bedrijven met activiteiten in China kunnen onder grotere druk komen te staan om hun cyberbeveiligingsvoorbereidingen te laten beoordelen en certificeren op grond van een wetsontwerp dat naar verwachting volgend jaar zal worden uitgevoerd.
China ‘ s ontwerp van gegevensbeveiligingswet kan bedrijven ook verplichten om details over netwerkbeveiliging bekend te maken in hun activiteiten buiten China.
China streeft naar bescherming van wat het “belangrijke gegevens” noemt, die, als ze uitlekken, rechtstreeks van invloed kunnen zijn op de nationale veiligheid, de economische veiligheid, de sociale stabiliteit of de volksgezondheid van het land.
de wet, die gisteren door het Permanent Comité van het Nationale Volkscongres van China is gepubliceerd, wordt beschouwd als de eerste keer dat China heeft geprobeerd om juridische autoriteit uit te oefenen op bedrijven buiten zijn jurisdictie.”China overweegt toe te staan dat de wet een extraterritoriaal effect heeft dat we nog niet eerder hebben gezien,” zei Yan Luo, partner in advocatenkantoor Covington & Burling in Beijing. “Ze willen het extraterritoriale effect van de Amerikaanse wetgeving tegengaan.”
het wetsontwerp zal waarschijnlijk aanzienlijk veranderen tussen nu en het moment waarop het uiteindelijk in 2021 wordt aangenomen.
bedrijven met activiteiten in China kunnen reeds worden verplicht hun cyberbeveiligingsactiviteiten te laten certificeren door door de overheid aangewezen certificeringsinstanties.
volgens de voorgestelde wet kunnen bedrijven met activiteiten in China ook worden gevraagd om gegevens over hun netwerkbeveiliging in het buitenland bekend te maken om in aanmerking te komen voor een certificaat.
het wetsontwerp geeft Chinese centrale en regionale overheidsinstanties de bevoegdheid om te bepalen wat zij als “belangrijke gegevens” voor verschillende regio ‘ s en industrieën beschouwen.
organisaties die deze gegevens verwerken moeten voldoen aan hogere beveiligingsnormen.
bedrijven kunnen beboet worden
Chinese politie zal de bevoegdheid hebben om boetes van $150.000 uit te geven aan bedrijven die de Chinese cybersecurity wetten overtreden en mogelijk organisaties sluiten die niet voldoen.van China wordt verwacht dat het verder gaat dan een technische audit van de cyberveiligheid van een bedrijf en dat het zal nagaan of bijvoorbeeld buitenlandse bedrijven voldoen aan Amerikaanse sancties die de nationale veiligheid van China kunnen schaden.
” Het is niet alleen een technische beoordeling van welke bescherming je hebt ingesteld, het kunnen politieke elementen zijn, ” zei Luo.
het wetsontwerp bevat een bepaling die China in staat stelt vergeldingsmaatregelen te nemen tegen elk land dat op discriminerende wijze jegens China handelt over gegevensgerelateerde handel of investeringen.een clausule zegt dat organisaties en personen buiten China die activiteiten verrichten die de veiligheid, de nationale veiligheid of de openbare belangen van China kunnen schaden, ook onder het wetsontwerp kunnen vallen.
Het is niet duidelijk hoe China handhavingsmaatregelen zou nemen tegen een organisatie buiten zijn grenzen die geacht wordt de nationale veiligheid van het land te schaden.
andere bepalingen verplichten individuen en organisaties om te voldoen aan verzoeken om gegevens van wetshandhavingsinstanties wanneer dit nodig is om misdrijven te onderzoeken of om redenen van nationale veiligheid.
wanneer buitenlandse overheden gegevensaanvragen indienen bij Chinese organisaties, zal de wet vereisen dat het Chinese bedrijf het verzoek rapporteert en toestemming vraagt van een Chinese toezichthouder.
een vertaling van de tekst zegt: “Voor zover China deelneemt aan internationale verdragen die bepalingen bevatten voor buitenlandse rechtshandhaving toegang tot gegevens, die gegevens worden bekendgemaakt in overeenstemming met dergelijke verdragen.”
het wetsontwerp heeft betrekking op gegevens die van belang kunnen zijn voor kritieke industrieën, maar sluit persoonlijke gegevens over personen, militaire informatie of staatsgeheimen uit.