Vad är den kinesiska dataskyddslagen? Förklaring av åtgärder som japanska företag bör vidta
Den kinesiska dataskyddslagen (中国データセキュリティ法) är en lag inom dataområdet i Kina som trädde i kraft i september 2021 (2021年9月). Lagen är tillämplig på all databehandling som sker inom Kinas gränser, vilket innebär att företag som bedriver verksamhet i Kina eller planerar att etablera sig där måste se över och eventuellt revidera sina befintliga regler och hanteringspolicyer. Det finns dock de som inte fullt ut förstår lagen eller som kämpar med att identifiera vilka åtgärder som bör vidtas.
I denna artikel kommer vi att förklara den kinesiska dataskyddslagens grunddrag, viktiga punkter att förstå, påföljder samt åtgärder som bör vidtas i Japan.
Vad är den kinesiska dataskyddslagen?
Den kinesiska dataskyddslagen (中华人民共和国数据安全法) är en lag som trädde i kraft i september 2021 och reglerar dataskyddet i Kina. Den infördes i syfte att skydda nationell säkerhet, likt den kinesiska cybersäkerhetslagen som trädde i kraft i juni 2017.
Kinesiska cybersäkerhetslagen: En lag för att skydda säkerheten i Kinas “nätverk”.
Syftet med den kinesiska dataskyddslagen anges som följer (Artikel 1):
- Reglering av datahanteringsaktiviteter
- Säkerställande av dataskydd
- Främjande av utveckling och användning av data
- Skydd av individers och organisationers legitima rättigheter och intressen
- Bevarande av nationell suveränitet, säkerhet och utvecklingsintressen
Medan den kinesiska cybersäkerhetslagen reglerade elektroniska data, omfattar den kinesiska dataskyddslagen även icke-elektroniska data såsom pappersdokument (Artikel 3). Den kinesiska dataskyddslagen fastställer regler för klassificering av data, etablering av ett säkerhetscertifieringssystem och skyldigheter att skydda dataskyddet.
Nyckelpunkter för att förstå den kinesiska dataskyddslagen
Den kinesiska dataskyddslagen innehåller en mängd olika bestämmelser och kan vara svår att helt greppa. Här förklarar vi innehållet i dataskyddslagen genom att detaljerat gå igenom följande fem punkter.
- Regleringens omfattning
- Utvecklingen av normer för dataklassificering och gradering
- Om hantering av datasekretess
- Reglering av dataöverföring
- Om nationell säkerhetsgranskning
Reglerade områden
All “datahantering” som utförs inom Kinas gränser regleras av lag. Även när datahantering sker utanför Kina, om den skadar Kinas nationella säkerhet, allmänhetens intressen eller medborgares och organisationers intressen, blir den föremål för dessa regler.
Med “data” avses information som registreras elektroniskt eller på annat sätt, vilket inkluderar information på papper. “Datahantering” innefattar insamling, lagring, användning, bearbetning, överföring, tillhandahållande och avslöjande av data. Den som utför dessa handlingar betraktas som en “datahanterare”.
Om inrättandet av normer för datorklassificering och gradering
Datahanterare måste säkerställa datasekretess baserat på ett graderingsskyddssystem. Graderingsskyddssystemet är ett offentligt utvärderingssystem för nätverkssäkerhetsstyrning, och de åtgärder som ska vidtas varierar beroende på graderingen. Dessutom måste data klassificeras baserat på den skada som förstörelse eller läckage av data kan orsaka för nationell säkerhet, allmänhetens intresse eller för individer och organisationer.
Klassificeringen delas in i tre kategorier: “allmän data”, “viktig data” och “kärndata”. Enligt “Förordningen om nätverksdatasäkerhet (utkast till samråd)”, definieras viktig data som data där “förfalskning, förstörelse, läckage, olagligt förvärv eller olaglig användning kan skada nationell säkerhet eller allmänhetens intresse”. Kärndata avser data som är relaterade till nationell säkerhet, nationalekonomins livsnerv, viktiga aspekter av medborgarnas liv och större allmänna intressen (artikel 21).
Vid tidpunkten för denna skrivelse finns det inga konkreta förteckningar över viktig data eller kärndata, så det är bra att klassificera de data du hanterar med hjälp av exemplen på viktig data som anges i “Förordningen om nätverksdatasäkerhet (utkast till samråd)”. Det är också viktigt att kontinuerligt övervaka förteckningar som publiceras av ansvariga myndigheter.
Om hantering av datasekretess
Det finns flera åtgärder som förväntas av datahanterare, inklusive:
- Genomförande av utbildning och träning i datasekretess
- Uppfyllande av skyldigheter för datasekretess enligt gradskyddssystemet
- Kontinuerlig genomförande av riskövervakning
- Upprättande av säkerhetsstyrningssystem genom hela datalivscykeln
- Utnämning av en ansvarig person
- Tekniska åtgärder
I grund och botten liknar dessa krav innehållet i ett ‘Information Security Management System (ISMS)’, men det är viktigt att notera att det krävs specifika hanteringsåtgärder anpassade efter klassificeringen av data.
Om en incident inträffar måste åtgärder vidtas omedelbart, och både användare och myndigheter måste informeras. Dessutom, när man hanterar känslig data, är det nödvändigt att regelbundet genomföra riskbedömningar och lämna in riskbedömningsrapporter till de relevanta tillsynsmyndigheterna.
Om regleringen av datatransfer
När det gäller överföring av data, tillämpas regleringar för viktig data. Det anges att bestämmelserna i den japanska Cybersecurity Act (サイバーセキュリティ法) gäller när operatörer av kritisk informationsinfrastruktur överför viktig data som har samlats in eller genererats inom Kina för verksamhet i landet.
Kritisk informationsinfrastruktur: Operatörer som hanterar anläggningar inom sektorer (såsom energi, transport, finans, och offentliga tjänster) där skador eller dataintrång kan utgöra ett hot mot nationell säkerhet, påverka medborgarnas liv och allmänhetens intressen avsevärt.
För datahanterare som inte är operatörer av kritisk informationsinfrastruktur, krävs det enligt “Regulations on the Security Assessment of Cross-Border Transfer of Data” att man genomgår en säkerhetsbedömning av myndigheterna och klarar den innan data får överföras.
Enligt “Draft Regulations on Network Data Security Management (förslag till samråd)”, måste även överföring av icke-viktig data utomlands genomgå en säkerhetsbedömning av myndigheterna och bli godkänd i följande fall:
- När överförd data över gränserna innehåller viktig data
- När operatörer av kritisk informationsinfrastruktur, eller datahanterare som behandlar personuppgifter för mer än en miljon individer, tillhandahåller personuppgifter utomlands
Dessutom finns det skyldigheter för de som överför data utomlands, såsom:
- Att inte tillhandahålla personuppgifter utomlands utöver det som anges i den personuppgiftsskyddsbedömning som lämnats in till nätverksinformationsavdelningen, inklusive syfte, omfattning, metod, datatyp och storlek
- Att inte tillhandahålla personuppgifter och viktig data utomlands utöver det som specificerats i säkerhetsbedömningen från nätverksinformationsavdelningen, inklusive syfte, omfattning, datatyp och storlek
- Att ta emot och hantera klagomål från användare relaterade till dataexport
- Att bevara relevanta loggar och godkännanderekord för dataexport i minst tre år
- Att datahanteraren är ansvarig enligt lag om dataexporten skadar de legitima rättigheterna och intressena hos individer, organisationer eller allmänheten
När data överförs utomlands är det också obligatoriskt att skapa en säkerhetsrapport för dataexport och rapportera detta till nätverksinformationsavdelningen i distriktet.
Om granskning av nationell säkerhet
Det är viktigt att vara medveten om att om den kinesiska regeringen bedömer att datahanteringsaktiviteter skadar den kinesiska nationens säkerhet, kommer en granskning av nationell säkerhet att genomföras. Resultatet av en sådan granskning är slutgiltigt, vilket innebär att det inte går att överklaga genom administrativa besvär eller att väcka talan i domstol.
Straff för brott mot dataskyddslagen
Vid överträdelse av dataskyddslagen kan påföljder såsom rättelseanvisningar och varningar, böter, verksamhetsstopp för att genomföra rättelser, stopp av relaterade affärsverksamheter och återkallande av affärslicenser tillämpas.
Till exempel, om man inte uppfyller de skyldigheter som anges i artiklarna 27, 29 och 30 i den kinesiska dataskyddslagen, kan rättelseanvisningar och varningar utfärdas, och böter på mellan 50 000 och 500 000 yuan kan påföras direkt ansvariga personer och andra direkt ansvariga.
Det är viktigt att notera att vid överträdelse av dataskyddslagen är det inte bara juridiska personer som kan bli föremål för sanktioner, utan även direkt ansvariga personer och andra anställda som bär direkt ansvar. Om man får sanktioner på grund av överträdelser kan det få omfattande konsekvenser för hela organisationen, så det är viktigt att vidta åtgärder för att följa lagen.
Åtgärder som japanska företag bör vidta enligt dataskyddslagen
Då dataskyddslagen tillämpas på all databehandling inom Kina, kan det sägas att många japanska företag måste anpassa sig. Här förklarar vi i detalj vilka åtgärder japanska företag bör vidta för att följa dataskyddslagen.
Datahantering
Först och främst bör man se över datahanteringen. Det är viktigt att klargöra vilken typ av data som genereras, ackumuleras och raderas inom företaget och att förstå den nuvarande situationen för datan. Genom datakartläggning bör man i förväg kontrollera dataklassificering, överföring av data utanför Kina och nuvarande åtgärder för dataskydd för att kunna vidta nödvändiga åtgärder för varje datatyp.
Enligt den kinesiska dataskyddslagen krävs särskilda skyddsåtgärder för viktig och kärndata. Därför kan det bli nödvändigt att omdefiniera konfidentialitetsklassificeringen för informationen enligt dessa kategorier.
Emellertid är säkerhetsnivåerna för olika klassificeringar fortfarande oklara i nuläget. Eftersom de kan bli mer konkreta i framtiden är det avgörande att övervaka kataloger publicerade av de kinesiska myndigheterna. Samtidigt är det tryggt att ställa in säkerhetsnivåer som tar hänsyn till klassificeringen, inklusive åtkomstkontroll, autentisering, kommunikationssäkerhet och fysiska åtgärder.
Dessutom bör man se över säkerhetspolicyn och tillämpa policyn som överensstämmer med de datakategorier som klassificerats genom datakartläggningen.
Genomförande och rapportering av riskbedömning
Om det genom datakartläggning bedöms att företaget hanterar viktig data, ska en riskbedömning av databehandlingen genomföras. Resultaten måste också rapporteras till myndigheterna.
Eftersom riskbedömningen måste utföras regelbundet är det viktigt att formalisera processen så att den kan utföras kontinuerligt.
Utbildning av anställda
I Kina införs ständigt nya säkerhetsrelaterade regler. Hantering av data och riskbedömning är inte en engångsföreteelse, utan kräver regelbunden översyn och förbättring för att bli en del av företagskulturen. Därför är utbildning av anställda nödvändig.
Eftersom inte bara juridiska och administrativa avdelningar utan även riskhanteringsavdelningar är inblandade, är samarbete mellan avdelningarna viktigt. Även om lagen fortfarande har oklara delar, har det redan förekommit fall där sanktioner tillämpats för överträdelser, vilket gör det nödvändigt att anpassa sig till dataskyddslagen.
Kännetecken hos de kinesiska Cyber Three Laws
De kinesiska Cyber Three Laws är en samlingsbeteckning för de lagar som Kina har infört: “Cybersäkerhetslagen”, “Datasäkerhetslagen” och “Lagen om skydd av personuppgifter”. Cybersäkerhetslagen syftar till att motverka cyberattacker, Datasäkerhetslagen till att bevara data och Lagen om skydd av personuppgifter till att stärka säkerheten för personuppgifter.
Relaterad artikel: Vad är den kinesiska cybersäkerhetslagen? En förklaring av viktiga punkter att följa[ja]
Även om dessa lagar varierar, är de gemensamma dragen att de alla föreskriver administrativa sanktioner, civilrättsligt skadestånd och straffrättsligt ansvar för överträdelser. Dessutom gäller överträdelse inte bara för juridiska personer utan även för de direkt ansvariga personerna, vilka riskerar att förbjudas från att engagera sig i samma verksamhet eller att deras namn publiceras i landets register över lagöverträdare.
Sammanfattning: Var uppmärksam på Kinas datalagstiftning och agera snabbt
Kinas Data Security Law är en lag som tillämpas på databehandling i Kina och reglerar klassificering och gradering av dataskydd, riskbedömning och liknande. Det har publicerats flera lagar, inklusive Cybersecurity Law, “Personal Information Protection Law” och “Regulations on the Management of Security Vulnerabilities in Internet Products”, och det är avgörande att agera i enlighet med dessa.
Även om det för närvarande finns oklarheter, som att de specifika säkerhetsnivåerna för olika klasser av data inte har konkretiserats, finns det fall där företag har bötfällts för överträdelser, vilket understryker vikten av att följa lagen. Det är viktigt att noggrant övervaka Kinas lagstiftning och vidta de åtgärder som är möjliga just nu.
Om du driver verksamhet i Kina eller planerar att göra det, rekommenderar vi att du konsulterar en advokat som är väl insatt i kinesisk lagstiftning.
Information om åtgärder från vår byrå
Monoliths juristbyrå har omfattande erfarenhet inom IT, särskilt internet och juridik. I takt med att globala affärer expanderar, ökar behovet av juridisk expertis. Vår byrå erbjuder lösningar inom internationell juridik, inklusive för Kina, USA och EU-länder.
Monoliths juristbyrås expertisområden: Internationell juridik och utlandsverksamhet[ja]