MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Co to jest chińskie prawo cyberbezpieczeństwa? Wyjaśnienie kluczowych punktów dotyczących przestrzegania

General Corporate

Co to jest chińskie prawo cyberbezpieczeństwa? Wyjaśnienie kluczowych punktów dotyczących przestrzegania

Według specjalnego raportu “Imperial Data Bank” pt. “Specjalne badanie trendów ekspansji japońskich firm w Chinach (2022)[ja]“, liczba japońskich firm, które rozpoczęły działalność w Chinach, wynosi 12 706. Można przypuszczać, że firm prowadzących biznes związany z Chinami jest jeszcze więcej. W Chinach w roku 2017 weszło w życie “Chińskie prawo o cyberbezpieczeństwie”.

W związku z tym, firmy rozwijające swoją działalność w Chinach muszą dostosować swoje regulacje i wprowadzić techniczne środki ochrony zgodnie z prawem. Jednakże, niektórzy mogą nie być pewni, na czym dokładnie polega to prawo lub jakie kroki należy podjąć, aby się do niego dostosować.

Dlatego w niniejszym artykule wyjaśniamy ogólne zasady “Chińskiego prawa o cyberbezpieczeństwie”, jego zakres regulacji oraz środki, które należy podjąć. Osoby, które już prowadzą działalność w Chinach lub planują tam wejść w przyszłości, powinny zapoznać się z tym materiałem.

Zarys chińskiego prawa cyberbezpieczeństwa

Kobieta prezentująca

Chińskie prawo cyberbezpieczeństwa (网络安全法) to ustawa wprowadzona w życie w czerwcu 2017 roku. Celem prawa, jak określono w artykule pierwszym, jest:

  • Zapewnienie bezpieczeństwa sieci
  • Ochrona suwerenności cyberprzestrzeni, bezpieczeństwa narodowego i interesu publicznego
  • Ochrona legalnych praw i interesów obywateli, korporacji oraz innych organizacji
  • Stymulowanie rozwoju informatyzacji gospodarki i społeczeństwa

Termin “sieć” odnosi się do “systemu składającego się z komputerów, innych urządzeń informacyjnych oraz powiązanego sprzętu, który zbiera, przechowuje, przesyła, wymienia i przetwarza informacje zgodnie z określonymi regułami i programami (artykuł 76)” i obejmuje nie tylko internet, ale również intranet.

Chińskie prawo cyberbezpieczeństwa różni się od takich regulacji jak Ogólne Rozporządzenie o Ochronie Danych (GDPR) Unii Europejskiej czy japońskiej Ustawy o Ochronie Danych Osobowych, ponieważ nie tylko skupia się na “ochronie informacji osobistych i organizacyjnych”, ale także na “ochronie bezpieczeństwa narodowego i interesu publicznego Chin”. Ustawa nakłada na podmioty objęte jej zakresem obowiązek wdrożenia zabezpieczeń cyberbezpieczeństwa, przestrzegania zasad compliance oraz wyjaśnienia praw i obowiązków.

Wśród innych ustaw dotyczących bezpieczeństwa znajduje się również chińska Ustawa o Bezpieczeństwie Danych.

Powiązane artykuły: Co to jest chińska Ustawa o Bezpieczeństwie Danych? Wyjaśniamy środki, które powinny podjąć japońskie przedsiębiorstwa[ja]

Podmioty objęte regulacjami chińskiego prawa cyberbezpieczeństwa

Zasady

Japońskie przedsiębiorstwa mogą podlegać chińskiemu prawu cyberbezpieczeństwa w następujących przypadkach:

  • Jeśli przetwarzają informacje w Chinach
  • Jeśli transferują informacje z Chin do Japonii

Nawet jeśli siedziba firmy znajduje się w Japonii, to może ona podlegać temu prawu, jeśli spełnia powyższe warunki. Do podmiotów regulowanych należą między innymi “operatorzy sieci” oraz “operatorzy kluczowej infrastruktury informacyjnej”.

Operator sieci to właściciel lub zarządca sieci, a także osoba świadcząca usługi sieciowe.

Operator kluczowej infrastruktury informacyjnej to podmiot zarządzający urządzeniami, których uszkodzenie lub wyciek danych może znacząco zaszkodzić bezpieczeństwu narodowemu, życiu obywateli lub publicznemu interesowi w sektorach mogących zagrażać bezpieczeństwu państwa, takich jak energia, transport, finanse czy usługi publiczne.

Treść chińskiej ustawy o cyberbezpieczeństwie

Zdjęcie kobiety

Chińska ustawa o cyberbezpieczeństwie nakłada następujące obowiązki:

  • Ustanowienie poziomów cyberbezpieczeństwa
  • Dostosowanie do obowiązkowych standardów narodowych
  • Wymóg rejestracji pod prawdziwym nazwiskiem
  • Obowiązki dla operatorów kluczowej infrastruktury informacyjnej
  • Budowa systemu zarządzania i reagowania

Poniżej wyjaśniamy szczegóły każdego z tych wymagań.

Ustanowienie poziomów cyberbezpieczeństwa

Artykuł 21. Chińskiej Ustawy o Cyberbezpieczeństwie określa system ochrony według poziomów, którego przestrzeganie jest wymagane od operatorów sieci w Chinach. Firmy i organizacje posiadające sieci w Chinach muszą uzyskać certyfikat ochrony według poziomów.

System ochrony według poziomów to oficjalny system oceny dla zarządzania bezpieczeństwem sieci. Zakres jego zastosowania obejmuje:

  • Infrastrukturę sieciową
  • IoT
  • Systemy sterowania przemysłowego
  • Wielkoskalowe strony internetowe i centra danych
  • Platformy usług publicznych

W ramach systemu ochrony według poziomów, systemy informacyjne są klasyfikowane na pięć poziomów w zależności od zakresu i skali szkód, jakie mogą powstać w przypadku ich uszkodzenia.

Stopień szkód poniesionych przez obiekt
Zwykłe szkodyPoważne szkodyBardzo poważne szkody
Obywatele i osoby prawne1. poziom2. poziom3. poziom
Porządek społeczny i dobro publiczne2. poziom3. poziom4. poziom
Bezpieczeństwo narodowe3. poziom4. poziom5. poziom

Definicje poszczególnych poziomów przedstawiają się następująco:

PoziomDefinicja
1. poziomW przypadku zniszczenia, prawa i interesy prawne obywateli, osób prawnych i innych organizacji są naruszane, ale nie wpływa to na bezpieczeństwo narodowe, porządek społeczny ani dobro publiczne.
2. poziomW przypadku zniszczenia, poważne szkody dla praw i interesów prawnych obywateli, osób prawnych i innych organizacji mogą wystąpić, a także może to zagrażać porządkowi społecznemu i dobremu publicznemu, ale nie wpływa to na bezpieczeństwo narodowe.
3. poziomW przypadku zniszczenia, bardzo poważne szkody dla praw i interesów prawnych obywateli, osób prawnych i innych organizacji mogą wystąpić, a także może to zagrażać bezpieczeństwu narodowemu.
4. poziomW przypadku zniszczenia, może to znacząco naruszyć porządek społeczny i dobro publiczne, a także spowodować bardzo poważne szkody dla bezpieczeństwa narodowego.
5. poziomW przypadku zniszczenia, może to spowodować bardzo poważne szkody dla bezpieczeństwa narodowego.

Dla każdej klasyfikacji ustalone są standardy bezpieczeństwa informacji, których należy przestrzegać. Zazwyczaj operatorzy sieci są zobowiązani do przestrzegania poziomu 2 lub wyższego, a operatorzy kluczowej infrastruktury informacyjnej – poziomu 3 lub wyższego.

W celu uzyskania poziomu, operatorzy składają wniosek do właściwych władz, ale ostatecznie wymagana jest zgoda Ministerstwa Bezpieczeństwa Publicznego. Ponadto, dla poziomu 2 i wyższych wymagana jest ocena przez akredytowane agencje oceny. Należy zachować ostrożność, ponieważ naruszenie systemu ochrony według poziomów może skutkować nałożeniem grzywny.

Dostosowanie do obowiązkowych standardów państwowych

Dostawcy produktów i usług internetowych muszą zapewnić, że oferowane przez nich usługi są zgodne z obowiązkowymi standardami państwowymi (art. 22). Dostawcy nie mogą instalować złośliwego oprogramowania.

Ponadto, jeśli odkryją w swoich produktach lub usługach jakiekolwiek wady, podatności lub inne ryzyka, muszą niezwłocznie podjąć odpowiednie działania, poinformować użytkowników oraz zgłosić problem odpowiednim organom nadzorczym.

We wrześniu 2021 roku (Rok Reiwa 3) weszły w życie przepisy dotyczące zarządzania podatnościami bezpieczeństwa produktów internetowych (网络产品安全漏洞管理规定), skierowane do operatorów sieci, więc warto również odnieść się do tych regulacji i odpowiednio się do nich dostosować.

Wymagana jest rejestracja pod prawdziwym imieniem i nazwiskiem

W przypadku świadczenia usług takich jak połączenia sieciowe, procedury łączenia sieci dla telefonów stacjonarnych i komórkowych, usługi udostępniania informacji czy usługi komunikatorów internetowych, wymagane jest, aby użytkownicy zarejestrowali się podając swoje prawdziwe imię i nazwisko. Jeśli użytkownik nie dokona rejestracji pod prawdziwym imieniem i nazwiskiem, nie można mu świadczyć usług.

Ponadto, operatorzy sieci mają obowiązek sprawdzać, czy informacje przekazywane przez użytkowników nie naruszają prawa.

Obowiązki operatorów kluczowej infrastruktury informacyjnej

Operatorzy kluczowej infrastruktury informacyjnej są zobowiązani nie tylko do wdrażania środków bezpieczeństwa narzuconych na operatorów sieci, ale również do realizacji następujących działań:

  • Regularne tworzenie kopii zapasowych systemów i baz danych
  • Przygotowanie planu reagowania na incydenty bezpieczeństwa
  • Przeprowadzanie rocznej oceny bezpieczeństwa
  • Lokalizacja danych

Lokalizacja danych: proces przechowywania i przetwarzania danych w granicach kraju, w którym zostały wygenerowane

Wprowadzona we wrześniu 2021 roku (Reiwa 3) ‘Japońska Ustawa o Ochronie Bezpieczeństwa Kluczowej Infrastruktury Informacyjnej’ określa bardziej szczegółowo zarządzanie, certyfikację i obowiązki operatorów kluczowej infrastruktury informacyjnej, dlatego konieczne jest również zapoznanie się z tymi przepisami.

Budowa systemu zarządzania i reagowania

Od operatorów sieci wymaga się między innymi następujących działań (zgodnie z artykułem 21):

  • Ustanowienie systemu zarządzania bezpieczeństwem i procedur operacyjnych
  • Wyłonienie osoby odpowiedzialnej za bezpieczeństwo sieci
  • Przygotowanie planu reagowania na incydenty bezpieczeństwa oraz opracowanie technicznych środków zaradczych
  • Wprowadzenie technologii monitorowania sieci i przechowywanie logów (przynajmniej przez 6 miesięcy)
  • Klasyfikacja danych, ochrona ważnych danych poprzez tworzenie kopii zapasowych i szyfrowanie

Przepisy dotyczące naruszenia ustawy o cyberbezpieczeństwie

Uwaga ostrzeżenie

W przypadku naruszenia wymagań bezpieczeństwa określonych w systemie ochrony klasyfikacji, wydawane są nakazy korekty i ostrzeżenia. Jeśli odmówisz wykonania nakazu lub zagrozisz bezpieczeństwu sieci, musisz zapłacić grzywnę w wysokości od 10 tysięcy juanów do 100 tysięcy juanów. Ponadto, bezpośrednio odpowiedzialnym osobom nakłada się grzywnę w wysokości od 5 tysięcy juanów do 50 tysięcy juanów.

Grzywny i ostrzeżenia są również wydawane w przypadku instalacji złośliwego oprogramowania lub niepodjęcia działań wobec ryzyka związanego z wadami produktów lub usług oraz lukami bezpieczeństwa. Jeśli odmówisz wykonania nakazu korekty, zostaniesz obciążony grzywną.

Wysokość grzywny zależy od rodzaju naruszenia, a w skrajnych przypadkach może dojść do zamknięcia strony internetowej, unieważnienia pozwolenia na działalność gospodarczą lub zawieszenia działalności. W przeszłości zdarzały się przypadki, gdy za naruszenia nakładano grzywny, a odpowiedzialnym osobom zakazywano dożywotnio pracy w tej samej branży, co podkreśla, że środki bezpieczeństwa cybernetycznego są niezbędne.

Środki, które japońskie przedsiębiorstwa powinny podjąć w odpowiedzi na prawo cyberbezpieczeństwa

Mężczyzna prowadzący

Chińskie prawo cyberbezpieczeństwa jest skomplikowane, dlatego niektórzy mogą nie wiedzieć, od czego zacząć. Poniżej wyjaśniamy środki, które japońskie przedsiębiorstwa powinny podjąć.

Utworzenie systemu współpracy z działem systemów informatycznych i działem związanym z transformacją cyfrową (DX)

Aby sprostać chińskiemu prawu cyberbezpieczeństwa, konieczne jest opracowanie procesów operacyjnych i zasad zarządzania danymi osobowymi, a także ich aktualizacja. Ponadto, w odpowiedzi na system ochrony klasyfikacji, niezbędne są techniczne środki ochrony dla systemów firmy.

Zamiast indywidualnego podejścia przez działy prawne czy administracyjne, należy utworzyć system współpracy z działem systemów informatycznych i działem związanym z transformacją cyfrową (DX).

Ocena, do której klasyfikacji pasują posiadane przez firmę systemy

Najpierw dokonuje się oceny klasyfikacji systemów firmy. W zależności od tej klasyfikacji, każdy dział musi podejmować działania zgodne z cyberbezpieczeństwem. Działy prawne, administracyjne i zarządzania ryzykiem powinny przeglądać i aktualizować przepisy oraz procedury, natomiast działy systemów informatycznych i związane z transformacją cyfrową (DX) muszą podejmować odpowiednie działania techniczne. Poniżej wyjaśniamy te działania.

Działy prawne, administracyjne i zarządzania ryzykiem

Porównuje się wymagania określone w klasyfikacji z aktualnym stanem zarządzania i systemem bezpieczeństwa informacji firmy, a następnie dokonuje się aktualizacji przepisów i przeglądu procedur operacyjnych. Następnie należy rozważyć, jak podejść do tych kwestii i przeprowadzić niezbędne zmiany w systemie lub jego poprawki.

Jeśli klasyfikacja jest na poziomie drugim lub wyższym, konieczne jest również zgłoszenie do odpowiednich władz. Jeśli firma jest uznana za operatora kluczowej infrastruktury informacyjnej, wymagane jest uzyskanie certyfikatu ochrony klasyfikacji na poziomie trzecim lub wyższym. Ponadto, należy zająć się regulacjami dotyczącymi lokalizacji danych, regularnym szkoleniem pracowników z zakresu bezpieczeństwa informacji i technicznym treningiem, co oznacza, że lista zadań do wykonania jest długa. Jeśli istnieje możliwość, że firma kwalifikuje się jako operator kluczowej infrastruktury informacyjnej, warto skonsultować się z radcą prawnym i ustalić strategię działania.

W ostatnich latach w Chinach wprowadzono wiele nowych regulacji związanych z bezpieczeństwem. Dlatego dział zarządzania ryzykiem będzie musiał dostosować się do nowych przepisów.

Dział systemów informatycznych i związany z transformacją cyfrową (DX)

Dział systemów informatycznych i związany z transformacją cyfrową (DX) muszą wdrożyć środki ochrony bezpieczeństwa zgodne z klasyfikacją. Najpierw należy zorganizować istniejące środki ochrony systemów firmy i, jeśli to konieczne, włączyć do nich systemy zgodne z prawem cyberbezpieczeństwa.

Oprócz prawa cyberbezpieczeństwa, konieczne jest również dostosowanie się do regulacji dotyczących lokalizacji danych, ograniczeń transgranicznych i dostępu rządowego. Należy zrozumieć, jakie dane są przesyłane poza Chiny i przeglądać procedury pozyskiwania i przechowywania danych przez firmę.

Ponieważ prawo cyberbezpieczeństwa wymaga nie tylko zmian w przepisach, ale także technicznych środków ochrony, kluczowa jest współpraca między odpowiednimi działami.

Podsumowanie: W razie problemów z działaniami firmy, skonsultuj się ze specjalistami

Zdjęcie mężczyzny i kobiety

Chińska ustawa o cyberbezpieczeństwie to system stworzony dla bezpieczeństwa narodowego Chin. Aby dostosować się do ustawy o cyberbezpieczeństwie, konieczne jest nie tylko zmienianie przepisów przez dział prawny lub administracyjny, ale również wdrażanie technicznych środków ochrony.

Od czasu wprowadzenia ustawy o cyberbezpieczeństwie, zostały ustanowione kolejne przepisy dotyczące zgodności z danymi, takie jak “Regulacje dotyczące zarządzania lukami w bezpieczeństwie produktów internetowych” czy “Procedury przeglądu cyberbezpieczeństwa (system oceny bezpieczeństwa narodowego)”. Naruszenie tych przepisów może skutkować sankcjami administracyjnymi, takimi jak grzywny, zamknięcie strony internetowej czy anulowanie licencji na działalność, dlatego należy zachować ostrożność. Jeśli prowadzisz działalność w Chinach lub planujesz ją w przyszłości, zalecamy konsultację z prawnikiem specjalizującym się w chińskim prawie.

Informacje o środkach zaradczych stosowanych przez naszą kancelarię

Kancelaria Prawna Monolith specjalizuje się w prawie IT, internetowym i biznesowym. Obsługiwaliśmy sprawy z różnych krajów, w tym Chin, Stanów Zjednoczonych i państw Unii Europejskiej. Prowadzenie biznesu za granicą wiąże się z wieloma ryzykami prawnymi, dlatego wsparcie doświadczonych prawników jest niezbędne. Nasza kancelaria posiada dogłębną wiedzę na temat lokalnych praw i regulacji oraz współpracuje z kancelariami prawnymi na całym świecie.

Obszary praktyki Kancelarii Prawnej Monolith: Prawo międzynarodowe i działalność zagraniczna[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Wróć do góry