Português English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_pt/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Dias da semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > O que é a Lei de Segurança de Dados Chinesa? Explicação das medidas que as empresas japonesas devem tomar

O que é a Lei de Segurança de Dados Chinesa? Explicação das medidas que as empresas japonesas devem tomar

General Corporate

O que é a Lei de Segurança de Dados Chinesa? Explicação das medidas que as empresas japonesas devem tomar

A Lei de Segurança de Dados da China é uma legislação no campo de dados da China, que entrou em vigor em setembro de 2021 (Reiwa 3). Aplica-se a todo o processamento de dados realizado dentro da China, o que significa que as empresas que operam ou planeiam entrar no mercado chinês precisarão rever e possivelmente alterar as suas políticas e práticas existentes. No entanto, pode haver quem ainda não compreenda bem esta lei ou que esteja incerto sobre as medidas a implementar.

Assim, este artigo irá explicar os pontos essenciais da Lei de Segurança de Dados da China, os aspetos a entender, as penalidades envolvidas e as medidas a serem tomadas no Japão.

O que é a Lei de Segurança de Dados da China?

Questão

A Lei de Segurança de Dados da China (Lei de Segurança de Dados da República Popular da China) é uma lei relacionada à segurança de dados na China, que entrou em vigor em setembro de 2021. Foi promulgada com o mesmo propósito da Lei de Cibersegurança da China, que entrou em vigor em junho de 2017, para proteger a segurança nacional.

Lei de Cibersegurança da China: Lei para proteger a segurança das “redes” na China

Os objetivos da Lei de Segurança de Dados da China são descritos da seguinte forma (Artigo 1):

  • Regulação das atividades de tratamento de dados
  • Garantia da segurança dos dados
  • Promoção do desenvolvimento e utilização dos dados
  • Proteção dos direitos e interesses legítimos de indivíduos e organizações
  • Proteção da soberania, segurança e interesses de desenvolvimento do país

Enquanto a Lei de Cibersegurança da China regulamentava os dados eletrónicos, a Lei de Segurança de Dados da China caracteriza-se por abranger também dados não eletrónicos, como os em papel (Artigo 3). A Lei de Segurança de Dados da China estabelece a classificação dos dados, a criação de um sistema de certificação de segurança e as obrigações de proteção da segurança dos dados.

Pontos-chave para entender a Lei de Segurança de Dados da China

Pontos-chave

A Lei de Segurança de Dados da China contém várias disposições e pode ser complexa de compreender. Aqui, explicaremos detalhadamente os seguintes cinco pontos-chave sobre o conteúdo da Lei de Segurança de Dados.

  • Âmbito da regulamentação
  • Estabelecimento de normas para classificação e graduação de dados
  • Gestão de segurança de dados
  • Regulamentação da transferência de dados
  • Revisão de segurança nacional

Âmbito de Regulação

A legislação regula todos os ‘processamentos de dados’ realizados dentro da China. Mesmo quando as atividades de processamento de dados ocorrem fora da China, elas estão sujeitas à regulamentação se causarem danos à segurança nacional, ao interesse público ou aos interesses de cidadãos e organizações chinesas.

O termo ‘dados’ refere-se ao registo de informações por meios eletrónicos ou outros, e é importante notar que isso inclui também informações em papel. ‘Processamento de dados’ abrange a coleta, armazenamento, uso, processamento, transmissão, fornecimento e divulgação de dados. Aqueles que realizam essas ações são considerados ‘processadores de dados’.

Sobre a Criação de Normas de Classificação e Graduação de Dados

Os processadores de dados devem assegurar a segurança dos dados com base no sistema de proteção por graduação. Este sistema é uma avaliação oficial do regime de gestão de segurança de rede, e as medidas a serem tomadas variam conforme a graduação. Além disso, é necessário classificar os dados de acordo com o grau de dano que a sua destruição ou fuga pode causar à segurança nacional, ao interesse público ou a indivíduos e organizações.

A classificação divide-se em três categorias: “dados gerais”, “dados importantes” e “dados centrais”. Segundo o “Regulamento de Segurança de Dados de Rede (rascunho para consulta pública)” japonês, dados importantes são definidos como aqueles cuja alteração, destruição, fuga, aquisição ilegal ou uso ilegal pode prejudicar a segurança nacional ou o interesse público. Dados centrais referem-se a dados relacionados com a segurança nacional, a linha de vida da economia nacional, a vida importante dos cidadãos e os principais interesses públicos (Artigo 21).

No momento da redação, como ainda não foram publicados inventários específicos para dados importantes ou centrais, é aconselhável classificar os dados que estão sendo tratados com base nos exemplos de dados importantes mencionados no “Regulamento de Segurança de Dados de Rede (rascunho para consulta pública)” japonês. É igualmente importante monitorizar continuamente os inventários publicados pelos departamentos responsáveis.

Sobre a Gestão de Segurança de Dados

As responsabilidades exigidas de um processador de dados incluem as seguintes:

  • Implementação de educação e treinamento em segurança de dados
  • Obrigações de proteção de segurança de dados com base no sistema de proteção de classificação
  • Monitorização contínua de riscos
  • Estabelecimento de um sistema de gestão de segurança em todo o ciclo de vida dos dados
  • Nomeação de um responsável
  • Medidas técnicas

Embora seja basicamente semelhante aos requisitos de um “Sistema de Gestão de Segurança da Informação (ISMS)”, é necessário prestar atenção às medidas de gestão que devem ser tomadas de acordo com a classificação dos dados.

Em caso de incidente, medidas devem ser tomadas imediatamente, e tanto os utilizadores como as autoridades devem ser informados. Além disso, ao processar dados importantes, é necessário realizar avaliações de risco regularmente e submeter relatórios de avaliação de risco aos departamentos jurisdicionais relevantes.

Sobre a Regulação da Transferência de Dados

Quanto à transferência de dados, existem regulações aplicáveis em casos de dados importantes. Está estipulado que, quando operadores de infraestruturas críticas de informação na China transferem dados importantes adquiridos ou gerados em atividades domésticas para além-fronteiras, as disposições da Lei de Cibersegurança Japonesa são aplicáveis.

Infraestruturas críticas de informação: Operadores de instalações que, em caso de dano, podem ameaçar a segurança nacional em áreas como energia, transporte, finanças e serviços públicos, e cuja destruição ou vazamento de dados pode prejudicar significativamente a segurança nacional, a vida da população e o interesse público.

Para processadores de dados que não sejam operadores de infraestruturas críticas de informação, é necessário seguir o “Método de Avaliação de Segurança para a Transferência de Dados para o Exterior” e passar por uma avaliação de segurança pelas autoridades competentes antes de proceder à transferência.

De acordo com o “Regulamento de Gestão de Segurança de Dados em Rede (versão de consulta pública)”, mesmo para a transferência de dados que não sejam considerados importantes para o exterior, é necessário passar por uma avaliação de segurança das autoridades e ser aprovado nos seguintes casos:

  • Quando os dados transfronteiriços incluem dados importantes;
  • Quando operadores de infraestruturas críticas de informação ou processadores de dados que lidam com informações pessoais de mais de um milhão de pessoas fornecem informações pessoais para o exterior;

Além disso, as seguintes obrigações são impostas aos que transferem dados para o exterior:

  • Não fornecer informações pessoais para o exterior além do propósito, escopo, método, tipo e tamanho dos dados especificados no relatório de avaliação de impacto na proteção de informações pessoais submetido ao departamento de informações de rede;
  • Não fornecer informações pessoais e dados importantes para o exterior além do propósito, escopo, tipo e tamanho dos dados especificados na avaliação de segurança do departamento de informações de rede;
  • Aceitar e processar queixas dos usuários relacionadas à exportação de dados;
  • Manter os registros de logs relacionados e os registros de autorização de exportação de dados por mais de três anos;
  • Se a exportação de dados causar danos aos direitos e interesses legítimos de indivíduos, organizações ou do interesse público, o processador de dados será responsável de acordo com a lei;

Quando se transfere dados para o exterior, também há a obrigação de elaborar um relatório de segurança da exportação de dados e reportá-lo ao departamento de informações de rede do distrito.

Sobre a Avaliação de Segurança Nacional

É importante estar atento ao facto de que, se o governo chinês considerar que as atividades de processamento de dados prejudicam a segurança nacional da China, será realizada uma avaliação de segurança nacional. O resultado desta avaliação é definitivo, o que significa que não é possível contestá-lo através de recursos administrativos ou ações judiciais.

Sanções da Lei de Segurança de Dados

Homem a advertir

Em caso de violação da Lei de Segurança de Dados, podem ser aplicadas medidas como ordens de correção e advertências, multas, suspensão de atividades para correção, suspensão de operações relacionadas e revogação de licenças comerciais.

Por exemplo, o não cumprimento das obrigações estabelecidas nos artigos 27, 29 e 30 da Lei de Segurança de Dados Chinesa pode resultar em ordens de correção e advertências, além de multas que variam entre 50.000 e 500.000 yuanes para os responsáveis diretos e outros responsáveis diretos.

É importante notar que, em caso de violação da Lei de Segurança de Dados, não apenas a pessoa jurídica, mas também os responsáveis diretos e outros funcionários com responsabilidade direta podem ser sujeitos a sanções. As penalidades resultantes de infrações podem ter um impacto significativo em toda a organização, portanto, é essencial adotar medidas preventivas em relação à lei.

Medidas que as Empresas Japonesas Devem Tomar em Relação à Lei de Segurança de Dados

Homem a orientar

A Lei de Segurança de Dados aplica-se a todo o processamento de dados realizado dentro da China, o que significa que muitas empresas japonesas precisam de se adaptar a ela. Aqui, explicaremos detalhadamente as medidas que as empresas japonesas devem tomar em relação à Lei de Segurança de Dados.

Gestão de Dados

Primeiro, vamos rever a gestão de dados. É importante esclarecer que tipo de dados são gerados, acumulados e eliminados dentro da própria empresa e compreender a situação atual do manuseamento de dados. É também crucial verificar antecipadamente, através do mapeamento de dados, a classificação dos dados, a situação de transferência para fora da China e as medidas de gestão de dados atuais, para que se possa responder adequadamente a cada tipo de dado.

Segundo a Lei de Segurança de Dados da China, são exigidas medidas de proteção específicas para dados importantes e dados centrais. Portanto, pode ser necessário redefinir a classificação de confidencialidade das informações de acordo com a classificação.

No entanto, atualmente, os níveis de segurança para cada classificação ainda são um pouco obscuros. Como é possível que sejam concretizados no futuro, é essencial monitorizar os catálogos publicados pelas autoridades chinesas. Ao mesmo tempo, é prudente estabelecer níveis de segurança considerando as classificações, incluindo controle de acesso, autenticação, segurança de comunicação e medidas físicas.

Além disso, deve-se revisar a política de segurança e aplicar políticas que correspondam às classificações de dados identificadas pelo mapeamento de dados.

Realização e Relatório de Avaliação de Risco

Se, através do mapeamento de dados, for determinado que a empresa lida com dados importantes, deve-se realizar uma avaliação de risco do processamento de dados. Além disso, os resultados devem ser reportados às autoridades competentes.

Como a avaliação de risco deve ser realizada regularmente, é importante instituir regras para que possa ser executada de forma contínua.

Educação dos Empregados

Na China, estão sendo implementados vários sistemas relacionados à segurança. Além disso, a gestão de dados e a avaliação de risco não são processos que se concluem após uma única execução. Portanto, é necessário educar os funcionários para que revisões e melhorias sejam feitas regularmente e para que as práticas sejam solidamente estabelecidas dentro da empresa.

Não apenas os departamentos jurídico e administrativo, mas também os departamentos de gestão de risco e outros devem estar envolvidos, tornando a colaboração entre os departamentos crucial. Embora a lei ainda tenha aspectos não esclarecidos, já houve casos de aplicação de penalidades por violações, o que torna a conformidade com a Lei de Segurança de Dados essencial.

Características das Três Leis Cibernéticas Chinesas

As Três Leis Cibernéticas Chinesas referem-se ao conjunto de leis implementadas pela China, que incluem a ‘Lei de Cibersegurança’, a ‘Lei de Segurança de Dados’ e a ‘Lei de Proteção de Informações Pessoais’. A Lei de Cibersegurança visa a proteção contra ataques cibernéticos, a Lei de Segurança de Dados foca na preservação de dados e a Lei de Proteção de Informações Pessoais tem como objetivo o reforço da segurança das informações pessoais.

Artigo relacionado: O que é a Lei de Cibersegurança Chinesa? Explicação dos pontos chave para a conformidade[ja]

Assim, apesar de cada uma ter as suas diferenças, todas elas caracterizam-se por estabelecer sanções administrativas, compensações por danos civis e responsabilidade criminal em caso de violação. Além disso, as violações aplicam-se não só às entidades jurídicas, mas também aos responsáveis diretos, que podem ser proibidos de exercer as mesmas funções ou até serem incluídos na lista de infratores do país.

Conclusão: Acompanhar e responder prontamente à regulamentação de dados na China

A Lei de Segurança de Dados da China é uma legislação aplicável ao processamento de dados no país, estabelecendo normas para a classificação e proteção de dados, bem como para a avaliação de riscos. Além desta, foram publicadas várias outras leis, incluindo a Lei de Cibersegurança, a Lei de Proteção de Informações Pessoais e as Regras de Gestão de Vulnerabilidades de Segurança de Produtos de Internet, exigindo uma resposta adequada a todas elas.

Embora ainda existam aspectos pouco claros, como a falta de especificação dos níveis de segurança por categoria, já houve casos de aplicação de multas por infrações, o que sublinha a importância de uma resposta adequada à legislação. É crucial manter uma vigilância sobre a regulamentação chinesa e adotar as medidas possíveis de imediato.

Se está a desenvolver negócios na China ou planeia fazê-lo no futuro, recomendamos que consulte um advogado especializado na legislação chinesa.

Apresentação das Medidas da Nossa Firma

A Monolith Law Office é uma sociedade de advogados com vasta experiência em IT, especialmente na intersecção entre a Internet e o Direito. Nos últimos anos, o negócio global tem-se expandido cada vez mais, e a necessidade de verificações legais por especialistas tem aumentado. A nossa firma oferece soluções em assuntos legais internacionais, incluindo a China, os Estados Unidos e os países da União Europeia.

Áreas de atuação da Monolith Law Office: Assuntos Legais Internacionais e Negócios no Estrangeiro[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

O que é o direito de design, um dos direitos de propriedade intelectual?

O que é o direito de design, um dos direitos de propriedade intelectual?

General Corporate

Explicação detalhada sobre por que o 'Kompu Gacha' é ilegal e a sua relação com a 'Lei Japonesa de Exibição de Prêmios'

Explicação detalhada sobre por que o 'Kompu Gacha' é ilegal e a sua relação com a 'Lei Japonesa .

General Corporate

Cinco pontos a verificar para estabelecer um contrato de consultoria adequado para M&A

Cinco pontos a verificar para estabelecer um contrato de consultoria adequado para M&A

General Corporate

Pontos a verificar legalmente ao iniciar um serviço de pontos exclusivo

Pontos a verificar legalmente ao iniciar um serviço de pontos exclusivo

General Corporate

O que é a cláusula de compra de ações em contratos de investimento

O que é a cláusula de compra de ações em contratos de investimento

General Corporate

Explicação sobre a cláusula de direito de solicitação de conversão em contratos de investimento de startups

Explicação sobre a cláusula de direito de solicitação de conversão em contratos de investimento .

General Corporate

A necessidade de celebrar um contrato de investimento na rodada inicialA necessidade de celebrar um contrato de investimento na rodada inicial

A necessidade de celebrar um contrato de investimento na rodada inicialA necessidade de celebrar.

General Corporate

Medidas Necessárias para Regulamentos de Trabalho Secundário: Explicando Pontos a Considerar na Criação de Regras de Trabalho

Medidas Necessárias para Regulamentos de Trabalho Secundário: Explicando Pontos a Considerar na .

General Corporate

O que é o tempo médio necessário para os serviços jurídicos de advogados com cobrança por hora, como a criação de contratos

O que é o tempo médio necessário para os serviços jurídicos de advogados com cobrança por hora, .

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retornar ao topo