{"id":72480,"date":"2024-07-16T16:01:41","date_gmt":"2024-07-16T07:01:41","guid":{"rendered":"https:\/\/monolith.law\/no\/?p=72480"},"modified":"2024-07-23T17:38:45","modified_gmt":"2024-07-23T08:38:45","slug":"china-data-security-law","status":"publish","type":"post","link":"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law","title":{"rendered":"Kina's 'Data Security Law' - Hva er det? En forklaring p\u00e5 tiltakene japanske selskaper b\u00f8r ta"},"content":{"rendered":"\n<p>Den kinesiske loven om datasikkerhet (Chinese Data Security Law) er en lov som gjelder for databehandling i Kina og tr\u00e5dte i kraft i september 2021. Denne loven gjelder for all databehandling som utf\u00f8res innenfor Kinas grenser, noe som betyr at bedrifter som driver virksomhet i Kina, eller som planlegger \u00e5 etablere seg der, m\u00e5 gjennomg\u00e5 og eventuelt revidere sine eksisterende regler og styringspolitikk. Det kan imidlertid v\u00e6re utfordrende \u00e5 forst\u00e5 lovens innhold og \u00e5 vite hvilke tiltak som b\u00f8r iverksettes.<\/p>\n\n\n\n<p>I denne artikkelen vil vi derfor forklare hovedtrekkene i den kinesiske loven om datasikkerhet, viktige aspekter \u00e5 forst\u00e5, straffebestemmelser, og tiltak som kan iverksettes i Japan.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Hva_er_den_kinesiske_datasekretessloven\" title=\"Hva er den kinesiske datasekretessloven?\">Hva er den kinesiske datasekretessloven?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Nokkelpunkter_for_a_forsta_den_kinesiske_datalovgivningen\" title=\"N\u00f8kkelpunkter for \u00e5 forst\u00e5 den kinesiske datalovgivningen\">N\u00f8kkelpunkter for \u00e5 forst\u00e5 den kinesiske datalovgivningen<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Reguleringsobjekter\" title=\"Reguleringsobjekter\">Reguleringsobjekter<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Om_etableringen_av_normer_for_dataklassifisering_og_gradering\" title=\"Om etableringen av normer for dataklassifisering og gradering\">Om etableringen av normer for dataklassifisering og gradering<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Om_handtering_av_datasikkerhet\" title=\"Om h\u00e5ndtering av datasikkerhet\">Om h\u00e5ndtering av datasikkerhet<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Om_regulering_av_datatransfer\" title=\"Om regulering av datatransfer\">Om regulering av datatransfer<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Om_nasjonal_sikkerhetsgjennomgang\" title=\"Om nasjonal sikkerhetsgjennomgang\">Om nasjonal sikkerhetsgjennomgang<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Straffebestemmelser_i_Data_Sikkerhetsloven\" title=\"Straffebestemmelser i Data Sikkerhetsloven\">Straffebestemmelser i Data Sikkerhetsloven<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Tiltak_for_data_sikkerhetslovgivning_som_japanske_selskaper_bor_iverksette\" title=\"Tiltak for data sikkerhetslovgivning som japanske selskaper b\u00f8r iverksette\">Tiltak for data sikkerhetslovgivning som japanske selskaper b\u00f8r iverksette<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Databehandling\" title=\"Databehandling\">Databehandling<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Gjennomforing_og_rapportering_av_risikovurdering\" title=\"Gjennomf\u00f8ring og rapportering av risikovurdering\">Gjennomf\u00f8ring og rapportering av risikovurdering<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Opplaering_av_ansatte\" title=\"Oppl\u00e6ring av ansatte\">Oppl\u00e6ring av ansatte<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Kjennetegn_ved_de_kinesiske_Cyber_Three_Laws\" title=\"Kjennetegn ved de kinesiske Cyber Three Laws\">Kjennetegn ved de kinesiske Cyber Three Laws<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Oppsummering_Vaer_oppmerksom_pa_Kinas_datalovgivning_og_handle_raskt\" title=\"Oppsummering: V\u00e6r oppmerksom p\u00e5 Kinas datalovgivning og handle raskt\">Oppsummering: V\u00e6r oppmerksom p\u00e5 Kinas datalovgivning og handle raskt<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/monolith.law\/no\/general-corporate\/china-data-security-law\/#Veiledning_om_tiltak_fra_var_advokatfirma\" title=\"Veiledning om tiltak fra v\u00e5r advokatfirma\">Veiledning om tiltak fra v\u00e5r advokatfirma<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Hva_er_den_kinesiske_datasekretessloven\"><\/span>Hva er den kinesiske datasekretessloven?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/question.jpg\" alt=\"Sp\u00f8rsm\u00e5l\" class=\"wp-image-63910\" \/><\/figure>\n\n\n<p>Den kinesiske datasekretessloven (\u4e2d\u534e\u4eba\u6c11\u5171\u548c\u56fd\u6570\u636e\u5b89\u5168\u6cd5) er en lov om datasekretess i Kina som tr\u00e5dte i kraft i september 2021. Den ble vedtatt for \u00e5 beskytte nasjonal sikkerhet, p\u00e5 samme m\u00e5te som den kinesiske cybersikkerhetsloven som ble implementert i juni 2017.<\/p>\n\n\n<p class=\"has-small-font-size\">Kinesisk cybersikkerhetslov: En lov for \u00e5 beskytte sikkerheten til Kinas &#8220;nettverk&#8221;.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>M\u00e5lene med den kinesiske datasekretessloven er beskrevet som f\u00f8lger (Artikkel 1):<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:list --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul><!-- wp:list-item -->\n<li>Regulering av datah\u00e5ndteringsaktiviteter<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Sikring av datasekretess<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Fremme av utvikling og bruk av data<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Sikring av legitime rettigheter og interesser for individer og organisasjoner<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Beskyttelse av nasjonal suverenitet, sikkerhet og utviklingsinteresser<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><\/p>\n<p><!-- \/wp:list --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Mens den kinesiske cybersikkerhetsloven regulerte elektroniske data, dekker den kinesiske datasekretessloven b\u00e5de elektroniske og ikke-elektroniske data, som papirdokumenter (Artikkel 3). Den kinesiske datasekretessloven fastsetter regler for klassifisering av data, etablering av et sikkerhetssertifiseringssystem og forpliktelser til \u00e5 beskytte datasekretess.<\/p>\n<p><!-- \/wp:paragraph --><br \/><!-- wp:heading --><\/p>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Nokkelpunkter_for_a_forsta_den_kinesiske_datalovgivningen\"><\/span>N\u00f8kkelpunkter for \u00e5 forst\u00e5 den kinesiske datalovgivningen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:image {\"id\":63912,\"sizeSlug\":\"full\",\"linkDestination\":\"none\"} --><\/p>\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" class=\"wp-image-63912\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/point.jpg\" alt=\"N\u00f8kkelpunkter\" \/><\/figure>\n<p><!-- \/wp:image --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Den kinesiske datalovgivningen inneholder en rekke bestemmelser som kan v\u00e6re utfordrende \u00e5 fullt ut forst\u00e5. I denne artikkelen vil vi detaljert forklare innholdet i datalovgivningen gjennom f\u00f8lgende fem n\u00f8kkelpunkter.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:list --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul><!-- wp:list-item -->\n<li>Reguleringsomfang<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Utvikling av normer for dataklassifisering og rangering<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Administrasjon av datasikkerhet<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Regulering av dataoverf\u00f8ring<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Nasjonal sikkerhetsgjennomgang<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><\/p>\n<p><!-- \/wp:list --><br \/><!-- wp:heading {\"level\":3} --><\/p>\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Reguleringsobjekter\"><\/span>Reguleringsobjekter<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Data som reguleres av loven omfatter all &#8220;datah\u00e5ndtering&#8221; som utf\u00f8res innenfor Kinas grenser. Datah\u00e5ndteringsaktiviteter som utf\u00f8res utenfor Kina kan ogs\u00e5 bli underlagt disse reguleringene dersom de skader Kinas nasjonale sikkerhet, offentlige interesser, eller interesser og fordeler til borgere og organisasjoner.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>&#8220;Data&#8221; refererer til informasjon som er registrert elektronisk eller p\u00e5 annen m\u00e5te, og det er viktig \u00e5 merke seg at dette ogs\u00e5 inkluderer informasjon p\u00e5 papir. &#8220;Datah\u00e5ndtering&#8221; defineres som innsamling, lagring, bruk, behandling, overf\u00f8ring, tilveiebringelse, og offentliggj\u00f8ring av data, og de som utf\u00f8rer disse handlingene blir betegnet som &#8220;datah\u00e5ndterere&#8221;.<\/p>\n<p><!-- \/wp:paragraph --><br \/><!-- wp:heading {\"level\":3} --><\/p>\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Om_etableringen_av_normer_for_dataklassifisering_og_gradering\"><\/span>Om etableringen av normer for dataklassifisering og gradering<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Datah\u00e5ndterere m\u00e5 sikre databeskyttelse basert p\u00e5 et graderingssystem for beskyttelse. Dette graderingssystemet er et offentlig vurderingssystem for nettverkssikkerhetsstyring, og de n\u00f8dvendige tiltakene varierer avhengig av klassifiseringen. Videre m\u00e5 data klassifiseres basert p\u00e5 omfanget av skade de kan for\u00e5rsake til nasjonal sikkerhet, offentlig interesse, eller til individer og organisasjoner, som f\u00f8lge av \u00f8deleggelse eller lekkasje av data.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Klassifiseringen deles inn i tre kategorier: &#8216;generelle data&#8217;, &#8216;viktige data&#8217; og &#8216;kjerne data&#8217;. I &#8216;Forslag til nettverksdatasikkerhetsforvaltningsforskrift&#8217; defineres viktige data som data hvor &#8220;endring, \u00f8deleggelse, lekkasje, ulovlig anskaffelse eller ulovlig bruk kan skade nasjonal sikkerhet eller offentlig interesse&#8221;. Kjerne data er data som er relatert til nasjonal sikkerhet, nasjonal\u00f8konomiens livslinjer, viktige aspekter av borgernes liv, eller hovedsakelig offentlig interesse (Artikkel 21).<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>P\u00e5 tidspunktet for skrivingen er det ikke utgitt noen konkret fortegnelse over viktige eller kjerne data, s\u00e5 det er anbefalt \u00e5 klassifisere dataene som h\u00e5ndteres ved \u00e5 referere til eksemplene p\u00e5 viktige data som er nevnt i &#8216;Forslag til nettverksdatasikkerhetsforvaltningsforskrift&#8217;. Det er ogs\u00e5 viktig \u00e5 kontinuerlig overv\u00e5ke fortegnelser publisert av de tilsynsf\u00f8rende avdelingene.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:heading {\"level\":3} --><\/p>\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Om_handtering_av_datasikkerhet\"><\/span>Om h\u00e5ndtering av datasikkerhet<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Det forventes at databehandlere tar f\u00f8lgende tiltak:<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:list --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul><!-- wp:list-item -->\n<li>Gjennomf\u00f8ring av oppl\u00e6ring og trening i datasikkerhet<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Oppfyllelse av beskyttelsesplikter i henhold til gradert beskyttelsessystem<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Kontinuerlig gjennomf\u00f8ring av risikooverv\u00e5kning<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Etablering av et sikkerhetsstyringssystem gjennom hele dataens livssyklus<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Utnemning av en ansvarlig person<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Tekniske tiltak<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><\/p>\n<p><!-- \/wp:list --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>I hovedsak ligner dette p\u00e5 kravene i et \u00abInformation Security Management System (ISMS)\u00bb, men det er viktig \u00e5 v\u00e6re oppmerksom p\u00e5 at det m\u00e5 iverksettes forvaltningstiltak tilpasset klassifiseringen av dataene.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Hvis en hendelse oppst\u00e5r, m\u00e5 det umiddelbart iverksettes tiltak og rapporteres til brukerne og myndighetene. Videre, n\u00e5r man behandler viktige data, er det n\u00f8dvendig \u00e5 jevnlig utf\u00f8re risikovurderinger og innsende risikovurderingsrapporter til de relevante jurisdiksjonelle avdelingene.<\/p>\n<p><!-- \/wp:paragraph --><br \/><!-- wp:heading {\"level\":3} --><\/p>\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Om_regulering_av_datatransfer\"><\/span>Om regulering av datatransfer<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>N\u00e5r det gjelder overf\u00f8ring av data, p\u00e5legges det reguleringer i tilfeller av viktig data. Det er angitt at bestemmelsene i den <em>Japanese Cybersecurity Law<\/em> gjelder n\u00e5r operat\u00f8rer av viktig informasjonsinfrastruktur overf\u00f8rer viktig data som er oppn\u00e5dd eller generert i Kina over landegrensene i forbindelse med virksomhet i landet.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph {\"fontSize\":\"small\"} --><\/p>\n<p class=\"has-small-font-size\">Viktig informasjonsinfrastruktur: Operat\u00f8rer som h\u00e5ndterer fasiliteter som, hvis skadet eller utsatt for datal\u00e6kasje, kan true nasjonal sikkerhet, p\u00e5virke folks liv eller offentlig interesse betydelig, i sektorer som energi, transport, finans, og offentlige tjenester.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Hvis du er en databehandler som ikke faller under operat\u00f8rer av viktig informasjonsinfrastruktur, m\u00e5 du i henhold til <em>Japanese Regulations on the Security Assessment of Data Transferred Abroad<\/em> gjennomg\u00e5 en sikkerhetsvurdering utf\u00f8rt av myndighetene og best\u00e5 denne f\u00f8r du kan overf\u00f8re data.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>I henhold til <em>Japanese Network Data Security Management Regulations (Draft for Public Comment)<\/em>, selv n\u00e5r data som ikke er klassifisert som viktig overf\u00f8res ut av landet, m\u00e5 f\u00f8lgende tilfeller ogs\u00e5 gjennomg\u00e5 og best\u00e5 en sikkerhetsvurdering av myndighetene:<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:list --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul><!-- wp:list-item -->\n<li>N\u00e5r tverrnasjonale data inkluderer viktig data<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>N\u00e5r operat\u00f8rer av viktig informasjonsinfrastruktur, eller databehandlere som h\u00e5ndterer personopplysninger for mer enn en million personer, tilbyr personopplysninger til utlandet<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><\/p>\n<p><!-- \/wp:list --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>I tillegg er f\u00f8lgende oppgitt som forpliktelser for de som overf\u00f8rer data til utlandet:<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:list --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul><!-- wp:list-item -->\n<li>Ikke \u00e5 tilby personopplysninger utenfor landet utover det som er angitt i personvernkonsekvensvurderingen som er innsendt til nettverksinformasjonsavdelingen, inkludert form\u00e5l, omfang, metode, datatyper og st\u00f8rrelse<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>Ikke \u00e5 tilby personopplysninger og viktig data til utlandet utover det som er spesifisert av nettverksinformasjonsavdelingens sikkerhetsvurdering, inkludert form\u00e5l, omfang, datatyper og st\u00f8rrelse<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>\u00c5 akseptere og behandle klager relatert til eksport av data<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>\u00c5 oppbevare relevante logger og godkjenningsopptegnelser for dataeksport i mer enn tre \u00e5r<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><br \/><!-- wp:list-item --><\/p>\n<ul>\n<li style=\"list-style-type: none\">\n<ul>\n<li>\u00c5 b\u00e6re ansvar i henhold til loven hvis eksport av data skader legitime rettigheter og interesser til individer, organisasjoner eller offentligheten<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><!-- \/wp:list-item --><\/p>\n<p><!-- \/wp:list --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>N\u00e5r du overf\u00f8rer data til utlandet, er det ogs\u00e5 en plikt \u00e5 utarbeide en sikkerhetsrapport for dataeksport og rapportere dette til nettverksinformasjonsavdelingen i distriktet.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:heading {\"level\":3} --><\/p>\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Om_nasjonal_sikkerhetsgjennomgang\"><\/span>Om nasjonal sikkerhetsgjennomgang<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Det er viktig \u00e5 v\u00e6re oppmerksom p\u00e5 at hvis den kinesiske regjeringen vurderer at databehandlingsaktiviteter skader den kinesiske nasjonens sikkerhet, vil en nasjonal sikkerhetsgjennomgang bli utf\u00f8rt. Resultatet av en nasjonal sikkerhetsgjennomgang er endelig, og det er ikke mulig \u00e5 utfordre beslutningen gjennom administrative klager eller rettssaker.<\/p>\n<p><!-- \/wp:paragraph --><br \/><!-- wp:heading --><\/p>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Straffebestemmelser_i_Data_Sikkerhetsloven\"><\/span>Straffebestemmelser i Data Sikkerhetsloven<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:image {\"id\":63913,\"sizeSlug\":\"full\",\"linkDestination\":\"none\"} --><\/p>\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" class=\"wp-image-63913\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/yellowcard.jpg\" alt=\"Mann som advarer\" \/><\/figure>\n<p><!-- \/wp:image --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Ved brudd p\u00e5 Data Sikkerhetsloven kan man bli ilagt rettelser og advarsler, b\u00f8ter, stans i virksomheten for \u00e5 gjennomf\u00f8re n\u00f8dvendige rettelser, stans av relaterte forretningsaktiviteter, eller tilbakekall av forretningslisenser.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>For eksempel, hvis man ikke oppfyller forpliktelsene fastsatt i artiklene 27, 29 og 30 i den kinesiske Data Sikkerhetsloven, kan det utstedes rettelser og advarsler. I tillegg kan det ilegges b\u00f8ter p\u00e5 mellom 50 000 og 500 000 yuan til den direkte ansvarlige og andre direkte ansvarlige personer.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Det er viktig \u00e5 merke seg at ved brudd p\u00e5 Data Sikkerhetsloven er det ikke bare juridiske personer som kan bli straffet, men ogs\u00e5 den direkte ansvarlige og andre ansatte som har direkte ansvar. \u00c5 motta straff for brudd kan ha stor innvirkning p\u00e5 hele organisasjonen, s\u00e5 det er viktig \u00e5 ha tiltak p\u00e5 plass for \u00e5 overholde loven.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:heading --><\/p>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tiltak_for_data_sikkerhetslovgivning_som_japanske_selskaper_bor_iverksette\"><\/span>Tiltak for data sikkerhetslovgivning som japanske selskaper b\u00f8r iverksette<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:image {\"id\":63914,\"sizeSlug\":\"full\",\"linkDestination\":\"none\"} --><\/p>\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" class=\"wp-image-63914\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/man-guiding.jpg\" alt=\"Mann som veileder\" \/><\/figure>\n<p><!-- \/wp:image --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Data sikkerhetslovgivningen gjelder for all databehandling som foreg\u00e5r innenfor Kinas grenser, noe som betyr at mange japanske selskaper m\u00e5 tilpasse seg. Her vil vi forklare i detalj hvilke tiltak japanske selskaper b\u00f8r iverksette i forhold til data sikkerhetslovgivningen.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:heading {\"level\":3} --><\/p>\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Databehandling\"><\/span>Databehandling<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>F\u00f8rst og fremst b\u00f8r man revurdere databehandlingen. Det er viktig \u00e5 klargj\u00f8re hvilke data som genereres, lagres og slettes i selskapet, og \u00e5 forst\u00e5 den n\u00e5v\u00e6rende situasjonen for databehandling. Ved hjelp av datakartlegging b\u00f8r man p\u00e5 forh\u00e5nd sjekke dataklassifisering, overf\u00f8ring av data utenfor Kina og n\u00e5v\u00e6rende databehandlingstiltak for \u00e5 sikre at man kan h\u00e5ndtere n\u00f8dvendige tiltak for hver datakategori.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>I henhold til den kinesiske data sikkerhetsloven kreves det spesifikke beskyttelsestiltak for viktig og kjerne data. Derfor kan det v\u00e6re n\u00f8dvendig \u00e5 redefinere konfidensialitetsklassifiseringen av informasjonen i henhold til disse kategoriene.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Imidlertid er sikkerhetsniv\u00e5ene for de ulike klassifiseringene uklare p\u00e5 dette tidspunktet. Det er mulig at dette vil bli mer konkret i fremtiden, s\u00e5 det er essensielt \u00e5 overv\u00e5ke kataloger publisert av kinesiske myndigheter. Samtidig er det trygt \u00e5 etablere sikkerhetsniv\u00e5er som tar hensyn til klassifiseringen, inkludert tilgangskontroll, autentisering, kommunikasjonssikkerhet og fysiske tiltak.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>I tillegg b\u00f8r man revidere sikkerhetspolitikken og anvende politikk som er i tr\u00e5d med datakategoriene identifisert gjennom datakartlegging.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:heading {\"level\":3} --><\/p>\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Gjennomforing_og_rapportering_av_risikovurdering\"><\/span>Gjennomf\u00f8ring og rapportering av risikovurdering<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Hvis det gjennom datakartlegging blir bestemt at selskapet h\u00e5ndterer viktig data, m\u00e5 man utf\u00f8re en risikovurdering av databehandlingen. Resultatene m\u00e5 ogs\u00e5 rapporteres til myndighetene.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Risikovurdering m\u00e5 utf\u00f8res regelmessig, s\u00e5 det er viktig \u00e5 etablere regler for \u00e5 kunne gjennomf\u00f8re dette kontinuerlig.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:heading {\"level\":3} --><\/p>\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Opplaering_av_ansatte\"><\/span>Oppl\u00e6ring av ansatte<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>I Kina blir det stadig innf\u00f8rt nye sikkerhetsrelaterte regelverk. I tillegg er ikke databehandling og risikovurdering noe som bare gj\u00f8res \u00e9n gang; det krever regelmessig revisjon og forbedring for \u00e5 bli integrert i bedriftskulturen. Derfor er det n\u00f8dvendig med oppl\u00e6ring av ansatte.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Det er ikke bare juridisk og administrativt personell som er involvert, men ogs\u00e5 risikostyringsavdelinger, s\u00e5 samarbeid p\u00e5 tvers av avdelinger blir viktig. Selv om loven fortsatt har uklare aspekter, har det v\u00e6rt tilfeller der sanksjoner har blitt anvendt for brudd, noe som gj\u00f8r det klart at tilpasning til data sikkerhetsloven er avgj\u00f8rende.<\/p>\n<p><!-- \/wp:paragraph --><br \/><!-- wp:heading --><\/p>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Kjennetegn_ved_de_kinesiske_Cyber_Three_Laws\"><\/span>Kjennetegn ved de kinesiske Cyber Three Laws<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:image {\"id\":63915,\"sizeSlug\":\"full\",\"linkDestination\":\"none\"} --><\/p>\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" class=\"wp-image-63915\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/3-pieces.jpg\" alt=\"\" \/><\/figure>\n<p><!-- \/wp:image --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>De kinesiske Cyber Three Laws refererer til en samlebetegnelse for &#8220;Cybersecurity Law&#8221;, &#8220;Data Security Law&#8221; og &#8220;Personal Information Protection Law&#8221; som Kina har implementert. Cybersecurity Law fokuserer p\u00e5 tiltak mot cyberangrep, Data Security Law p\u00e5 bevaring av data, og Personal Information Protection Law p\u00e5 \u00e5 styrke sikkerheten rundt personopplysninger.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Relatert artikkel: <a title=\"Hva er den kinesiske Cybersecurity Law? En forklaring p\u00e5 viktige punkter for overholdelse\" href=\"https:\/\/monolith.law\/corporate\/china-cyber-security-law\" target=\"_blank\" rel=\"noopener\">Hva er den kinesiske Cybersecurity Law? En forklaring p\u00e5 viktige punkter for overholdelse[ja]<\/a><\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Slik sett har hver av disse lovene sine forskjeller, men et felles trekk er at de alle fastsetter administrative sanksjoner, sivilrettslig erstatningsansvar og strafferettslig ansvar for brudd. Videre gjelder bruddene ikke bare for juridiske personer, men ogs\u00e5 for de direkte ansvarlige individene, som kan risikere \u00e5 bli forbudt fra \u00e5 arbeide i samme bransje eller bli oppf\u00f8rt i landets register over lovbrytere.<\/p>\n<p><!-- \/wp:paragraph --><br \/><!-- wp:heading --><\/p>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Oppsummering_Vaer_oppmerksom_pa_Kinas_datalovgivning_og_handle_raskt\"><\/span>Oppsummering: V\u00e6r oppmerksom p\u00e5 Kinas datalovgivning og handle raskt<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><!-- \/wp:heading --><\/p>\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" class=\"wp-image-63916\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/japan-china.jpg\" alt=\"\" \/><\/figure>\n<p><!-- wp:paragraph --><\/p>\n<p>Kinas Data Security Law er en lov som gjelder for databehandling i Kina og fastsetter regler for klassifisering og gradering av databeskyttelse, samt risikovurdering. Det er publisert en rekke lover, inkludert Cybersecurity Law, &#8220;Personal Information Protection Law&#8221; og &#8220;Regulations on the Management of Security Vulnerabilities in Internet Products&#8221;, og det er avgj\u00f8rende \u00e5 tilpasse seg disse.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Per n\u00e5 er det fortsatt uklarheter, som at sikkerhetsniv\u00e5ene for de ulike klassifiseringene ikke er fullt ut konkretisert, men det har v\u00e6rt tilfeller der brudd p\u00e5 loven har resultert i b\u00f8ter. Derfor er det essensielt \u00e5 f\u00f8lge med og tilpasse seg lovgivningen. Det er viktig \u00e5 v\u00e6re oppmerksom p\u00e5 Kinas lovgivning og iverksette tiltak som er mulige n\u00e5.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Hvis du driver virksomhet i Kina eller planlegger \u00e5 gj\u00f8re det, anbefales det \u00e5 konsultere en advokat som er spesialisert p\u00e5 kinesisk lovgivning.<\/p>\n<p><!-- \/wp:paragraph --><br \/><!-- wp:heading --><\/p>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Veiledning_om_tiltak_fra_var_advokatfirma\"><\/span>Veiledning om tiltak fra v\u00e5r advokatfirma<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><!-- \/wp:heading --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Monolith Advokatfirma har rik erfaring med IT, spesielt internett og juss. I de senere \u00e5rene har global business vokst stadig mer, og behovet for juridisk sjekk av eksperter har \u00f8kt tilsvarende. V\u00e5rt firma tilbyr l\u00f8sninger relatert til internasjonal juridisk service, inkludert i land som Kina, USA og EU-landene.<\/p>\n<p><!-- \/wp:paragraph --><\/p>\n<p><!-- wp:paragraph --><\/p>\n<p>Monolith Advokatfirmas tjenesteomr\u00e5der: <a title=\"Internasjonal juridisk service og utenlandske virksomheter\" href=\"https:\/\/monolith.law\/global-jpn2fgn\" target=\"_blank\" rel=\"noopener\">Internasjonal juridisk service og utenlandske virksomheter[ja]<\/a><\/p>\n<p><!-- \/wp:paragraph --><\/p>","protected":false},"excerpt":{"rendered":"<p>Den kinesiske loven om datasikkerhet (Chinese Data Security Law) er en lov som gjelder for databehandling i Kina og tr\u00e5dte i kraft i september 2021. Denne loven gjelder for all databehandling som utf\u00f8 [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":72595,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts\/72480"}],"collection":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/comments?post=72480"}],"version-history":[{"count":2,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts\/72480\/revisions"}],"predecessor-version":[{"id":72594,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts\/72480\/revisions\/72594"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/media\/72595"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/media?parent=72480"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/categories?post=72480"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/tags?post=72480"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}