Kina's 'Data Security Law' - Hva er det? En forklaring på tiltakene japanske selskaper bør ta

Den kinesiske loven om datasikkerhet (Chinese Data Security Law) er en lov som gjelder for databehandling i Kina og trådte i kraft i september 2021. Denne loven gjelder for all databehandling som utføres innenfor Kinas grenser, noe som betyr at bedrifter som driver virksomhet i Kina, eller som planlegger å etablere seg der, må gjennomgå og eventuelt revidere sine eksisterende regler og styringspolitikk. Det kan imidlertid være utfordrende å forstå lovens innhold og å vite hvilke tiltak som bør iverksettes.

I denne artikkelen vil vi derfor forklare hovedtrekkene i den kinesiske loven om datasikkerhet, viktige aspekter å forstå, straffebestemmelser, og tiltak som kan iverksettes i Japan.

Hva er den kinesiske datasekretessloven?

Den kinesiske datasekretessloven (中华人民共和国数据安全法) er en lov om datasekretess i Kina som trådte i kraft i september 2021. Den ble vedtatt for å beskytte nasjonal sikkerhet, på samme måte som den kinesiske cybersikkerhetsloven som ble implementert i juni 2017.

Kinesisk cybersikkerhetslov: En lov for å beskytte sikkerheten til Kinas “nettverk”.

Målene med den kinesiske datasekretessloven er beskrevet som følger (Artikkel 1):

• • Regulering av datahåndteringsaktiviteter

• • Sikring av datasekretess

• • Fremme av utvikling og bruk av data

• • Sikring av legitime rettigheter og interesser for individer og organisasjoner

• • Beskyttelse av nasjonal suverenitet, sikkerhet og utviklingsinteresser

Mens den kinesiske cybersikkerhetsloven regulerte elektroniske data, dekker den kinesiske datasekretessloven både elektroniske og ikke-elektroniske data, som papirdokumenter (Artikkel 3). Den kinesiske datasekretessloven fastsetter regler for klassifisering av data, etablering av et sikkerhetssertifiseringssystem og forpliktelser til å beskytte datasekretess.

Nøkkelpunkter for å forstå den kinesiske datalovgivningen

Den kinesiske datalovgivningen inneholder en rekke bestemmelser som kan være utfordrende å fullt ut forstå. I denne artikkelen vil vi detaljert forklare innholdet i datalovgivningen gjennom følgende fem nøkkelpunkter.

• • Reguleringsomfang

• • Utvikling av normer for dataklassifisering og rangering

• • Administrasjon av datasikkerhet

• • Regulering av dataoverføring

• • Nasjonal sikkerhetsgjennomgang

Reguleringsobjekter

Data som reguleres av loven omfatter all “datahåndtering” som utføres innenfor Kinas grenser. Datahåndteringsaktiviteter som utføres utenfor Kina kan også bli underlagt disse reguleringene dersom de skader Kinas nasjonale sikkerhet, offentlige interesser, eller interesser og fordeler til borgere og organisasjoner.

“Data” refererer til informasjon som er registrert elektronisk eller på annen måte, og det er viktig å merke seg at dette også inkluderer informasjon på papir. “Datahåndtering” defineres som innsamling, lagring, bruk, behandling, overføring, tilveiebringelse, og offentliggjøring av data, og de som utfører disse handlingene blir betegnet som “datahåndterere”.

Om etableringen av normer for dataklassifisering og gradering

Datahåndterere må sikre databeskyttelse basert på et graderingssystem for beskyttelse. Dette graderingssystemet er et offentlig vurderingssystem for nettverkssikkerhetsstyring, og de nødvendige tiltakene varierer avhengig av klassifiseringen. Videre må data klassifiseres basert på omfanget av skade de kan forårsake til nasjonal sikkerhet, offentlig interesse, eller til individer og organisasjoner, som følge av ødeleggelse eller lekkasje av data.

Klassifiseringen deles inn i tre kategorier: ‘generelle data’, ‘viktige data’ og ‘kjerne data’. I ‘Forslag til nettverksdatasikkerhetsforvaltningsforskrift’ defineres viktige data som data hvor “endring, ødeleggelse, lekkasje, ulovlig anskaffelse eller ulovlig bruk kan skade nasjonal sikkerhet eller offentlig interesse”. Kjerne data er data som er relatert til nasjonal sikkerhet, nasjonaløkonomiens livslinjer, viktige aspekter av borgernes liv, eller hovedsakelig offentlig interesse (Artikkel 21).

På tidspunktet for skrivingen er det ikke utgitt noen konkret fortegnelse over viktige eller kjerne data, så det er anbefalt å klassifisere dataene som håndteres ved å referere til eksemplene på viktige data som er nevnt i ‘Forslag til nettverksdatasikkerhetsforvaltningsforskrift’. Det er også viktig å kontinuerlig overvåke fortegnelser publisert av de tilsynsførende avdelingene.

Om håndtering av datasikkerhet

Det forventes at databehandlere tar følgende tiltak:

• • Gjennomføring av opplæring og trening i datasikkerhet

• • Oppfyllelse av beskyttelsesplikter i henhold til gradert beskyttelsessystem

• • Kontinuerlig gjennomføring av risikoovervåkning

• • Etablering av et sikkerhetsstyringssystem gjennom hele dataens livssyklus

• • Utnemning av en ansvarlig person

• • Tekniske tiltak

I hovedsak ligner dette på kravene i et «Information Security Management System (ISMS)», men det er viktig å være oppmerksom på at det må iverksettes forvaltningstiltak tilpasset klassifiseringen av dataene.

Hvis en hendelse oppstår, må det umiddelbart iverksettes tiltak og rapporteres til brukerne og myndighetene. Videre, når man behandler viktige data, er det nødvendig å jevnlig utføre risikovurderinger og innsende risikovurderingsrapporter til de relevante jurisdiksjonelle avdelingene.

Om regulering av datatransfer

Når det gjelder overføring av data, pålegges det reguleringer i tilfeller av viktig data. Det er angitt at bestemmelsene i den Japanese Cybersecurity Law gjelder når operatører av viktig informasjonsinfrastruktur overfører viktig data som er oppnådd eller generert i Kina over landegrensene i forbindelse med virksomhet i landet.

Viktig informasjonsinfrastruktur: Operatører som håndterer fasiliteter som, hvis skadet eller utsatt for datalækasje, kan true nasjonal sikkerhet, påvirke folks liv eller offentlig interesse betydelig, i sektorer som energi, transport, finans, og offentlige tjenester.

Hvis du er en databehandler som ikke faller under operatører av viktig informasjonsinfrastruktur, må du i henhold til Japanese Regulations on the Security Assessment of Data Transferred Abroad gjennomgå en sikkerhetsvurdering utført av myndighetene og bestå denne før du kan overføre data.

I henhold til Japanese Network Data Security Management Regulations (Draft for Public Comment), selv når data som ikke er klassifisert som viktig overføres ut av landet, må følgende tilfeller også gjennomgå og bestå en sikkerhetsvurdering av myndighetene:

• • Når tverrnasjonale data inkluderer viktig data

• • Når operatører av viktig informasjonsinfrastruktur, eller databehandlere som håndterer personopplysninger for mer enn en million personer, tilbyr personopplysninger til utlandet

I tillegg er følgende oppgitt som forpliktelser for de som overfører data til utlandet:

• • Ikke å tilby personopplysninger utenfor landet utover det som er angitt i personvernkonsekvensvurderingen som er innsendt til nettverksinformasjonsavdelingen, inkludert formål, omfang, metode, datatyper og størrelse

• • Ikke å tilby personopplysninger og viktig data til utlandet utover det som er spesifisert av nettverksinformasjonsavdelingens sikkerhetsvurdering, inkludert formål, omfang, datatyper og størrelse

• • Å akseptere og behandle klager relatert til eksport av data

• • Å oppbevare relevante logger og godkjenningsopptegnelser for dataeksport i mer enn tre år

• • Å bære ansvar i henhold til loven hvis eksport av data skader legitime rettigheter og interesser til individer, organisasjoner eller offentligheten

Når du overfører data til utlandet, er det også en plikt å utarbeide en sikkerhetsrapport for dataeksport og rapportere dette til nettverksinformasjonsavdelingen i distriktet.

Om nasjonal sikkerhetsgjennomgang

Det er viktig å være oppmerksom på at hvis den kinesiske regjeringen vurderer at databehandlingsaktiviteter skader den kinesiske nasjonens sikkerhet, vil en nasjonal sikkerhetsgjennomgang bli utført. Resultatet av en nasjonal sikkerhetsgjennomgang er endelig, og det er ikke mulig å utfordre beslutningen gjennom administrative klager eller rettssaker.

Straffebestemmelser i Data Sikkerhetsloven

Ved brudd på Data Sikkerhetsloven kan man bli ilagt rettelser og advarsler, bøter, stans i virksomheten for å gjennomføre nødvendige rettelser, stans av relaterte forretningsaktiviteter, eller tilbakekall av forretningslisenser.

For eksempel, hvis man ikke oppfyller forpliktelsene fastsatt i artiklene 27, 29 og 30 i den kinesiske Data Sikkerhetsloven, kan det utstedes rettelser og advarsler. I tillegg kan det ilegges bøter på mellom 50 000 og 500 000 yuan til den direkte ansvarlige og andre direkte ansvarlige personer.

Det er viktig å merke seg at ved brudd på Data Sikkerhetsloven er det ikke bare juridiske personer som kan bli straffet, men også den direkte ansvarlige og andre ansatte som har direkte ansvar. Å motta straff for brudd kan ha stor innvirkning på hele organisasjonen, så det er viktig å ha tiltak på plass for å overholde loven.

Tiltak for data sikkerhetslovgivning som japanske selskaper bør iverksette

Data sikkerhetslovgivningen gjelder for all databehandling som foregår innenfor Kinas grenser, noe som betyr at mange japanske selskaper må tilpasse seg. Her vil vi forklare i detalj hvilke tiltak japanske selskaper bør iverksette i forhold til data sikkerhetslovgivningen.

Databehandling

Først og fremst bør man revurdere databehandlingen. Det er viktig å klargjøre hvilke data som genereres, lagres og slettes i selskapet, og å forstå den nåværende situasjonen for databehandling. Ved hjelp av datakartlegging bør man på forhånd sjekke dataklassifisering, overføring av data utenfor Kina og nåværende databehandlingstiltak for å sikre at man kan håndtere nødvendige tiltak for hver datakategori.

I henhold til den kinesiske data sikkerhetsloven kreves det spesifikke beskyttelsestiltak for viktig og kjerne data. Derfor kan det være nødvendig å redefinere konfidensialitetsklassifiseringen av informasjonen i henhold til disse kategoriene.

Imidlertid er sikkerhetsnivåene for de ulike klassifiseringene uklare på dette tidspunktet. Det er mulig at dette vil bli mer konkret i fremtiden, så det er essensielt å overvåke kataloger publisert av kinesiske myndigheter. Samtidig er det trygt å etablere sikkerhetsnivåer som tar hensyn til klassifiseringen, inkludert tilgangskontroll, autentisering, kommunikasjonssikkerhet og fysiske tiltak.

I tillegg bør man revidere sikkerhetspolitikken og anvende politikk som er i tråd med datakategoriene identifisert gjennom datakartlegging.

Gjennomføring og rapportering av risikovurdering

Hvis det gjennom datakartlegging blir bestemt at selskapet håndterer viktig data, må man utføre en risikovurdering av databehandlingen. Resultatene må også rapporteres til myndighetene.

Risikovurdering må utføres regelmessig, så det er viktig å etablere regler for å kunne gjennomføre dette kontinuerlig.

Opplæring av ansatte

I Kina blir det stadig innført nye sikkerhetsrelaterte regelverk. I tillegg er ikke databehandling og risikovurdering noe som bare gjøres én gang; det krever regelmessig revisjon og forbedring for å bli integrert i bedriftskulturen. Derfor er det nødvendig med opplæring av ansatte.

Det er ikke bare juridisk og administrativt personell som er involvert, men også risikostyringsavdelinger, så samarbeid på tvers av avdelinger blir viktig. Selv om loven fortsatt har uklare aspekter, har det vært tilfeller der sanksjoner har blitt anvendt for brudd, noe som gjør det klart at tilpasning til data sikkerhetsloven er avgjørende.

Kjennetegn ved de kinesiske Cyber Three Laws

De kinesiske Cyber Three Laws refererer til en samlebetegnelse for “Cybersecurity Law”, “Data Security Law” og “Personal Information Protection Law” som Kina har implementert. Cybersecurity Law fokuserer på tiltak mot cyberangrep, Data Security Law på bevaring av data, og Personal Information Protection Law på å styrke sikkerheten rundt personopplysninger.

Relatert artikkel: Hva er den kinesiske Cybersecurity Law? En forklaring på viktige punkter for overholdelse[ja]

Slik sett har hver av disse lovene sine forskjeller, men et felles trekk er at de alle fastsetter administrative sanksjoner, sivilrettslig erstatningsansvar og strafferettslig ansvar for brudd. Videre gjelder bruddene ikke bare for juridiske personer, men også for de direkte ansvarlige individene, som kan risikere å bli forbudt fra å arbeide i samme bransje eller bli oppført i landets register over lovbrytere.

Oppsummering: Vær oppmerksom på Kinas datalovgivning og handle raskt

Kinas Data Security Law er en lov som gjelder for databehandling i Kina og fastsetter regler for klassifisering og gradering av databeskyttelse, samt risikovurdering. Det er publisert en rekke lover, inkludert Cybersecurity Law, “Personal Information Protection Law” og “Regulations on the Management of Security Vulnerabilities in Internet Products”, og det er avgjørende å tilpasse seg disse.

Per nå er det fortsatt uklarheter, som at sikkerhetsnivåene for de ulike klassifiseringene ikke er fullt ut konkretisert, men det har vært tilfeller der brudd på loven har resultert i bøter. Derfor er det essensielt å følge med og tilpasse seg lovgivningen. Det er viktig å være oppmerksom på Kinas lovgivning og iverksette tiltak som er mulige nå.

Hvis du driver virksomhet i Kina eller planlegger å gjøre det, anbefales det å konsultere en advokat som er spesialisert på kinesisk lovgivning.

Veiledning om tiltak fra vår advokatfirma

Monolith Advokatfirma har rik erfaring med IT, spesielt internett og juss. I de senere årene har global business vokst stadig mer, og behovet for juridisk sjekk av eksperter har økt tilsvarende. Vårt firma tilbyr løsninger relatert til internasjonal juridisk service, inkludert i land som Kina, USA og EU-landene.

Monolith Advokatfirmas tjenesteområder: Internasjonal juridisk service og utenlandske virksomheter[ja]