中国数据安全法是什么?解析日本企业应采取的对策
中国数据安全法是一项适用于中国数据领域的法律,已于2021年9月(公历2021年)开始实施。该法律适用于在中国境内进行的所有数据处理活动,因此,在中国开展业务或计划未来进入中国市场的企业,需要重新审视和修订现有的规定和管理策略。然而,可能有些人尚未理解这项法律的内容,或对应采取何种措施感到困惑。
因此,本文将解读中国数据安全法的概要、理解要点、处罚措施以及在日本应对的策略。
什么是中国数据安全法?
中国数据安全法(中华人民共和国数据安全法)是于2021年9月实施的一部关于中国数据安全的法律。它与2017年6月实施的中国网络安全法一样,都是为了保护国家安全而制定的。
中国网络安全法:旨在保护中国“网络”的安全的法律
中国数据安全法的目的如下(第1条):
- 规范数据处理活动
- 确保数据安全
- 促进数据的开发和利用
- 保障个人和组织的合法权益
- 保护国家主权、安全以及发展利益
中国网络安全法主要针对电子数据进行规范,而中国数据安全法的特点是,不仅规范电子数据,还包括纸质等非电子数据(第3条)。中国数据安全法规定了数据分类、安全认证系统的建立以及数据安全保护义务等内容。
理解中国数据安全法的关键点
中国数据安全法包含了众多规定,对于很多人来说可能难以完全理解。本文将详细解释数据安全法的内容,并重点介绍以下五个方面。
- 监管对象
- 数据分类与分级标准的制定
- 数据安全管理
- 数据传输的监管
- 国家安全审查
规制对象
法律规制的数据包括在中国境内进行的所有“数据处理”活动。即使数据处理活动在中国境外进行,若可能损害中国国家安全、公共利益或公民、组织的利益,同样适用此规制。
所谓“数据”,是指通过电子或其他方式记录的信息,需要注意的是,这也包括纸质记录。“数据处理”包括数据的收集、保存、使用、处理、传输、提供及披露等活动,从事这些活动的个人或实体,被称为“数据处理者”。
关于数据分类与等级划分规范的制定
数据处理者必须根据等级保护制度确保数据安全。等级保护制度是一种对网络安全管理体系进行公开评估的制度,根据不同的等级采取相应的措施。此外,还必须根据数据破坏或泄露对国家安全、公共利益以及个人或组织造成的损害程度来对数据进行分类。
数据分类分为“一般数据”、“重要数据”和“核心数据”三个等级。在《网络数据安全管理条例(征求意见稿)》中,重要数据被定义为“一旦被篡改、破坏、泄露、非法获取或非法使用,可能对国家安全、公共利益造成危害的数据”。核心数据则是指与国家安全、国民经济命脉、重要的民生、主要的公共利益相关的数据(第21条)。
在撰写本文时,尚未公布重要数据和核心数据的具体目录,因此建议参考《网络数据安全管理条例(征求意见稿)》中提到的重要数据示例,对手中处理的数据进行分类。同时,监控管辖部门发布的目录也非常重要。
关于数据安全管理
作为数据处理者,需要履行的职责包括以下几点:
- 实施数据安全教育和培训
- 根据等级保护制度履行数据安全的保护义务
- 持续进行风险监控
- 在数据生命周期内建立安全管理制度
- 设置责任人
- 采取技术性措施
这些基本上与“信息安全管理体系(ISMS)”的要求相似,但需要注意的是,必须根据数据的分类采取相应的管理措施。
一旦发生安全事件,必须立即采取措施,并向用户及有关当局报告。此外,处理重要数据时,还需要定期进行风险评估,并向相关管辖部门提交风险评估报告。
关于数据转移的规制
在数据转移方面,对于重要数据的转移会受到规制。如果重要信息基础设施的运营者在中国境内业务中获得或生成的重要数据需要跨境转移,将适用《中国网络安全法》的规定。
重要信息基础设施:指在能源、交通、金融、公共服务等领域,一旦受损可能威胁国家安全的设施,其损坏或数据泄露等可能严重损害国家安全保障、国民生活和公共利益的设施运营者。
对于不属于重要信息基础设施运营者的数据处理者,必须按照《数据出境安全评估办法》接受主管机关的安全评估审查,并通过后才能进行数据转移。
根据《网络数据安全管理条例(征求意见稿)》,即使是非重要数据的境外转移,在以下情况下也必须接受主管机关的安全评估审查并通过:
- 跨境数据中包含重要数据的情况
- 重要信息基础设施运营者或处理超过100万人以上个人信息的数据处理者向境外提供个人信息的情况
此外,数据向境外转移的义务人应承担以下义务:
- 不得超出网络信息部门提交的个人信息保护影响评估报告中所述的目的、范围、方式、数据类型和大小,向境外提供个人信息
- 不得超出网络信息部门安全评估指定的目的、范围、数据类型和大小,向境外提供个人信息及重要数据
- 接受和处理用户关于数据出口的投诉
- 保存相关日志记录和数据出口批准记录至少3年
- 如果数据出口对个人、组织、公共利益的合法权益造成损害,数据处理者应依法承担责任
在数据转移至境外时,还有义务制作数据出口安全报告,并向地区网络信息部门报告。
关于国家安全审查
需要注意的是,根据中国政府的规定,如果数据处理活动被认定为危害中国国家安全,将会进行国家安全审查。国家安全审查的结果是最终决定,因此,不得通过行政复议、诉讼等手段提出异议。
数据安全法的处罚条款
违反数据安全法可能会受到整改命令、警告、罚款、为整改而暂停业务、停止相关业务、吊销业务许可证等处罚。
例如,根据中国数据安全法第27、29、30条规定,如果未履行规定的义务,除了可能会收到整改命令和警告外,直接负责的主管人员及其他直接责任人可能会被处以5万元以上50万元以下的罚款。
违反数据安全法,不仅法人可能会受到处罚,直接负责的主管人员及其他承担直接责任的员工也可能成为处罚对象,这一点需要特别注意。一旦因违反而受到处罚,可能会对整个组织造成重大影响,因此,采取相应的法律对策是非常必要的。
日本企业应采取的数据安全法对策
由于数据安全法适用于中国境内处理的所有数据,因此需要应对的日本企业数量众多。本文将详细解读日本企业应采取的数据安全法对策。
数据管理
首先,我们将重新审视数据管理。明确公司内部生成、积累、删除的数据类型,掌握当前的数据处理状况。通过数据映射,预先确认数据分类、数据向中国境外转移的情况以及当前的数据管理措施,以确保针对不同数据分类采取必要的应对措施。
根据中国数据安全法,对重要数据和核心数据分别要求采取保护措施。因此,可能需要重新定义信息的机密分类。
然而,目前各类数据的安全级别尚不明确。由于未来可能会具体化,监控中国管辖部门发布的目录是必不可少的。同时,建立考虑分类的安全级别设置,如访问控制、认证、通信安全和物理措施,也是明智之举。
此外,还应审查安全政策,并根据数据映射分类的数据区分,应用相应的政策。
风险评估与报告
如果通过数据映射判断公司处理的数据包含重要数据,则需要对数据处理进行风险评估,并向当局报告结果。
由于需要定期进行风险评估,因此制定常态化执行的规则至关重要。
员工教育
在中国,安全相关的制度正在陆续实施。数据管理和风险评估不是一次性完成的任务,因此需要定期审查和改进,以便在企业内部形成常态。这就需要对员工进行教育。
不仅是法务和总务部门,风险管理部门等也需要参与,因此各部门之间的协作变得至关重要。虽然目前这些法律还有不明确的部分,但已有违反规定而被处罚的案例,因此可以说,应对数据安全法是必不可少的。
中国网络三法的特点
所谓中国网络三法,是指中国实施的“网络安全法”、“数据安全法”和“个人信息保护法”的总称。网络安全法旨在防范网络攻击,数据安全法旨在保护数据完整性,个人信息保护法则旨在加强个人信息安全。
尽管这些法律各有不同,但它们的共同特点是对违法行为规定了行政处罚、民事赔偿和刑事责任。此外,违法的对象不仅限于法人,还包括直接责任人,他们可能会被禁止从事相同业务,或者有被列入国家违法者信息名单的风险。
总结:在关注中国数据法规的同时,迅速应对
中国数据安全法是适用于中国数据处理的法律,规定了数据的分类、分级保护以及风险评估等内容。除了网络安全法,还公布了包括《个人信息保护法》、《互联网产品安全漏洞管理规定》在内的多项法律,必须按照这些法律进行相应的应对。
尽管目前对于不同类别的安全级别尚未具体化,存在一些不明确的地方,但已有因违反相关法律而被罚款的案例,因此可以说,对法律的应对是不可或缺的。在关注中国的法规制度的同时,采取当前可行的应对措施是至关重要的。
如果您在中国开展业务或计划未来在中国开展业务,我们建议您咨询熟悉中国法律的律师。
本所提供的对策介绍
Monolith法律事务所是一家在IT领域,尤其是互联网和法律方面拥有丰富经验的律师事务所。近年来,随着全球商业的不断扩大,专业的法律审查需求日益增长。我们事务所提供涉及中国、美国、欧盟等国家和地区的国际法务解决方案。
Monolith法律事务所的业务范围:国际法务与海外业务[ja]
