กฎหมายความมั่นคงไซเบอร์ของจีนคืออะไร? จุดสําคัญในการปฏิบัติตาม

จากการสำรวจพิเศษเกี่ยวกับแนวโน้มการเข้าไปทำธุรกิจในจีนของบริษัทญี่ปุ่นในปี 2022 ของ Teikoku Databank[ja] พบว่า บริษัทญี่ปุ่นที่ได้เข้าไปตั้งฐานในจีนมีจำนวนทั้งสิ้น 12,706 บริษัท และบริษัทที่ทำธุรกิจที่เกี่ยวข้องกับจีนนั้นมีจำนวนมากกว่านั้นอีก ในปี 2017 จีนได้มีการบังคับใช้ “กฎหมายความมั่นคงไซเบอร์ของจีน” นั่นเอง

ด้วยเหตุนี้ บริษัทที่ต้องการขยายธุรกิจในจีนจำเป็นต้องปรับปรุงกฎหมายและมาตรการป้องกันทางเทคนิคให้สอดคล้องกับกฎหมายดังกล่าว อย่างไรก็ตาม อาจมีบางท่านที่ยังไม่เข้าใจกฎหมายนี้หรือไม่ทราบวิธีการปฏิบัติที่ถูกต้อง

ดังนั้น ในบทความนี้ เราจะอธิบายภาพรวมของ “กฎหมายความมั่นคงไซเบอร์ของจีน” รวมถึงขอบเขตของการควบคุมและมาตรการที่ควรดำเนินการ หากคุณกำลังดำเนินธุรกิจในจีนหรือกำลังพิจารณาที่จะเข้าไปลงทุน กรุณาใช้ข้อมูลนี้เป็นข้อมูลอ้างอิง

ภาพรวมของกฎหมายไซเบอร์เซคิวริตี้ของจีน

กฎหมายไซเบอร์เซคิวริตี้ของจีน (网络安全法) เป็นกฎหมายของจีนที่ได้มีการบังคับใช้ตั้งแต่เดือนมิถุนายน 2017 (พ.ศ. 2560) วัตถุประสงค์ของกฎหมายนี้ได้ระบุไว้ในมาตราที่ 1 ดังนี้

• รับประกันความปลอดภัยของเครือข่าย
• ปกป้องอธิปไตยในโลกไซเบอร์, ความมั่นคงของประเทศ, และผลประโยชน์สาธารณะ
• ปกป้องสิทธิและผลประโยชน์ที่ชอบด้วยกฎหมายของประชาชน, นิติบุคคล และองค์กรอื่นๆ
• ส่งเสริมการพัฒนาการสารสนเทศของเศรษฐกิจและสังคม

คำว่า “เครือข่าย” หมายถึง “สิ่งที่ประกอบด้วยคอมพิวเตอร์หรืออุปกรณ์สารสนเทศอื่นๆ และอุปกรณ์ที่เกี่ยวข้อง ที่ทำการรวบรวม, จัดเก็บ, ส่งผ่าน, แลกเปลี่ยน, และประมวลผลข้อมูลตามกฎหมายหรือโปรแกรมที่กำหนด (มาตรา 76)” ซึ่งไม่ได้หมายถึงเพียงแค่อินเทอร์เน็ตเท่านั้น แต่ยังรวมถึงอินทราเน็ตด้วย

กฎหมายไซเบอร์เซคิวริตี้ของจีนมีความแตกต่างจากกฎหมายคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น ตรงที่ไม่เพียงแต่ “ปกป้องข้อมูลของบุคคลและองค์กร” เท่านั้น แต่ยังรวมถึง “การปกป้องความมั่นคงของประเทศจีนและผลประโยชน์สาธารณะ” ด้วย กฎหมายนี้กำหนดให้ผู้ประกอบการที่เกี่ยวข้องต้องดำเนินการตามมาตรฐานการปกป้องความปลอดภัยไซเบอร์, ปฏิบัติตามกฎระเบียบความเป็นไปตามกฎหมาย, และชี้แจงสิทธิและหน้าที่อย่างชัดเจน

นอกจากนี้ยังมีกฎหมายที่เกี่ยวข้องกับความปลอดภัยอื่นๆ เช่น กฎหมายความปลอดภัยข้อมูลของจีน

บทความที่เกี่ยวข้อง: กฎหมายความปลอดภัยข้อมูลของจีนคืออะไร? การวางแผนการป้องกันสำหรับบริษัทญี่ปุ่น[ja]

กลุ่มเป้าหมายของกฎหมายไซเบอร์เซคิวริตี้ของจีน

บริษัทญี่ปุ่นจะตกอยู่ภายใต้กฎหมายไซเบอร์เซคิวริตี้ของจีนในกรณีต่อไปนี้:

• มีการจัดการข้อมูลภายในประเทศจีน
• มีการโอนย้ายข้อมูลจากจีนไปยังญี่ปุ่น

แม้ว่าฐานการดำเนินงานจะอยู่ในญี่ปุ่น หากเข้าข่ายกรณีดังกล่าวก็จะต้องปฏิบัติตามกฎหมายนี้ นอกจากนี้ ผู้ที่ต้องปฏิบัติตามกฎหมายนี้ ได้แก่ ‘ผู้ดำเนินการเครือข่าย’ และ ‘ผู้ดำเนินการสถานที่สำคัญด้านโครงสร้างพื้นฐานข้อมูล’

ผู้ดำเนินการเครือข่ายหมายถึง ผู้ที่เป็นเจ้าของหรือผู้จัดการเครือข่าย รวมถึงผู้ที่ให้บริการเครือข่าย

ผู้ดำเนินการสถานที่สำคัญด้านโครงสร้างพื้นฐานข้อมูลหมายถึง ผู้ที่ดำเนินการสถานที่ที่หากได้รับความเสียหาย อาจส่งผลกระทบต่อความมั่นคงของประเทศ ซึ่งรวมถึงภาคส่วนเช่น พลังงาน การขนส่ง การเงิน และบริการสาธารณะ โดยสถานที่เหล่านี้หากเกิดความเสียหายหรือรั่วไหลของข้อมูล อาจส่งผลให้ความมั่นคงของประเทศ การดำรงชีวิตของประชาชน และผลประโยชน์สาธารณะได้รับความเสียหายอย่างร้ายแรง

เนื้อหาของกฎหมายไซเบอร์เซ็คคิวริตี้ของจีน

กฎหมายไซเบอร์เซ็คคิวริตี้ของจีนกำหนดหน้าที่ดังต่อไปนี้

• การกำหนดระดับความปลอดภัยไซเบอร์
• การปฏิบัติตามมาตรฐานบังคับของรัฐ
• การลงทะเบียนด้วยชื่อจริง
• หน้าที่ของผู้ดำเนินการสถานีสำคัญด้านโครงสร้างพื้นฐานข้อมูล
• การสร้างระบบการจัดการและการตอบสนอง

ต่อไปนี้จะเป็นการอธิบายรายละเอียดของแต่ละหัวข้อ

การตั้งระดับความปลอดภัยไซเบอร์

ตามมาตรา 21 ของ กฎหมายความปลอดภัยไซเบอร์ของจีน ได้กำหนดให้ผู้ดำเนินการเครือข่ายต้องปฏิบัติตาม “ระบบการปกป้องตามระดับ” ซึ่งบริษัทและองค์กรที่มีเครือข่ายภายในประเทศจีนจำเป็นต้องได้รับการรับรองการปกป้องตามระดับ

ระบบการปกป้องตามระดับนี้เป็นระบบการประเมินที่มีการจัดการความปลอดภัยเครือข่ายอย่างเป็นทางการ ระบบนี้ครอบคลุมถึงส่วนต่างๆ ดังต่อไปนี้:

• โครงสร้างพื้นฐานเครือข่าย
• IoT
• ระบบควบคุมอุตสาหกรรม
• เว็บไซต์ขนาดใหญ่และศูนย์ข้อมูล
• แพลตฟอร์มบริการสาธารณะ

ในระบบการปกป้องตามระดับนี้ ระบบสารสนเทศจะถูกจัดเป็น 5 ระดับ ตามขอบเขตและขนาดของความเสียหายเมื่อเกิดการทำลายล้าง ดังนี้

นอกจากนี้ การกำหนดนิยามของแต่ละระดับมีดังนี้

สำหรับแต่ละระดับที่กำหนดไว้ จะมีมาตรฐานด้านความปลอดภัยข้อมูลที่ต้องปฏิบัติตาม โดยทั่วไปผู้ดำเนินการเครือข่ายจะต้องปฏิบัติตามระดับที่ 2 ขึ้นไป และผู้ดำเนินการโครงสร้างพื้นฐานข้อมูลสำคัญจะต้องปฏิบัติตามระดับที่ 3 ขึ้นไป

เพื่อการได้รับระดับการปกป้อง ผู้ดำเนินการจะต้องยื่นขอระดับการปกป้องด้วยตนเองต่อหน่วยงานที่เกี่ยวข้อง แต่สุดท้ายจะต้องได้รับการอนุมัติจากกระทรวงความมั่นคงสาธารณะ นอกจากนี้ ระบบการปกป้องตามระดับยังกำหนดให้ระดับที่ 2 ขึ้นไปต้องได้รับการประเมินจากหน่วยงานที่มีอำนาจ หากฝ่าฝืนระบบการปกป้องตามระดับอาจถูกปรับเป็นเงินได้ จึงจำเป็นต้องให้ความระมัดระวัง

การปฏิบัติตามมาตรฐานบังคับของประเทศ

ผู้ให้บริการผลิตภัณฑ์และบริการอินเทอร์เน็ตจะต้องให้บริการที่สอดคล้องกับมาตรฐานบังคับของประเทศตามที่กำหนดไว้ในมาตรา 22 ผู้ให้บริการไม่ควรติดตั้งโปรแกรมที่มีเจตนาทำร้ายใด ๆ

นอกจากนี้ หากผู้ให้บริการพบว่าผลิตภัณฑ์หรือบริการมีข้อบกพร่อง ความเปราะบาง หรือความเสี่ยงอื่น ๆ จะต้องดำเนินการทันที และแจ้งให้ผู้ใช้และหน่วยงานที่มีอำนาจรับผิดชอบทราบโดยเร็วที่สุด

ในเดือนกันยายน พ.ศ. 2564 (2021) ได้มีการบังคับใช้ “กฎระเบียบการจัดการช่องโหว่ความปลอดภัยของผลิตภัณฑ์อินเทอร์เน็ต (网络产品安全漏洞管理规定)” ซึ่งเป็นกฎหมายที่มุ่งเน้นไปที่ผู้ดำเนินการเครือข่าย ดังนั้น จึงควรอ้างอิงและปฏิบัติตามกฎระเบียบนี้ด้วย

ต้องมีการลงทะเบียนด้วยชื่อจริง

เมื่อให้บริการเชื่อมต่อเครือข่าย การเชื่อมต่อเครือข่ายโทรศัพท์บ้านและโทรศัพท์มือถือ บริการแชร์ข้อมูล และบริการข้อความทันที ผู้ให้บริการจะต้องทำการลงทะเบียนด้วยชื่อจริงของผู้ใช้บริการ หากผู้ใช้ไม่ได้ทำการลงทะเบียนด้วยชื่อจริง ผู้ให้บริการจะไม่สามารถให้บริการได้

นอกจากนี้ ผู้ดำเนินการเครือข่ายยังมีหน้าที่ต้องตรวจสอบว่าข้อมูลที่ผู้ใช้ส่งออกไปนั้นไม่ได้ละเมิดกฎหมายใดๆ

หน้าที่ของผู้ดำเนินการสถานที่สำคัญด้านโครงสร้างพื้นฐานข้อมูล

ผู้ดำเนินการสถานที่สำคัญด้านโครงสร้างพื้นฐานข้อมูลไม่เพียงแต่ต้องดำเนินมาตรการด้านความปลอดภัยที่กำหนดไว้สำหรับผู้ดำเนินการเครือข่ายเท่านั้น แต่ยังต้องดำเนินมาตรการต่อไปนี้ด้วย:

• การสำรองข้อมูลและระบบฐานข้อมูลอย่างสม่ำเสมอ
• การจัดทำแผนการตอบสนองต่อเหตุการณ์ความปลอดภัย
• การประเมินความปลอดภัยประจำปี
• การทำให้ข้อมูลเป็นท้องถิ่น

การทำให้ข้อมูลเป็นท้องถิ่น: กระบวนการที่เก็บและประมวลผลข้อมูลภายในขอบเขตของประเทศที่ข้อมูลถูกสร้างขึ้น

ในกฎหมาย “Japanese 重要情報インフラ施設安全保護条例” (Japanese Critical Information Infrastructure Protection Ordinance) ที่ได้มีการบังคับใช้ในเดือนกันยายน พ.ศ. 2564 (2021), ได้มีการกำหนดข้อกำหนดที่เฉพาะเจาะจงยิ่งขึ้นเกี่ยวกับการจัดการ, การรับรอง, และหน้าที่ของผู้ดำเนินการสถานที่สำคัญด้านโครงสร้างพื้นฐานข้อมูล ดังนั้นจึงจำเป็นต้องอ้างอิงกฎหมายนี้ด้วย

การสร้างระบบการจัดการและการตอบสนอง

สิ่งที่ผู้ดำเนินการเครือข่ายต้องมีได้แก่ ดังต่อไปนี้ (ตามมาตรา 21)。

• การสร้างระบบการจัดการความปลอดภัยและข้อบังคับการดำเนินงาน
• การกำหนดผู้รับผิดชอบด้านความปลอดภัยของเครือข่าย
• การจัดทำแผนการตอบสนองและการเตรียมมาตรการทางเทคนิคสำหรับเหตุการณ์ความปลอดภัย
• การนำเทคโนโลยีการตรวจสอบเครือข่ายมาใช้ และการเก็บบันทึกการใช้งาน (อย่างน้อย 6 เดือน)
• การจำแนกข้อมูล การสำรองข้อมูลสำคัญ และการเข้ารหัสเพื่อการป้องกัน

กฎหมายด้านความปลอดภัยไซเบอร์: ข้อกำหนดเมื่อมีการละเมิด

หากมีการละเมิดข้อกำหนดด้านความปลอดภัยที่ระบบการป้องกันระดับต่างๆ กำหนดไว้ คุณจะได้รับคำสั่งให้แก้ไขและคำเตือน หากคุณปฏิเสธคำสั่งหรือกระทำการใดๆ ที่อาจทำให้เครือข่ายไม่ปลอดภัย คุณจะต้องชำระค่าปรับตั้งแต่ 10,000 หยวนขึ้นไปแต่ไม่เกิน 100,000 หยวน นอกจากนี้ ผู้ที่รับผิดชอบโดยตรงอาจถูกปรับตั้งแต่ 5,000 หยวนขึ้นไปแต่ไม่เกิน 50,000 หยวน

นอกจากนี้ หากคุณติดตั้งโปรแกรมที่มีเจตนาทำร้าย หรือไม่ดำเนินการใดๆ ต่อความเสี่ยง เช่น ข้อบกพร่องของผลิตภัณฑ์หรือบริการ หรือช่องโหว่ด้านความปลอดภัย คุณจะได้รับคำสั่งให้แก้ไขและคำเตือนเช่นกัน และหากคุณปฏิเสธ คุณจะต้องชำระค่าปรับ

ขึ้นอยู่กับลักษณะของการละเมิด จำนวนเงินค่าปรับอาจแตกต่างกัน และคุณอาจถูกสั่งให้ปิดเว็บไซต์ ยกเลิกใบอนุญาตการดำเนินธุรกิจ หรือหยุดการดำเนินงาน ดังนั้นจึงจำเป็นต้องให้ความสนใจ ในอดีตเคยมีกรณีที่ผู้ละเมิดถูกปรับและถูกห้ามไม่ให้ทำงานในอุตสาหกรรมเดียวกันตลอดชีวิต ดังนั้นการดำเนินมาตรการด้านความปลอดภัยไซเบอร์จึงเป็นสิ่งที่ขาดไม่ได้

มาตรการที่บริษัทญี่ปุ่นควรดำเนินการเพื่อรับมือกับกฎหมายความมั่นคงไซเบอร์

กฎหมายความมั่นคงไซเบอร์ของจีนมีความซับซ้อน บางท่านอาจไม่ทราบว่าควรเริ่มต้นจากจุดใด ที่นี่เราจะอธิบายมาตรการที่บริษัทญี่ปุ่นควรดำเนินการ

จัดระบบการทำงานร่วมกันระหว่างฝ่ายระบบสารสนเทศและฝ่ายที่เกี่ยวข้องกับ DX

เพื่อรับมือกับกฎหมายความมั่นคงไซเบอร์ของจีน จำเป็นต้องมีการสร้างกระบวนการดำเนินงานและกำหนดหรือเพิ่มกฎเกณฑ์การจัดการข้อมูลส่วนบุคคล นอกจากนี้ ยังต้องมีมาตรการทางเทคนิคสำหรับระบบของบริษัทเพื่อรับมือกับระบบการป้องกันตามระดับ

ไม่ควรให้แต่ละฝ่ายอย่างฝ่ายกฎหมายหรือฝ่ายบริหารทำงานเพียงลำพัง แต่ควรจัดระบบการทำงานร่วมกันระหว่างฝ่ายระบบสารสนเทศและฝ่ายที่เกี่ยวข้องกับ DX

ประเมินระดับความเหมาะสมของระบบที่บริษัทมีอยู่

ขั้นแรก ต้องทำการประเมินระดับของระบบของบริษัท และตามระดับนั้น แต่ละฝ่ายจะต้องดำเนินการตามหลักความมั่นคงไซเบอร์ ฝ่ายกฎหมาย ฝ่ายบริหาร และฝ่ายจัดการความเสี่ยงจะต้องทบทวนและปรับปรุงกฎเกณฑ์และกระบวนการดำเนินงาน ในขณะที่ฝ่ายระบบสารสนเทศและ DX จะต้องดำเนินการทางด้านเทคนิค ที่นี่เราจะอธิบายถึงการดำเนินการของแต่ละฝ่าย

ฝ่ายกฎหมาย ฝ่ายบริหาร และฝ่ายจัดการความเสี่ยง

เปรียบเทียบรายการที่กำหนดไว้ในระดับต่างๆ กับสถานการณ์การจัดการและระบบความมั่นคงข้อมูลของบริษัท ทำการทบทวนและเพิ่มเติมกฎเกณฑ์และระบบการดำเนินงาน จากนั้น พิจารณาว่าจะรับมืออย่างไร และดำเนินการจัดตั้งหรือปรับปรุงระบบต่างๆ ตามความจำเป็น

หากระดับเป็นระดับที่ 2 ขึ้นไป จะต้องมีการแจ้งให้หน่วยงานที่เกี่ยวข้องทราบด้วย หากบริษัทถูกพิจารณาว่าเป็นผู้ดำเนินการสถานที่สำคัญด้านโครงสร้างพื้นฐานข้อมูล จะต้องได้รับการรับรองการป้องกันตามระดับที่ 3 ขึ้นไป นอกจากนี้ ยังต้องมีการดำเนินการตามกฎข้อบังคับเกี่ยวกับการจัดเก็บข้อมูลในประเทศ การฝึกอบรมความมั่นคงข้อมูลและการฝึกทักษะทางเทคนิคให้กับพนักงานอย่างสม่ำเสมอ และอื่นๆ หากมีความเป็นไปได้ที่บริษัทจะถูกพิจารณาเป็นผู้ดำเนินการสถานที่สำคัญด้านโครงสร้างพื้นฐานข้อมูล ควรปรึกษากับทนายความที่ปรึกษาเพื่อกำหนดนโยบายการรับมือเพื่อความสบายใจ

ในปีที่ผ่านมา จีนได้มีการบังคับใช้กฎระเบียบที่เกี่ยวข้องกับความมั่นคงอย่างต่อเนื่อง ดังนั้น ฝ่ายจัดการความเสี่ยงจะต้องมีการรับมือกับความเสี่ยงที่เข้ากับกฎระเบียบใหม่ๆ

ฝ่ายระบบสารสนเทศและ DX

ฝ่ายระบบสารสนเทศและ DX จะต้องดำเนินการติดตั้งระบบการป้องกันความมั่นคงตามระดับที่เหมาะสม ขั้นแรก จัดระเบียบมาตรการป้องกันความมั่นคงของระบบที่มีอยู่ และหากมีการขาดแคลน จะต้องนำระบบที่สอดคล้องกับกฎหมายความมั่นคงไซเบอร์มาใช้

นอกจากกฎหมายความมั่นคงไซเบอร์แล้ว ยังต้องรับมือกับกฎข้อบังคับเกี่ยวกับการจัดเก็บข้อมูลในประเทศ ข้อจำกัดข้ามพรมแดน และการเข้าถึงข้อมูลโดยรัฐบาล ต้องทราบว่ามีการถ่ายโอนข้อมูลอะไรไปยังต่างประเทศบ้าง และต้องทบทวนสถานการณ์การเก็บรวบรวมและการจัดเก็บข้อมูลของบริษัท

ตามกฎหมายความมั่นคงไซเบอร์ ไม่เพียงแต่ต้องปรับปรุงกฎเกณฑ์เท่านั้น แต่ยังต้องดำเนินการมาตรการป้องกันทางเทคนิคด้วย ดังนั้น การทำงานร่วมกันของฝ่ายที่เกี่ยวข้องจึงเป็นสิ่งที่ขาดไม่ได้

สรุป: หากท่านประสบปัญหาในการจัดการภายในบริษัท กรุณาปรึกษาผู้เชี่ยวชาญ

กฎหมายไซเบอร์ซีเคียวริตี้ของจีนคือระบบที่ถูกสร้างขึ้นเพื่อความมั่นคงของรัฐบาลจีน ในการปฏิบัติตามกฎหมายไซเบอร์ซีเคียวริตี้ จำเป็นต้องมีการปรับปรุงกฎระเบียบโดยแผนกกฎหมายและแผนกบริหาร รวมถึงต้องดำเนินการมาตรการป้องกันทางเทคนิคด้วย

นับตั้งแต่กฎหมายไซเบอร์ซีเคียวริตี้ได้รับการบังคับใช้ กฎหมายที่เกี่ยวข้องกับการปฏิบัติตามข้อมูล เช่น “กฎระเบียบการจัดการช่องโหว่ความปลอดภัยของผลิตภัณฑ์อินเทอร์เน็ต” และ “กฎหมายการตรวจสอบไซเบอร์ซีเคียวริตี้ (ระบบการตรวจสอบความมั่นคงของรัฐ)” ได้ถูกสร้างขึ้นอย่างต่อเนื่อง หากฝ่าฝืนอาจต้องเผชิญกับโทษทางปกครอง เช่น การปรับเงิน การปิดเว็บไซต์ หรือการยกเลิกใบอนุญาตการดำเนินธุรกิจ ดังนั้นจำเป็นต้องให้ความสนใจอย่างมาก หากท่านกำลังหรือวางแผนที่จะขยายธุรกิจในจีน เราขอแนะนำให้ปรึกษากับทนายความที่มีความรู้เกี่ยวกับกฎหมายจีน

แนะนำมาตรการของเรา

ที่สำนักงานกฎหมายมอนอลิธ (Monolith Law Office) เราเป็นสำนักงานกฎหมายที่มีความเชี่ยวชาญในด้าน IT และธุรกิจอินเทอร์เน็ต เราได้ให้บริการในเรื่องของกฎหมายและธุรกิจในหลายประเทศทั่วโลก รวมถึงประเทศจีน สหรัฐอเมริกา และประเทศในสหภาพยุโรป เมื่อทำธุรกิจในต่างประเทศ จะต้องเผชิญกับความเสี่ยงทางกฎหมายมากมาย ดังนั้น การได้รับการสนับสนุนจากทนายความที่มีประสบการณ์จึงเป็นสิ่งที่ขาดไม่ได้ สำนักงานของเรามีความเชี่ยวชาญในกฎหมายและระเบียบข้อบังคับท้องถิ่น และได้ทำงานร่วมกับสำนักงานกฎหมายในหลายประเทศทั่วโลก

สาขาที่สำนักงานกฎหมายมอนอลิธให้บริการ: กฎหมายระหว่างประเทศและธุรกิจต่างประเทศ[ja]