Русский English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ru/header.php</b> on line <b>89</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Будни 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Что такое китайский закон о безопасности данных? Объясняем меры, которые должны предпринять японские компании

Что такое китайский закон о безопасности данных? Объясняем меры, которые должны предпринять японские компании

General Corporate

Что такое китайский закон о безопасности данных? Объясняем меры, которые должны предпринять японские компании

Китайский закон о безопасности данных (Chinese Data Security Law) – это закон в области данных, который вступил в силу в сентябре 2021 года (в сентябре 2021 года). Он применяется ко всем операциям с данными, проводимым в Китае, поэтому компаниям, ведущим бизнес в Китае или планирующим туда выход, необходимо пересмотреть и, при необходимости, изменить существующие положения и управленческие стратегии. Однако некоторые могут не понимать суть этого закона или испытывать трудности с определением необходимых мер.

В данной статье мы рассмотрим основные аспекты Китайского закона о безопасности данных, ключевые моменты для понимания, возможные санкции и меры, которые следует предпринять в Японии.

Что такое Китайский закон о безопасности данных?

Вопрос

Китайский закон о безопасности данных (Закон о данных безопасности Китайской Народной Республики) — это закон, касающийся безопасности данных в Китае, который вступил в силу в сентябре 2021 года. Он был принят с той же целью, что и Китайский закон о кибербезопасности, введенный в июне 2017 года, — для защиты национальной безопасности.

Китайский закон о кибербезопасности: закон, защищающий безопасность “сети” в Китае

Цели Китайского закона о безопасности данных описаны следующим образом (статья 1):

  • Регулирование деятельности по обработке данных
  • Обеспечение безопасности данных
  • Содействие развитию и использованию данных
  • Защита законных прав и интересов физических и юридических лиц
  • Защита суверенитета, безопасности и развития интересов государства

В то время как Китайский закон о кибербезопасности регулировал электронные данные, Китайский закон о безопасности данных распространяется также на неэлектронные данные, такие как бумажные документы (статья 3). В Китайском законе о безопасности данных устанавливаются положения о классификации данных, о создании системы сертификации безопасности данных, а также о обязанностях по защите безопасности данных.

Ключевые аспекты понимания Закона о данных Китая

Закон о данных Китая содержит множество положений, которые могут быть сложны для понимания. В этой статье мы подробно рассмотрим следующие пять ключевых аспектов Закона о данных.

  • Объекты регулирования
  • Разработка норм классификации и ранжирования данных
  • Управление безопасностью данных
  • Регулирование передачи данных
  • Проверка на соответствие национальной безопасности

Регулируемые объекты

В соответствии с законодательством, регулируется вся обработка данных, проводимая внутри Китая. Даже если обработка данных осуществляется за пределами Китая, она подпадает под регулирование в случаях, когда это может нанести ущерб национальной безопасности Китая, общественным интересам или интересам граждан и организаций.

Термин «данные» относится к записи информации, осуществляемой электронными или иными способами, и важно отметить, что это включает в себя также и бумажные носители. «Обработка данных» включает в себя сбор, хранение, использование, обработку, передачу, предоставление и раскрытие данных, и лица, осуществляющие эти действия, являются «обработчиками данных».

О разработке нормативов классификации и ранжирования данных

Обработчики данных должны обеспечивать безопасность данных на основе системы классификации по уровням защиты. Система классификации по уровням представляет собой официальную систему оценки для управления безопасностью сети, и требуемые меры различаются в зависимости от уровня. Кроме того, данные необходимо классифицировать в зависимости от степени ущерба, который их уничтожение или утечка может причинить национальной безопасности, общественным интересам, а также частным лицам или организациям.

Классификация делится на три категории: «Общие данные», «Важные данные» и «Ключевые данные». Согласно «Положению о безопасности сетевых данных (проект для общественного обсуждения)», важные данные определяются как данные, у которых «в случае их подделки, уничтожения, утечки, незаконного получения или использования существует риск вреда национальной безопасности или общественным интересам». Ключевые данные связаны с национальной безопасностью, жизненно важными функциями национальной экономики, важными аспектами жизни граждан и основными общественными интересами (статья 21).

На момент написания статьи конкретные каталоги важных и ключевых данных еще не были опубликованы, поэтому рекомендуется классифицировать обрабатываемые данные, ориентируясь на примеры важных данных, указанные в «Положении о безопасности сетевых данных (проект для общественного обсуждения)». Также важно следить за каталогами, публикуемыми соответствующими регулирующими органами.

О управлении безопасностью данных

От обработчиков данных требуется выполнение следующих мер:

  • Проведение обучения и тренингов по безопасности данных
  • Выполнение обязательств по защите данных на основе системы классификации защиты
  • Постоянное проведение мониторинга рисков
  • Установление системы управления безопасностью на всех этапах жизненного цикла данных
  • Назначение ответственного лица
  • Технические меры защиты

В основном, это похоже на требования «Системы управления информационной безопасностью (ISMS)», однако необходимо уделять внимание мерам управления, соответствующим классификации данных.

В случае инцидента необходимо немедленно принять меры, а также сообщить о происшествии пользователям и компетентным органам. Кроме того, при обработке важных данных необходимо регулярно проводить оценку рисков и представлять отчеты об оценке рисков соответствующим регулирующим органам.

О регулировании передачи данных

Передача данных регулируется в случае важных данных. Операторы критически важной информационной инфраструктуры, которые получают или создают важные данные в ходе своей деятельности в Китае, должны соблюдать положения Закона о кибербезопасности при их пересечении границы.

Критически важная информационная инфраструктура: объекты, управление которыми может привести к угрозе национальной безопасности в случае ущерба (например, в сферах энергетики, транспорта, финансов, общественных услуг), и которые могут серьезно нарушить национальную безопасность, жизнь граждан и общественные интересы в случае повреждения или утечки данных.

Если обработчик данных не относится к операторам критически важной информационной инфраструктуры, он должен пройти оценку безопасности передачи данных за границу по «Методике оценки безопасности передачи данных за границу» и получить одобрение от властей перед передачей данных.

Согласно «Положению по управлению безопасностью сетевых данных (проект для общественного обсуждения)», даже если передаваемые за границу данные не являются важными, необходимо пройти оценку безопасности и получить одобрение от властей в следующих случаях:

  • Если пересекающие границу данные содержат важные данные;
  • Если операторы критически важной информационной инфраструктуры или обработчики данных, обрабатывающие персональные данные более чем одного миллиона человек, предоставляют персональные данные за границу;

Кроме того, лица, передающие данные за границу, обязаны соблюдать следующие требования:

  • Не предоставлять персональные данные за границу сверх целей, объема, методов, типов и размеров данных, указанных в отчете об оценке воздействия на защиту персональных данных, представленном в сетевой информационный отдел;
  • Не предоставлять персональные данные и важные данные за границу сверх целей, объема, типов и размеров данных, указанных в оценке безопасности, проведенной сетевым информационным отделом;
  • Принимать и обрабатывать жалобы пользователей, связанные с экспортом данных;
  • Хранить записи связанных логов и записи разрешений на экспорт данных в течение не менее трех лет;
  • Нести ответственность в соответствии с законом, если экспорт данных наносит ущерб законным правам и интересам лиц, организаций и общественности;

При передаче данных за границу также необходимо составить отчет о безопасности экспорта данных и сообщить о нем в сетевой информационный отдел соответствующего района.

О государственной проверке безопасности

Необходимо обратить внимание на положение, согласно которому, если китайское правительство считает, что деятельность по обработке данных угрожает национальной безопасности Китая, будет проводиться государственная проверка безопасности. Решение, принятое по итогам государственной проверки безопасности, является окончательным, и его нельзя оспорить путем административной жалобы или судебного иска.

Штрафные санкции Закона о защите данных

В случае нарушения Закона о защите данных могут быть применены такие меры, как предписание об устранении нарушения, предупреждение, штрафы, приостановка деятельности для исправления ситуации, остановка связанных операций и отзыв лицензии на ведение бизнеса.

Например, если не выполняются обязанности, предусмотренные статьями 27, 29 и 30 Китайского закона о защите данных, помимо предписания об устранении нарушения и предупреждения, на прямых ответственных лиц и других лиц, несущих прямую ответственность, может быть наложен штраф от 50 тысяч до 500 тысяч юаней.

Важно отметить, что в случае нарушения Закона о защите данных под санкции могут попасть не только юридические лица, но и прямые ответственные лица, а также другие сотрудники, несущие прямую ответственность. Поскольку наложение штрафных санкций за нарушение может серьезно повлиять на всю организацию, необходимо заранее предпринять меры по соблюдению закона.

Меры, которые должны предпринять японские компании в связи с законом о защите данных

Поскольку китайский закон о защите данных применяется ко всем операциям с данными, проводимым внутри страны, многие японские компании должны будут принять соответствующие меры. В данной статье мы подробно рассмотрим меры, которые японские компании должны предпринять для соответствия закону о защите данных.

Управление данными

Прежде всего, необходимо пересмотреть управление данными. Важно чётко определить, какие данные и каким образом генерируются, накапливаются и удаляются внутри компании, а также понять текущее положение в области обработки данных. Важно также заранее проверить классификацию данных, ситуацию с передачей данных за пределы Китая и текущие меры управления данными с помощью картографирования данных.

Согласно китайскому закону о защите данных, для важных и ключевых данных требуются соответствующие меры защиты. Поэтому может потребоваться пересмотр классификации конфиденциальности информации в соответствии с этими категориями.

Однако на данный момент уровни безопасности для различных категорий данных остаются неясными. В связи с возможным уточнением в будущем, необходимо следить за каталогами, публикуемыми китайскими регулирующими органами. В то же время, рекомендуется заранее настроить уровни безопасности, учитывая классификацию, включая контроль доступа, аутентификацию, безопасность связи и физические меры.

Кроме того, следует пересмотреть политику безопасности и применить политику, соответствующую классификации данных, определённой с помощью картографирования данных.

Проведение оценки рисков и отчётность

Если в результате картографирования данных было установлено, что компания обрабатывает важные данные, необходимо провести оценку рисков, связанных с обработкой данных, и сообщить результаты властям.

Поскольку оценка рисков должна проводиться регулярно, важно установить правила для её постоянного выполнения.

Обучение сотрудников

В Китае постоянно вводятся новые нормы, связанные с безопасностью. Управление данными и оценка рисков не заканчиваются однократным выполнением; поэтому необходимо регулярно проводить пересмотр и улучшение, а также обучать сотрудников для их укрепления в корпоративной культуре.

Поскольку в этом процессе участвуют не только юридические и общие отделы, но и отделы управления рисками, важно сотрудничество между различными подразделениями. Несмотря на то, что в настоящее время закон имеет неясные аспекты, уже были случаи применения санкций за нарушения, поэтому можно сказать, что соответствие закону о защите данных является обязательным.

Особенности трёх основных китайских законов в области кибербезопасности

Термин “трёх основных китайских законов в области кибербезопасности” относится к общему названию трёх законов, принятых в Китае: “Закон о кибербезопасности”, “Закон о защите данных” и “Закон о защите персональных данных”. Закон о кибербезопасности направлен на борьбу с кибератаками, Закон о защите данных — на сохранение данных, а Закон о защите персональных данных — на усиление безопасности персональной информации.

Связанные статьи: Что такое китайский закон о кибербезопасности? Объясняем ключевые моменты соблюдения[ja]

Таким образом, несмотря на различия между этими законами, все они характеризуются тем, что предусматривают административные наказания, гражданско-правовую ответственность и уголовную ответственность за нарушения. Кроме того, нарушения могут касаться не только юридических лиц, но и непосредственно ответственных лиц, которым может быть запрещено заниматься аналогичной деятельностью или их данные могут быть включены в национальный список нарушителей.

Итог: Необходимо внимательно следить за законодательством Китая о данных и оперативно реагировать

Закон о безопасности данных Китая – это закон, применяемый к обработке данных в Китае, который устанавливает правила классификации данных, их защиты по уровням, а также проведения оценки рисков. Вместе с Законом о кибербезопасности были опубликованы различные законы, включая «Закон о защите персональных данных» и «Положение о управлении уязвимостями интернет-продуктов», требующие соответствующего реагирования.

На данный момент, хотя и существуют неясности, такие как отсутствие конкретизации уровней безопасности по категориям, уже были случаи наложения штрафов за нарушения, что подчеркивает необходимость соблюдения законодательства. Важно внимательно следить за регулированием Китая и принимать возможные меры реагирования.

Если вы ведете бизнес в Китае или планируете его в будущем, мы рекомендуем проконсультироваться с юристом, специализирующимся на китайском законодательстве.

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма “Монолит” обладает обширным опытом в области IT, особенно в интернет-праве и юриспруденции. В последние годы глобальный бизнес неуклонно растет, и потребность в профессиональной юридической проверке становится все более актуальной. Наша фирма предоставляет решения, связанные с международными юридическими вопросами, включая работу с законодательством Китая, США, стран Европейского союза и других.Сферы деятельности

юридической фирмы “Монолит”: Международное право и зарубежный бизнес[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

【施行 Рэйва 6 (2024) года в апреле】Объяснение изменений правил уточнения условий труда через уведомление о трудовых условиях

【施行 Рэйва 6 (2024) года в апреле】Объяснение изменений правил уточнения условий труда через уведо.

General Corporate

Что такое служебное авторское право? Объяснение примеров судебных разбирательств и решений, которые стали предметом спора

Что такое служебное авторское право? Объяснение примеров судебных разбирательств и решений, кото.

General Corporate

Что такое методы финансирования акционерного общества? Объяснение, включая все, кроме увеличения капитала путем размещения акций у третьих лиц

Что такое методы финансирования акционерного общества? Объяснение, включая все, кроме увеличения.

General Corporate

Ключевые моменты, которые следует знать перед заключением договора о совместной научно-исследовательской разработке

Ключевые моменты, которые следует знать перед заключением договора о совместной научно-исследова.

General Corporate

Процедуры и особенности покупки и продажи сайтов, а также M&A сайтов

Процедуры и особенности покупки и продажи сайтов, а также M&A сайтов

General Corporate

Что изменилось в Законе о дизайне Японии (Japanese Design Law) после поправок 2019 года (Год Хейсей 31)? Разбор трех конкретных пунктов

Что изменилось в Законе о дизайне Японии (Japanese Design Law) после поправок 2019 года (Год Хей.

General Corporate

недостатки и на что стоит обратить внимание?

недостатки и на что стоит обратить внимание?

General Corporate

Особенности рекламного представления косметики и здоровых продуктов питания

Особенности рекламного представления косметики и здоровых продуктов питания

General Corporate

С октября 2023 года (5-й год эры Рейва) обязательно указание «Рекламы». Объяснение критериев применения регулирования стимулирования продаж

С октября 2023 года (5-й год эры Рейва) обязательно указание «Рекламы». Объяснение критериев при.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet Internet,Legal Support for VTuber IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Recent Articles

Weekly Popular Articles

Вернуться наверх