चीनको डेटा सुरक्षा कानून के हो? जापानी कम्पनीहरूले लिनुपर्ने उपायहरूको व्याख्या

चीनको डेटा सुरक्षा कानून चीनको डेटा क्षेत्रमा लागु हुने कानूनी प्रावधान हो, जुन २०२१ सेप्टेम्बर (सन् २०२१) मा कार्यान्वयनमा आएको थियो। यो कानून चीनभित्र गरिने सबै डेटा प्रशोधनमा लागू हुन्छ, त्यसैले चीनमा व्यापार गरिरहेका वा भविष्यमा विस्तार गर्ने योजना बनाइरहेका कम्पनीहरूले विद्यमान नियमहरू र व्यवस्थापन नीतिहरूको पुनरावलोकन वा संशोधन गर्न आवश्यक पर्छ। तर, के कस्तो कानून हो भन्ने कुरा बुझ्न नसक्ने वा कार्यान्वयन गर्नुपर्ने उपायहरूमा अलमलमा पर्ने व्यक्तिहरू पनि हुन सक्छन्।

त्यसैले यस लेखमा, चीनको डेटा सुरक्षा कानूनको सारांश, बुझ्नुपर्ने मुख्य बुँदाहरू, दण्ड, र जापानमा अपनाउनुपर्ने उपायहरूको बारेमा व्याख्या गरिनेछ।

चीनको डेटा सुरक्षा कानून के हो?

चीनको डेटा सुरक्षा कानून (中华人民共和国数据安全法) भनेको २०२१ सेप्टेम्बरमा लागू भएको, चीनको डेटा सुरक्षा सम्बन्धी कानून हो। यो कानून २०१७ जुनमा लागू भएको “चीन साइबर सुरक्षा कानून” जस्तै, राष्ट्रको सुरक्षालाई जोगाउनको लागि बनाइएको हो।

चीन साइबर सुरक्षा कानून: चीनको “नेटवर्क” को सुरक्षालाई जोगाउनको लागि बनाइएको कानून

चीनको डेटा सुरक्षा कानूनको उद्देश्य निम्नानुसार उल्लेख गरिएको छ (अनुच्छेद १)।

• डेटा व्यवस्थापन गतिविधिहरूको नियमन
• डेटा सुरक्षाको सुनिश्चितता
• डेटाको विकास र उपयोगको प्रवर्द्धन
• व्यक्तिगत र संगठनको वैध अधिकार र फाइदाको सुनिश्चितता
• राष्ट्रको सार्वभौमसत्ता, सुरक्षा र विकासको फाइदाको सुरक्षा

चीन साइबर सुरक्षा कानूनले इलेक्ट्रोनिक डेटा मात्रलाई नियमनको विषय बनाएको थियो, तर चीनको डेटा सुरक्षा कानूनले इलेक्ट्रोनिक मात्र नभई कागजी लगायत गैर-इलेक्ट्रोनिक डेटा पनि नियमनको विषय बनाएको छ (अनुच्छेद ३)। चीनको डेटा सुरक्षा कानूनले डेटा वर्गीकरण, सुरक्षा प्रमाणीकरण प्रणालीको व्यवस्थापन, र डेटा सुरक्षाको संरक्षणको दायित्व जस्ता विषयहरूमा व्यवस्था गरेको छ।

जापानमा चिनियाँ डेटा सुरक्षा कानुन बुझ्नका लागि मुख्य बुँदाहरू

चिनियाँ डेटा सुरक्षा कानुनमा विभिन्न प्रावधानहरू छन्, जसलाई बुझ्न धेरैलाई कठिनाइ हुन सक्छ। यहाँ, डेटा सुरक्षा कानुनको विषयमा, तलका ५ वटा मुख्य बुँदाहरूलाई विस्तृत रूपमा व्याख्या गरिएको छ।

• नियमनको दायरा
• डेटा वर्गीकरण र ग्रेडिङ मापदण्डको स्थापना
• डेटाको सुरक्षा व्यवस्थापन
• डेटा स्थानान्तरणको नियमन
• राष्ट्रिय सुरक्षा समीक्षा

नियमनको विषयवस्तु

जापानी कानुन अन्तर्गत नियमन गरिने डाटा भनेको चीन भित्र गरिने “डाटा प्रशोधन” सबै हो। यदि डाटा प्रशोधन गतिविधिहरू चीन बाहिर गरिन्छन् भने पनि, यदि तिनीहरूले चीनको राष्ट्रिय सुरक्षा वा सार्वजनिक हित, नागरिक वा संगठनको हितमा क्षति पुर्‍याउँछन् भने, यो लागू हुनेछ।

“डाटा” भनेको इलेक्ट्रोनिक वा अन्य विधिहरूद्वारा गरिएको जानकारीको रेकर्ड हो, जसमा कागजी माध्यम पनि समावेश छ भन्ने कुरामा ध्यान दिनु आवश्यक छ। “डाटा प्रशोधन” भनेको डाटाको संकलन, भण्डारण, प्रयोग, प्रशोधन, प्रसारण, प्रदान, खुलासा आदि हो, र यी कार्यहरू गर्ने व्यक्तिलाई “डाटा प्रशोधक” भनिन्छ।

जापानमा डाटा वर्गीकरण र ग्रेडिङ मापदण्डको स्थापना

डाटा प्रशोधनकर्ताले ग्रेडिङ सुरक्षा प्रणालीको आधारमा डाटा सुरक्षा सुनिश्चित गर्नुपर्छ। ग्रेडिङ सुरक्षा प्रणाली भनेको नेटवर्क सुरक्षा व्यवस्थापन प्रणालीको लागि सार्वजनिक मूल्याङ्कन प्रणाली हो, जसमा ग्रेडिङ अनुसार अपनाउनुपर्ने उपायहरू फरक हुन्छन्। साथै, डाटाको विनाश वा चुहावटले गर्दा राष्ट्रको सुरक्षा, सार्वजनिक हित, व्यक्ति वा संगठनलाई पर्ने क्षतिको आधारमा डाटालाई वर्गीकृत गर्नुपर्छ।

वर्गीकरणलाई “साधारण डाटा,” “महत्वपूर्ण डाटा,” र “मूल डाटा” गरी तीन भागमा विभाजन गरिएको छ। “नेटवर्क डाटा सुरक्षा व्यवस्थापन अध्यादेश (प्रस्तावित मस्यौदा)” अनुसार, महत्वपूर्ण डाटा भनेको “यदि परिवर्तन, विनाश, चुहावट, अवैध प्राप्ति, वा अवैध प्रयोग भएमा, राष्ट्रको सुरक्षा र सार्वजनिक हितलाई हानि पुर्याउन सक्ने सम्भावना भएको डाटा” हो। मूल डाटा भनेको राष्ट्रको सुरक्षा, राष्ट्रिय अर्थतन्त्रको जीवनरेखा, महत्वपूर्ण नागरिक जीवन, र प्रमुख सार्वजनिक हितसँग सम्बन्धित डाटा हो (अनुच्छेद 21)।

लेखनको समयमा, महत्वपूर्ण डाटा र मूल डाटाको लागि कुनै ठोस सूची उपलब्ध छैन, त्यसैले “नेटवर्क डाटा सुरक्षा व्यवस्थापन अध्यादेश (प्रस्तावित मस्यौदा)” मा उल्लिखित महत्वपूर्ण डाटाका उदाहरणहरूलाई आधार मानी, तपाईंले आफ्नो डाटालाई वर्गीकृत गर्नु राम्रो हुन्छ। साथै, सम्बन्धित विभागले सार्वजनिक गर्ने सूचीलाई अनुगमन गर्नु महत्त्वपूर्ण छ।

जापानमा डेटा सुरक्षा व्यवस्थापनको बारेमा

डेटा प्रशोधनकर्ताले पालना गर्नुपर्ने कुराहरूमा निम्नलिखित समावेश छन्:

• डेटा सुरक्षा शिक्षा र तालिमको कार्यान्वयन
• ग्रेडिङ्ग सुरक्षा प्रणालीमा आधारित डेटा सुरक्षा दायित्व
• जोखिम अनुगमनको निरन्तर कार्यान्वयन
• डेटा जीवनचक्रको सम्पूर्ण अवधिमा सुरक्षा व्यवस्थापन प्रणालीको स्थापना
• जिम्मेवार व्यक्तिको नियुक्ति
• प्राविधिक उपायहरू

मूलतः, “सूचना सुरक्षा व्यवस्थापन प्रणाली (ISMS)” को आवश्यकतासँग मिल्दोजुल्दो छ, तर डेटा वर्गीकरण अनुसार व्यवस्थापन उपायहरू अपनाउनुपर्ने कुरामा ध्यान दिनु आवश्यक छ।

घटना भएमा, तुरुन्तै उपायहरू अपनाउनुपर्छ र प्रयोगकर्ता तथा सम्बन्धित अधिकारीलाई रिपोर्ट गर्नुपर्छ। साथै, महत्वपूर्ण डेटा प्रशोधन गर्दा, नियमित रूपमा जोखिम मूल्याङ्कन गर्नुपर्छ र जोखिम मूल्याङ्कन प्रतिवेदन सम्बन्धित अधिकारिक विभागमा पेश गर्नुपर्ने आवश्यकता पनि छ।

जापानमा डाटा स्थानान्तरणको नियमनबारे

जापानमा डाटा स्थानान्तरणको सन्दर्भमा, महत्वपूर्ण डाटाको हकमा नियमन लागु हुन्छ। यदि महत्वपूर्ण जानकारी पूर्वाधार सुविधाको सञ्चालकले चीन भित्रको कार्यमा प्राप्त वा उत्पन्न गरेको महत्वपूर्ण डाटा सीमापार स्थानान्तरण गर्न चाहन्छ भने, साइबर सुरक्षा कानुनको प्रावधान लागू हुने उल्लेख गरिएको छ।

महत्वपूर्ण जानकारी पूर्वाधार सुविधा: यस्तो क्षेत्र जसले क्षति भएमा राष्ट्रको सुरक्षालाई खतरामा पार्न सक्छ (जस्तै ऊर्जा, यातायात, वित्तीय, सार्वजनिक सेवा आदि) र जसको क्षति वा डाटा चुहावटले राष्ट्रिय सुरक्षा, जनजीवन, सार्वजनिक हितलाई गम्भीर रूपमा हानि पुर्याउन सक्छ, त्यस्ता सुविधाको सञ्चालन गर्ने व्यक्ति

यदि तपाईं महत्वपूर्ण जानकारी पूर्वाधार सुविधाको सञ्चालकमा पर्दैन भने, “डाटा विदेश स्थानान्तरण सुरक्षा मूल्यांकन विधि” अनुसार, तपाईंले अधिकारीहरूद्वारा सुरक्षा मूल्यांकनको समीक्षा प्राप्त गर्नुपर्छ र पास गरेपछि मात्र स्थानान्तरण गर्न सक्नुहुन्छ।

“नेटवर्क डाटा सुरक्षा व्यवस्थापन अध्यादेश (प्रस्तावित मस्यौदा)” अनुसार, महत्वपूर्ण डाटा बाहेक अन्य डाटा विदेश स्थानान्तरण गर्दा पनि, तलका जस्ता अवस्थामा अधिकारीहरूको सुरक्षा मूल्यांकन समीक्षा प्राप्त गर्नुपर्छ र पास गर्नुपर्छ।

• सीमापार डाटामा महत्वपूर्ण डाटा समावेश भएमा
• महत्वपूर्ण जानकारी पूर्वाधार सुविधाको सञ्चालक, वा १० लाखभन्दा बढी व्यक्तिगत जानकारी प्रशोधन गर्ने डाटा प्रशोधनकर्ताले व्यक्तिगत जानकारी विदेशमा प्रदान गर्दा

त्यसैगरी, डाटा विदेश स्थानान्तरण गर्ने व्यक्तिको कर्तव्यको रूपमा तलका जस्ता कुराहरू उल्लेख गरिएका छन्।

• नेटवर्क जानकारी विभागमा पेश गरिएको व्यक्तिगत जानकारी संरक्षण प्रभाव मूल्यांकन प्रतिवेदनमा उल्लेखित उद्देश्य, दायरा, विधि, डाटाको प्रकार, आकार आदि भन्दा बाहिर व्यक्तिगत जानकारी विदेशमा प्रदान नगर्नु
• नेटवर्क जानकारी विभागको सुरक्षा मूल्यांकनमा निर्दिष्ट गरिएको उद्देश्य, दायरा, डाटाको प्रकार, आकार आदि भन्दा बाहिर व्यक्तिगत जानकारी र महत्वपूर्ण डाटा विदेशमा प्रदान नगर्नु
• डाटा निर्यात सम्बन्धी प्रयोगकर्ताको गुनासो स्वीकार गर्नु र समाधान गर्नु
• सम्बन्धित लग रेकर्ड र डाटा निर्यात स्वीकृति रेकर्ड ३ वर्षभन्दा बढी समयसम्म सुरक्षित राख्नु
• डाटा निर्यातले व्यक्तिगत, संगठन, सार्वजनिक हितको वैध अधिकार र हितलाई हानि पुर्याएमा, डाटा प्रशोधनकर्ताले कानुन अनुसार जिम्मेवारी लिनु

विदेशमा डाटा स्थानान्तरण गर्दा, डाटा निर्यात सुरक्षा प्रतिवेदन तयार गर्नु र क्षेत्रको नेटवर्क जानकारी विभागमा प्रतिवेदन गर्नुको पनि दायित्व छ।

जापानमा राष्ट्रिय सुरक्षा समीक्षा सम्बन्धमा

चीन सरकारद्वारा, यदि डाटा प्रशोधन गतिविधिहरूले चीनको राष्ट्रिय सुरक्षामा हानि पुर्‍याउँछ भनी निर्णय गरियो भने, राष्ट्रिय सुरक्षा समीक्षा गरिने उल्लेख गरिएको बुँदामा ध्यान दिन आवश्यक छ। राष्ट्रिय सुरक्षा समीक्षाको परिणाम अन्तिम निर्णय हुने भएकाले, प्रशासनिक पुनरावेदन, मुद्दा आदि मार्फत असहमति जनाउन सकिँदैन।

जापानी डाटा सुरक्षा कानुन अन्तर्गतको दण्ड

जापानी डाटा सुरक्षा कानुन उल्लङ्घन गर्दा, सुधार आदेश र चेतावनी, जरिवाना, सुधारको लागि व्यवसाय रोक, सम्बन्धित कार्यहरूको रोक, व्यवसाय लाइसेन्सको रद्द जस्ता दण्डहरू लाग्न सक्छन्।

उदाहरणका लागि, चीनको डाटा सुरक्षा कानुनको धारा 27, 29, र 30 मा निर्दिष्ट गरिएका कर्तव्यहरू पूरा नगरेको खण्डमा, सुधार आदेश वा चेतावनी जारी गरिन सक्छ, साथै प्रत्यक्ष जिम्मेवार व्यक्ति र अन्य प्रत्यक्ष जिम्मेवार व्यक्तिहरूलाई 50,000 युआन (5万元) देखि 500,000 युआन (50万元) सम्मको जरिवाना लाग्न सक्छ।

जापानी डाटा सुरक्षा कानुन उल्लङ्घन गर्दा, केवल संस्थान मात्र नभई प्रत्यक्ष जिम्मेवार व्यक्ति र अन्य प्रत्यक्ष जिम्मेवार कर्मचारीहरू पनि दण्डको दायरामा पर्ने कुरामा ध्यान दिनु आवश्यक छ। उल्लङ्घनका कारण दण्डित भएमा, यसले संगठनको सम्पूर्ण संरचनामा ठूलो प्रभाव पार्न सक्छ, त्यसैले कानुनको पालना गर्नका लागि आवश्यक कदमहरू उठाउनु पर्ने हुन्छ।

जापानी कम्पनीहरूले गर्नुपर्ने डाटा सुरक्षा कानूनी उपायहरू

चीनको डाटा सुरक्षा कानुन चीनभित्र गरिने सबै डाटा प्रशोधनमा लागू हुन्छ, त्यसैले यसका लागि जापानी कम्पनीहरूले उपायहरू अपनाउनुपर्ने हुन्छ। यहाँ, जापानी कम्पनीहरूले गर्नुपर्ने डाटा सुरक्षा कानूनी उपायहरूको विस्तृत व्याख्या गरिएको छ।

डाटाको व्यवस्थापन

पहिलो चरणमा, डाटा व्यवस्थापनलाई पुनरावलोकन गरिन्छ। कम्पनीभित्र कुन प्रकारको डाटा कसरी उत्पन्न, संचित, र मेटाइन्छ भन्ने कुरा स्पष्ट पार्नुपर्छ र वर्तमान डाटा व्यवस्थापनको स्थिति बुझ्नुपर्छ। डाटा वर्गीकरण अनुसार आवश्यक उपायहरू लिन सकियोस् भनेर, डाटा म्यापिङद्वारा डाटाको वर्गीकरण, चीन बाहिरको स्थानान्तरण स्थिति, र वर्तमान डाटा व्यवस्थापन उपायहरू पहिले नै जाँच गर्नु महत्त्वपूर्ण हुन्छ।

चीनको डाटा सुरक्षा कानुनले महत्त्वपूर्ण डाटा र कोर डाटाका लागि विशेष सुरक्षा उपायहरू माग गर्दछ। त्यसैले, वर्गीकरण अनुसार जानकारीको गोपनीयता पुनः परिभाषित गर्न आवश्यक हुन सक्छ।

तर, हालको अवस्थामा वर्गीकरण अनुसारको सुरक्षा स्तर अस्पष्ट छ। भविष्यमा यसलाई स्पष्ट पार्न सकिने सम्भावना छ, त्यसैले चीनको सम्बन्धित विभागले प्रकाशित गर्ने सूचीलाई अनुगमन गर्नु आवश्यक छ। साथै, पहुँच नियन्त्रण, प्रमाणीकरण, सञ्चार सुरक्षा, भौतिक उपायहरू जस्ता वर्गीकरणलाई ध्यानमा राखेर सुरक्षा स्तरको सेटिङ गर्नु राम्रो हुन्छ।

साथै, सुरक्षा नीति पुनरावलोकन गरी डाटा म्यापिङद्वारा वर्गीकृत डाटा अनुसारको नीति लागू गर्नुहोस्।

जोखिम मूल्यांकनको कार्यान्वयन र रिपोर्टिङ

डाटा म्यापिङद्वारा, यदि कम्पनीले प्रयोग गर्ने डाटामा महत्त्वपूर्ण डाटा समावेश भएको ठहरिन्छ भने, डाटा प्रशोधनमा जोखिम मूल्यांकन गर्नुहोस्। साथै, त्यसको परिणाम सम्बन्धित निकायलाई रिपोर्ट गर्नु आवश्यक छ।

जोखिम मूल्यांकन नियमित रूपमा गर्नुपर्छ, त्यसैले यसलाई निरन्तर रूपमा कार्यान्वयन गर्न सकियोस् भनेर नियम बनाउनु महत्त्वपूर्ण हुन्छ।

कर्मचारीहरूको शिक्षा

चीनमा, सुरक्षा सम्बन्धी प्रणालीहरू लगातार लागू भइरहेका छन्। साथै, डाटाको व्यवस्थापन र जोखिम मूल्यांकन एकपटक गरेर सकिने कुरा होइन। त्यसैले, नियमित रूपमा पुनरावलोकन र सुधार गर्दै, कम्पनीभित्र यसलाई स्थायी बनाउन कर्मचारीहरूको शिक्षा आवश्यक हुन्छ।

कानूनी र प्रशासनिक विभाग मात्र नभई, जोखिम व्यवस्थापन विभाग पनि संलग्न हुने भएकाले, प्रत्येक विभागले अलग-अलग नभई सहकार्य गर्नु महत्त्वपूर्ण हुन्छ। हालको अवस्थामा, केही अस्पष्ट भागहरू भएका कानुन भए तापनि, उल्लङ्घनका कारण दण्ड लागेका घटनाहरू पनि भएका छन्, त्यसैले डाटा सुरक्षा कानुनको पालन अनिवार्य छ।

चीनको साइबर तीन कानूनको विशेषताहरू

चीनको साइबर तीन कानून भनेको चीनले लागू गरेको “साइबर सुरक्षा कानून,” “डेटा सुरक्षा कानून,” र “व्यक्तिगत जानकारी संरक्षण कानून” को सामूहिक नाम हो। साइबर सुरक्षा कानूनले साइबर आक्रमणको प्रतिकार गर्ने, डेटा सुरक्षा कानूनले डेटा संरक्षण गर्ने, र व्यक्तिगत जानकारी संरक्षण कानूनले व्यक्तिगत जानकारीको सुरक्षा सुदृढ गर्ने उद्देश्य राख्छ।

सम्बन्धित लेख: चीन साइबर सुरक्षा कानून के हो? पालना गर्दा ध्यान दिनुपर्ने बुँदाहरू[ja]

यसरी, यिनीहरूमा फरक-फरक उद्देश्य भए पनि, सबैले उल्लङ्घनको लागि प्रशासनिक सजाय, नागरिक क्षतिपूर्ति, र आपराधिक जिम्मेवारीको व्यवस्था गरेको विशेषता छ। साथै, उल्लङ्घनको लक्ष्यमा मात्र संस्था नभई त्यसका प्रत्यक्ष जिम्मेवार व्यक्तिहरू पनि पर्दछन्, जसले गर्दा उनीहरूलाई त्यही कार्यमा संलग्न हुन रोक लगाउन सकिन्छ वा देशको उल्लङ्घनकर्ता जानकारीमा समावेश गरिने सम्भावना रहन्छ।

सारांश: जापानमा चिनियाँ डाटा कानूनी नियमहरूको ध्यान राख्दै छिटो प्रतिक्रिया दिनुहोस्

चिनियाँ डाटा सुरक्षा कानून भनेको चीनमा डाटा प्रशोधनमा लागू हुने कानूनी व्यवस्था हो, जसले डाटाको वर्गीकरण र स्तर निर्धारण सुरक्षा, जोखिम मूल्यांकन आदिलाई समेट्छ। साइबर सुरक्षा कानूनको सुरुवातमा, “व्यक्तिगत जानकारी संरक्षण कानून,” “इन्टरनेट उत्पादन सुरक्षा कमजोरी व्यवस्थापन नियम” जस्ता विभिन्न कानूनहरू सार्वजनिक गरिएका छन्, र तिनीहरू अनुसारको प्रतिक्रिया अपरिहार्य छ।

हालको अवस्थामा, वर्गीकरण अनुसारको सुरक्षा स्तर स्पष्ट गरिएको छैन जस्ता अस्पष्ट पक्षहरू भए तापनि, उल्लंघनका कारण जरिवाना भोगेका घटनाहरू पनि छन्, त्यसैले कानूनको पालनामा ध्यान दिनु आवश्यक छ। चीनको कानूनी नियमहरूको ध्यान राख्दै, अहिले गर्न सकिने प्रतिक्रिया लिनु महत्त्वपूर्ण छ।

यदि तपाईं चीनमा व्यापार विस्तार गर्दै हुनुहुन्छ वा भविष्यमा योजना बनाउँदै हुनुहुन्छ भने, चीनको कानूनमा विशेषज्ञता भएका जापानी वकिलसँग परामर्श गर्न सिफारिस गरिन्छ।

हाम्रो फर्मद्वारा प्रदान गरिने उपायहरूको जानकारी

मोनोलिथ कानूनी फर्म एक यस्तो कानूनी फर्म हो जसले IT, विशेष गरी इन्टरनेट र कानूनी पक्षमा व्यापक अनुभव राख्दछ। हालका वर्षहरूमा, विश्वव्यापी व्यवसायहरू तीव्र रूपमा विस्तार भइरहेका छन्, जसले गर्दा विशेषज्ञद्वारा कानूनी जाँचको आवश्यकता बढ्दै गएको छ। हाम्रो फर्मले चीन, अमेरिका, EU देशहरू लगायतका अन्तर्राष्ट्रिय कानूनी मामिलाहरूमा समाधानहरू प्रदान गर्दछ।

मोनोलिथ कानूनी फर्मको कार्यक्षेत्र: अन्तर्राष्ट्रिय कानूनी मामिला र विदेशी व्यवसाय[ja]