Wat is de Chinese Data Security Law? Uitleg over de maatregelen die Japanse bedrijven moeten nemen
De Chinese Data Security Law (中国データセキュリティ法), een wetgeving op het gebied van data in China, is in september 2021 (2021年9月) in werking getreden. Deze wet is van toepassing op alle gegevensverwerking die binnen China plaatsvindt, wat betekent dat bedrijven die in China actief zijn of plannen hebben om daar uit te breiden, hun bestaande regelgeving en beheerbeleid moeten herzien en mogelijk aanpassen. Echter, er zijn mensen die niet goed begrijpen wat deze wet inhoudt of die worstelen met welke maatregelen ze moeten implementeren.
In dit artikel zullen we daarom een overzicht geven van de Chinese Data Security Law, de belangrijkste punten om te begrijpen, de sancties, en de maatregelen die in Japan genomen moeten worden.
Wat is de Chinese Data Security Law?
De Chinese Data Security Law (中华人民共和国数据安全法) is een wet met betrekking tot data security in China, die in september 2021 (Reiwa 3) in werking is getreden. Deze wet werd net als de Chinese Cybersecurity Law, die in juni 2017 (Heisei 29) van kracht werd, opgesteld om de nationale veiligheid te beschermen.
Chinese Cybersecurity Law: Een wet ter bescherming van de ‘netwerk’ veiligheid in China.
De doelstellingen van de Chinese Data Security Law worden als volgt beschreven (Artikel 1):
- Regulering van datahandelingsactiviteiten
- Zekerstellen van data security
- Bevordering van de ontwikkeling en het gebruik van data
- Waarborgen van de legitieme rechten en belangen van individuen en organisaties
- Bescherming van de nationale soevereiniteit, veiligheid en ontwikkelingsbelangen
Terwijl de Chinese Cybersecurity Law zich richtte op de regulering van elektronische data, kenmerkt de Chinese Data Security Law zich door ook niet-elektronische data, zoals papieren documenten, te reguleren (Artikel 3). De Chinese Data Security Law stelt regels vast met betrekking tot de classificatie van data, het opzetten van een security certificeringssysteem, en de verplichtingen voor de bescherming van data security.
Belangrijke punten voor het begrijpen van de Chinese Data Security Law
De Chinese Data Security Law bevat diverse bepalingen die voor velen moeilijk te begrijpen zijn. In dit artikel lichten we de inhoud van de Data Security Law toe aan de hand van de volgende vijf punten.
- Reguleringssubjecten
- Ontwikkeling van normen voor dataclassificatie en -gradatie
- Beheer van data security
- Regulering van dataoverdracht
- Nationale veiligheidstoetsing
Reguleringsonderwerpen
Alle ‘gegevensverwerking’ die in China plaatsvindt, valt onder de regelgeving van de wet. Wanneer gegevensverwerkingsactiviteiten buiten China plaatsvinden, zijn deze ook onderhevig aan de wet indien ze schade toebrengen aan de nationale veiligheid van China, het publieke belang, of de belangen van burgers en organisaties.
‘Gegevens’ verwijzen naar de registratie van informatie door elektronische of andere middelen, en het is belangrijk om op te merken dat dit ook papieren documenten omvat. ‘Gegevensverwerking’ omvat het verzamelen, opslaan, gebruiken, verwerken, overdragen, verstrekken en openbaar maken van gegevens, en degenen die deze handelingen uitvoeren worden ‘gegevensverwerkers’ genoemd.
Over het vaststellen van normen voor dataclassificatie en -gradatie
Data verwerkers moeten zorgen voor data beveiliging op basis van een gradatiebeschermingssysteem. Dit systeem is een officieel evaluatiemechanisme voor netwerkbeveiligingsmanagementstructuren, waarbij de te nemen maatregelen verschillen per gradatie. Bovendien moet data geclassificeerd worden op basis van de omvang van de schade die het kan veroorzaken aan de nationale veiligheid, het publieke belang, of aan individuen en organisaties, zoals bij vernietiging of lekkage van data.
De classificatie wordt onderverdeeld in drie categorieën: ‘algemene data’, ‘belangrijke data’ en ‘kern data’. Volgens de ‘Japanese Network Data Security Management Regulations (concept ter inzage)’ wordt belangrijke data gedefinieerd als data waarvan “wijziging, vernietiging, lekkage, onrechtmatige verkrijging of onrechtmatig gebruik kan leiden tot schade aan de nationale veiligheid of het publieke belang”. Kern data heeft betrekking op data die essentieel is voor de nationale veiligheid, de levensader van de nationale economie, belangrijke aspecten van het leven van de burgers en belangrijke publieke belangen (Artikel 21).
Op het moment van schrijven is er nog geen specifieke lijst gepubliceerd voor zowel belangrijke als kern data, dus het is raadzaam om de data die u verwerkt te classificeren op basis van de voorbeelden van belangrijke data die vermeld staan in de ‘Japanese Network Data Security Management Regulations (concept ter inzage)’. Het is ook belangrijk om de lijsten die gepubliceerd worden door de bevoegde autoriteiten te blijven monitoren.
Over het beheer van gegevensbeveiliging
Van gegevensverwerkers wordt verwacht dat zij maatregelen treffen zoals:
- Uitvoering van gegevensbeveiligingseducatie en training
- Naleving van de beschermingsplicht voor gegevensbeveiliging op basis van het classificatiebeschermingssysteem
- Continue uitvoering van risicomonitoring
- Opzetten van een veiligheidsbeheersysteem gedurende de gehele levenscyclus van gegevens
- Aanstelling van een verantwoordelijke persoon
- Technische maatregelen
In essentie lijkt dit op de vereisten van een ‘Information Security Management System (ISMS)’, maar het is belangrijk om op te merken dat er beheersmaatregelen moeten worden genomen die aangepast zijn aan de classificatie van de gegevens.
In het geval van een incident moeten er onmiddellijk maatregelen worden genomen en moet er rapportage aan de gebruikers en de autoriteiten plaatsvinden. Bovendien is het noodzakelijk om regelmatig risicobeoordelingen uit te voeren en risicobeoordelingsrapporten in te dienen bij de relevante toezichthoudende afdelingen wanneer belangrijke gegevens worden verwerkt.
Regulering van gegevensoverdracht
Bij de overdracht van gegevens gelden er regels voor belangrijke data. Wanneer exploitanten van belangrijke informatie-infrastructuur, die in China verkregen of gegenereerde belangrijke data grensoverschrijdend willen overdragen, is de ‘Japanese Cybersecurity Law’ van toepassing, zoals vermeld staat.
Belangrijke informatie-infrastructuur: faciliteiten die, indien beschadigd of bij datalekken, de nationale veiligheid ernstig kunnen bedreigen en aanzienlijke schade kunnen toebrengen aan de nationale veiligheid, het leven van de burgers en het publieke belang in sectoren zoals energie, transport, financiën en openbare diensten.
Als u geen exploitant van belangrijke informatie-infrastructuur bent maar wel gegevens verwerkt, moet u volgens de ‘Japanese Regulations on the Security Assessment of Data Transferred Abroad’ een veiligheidsbeoordeling door de autoriteiten ondergaan en slagen voordat u gegevens overdraagt.
Volgens de ‘Japanese Draft Regulations on Network Data Security Management (opinion-seeking draft)’, moeten zelfs gegevens die geen belangrijke data zijn en die naar het buitenland worden overgedragen, in de volgende gevallen een veiligheidsbeoordeling door de autoriteiten ondergaan en slagen:
- Als de grensoverschrijdende data belangrijke gegevens bevat
- Als exploitanten van belangrijke informatie-infrastructuur of gegevensverwerkers die persoonlijke informatie van meer dan een miljoen mensen verwerken, persoonlijke informatie naar het buitenland verstrekken
Daarnaast worden de volgende verplichtingen opgelegd aan degenen die gegevens naar het buitenland overdragen:
- Niet meer persoonlijke informatie naar het buitenland verstrekken dan aangegeven in het aan de netwerkinformatieafdeling voorgelegde rapport over de beoordeling van de impact op de bescherming van persoonlijke informatie, met betrekking tot het doel, de reikwijdte, de methode, het type en de omvang van de gegevens
- Niet meer persoonlijke informatie en belangrijke gegevens naar het buitenland verstrekken dan aangegeven door de netwerkinformatieafdeling in de veiligheidsbeoordeling, met betrekking tot het doel, de reikwijdte, het type en de omvang van de gegevens
- Klachten van gebruikers over de export van gegevens accepteren en verwerken
- Gerelateerde logboeken en goedkeuringsrecords voor gegevensexport meer dan drie jaar bewaren
- Als de export van gegevens schade toebrengt aan de legitieme rechten en belangen van personen, organisaties of het publiek, moet de gegevensverwerker verantwoordelijkheid nemen op basis van de wet
Wanneer u gegevens naar het buitenland overdraagt, bent u ook verplicht een beveiligingsrapport voor gegevensexport op te stellen en dit te rapporteren aan de netwerkinformatieafdeling van het district.
Over de Nationale Veiligheidsbeoordeling
Het is belangrijk om op te merken dat als de Chinese overheid bepaalt dat data verwerkingsactiviteiten de nationale veiligheid van China schaden, er een nationale veiligheidsbeoordeling zal plaatsvinden. De uitkomst van deze nationale veiligheidsbeoordeling is definitief, wat betekent dat het niet mogelijk is om bezwaar te maken of een rechtszaak aan te spannen tegen de beslissing.
Straffen onder de Wet op de Gegevensbeveiliging
Bij overtreding van de Wet op de Gegevensbeveiliging kunnen sancties worden opgelegd zoals herstelbevelen en waarschuwingen, boetes, bedrijfsstillegging voor herstel, stopzetting van gerelateerde bedrijfsactiviteiten en intrekking van bedrijfslicenties.
Zo staat in de artikelen 27, 29 en 30 van de Chinese Wet op de Gegevensbeveiliging dat, indien men de daarin gestelde verplichtingen niet nakomt, naast herstelbevelen en waarschuwingen, ook boetes kunnen worden opgelegd die variëren van meer dan 50.000 yuan tot minder dan 500.000 yuan aan de direct verantwoordelijke personen en andere direct verantwoordelijken.
Let op dat bij overtreding van de Wet op de Gegevensbeveiliging niet alleen rechtspersonen, maar ook direct verantwoordelijke personen en andere medewerkers die directe verantwoordelijkheid dragen, onderworpen kunnen zijn aan sancties. Het is van cruciaal belang om voorzorgsmaatregelen te treffen, aangezien sancties als gevolg van overtredingen een aanzienlijke impact kunnen hebben op de gehele organisatie.
Maatregelen die Japanse bedrijven moeten nemen voor de Data Security Law
De Data Security Law is van toepassing op alle gegevensverwerking binnen China, dus veel Japanse bedrijven zullen maatregelen moeten nemen. Hier leggen we gedetailleerd uit welke maatregelen Japanse bedrijven moeten nemen met betrekking tot de Data Security Law.
Gegevensbeheer
Allereerst zullen we het gegevensbeheer herzien. Binnen het eigen bedrijf moet duidelijk worden welke gegevens hoe worden gegenereerd, opgeslagen en verwijderd, en de huidige situatie van gegevensverwerking moet worden begrepen. Het is ook belangrijk om vooraf de classificatie van gegevens, de overdrachtssituatie naar buiten China en de huidige gegevensbeheersmaatregelen te controleren door middel van gegevensmapping.
Onder de Chinese Data Security Law worden specifieke beschermingsmaatregelen vereist voor belangrijke en kerngegevens. Daarom kan het nodig zijn om de vertrouwelijkheidsclassificatie van informatie opnieuw te definiëren volgens deze classificatie.
Echter, op dit moment zijn de beveiligingsniveaus per classificatie nog onduidelijk. Aangezien deze in de toekomst gespecificeerd kunnen worden, is het essentieel om de catalogi gepubliceerd door de Chinese autoriteiten te monitoren. Tegelijkertijd is het geruststellend om beveiligingsniveaus in te stellen die rekening houden met de classificatie, zoals toegangscontrole, authenticatie, communicatiebeveiliging en fysieke maatregelen.
Daarnaast zullen we het beveiligingsbeleid herzien en een beleid toepassen dat overeenkomt met de gegevensclassificaties die zijn vastgesteld door middel van gegevensmapping.
Risicobeoordeling en rapportage uitvoeren
Als uit de gegevensmapping blijkt dat het bedrijf belangrijke gegevens verwerkt, zal een risicobeoordeling van de gegevensverwerking worden uitgevoerd. Bovendien moet het resultaat aan de autoriteiten worden gerapporteerd.
Omdat risicobeoordelingen regelmatig moeten worden uitgevoerd, is het belangrijk om regels op te stellen zodat ze continu kunnen worden uitgevoerd.
Opleiding van werknemers
In China worden voortdurend nieuwe beveiligingsregelingen ingevoerd. Bovendien is gegevensbeheer en risicobeoordeling niet iets dat je eenmalig doet en dan klaar is. Daarom is het noodzakelijk om regelmatig te herzien en te verbeteren, zodat het binnen het bedrijf ingebed raakt, en om werknemers op te leiden.
Omdat niet alleen de juridische en algemene zakenafdelingen, maar ook de risicobeheerafdelingen betrokken zijn, is samenwerking tussen de verschillende afdelingen belangrijk, in plaats van dat elke afdeling afzonderlijk handelt. Hoewel de wet op dit moment nog onduidelijkheden bevat, zijn er al gevallen waarin sancties zijn opgelegd wegens overtredingen, dus het is essentieel om maatregelen te nemen met betrekking tot de Data Security Law.
Kenmerken van de Chinese Cybersecurity Driewet
De Chinese Cybersecurity Driewet verwijst naar de algemene benaming voor de ‘Chinese Cybersecurity Wet’, ‘Chinese Data Security Wet’ en de ‘Chinese Wet op de Bescherming van Persoonsgegevens’ die China heeft geïmplementeerd. De Cybersecurity Wet richt zich op maatregelen tegen cyberaanvallen, de Data Security Wet op het behoud van data, en de Wet op de Bescherming van Persoonsgegevens op het versterken van de beveiliging van persoonlijke informatie.
Gerelateerd artikel: Wat is de Chinese Cybersecurity Wet? Uitleg van de belangrijkste punten voor naleving[ja]
Hoewel deze wetten elk hun eigen verschillen hebben, kenmerken ze zich allemaal door het vaststellen van administratieve sancties, civiele schadevergoedingen en strafrechtelijke aansprakelijkheid voor overtredingen. Bovendien is het niet alleen de rechtspersoon die aansprakelijk kan worden gesteld, maar ook de direct verantwoordelijke personen kunnen worden getroffen, met het risico dat zij verboden worden dezelfde werkzaamheden uit te voeren of dat hun informatie wordt gepubliceerd in de nationale overtreder database.
Samenvatting: Let goed op de Chinese dataregelgeving en reageer snel
De Chinese Data Security Law is een wet die van toepassing is op de verwerking van data in China en bevat bepalingen over de classificatie en gradatiebescherming van data, evenals risicobeoordelingen. Naast de Cybersecurity Law zijn er verschillende wetten gepubliceerd, zoals de ‘Personal Information Protection Law’ en de ‘Regulations on the Management of Security Vulnerabilities of Internet Products’, en het is essentieel om hierop in te spelen.
Hoewel er op dit moment onduidelijkheden zijn, zoals het feit dat de beveiligingsniveaus per categorie nog niet concreet zijn gemaakt, zijn er gevallen waarin boetes zijn opgelegd voor overtredingen, wat aangeeft dat naleving van de wet noodzakelijk is. Het is belangrijk om de Chinese regelgeving nauwlettend in de gaten te houden en de maatregelen te nemen die nu mogelijk zijn.
Als u zaken doet in China of van plan bent dit in de toekomst te doen, raden we u aan om advies in te winnen bij een advocaat die gespecialiseerd is in de Chinese wetgeving.
Maatregelen van ons kantoor
Monolith Advocatenkantoor is een juridische firma met een rijke ervaring in IT, en in het bijzonder op het gebied van internet en recht. In de recente jaren is het globale bedrijfsleven steeds verder uitgebreid, en de noodzaak voor juridische controle door experts neemt toe. Ons kantoor biedt oplossingen voor internationale juridische zaken, waaronder die in China, de Verenigde Staten en EU-landen.
Expertisegebieden van Monolith Advocatenkantoor: Internationale juridische zaken en buitenlandse ondernemingen[ja]