Що таке Китайський закон про безпеку даних? Роз'яснення заходів, які повинні вжити японські компанії

Китайський закон про безпеку даних (Japanese Chinese Data Security Law) є законом у сфері даних Китаю, який набрав чинності у вересні 2021 року (вересень 2021). Він застосовується до всієї обробки даних, що відбувається в Китаї, тому компанії, які ведуть бізнес у Китаї або планують туди виходити, повинні переглянути та внести зміни до існуючих положень та управлінських стратегій. Однак, можливо, деякі ще не зрозуміли, що це за закон, або мають труднощі з визначенням необхідних заходів.

Тому в цій статті ми розглянемо основні положення Китайського закону про безпеку даних, ключові моменти для розуміння, штрафні санкції, а також заходи, які слід вжити в Японії.

Що таке Китайський закон про безпеку даних?

Китайський закон про безпеку даних (中华人民共和国数据安全法) — це закон, що стосується безпеки даних у Китаї, який набув чинності у вересні 2021 року. Він був прийнятий з метою захисту національної безпеки, подібно до Китайського закону про кібербезпеку, який був введений у червні 2017 року.

Китайський закон про кібербезпеку: закон, призначений для захисту безпеки “мережі” у Китаї

Метою Китайського закону про безпеку даних є наступне (стаття 1):

• Регулювання діяльності з обробки даних
• Забезпечення безпеки даних
• Сприяння розвитку та використанню даних
• Захист законних прав та інтересів осіб та організацій
• Захист суверенітету, безпеки та розвиткових інтересів держави

Якщо Китайський закон про кібербезпеку регулював електронні дані, то Китайський закон про безпеку даних охоплює не тільки електронні, але й нон-електронні дані, такі як паперові документи (стаття 3). Китайський закон про безпеку даних встановлює вимоги до класифікації даних, системи сертифікації безпеки даних, а також обов’язки щодо захисту безпеки даних.

Ключові аспекти розуміння Китайського закону про безпеку даних

Китайський закон про безпеку даних містить численні положення, які можуть бути складними для розуміння. У цьому розділі ми детально розглянемо наступні п’ять ключових аспектів закону про безпеку даних.

• Об’єкти регулювання
• Розробка норм класифікації та ранжування даних
• Управління безпекою даних
• Регулювання передачі даних
• Національний огляд безпеки

Об’єкти регулювання

Законодавством регулюється вся «обробка даних», що відбувається в межах Китаю. Діяльність з обробки даних, яка проводиться за межами Китаю, також підпадає під регулювання, якщо вона завдає шкоди національній безпеці Китаю, громадським інтересам або інтересам громадян та організацій.

Термін «дані» означає запис інформації, здійснений електронними чи іншими способами, і важливо зазначити, що це також включає інформацію, зафіксовану на папері. «Обробка даних» включає збір, зберігання, використання, обробку, передачу, надання, розкриття та інші подібні дії, і особи, які здійснюють ці дії, вважаються «операторами даних».

Про розробку нормативів класифікації та ранжування даних

Оператори даних повинні забезпечувати безпеку даних на основі системи ранжування захисту. Система ранжування захисту – це офіційна система оцінки для управління безпекою мережі, і в залежності від рівня, необхідні заходи реагування відрізняються. Також необхідно класифікувати дані залежно від того, наскільки велику шкоду може завдати їх знищення чи витік для національної безпеки, громадських інтересів, осіб або організацій.

Класифікація поділяється на три категорії: “загальні дані”, “важливі дані” та “основні дані”. Згідно з “Положенням про безпеку мережевих даних (проект для обговорення)”, важливими даними вважаються ті, які у разі їх зміни, знищення, витоку, незаконного отримання або використання можуть завдати шкоди національній безпеці чи громадським інтересам. Основні дані – це дані, пов’язані з національною безпекою, життєво важливими функціями національної економіки, важливими аспектами життя громадян та основними громадськими інтересами (стаття 21).

На момент написання цього тексту конкретні переліки важливих та основних даних ще не опубліковані, тому рекомендується класифікувати дані, з якими ви працюєте, на основі прикладів важливих даних, зазначених у “Положенні про безпеку мережевих даних (проект для обговорення)”. Також важливо моніторити переліки, які публікують відповідні управлінські органи.

Про управління безпекою даних

Від обробників даних вимагається виконання таких заходів:

• Проведення освіти та тренінгів з питань безпеки даних
• Виконання обов’язків щодо захисту даних на основі системи класифікації захисту
• Постійне ведення моніторингу ризиків
• Створення системи безпеки управління на всіх етапах життєвого циклу даних
• Призначення відповідальної особи
• Технічні заходи

Загалом, ці вимоги схожі на вимоги «Системи управління інформаційною безпекою (ISMS)», але необхідно звернути увагу на необхідність вживання управлінських заходів, що відповідають класифікації даних.

У випадку інциденту необхідно негайно вжити заходів, а також повідомити користувачів та відповідні органи. Крім того, при обробці важливих даних необхідно регулярно проводити оцінку ризиків та подавати звіт про оцінку ризиків відповідним регулюючим органам.

Про регулювання передачі даних

У випадку передачі важливих даних застосовуються регуляції. Згідно з положеннями Японського закону про кібербезпеку, оператори важливої інформаційної інфраструктури, які отримують або створюють важливі дані в ході діяльності в Китаї, повинні дотримуватися цих правил при міжнародній передачі даних.

Важлива інформаційна інфраструктура: суб’єкти, які управляють обладнанням у сферах, таких як енергетика, транспорт, фінанси, громадські послуги тощо, де пошкодження або витік даних може серйозно зашкодити національній безпеці, життю громадян або громадським інтересам.

Якщо обробник даних не є оператором важливої інформаційної інфраструктури, він повинен пройти оцінку безпеки міжнародної передачі даних згідно з “Японським методом оцінки безпеки передачі даних за кордон” та отримати схвалення від відповідних органів перед передачею даних.

Згідно з “Проектом постанови про управління безпекою мережевих даних (проект для збору думок)”, навіть при передачі даних, які не є важливими, за кордон, необхідно пройти оцінку безпеки від відповідних органів та отримати схвалення у таких випадках:

• Якщо міжнародні дані містять важливі дані
• Якщо оператор важливої інформаційної інфраструктури або обробник даних, який обробляє персональні дані понад мільйон осіб, передає персональні дані за кордон

Також існують такі обов’язки для осіб, які передають дані за кордон:

• Не передавати персональні дані за кордон поза межами цілей, обсягу, методів, типів та розміру даних, зазначених у звіті про оцінку впливу на захист персональних даних, поданому відділу мережевої інформації
• Не передавати персональні дані та важливі дані за кордон поза межами цілей, обсягу, типів та розміру даних, визначених у рамках оцінки безпеки відділу мережевої інформації
• Приймати та обробляти скарги користувачів, пов’язані з експортом даних
• Зберігати записи відповідних логів та записи про схвалення експорту даних протягом не менше трьох років
• У випадку, якщо експорт даних завдає шкоди законним правам та інтересам осіб, організацій або громадськості, обробник даних несе відповідальність згідно з законом

При передачі даних за кордон також необхідно створити звіт про безпеку експорту даних та звітувати про це відділу мережевої інформації відповідного району.

Про перевірку національної безпеки

Необхідно звернути увагу на те, що у разі, якщо китайський уряд визначить, що діяльність із обробки даних шкодить національній безпеці Китаю, буде проведено перевірку національної безпеки. Результати перевірки національної безпеки є остаточними, тому подання адміністративних скарг чи ведення судових процесів з метою оскарження цих результатів неможливе.

Покарання за порушення закону про захист даних

У разі порушення закону про захист даних можуть бути застосовані такі заходи, як наказ про виправлення, попередження, штрафи, призупинення діяльності для виправлення ситуації, зупинення пов’язаних операцій чи анулювання ліцензії на ведення бізнесу.

Наприклад, якщо не виконувати обов’язки, передбачені статтями 27, 29 та 30 Китайського закону про захист даних, можуть бути винесені накази про виправлення та попередження, а також накладені штрафи на прямих відповідальних осіб та інших осіб, що несуть пряму відповідальність, у розмірі від 50 тисяч до 500 тисяч юанів.

При порушенні закону про захист даних важливо звернути увагу на те, що під санкції потрапляють не тільки юридичні особи, але й прямі відповідальні особи та інші співробітники, які несуть пряму відповідальність. Оскільки порушення може мати серйозні наслідки для всієї організації, необхідно заздалегідь вжити заходів щодо дотримання законодавства.

Заходи, які японські компанії повинні вжити щодо закону про кібербезпеку даних

Оскільки закон про кібербезпеку даних застосовується до всієї обробки даних, що відбувається в Китаї, багато японських компаній мають відповідати йому. У цій статті ми детально розглянемо заходи, які японські компанії повинні вжити щодо закону про кібербезпеку даних.

Управління даними

Перш за все, ми переглянемо управління даними. Важливо чітко визначити, які дані генеруються, накопичуються та видаляються всередині компанії, та зрозуміти поточний стан обробки даних. Важливо також заздалегідь перевірити за допомогою картографування даних класифікацію даних, стан їх передачі за межі Китаю та поточні заходи управління даними.

Згідно з китайським законом про кібербезпеку даних, для важливих та основних даних вимагаються відповідні заходи захисту. Тому може знадобитися перевизначення класифікації конфіденційної інформації відповідно до цієї класифікації.

Однак на даний момент рівні безпеки для різних класифікацій залишаються невизначеними. Оскільки в майбутньому можливе уточнення, необхідно стежити за каталогами, які публікують китайські регулюючі органи. Водночас, встановлення рівнів безпеки, враховуючи класифікацію, таких як контроль доступу, аутентифікація, комунікаційна безпека, фізичні заходи, допоможе вам бути спокійними.

Крім того, перегляньте політику безпеки та застосуйте політику, що відповідає класифікації даних, визначеній за допомогою картографування даних.

Проведення та звітування оцінки ризиків

Якщо в результаті картографування даних визначено, що компанія обробляє важливі дані, необхідно провести оцінку ризиків для обробки даних. Також результати оцінки потрібно повідомити відповідним органам.

Оскільки оцінка ризиків повинна проводитися регулярно, важливо створити правила для її постійного виконання.

Навчання співробітників

У Китаї постійно вводяться нові системи, пов’язані з безпекою. Крім того, управління даними та оцінка ризиків – це не одноразові заходи. Тому необхідно регулярно переглядати та вдосконалювати процеси, а також забезпечувати навчання співробітників, щоб ці процеси стали нормою в компанії.

Не тільки юридичні та загальні відділи, але й відділи управління ризиками повинні бути залучені, тому важливою є співпраця між різними відділами. На даний момент закон все ще має невизначені аспекти, але вже були випадки застосування штрафів за порушення, тому відповідність закону про кібербезпеку даних є обов’язковою.

Особливості трьох китайських кіберзаконів

Термін “три китайські кіберзакони” відноситься до загальної назви трьох законів, прийнятих Китаєм: “Закон про кібербезпеку”, “Закон про безпеку даних” та “Закон про захист персональної інформації”. Закон про кібербезпеку спрямований на заходи проти кібератак, Закон про безпеку даних забезпечує збереження даних, а Закон про захист персональної інформації має на меті посилення безпеки персональних даних.

Пов’язана стаття: Що таке китайський Закон про кібербезпеку? Основні моменти дотримання[ja]

Таким чином, хоча кожен із цих законів має свої особливості, їх спільною рисою є встановлення адміністративних покарань, цивільної відповідальності за збитки та кримінальної відповідальності за порушення. Крім того, санкції застосовуються не лише до юридичних осіб, але й до безпосередніх відповідальних осіб, які можуть зіткнутися з забороною займатися певною діяльністю або бути внесеними до національного реєстру порушників.

Висновок: Уважно стежте за китайськими даними та швидко реагуйте на законодавчі регулювання

Китайський закон про безпеку даних – це закон, що застосовується до обробки даних у Китаї, який включає класифікацію даних, захист за рівнями, оцінку ризиків та інше. Опубліковано ряд різних законів, включаючи закон про кібербезпеку, «Закон про захист персональних даних», «Положення про управління вразливостями інтернет-продуктів» та інші, і важливо відповідно реагувати на них.

На даний момент, хоча деякі аспекти, такі як конкретні рівні безпеки за класифікацією, залишаються невизначеними, вже були випадки, коли за порушення накладалися штрафи, тому відповідь на законодавство є необхідною. Важливо уважно стежити за китайськими регуляціями та вживати відповідні заходи вже зараз.

Якщо ви розгортаєте або плануєте розгортання бізнесу в Китаї, ми рекомендуємо проконсультуватися з адвокатом, який спеціалізується на китайському законодавстві.

Заходи, що пропонує наша юридична фірма

Юридична фірма “Моноліт” має багатий досвід у сфері ІТ, зокрема інтернету, та права. У зв’язку з тим, що глобальний бізнес розширюється з кожним роком, потреба у професійній правовій перевірці постійно зростає. Наша фірма надає рішення, пов’язані з міжнародними юридичними послугами, зокрема для Китаю, США та країн Європейського Союзу.

Сфери діяльності юридичної фірми “Моноліт”: Міжнародне право та зарубіжний бізнес[ja]