中國數據安全法是什麼?解說日本企業應採取的對策
中國《數據安全法》是一項適用於中國數據領域的法律,於2021年9月(公元2021年)開始實施。由於該法適用於在中國境內進行的所有數據處理活動,因此在中國開展業務或計劃進軍中國市場的企業,需要對現有的規定和管理政策進行審查和修訂。然而,對於那些尚未理解這項法律內容或對應措施感到困惑的人來說,這可能是一個挑戰。
因此,本文將解說中國《數據安全法》的概要、理解要點、懲罰措施,以及在日本應對該法律的策略。
什麼是中國數據安全法?
中國數據安全法(中華人民共和國數據安全法)是於2021年9月實施的一項中國數據安全相關的法律。該法與2017年6月實施的《中國網絡安全法》一樣,都是為了保護國家安全而制定的。
中國網絡安全法:為了保護中國「網絡」安全而制定的法律
中國數據安全法的目的如下(第1條):
- 規範數據處理活動
- 確保數據安全
- 促進數據的開發與利用
- 保障個人及組織的合法權益
- 保護國家主權、安全以及發展利益
中國網絡安全法規範的是電子數據,而中國數據安全法則特別之處在於,它不僅規範電子數據,還包括紙質等非電子數據(第3條)。中國數據安全法規定了數據的分類、安全認證系統的建立以及數據安全保護義務等內容。
理解中國《數據安全法》的關鍵點
中國《數據安全法》包含了多種規定,對許多人來說可能難以完全理解。本文將針對《數據安全法》的內容,詳細解說以下五個關鍵點。
- 規範對象
- 關於數據分類與等級劃分的規範制定
- 數據的安全管理
- 關於數據轉移的規範
- 國家安全審查
規制對象
法律所規範的數據包括在中國境內進行的所有「數據處理」活動。即使數據處理活動在中國境外進行,若可能損害中國國家安全、公共利益或公民、組織的利益,同樣適用此規範。
「數據」指的是以電子或其他方式記錄的信息,需要注意的是,這也包括紙質記錄。「數據處理」包括數據的收集、儲存、使用、處理、傳輸、提供及披露等活動,從事這些活動的個體稱為「數據處理者」。
關於制定數據分類及等級劃分規範
數據處理者必須根據等級保護制度確保數據安全。等級保護制度是一種對網絡安全管理體制進行公開評估的制度,不同等級對應不同的應對措施。此外,必須根據數據破壞或洩露對國家安全、公共利益以及個人或組織造成的損害程度來對數據進行分類。
數據分類分為「一般數據」、「重要數據」和「核心數據」三個等級。「網絡數據安全管理條例(意見徵集稿)」中,重要數據被定義為「若遭到篡改、破壞、洩露、非法獲取或非法使用,可能對國家安全、公共利益造成危害的數據」。核心數據則是指與國家安全、國民經濟命脈、重要的國民生活、主要的公共利益相關的數據(第21條)。
撰寫本文時,尚未公布重要數據和核心數據的具體目錄,因此建議參考「網絡數據安全管理條例(意見徵集稿)」中提供的重要數據範例,對手中處理的數據進行分類。同時,持續監控相關管理部門公布的目錄也是至關重要的。
關於數據安全管理
作為數據處理者,需要履行的責任包括以下幾點:
- 實施數據安全教育和訓練
- 根據等級保護制度履行數據安全的保護義務
- 持續進行風險監控
- 在數據生命週期中建立安全管理制度
- 設置負責人
- 採取技術性措施
基本上,這些要求與「資訊安全管理系統(ISMS)」的要求內容相似,但需特別注意的是,必須根據數據的分類採取相應的管理措施。
一旦發生安全事件,必須立即採取措施,並向用戶以及相關當局報告。此外,處理重要數據時,還需要定期進行風險評估,並將風險評估報告提交給相關管轄部門。
關於數據移轉的規範
在數據移轉方面,對於重要數據的移轉存在特定規範。當重要信息基礎設施的運營者在中國境內業務中獲取或產生的重要數據需要跨境時,將適用《日本網絡安全法》的相關規定。
重要信息基礎設施:指在能源、運輸、金融、公共服務等可能威脅國家安全的領域中,一旦受損或數據洩露,可能會嚴重損害國家安全、國民生活和公共利益的設施運營者。
對於不屬於重要信息基礎設施運營者的數據處理者,必須按照《數據跨境傳輸安全評估辦法》進行當局的安全評估審查,並在通過後才能進行數據移轉。
根據《網絡數據安全管理條例(徵求意見稿)》,即使是非重要數據的跨境移轉,在以下情況下也必須接受當局的安全評估審查並通過:
- 跨境數據中包含重要數據的情況
- 重要信息基礎設施的運營者或處理超過一百萬人以上個人信息的數據處理者將個人信息提供給國外的情況
此外,將數據移轉至國外的個體,其義務包括以下幾點:
- 不得超出網絡信息部門提交的個人信息保護影響評估報告所記載的目的、範圍、方法、數據類型和大小,向國外提供個人信息
- 不得超出網絡信息部門安全評估指定的目的、範圍、數據類型和大小,向海外提供個人信息及重要數據
- 接受並處理用戶關於數據出口的投訴
- 保存相關日誌記錄和數據出口批准記錄至少三年
- 若數據出口對個人、組織或公共利益的合法權益造成損害,數據處理者應依法承擔責任
在將數據移轉至國外時,還有義務製作數據出口安全報告書,並向地區網絡信息部門報告。
關於國家安全審查
需特別注意的是,根據中國政府的規定,若判斷數據處理活動損害了中國國家的安全,則將進行國家安全審查。由於國家安全審查的結果是最終決定,因此無法通過行政復議、訴訟等手段提出異議。
資料安全法的處罰規定
違反資料安全法的情況下,可能會被處以整改命令、警告、罰款、為了整改而導致的業務停止、相關業務的暫停,或是吊銷業務執照等處罰。
例如,根據中國資料安全法第27、29、30條的規定,若未履行規定的義務,除了會被下達整改命令和警告外,直接負責的主管人員及其他直接責任人可能會被處以5萬元以上、50萬元以下的罰款。
違反資料安全法的情況下,不僅法人可能會受到處罰,直接負責的主管人員及其他負有直接責任的職員也會成為處罰的對象,這一點需要特別注意。若因違反而受到處罰,可能會對整個組織造成重大影響,因此,採取相應的法律對策是必要的。
日本企業應採取的中國數據安全法對策
由於中國數據安全法適用於中國境內處理的所有數據,因此需要應對的日本企業數量可謂眾多。本文將詳細解說日本企業應採取的中國數據安全法對策。
數據管理
首先,本所將重新審視數據管理。明確自家企業內部生成、累積、刪除的數據類型,並掌握當前的數據處理狀況。通過數據映射,事先確認數據分類、向中國境外轉移的情況以及現行的數據管理措施,以便針對不同類型的數據採取必要的對策。
在中國數據安全法中,對於重要數據和核心數據,分別要求採取保護措施。因此,可能需要重新定義信息的機密分類。
然而,目前各類數據的安全級別仍有不明確之處。由於未來可能會具體化,因此持續監控中國主管部門發布的目錄至關重要。同時,建立考慮到分類的安全級別,如訪問控制、認證、通信安全和物理對策,也會更加安心。
此外,應該重新審視安全政策,並根據數據映射分類的數據類別,應用相應的政策。
進行風險評估與報告
如果通過數據映射判斷公司處理的數據包含重要數據,則需要對數據處理進行風險評估。同時,必須向當局報告評估結果。
由於需要定期進行風險評估,因此制定能夠持續執行的規則非常重要。
員工教育
在中國,安全相關的制度正在陸續實施。此外,數據管理和風險評估不是一次性的工作。因此,需要定期進行審查和改進,並通過員工教育使其在企業內部得以固定。
不僅是法務和總務部門,風險管理部門等也需要參與,因此各部門之間的協作變得至關重要。雖然目前這項法律仍有不明確的部分,但已有因違反而受到處罰的案例,因此可以說,對中國數據安全法的應對是不可或缺的。
中國網絡三法的特點
所謂的中國網絡三法,是指中國實施的「網絡安全法」、「數據安全法」和「個人信息保護法」的統稱。網絡安全法旨在防範網絡攻擊,數據安全法著重於數據的保全,而個人信息保護法則是為了加強個人信息的安全。
儘管這些法律各有不同,但它們的共同特點是對違法行為規定了行政處罰、民事損害賠償以及刑事責任。此外,違法的對象不僅限於法人,還包括直接負責的責任者,他們可能會被禁止從事相同業務,或者有被列入國家的違法者信息名單的風險。
總結:須關注中國的數據法規並迅速應對
中國數據安全法是適用於中國數據處理的法律,規定了數據的分類、等級劃分保護以及風險評估等事項。除了網絡安全法,還有《個人信息保護法》、《互聯網產品安全漏洞管理規定》等多項法律已經公布,因此必須針對這些法律採取相應的應對措施。
雖然目前對於分類的安全等級尚未具體化,存在一些不明確的部分,但已有因違反這些法律而被罰款的案例,因此可以說,對法律的應對是不可或缺的。在關注中國的法規制的同時,採取當前可行的應對措施是至關重要的。
如果您在中國有事業展開,或計劃在未來進行,本所建議您諮詢熟悉中國法律的律師。
本所提供的對策介紹
Monolith法律事務所是一家在IT領域,特別是互聯網和法律方面擁有豐富經驗的法律事務所。近年來,全球商業活動的擴張日益加速,專業的法律審查需求也隨之增加。本所事務所提供包括中國、美國、歐盟等國際法務解決方案。
Monolith法律事務所的業務範圍:國際法務與海外業務[ja]