Luật An ninh mạng của Trung Quốc là gì? Giải thích các điểm cần tuân thủ

Theo “Đặc biệt kế hoạch: Khảo sát xu hướng ‘Tiến vào Trung Quốc’ của các doanh nghiệp Nhật Bản (năm 2022)” của Teikoku Databank, có đường link tại đây[ja], số lượng doanh nghiệp Nhật Bản đã tiến vào Trung Quốc là 12,706 công ty. Có thể nói rằng số lượng công ty liên quan đến kinh doanh với Trung Quốc còn nhiều hơn thế. Tại Trung Quốc, “Luật An ninh Mạng Trung Quốc” đã được thi hành từ năm 2017.

Do đó, để phát triển kinh doanh tại Trung Quốc, các công ty phải thực hiện việc sửa đổi quy định theo luật và áp dụng các biện pháp bảo vệ kỹ thuật. Tuy nhiên, có thể có những người không biết luật này là gì hoặc không biết cách ứng phó như thế nào.

Vì vậy, trong bài viết này, chúng tôi sẽ giải thích tổng quan về “Luật An ninh Mạng Trung Quốc”, các đối tượng bị quy định và các biện pháp nên áp dụng. Những ai đang kinh doanh tại Trung Quốc hoặc đang cân nhắc tiến vào thị trường này, xin hãy tham khảo.

Tổng quan về Luật An ninh mạng Trung Quốc

Luật An ninh mạng Trung Quốc (网络安全法) là luật của Trung Quốc được thi hành vào tháng 6 năm 2017. Mục tiêu của luật này được mô tả trong Điều 1 như sau:

• Đảm bảo an toàn mạng
• Bảo vệ chủ quyền không gian mạng, an ninh quốc gia và lợi ích công cộng
• Bảo vệ quyền lợi hợp pháp của công dân, pháp nhân và các tổ chức khác
• Thúc đẩy phát triển thông tin hóa kinh tế và xã hội

Mạng lưới được định nghĩa là “các thiết bị máy tính hoặc thông tin khác và thiết bị liên quan, được cấu thành theo một số quy tắc và chương trình nhất định để thu thập, lưu trữ, truyền đạt, trao đổi, xử lý thông tin (Điều 76)” và không chỉ bao gồm Internet mà còn cả Intranet.

Luật An ninh mạng Trung Quốc khác biệt so với Quy định Bảo vệ Dữ liệu Chung của EU (GDPR) hay Luật Bảo vệ Thông tin Cá nhân của Nhật Bản (Japanese Personal Information Protection Law) ở chỗ nó không chỉ bảo vệ “thông tin cá nhân và tổ chức” mà còn nhằm “bảo vệ an ninh quốc gia và lợi ích công cộng của Trung Quốc”. Luật này quy định các doanh nghiệp liên quan phải thực hiện bảo vệ an ninh mạng theo cấp độ, tuân thủ quy định pháp luật và làm rõ quyền lợi và nghĩa vụ.

Về pháp luật liên quan đến an ninh, còn có Luật An ninh Dữ liệu Trung Quốc nữa.

Bài viết liên quan: Luật An ninh Dữ liệu Trung Quốc là gì? Giải thích các biện pháp mà doanh nghiệp Nhật Bản nên thực hiện[ja]

Đối tượng điều chỉnh của Luật An ninh mạng Trung Quốc

Các doanh nghiệp Nhật Bản trở thành đối tượng của Luật An ninh mạng Trung Quốc trong các trường hợp sau đây:

• Có việc xử lý thông tin bên trong Trung Quốc
• Chuyển thông tin từ Trung Quốc sang Nhật Bản

Dù có trụ sở tại Nhật Bản, nếu rơi vào các trường hợp trên thì doanh nghiệp đó sẽ thuộc phạm vi điều chỉnh của luật. Ngoài ra, các đối tượng bị điều chỉnh bao gồm “Người điều hành mạng lưới” và “Người điều hành cơ sở hạ tầng thông tin quan trọng”.

Người điều hành mạng lưới là người sở hữu, quản lý mạng lưới hoặc cung cấp dịch vụ mạng lưới.

Người điều hành cơ sở hạ tầng thông tin quan trọng là người vận hành các cơ sở có thể gây ra thiệt hại lớn cho an ninh quốc gia, cuộc sống của người dân và lợi ích công cộng thông qua hư hỏng hoặc rò rỉ dữ liệu trong các lĩnh vực có khả năng đe dọa an ninh quốc gia như năng lượng, vận tải, tài chính, dịch vụ công cộng và các lĩnh vực khác.

Nội dung của Luật An ninh mạng Trung Quốc

Luật An ninh mạng Trung Quốc quy định các nghĩa vụ sau đây:

• Thiết lập cấp độ an ninh mạng
• Phù hợp với các tiêu chuẩn bắt buộc của quốc gia
• Yêu cầu đăng ký thông tin thật
• Nghĩa vụ đối với các nhà điều hành cơ sở hạ tầng thông tin quan trọng
• Xây dựng hệ thống quản lý và phản ứng

Sau đây, chúng tôi sẽ giải thích chi tiết từng nội dung.

Thiết lập cấp độ bảo mật mạng

Theo Điều 21 của Luật An ninh mạng Trung Quốc, các nhà điều hành mạng cần tuân thủ “hệ thống bảo vệ theo cấp độ”, và các công ty hoặc tổ chức sở hữu mạng tại Trung Quốc cần phải có chứng nhận bảo vệ theo cấp độ.

Hệ thống bảo vệ theo cấp độ là một hệ thống đánh giá công cộng đối với cơ cấu quản lý an ninh mạng. Phạm vi áp dụng bao gồm các lĩnh vực sau:

• Cơ sở hạ tầng mạng
• IoT
• Hệ thống kiểm soát công nghiệp
• Trang web Internet quy mô lớn & Trung tâm dữ liệu
• Nền tảng dịch vụ công cộng

Theo hệ thống bảo vệ theo cấp độ, hệ thống thông tin được phân loại thành 5 cấp độ dựa trên phạm vi và quy mô thiệt hại khi hệ thống bị hỏng.

Định nghĩa của từng cấp độ như sau:

Tùy theo từng cấp độ, các tiêu chuẩn an ninh thông tin cần tuân thủ đã được thiết lập. Thông thường, nhà điều hành mạng cần tuân thủ từ cấp độ 2 trở lên, trong khi nhà điều hành cơ sở hạ tầng thông tin quan trọng cần tuân thủ từ cấp độ 3 trở lên.

Để đạt được cấp độ, nhà điều hành cần tự đăng ký cấp độ với cơ quan chức năng, nhưng cuối cùng cần phải có sự đồng ý từ Bộ Công an. Ngoài ra, theo hệ thống bảo vệ theo cấp độ, từ cấp độ 2 trở lên cần phải được đánh giá bởi cơ quan đánh giá. Cần lưu ý rằng vi phạm hệ thống bảo vệ theo cấp độ có thể dẫn đến việc áp dụng mức phạt tiền.

Tuân thủ Tiêu chuẩn Bắt buộc của Quốc gia

Nhà cung cấp sản phẩm và dịch vụ Internet phải đảm bảo rằng các dịch vụ của họ tuân thủ các tiêu chuẩn bắt buộc của quốc gia (Điều 22). Nhà cung cấp không được phép cài đặt các chương trình độc hại.

Ngoài ra, khi phát hiện sản phẩm hoặc dịch vụ có khuyết điểm, lỗ hổng bảo mật, hoặc các rủi ro khác, nhà cung cấp phải ngay lập tức thực hiện các biện pháp cần thiết, thông báo cho người dùng và báo cáo với cơ quan quản lý có thẩm quyền.

Vào tháng 9 năm 2021 (Reiwa 3), quy định về quản lý lỗ hổng bảo mật sản phẩm Internet dành cho các nhà điều hành mạng, “Quy định Quản lý Lỗ hổng Bảo mật Sản phẩm Internet” (网络产品安全漏洞管理规定) đã được thi hành. Do đó, cần tham khảo và tuân thủ quy định này.

Yêu cầu đăng ký bằng tên thật

Khi cung cấp các dịch vụ như kết nối mạng, thủ tục kết nối mạng điện thoại cố định và di động, dịch vụ chia sẻ thông tin, dịch vụ tin nhắn tức thì, v.v., người cung cấp dịch vụ phải yêu cầu người dùng đăng ký bằng tên thật. Nếu người dùng không đăng ký bằng tên thật, không được phép cung cấp dịch vụ cho họ.

Ngoài ra, người vận hành mạng cũng có nghĩa vụ phải xem xét liệu thông tin mà người dùng phát tán có vi phạm pháp luật hay không.

Nghĩa vụ của các nhà điều hành cơ sở hạ tầng thông tin quan trọng

Nhà điều hành cơ sở hạ tầng thông tin quan trọng không chỉ cần thực hiện các biện pháp bảo mật mà còn phải áp dụng các biện pháp sau đây:

• Thực hiện sao lưu định kỳ hệ thống và cơ sở dữ liệu
• Xây dựng kế hoạch ứng phó với sự cố an ninh mạng
• Đánh giá an toàn hàng năm
• Định vị dữ liệu tại địa phương

Định vị dữ liệu tại địa phương: Quá trình lưu trữ và xử lý dữ liệu trong phạm vi biên giới của quốc gia nơi dữ liệu được tạo ra

Luật Bảo vệ An toàn Cơ sở Hạ tầng Thông tin Quan trọng (Japanese Important Information Infrastructure Facility Safety Protection Ordinance), có hiệu lực từ tháng 9 năm 2021 (2021), đã cụ thể hóa quản lý, công nhận và nghĩa vụ của nhà điều hành cơ sở hạ tầng thông tin quan trọng, do đó cần phải tham khảo thêm.

Xây dựng hệ thống quản lý và phản hồi

Các yêu cầu đối với người vận hành mạng lưới bao gồm những điều sau đây (Điều 21).

• Thiết lập hệ thống quản lý an toàn và quy trình vận hành
• Xác định người chịu trách nhiệm an toàn mạng lưới
• Lập kế hoạch phản ứng và chuẩn bị các biện pháp kỹ thuật đối với sự cố an ninh mạng
• Áp dụng công nghệ giám sát mạng lưới, lưu trữ log (ít nhất 6 tháng)
• Phân loại dữ liệu, bảo vệ dữ liệu quan trọng bằng cách sao lưu và mã hóa

Quy định khi vi phạm Luật An ninh mạng

Khi vi phạm các yêu cầu bảo mật theo hệ thống bảo vệ cấp độ, bạn sẽ nhận được lệnh sửa chữa và cảnh báo. Nếu bạn từ chối lệnh này hoặc đe dọa an toàn của mạng lưới, bạn sẽ phải nộp phạt từ 10.000 nhân dân tệ (tương đương khoảng 35 triệu đồng Việt Nam) đến 100.000 nhân dân tệ (tương đương khoảng 350 triệu đồng Việt Nam). Ngoài ra, người chịu trách nhiệm trực tiếp sẽ bị phạt từ 5.000 nhân dân tệ (tương đương khoảng 17,5 triệu đồng Việt Nam) đến 50.000 nhân dân tệ (tương đương khoảng 175 triệu đồng Việt Nam).

Nếu bạn cài đặt chương trình độc hại hoặc không thực hiện biện pháp đối với rủi ro như lỗi sản phẩm, dịch vụ hoặc lỗ hổng bảo mật, bạn cũng sẽ nhận được lệnh sửa chữa và cảnh báo. Nếu bạn từ chối, bạn sẽ phải đối mặt với việc nộp phạt.

Mức phạt sẽ thay đổi tùy theo nội dung vi phạm, và bạn cũng có thể bị yêu cầu đóng cửa trang web, hủy bỏ giấy phép kinh doanh, hoặc tạm dừng hoạt động kinh doanh, vì vậy cần phải hết sức chú ý. Trong quá khứ, đã có trường hợp bị phạt tiền do vi phạm và người chịu trách nhiệm bị cấm tham gia ngành nghề tương tự suốt đời, do đó, việc thực hiện các biện pháp an ninh mạng là điều không thể thiếu.

Biện pháp đối phó với luật an ninh mạng mà các doanh nghiệp Nhật Bản nên thực hiện

Luật An ninh mạng của Trung Quốc khá phức tạp, nên có thể có người không biết phải bắt đầu từ đâu. Bài viết này sẽ giải thích các biện pháp mà các doanh nghiệp Nhật Bản nên thực hiện.

Xây dựng hệ thống phối hợp với bộ phận hệ thống thông tin và các bộ phận liên quan đến DX

Để đáp ứng Luật An ninh mạng của Trung Quốc, cần thiết phải xây dựng quy trình vận hành và soạn thảo hoặc bổ sung quy định quản lý thông tin cá nhân. Ngoài ra, để tuân thủ hệ thống bảo vệ theo cấp độ, không thể thiếu các biện pháp kỹ thuật đối với hệ thống của công ty.

Thay vì từng bộ phận như pháp chế hay tổng vụ tự xử lý, cần thiết lập hệ thống phối hợp với bộ phận hệ thống thông tin và các bộ phận liên quan đến DX.

Xác định cấp độ phù hợp cho từng hệ thống mà công ty sở hữu

Đầu tiên, công ty cần xác định cấp độ của hệ thống của mình. Tùy thuộc vào cấp độ đó, mỗi bộ phận cần thực hiện các biện pháp an ninh mạng phù hợp. Các bộ phận như pháp chế, tổng vụ, quản lý rủi ro cần xem xét lại và sửa đổi quy định và quy trình vận hành để phù hợp với luật, trong khi đó, bộ phận hệ thống thông tin và DX cần đáp ứng về mặt kỹ thuật. Bài viết này sẽ giải thích cụ thể về các biện pháp đối ứng của từng bộ phận.

Bộ phận pháp chế, tổng vụ, quản lý rủi ro

Cần so sánh các yêu cầu theo cấp độ được quy định với tình hình quản lý và hệ thống an ninh thông tin của công ty, sau đó xem xét việc bổ sung quy định và điều chỉnh hệ thống vận hành. Từ đó, xem xét cách đối phó và thực hiện việc xây dựng hoặc sửa đổi hệ thống.

Nếu cấp độ là cấp 2 trở lên, cần phải thông báo cho cơ quan chức năng. Trong trường hợp công ty được coi là người vận hành cơ sở hạ tầng thông tin quan trọng, sẽ cần phải có chứng nhận bảo vệ theo cấp độ từ cấp 3 trở lên. Ngoài ra, cần phải đối phó với quy định về định vị dữ liệu tại địa phương, đào tạo an ninh thông tin và kỹ thuật cho nhân viên một cách định kỳ, và nhiều vấn đề khác cần giải quyết. Nếu có khả năng công ty thuộc diện người vận hành cơ sở hạ tầng thông tin quan trọng, nên thảo luận với luật sư tư vấn để xác định phương hướng đối phó sẽ an tâm hơn.

Gần đây, Trung Quốc đã liên tục ban hành các hệ thống liên quan đến an ninh. Do đó, bộ phận quản lý rủi ro cần phải đối phó với rủi ro theo các quy định mới.

Bộ phận hệ thống thông tin và DX

Bộ phận hệ thống thông tin và các bộ phận liên quan đến DX cần triển khai hệ thống bảo vệ an ninh phù hợp với cấp độ. Đầu tiên, cần sắp xếp các biện pháp bảo vệ an ninh của hệ thống hiện có của công ty, và nếu thiếu, cần tích hợp hệ thống phù hợp với Luật An ninh mạng.

Ngoài Luật An ninh mạng, cũng cần phải đối phó với quy định về định vị dữ liệu tại địa phương, hạn chế vượt biên giới, và quyền truy cập của chính phủ. Cần nắm rõ dữ liệu nào đang được chuyển giao ra ngoài Trung Quốc, và xem xét lại tình hình thu thập và lưu trữ dữ liệu của công ty.

Luật An ninh mạng không chỉ yêu cầu sửa đổi quy định mà còn cần thực hiện các biện pháp bảo vệ kỹ thuật, do đó sự phối hợp giữa các bộ phận liên quan là không thể thiếu.

Tóm lược: Khi gặp khó khăn trong việc đối phó của công ty, hãy tham khảo ý kiến từ chuyên gia

Luật An ninh mạng Trung Quốc là hệ thống quy định được thiết lập nhằm bảo vệ an ninh quốc gia của Trung Quốc. Để tuân thủ Luật An ninh mạng, không chỉ cần sửa đổi quy định của phòng pháp chế hay phòng tổng vụ, mà còn cần thực hiện các biện pháp bảo vệ kỹ thuật.

Kể từ khi Luật An ninh mạng được thi hành, nhiều luật liên quan đến tuân thủ dữ liệu như “Quy định quản lý lỗ hổng bảo mật của sản phẩm internet” hay “Quy tắc xét duyệt an ninh mạng (hệ thống cụ thể hóa quy định về xét duyệt an ninh quốc gia)” đã được ban hành liên tiếp. Vi phạm có thể dẫn đến các hình phạt như tiền phạt, đóng cửa trang web, hoặc thu hồi giấy phép kinh doanh, vì vậy cần phải cẩn trọng. Nếu bạn đang kinh doanh hoặc có kế hoạch kinh doanh tại Trung Quốc, chúng tôi khuyên bạn nên tham khảo ý kiến từ luật sư am hiểu pháp luật Trung Quốc.

Giới thiệu các biện pháp của Văn phòng Luật sư Monolith

Văn phòng Luật sư Monolith là một văn phòng luật sư chuyên về IT, Internet và kinh doanh. Chúng tôi đã hỗ trợ các vấn đề pháp lý ở nhiều quốc gia khác nhau như Trung Quốc, Hoa Kỳ, các nước EU và nhiều nước khác trên thế giới. Khi triển khai kinh doanh ở nước ngoài, việc đối mặt với nhiều rủi ro pháp lý là điều không thể tránh khỏi, do đó, sự hỗ trợ từ các luật sư giàu kinh nghiệm là vô cùng cần thiết. Văn phòng chúng tôi am hiểu sâu sắc về luật pháp và quy định địa phương, và đã hợp tác với các văn phòng luật sư trên khắp thế giới.

Lĩnh vực hoạt động của Văn phòng Luật sư Monolith: Pháp lý quốc tế và kinh doanh nước ngoài[ja]