Co to jest chińska 'Ustawa o bezpieczeństwie danych'? Wyjaśniamy środki, które powinny podjąć japońskie przedsiębiorstwa
Chińska ustawa o bezpieczeństwie danych (中国データセキュリティ法) to prawo obowiązujące w chińskiej dziedzinie danych, które weszło w życie we wrześniu 2021 roku. Ponieważ stosuje się do wszystkich operacji przetwarzania danych prowadzonych w Chinach, firmy działające na terenie Chin lub planujące tam wejście muszą dokonać przeglądu i ewentualnej modyfikacji istniejących przepisów i polityk zarządzania. Jednakże, niektórzy mogą nie rozumieć, na czym polega to prawo lub mogą mieć trudności z określeniem, jakie środki należy podjąć.
W związku z tym, niniejszy artykuł wyjaśnia ogólne zasady chińskiej ustawy o bezpieczeństwie danych, kluczowe punkty do zrozumienia, sankcje oraz środki, które należy podjąć w Japonii.
Czym jest chińska ustawa o bezpieczeństwie danych?
Chińska ustawa o bezpieczeństwie danych (中华人民共和国数据安全法) to prawo dotyczące bezpieczeństwa danych w Chinach, które weszło w życie we wrześniu 2021 roku. Zostało ustanowione w celu ochrony bezpieczeństwa narodowego, podobnie jak chińska ustawa o cyberbezpieczeństwie, która weszła w życie w czerwcu 2017 roku.
Chińska ustawa o cyberbezpieczeństwie: prawo mające na celu ochronę bezpieczeństwa “sieci” w Chinach
Cele chińskiej ustawy o bezpieczeństwie danych są opisane w następujący sposób (Artykuł 1):
- Regulacja działań związanych z przetwarzaniem danych
- Zapewnienie bezpieczeństwa danych
- Stymulacja rozwoju i wykorzystania danych
- Ochrona legalnych praw i interesów osób oraz organizacji
- Ochrona suwerenności narodowej, bezpieczeństwa oraz interesów rozwojowych państwa
Podczas gdy chińska ustawa o cyberbezpieczeństwie regulowała dane elektroniczne, chińska ustawa o bezpieczeństwie danych obejmuje również dane nieelektroniczne, takie jak dokumenty papierowe (Artykuł 3). Ustawa określa między innymi klasyfikację danych, system certyfikacji bezpieczeństwa oraz obowiązki ochrony bezpieczeństwa danych.
Kluczowe punkty dotyczące chińskiej ustawy o bezpieczeństwie danych
Chińska ustawa o bezpieczeństwie danych zawiera szereg złożonych przepisów, które mogą być trudne do pełnego zrozumienia. W tym miejscu szczegółowo omówimy pięć kluczowych aspektów tej ustawy:
- Zakres regulacji
- Tworzenie norm klasyfikacji i hierarchizacji danych
- Zarządzanie bezpieczeństwem danych
- Regulacje dotyczące transferu danych
- Przegląd bezpieczeństwa narodowego
Podmioty regulowane
Dane regulowane przez prawo to wszystkie działania związane z “przetwarzaniem danych” prowadzone wewnątrz Chin. Działania związane z przetwarzaniem danych prowadzone poza granicami Chin również podlegają regulacjom, jeśli mogą one zaszkodzić bezpieczeństwu narodowemu Chin, interesowi publicznemu lub interesom obywateli i organizacji.
“Dane” to informacje zapisane za pomocą metod elektronicznych lub innych, co oznacza, że należy zwrócić uwagę również na informacje zapisane na papierze. “Przetwarzanie danych” obejmuje zbieranie, przechowywanie, używanie, przetwarzanie, przesyłanie, udostępnianie i ujawnianie danych, a osoby przeprowadzające te działania określane są mianem “przetwarzających dane”.
O ustanowieniu norm klasyfikacji i gradacji danych
Podmioty przetwarzające dane muszą zapewnić bezpieczeństwo danych na podstawie systemu ochrony gradacji. System ochrony gradacji to publiczny system oceny dla zarządzania bezpieczeństwem sieci, a wymagane działania różnią się w zależności od przydzielonej gradacji. Ponadto, dane muszą być klasyfikowane w zależności od wielkości szkody, jaką ich zniszczenie lub wyciek może spowodować dla bezpieczeństwa państwa, dobra publicznego oraz osób fizycznych czy organizacji.
Klasyfikacja dzieli się na trzy kategorie: “dane ogólne”, “dane ważne” i “dane kluczowe”. Zgodnie z “Rozporządzeniem dotyczącym bezpieczeństwa danych sieciowych (projekt do konsultacji)”, dane ważne to takie, których sfałszowanie, zniszczenie, wyciek, nielegalne pozyskanie lub nielegalne wykorzystanie mogą zagrażać bezpieczeństwu narodowemu lub dobru publicznemu. Dane kluczowe to dane związane z bezpieczeństwem narodowym, kluczowymi aspektami gospodarki narodowej, istotnymi dla życia obywateli oraz głównymi interesami publicznymi (art. 21).
W momencie pisania tego tekstu, nie zostały jeszcze opublikowane konkretne katalogi danych ważnych ani kluczowych, dlatego warto klasyfikować przetwarzane dane, odnosząc się do przykładów ważnych danych wymienionych w “Rozporządzeniu dotyczącym bezpieczeństwa danych sieciowych (projekt do konsultacji)”. Równie ważne jest monitorowanie katalogów publikowanych przez odpowiednie departamenty.
Zarządzanie bezpieczeństwem danych
Od osób odpowiedzialnych za przetwarzanie danych wymaga się między innymi następujących działań:
- Przeprowadzanie szkoleń i treningów z zakresu bezpieczeństwa danych
- Obowiązek ochrony danych zgodnie z systemem klasyfikacji ochrony danych
- Stałe monitorowanie ryzyka
- Ustanowienie systemu zarządzania bezpieczeństwem na całym cyklu życia danych
- Wyznaczenie osoby odpowiedzialnej
- Środki techniczne
Zasadniczo wymagania te są podobne do tych, które stawia „System Zarządzania Bezpieczeństwem Informacji (ISMS)”, jednak należy zwrócić uwagę na konieczność wdrożenia odpowiednich środków zarządzania w zależności od klasyfikacji danych.
W przypadku wystąpienia incydentu, należy niezwłocznie podjąć odpowiednie działania i poinformować o tym użytkowników oraz właściwe organy. Ponadto, przy przetwarzaniu istotnych danych, konieczne jest regularne przeprowadzanie oceny ryzyka oraz składanie raportów z oceny ryzyka odpowiednim organom nadzorczym.
O regulacjach dotyczących transferu danych
Transfer danych podlega regulacjom w przypadku danych kluczowych. Operatorzy kluczowej infrastruktury informacyjnej, którzy pozyskują lub generują kluczowe dane w trakcie działalności w Chinach, muszą przestrzegać przepisów Japońskiej Ustawy o Cyberbezpieczeństwie, gdy przenoszą te dane poza granice kraju.
Kluczowa infrastruktura informacyjna: operatorzy urządzeń, których uszkodzenie lub wyciek danych może znacząco zaszkodzić bezpieczeństwu narodowemu, życiu obywateli lub publicznemu interesowi w sektorach takich jak energia, transport, finanse, usługi publiczne itp., zagrażając bezpieczeństwu państwa.
Jeśli procesor danych nie jest operatorem kluczowej infrastruktury informacyjnej, musi zgodnie z “Japońskim Regulaminem Oceny Bezpieczeństwa Transferu Danych za Granicę” poddać się ocenie bezpieczeństwa przeprowadzonej przez władze i po jej pozytywnym przejściu może dokonać transferu.
Zgodnie z “Projektem Rozporządzenia o Bezpieczeństwie Danych Sieciowych (wersja konsultacyjna)”, nawet w przypadku transferu danych innych niż kluczowe za granicę, w następujących sytuacjach wymagana jest ocena bezpieczeństwa przez władze i jej pozytywne zakończenie:
- Gdy transferowane dane transgraniczne zawierają dane kluczowe,
- Gdy operatorzy kluczowej infrastruktury informacyjnej lub procesorzy danych przetwarzający informacje osobiste ponad miliona osób dostarczają dane osobowe za granicę,
Ponadto, osoby transferujące dane za granicę mają obowiązek:
- Nie dostarczać danych osobowych za granicę poza celami, zakresem, metodami, rodzajami i rozmiarem danych określonymi w raporcie z oceny wpływu na ochronę danych osobowych przedstawionym departamentowi informacji sieciowej,
- Nie dostarczać danych osobowych i kluczowych danych za granicę poza celami, zakresem, rodzajami i rozmiarem danych określonymi w ocenie bezpieczeństwa przeprowadzonej przez departament informacji sieciowej,
- Przyjmować i przetwarzać skargi użytkowników dotyczące eksportu danych,
- Przechowywać zapisy logów i zapisy autoryzacji eksportu danych przez co najmniej 3 lata,
- Ponosić odpowiedzialność zgodnie z prawem, jeśli eksport danych zaszkodzi prawom i interesom osób, organizacji lub publicznego interesu,
W przypadku transferu danych za granicę istnieje również obowiązek sporządzenia raportu bezpieczeństwa eksportu danych i zgłoszenia go do lokalnego departamentu informacji sieciowej.
O przeglądzie bezpieczeństwa narodowego
Należy zwrócić uwagę na fakt, że chiński rząd może przeprowadzić przegląd bezpieczeństwa narodowego, jeśli uzna, że działania związane z przetwarzaniem danych mogą zaszkodzić bezpieczeństwu narodowemu Chin. Wynik przeglądu bezpieczeństwa narodowego jest ostateczny, co oznacza, że nie można go zakwestionować poprzez administracyjne odwołania czy postępowanie sądowe.
Kary za naruszenie ustawy o bezpieczeństwie danych
W przypadku naruszenia japońskiej ustawy o bezpieczeństwie danych, podmioty mogą zostać poddane różnym sankcjom, takim jak nakazy korekty i ostrzeżenia, grzywny, zawieszenie działalności w celu przeprowadzenia korekt, wstrzymanie powiązanych operacji, a nawet anulowanie licencji na prowadzenie działalności.
Na przykład, zgodnie z artykułami 27, 29 i 30 japońskiej ustawy o bezpieczeństwie danych w Chinach, nieprzestrzeganie określonych obowiązków może skutkować wydaniem nakazu korekty i ostrzeżeń, a także nałożeniem grzywny w wysokości od 50 tysięcy do 500 tysięcy juanów na bezpośrednio odpowiedzialnych kierowników oraz innych osób ponoszących bezpośrednią odpowiedzialność.
Warto zwrócić uwagę, że w przypadku naruszenia japońskiej ustawy o bezpieczeństwie danych, kary mogą dotyczyć nie tylko osób prawnych, ale również bezpośrednio odpowiedzialnych kierowników oraz innych pracowników ponoszących bezpośrednią odpowiedzialność. Wobec możliwości poważnych konsekwencji dla całej organizacji, niezbędne jest podjęcie odpowiednich środków w celu zapewnienia zgodności z prawem.
Środki, które japońskie przedsiębiorstwa powinny podjąć w odpowiedzi na prawo o bezpieczeństwie danych
Prawo o bezpieczeństwie danych jest stosowane do wszystkich operacji na danych przetwarzanych w Chinach, dlatego wielu japońskich przedsiębiorców musi się do niego dostosować. W tym miejscu szczegółowo wyjaśniamy środki, które japońskie przedsiębiorstwa powinny podjąć w odpowiedzi na to prawo.
Zarządzanie danymi
Na początku należy przeanalizować zarządzanie danymi. W firmie należy jasno określić, jakie dane są generowane, gromadzone i usuwane, oraz zrozumieć obecną sytuację w zakresie przetwarzania danych. Ważne jest również, aby za pomocą mapowania danych sprawdzić klasyfikację danych, ich transfer poza Chiny oraz obecne środki zarządzania danymi.
Chińskie prawo o bezpieczeństwie danych wymaga odpowiednich środków ochrony dla danych ważnych i kluczowych. Dlatego konieczne może być ponowne zdefiniowanie klasyfikacji poufności informacji zgodnie z klasyfikacją.
Jednakże, na obecnym etapie klasyfikacja poziomów bezpieczeństwa dla różnych kategorii danych jest niejasna. W związku z tym, istotne jest monitorowanie katalogów publikowanych przez chińskie organy nadzorcze, ponieważ w przyszłości mogą one zostać sprecyzowane. Jednocześnie warto ustawić poziomy bezpieczeństwa z uwzględnieniem klasyfikacji, takie jak kontrola dostępu, uwierzytelnianie, bezpieczeństwo komunikacji i środki fizyczne.
Ponadto należy przeglądać politykę bezpieczeństwa i stosować politykę zgodną z klasyfikacją danych określoną przez mapowanie danych.
Przeprowadzanie i raportowanie oceny ryzyka
Jeśli w wyniku mapowania danych stwierdzono, że firma przetwarza dane ważne, należy przeprowadzić ocenę ryzyka związanego z przetwarzaniem danych. Następnie wyniki należy zgłosić do odpowiednich władz.
Ocena ryzyka powinna być przeprowadzana regularnie, dlatego ważne jest, aby ustalić reguły, które umożliwią jej ciągłe wykonywanie.
Szkolenie pracowników
W Chinach wprowadzane są kolejne systemy związane z bezpieczeństwem. Zarządzanie danymi i ocena ryzyka to nie jednorazowe działania. Dlatego konieczne jest regularne przeglądanie i ulepszanie, aby praktyki te zakorzeniły się w firmie, co wymaga również szkolenia pracowników.
Wymaga to zaangażowania nie tylko działów prawnych i administracyjnych, ale także działów zarządzania ryzykiem, dlatego ważna jest współpraca między różnymi działami. Chociaż obecnie prawo to może zawierać niejasności, istnieją przypadki zastosowania sankcji za naruszenia, co czyni dostosowanie się do prawa o bezpieczeństwie danych niezbędnym.
Cechy chińskich trzech ustaw o cyberbezpieczeństwie
Chińskie trzy ustawy o cyberbezpieczeństwie to zbiorcza nazwa dla trzech aktów prawnych wprowadzonych w Chinach: „Ustawy o cyberbezpieczeństwie”, „Ustawy o bezpieczeństwie danych” oraz „Ustawy o ochronie informacji osobistych”. Ustawa o cyberbezpieczeństwie ma na celu przeciwdziałanie cyberatakowi, Ustawa o bezpieczeństwie danych skupia się na ochronie danych, a Ustawa o ochronie informacji osobistych wzmacnia bezpieczeństwo danych osobowych.
Powiązany artykuł: Co to jest chińska ustawa o cyberbezpieczeństwie? Wyjaśnienie kluczowych punktów do przestrzegania[ja]
Tak więc, mimo że każda z tych ustaw ma swoje specyficzne cechy, wspólną charakterystyką jest to, że wszystkie one przewidują administracyjne kary, odszkodowania cywilne oraz odpowiedzialność karną za ich naruszenie. Ponadto, naruszenia dotyczą nie tylko osób prawnych, ale również bezpośrednio odpowiedzialnych osób fizycznych, które mogą zostać objęte zakazem wykonywania podobnych działań lub ich dane mogą zostać umieszczone w narodowym rejestrze naruszycieli.
Podsumowanie: Należy uważnie obserwować chińskie regulacje dotyczące danych i szybko reagować
Chińska Ustawa o Bezpieczeństwie Danych to prawo stosowane do przetwarzania danych w Chinach, które określa klasyfikację i hierarchizację ochrony danych, ocenę ryzyka i inne aspekty. Oprócz niej, opublikowano różne prawa, takie jak Ustawa o Cyberbezpieczeństwie, Ustawa o Ochronie Danych Osobowych, Regulacje dotyczące zarządzania podatnościami w produktach internetowych, co wymaga odpowiedniego dostosowania się do nich.
Chociaż w obecnym momencie niektóre aspekty, takie jak konkretne poziomy bezpieczeństwa dla poszczególnych kategorii, pozostają niejasne, istnieją przypadki nałożenia grzywien za naruszenia, co pokazuje, że dostosowanie się do prawa jest niezbędne. Ważne jest, aby zwracać uwagę na chińskie regulacje prawne i podejmować odpowiednie działania, które są możliwe do zrealizowania już teraz.
Jeśli prowadzisz działalność w Chinach lub planujesz ją w przyszłości, zalecamy konsultację z prawnikiem specjalizującym się w chińskim prawie.
Informacje o środkach zaradczych naszej kancelarii
Kancelaria Prawna Monolith to firma specjalizująca się w IT, a w szczególności w prawie internetowym i prawnych aspektach technologii. W obliczu rosnącej globalizacji biznesu, potrzeba profesjonalnej analizy prawnej staje się coraz bardziej istotna. Nasza kancelaria oferuje rozwiązania związane z międzynarodowymi usługami prawnymi, w tym w Chinach, Stanach Zjednoczonych oraz krajach Unii Europejskiej.
Obszary praktyki Kancelarii Prawnej Monolith: Międzynarodowe usługi prawne i działalność zagraniczna[ja]