasa, tetapi pada akhirnya, persetujuan dari Kementerian Keselamatan Awam diperlukan. Di samping itu, di bawah sistem perlindungan tahap, tahap 2 ke atas memerlukan penilaian oleh agensi penilaian. Perlu diingat bahawa pelanggaran terhadap sistem perlindungan tahap boleh mengakibatkan denda.
Pematuhan terhadap Standard Wajib Negara
Pembekal produk dan perkhidmatan internet diwajibkan untuk mematuhi standard wajib negara sebagaimana yang dinyatakan dalam Artikel 22. Pembekal tidak boleh memasang program jahat dalam produk atau perkhidmatan mereka.
Selain itu, sekiranya pembekal menemui sebarang kecacatan, kerentanan, atau risiko lain dalam produk atau perkhidmatan mereka, mereka mesti mengambil tindakan segera, memaklumkan pengguna dan melaporkan kepada pihak berkuasa yang berkaitan.
Pada bulan September 2021 (Reiwa 3), ‘Peraturan Pengurusan Kerentanan Keselamatan Produk Internet Jepun (网络产品安全漏洞管理规定)’ telah dikuatkuasakan, yang ditujukan kepada pengendali rangkaian. Oleh itu, adalah penting untuk merujuk dan mematuhi peraturan ini juga.
Pendaftaran Nama Sebenar Diperlukan
Apabila menyediakan perkhidmatan seperti sambungan rangkaian, prosedur sambungan untuk telefon tetap dan telefon bimbit, perkhidmatan perkongsian maklumat, dan perkhidmatan pesanan segera kepada pengguna, adalah diwajibkan untuk melakukan pendaftaran nama sebenar pengguna. Sekiranya pengguna tidak mendaftar nama sebenar, perkhidmatan tersebut tidak boleh disediakan kepada mereka.
Selain itu, pengendali rangkaian juga mempunyai kewajipan untuk mengkaji sama ada maklumat yang disiarkan oleh pengguna tidak melanggar undang-undang.
Kewajipan Bagi Pengendali Fasiliti Infrastruktur Maklumat Penting
Pengendali fasiliti infrastruktur maklumat penting tidak hanya perlu melaksanakan langkah-langkah keselamatan yang dikenakan kepada pengendali rangkaian, tetapi juga perlu mengambil langkah-langkah berikut:
- Melakukan backup berkala sistem dan pangkalan data
- Membangun rancangan tindak balas kejadian keselamatan
- Penilaian keselamatan tahunan
- Lokalisasi data
Lokalisasi data: Proses menyimpan dan mengolah data di dalam sempadan negara di mana data tersebut dihasilkan
Pada bulan September 2021 (Reiwa 3), ‘Peraturan Perlindungan Keselamatan Fasiliti Infrastruktur Maklumat Penting’ Jepun telah dikuatkuasakan, yang mana ia lebih terperinci dalam menetapkan pengurusan, pengesahan, dan kewajipan pengendali fasiliti tersebut. Oleh itu, adalah penting untuk merujuk kepada peraturan ini juga.
Pembinaan Sistem Pengurusan dan Respons
Antara keperluan yang dituntut daripada pengendali rangkaian adalah seperti berikut (Artikel 21).
- Pembentukan sistem pengurusan keselamatan dan prosedur operasi
- Penentuan individu bertanggungjawab keselamatan rangkaian
- Perancangan pelan respons terhadap insiden keselamatan dan penyediaan langkah-langkah teknikal
- Pengenalan teknologi pemantauan rangkaian dan penyimpanan log (sekurang-kurangnya selama 6 bulan)
- Pengelasan data, langkah-langkah perlindungan seperti sandaran dan penyulitan data penting
Peruntukan Sekiranya Melanggar Undang-Undang Keselamatan Siber Jepun
Sekiranya anda melanggar keperluan keselamatan yang ditetapkan oleh sistem perlindungan tahap, arahan pembetulan dan amaran akan dikeluarkan. Jika anda menolak arahan tersebut atau mengancam keselamatan rangkaian, anda perlu membayar denda antara 10,000 yuan hingga 100,000 yuan. Selain itu, individu yang bertanggungjawab secara langsung akan dikenakan denda antara 5,000 yuan hingga 50,000 yuan.
Di samping itu, arahan pembetulan dan amaran juga akan dikeluarkan jika anda memasang program jahat atau tidak mengambil langkah terhadap risiko seperti kecacatan produk atau perkhidmatan dan lubang keselamatan. Jika anda menolak arahan tersebut, pembayaran denda akan dikenakan.
Jumlah denda berbeza bergantung pada kandungan pelanggaran, dan anda mungkin diperintahkan untuk menutup laman web, membatalkan kebenaran perniagaan, atau menghentikan operasi perniagaan, jadi perlu berhati-hati. Dalam kes-kes sebelumnya, ada situasi di mana pelanggaran telah mengakibatkan denda dan individu yang bertanggungjawab dilarang terlibat dalam industri yang sama seumur hidup, menunjukkan bahawa langkah-langkah keselamatan siber adalah penting.
Langkah-langkah yang Perlu Diambil oleh Syarikat Jepun dalam Menghadapi Undang-undang Keselamatan Siber
Undang-undang Keselamatan Siber China adalah kompleks, dan mungkin ada yang tidak pasti bagaimana hendak memulakan. Di sini, kami akan menjelaskan langkah-langkah yang perlu diambil oleh syarikat Jepun.
Menyediakan kerjasama antara jabatan sistem maklumat dan jabatan berkaitan DX
Untuk mematuhi Undang-undang Keselamatan Siber China, perlu ada pembinaan proses operasi, penubuhan dan penambahan peraturan pengurusan data peribadi. Selain itu, langkah-langkah teknikal adalah penting untuk mematuhi sistem perlindungan berperingkat.
Bukan hanya jabatan undang-undang atau pentadbiran yang bertindak secara individu, tetapi juga perlu ada kerjasama dengan jabatan sistem maklumat dan jabatan berkaitan DX.
Menentukan peringkat kesesuaian sistem yang dimiliki oleh syarikat
Pertama, tentukan peringkat sistem syarikat anda. Sesuai dengan peringkat tersebut, setiap jabatan perlu mengambil tindakan yang sesuai dengan keselamatan siber. Jabatan undang-undang, pentadbiran, dan pengurusan risiko perlu meninjau dan mengubah peraturan dan operasi untuk mematuhi undang-undang, manakala jabatan sistem maklumat dan DX perlu mengambil langkah-langkah teknikal. Kami akan menjelaskan setiap tindakan ini secara terperinci.
Jabatan undang-undang, pentadbiran, dan pengurusan risiko
Bandingkan isu yang ditetapkan dalam peringkat dengan keadaan pengurusan dan sistem keselamatan maklumat syarikat anda, dan tinjau serta tambah peraturan dan sistem operasi. Kemudian, pertimbangkan bagaimana hendak bertindak dan lakukan penyediaan dan pengubahan sistem yang diperlukan.
Jika peringkat adalah tahap kedua atau lebih tinggi, perlu juga membuat pemberitahuan kepada pihak berkuasa. Jika syarikat anda dianggap sebagai pengendali infrastruktur maklumat kritikal, sijil perlindungan peringkat tahap ketiga atau lebih tinggi diperlukan. Selain itu, ada banyak isu yang perlu ditangani, seperti mematuhi peraturan lokal data, pendidikan keselamatan maklumat berkala dan latihan teknikal untuk pekerja. Jika ada kemungkinan syarikat anda termasuk dalam pengendali infrastruktur maklumat kritikal, adalah bijak untuk berunding dengan peguam penasihat dan menetapkan dasar tindakan.
Baru-baru ini, China telah melaksanakan banyak sistem berkaitan keselamatan. Oleh itu, jabatan pengurusan risiko perlu mengambil tindakan risiko yang sesuai dengan peraturan baru.
Jabatan sistem maklumat dan DX
Jabatan sistem maklumat dan DX perlu melaksanakan sistem perlindungan keselamatan yang sesuai dengan peringkat. Pertama, susun langkah-langkah perlindungan keselamatan sistem sedia ada syarikat anda, dan jika ada kekurangan, masukkan sistem yang sesuai dengan Undang-undang Keselamatan Siber.
Selain Undang-undang Keselamatan Siber, perlu juga mematuhi peraturan lokal data, sekatan lintas batas, dan akses kerajaan. Kenal pasti data apa yang ditransfer keluar dari China dan tinjau keadaan pengambilan dan penyimpanan data syarikat anda.
Undang-undang Keselamatan Siber tidak hanya memerlukan pengubahan peraturan tetapi juga perlindungan teknikal, jadi kerjasama antara jabatan yang bertanggungjawab adalah penting.
Kesimpulan: Jika Anda Menghadapi Masalah dengan Respons Perusahaan Anda, Sila Berunding dengan Pakar
Undang-Undang Keselamatan Siber China adalah sistem yang dibangunkan untuk keselamatan negara China. Untuk mematuhi undang-undang keselamatan siber, tidak hanya perlu ada pengubahan peraturan oleh jabatan undang-undang atau jabatan umum, tetapi juga perlunya melaksanakan langkah-langkah perlindungan teknikal.
Sejak Undang-Undang Keselamatan Siber dikuatkuasakan, undang-undang berkaitan pematuhan data seperti ‘Peraturan Pengurusan Kerentanan Keselamatan Produk Internet’ dan ‘Metode Penilaian Keselamatan Siber (sistem yang menjelaskan sistem penilaian keselamatan negara)’ telah diperkenalkan satu demi satu. Jika melanggar undang-undang ini, ada risiko menerima hukuman administratif seperti denda, penutupan laman web, atau pembatalan lesen perniagaan, jadi perlu berhati-hati. Jika anda sedang menjalankan perniagaan di China atau merancang untuk melakukannya di masa depan, kami menyarankan anda untuk berunding dengan peguam yang arif tentang undang-undang China.
Panduan Langkah-langkah oleh Firma Kami
Firma Guaman Monolith adalah sebuah firma guaman yang memiliki kekuatan dalam bidang IT, Internet, dan bisnis. Kami telah menangani kasus-kasus dari berbagai negara di seluruh dunia termasuk China, Amerika, dan negara-negara Uni Eropa. Ketika mengembangkan bisnis di luar negeri, terdapat banyak risiko hukum yang harus dihadapi, oleh itu, dukungan dari pengacara yang berpengalaman sangatlah penting. Firma kami memiliki keahlian dalam hukum dan regulasi lokal serta bekerja sama dengan firma-firma guaman di seluruh dunia.
Bidang yang ditangani oleh Firma Guaman Monolith: Hukum Internasional & Bisnis Luar Negeri[ja]