Explicarea marii revizuiri a „Legii securității rețelelor” din China: Cum ar trebui să răspundă companiile la înăsprirea sancțiunilor și extinderea aplicării extraterritoriale?

Legea privind securitatea rețelelor din Republica Populară Chineză (cunoscută și sub numele de Legea privind securitatea cibernetică, în chineză: 中华人民共和国网络安全法), care reprezintă nucleul reglementărilor de securitate cibernetică din China, a ajuns la un punct de cotitură semnificativ. Pe 28 octombrie 2025, Comitetul Permanent al Congresului Național al Poporului a anunțat modificarea acestei legi, care va intra în vigoare la 1 ianuarie 2026.

Noua lege, care reprezintă prima modificare majoră de la implementarea sa în 2017, nu se limitează doar la revizuirea articolelor. Aceasta include o întărire semnificativă a responsabilităților legale, adaptarea la noile tehnologii precum inteligența artificială (AI) și extinderea aplicării extraterritoriale a legii, aspecte esențiale pentru companiile japoneze care desfășoară afaceri în China.

În acest articol, vom analiza fundalul acestei mari revizuiri a Legii privind securitatea rețelelor, conținutul specific al modificărilor și măsurile practice pe care companiile japoneze trebuie să le adopte.

Contextul Marii Revizuiri a „Legii Securității Rețelelor” (Legea Securității Cibernetice) în Japonia

Legea Securității Rețelelor din China, alături de „Legea Securității Datelor” și „Legea Protecției Informațiilor Personale”, constituie legea de bază care susține guvernanța în domeniul cibernetic, fiind punctul de plecare al așa-numitelor „Trei Legi ale Datelor din China”.

Există două motive principale în spatele acestei revizuiri. Unul dintre ele este necesitatea de a răspunde noilor riscuri apărute odată cu dezvoltarea rapidă a economiei digitale.

Răspândirea rapidă a tehnologiilor de inteligență artificială, inclusiv AI generativă, a scos la iveală probleme precum siguranța algoritmilor, legalitatea datelor de antrenament și normele etice ale AI, care nu au fost suficient anticipate de sistemele legale tradiționale. Era necesară dezvoltarea unui cadru legal pentru gestionarea acestor aspecte.

De asemenea, amenințările precum intruziunile în rețea, atacurile cibernetice și răspândirea informațiilor ilegale au crescut, fiind necesară întărirea responsabilității legale pentru a spori efectul de descurajare.

Un alt motiv este legătura cu strategia națională a Chinei. Sub conceptul de „construire a unei puteri cibernetice” și „viziunea generală a securității naționale” promovată de China, s-a avansat în dezvoltarea unui cadru legal pentru a proteja suveranitatea și securitatea în spațiul cibernetic.

În plus, s-a considerat o problemă faptul că vechea lege avea sancțiuni relativ ușoare și existau diferențe în criteriile de pedeapsă față de Legea Securității Datelor și Legea Protecției Informațiilor Personale, adoptate ulterior. Revizuirea actuală urmărește să întărească colaborarea dintre aceste „Trei Legi ale Datelor” și să sporească uniformitatea și strictețea aplicării legii.

În plus, având în vedere situația internațională recentă, s-a clarificat și extins domeniul de aplicare extraterritorială a legii ca răspuns la atacurile din afara Chinei și la acțiunile care amenință securitatea națională. Astfel, devine posibilă aplicarea de măsuri de sancționare împotriva organizațiilor și persoanelor din afara țării.

Punctele cheie ale revizuirii „Legii privind securitatea rețelelor” în Japonia

Noul act legislativ rezultat din această revizuire nu doar că preia obligațiile substanțiale din vechea lege, dar introduce și câteva modificări și adăugiri importante.

Stabilirea de noi reglementări privind politica de bază și inteligența artificială (AI)

Noua lege stipulează clar că, în activitățile de securitate cibernetică, se va menține conducerea Partidului Comunist Chinez și se va implementa conceptul de „securitate națională totală”.

De asemenea, această revizuire integrează pentru prima dată în mod sistematic politici legate de AI în cadrul legii principale privind securitatea cibernetică. Statul va sprijini cercetarea și dezvoltarea teoriei de bază și a algoritmilor AI, în timp ce va întări monitorizarea riscurilor, supravegherea siguranței și stabilirea normelor etice, cu scopul de a îmbunătăți nivelul de securitate cibernetică prin utilizarea noilor tehnologii.

Întărirea obligațiilor de protecție a siguranței și coordonarea cu legislația privind protecția datelor personale

Operatorii de rețele au obligația de a asigura siguranța rețelelor prin respectarea unui sistem de protecție pe niveluri, care include dezvoltarea unui sistem intern de management, clarificarea responsabilităților și implementarea de măsuri tehnice.

Revizuirea actuală clarifică faptul că, atunci când se gestionează informații personale, este necesar să se respecte nu doar Legea privind securitatea rețelelor, ci și prevederile Codului Civil și ale Legii privind protecția datelor personale.

Astfel, se întărește coerența sistemelor legale relevante și se solicită un răspuns de conformitate mai integrat.

Asigurarea siguranței produselor și serviciilor de rețea

Legea pune un accent deosebit pe asigurarea siguranței lanțului de aprovizionare pentru echipamentele importante și produsele dedicate. Vânzarea sau furnizarea de echipamente importante de rețea care nu au fost supuse certificării de siguranță sau inspecțiilor de siguranță, sau care nu au trecut aceste inspecții, este strict interzisă.

În caz de încălcare, se pot aplica sancțiuni severe, inclusiv oprirea vânzărilor, confiscarea veniturilor ilegale și amenzi substanțiale.

Întărirea semnificativă a responsabilității legale (sancțiuni)

Una dintre cele mai notabile caracteristici ale acestei revizuiri este introducerea unui sistem de sancțiuni graduale în funcție de gravitatea prejudiciului și creșterea generală a nivelului amenzilor.

Amenzi pentru operatorii de rețele

Noul act legislativ permite aplicarea directă a amenzilor pentru încălcarea obligațiilor de protecție a siguranței, simultan cu emiterea unui ordin de corectare (în vechea lege, în unele cazuri, se emitea doar o recomandare de corectare). Dacă se refuză corectarea sau dacă apare un prejudiciu, amenzile variază între 50.000 și 500.000 de yuani (limita superioară a vechii legi era de 100.000 de yuani).

Mai mult, ca parte a noilor reglementări de sancționare agravată introduse prin această revizuire, în cazurile de scurgeri masive de date sau pierderea funcționalității parțiale a infrastructurii critice de informații, amenzile variază între 500.000 și 2.000.000 de yuani, iar în cazurile de pierdere a funcționalității principale a infrastructurii critice de informații, amenzile variază între 2.000.000 și 10.000.000 de yuani.

Amenzi pentru persoane fizice (responsabili direcți)

Responsabilitatea individuală a persoanelor din cadrul companiilor devine mai severă. În funcție de gravitatea prejudiciului, în cazurile de prejudiciu major, persoanele direct responsabile, inclusiv managerii principali și alți responsabili direcți, pot primi amenzi între 50.000 și 200.000 de yuani, iar în cazurile de prejudiciu extrem de grav, amenzile variază între 200.000 și 1.000.000 de yuani. De asemenea, pe lângă „managerii principali”, „alți responsabili direcți” sunt acum clar menționați ca fiind subiecți ai sancțiunilor.

Alte măsuri de sancționare

Pe lângă amenzi, se pot aplica și alte sancțiuni administrative severe, cum ar fi suspendarea temporară a activității, închiderea și reorganizarea afacerii, închiderea site-urilor web sau a aplicațiilor și retragerea licențelor de operare, în funcție de circumstanțe. În cazurile de prejudiciu extrem de grav, aceste măsuri devin obligatorii.

Extinderea domeniului de aplicare extraterritorial

În vechea lege, aplicarea extraterritorială era limitată la activitățile care amenințau infrastructura critică de informații (CII) din China, dar noua lege include acum și activitățile desfășurate de instituții, organizații și persoane străine care amenință securitatea rețelelor din China în general. În cazurile care duc la consecințe grave, autoritățile chineze pot decide aplicarea de măsuri de sancționare, cum ar fi înghețarea activelor.

Adaptarea Companiilor la Modificările Legii Securității Rețelelor în Japonia

Odată cu implementarea noii legi, companiile care desfășoară activități în China trebuie să-și revizuiască fundamental structurile existente și să construiască o guvernanță mai strictă.

Reevaluarea și Consolidarea Sistemului Intern de Management al Securității

Companiile trebuie să verifice dacă rețelele lor sunt protejate la un nivel adecvat conform sistemului de protecție a securității cibernetice.

Clarificarea Responsabilităților

Este esențial să se desemneze clar un responsabil pentru securitatea rețelei și să se integreze atribuțiile și obligațiile acestuia în regulamentele interne. Deoarece noua lege prevede amenzi semnificativ mai mari pentru persoane fizice, educarea și sprijinirea responsabililor în îndeplinirea sarcinilor lor contribuie direct la reducerea riscurilor legale ale companiei.

Implementarea Măsurilor Tehnice

Este necesar să se adopte măsuri tehnice pentru prevenirea virușilor de computer și a atacurilor cibernetice și să se păstreze jurnalele timp de cel puțin șase luni. De asemenea, trebuie verificat dacă clasificarea datelor, backup-ul datelor importante și măsurile de criptare sunt conforme cu cele mai recente standarde tehnologice.

Respectarea Riguroasă a Conformității Lanțului de Aprovizionare

Este necesar să se gestioneze strict dacă echipamentele și produsele de rețea esențiale utilizate sau vândute de companie au trecut de certificările și inspecțiile de siguranță recunoscute de autoritățile chineze.

Verificarea la Achiziție

Companiile care se încadrează ca operatori CII și achiziționează produse sau servicii de rețea care ar putea afecta securitatea națională trebuie să treacă de evaluarea de securitate națională.

Contracte de Confidențialitate

Este obligatoriu să se încheie acorduri cu furnizorii privind siguranța și confidențialitatea, clarificându-se domeniul de responsabilitate.

Stabilirea Sistemului de Răspuns și Raportare a Incidentelor

Este necesar să se elaboreze un plan de acțiune de urgență (manual) pentru cazurile de incidente de securitate și să se efectueze antrenamente periodice. În cazul unui incident, trebuie luate imediat măsuri de remediere și raportarea către autorități trebuie realizată fără întârziere.

Evaluarea Securității la Introducerea Noilor Tehnologii (AI)

În cazul introducerii AI în activități, trebuie evaluată siguranța algoritmilor și conformitatea cu normele etice. Această lege promovează dezvoltarea sănătoasă a AI, dar și întărește monitorizarea riscurilor, astfel că este necesar să se urmărească tendințele viitoare ale reglementărilor de supraveghere și să se acționeze proactiv.

Gestionarea Transferului Transfrontalier de Date

În ceea ce privește furnizarea de date importante sau informații personale în afara țării, este necesar să se efectueze evaluări de siguranță, certificări și să se încheie contracte standard conform Legii Securității Datelor și Legii Protecției Informațiilor Personale. Această lege subliniază colaborarea cu alte legi, iar construirea unui sistem unificat de gestionare a datelor este urgentă.

Concluzie: Consultați un avocat pentru conformarea cu Legea Securității Rețelelor din China

Modificarea recentă a Legii Securității Rețelelor din China simbolizează tranziția guvernanței digitale în China de la “îndrumarea prin recomandări corective” la “aplicarea strictă a legii cu amenzi substanțiale”.

Amenda maximă de 10 milioane de yuani poate avea un impact semnificativ asupra managementului unei companii. Companiile trebuie să înțeleagă cu precizie legislația și să se implice cu atenție în luarea deciziilor de management.

În același timp, este esențial să se clarifice relația cu reglementările subordonate, cum ar fi “Regulamentul de Gestionare a Securității Datelor de Rețea”, care a intrat în vigoare în ianuarie 2025, și să se stabilească un sistem de conformitate stratificat pentru a continua activitatea pe piața chineză.

În abordarea acestor modificări legislative, este important să se utilizeze suportul unui avocat care este familiarizat nu doar cu legislația, ci și cu afacerile IT.

Ghidul Măsurilor Oferite de Firma Noastră

Firma de avocatură Monolith este o firmă cu o experiență vastă atât în domeniul IT, în special internet, cât și în domeniul juridic. În ultimii ani, afacerile globale s-au extins din ce în ce mai mult, iar necesitatea verificărilor legale efectuate de experți a crescut semnificativ. Firma noastră oferă soluții în ceea ce privește dreptul internațional, subliniind importanța conformității cu legislația japoneză.