Türkçe English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_tr/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hafta içi 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Çin Siber Güvenlik Yasası Nedir? Uyulması Gereken Noktaları Açıklıyoruz

Çin Siber Güvenlik Yasası Nedir? Uyulması Gereken Noktaları Açıklıyoruz

General Corporate

Çin Siber Güvenlik Yasası Nedir? Uyulması Gereken Noktaları Açıklıyoruz

Teikoku Databank’ın Özel Raporu: Japon Şirketlerinin ‘Çin’e Giriş’ Eğilimleri Araştırması (2022)[ja]’ne göre, Çin’de faaliyet gösteren Japon şirketlerinin sayısı 12,706 olarak belirlenmiştir. Çin ile ilişkili iş yapan şirketlerin sayısı ise bu rakamdan daha fazla olabilir. Çin’de, 2017 yılında ‘Çin Siber Güvenlik Yasası’ yürürlüğe girmiştir.

Bu durum, Çin’de iş yapmak isteyen şirketlerin, yasalara uygun düzenlemeler yapmalarını ve teknik koruma önlemleri almalarını zorunlu kılmıştır. Ancak, hangi yasaların geçerli olduğunu veya nasıl bir yaklaşım sergilemeleri gerektiğini bilmeyenler de olabilir.

Bu nedenle, bu makalede ‘Çin Siber Güvenlik Yasası’nın genel çerçevesi, düzenlemelerin kapsamı ve alınması gereken önlemler hakkında bilgi verilecektir. Çin’de iş yapmakta olan veya gelecekte giriş yapmayı düşünen kişiler için bu bilgiler oldukça faydalı olacaktır.

Çin Siber Güvenlik Yasası’nın Genel Bakışı

Rehberlik eden kadın

Çin Siber Güvenlik Yasası (网络安全法), 2017 yılı Haziran ayında yürürlüğe giren bir Çin yasasıdır. Yasanın amacı, ilk madde de aşağıdaki gibi belirtilmiştir:

  • Ağ güvenliğini sağlamak
  • Siber uzayın egemenliğini, ülkenin güvenliğini ve kamu yararını korumak
  • Bireylerin, tüzel kişilerin ve diğer organizasyonların meşru hak ve çıkarlarını korumak
  • Ekonomik ve sosyal bilgi toplumunun gelişimini teşvik etmek

Ağ, “bilgisayarlar, diğer bilgi terminalleri ve ilgili ekipmanlar tarafından oluşturulan ve bilgi toplama, saklama, iletim, değişim ve işleme gibi belirli kurallar ve programlara göre işlev gören sistem (76. madde)” olarak tanımlanmaktadır ve sadece interneti değil, intraneti de kapsamaktadır.

Çin Siber Güvenlik Yasası, AB Genel Veri Koruma Tüzüğü (GDPR) veya Japon Kişisel Bilgi Koruma Yasası’ndan farklı olarak, sadece “bireylerin ve organizasyonların bilgilerini koruma” amacı gütmekle kalmayıp, “Çin’in ulusal güvenliğini ve kamu yararını koruma”yı da hedeflemesiyle öne çıkmaktadır. Yasada, ilgili işletmelere siber güvenlik seviye korumasının uygulanması, uyumun sağlanması ve hak ve yükümlülüklerin netleştirilmesi gibi konular düzenlenmiştir.

Siber güvenlikle ilgili diğer yasalar arasında Çin Veri Güvenlik Yasası da bulunmaktadır.

İlgili makale: Çin Veri Güvenlik Yasası Nedir? Japon Şirketlerin Alması Gereken Önlemler[ja]

Çin Siber Güvenlik Yasası’nın Düzenleme Kapsamı

Kurallar

Japon şirketlerin Çin Siber Güvenlik Yasası kapsamına girmesi, aşağıdaki durumlar için geçerlidir:

  • Çin içinde bilgi işleme faaliyetleri bulunması
  • Çin’den Japonya’ya bilgi transferi yapılması

Merkezi Japonya’da olsa bile, yukarıdaki durumlara dahilse yasa kapsamına girer. Ayrıca, düzenleme kapsamındaki kişiler arasında ‘ağ operatörleri’ ve ‘kritik bilgi altyapısı tesislerinin operatörleri’ bulunmaktadır.

Ağ operatörü, ağın sahibi veya yöneticisi, ağ hizmeti sağlayan kişileri ifade eder.

Kritik bilgi altyapısı tesislerinin operatörü ise, zarar görmesi durumunda ulusal güvenliği tehdit edebilecek alanlarda (enerji, ulaşım, finans, kamu hizmetleri vb.) faaliyet gösteren ve hasar veya veri sızıntısı gibi durumlarla ulusal güvenlik, halkın yaşamı ve kamu yararını ciddi şekilde tehlikeye atabilecek tesisleri işleten kişileri kapsar.

Çin Siber Güvenlik Yasası’nın İçeriği

Kadın fotoğrafı

Çin Siber Güvenlik Yasası, aşağıdaki gibi çeşitli yükümlülükler getirmektedir:

  • Siber güvenlik seviyesinin belirlenmesi
  • Ulusal zorunlu standartlara uyum
  • Gerçek isim kaydı zorunluluğu
  • Kritik bilgi altyapısı işletmecilerine yönelik yükümlülükler
  • Yönetim ve yanıt verme sisteminin oluşturulması

Burada, her bir detayı açıklıyoruz.

Siber Güvenlik Derecelendirme Sistemi Kurulumu

Çin Siber Güvenlik Yasası’nın (Chinese Cybersecurity Law) 21. maddesinde, ağ operatörlerinin uyması gereken ‘dereceli koruma sistemi’ belirlenmiştir ve Çin’de ağ sahibi olan şirketlerin ve organizasyonların dereceli koruma sertifikası alması gerekmektedir.

Dereceli koruma sistemi, ağ güvenlik yönetim sistemine yönelik resmi bir değerlendirme sistemidir. Hedef alınan kapsam aşağıdaki gibidir:

  • Ağ altyapısı
  • IoT (Nesnelerin İnterneti)
  • Endüstriyel kontrol sistemleri
  • Büyük ölçekli internet siteleri ve veri merkezleri
  • Kamu hizmet platformları

Dereceli koruma sistemi, bilgi sistemlerinin zarar görmesi durumunda etki alanı ve hasar büyüklüğüne göre aşağıdaki beş dereceye ayrılmıştır:

Zararın Derecesi
Genel zararCiddi zararÖzellikle ciddi zarar
Vatandaşlar ve tüzel kişiler vb.1. Derece2. Derece3. Derece
Sosyal düzen ve kamu yararı2. Derece3. Derece4. Derece
Ulusal güvenlik3. Derece4. Derece5. Derece

Ayrıca, her derecenin tanımı aşağıdaki gibidir:

DereceTanım
1. DereceYıkıldığında, ilgili vatandaşların, tüzel kişilerin ve diğer organizasyonların yasal hak ve çıkarlarını zedeler, ancak ulusal güvenlik, sosyal düzen veya kamu yararını etkilemeyen genel ağlar
2. DereceYıkıldığında, ilgili vatandaşların ve tüzel kişilerin yasal hak ve çıkarlarına ciddi zarar verir veya sosyal düzen ve kamu yararına zarar getirir, ancak ulusal güvenliği etkilemeyen genel ağlar
3. DereceYıkıldığında, ilgili vatandaşların, tüzel kişilerin ve diğer organizasyonların yasal hak ve çıkarlarına çok ciddi zararlar verir veya ulusal güvenliğe zarar veren önemli ağlar
4. DereceYıkıldığında, sosyal düzeni ve kamu yararını ciddi şekilde zedeler veya ulusal güvenliğe çok önemli zararlar veren özellikle önemli ağlar
5. DereceYıkıldığında, ulusal güvenliğe son derece ciddi zararlar veren en önemli ağlar

Bu sınıflandırmaya göre, uyulması gereken bilgi güvenliği standartları belirlenmiştir. Ağ operatörleri genellikle 2. Derece ve üzeri, önemli bilgi altyapısı operatörleri ise 3. Derece ve üzeri derecelendirmeye tabidir.

Derece almak için, operatörler öncelikle kendi derecelerini yetkililere başvurur, ancak son onayı Kamu Güvenlik Bakanlığı’ndan (Public Security Department) almak zorundadırlar. Ayrıca, dereceli koruma sisteminde 2. Derece ve üzeri için değerlendirme kuruluşları tarafından bir değerlendirme yapılması gerekmektedir. Dereceli koruma sistemine aykırılık durumunda cezai yaptırımlar uygulanabileceği için dikkatli olunmalıdır.

Ülkenin Zorunlu Standartlarına Uyum

İnternet ürünleri ve hizmetleri sağlayıcılarının sunduğu hizmetler, ülkenin zorunlu standartlarına uygun olmalıdır (Madde 22). Sağlayıcılar, kötü amaçlı programlar yükleyemezler.

Ayrıca, ürünlerde veya hizmetlerde bir kusur, güvenlik açığı veya başka riskler keşfettiklerinde, derhal önlem almalı ve kullanıcılara bilgi verip ilgili yetkili makamlara raporlamalıdırlar.

2021 yılı Eylül ayında (Reiwa 3 (2021)), ağ operatörlerini hedef alan ‘İnternet Ürün Güvenliği Zafiyet Yönetimi Yönetmelikleri (网络产品安全漏洞管理规定)’ yürürlüğe girmiştir, bu nedenle sağlayıcıların bu yönetmeliklere de başvurarak uygun önlemleri alması gerektiği söylenebilir.

Gerçek İsim Kaydı Gereklidir

Network bağlantı hizmetleri, sabit telefon ve cep telefonu network bağlantı işlemleri, bilgi paylaşım hizmetleri, anlık mesajlaşma servisleri gibi hizmetleri kullanıcılara sunarken, kullanıcıların gerçek isim kaydını yapmak zorunluluğu bulunmaktadır. Kullanıcılar gerçek isim kaydını yapmadıkları takdirde, hizmetin sunulmaması gerekmektedir.

Ayrıca, network işletmecilerinin, kullanıcıların yayınladığı bilgilerin yasalara aykırı olup olmadığını denetleme yükümlülüğü de bulunmaktadır.

Önemli Bilgi Altyapısı Tesisleri İşletmecilerine Yüklenen Yükümlülükler

Önemli Bilgi Altyapısı Tesislerinin işletmecileri, ağ operatörlerine yüklenen güvenlik önlemlerini almanın yanı sıra, aşağıdaki gibi ek tedbirlerin de alınması gerektiği belirtilmektedir:

  • Sistem ve veritabanlarının düzenli olarak yedeklenmesi
  • Güvenlik olaylarına müdahale planının hazırlanması
  • Yıllık güvenlik değerlendirmesi
  • Veri yerelleştirme

Veri Yerelleştirme: Verilerin oluşturulduğu ülkenin sınırları içinde saklanmasını ve işlenmesini ifade eden süreç

2021 (Reiwa 3) yılı Eylül ayında yürürlüğe giren ‘Önemli Bilgi Altyapısı Tesisleri Güvenlik Koruma Yönetmeliği’nde, önemli bilgi altyapısı tesislerinin yönetimi, tanımlanması ve işletmecilerin yükümlülükleri gibi konular daha da somut bir şekilde belirlenmiştir, bu nedenle bu yönetmeliğe de başvurulması gerekmektedir.

Yönetim ve Yanıt Sistemi Kurulumu

Ağ operatörlerinden beklenenler arasında aşağıdakiler sıralanabilir (21. madde).

  • Güvenlik yönetim sistemi ve işlem prosedürlerinin oluşturulması
  • Ağ güvenlik sorumlusunun belirlenmesi
  • Güvenlik ihlallerine karşı yanıt planlarının hazırlanması ve teknik önlemlerin alınması
  • Ağ izleme teknolojilerinin uygulanması, log kayıtlarının saklanması (en az 6 ay)
  • Veri sınıflandırması, kritik verilerin yedeklenmesi ve şifrelenmesi gibi koruma önlemleri

Siber Güvenlik Yasası İhlallerinde Uygulanacak Yaptırımlar

Dikkat Uyarısı

Derecelendirme koruma sistemi kapsamında talep edilen güvenlik gereksinimlerine uyulmaması durumunda, düzeltme emri ve uyarı verilir. Emri reddetmek veya ağ güvenliğini tehlikeye atmak durumunda, 10 bin yuan (yaklaşık 1.500 dolar) ile 100 bin yuan (yaklaşık 15.000 dolar) arasında bir para cezası ödenmesi gerekmektedir. Ayrıca, doğrudan sorumlu kişilere 5 bin yuan (yaklaşık 750 dolar) ile 50 bin yuan (yaklaşık 7.500 dolar) arasında para cezası uygulanır.

Kötü niyetli programlar kurulması veya ürün ve hizmetlerdeki kusurlar ve güvenlik açıkları gibi risklere karşı önlem alınmaması durumlarında da düzeltme emri ve uyarı çıkarılır ve bu emirler reddedilirse para cezası ödeme yükümlülüğü doğar.

İhlalin niteliğine göre para cezasının miktarı değişebilir ve web sitesinin kapatılması, işletme lisansının iptali veya faaliyetlerin durdurulması gibi daha ağır yaptırımların uygulanması riski de bulunmaktadır. Geçmişte, ihlaller nedeniyle para cezalarına çarptırılan ve ilgili personelin ömür boyu aynı sektörde çalışmasının yasaklandığı durumlar da olmuştur, bu nedenle siber güvenlik önlemlerinin alınması zorunludur diyebiliriz.

Japon Şirketlerin Alması Gereken Siber Güvenlik Yasası Önlemleri

Yol gösteren adam

Çin Siber Güvenlik Yasası karmaşık olduğundan, nereden başlayacağınızı bilemeyenler olabilir. Bu yazıda, Japon şirketlerin alması gereken önlemleri açıklıyoruz.

Bilgi Sistemleri ve DX İlgili Departmanlarla Koordinasyon İçinde Bir Sistem Kurmak

Çin Siber Güvenlik Yasası’na uyum sağlamak için, işletme süreçlerinin oluşturulması ve kişisel bilgi yönetim politikalarının geliştirilmesi ve eklenmesi gibi adımlar atılmalıdır. Ayrıca, derecelendirme koruma sistemine uyum sağlamak için, şirketin sistemlerine teknik önlemler almak zorunludur.

Hukuk, genel işler gibi departmanların her birinin ayrı ayrı hareket etmesi yerine, bilgi sistemleri ve DX ilgili departmanlarla koordinasyon içinde bir sistem kurulması gerekecektir.

Şirketin Sahip Olduğu Her Sistemin Hangi Dereceye Uygun Olduğunu Belirlemek

Öncelikle, şirket sistemlerinin derecelendirilmesini yapmalısınız. Bu dereceye uygun olarak, her departman siber güvenlik kurallarına göre hareket etmelidir. Hukuk, genel işler ve risk yönetimi departmanlarında, yasalara uygun düzenlemelerin ve işletme prosedürlerinin gözden geçirilmesi ve revize edilmesi, bilgi sistemleri ve DX ilgili departmanlarında ise teknik önlemlerin alınması gerekmektedir. Burada, her bir önlemin detayları açıklanacaktır.

Hukuk, Genel İşler ve Risk Yönetimi Departmanları

Derecelendirmede belirtilen hususlarla şirketin yönetim durumu ve bilgi güvenliği sistemini karşılaştırarak, düzenlemelerin eklenmesi ve işletme yapısının gözden geçirilmesi gerekmektedir. Daha sonra, nasıl bir yaklaşım sergileneceği üzerine düşünülerek, sistemlerin kurulması ve düzenlemelerin yapılması gerekecektir.

Derece 2. seviye ve üzeri ise, yetkililere bildirimde bulunulmalıdır. Şirket önemli bilgi altyapısı işletmecisi olarak kabul ediliyorsa, 3. seviye ve üzeri derecelendirme koruma sertifikası alınması gerekecektir. Ayrıca, veri yerelleştirme düzenlemelerine uyum, çalışanlara düzenli bilgi güvenliği eğitimi ve teknik eğitimler verilmesi gibi birçok konuda önlem alınması gerekmektedir. Önemli bilgi altyapısı işletmecisi olma ihtimaliniz varsa, danışman avukatlarla görüşerek bir eylem planı belirlemek faydalı olacaktır.

Son yıllarda Çin’de güvenlikle ilgili birçok yeni düzenleme yürürlüğe girmiştir. Bu nedenle, risk yönetimi departmanında, yeni düzenlemelere uygun risk yönetimi stratejileri geliştirilmesi gerekecektir.

Bilgi Sistemleri ve DX İlgili Departmanlar

Bilgi sistemleri ve DX ilgili departmanlar, dereceye uygun güvenlik koruma önlemlerinin sistemlere entegrasyonunu sağlamalıdır. Öncelikle, mevcut sistemlerin güvenlik koruma önlemlerini gözden geçirip, eksiklikler varsa, Siber Güvenlik Yasası’na uygun sistemleri entegre etmelisiniz.

Siber Güvenlik Yasası’nın yanı sıra, veri yerelleştirme düzenlemeleri, sınır ötesi kısıtlamalar ve hükümet erişimi gibi konularda da uyum sağlamak zorundasınız. Hangi verilerin Çin dışına aktarıldığını anlamak ve şirketin veri toplama ve saklama durumunu gözden geçirmek gerekmektedir.

Siber Güvenlik Yasası’nda, sadece düzenlemelerin revize edilmesi yeterli olmayıp, teknik koruma önlemlerinin de alınması gerektiğinden, ilgili departmanların iş birliği şarttır.

Özet: Şirketinizin uyum sürecinde yardıma ihtiyacınız olursa, uzmanlara danışın

Erkek ve kadın fotoğrafı

Çin Siber Güvenlik Yasası, Çin’in ulusal güvenliğini korumak amacıyla oluşturulmuş bir düzenlemedir. Siber Güvenlik Yasası’na uyum sağlamak için sadece hukuk veya genel işler departmanları tarafından düzenlemelerin revize edilmesi değil, aynı zamanda teknik koruma önlemlerinin de alınması gerekmektedir.

Siber Güvenlik Yasası yürürlüğe girdikten sonra, “İnternet Ürün Güvenliği Zafiyet Yönetimi Yönetmeliği” ve “Siber Güvenlik İnceleme Yöntemi (Ulusal Güvenlik İnceleme Sistemi’nin somutlaştırılması)” gibi veri uyumluluğu ile ilgili yasalar peş peşe yürürlüğe girmiştir. İhlal edilmesi durumunda para cezası, web sitesinin kapatılması veya işletme izninin iptali gibi idari yaptırımlarla karşı karşıya kalınabileceğinden dikkatli olunması gerekmektedir. Çin’de iş yapmakta olan veya gelecekte iş yapmayı planlayan şirketler için, Çin hukuku konusunda uzman avukatlara danışmanızı tavsiye ederiz.

Hukuk Büromuz Tarafından Sunulan Çözümler

Monolith Hukuk Bürosu, IT, internet ve iş dünyasında uzmanlaşmış bir hukuk firmasıdır. Çin, Amerika, Avrupa Birliği ülkeleri gibi dünya genelindeki birçok ülkenin davalarına bakmıştır. Yurtdışında iş yaparken birçok hukuki riskle karşılaşıldığı için, deneyimli avukatlar tarafından sağlanan destek hayati önem taşır. Büromuz, yerel yasalar ve düzenlemeler konusunda derin bilgiye sahip olup, dünya genelindeki hukuk bürolarıyla iş birliği içindedir.

Monolith Hukuk Bürosu’nun Uzmanlık Alanları: Uluslararası Hukuk ve Yurtdışı İşler[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Değişiklik Yapılan Kamu Yararına Bildirimci Koruma Yasası'nın (Japanese Public Interest Whistleblower Protection Law) Önemli Noktaları Açıklanıyor: İşletmelerin Alması Gereken Önlemler Neler?

Değişiklik Yapılan Kamu Yararına Bildirimci Koruma Yasası'nın (Japanese Public Interest Whistleb.

General Corporate

Avrupa'ya İş Genişletmeyi Düşünen Şirketler İçin Görülmesi Gerekenler: AB Hukuku ve Yasal Sistemi Hakkında Temel Bilgiler

Avrupa'ya İş Genişletmeyi Düşünen Şirketler İçin Görülmesi Gerekenler: AB Hukuku ve Yasal Sistem.

General Corporate

Japon ~ Bakım Tesislerinde BCP (İş Sürekliliği Planı) Hazırlamanın Zorunlu Hale Gelmesi | Hazırlama Yöntemleri ve Avantajları Hakkında Açıklama

Japon ~ Bakım Tesislerinde BCP (İş Sürekliliği Planı) Hazırlamanın Zorunlu Hale Gelmesi | Hazırl.

General Corporate

Bağımsız olarak verilen puanlar, Ödeme Hizmetleri Yasası kapsamında ön ödemeli ödeme araçları kategorisine girdiğinde

Bağımsız olarak verilen puanlar, Ödeme Hizmetleri Yasası kapsamında ön ödemeli ödeme araçları ka.

General Corporate

Keio Üniversitesi'nin Bilgi Sızıntısından Öğrenilen Kriz Yönetimi ve Avukatın Rolü

Keio Üniversitesi'nin Bilgi Sızıntısından Öğrenilen Kriz Yönetimi ve Avukatın Rolü

General Corporate

Fikirlere telif hakkı tanınabilir mi? İfade ve Fikirlerin Sınır Çizgisi

Fikirlere telif hakkı tanınabilir mi? İfade ve Fikirlerin Sınır Çizgisi

General Corporate

Capcom'un Bilgi Sızıntısından Öğrenilen Kriz Yönetimi ve Avukatın Rolü

Capcom'un Bilgi Sızıntısından Öğrenilen Kriz Yönetimi ve Avukatın Rolü

General Corporate

Müteahhitlerin Güvenlik İhlallerini Nasıl Önleriz? Sipariş Verenin İç Kontrol Sisteminin Kurulumu ve İşletilmesi Hakkında Açıklama

Müteahhitlerin Güvenlik İhlallerini Nasıl Önleriz? Sipariş Verenin İç Kontrol Sisteminin Kurulum.

General Corporate

Yayın Yoluyla Bahşiş Servislerinin Hukuki Sorunları ve Uygulama Koşulları Nelerdir?

Yayın Yoluyla Bahşiş Servislerinin Hukuki Sorunları ve Uygulama Koşulları Nelerdir?

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Başa dön