Vad är den kinesiska lagen om cybersäkerhet? Förklaring av nyckelpunkter för att följa lagen
Enligt en specialrapport från Teikoku Databank: Undersökning av japanska företags expansion till Kina (2022)[ja], finns det 12 706 japanska företag som har etablerat sig i Kina. Antalet företag som bedriver verksamhet relaterad till Kina är troligen ännu större. I Kina trädde “Kinas lag om cybersäkerhet” i kraft år 2017.
Detta innebär att företag som vill expandera sin verksamhet i Kina måste genomföra ändringar i sina regelverk och tekniska skyddsåtgärder i enlighet med lagen. Det finns dock de som inte är säkra på vad lagen innebär eller hur man ska anpassa sig till den.
I den här artikeln kommer vi att förklara grunderna i Kinas cybersäkerhetslag, vilka som är reglerade av lagen och vilka åtgärder som bör vidtas. Om du driver verksamhet i Kina eller överväger att expandera dit, se till att använda detta som en referens.
Översikt av den kinesiska cybersäkerhetslagen
Den kinesiska cybersäkerhetslagen (网络安全法) är en lag som trädde i kraft i Kina i juni 2017. Lagen syftar till att, enligt artikel 1, säkerställa följande:
- Att garantera nätverkssäkerheten
- Att skydda cyberrymdens suveränitet, nationens säkerhet och allmänhetens intressen
- Att skydda medborgarnas, juridiska personers och andra organisationers legitima rättigheter och intressen
- Att främja utvecklingen av ekonomisk och social informatisering
Med nätverk avses “system som består av datorer, andra informationsenheter och tillhörande utrustning, som samlar in, lagrar, överför, utbyter och bearbetar information enligt vissa regler och program (artikel 76)”, vilket innebär att lagen omfattar inte bara internet utan även intranät.
Den kinesiska cybersäkerhetslagen skiljer sig från EU:s allmänna dataskyddsförordning (GDPR) och den japanska lagen om skydd av personuppgifter genom att den inte bara syftar till att skydda “individers och organisationers information” utan även “skyddet av den kinesiska nationens säkerhet och allmänhetens intressen”. Lagen fastställer krav på att berörda företag ska genomföra cybersäkerhetsklassificeringsskydd, följa efterlevnad och klargöra rättigheter och skyldigheter.
Det finns andra lagar relaterade till säkerhet, såsom den kinesiska dataskyddslagen.
Relaterad artikel: Vad är den kinesiska dataskyddslagen? Förklaring av åtgärder som japanska företag bör vidta[ja]
Regleringens målgrupp enligt den kinesiska cybersäkerhetslagen
Japanska företag blir föremål för den kinesiska cybersäkerhetslagen i följande fall:
- Det finns hantering av information inom Kina
- Information överförs från Kina till Japan
Även om företagets bas är i Japan, blir det föremål för lagen om det uppfyller ovanstående kriterier. Regleringens målgrupp inkluderar “nätverksoperatörer” och “operatörer av kritisk informationsinfrastruktur”.
Med nätverksoperatörer avses ägare och förvaltare av nätverk, samt de som tillhandahåller nätverkstjänster.
Operatörer av kritisk informationsinfrastruktur är de som hanterar anläggningar inom sektorer som, om de skadas, kan hota nationell säkerhet, såsom energi, transport, finans och offentliga tjänster. De inkluderar anläggningar vars skada eller dataintrång kan innebära en betydande risk för nationell säkerhet, medborgarnas liv och allmänhetens intressen.
Innehållet i den kinesiska cybersäkerhetslagen
Den kinesiska cybersäkerhetslagen fastställer följande skyldigheter:
- Upprättande av cybersäkerhetsnivåer
- Anpassning till nationella obligatoriska standarder
- Krav på registrering med riktiga namn
- Skyldigheter för operatörer av kritisk informationsinfrastruktur
- Uppbyggnad av hanterings- och responssystem
Här förklarar vi detaljerna i varje punkt.
Upprättande av cybersäkerhetskategorier
Enligt artikel 21 i den kinesiska lagen om cybersäkerhet (Chinese Cybersecurity Law) finns ett system för skyddskategorier som nätverksoperatörer måste följa. Företag och organisationer som äger nätverk inom Kina måste skaffa certifiering för skyddskategorier.
Skyddskategorierna utgör ett offentligt utvärderingssystem för nätverkssäkerhetsstyrning. Följande områden omfattas av systemet:
- Nätverksinfrastruktur
- IoT
- Industriella kontrollsystem
- Storskaliga internetsidor och datacenter
- Plattformar för offentliga tjänster
I skyddskategorierna klassificeras informationssystemen i fem olika nivåer baserat på omfattningen och storleken på skadan om systemet skulle skadas.
Omfattningen av skada som objektet kan drabbas av | |||
Allmän skada | Allvarlig skada | Särskilt allvarlig skada | |
Medborgare och juridiska personer etc. | Nivå 1 | Nivå 2 | Nivå 3 |
Social ordning & allmänhetens intresse | Nivå 2 | Nivå 3 | Nivå 4 |
Nationell säkerhet | Nivå 3 | Nivå 4 | Nivå 5 |
Definitionerna för varje nivå är som följer:
Nivå | Definition |
Nivå 1 | Ett allmänt nätverk där skada skulle påverka de lagliga rättigheterna och intressena för berörda medborgare, juridiska personer och andra organisationer, men inte nationell säkerhet eller social ordning och allmänhetens intresse. |
Nivå 2 | Ett allmänt nätverk där skada skulle orsaka betydande skada på de lagliga rättigheterna och intressena för berörda medborgare, juridiska personer och andra organisationer, eller skada på social ordning och allmänhetens intresse, men inte på nationell säkerhet. |
Nivå 3 | Ett viktigt nätverk där skada skulle orsaka mycket allvarlig skada på de lagliga rättigheterna och intressena för berörda medborgare, juridiska personer och andra organisationer, eller skada på nationell säkerhet. |
Nivå 4 | Ett särskilt viktigt nätverk där skada skulle orsaka betydande skada på social ordning och allmänhetens intresse, eller mycket allvarlig skada på nationell säkerhet. |
Nivå 5 | Ett extremt viktigt nätverk där skada skulle orsaka extremt allvarlig skada på nationell säkerhet. |
För varje kategori finns det specifika informationsäkerhetsstandarder som måste följas. Det är vanligt att nätverksoperatörer tillämpar nivå 2 eller högre, medan operatörer av kritisk infrastruktur tillämpar nivå 3 eller högre.
För att erhålla en kategori gör operatören en självdeklaration till myndigheterna, men slutligt godkännande krävs från Public Security Bureau. Dessutom kräver skyddskategorierna att nivå 2 och högre måste utvärderas av en utvärderingsinstitution. Det är viktigt att vara uppmärksam eftersom överträdelser av skyddskategorierna kan leda till böter.
Anpassning till nationella obligatoriska standarder
Leverantörer av internetprodukter och tjänster måste se till att deras tjänster överensstämmer med nationella obligatoriska standarder (artikel 22). Leverantörerna får inte installera skadliga program.
Om en leverantör upptäcker brister, sårbarheter eller andra risker i sina produkter eller tjänster, måste de omedelbart vidta åtgärder, informera användarna och rapportera till de relevanta tillsynsmyndigheterna.
I september 2021 (Reiwa 3) trädde “Regler för hantering av säkerhetsbrister i internetprodukter (网络产品安全漏洞管理规定)” i kraft, vilket riktar sig till nätverksoperatörer. Det är därför viktigt att även hänvisa till och följa dessa regler.
Krav på verklig namnregistrering
När man tillhandahåller tjänster som nätverksanslutning, fast telefoni och mobiltelefonanslutningsförfaranden, informationssdelningstjänster och direktmeddelandetjänster till användare, krävs det att användarna registrerar sina verkliga namn. Om en användare inte registrerar sitt verkliga namn, får tjänsten inte tillhandahållas.
Dessutom har nätverksoperatörer en skyldighet att granska om information som användarna sänder inte bryter mot lagar.
Skyldigheter för operatörer av viktiga informationsinfrastrukturer
Operatörer av viktiga informationsinfrastrukturer måste inte bara genomföra säkerhetsåtgärder som krävs av nätverksoperatörer, utan även vidta följande åtgärder:
- Regelbundna säkerhetskopior av system och databaser
- Utveckling av en plan för att hantera säkerhetsincidenter
- Årlig säkerhetsutvärdering
- Datalokalisering
Datalokalisering: Processen att lagra och bearbeta data inom gränserna för det land där datan genererades
I den ‘Japanese Act on the Protection of Important Information Infrastructure Facilities’ (重要情報インフラ施設安全保護条例) som trädde i kraft i september 2021 (Reiwa 3), definieras hantering, certifiering och operatörers skyldigheter för viktiga informationsinfrastrukturer mer specifikt, vilket gör det nödvändigt att även referera till denna lagstiftning.
Uppbyggnad av hanterings- och responssystem
Det som krävs av nätverksoperatörer inkluderar följande (artikel 21).
- Upprättande av säkerhetsstyrningssystem och driftsföreskrifter
- Utnämning av en ansvarig för nätverkssäkerhet
- Utveckling av en responsplan för säkerhetsincidenter och förberedelse av tekniska åtgärder
- Implementering av övervakningsteknik för nätverket och lagring av loggar (minst sex månader)
- Dataklassificering och skyddsåtgärder såsom backup och kryptering av kritiska data
Bestämmelser vid brott mot lagen om cybersäkerhet
Om du bryter mot de säkerhetskrav som ställs av gradskyddssystemet kommer du att få en rättelseorder och en varning. Om du vägrar att följa ordern eller hotar nätverkets säkerhet, måste du betala en böter på mellan 10 000 yuan (cirka 13 000 SEK) och 100 000 yuan (cirka 130 000 SEK). Dessutom kan den person som är direkt ansvarig beläggas med böter på mellan 5 000 yuan (cirka 6 500 SEK) och 50 000 yuan (cirka 65 000 SEK).
Om du installerar skadliga program eller inte vidtar åtgärder mot risker såsom brister i produkter eller tjänster och säkerhetshål, kommer du också att få en rättelseorder och en varning. Om du vägrar att följa dessa kan det leda till bötesstraff.
Beroende på överträdelsens art kan bötesbeloppet variera, och du kan även riskera att få din webbplats stängd, din affärslicens återkallad eller din verksamhet tillfälligt stoppad. Det är viktigt att vara uppmärksam eftersom det i det förflutna har förekommit fall där överträdelser har lett till böter och där ansvariga personer har förbjudits att arbeta inom samma bransch för resten av livet. Det är därför tydligt att åtgärder för cybersäkerhet är avgörande.
Åtgärder som japanska företag bör vidta mot cybersäkerhetslagar
Kinas cybersäkerhetslag är komplex, och det kan vara svårt att veta var man ska börja. Här förklarar vi vilka åtgärder japanska företag bör vidta.
Skapa ett samarbete mellan IT-avdelningen och avdelningar relaterade till digital transformation (DX)
För att följa Kinas cybersäkerhetslag behöver företag utveckla operativa processer och skapa eller uppdatera regler för personuppgiftshantering. Dessutom är tekniska åtgärder för företagets system nödvändiga för att uppfylla kraven i gradskyddssystemet.
Det är inte tillräckligt att juridiska och administrativa avdelningar agerar på egen hand; de behöver även samarbeta med IT-avdelningen och avdelningar relaterade till DX.
Bedöm vilken klassificering företagets system uppfyller
Först bör företaget klassificera sina system. Baserat på denna klassificering måste varje avdelning agera i enlighet med cybersäkerhetskraven. Juridiska, administrativa och riskhanteringsavdelningar behöver se över och eventuellt revidera regler och rutiner, medan IT- och DX-avdelningar behöver hantera de tekniska aspekterna. Här förklarar vi vad som krävs av varje avdelning.
Juridiska, administrativa och riskhanteringsavdelningar
Jämför de krav som ställs i klassificeringen med företagets nuvarande hantering och informationssäkerhetssystem, och överväg att lägga till regler eller se över operativa strukturer. Om klassificeringen är nivå två eller högre, måste företaget även rapportera detta till myndigheterna. Om företaget anses vara en operatör av kritisk infrastruktur och omfattas av nivå tre eller högre, krävs det att man erhåller ett klassificeringscertifikat. Företaget måste också hantera data lokaliseringsregler, regelbunden informationssäkerhetsutbildning och teknisk träning för anställda. Om det finns en möjlighet att företaget anses vara en operatör av kritisk infrastruktur, är det klokt att konsultera med en rådgivande advokat för att fastställa en handlingsplan.
På senare tid har Kina infört flera säkerhetsrelaterade regelverk. Därför måste riskhanteringsavdelningen anpassa sig till nya regleringar och hantera risker därefter.
IT- och DX-relaterade avdelningar
IT- och DX-avdelningarna måste implementera säkerhetsåtgärder som motsvarar systemets klassificering. Börja med att granska de befintliga säkerhetsåtgärderna i företagets system och om nödvändigt, integrera system som uppfyller kraven i cybersäkerhetslagen.
Förutom cybersäkerhetslagen måste företaget även hantera data lokaliseringsregler, gränsöverskridande begränsningar och regeringens tillgång till data. Det är viktigt att förstå vilken data som överförs utanför Kina och att se över företagets datainsamling och lagring.
Enligt cybersäkerhetslagen krävs det mer än bara att uppdatera regler; tekniska skyddsåtgärder är också nödvändiga, vilket gör samarbetet mellan de ansvariga avdelningarna avgörande.
Sammanfattning: Vid problem med företagets åtgärder, rådfråga en specialist
Den kinesiska cybersäkerhetslagen är ett system skapat för att skydda den kinesiska nationens säkerhet. För att följa cybersäkerhetslagen krävs det inte bara att juridiska och administrativa avdelningar reviderar sina regler, utan även att tekniska skyddsåtgärder implementeras.
Efter att cybersäkerhetslagen trädde i kraft har lagar relaterade till datacompliance, såsom “Regler för hantering av säkerhetssårbarheter i internetprodukter” och “Cybersäkerhetsgranskningsmetoder (ett system som konkretiserar det nationella säkerhetsgranskningsregelverket)”, införts en efter en. Det är viktigt att vara uppmärksam eftersom överträdelser kan leda till böter, stängning av webbplatser eller upphävande av affärstillstånd. Om du driver verksamhet i Kina eller planerar att göra det, rekommenderar vi att du konsulterar en advokat som är väl insatt i kinesisk lagstiftning.
Information om åtgärder från vår byrå
Monoliths juristbyrå är en advokatfirma med styrkor inom IT, internet och affärsjuridik. Vi har hanterat ärenden från olika länder runt om i världen, inklusive Kina, USA och EU-länderna. När man expanderar verksamheten internationellt, medföljer ofta många juridiska risker, och därför är stöd från erfarna advokater oumbärligt. Vår byrå har djupgående kunskap om lokala lagar och regleringar och samarbetar med juristbyråer över hela världen.
Monoliths juristbyrås expertisområden: Internationell juridik och utlandsverksamhet[ja]