Română English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ro/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Zilele săptămânii 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Ce este Legea Securității Datelor din China? Explicarea măsurilor pe care companiile japoneze ar trebui să le ia

Ce este Legea Securității Datelor din China? Explicarea măsurilor pe care companiile japoneze ar trebui să le ia

General Corporate

Ce este Legea Securității Datelor din China? Explicarea măsurilor pe care companiile japoneze ar trebui să le ia

Legea securității datelor din China este o lege în domeniul datelor din China, care a fost implementată în septembrie 2021 (Reiwa 3). Aceasta se aplică tuturor procesărilor de date care au loc în interiorul Chinei, astfel încât companiile care își desfășoară activitatea în China sau cele care plănuiesc să intre pe piața chineză în viitor trebuie să revizuiască și să modifice reglementările și politicile de management existente. Cu toate acestea, există persoane care nu înțeleg natura acestei legi sau care sunt îngrijorate cu privire la măsurile pe care ar trebui să le implementeze.

Prin urmare, în acest articol, vom explica aspectele esențiale ale Legii securității datelor din China, punctele cheie de înțeles, sancțiunile aplicabile și măsurile care trebuie luate în Japonia.

Ce este Legea Securității Datelor din China?

Întrebare

Legea Securității Datelor din China (Legea Securității Datelor a Republicii Populare Chineze) este o lege referitoare la securitatea datelor în China, care a intrat în vigoare în septembrie 2021. A fost adoptată pentru a proteja securitatea națională, la fel ca Legea Securității Cibernetice din China, care a fost implementată în iunie 2017.

Legea Securității Cibernetice din China: O lege pentru protejarea securității „rețelelor” din China

Obiectivele Legii Securității Datelor din China sunt descrise după cum urmează (Articolul 1):

    • Reglementarea activităților de manipulare a datelor
    • Asigurarea securității datelor
    • Promovarea dezvoltării și utilizării datelor
    • Protejarea drepturilor și intereselor legitime ale persoanelor și organizațiilor
    • Protecția suveranității naționale, securității și intereselor de dezvoltare

Deși Legea Securității Cibernetice din China reglementa datele electronice, Legea Securității Datelor din China se remarcă prin includerea în sfera sa de reglementare a datelor non-electronice, cum ar fi cele pe suport de hârtie (Articolul 3). Legea Securității Datelor din China stabilește clasificarea datelor, dezvoltarea unui sistem de certificare a securității și obligațiile de protecție a securității datelor.

Aspecte esențiale pentru înțelegerea Legii Securității Datelor din China

Aspecte esențiale

Legea Securității Datelor din China cuprinde diverse reglementări care pot fi dificil de înțeles pentru mulți. În acest articol, vom explica în detaliu următoarele cinci aspecte esențiale ale Legii Securității Datelor.

    • Entitățile reglementate
    • Elaborarea normelor de clasificare și ierarhizare a datelor
    • Gestionarea securității datelor
    • Reglementările privind transferul de date
    • Examinarea securității naționale

Categorii de reglementare

Legea reglementează toate activitățile de „prelucrare a datelor” care au loc în interiorul Chinei. Activitățile de prelucrare a datelor care se desfășoară în afara Chinei sunt, de asemenea, supuse reglementării dacă acestea aduc atingere securității naționale a Chinei, interesului public sau intereselor cetățenilor și organizațiilor.

Termenul „date” se referă la înregistrarea informațiilor prin mijloace electronice sau alte metode, inclusiv în format tipărit, aspect care necesită atenție. „Prelucrarea datelor” include colectarea, stocarea, utilizarea, procesarea, transmiterea, furnizarea și divulgarea datelor, iar persoanele care efectuează aceste acțiuni sunt cunoscute ca „procesatori de date”.

Despre stabilirea normelor de clasificare și ierarhizare a datelor

Procesatorii de date trebuie să asigure securitatea datelor pe baza sistemului de protecție prin clasificare. Acest sistem reprezintă un cadru de evaluare oficial pentru gestionarea securității rețelelor, iar măsurile necesare variază în funcție de clasificare. De asemenea, este necesar să clasificăm datele în funcție de gravitatea daunelor aduse securității naționale, interesului public, persoanelor sau organizațiilor, cauzate de distrugerea sau scurgerea de date.

Clasificarea se împarte în trei categorii: „date generale”, „date importante” și „date esențiale”. Conform „Regulamentului de securitate a datelor în rețea (proiect pentru colectarea de opinii)”, datele importante sunt definite ca datele „care, în cazul alterării, distrugerii, scurgerii, obținerii ilegale sau utilizării ilegale, pot aduce prejudicii securității naționale sau interesului public”. Datele esențiale se referă la datele legate de securitatea națională, linia vitală a economiei naționale, viața importantă a cetățenilor și interesele publice majore (Articolul 21).

La momentul redactării, nu există încă un inventar concret pentru datele importante sau esențiale, așadar este recomandabil să clasificați datele pe care le gestionați folosind ca referință exemplele de date importante menționate în „Regulamentul de securitate a datelor în rețea (proiect pentru colectarea de opinii)”. Este de asemenea important să monitorizați inventarele publicate de departamentele competente.

Despre gestionarea securității datelor

Responsabilitățile unui procesator de date includ următoarele:

    • Implementarea educației și instruirii în securitatea datelor
    • Obligația de protecție a securității datelor bazată pe sistemul de clasificare a gradelor de protecție
    • Monitorizarea continuă a riscurilor
    • Stabilirea unui sistem de gestionare a securității pe întregul ciclu de viață al datelor
    • Desemnarea unui responsabil
    • Măsuri tehnice

În esență, acestea sunt similare cu cerințele unui ‘Sistem de Management al Securității Informației (ISMS)’, dar este necesară atenție specială pentru a implementa măsuri de gestionare adecvate în funcție de clasificarea datelor.

În cazul unui incident, trebuie să se acționeze imediat, să se raporteze utilizatorilor și autorităților competente. De asemenea, atunci când se procesează date importante, este necesar să se efectueze evaluări periodice ale riscurilor și să se prezinte rapoarte de evaluare a riscurilor departamentelor relevante.

Despre reglementarea transferului de date

În ceea ce privește transferul de date, reglementările se aplică în cazul datelor importante. Este stipulat că, atunci când operatorii de infrastructuri critice de informații obțin sau generează date importante în cadrul activităților desfășurate în China, aceștia trebuie să se conformeze prevederilor Legii japoneze a Securității Cibernetice atunci când transferă aceste date peste granițe.

Infrastructuri critice de informații: Operatorii de facilități care, în caz de daune, pot amenința securitatea națională a unui domeniu (cum ar fi energie, transport, finanțe, servicii publice etc.) și care, prin deteriorare sau scurgeri de date, pot afecta semnificativ securitatea națională, viața cetățenilor și interesul public.

Dacă procesatorii de date nu sunt operatori de infrastructuri critice de informații, aceștia trebuie să se supună unei evaluări de securitate efectuate de autorități conform “Metodologiei de evaluare a securității transferului de date în străinătate” și să transfere datele numai după ce au trecut această evaluare.

Conform “Regulamentului de administrare a securității datelor în rețea (proiect pentru consultare publică)”, chiar și în cazul transferului de date care nu sunt considerate importante în străinătate, este necesar să se treacă evaluarea de securitate a autorităților în următoarele situații:

    • Când datele transfrontaliere includ date importante
    • Când operatorii de infrastructuri critice de informații sau procesatorii de date care gestionează informațiile personale a peste un milion de persoane oferă informații personale în străinătate

De asemenea, sunt enumerate următoarele obligații pentru cei care transferă date în străinătate:

    • Să nu furnizeze informații personale în străinătate care depășesc scopul, domeniul, metoda, tipul și dimensiunea datelor specificate în raportul de evaluare a impactului asupra protecției datelor personale prezentat departamentului de informații de rețea
    • Să nu furnizeze informații personale și date importante peste hotare care depășesc scopul, domeniul, tipul și dimensiunea datelor specificate în evaluarea de securitate a departamentului de informații de rețea
    • Să accepte și să proceseze reclamațiile utilizatorilor legate de exportul de date
    • Să păstreze înregistrările legate de loguri și înregistrările de autorizare a exportului de date pentru cel puțin trei ani
    • Să își asume responsabilitatea conform legii în cazul în care exportul de date afectează drepturile și interesele legitime ale persoanelor, organizațiilor și interesul public

Când se transferă date în străinătate, există și obligația de a elabora un raport de securitate a exportului de date și de a-l raporta departamentului de informații de rețea al districtului.

Despre examinarea securității naționale

Este necesar să se acorde atenție faptului că, dacă guvernul chinez consideră că activitățile de procesare a datelor prejudiciază securitatea națională a Chinei, se va efectua o examinare a securității naționale. Rezultatele examinării securității naționale sunt definitive, astfel încât nu este posibil să se conteste decizia prin proceduri administrative de contestare sau prin litigii.

Sancțiunile prevăzute de legea securității datelor

Bărbat care avertizează

În cazul încălcării legii securității datelor, se pot aplica măsuri precum ordine de corectare și avertismente, amenzi, suspendarea activităților pentru corectare, oprirea activităților conexe și anularea licenței de funcționare a afacerii.

De exemplu, dacă nu se respectă obligațiile stabilite în articolele 27, 29 și 30 ale Legii Securității Datelor din China, se pot emite ordine de corectare și avertismente, iar persoanele direct responsabile și alte persoane cu responsabilitate directă pot fi supuse unor amenzi cuprinse între 50.000 și 500.000 de yuani.

Este important de reținut că, în cazul încălcării legii securității datelor, nu doar persoana juridică, ci și persoanele direct responsabile și alte cadre cu responsabilitate directă pot fi sancționate. Având în vedere că sancțiunile pot avea un impact semnificativ asupra întregii organizații, este esențial să se ia măsuri preventive în conformitate cu legea.

Măsuri pe care companiile japoneze trebuie să le ia în conformitate cu legea securității datelor

Bărbat care ghidează

Legea securității datelor se aplică tuturor proceselor de date care au loc în China, astfel că multe companii japoneze trebuie să se conformeze. În continuare, vom explica în detaliu măsurile pe care companiile japoneze trebuie să le ia în conformitate cu legea securității datelor.

Gestionarea datelor

În primul rând, vom revizui gestionarea datelor. Este esențial să clarificăm ce tipuri de date sunt generate, acumulate și șterse în cadrul companiei și să înțelegem situația actuală a manipulării datelor. Prin maparea datelor, este important să verificăm în prealabil clasificarea datelor, situația transferului de date în afara Chinei și măsurile actuale de gestionare a datelor, astfel încât să putem răspunde adecvat pentru fiecare categorie de date.

Conform legii securității datelor din China, sunt necesare măsuri de protecție specifice pentru datele importante și datele nucleare. Prin urmare, va fi necesar să redefinim clasificarea confidențialității informațiilor în funcție de categorii.

Totuși, la acest moment, nivelurile de securitate pentru diferitele categorii sunt încă neclare. Deoarece acestea ar putea fi clarificate în viitor, este esențial să monitorizăm cataloagele publicate de autoritățile de jurisdicție din China. În același timp, este prudent să stabilim niveluri de securitate care să ia în considerare clasificarea, inclusiv controlul accesului, autentificarea, securitatea comunicațiilor și măsurile fizice.

De asemenea, vom revizui politica de securitate și vom aplica politici adecvate categoriilor de date clasificate prin maparea datelor.

Evaluarea și raportarea riscurilor

Dacă, prin maparea datelor, se constată că datele gestionate de companie includ date importante, se va efectua o evaluare a riscurilor asociate procesării datelor. De asemenea, rezultatele trebuie raportate autorităților.

Evaluarea riscurilor trebuie efectuată periodic, deci este crucial să stabilim reguli pentru a o putea efectua constant.

Educația angajaților

În China, sunt implementate pe rând diverse reglementări legate de securitate. În plus, gestionarea datelor și evaluarea riscurilor nu se termină după o singură realizare. Prin urmare, este necesară educația angajaților pentru a revizui și îmbunătăți periodic procesele, astfel încât acestea să devină parte integrantă a culturii corporative.

Deoarece nu doar departamentele juridice și administrative sunt implicate, ci și cele de gestionare a riscurilor, colaborarea între departamente este esențială. Deși legea are încă aspecte neclare, există cazuri în care s-au aplicat sancțiuni pentru încălcări, așadar conformitatea cu legea securității datelor este indispensabilă.

Caracteristicile celor trei legi chinezești privind cibernetica

Cele trei legi chinezești privind cibernetica se referă la denumirea colectivă a “Legii securității cibernetice”, “Legii securității datelor” și “Legii protecției informațiilor personale” implementate de China. Legea securității cibernetice vizează măsurile împotriva atacurilor cibernetice, Legea securității datelor se concentrează pe conservarea datelor, iar Legea protecției informațiilor personale are ca scop întărirea securității informațiilor personale.

Articolul asociat: Ce este Legea securității cibernetice a Chinei? Explicarea punctelor cheie pentru conformitate[ja]

Astfel, deși fiecare are diferențele sale, un aspect comun este că toate prevăd sancțiuni administrative, despăgubiri civile pentru daune și responsabilitate penală pentru încălcări. În plus, subiecții încălcării nu sunt doar persoanele juridice, ci și responsabilii direcți, care pot fi interziși să participe la aceleași activități comerciale sau pot fi inclusi în informațiile despre infractori ale țării, existând riscul de a fi publicați.

Rezumat: Răspuns rapid și atent la reglementările chineze privind datele

Legea Securității Datelor din China este o lege aplicabilă procesării datelor în China și stabilește clasificarea și protecția gradelor de date, evaluarea riscurilor și alte aspecte. În plus față de Legea Securității Cibernetice, au fost publicate diverse legi, cum ar fi “Legea Protecției Informațiilor Personale” și “Regulamentul privind gestionarea vulnerabilităților de securitate a produselor de internet”, iar conformitatea cu acestea este esențială.

Deși în prezent există aspecte neclare, cum ar fi lipsa concretizării nivelurilor de securitate pe categorii, cazuri de amenzi pentru încălcări arată că este indispensabil să se răspundă la aceste legi. Este crucial să monitorizăm reglementările legale din China și să implementăm măsurile posibile în acest moment.

Dacă desfășurați sau intenționați să desfășurați afaceri în China, vă recomandăm să consultați un avocat familiarizat cu legislația chineză.

Ghidul măsurilor oferite de firma noastră

Firma de avocatură Monolith este specializată în IT, având o experiență bogată în domeniul internetului și al legii. În ultimii ani, afacerile globale s-au extins semnificativ, iar necesitatea verificărilor legale efectuate de experți este în creștere. Firma noastră oferă soluții pentru problemele legale internaționale, inclusiv în China, Statele Unite și țările Uniunii Europene.

Domeniile de expertiză ale firmei de avocatură Monolith: Afaceri internaționale și drept internațional[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Problemele legale de care trebuie să ții cont la crearea unui White Paper pentru ICO

Problemele legale de care trebuie să ții cont la crearea unui White Paper pentru ICO

General Corporate

Este afacerea de rețea ilegală? Explicăm problemele legale ale 'Comerțului Multi-Level' și 'Schemei Piramidale'

Este afacerea de rețea ilegală? Explicăm problemele legale ale 'Comerțului Multi-Level' și 'Sche.

General Corporate

Decizia intermediară în cazul Mario Kart și încălcarea drepturilor de proprietate intelectuală

Decizia intermediară în cazul Mario Kart și încălcarea drepturilor de proprietate intelectuală

General Corporate

Ce clauze ar trebui incluse în contractul de întreținere a sistemului? Explicăm punctele de care trebuie să ții cont

Ce clauze ar trebui incluse în contractul de întreținere a sistemului? Explicăm punctele de care.

General Corporate

【通達ul Ministerului Sănătății, Muncii și Protecției Sociale din iunie a anului Reiwa 6 (2024)】Aplicarea Legii Medicale Japoneze pentru procedurile HIFU în saloanele de estetică și alte facilități similare

【通達ul Ministerului Sănătății, Muncii și Protecției Sociale din iunie a anului Reiwa 6 (2024)】Apl.

General Corporate

Este permisă neplata integrală a indemnizației de concediere în cazul concedierii disciplinare? Explicarea hotărârii Curții Supreme din 2023 (Reiwa 5)

Este permisă neplata integrală a indemnizației de concediere în cazul concedierii disciplinare? .

General Corporate

Ce este dreptul internațional necesar pentru expansiunea în străinătate? Explicații despre competențele și conținutul muncii necesare

Ce este dreptul internațional necesar pentru expansiunea în străinătate? Explicații despre compe.

General Corporate

Care sunt punctele cheie la crearea unei politici de confidențialitate, luând în considerare Legea Japoneză de Protecție a Informațiilor Personale?

Care sunt punctele cheie la crearea unei politici de confidențialitate, luând în considerare Leg.

General Corporate

Transferul și schimbul de puncte proprii și Legea japoneză a plăților de fonduri privind transferul de fonduri

Transferul și schimbul de puncte proprii și Legea japoneză a plăților de fonduri privind transfe.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

?napoi la ?nceput