O que é a Lei de Cibersegurança Chinesa? Explicação dos pontos chave para a conformidade
De acordo com o relatório especial “Tendências de Expansão das Empresas Japonesas na China (2022)[ja]” do Banco de Dados Imperial do Japão, o número de empresas japonesas que entraram no mercado chinês é de 12.706. É provável que o número de empresas envolvidas em negócios relacionados com a China seja ainda maior. Na China, a ‘Lei de Cibersegurança Chinesa’ entrou em vigor em 2017.
Como resultado, para desenvolver negócios na China, tornou-se necessário revisar as regulamentações de acordo com a lei e implementar medidas de proteção técnica. No entanto, pode haver quem não compreenda bem esta lei ou não saiba como responder a ela.
Assim, este artigo explica os contornos da ‘Lei de Cibersegurança Chinesa’, os alvos da regulamentação e as medidas que devem ser tomadas. Se está a desenvolver negócios na China ou a considerar uma futura expansão, por favor, use este artigo como referência.
Visão Geral da Lei de Cibersegurança da China
A Lei de Cibersegurança da China (网络安全法), implementada em junho de 2017, é uma legislação chinesa cujos objetivos estão descritos no seu artigo 1º, como segue:
- Garantir a segurança da rede
- Proteger a soberania do ciberespaço, a segurança nacional e os interesses públicos
- Proteger os direitos e interesses legítimos dos cidadãos, pessoas coletivas e outras organizações
- Promover o desenvolvimento da informatização da economia e da sociedade
Uma “rede” é definida como “um sistema composto por computadores, outros dispositivos de informação e instalações relacionadas, que coleta, armazena, transmite, troca e processa informações de acordo com certas regras e programas (Artigo 76)” e inclui não apenas a Internet, mas também intranets.
A Lei de Cibersegurança da China difere do Regulamento Geral sobre a Proteção de Dados (GDPR) da UE e da Lei de Proteção de Informações Pessoais do Japão, não apenas protegendo as informações de indivíduos e organizações, mas também visando a segurança nacional e a proteção dos interesses públicos da China. A lei estabelece a implementação de proteção de segurança cibernética de acordo com o nível de risco, a adesão ao compliance e a clarificação de direitos e obrigações para as empresas visadas.
Existem outras leis relacionadas à segurança, como a Lei de Segurança de Dados da China.
Artigo relacionado: O que é a Lei de Segurança de Dados da China? Explicação das medidas que as empresas japonesas devem tomar[ja]
Entidades Reguladas pela Lei de Cibersegurança Chinesa
As empresas japonesas tornam-se alvo da Lei de Cibersegurança Chinesa nos seguintes casos:
- Quando há tratamento de informações dentro da China
- Quando há transferência de informações da China para o Japão
Mesmo que a empresa tenha sede no Japão, se enquadra na legislação se cumprir os critérios acima. Além disso, entre os regulados estão os ‘operadores de rede’ e os ‘operadores de infraestruturas críticas de informação’.
Operadores de rede são aqueles que possuem ou gerenciam uma rede, ou que fornecem serviços de rede.
Operadores de infraestruturas críticas de informação são aqueles que gerem instalações cujo dano ou vazamento de dados pode comprometer significativamente a segurança nacional, a vida dos cidadãos ou o interesse público em setores que, se afetados, ameaçariam a segurança do Estado, como energia, transporte, finanças e serviços públicos.
Conteúdo da Lei de Cibersegurança Chinesa
A Lei de Cibersegurança Chinesa estabelece as seguintes obrigações:
- Estabelecimento de níveis de cibersegurança
- Conformidade com os padrões obrigatórios do país
- Exigência de registo com identificação real
- Obrigações para operadores de infraestruturas críticas de informação
- Construção de um sistema de gestão e resposta
A seguir, explicaremos cada um desses detalhes.
Estabelecimento de Níveis de Cibersegurança
Nos termos do artigo 21 da Lei de Cibersegurança Chinesa (Chinese Cybersecurity Law), está estabelecido um “sistema de proteção de níveis” que os operadores de rede devem cumprir, e as empresas ou organizações que possuem redes na China devem obter a certificação de proteção de nível.
O sistema de proteção de níveis é um sistema oficial de avaliação para a gestão de segurança de rede. As áreas abrangidas incluem:
- Infraestrutura de rede
- IoT (Internet das Coisas)
- Sistemas de controlo industrial
- Sites de internet de grande escala e centros de dados
- Plataformas de serviços públicos
No sistema de proteção de níveis, os sistemas de informação são classificados em cinco níveis, com base no alcance do impacto e na escala dos danos quando são danificados.
| Grau de dano sofrido pelo objeto | |||
| Dano geral | Dano grave | Dano particularmente grave | |
| Cidadãos e corporações, etc. | 1º Nível | 2º Nível | 3º Nível |
| Ordem social e interesse público | 2º Nível | 3º Nível | 4º Nível |
| Segurança nacional | 3º Nível | 4º Nível | 5º Nível |
Além disso, as definições de cada nível são as seguintes:
| Nível | Definição |
| 1º Nível | Redes gerais que, se danificadas, prejudicam os direitos e interesses legítimos dos cidadãos, corporações e outras organizações, mas não afetam a segurança nacional, a ordem social ou o interesse público. |
| 2º Nível | Redes gerais que, se danificadas, causam danos significativos aos direitos e interesses legítimos dos cidadãos, corporações e outras organizações, ou prejudicam a ordem social e o interesse público, mas não afetam a segurança nacional. |
| 3º Nível | Redes importantes que, se danificadas, causam danos muito significativos aos direitos e interesses legítimos dos cidadãos, corporações e outras organizações, ou afetam a segurança nacional. |
| 4º Nível | Redes particularmente importantes que, se danificadas, prejudicam gravemente a ordem social e o interesse público, ou causam danos muito importantes à segurança nacional. |
| 5º Nível | Redes extremamente importantes que, se danificadas, causam danos extremamente graves à segurança nacional. |
Para cada classificação, são estabelecidos padrões de segurança da informação que devem ser cumpridos. Geralmente, os operadores de rede estão sujeitos a um nível de 2º Nível ou superior, e os operadores de infraestruturas de informação críticas estão sujeitos a um nível de 3º Nível ou superior.
Para obter um nível, os operadores devem fazer uma autoavaliação e submetê-la às autoridades, mas, no final, é necessário obter a concordância do Ministério da Segurança Pública. Além disso, o sistema de proteção de níveis exige que os níveis de 2º Nível ou superior sejam avaliados por uma instituição de avaliação. É necessário ter cuidado, pois violações do sistema de proteção de níveis podem resultar em multas.
Conformidade com os Padrões Obrigatórios Nacionais
Os serviços fornecidos pelos provedores de produtos e serviços de Internet devem estar em conformidade com os padrões obrigatórios nacionais (Artigo 22). Os provedores não devem instalar programas maliciosos.
Além disso, se descobrirem defeitos, vulnerabilidades ou outros riscos nos seus produtos ou serviços, devem tomar medidas imediatas, notificar os utilizadores e reportar às autoridades competentes.
Em setembro de 2021 (Reiwa 3), entrou em vigor o “Regulamento de Gestão de Vulnerabilidades de Segurança de Produtos de Internet (网络产品安全漏洞管理规定)” destinado aos operadores de redes, pelo que é aconselhável referir-se a este regulamento e tomar as medidas correspondentes.
É exigido o registo com nome real
Ao fornecer serviços de conexão de rede, procedimentos de conexão de rede para telefones fixos e móveis, serviços de partilha de informação e serviços de mensagens instantâneas aos utilizadores, é obrigatório realizar o registo com o nome real dos utilizadores. Se os utilizadores não efetuarem o registo com o seu nome real, não se pode prestar o serviço.
Além disso, os operadores de rede têm o dever de verificar se a informação transmitida pelos utilizadores não viola a lei.
Obrigações dos Operadores de Infraestruturas Críticas de Informação
Os operadores de infraestruturas críticas de informação não só têm de implementar medidas de segurança impostas aos operadores de redes, mas também precisam de adotar as seguintes medidas:
- Realizar backups regulares dos sistemas e bases de dados
- Elaborar planos de resposta a incidentes de segurança
- Avaliações de segurança anuais
- Localização de dados
Localização de dados: processo de armazenamento e processamento de dados dentro das fronteiras do país onde foram gerados
Em setembro de 2021 (Reiwa 3), foi implementada a ‘Japanese Ordinance on the Security Protection of Critical Information Infrastructure Facilities’, que define de forma mais específica a gestão, certificação e obrigações dos operadores de infraestruturas críticas de informação, sendo também essencial a sua consulta.
Construção de um Sistema de Gestão e Resposta
Aos operadores de redes são exigidos os seguintes elementos, conforme o Artigo 21:
- Estabelecimento de um sistema de gestão de segurança e procedimentos operacionais
- Designação de um responsável pela segurança da rede
- Elaboração de um plano de resposta a incidentes de segurança e implementação de medidas técnicas
- Implementação de tecnologia de monitorização da rede e armazenamento de logs (pelo menos durante 6 meses)
- Classificação de dados, backup e encriptação de dados críticos como medidas de proteção
Disposições em caso de violação da Lei de Cibersegurança Japonesa
Se violar os requisitos de segurança exigidos pelo sistema de proteção de níveis, serão emitidas ordens de correção e advertências. Se recusar a ordem ou comprometer a segurança da rede, terá de pagar uma multa de no mínimo 10 mil yuan (aproximadamente 1.300 euros) e no máximo 100 mil yuan (aproximadamente 13.000 euros). Além disso, ao responsável direto será aplicada uma multa de no mínimo 5 mil yuan (aproximadamente 650 euros) e no máximo 50 mil yuan (aproximadamente 6.500 euros).
Da mesma forma, se instalar programas maliciosos ou não tomar medidas contra riscos como defeitos em produtos ou serviços e vulnerabilidades de segurança, serão emitidas ordens de correção e advertências. Se recusar essas ordens, será obrigado a pagar uma multa.
O valor da multa varia conforme o conteúdo da violação, e pode-se correr o risco de ter o site fechado, a licença de operação cancelada ou a suspensão das atividades comerciais. No passado, houve casos em que, devido a violações, foram aplicadas multas punitivas e os responsáveis foram proibidos de trabalhar no mesmo setor pelo resto da vida. Portanto, é essencial adotar medidas de cibersegurança.
Medidas de Cibersegurança que as Empresas Japonesas Devem Tomar
A Lei de Cibersegurança da China é complexa e pode ser difícil saber por onde começar. Aqui explicaremos as medidas que as empresas japonesas devem tomar.
Estabelecer um sistema de colaboração com os departamentos de sistemas de informação e relacionados com a DX
Para cumprir com a Lei de Cibersegurança da China, é necessário construir processos operacionais e estabelecer ou adicionar regulamentos de gestão de informações pessoais. Além disso, para cumprir com o sistema de proteção de classificação, são indispensáveis medidas técnicas para os sistemas da própria empresa.
Em vez de departamentos como jurídico e administração lidarem com isso individualmente, é necessário estabelecer um sistema de colaboração com os departamentos de sistemas de informação e relacionados com a DX.
Determinar a que nível cada sistema detido pela empresa se adequa
Primeiro, determina-se o nível de classificação do sistema da empresa. De acordo com esse nível, cada departamento deve agir em conformidade com a cibersegurança. Os departamentos jurídico, administrativo e de gestão de riscos devem rever e modificar regulamentos e operações para cumprir com a lei, enquanto os departamentos de sistemas de informação e relacionados com a DX devem lidar com as questões técnicas. Aqui, explicaremos cada uma dessas respostas.
Departamentos Jurídico, Administrativo e de Gestão de Riscos
Comparam-se os itens definidos no nível de classificação com a situação de gestão e o sistema de segurança da informação da própria empresa, revisando-se regulamentos e sistemas operacionais. Depois, considera-se como responder e procede-se com o desenvolvimento e a revisão dos sistemas. Se o nível for de segunda classe ou superior, também é necessário notificar as autoridades. Se a empresa for considerada operadora de infraestrutura de informação crítica, será exigida a certificação de proteção de classificação de terceira classe ou superior. Além disso, há muitos outros itens a serem tratados, como cumprir com as regulamentações de localização de dados e fornecer formação regular em segurança da informação e treinamento técnico aos funcionários. Se houver uma possibilidade de ser considerado um operador de infraestrutura de informação crítica, é aconselhável consultar um advogado e estabelecer uma política de resposta.
Recentemente, na China, têm sido implementados vários sistemas relacionados com a segurança. Portanto, o departamento de gestão de riscos precisará lidar com os riscos de acordo com as novas regulamentações.
Departamentos de Sistemas de Informação e Relacionados com a DX
Os departamentos de sistemas de informação e relacionados com a DX precisarão implementar medidas de proteção de segurança adequadas ao nível de classificação. Primeiro, organiza-se as medidas de proteção de segurança dos sistemas existentes da empresa e, se houver deficiências, integra-se sistemas de acordo com a Lei de Cibersegurança.
Além da Lei de Cibersegurança, também é necessário lidar com regulamentações de localização de dados, restrições transfronteiriças e acesso governamental. É essencial entender que dados estão sendo transferidos para fora da China e rever a situação de aquisição e armazenamento de dados da empresa.
De acordo com a Lei de Cibersegurança, não basta apenas revisar os regulamentos, mas também implementar medidas de proteção técnica, o que torna a colaboração entre os departamentos envolvidos indispensável.
Conclusão: Em caso de dúvidas sobre como proceder na sua empresa, consulte um especialista
A Lei de Cibersegurança da China é um sistema criado para a segurança nacional do país. Para cumprir com a Lei de Cibersegurança, não basta apenas revisar as normas pelos departamentos jurídico e administrativo, mas também é necessário implementar medidas de proteção técnica.
Desde a implementação da Lei de Cibersegurança, várias leis relacionadas à conformidade de dados, como as “Normas de Gestão de Vulnerabilidades de Segurança de Produtos de Internet” e o “Método de Revisão de Cibersegurança (um sistema que concretiza o regime de revisão de segurança nacional)”, têm sido estabelecidas uma após a outra. Violações podem resultar em penalidades como multas, fechamento de websites e cancelamento de licenças de operação, portanto, é necessário ter cautela. Se você está operando ou planeja operar um negócio na China, é aconselhável consultar um advogado familiarizado com as leis chinesas.
Apresentação das Medidas do Nosso Escritório
O Monolith Law Office é um escritório de advocacia especializado em TI, Internet e negócios. Temos experiência em lidar com casos em vários países, incluindo China, Estados Unidos e os países da União Europeia. Ao expandir negócios no exterior, muitos riscos legais podem surgir, tornando o suporte de advogados experientes indispensável. O nosso escritório está bem-versed nas leis e regulamentos locais e colabora com escritórios de advocacia em todo o mundo.
Áreas de atuação do Monolith Law Office: Assuntos Internacionais e Negócios no Exterior[ja]
Related Articles
【Entrada em vigor em outubro de Reiwa 6 (2024)】O que são procedimentos de garantia e disposições.
General Corporate
Redução do Ônus da Prova de Danos por Pirataria com a Revisão da Lei de Direitos Autorais Japone.
General Corporate
Quais são os critérios para determinar a violação dos direitos de patente? Explicação através de.
General Corporate
Qual é a relação entre a taxa de participação acionária e os direitos dos acionistas?
General Corporate
O que acontece se carregar vídeos filmados ou gravados secretamente em locais onde a filmagem é .
General Corporate
