Çin "Ağ Güvenliği Yasası" Büyük Revizyonunu Açıklıyor: Cezaların Artırılması ve Yasa Dışındaki Uygulama Genişlemesine Karşı Şirketler Nasıl Hareket Etmeli?

Çin’in siber güvenlik düzenlemelerinin merkezinde yer alan “Çin Halk Cumhuriyeti Ağ Güvenliği Yasası” (Siber Güvenlik Yasası, Çince orijinal metin: 中华人民共和国网络安全法), önemli bir dönüm noktasına ulaştı. 2025 yılının 28 Ekim tarihinde, Çin Ulusal Halk Kongresi Daimi Komitesi bu yasanın değişikliklerini duyurdu ve 2026 yılının 1 Ocak tarihinden itibaren yürürlüğe girecek.

2017 yılındaki yürürlüğe girişinden bu yana ilk kez gerçekleşen bu kapsamlı değişiklik, yalnızca madde düzenlemeleriyle sınırlı kalmıyor. Hukuki sorumlulukların önemli ölçüde güçlendirilmesinin yanı sıra, yapay zeka (AI) gibi yeni teknolojilere uyum sağlanması ve yasanın sınır ötesi uygulanabilirliğinin genişletilmesi gibi konular, Çin’de iş yapan Japon şirketleri için göz ardı edilemeyecek önemli içerikler barındırıyor.

Bu makalede, bu ağ güvenliği yasasının büyük değişikliklerinin arka planını, spesifik değişiklik içeriklerini ve Japon şirketlerinin pratikte nasıl bir uyum sağlaması gerektiğini ele alacağız.

“Ağ Güvenliği Yasası” (Siber Güvenlik Yasası) Büyük Revizyonunun Arka Planı

Çin’in Ağ Güvenliği Yasası, “Veri Güvenliği Yasası” ve “Kişisel Bilgilerin Korunması Yasası” ile birlikte, siber alanın yönetimini destekleyen, sözde “Çin Veri Üç Yasası”nın başlangıç noktası olan temel bir yasadır.

Bu revizyonun arka planında iki ana faktör bulunmaktadır. Birincisi, dijital ekonominin hızlı gelişimiyle ortaya çıkan yeni risklere yanıt vermektir.

Üretken yapay zeka dahil olmak üzere yapay zeka teknolojilerinin hızla yayılması, algoritmaların güvenliği, eğitim verilerinin yasallığı ve yapay zekanın etik normları gibi, mevcut yasal sistemlerde yeterince öngörülmemiş sorunları ortaya çıkarmıştır. Bu sorunları yasal olarak yönetmek için bir çerçevenin oluşturulması gerekmekteydi.

Ayrıca, ağ ihlalleri, siber saldırılar ve yasa dışı bilgilerin yayılması gibi tehditler de artmakta olup, bu tehditlere karşı yasal sorumluluğun güçlendirilmesiyle caydırıcılığın artırılması gerekmekteydi.

Diğer bir arka plan ise, Çin’in ulusal stratejisi ile ilgilidir. Çin’in “Siber Güçlü Ülke” inşası ve “Genel Ulusal Güvenlik Görüşü” altında, siber uzayda egemenlik ve güvenliği korumak için ilgili yasal sistemlerin geliştirilmesi sürdürülmüştür.

Ayrıca, eski yasada cezaların nispeten hafif olması ve sonradan çıkarılan veri güvenliği yasası veya kişisel bilgilerin korunması yasası ile cezalandırma standartları arasında fark olması da bir sorun olarak görülmekteydi. Bu revizyon, bu “Veri Üç Yasası”nın entegrasyonunu güçlendirmeyi ve yasanın uygulanmasında birlik ve sıkılığı artırmayı hedeflemektedir.

Ek olarak, son yıllardaki uluslararası durumu göz önünde bulundurarak, Çin dışından gelen saldırılar veya ulusal güvenliği tehdit eden eylemlerle başa çıkmak için yasanın yurt dışı uygulama kapsamı da netleştirilmiş ve genişletilmiştir. Bu sayede, yurt dışındaki örgütler veya bireylere karşı da yaptırım önlemleri alınması mümkün hale gelmektedir.

“Japonya’da ‘Ağ Güvenliği Yasası’ Değişikliklerinin Önemli Noktaları”

Bu değişiklikle getirilen yeni yasa, eski yasadan devralınan maddi yükümlülüklerin yanı sıra, birkaç önemli yeni düzenleme ve revizyon içermektedir.

Temel Politikalar ve Yapay Zeka (AI) ile İlgili Düzenlemelerin Getirilmesi

Yeni yasa, siber güvenlik faaliyetlerinde Çin Komünist Partisi’nin liderliğini sürdürmeyi ve “genel ulusal güvenlik konsepti”ni uygulamayı açıkça belirtmiştir.

Ayrıca, bu değişiklikle birlikte, siber güvenlik yasasına ilk kez AI ile ilgili politikalar sistematik bir şekilde entegre edilmiştir. Devlet, AI’nin temel teorileri ve algoritmalarının araştırma ve geliştirilmesini desteklerken, risk izleme, güvenlik denetimi ve etik normların düzenlenmesini güçlendirmeyi ve yeni teknolojileri kullanarak siber güvenlik seviyesini artırmayı hedeflemektedir.

Güvenlik Koruma Yükümlülüğünün Güçlendirilmesi ve Kişisel Bilgi Koruma Yasası ile İşbirliği

Ağ operatörleri, iç yönetim sistemlerinin düzenlenmesi, sorumluların belirlenmesi ve teknik önlemlerin uygulanması gibi dereceli koruma sistemine uymak ve ağın güvenliğini sağlamakla yükümlüdür.

Bu değişiklikle, kişisel bilgilerin işlenmesi sırasında, yalnızca ağ güvenliği yasasına değil, aynı zamanda medeni kanun ve kişisel bilgi koruma yasası gibi düzenlemelere de uyulması gerektiği açıkça belirtilmiştir.

Böylece, ilgili yasal sistemlerin uyumu güçlendirilmiş ve daha bütüncül bir uyum sağlanması gerekliliği ortaya çıkmıştır.

Ağ Ürünleri ve Hizmetlerinin Güvenliğinin Sağlanması

Bu yasa, önemli ekipmanlar ve özel ürünlerin tedarik zincirinin güvenliğine büyük önem vermektedir. Güvenlik sertifikası veya güvenlik testi almamış ya da testten geçememiş ağ önemli ekipmanlarının satışı ve sunumu kesinlikle yasaklanmıştır.

Bu yasağa aykırı davranılması durumunda, satışın durdurulması veya yasa dışı gelirlerin el konulmasının yanı sıra, yüksek miktarda para cezası uygulanabilir.

Yasal Sorumlulukların (Cezaların) Büyük Ölçüde Güçlendirilmesi

Bu değişikliğin en önemli özelliklerinden biri, zararın ciddiyetine göre kademeli bir ceza sisteminin getirilmesi ve genel para cezası seviyesinin artırılmasıdır.

Ağ Operatörlerine Para Cezası

Yeni yasa, güvenlik koruma yükümlülüğünün ihlali durumunda, düzeltme emri ile eş zamanlı olarak doğrudan para cezası uygulanmasını mümkün kılmıştır (eski yasada sadece düzeltme önerisi vardı). Düzeltmeyi reddetme veya zarar meydana gelmesi durumunda para cezası, 50,000 yuan ile 500,000 yuan arasında olacaktır (eski yasanın üst sınırı 100,000 yuan idi).

Ayrıca, bu değişiklikle getirilen ağırlaştırılmış ceza düzenlemesi olarak, büyük veri sızıntısı veya önemli bilgi altyapısının kısmi işlev kaybı gibi ciddi zararlar meydana gelmesi durumunda 500,000 yuan ile 2,000,000 yuan arasında, önemli bilgi altyapısının ana işlev kaybı gibi özel ciddi zararlar meydana gelmesi durumunda ise 2,000,000 yuan ile 10,000,000 yuan arasında para cezası uygulanacaktır.

Bireylere (Doğrudan Sorumlulara) Para Cezası

Şirketin sorumlu kişilerine yönelik sorumluluklar da ağırlaştırılmıştır. Zararın derecesine göre, ciddi zarar durumunda doğrudan sorumlu yönetici ve diğer doğrudan sorumlulara 50,000 yuan ile 200,000 yuan arasında, özel ciddi zarar durumunda ise 200,000 yuan ile 1,000,000 yuan arasında para cezası uygulanacaktır. Ayrıca, geleneksel “yönetici”ye ek olarak, “diğer doğrudan sorumlular” da cezalandırılacaklar arasında açıkça belirtilmiştir.

Diğer Yaptırım Araçları

Para cezasının yanı sıra, işin geçici olarak durdurulması, işletmenin durdurulması ve düzenlenmesi (停业整顿), web sitesi veya uygulamanın kapatılması, işletme lisansının iptali gibi ağır idari yaptırımlar, duruma göre uygulanabilir. Özel ciddi zarar meydana gelmesi durumunda, bu önlemler zorunlu olarak uygulanacaktır.

Yurtdışı Uygulama Kapsamının Genişletilmesi

Eski yasa, Çin’in önemli bilgi altyapısını (CII) tehdit eden faaliyetlerle sınırlı olan yurtdışı uygulama kapsamını, yeni yasa ile Çin’in ağ güvenliğini genel olarak tehdit eden yabancı kurum, organizasyon ve bireyleri de kapsayacak şekilde genişletmiştir. Ciddi sonuçlar doğurması durumunda, Çin makamları varlık dondurma gibi yaptırım önlemleri alabilir.

Japon Şirketlerinin “Ağ Güvenliği Yasası” Değişikliklerine Uyum Sağlaması Gerekiyor

Yeni yasanın yürürlüğe girmesiyle birlikte, Çin’de faaliyet gösteren şirketlerin mevcut sistemlerini köklü bir şekilde gözden geçirmesi ve daha sıkı bir yönetim yapısı oluşturması gerekmektedir.

İç Güvenlik Yönetim Sisteminin Yeniden Gözden Geçirilmesi ve Güçlendirilmesi

Şirketler, kendi ağlarının siber güvenlik derecelendirme koruma sistemine uygun bir şekilde korunup korunmadığını kontrol etmelidir.

Sorumluluğun Belirlenmesi

Ağ güvenliği sorumlusunun açıkça belirlenmesi ve bu kişinin yetki ve sorumluluklarının şirket içi düzenlemelere dahil edilmesi zorunludur. Yeni yasa, bireylere yönelik para cezalarını da önemli ölçüde artırdığı için, sorumluların eğitimi ve görevlerini yerine getirmeleri için destek sağlanması, şirketlerin yasal risklerini azaltmada doğrudan etkilidir.

Teknik Önlemlerin Uygulanması

Bilgisayar virüslerini ve siber saldırıları önlemek için teknik önlemler alınmalı ve loglar en az altı ay süreyle saklanmalıdır. Ayrıca, verilerin sınıflandırılması, önemli verilerin yedeklenmesi ve şifreleme önlemlerinin en son teknoloji standartlarına uygun olup olmadığı kontrol edilmelidir.

Tedarik Zinciri Uyumluluğunun Sağlanması

Kendi bünyesinde kullanılan veya satılan ağ önemli ekipmanları ve özel ürünlerin, Çin makamlarının onayladığı güvenlik sertifikası ve denetimlerinden geçtiği sıkı bir şekilde yönetilmelidir.

Tedarik Sırasında Kontrol

Ulusal güvenliği etkileyebilecek ağ ürünleri veya hizmetleri tedarik eden CII operatörleri, ulusal güvenlik incelemesinden geçmelidir.

Gizlilik Sözleşmesi

Sağlayıcılarla güvenlik ve gizlilik konularında anlaşma yapılması ve sorumluluk alanlarının netleştirilmesi zorunludur.

Olay Müdahale ve Raporlama Sisteminin Kurulması

Güvenlik olayları meydana geldiğinde uygulanacak acil müdahale planlarının (kılavuz) hazırlanması ve düzenli eğitimlerin yapılması gerekmektedir. Olay meydana geldiğinde, derhal kurtarma önlemleri alınmalı ve yetkililere gecikmeden rapor verilmesi için bir süreç oluşturulmalıdır.

Yeni Teknolojilerin (AI) Uygulanmasında Güvenlik Değerlendirmesi

İş süreçlerine yapay zeka (AI) entegre edildiğinde, algoritmaların güvenliği ve etik kurallara uygunluğu değerlendirilmelidir. Bu yasa, AI’nın sağlıklı gelişimini teşvik ederken, risk izlemeyi güçlendirme politikasını da ortaya koymaktadır. Bu nedenle, gelecekteki denetim ve yönetim kurallarının gelişimini yakından takip etmek ve önceden önlem almak gereklidir.

Veri Sınır Ötesi Transfer Yönetimi

Önemli verilerin veya kişisel bilgilerin yurt dışına aktarılması durumunda, veri güvenliği yasası ve kişisel bilgi koruma yasasına uygun olarak güvenlik değerlendirmeleri, sertifikasyonlar ve standart sözleşmelerin yapılması gerekmektedir. Bu yasa, diğer yasalarla iş birliğini vurgulamakta ve merkezi bir veri yönetim sisteminin oluşturulmasını acil bir ihtiyaç haline getirmektedir.

Özet: Çin Ağ Güvenliği Yasası’na Uyum İçin Avukat Danışmanlığı Alın

Bu seferki Çin Ağ Güvenliği Yasası’nın revizyonu, Çin’deki dijital yönetişimin “düzeltme tavsiyeleriyle rehberlik”ten “büyük para cezalarıyla sıkı yasa uygulamalarına” geçiş yaptığını simgeliyor.

En yüksek 10 milyon yuanlık para cezası, bir şirketin yönetimi üzerinde büyük bir etki yaratabilecek bir seviyededir. Şirketlerin, her zamankinden daha fazla doğru yasa anlayışına ve dikkatli yönetim kararlarına katılım göstermesi gerekmektedir.

Aynı zamanda, 2025 yılının Ocak ayında yürürlüğe giren “Ağ Veri Güvenliği Yönetim Yönetmeliği” gibi ilgili alt düzenlemelerle ilişkileri düzenlemek ve çok katmanlı bir uyum sistemi oluşturmak, Çin pazarında iş yapmaya devam etmek için vazgeçilmez hale gelmektedir.

Bu tür yasa değişikliklerine uyum sağlama sürecinde, sadece hukuka değil, aynı zamanda IT işine de hakim olan bir avukatın desteğini kullanmak önemlidir.

Ofisimiz Tarafından Sunulan Çözümler

Monolith Hukuk Bürosu, IT, özellikle internet ve hukuk alanlarında geniş deneyime sahip bir hukuk firmasıdır. Son yıllarda, küresel iş dünyası giderek genişlemekte ve uzmanlar tarafından yapılan hukuki denetimlerin gerekliliği artmaktadır. Ofisimiz, uluslararası hukuk hizmetleri konusunda çözümler sunmaktadır.