Luật An ninh Dữ liệu Trung Quốc là gì? Giải thích các biện pháp mà doanh nghiệp Nhật Bản nên áp dụng

Luật An ninh Dữ liệu Trung Quốc là một đạo luật trong lĩnh vực dữ liệu của Trung Quốc, đã được thi hành vào tháng 9 năm 2021. Vì nó áp dụng cho tất cả các hoạt động xử lý dữ liệu diễn ra trong nước, các công ty đang hoạt động kinh doanh tại Trung Quốc hoặc những công ty dự định sẽ tiến vào thị trường này cần phải xem xét lại và cập nhật các quy định và chính sách quản lý hiện hành của mình. Tuy nhiên, có thể có những người chưa hiểu rõ về luật này hoặc đang băn khoăn không biết phải thực hiện những biện pháp nào.

Do đó, bài viết này sẽ giải thích tổng quan về Luật An ninh Dữ liệu Trung Quốc, các điểm cần hiểu, các hình phạt, cũng như các biện pháp phải thực hiện ở Nhật Bản.

Luật An ninh Dữ liệu Trung Quốc là gì?

Luật An ninh Dữ liệu Trung Quốc (中华人民共和国数据安全法) là một đạo luật liên quan đến an ninh dữ liệu của Trung Quốc, được thi hành vào tháng 9 năm 2021. Đạo luật này được ban hành với mục đích tương tự như “Luật An ninh Mạng Trung Quốc” đã được thi hành vào tháng 6 năm 2017, nhằm bảo vệ an ninh quốc gia.

Luật An ninh Mạng Trung Quốc: Đạo luật bảo vệ an ninh “mạng” của Trung Quốc

Mục tiêu của Luật An ninh Dữ liệu Trung Quốc được mô tả như sau (Điều 1):

• Quy định hoạt động xử lý dữ liệu
• Đảm bảo an ninh dữ liệu
• Khuyến khích phát triển và sử dụng dữ liệu
• Bảo vệ quyền và lợi ích hợp pháp của cá nhân và tổ chức
• Bảo vệ chủ quyền, an ninh và lợi ích phát triển của quốc gia

Trong khi Luật An ninh Mạng Trung Quốc tập trung vào việc quy định dữ liệu điện tử, thì Luật An ninh Dữ liệu Trung Quốc cũng bao gồm việc quy định dữ liệu không điện tử như dữ liệu trên giấy (Điều 3). Luật An ninh Dữ liệu Trung Quốc quy định về việc phân loại dữ liệu, thiết lập hệ thống chứng nhận an ninh dữ liệu, và nghĩa vụ bảo vệ an ninh dữ liệu.

Những Điểm Cần Lưu Ý Khi Hiểu Luật An Ninh Dữ Liệu Trung Quốc

Luật An Ninh Dữ Liệu Trung Quốc bao gồm nhiều quy định phức tạp, và có thể nhiều người sẽ cảm thấy khó hiểu. Dưới đây, chúng tôi sẽ giải thích chi tiết về nội dung của Luật An Ninh Dữ Liệu thông qua 5 điểm chính sau.

• Đối tượng điều chỉnh
• Về việc thiết lập tiêu chuẩn phân loại và xếp hạng dữ liệu
• Quản lý an ninh dữ liệu
• Quy định về việc chuyển giao dữ liệu
• Về việc kiểm tra an ninh quốc gia

Đối tượng quy định

Các dữ liệu được quy định bởi pháp luật bao gồm tất cả các hoạt động “xử lý dữ liệu” diễn ra trong lãnh thổ Trung Quốc. Ngay cả khi hoạt động xử lý dữ liệu được thực hiện bên ngoài Trung Quốc, nếu chúng gây hại đến an ninh quốc gia, lợi ích công cộng, hoặc lợi ích của công dân và tổ chức Trung Quốc, các quy định này cũng sẽ được áp dụng.

“Dữ liệu” được hiểu là thông tin được ghi lại bằng phương pháp điện tử hoặc các phương thức khác, bao gồm cả thông tin trên giấy tờ, điều này cần được chú ý. “Xử lý dữ liệu” bao gồm các hoạt động như thu thập, lưu trữ, sử dụng, xử lý, truyền đạt, cung cấp, và tiết lộ dữ liệu, và những người thực hiện các hoạt động này được gọi là “người xử lý dữ liệu”.

Về việc thiết lập tiêu chuẩn phân loại và xếp hạng dữ liệu

Những người xử lý dữ liệu phải đảm bảo an ninh dữ liệu dựa trên hệ thống bảo vệ theo xếp hạng. Hệ thống bảo vệ theo xếp hạng là một hệ thống đánh giá công cộng đối với cơ cấu quản lý an ninh mạng, và các biện pháp phải được thực hiện tùy thuộc vào xếp hạng. Ngoài ra, dữ liệu phải được phân loại dựa trên mức độ tổn thất lớn mà nó có thể gây ra cho an ninh quốc gia, lợi ích công cộng, cá nhân hay tổ chức do hậu quả của việc hủy hoại, rò rỉ dữ liệu, v.v.

Phân loại dữ liệu được chia thành ba loại: “Dữ liệu thông thường”, “Dữ liệu quan trọng” và “Dữ liệu cốt lõi”. Theo “Quy tắc quản lý an toàn dữ liệu mạng (bản dự thảo lấy ý kiến)”, dữ liệu quan trọng được định nghĩa là “dữ liệu mà nếu bị chỉnh sửa, hủy hoại, rò rỉ, thu thập hoặc sử dụng trái phép có thể gây hại cho an ninh quốc gia, lợi ích công cộng”. Dữ liệu cốt lõi liên quan đến an ninh quốc gia, huyết mạch kinh tế quốc dân, cuộc sống quan trọng của người dân, và lợi ích công cộng chủ yếu (Điều 21).

Tại thời điểm viết bài, vẫn chưa có danh mục cụ thể nào cho dữ liệu quan trọng và dữ liệu cốt lõi, do đó, việc tham khảo các ví dụ về dữ liệu quan trọng được nêu trong “Quy tắc quản lý an toàn dữ liệu mạng (bản dự thảo lấy ý kiến)” để phân loại dữ liệu đang xử lý là một ý tưởng tốt. Đồng thời, việc theo dõi danh mục được công bố bởi các cơ quan có thẩm quyền cũng rất quan trọng.

Về Quản lý An ninh Dữ liệu

Những yêu cầu đối với người xử lý dữ liệu bao gồm các vấn đề sau đây:

• Thực hiện giáo dục và đào tạo về an ninh dữ liệu
• Nghĩa vụ bảo vệ an ninh dữ liệu dựa trên hệ thống bảo vệ theo cấp độ
• Thực hiện giám sát rủi ro một cách liên tục
• Thiết lập hệ thống quản lý an toàn trong toàn bộ vòng đời dữ liệu
• Thiết lập vị trí người chịu trách nhiệm
• Biện pháp kỹ thuật

Cơ bản thì nó tương tự như yêu cầu của “Hệ thống Quản lý An ninh Thông tin (ISMS)”, tuy nhiên, cần chú ý đến việc áp dụng các biện pháp quản lý phù hợp với phân loại dữ liệu.

Khi xảy ra sự cố, cần phải ngay lập tức thực hiện các biện pháp và báo cáo cho người dùng cũng như cơ quan chức năng. Ngoài ra, khi xử lý dữ liệu quan trọng, cần phải thực hiện đánh giá rủi ro định kỳ và nộp báo cáo đánh giá rủi ro cho cơ quan quản lý liên quan.

Về quy định chuyển giao dữ liệu

Đối với việc chuyển giao dữ liệu, các quy định sẽ được áp dụng đối với dữ liệu quan trọng. Người vận hành cơ sở hạ tầng thông tin quan trọng, khi chuyển giao dữ liệu quan trọng thu thập hoặc tạo ra trong quá trình hoạt động tại Trung Quốc qua biên giới, sẽ phải tuân theo quy định của Luật An ninh mạng.

Cơ sở hạ tầng thông tin quan trọng: Những người vận hành cơ sở có khả năng đe dọa an ninh quốc gia nếu bị tổn hại, trong các lĩnh vực có thể gây ra tổn thất nghiêm trọng cho an ninh quốc gia, cuộc sống của người dân và lợi ích công cộng như năng lượng, vận tải, tài chính, dịch vụ công cộng, do hư hỏng hoặc rò rỉ dữ liệu.

Nếu không phải là người vận hành cơ sở hạ tầng thông tin quan trọng mà là người xử lý dữ liệu, họ sẽ phải tuân theo “Quy tắc đánh giá an toàn chuyển giao dữ liệu ra nước ngoài”, trải qua đánh giá an toàn của cơ quan chức năng và chỉ được chuyển giao sau khi đã đạt yêu cầu.

Theo “Quy chế quản lý an toàn dữ liệu mạng (dự thảo đang kêu gọi ý kiến)”, ngay cả khi chuyển giao dữ liệu không quan trọng ra nước ngoài, trong các trường hợp sau đây cũng cần phải trải qua đánh giá an toàn của cơ quan chức năng và phải đạt yêu cầu:

• Khi dữ liệu chuyển qua biên giới bao gồm dữ liệu quan trọng
• Khi người vận hành cơ sở hạ tầng thông tin quan trọng, hoặc người xử lý dữ liệu của hơn một triệu thông tin cá nhân cung cấp thông tin cá nhân ra nước ngoài

Ngoài ra, những người chuyển giao dữ liệu ra nước ngoài cũng có các nghĩa vụ sau:

• Không cung cấp thông tin cá nhân ra nước ngoài vượt quá mục đích, phạm vi, phương thức, loại dữ liệu, kích thước, v.v. được ghi trong báo cáo đánh giá ảnh hưởng bảo vệ thông tin cá nhân đã nộp cho bộ phận thông tin mạng
• Không cung cấp thông tin cá nhân và dữ liệu quan trọng ra nước ngoài vượt quá mục đích, phạm vi, loại dữ liệu, kích thước, v.v. được chỉ định trong đánh giá an ninh của bộ phận thông tin mạng
• Tiếp nhận và xử lý khiếu nại của người dùng liên quan đến xuất khẩu dữ liệu
• Lưu trữ bản ghi liên quan và bản ghi phê duyệt xuất khẩu dữ liệu ít nhất 3 năm
• Nếu việc xuất khẩu dữ liệu gây hại cho quyền lợi hợp pháp và lợi ích của cá nhân, tổ chức, lợi ích công cộng, người xử lý dữ liệu sẽ phải chịu trách nhiệm theo pháp luật

Khi chuyển giao dữ liệu ra nước ngoài, người chuyển giao cũng có nghĩa vụ phải tạo báo cáo an ninh xuất khẩu dữ liệu và báo cáo cho bộ phận thông tin mạng của khu vực.

Về Đánh giá An ninh Quốc gia

Cần phải chú ý rằng, nếu hoạt động xử lý dữ liệu được chính phủ Trung Quốc đánh giá là gây hại cho an ninh quốc gia, một Đánh giá An ninh Quốc gia sẽ được tiến hành. Kết quả của Đánh giá An ninh Quốc gia này sẽ là quyết định cuối cùng, do đó không thể đưa ra khiếu nại hay khởi kiện thông qua các thủ tục hành chính hay tố tụng.

Hình phạt theo Luật Bảo mật Dữ liệu

Nếu vi phạm Luật Bảo mật Dữ liệu, bạn có thể phải đối mặt với các hình phạt như lệnh sửa chữa, cảnh báo, tiền phạt, đình chỉ hoạt động kinh doanh để sửa chữa, đình chỉ các hoạt động liên quan, hoặc thậm chí là thu hồi giấy phép kinh doanh.

Ví dụ, theo Điều 27, 29 và 30 của Luật Bảo mật Dữ liệu Trung Quốc, nếu không thực hiện các nghĩa vụ được quy định, ngoài việc nhận lệnh sửa chữa và cảnh báo, người chịu trách nhiệm trực tiếp và các cá nhân khác có trách nhiệm trực tiếp có thể bị phạt từ 50.000 nhân dân tệ đến 500.000 nhân dân tệ.

Khi vi phạm Luật Bảo mật Dữ liệu, không chỉ các tổ chức pháp nhân mà còn cả những người chịu trách nhiệm trực tiếp và nhân viên có trách nhiệm trực tiếp khác cũng sẽ bị áp dụng hình phạt. Cần lưu ý rằng, nếu bị phạt do vi phạm, điều này có thể gây ra ảnh hưởng lớn đến toàn bộ tổ chức, do đó, việc chuẩn bị các biện pháp đối phó với luật là điều cần thiết.

Biện pháp đối phó với luật bảo mật dữ liệu mà các doanh nghiệp Nhật Bản nên thực hiện

Luật Bảo mật Dữ liệu của Trung Quốc áp dụng cho tất cả các hoạt động xử lý dữ liệu diễn ra trong nước, do đó, có thể nói rằng có nhiều doanh nghiệp Nhật Bản cần phải đối phó với nó. Dưới đây, chúng tôi sẽ giải thích chi tiết các biện pháp mà các doanh nghiệp Nhật Bản nên thực hiện để tuân thủ luật Bảo mật Dữ liệu.

Quản lý dữ liệu

Đầu tiên, chúng ta cần xem xét lại cách quản lý dữ liệu. Cần làm rõ trong công ty mình, dữ liệu nào được tạo ra, lưu trữ và xóa bỏ như thế nào, từ đó nắm bắt được tình hình hiện tại của việc xử lý dữ liệu. Việc kiểm tra trước các biện pháp quản lý dữ liệu hiện tại, phân loại dữ liệu, tình trạng chuyển dữ liệu ra ngoài Trung Quốc thông qua việc lập bản đồ dữ liệu cũng rất quan trọng.

Theo Luật Bảo mật Dữ liệu của Trung Quốc, các biện pháp bảo vệ cụ thể được yêu cầu đối với dữ liệu quan trọng và dữ liệu cốt lõi. Do đó, cần phải xác định lại phân loại bảo mật thông tin theo từng loại dữ liệu.

Tuy nhiên, hiện tại vẫn còn những phần không rõ ràng về mức độ bảo mật theo từng loại dữ liệu. Vì có khả năng sẽ được làm rõ hơn trong tương lai, việc theo dõi danh mục công bố từ các cơ quan quản lý của Trung Quốc là không thể thiếu. Đồng thời, việc thiết lập mức độ bảo mật dựa trên phân loại, bao gồm kiểm soát truy cập, xác thực, bảo mật thông tin liên lạc, và các biện pháp vật lý, cũng sẽ giúp bạn an tâm hơn.

Ngoài ra, việc xem xét lại chính sách bảo mật và áp dụng chính sách phù hợp với từng loại dữ liệu đã được phân loại thông qua việc lập bản đồ dữ liệu cũng là một bước quan trọng.

Thực hiện và báo cáo đánh giá rủi ro

Khi việc lập bản đồ dữ liệu cho thấy công ty bạn xử lý dữ liệu quan trọng, bạn cần tiến hành đánh giá rủi ro đối với việc xử lý dữ liệu đó và báo cáo kết quả cho cơ quan chức năng.

Đánh giá rủi ro cần được thực hiện định kỳ, do đó việc thiết lập quy tắc để có thể thực hiện một cách thường xuyên là rất quan trọng.

Đào tạo nhân viên

Ở Trung Quốc, các quy định liên quan đến bảo mật đang được ban hành liên tục. Hơn nữa, việc quản lý dữ liệu và đánh giá rủi ro không phải là hoạt động chỉ thực hiện một lần mà thôi. Do đó, việc đào tạo nhân viên để họ có thể thường xuyên xem xét lại và cải thiện, giúp các quy trình này trở nên vững chắc trong công ty là cần thiết.

Không chỉ phòng pháp chế hay tổng vụ mà cả bộ phận quản lý rủi ro cũng cần tham gia, vì vậy sự phối hợp giữa các bộ phận là rất quan trọng. Mặc dù hiện tại vẫn còn những điểm không rõ ràng trong luật, nhưng đã có trường hợp bị áp dụng hình phạt do vi phạm, nên có thể nói rằng việc tuân thủ Luật Bảo mật Dữ liệu là điều không thể thiếu.

Đặc điểm của ba đạo luật về an ninh mạng Trung Quốc

Ba đạo luật về an ninh mạng Trung Quốc bao gồm “Luật An ninh Mạng,” “Luật Bảo vệ Dữ liệu,” và “Luật Bảo vệ Thông tin Cá nhân.” Luật An ninh Mạng nhằm mục đích đối phó với các cuộc tấn công mạng, Luật Bảo vệ Dữ liệu nhằm bảo toàn dữ liệu, và Luật Bảo vệ Thông tin Cá nhân nhằm tăng cường bảo mật thông tin cá nhân.

Bài viết liên quan: Luật An ninh Mạng Trung Quốc là gì? Giải thích các điểm cần tuân thủ[ja]

Như vậy, mặc dù mỗi đạo luật có những điểm khác biệt, nhưng điểm chung đáng chú ý là tất cả đều quy định về trách nhiệm hành chính, bồi thường thiệt hại dân sự và trách nhiệm hình sự đối với các hành vi vi phạm. Ngoài ra, đối tượng vi phạm không chỉ bao gồm các pháp nhân mà còn áp dụng cho những người chịu trách nhiệm trực tiếp, có nguy cơ bị cấm tham gia cùng loại công việc hoặc thông tin về họ có thể được đăng tải trên cơ sở dữ liệu vi phạm của quốc gia.

Tóm tắt: Cần chú ý đến quy định về dữ liệu của Trung Quốc và phản ứng nhanh chóng

Luật An ninh Dữ liệu của Trung Quốc là luật áp dụng cho việc xử lý dữ liệu tại Trung Quốc, quy định về phân loại và xếp hạng bảo vệ dữ liệu, đánh giá rủi ro, v.v. Bên cạnh đó, nhiều luật khác như Luật An ninh Mạng, Luật Bảo vệ Thông tin Cá nhân, Quy định quản lý lỗ hổng bảo mật của sản phẩm Internet cũng đã được công bố, và việc tuân thủ các luật này là không thể thiếu.

Mặc dù hiện tại vẫn còn những phần không rõ ràng như việc chưa cụ thể hóa các cấp độ an ninh theo phân loại, nhưng đã có trường hợp bị phạt tiền do vi phạm, nên có thể nói rằng việc tuân thủ luật là cần thiết. Quan trọng là phải chú ý đến quy định pháp luật của Trung Quốc và thực hiện các biện pháp phản ứng ngay lập tức.

Nếu bạn đang kinh doanh hoặc có kế hoạch kinh doanh tại Trung Quốc, chúng tôi khuyên bạn nên tham khảo ý kiến của luật sư am hiểu pháp luật Trung Quốc.

Giới thiệu các biện pháp của Văn phòng Luật sư Monolith

Văn phòng Luật sư Monolith là một văn phòng luật sư có kinh nghiệm phong phú trong cả hai lĩnh vực IT, đặc biệt là Internet và luật pháp. Trong những năm gần đây, kinh doanh toàn cầu ngày càng mở rộng, và nhu cầu kiểm tra pháp lý bởi các chuyên gia ngày càng tăng. Văn phòng chúng tôi cung cấp các giải pháp liên quan đến pháp luật quốc tế, bao gồm cả Trung Quốc, Hoa Kỳ và các quốc gia thuộc Liên minh Châu Âu (EU).

Lĩnh vực hoạt động của Văn phòng Luật sư Monolith: Pháp luật quốc tế & Kinh doanh nước ngoài[ja]