Kiinassa operoivat yritykset voivat joutua kovempiin paineisiin, jotta kyberturvallisuusvalmistelut tarkistettaisiin ja sertifioitaisiin lakiluonnoksen perusteella, jonka odotetaan tulevan voimaan ensi vuonna.
Kiinan tietosuojalakiluonnos saattaa myös vaatia yrityksiä julkistamaan tietoja verkkoturvallisuudesta Kiinan ulkopuolella tapahtuvassa toiminnassaan.
Kiina pyrkii suojelemaan niin sanottuja ”tärkeitä tietoja”, jotka vuotaessaan voivat vaikuttaa suoraan maan kansalliseen turvallisuuteen, taloudelliseen turvallisuuteen, sosiaaliseen vakauteen tai kansanterveyteen.
Kiinan kansallisen kansankongressin pysyvän komitean eilen julkaiseman lain katsotaan olevan ensimmäinen kerta, kun Kiina yrittää käyttää laillista valtaa lainkäyttövaltansa ulkopuolella oleviin yrityksiin.
”Kiina harkitsee lain sallimista sellaisella ekstraterritoriaalisella vaikutuksella, jota emme ole aiemmin nähneet”, sanoi asianajotoimisto Covingtonin osakas yan Luo & Burling Pekingissä. ”He haluavat torjua Yhdysvaltojen lainsäädännön ekstraterritoriaalisen vaikutuksen.”
lakiluonnos muuttunee merkittävästi tähän mennessä, kun se lopullisesti hyväksytään vuonna 2021.
yrityksiltä, joilla on toimintaa Kiinassa, voidaan jo vaatia, että hallituksen nimittämät sertifiointielimet sertifioivat kyberturvallisuusoperaationsa.
ehdotetun lain mukaan Kiinassa toimivia yrityksiä voidaan myös pyytää julkistamaan ulkomailla verkkoturvallisuuttaan koskevat tiedot, jotta ne voivat saada sertifikaatin.
lakiluonnos antaa kiinalaisille keskus-ja aluehallinnon elimille valtuudet määritellä, mitä ne pitävät ”tärkeinä tietoina” eri alueille ja toimialoille.
näitä tietoja käsittelevien organisaatioiden on noudatettava korkeampia turvallisuusvaatimuksia.
yritykset voivat saada sakot
Kiinan poliisilla on valtuudet antaa 150 000 dollarin sakot yrityksille, jotka rikkovat Kiinan kyberturvallisuuslakeja ja voivat mahdollisesti sulkea järjestöjä, jotka eivät noudata niitä.
Kiinan odotetaan menevän pidemmälle kuin yrityksen kyberturvallisuuden tekniseen tarkastukseen ja pohtivan, noudattavatko esimerkiksi merentakaiset yritykset Yhdysvaltain pakotteita, jotka voisivat vahingoittaa Kiinan kansallista turvallisuutta.
”kyse ei ole vain teknisestä katsauksesta siihen, mitä suojauksia on otettu käyttöön, vaan kyse voi olla poliittisista elementeistä”, Luo sanoi.
lakiluonnos sisältää pykälän, jonka mukaan Kiina voi ryhtyä vastatoimiin mitä tahansa maata vastaan, joka syrjii Kiinaa dataan liittyvässä kaupassa tai investoinneissa.
erään lausekkeen mukaan lakiluonnoksen piiriin voivat joutua myös Kiinan ulkopuolella toimivat järjestöt ja yksityishenkilöt, jotka harjoittavat toimintaa, joka saattaa vahingoittaa Kiinan turvallisuutta, kansallista turvallisuutta tai yleisiä etuja.
on epäselvää, miten Kiina ryhtyisi täytäntöönpanotoimiin rajojensa ulkopuolista järjestöä vastaan, jonka katsotaan vahingoittavan maan kansallista turvallisuutta.
muut lausekkeet edellyttävät, että yksityishenkilöt ja organisaatiot noudattavat lainvalvontaviranomaisten tietopyyntöjä, jos niitä vaaditaan rikosten tutkimiseksi tai kansallisen turvallisuuden vuoksi.
kun ulkomaiset hallitukset tekevät tietopyyntöjä kiinalaisille organisaatioille, laki velvoittaa kiinalaisyhtiön raportoimaan pyynnön ja hakemaan hyväksynnän kiinalaiselta sääntelyviranomaiselta.
tekstin käännös sanoo: ”Siltä osin kuin Kiina osallistuu kansainvälisiin sopimuksiin, joihin sisältyy määräyksiä ulkomaisten lainvalvontaviranomaisten oikeudesta saada tietoja, nämä tiedot on julkistettava tällaisten sopimusten mukaisesti.”
lakiluonnos kattaa tiedot, jotka voivat olla tärkeitä kriittisille toimialoille, mutta sulkee pois henkilötiedot, sotilaalliset tiedot tai valtionsalaisuudet.