firmy prowadzące działalność w Chinach mogą znaleźć się pod większą presją, aby ich przygotowania do cyberbezpieczeństwa zostały poddane przeglądowi i certyfikowane zgodnie z projektem ustawy, który ma zostać wdrożony w przyszłym roku.
chiński projekt ustawy o bezpieczeństwie danych może również wymagać od firm ujawnienia szczegółów dotyczących bezpieczeństwa sieci w ich działalności poza Chinami.
Chiny mają na celu ochronę tego, co nazywają „ważnymi danymi”, które w przypadku wycieku mogą bezpośrednio wpłynąć na bezpieczeństwo narodowe, Bezpieczeństwo gospodarcze, stabilność społeczną lub zdrowie publiczne.
ustawa, opublikowana wczoraj przez Stały Komitet Narodowego Kongresu Ludowego Chin, jest rozumiana jako pierwszy raz, gdy Chiny próbowały sprawować władzę prawną nad firmami spoza ich jurysdykcji.
„Chiny rozważają dopuszczenie prawa do efektu eksterytorialnego, którego wcześniej nie widzieliśmy”, powiedział Yan Luo, partner w kancelarii prawnej Covington& Burling w Pekinie. – Chcą przeciwdziałać eksterytorialnemu skutkowi amerykańskiego prawa.”
projekt ustawy prawdopodobnie zmieni się znacząco od teraz do kiedy zostanie ostatecznie uchwalony w 2021 roku.
firmy prowadzące działalność w Chinach mogą już być zobowiązane do certyfikacji swoich operacji bezpieczeństwa cybernetycznego przez wyznaczone przez rząd jednostki certyfikujące.
zgodnie z proponowaną Ustawą firmy prowadzące działalność w Chinach mogą być również proszone o ujawnienie szczegółów dotyczących bezpieczeństwa sieci za granicą w celu zakwalifikowania się do otrzymania certyfikatu.
projekt ustawy da Chińskim centralnym i regionalnym organom rządowym uprawnienia do określenia tego, co uważają za „ważne dane” dla różnych regionów i branż.
organizacje przetwarzające te dane będą zobowiązane do przestrzegania wyższych standardów bezpieczeństwa.
firmy mogą zostać ukarane grzywną
chińska policja będzie miała uprawnienia do nakładania grzywien w wysokości $150,000 na firmy, które naruszają chińskie przepisy dotyczące bezpieczeństwa cybernetycznego i mogą potencjalnie zamknąć organizacje, które nie przestrzegają.
oczekuje się, że Chiny wyjdą poza audyt techniczny bezpieczeństwa cybernetycznego firmy i zastanowią się, czy na przykład firmy zagraniczne przestrzegają sankcji USA, które mogłyby zaszkodzić bezpieczeństwu narodowemu Chin.
„to nie jest tylko przegląd techniczny, jakie zabezpieczenia wprowadziłeś, to mogą być elementy polityczne” – powiedział Luo.
projekt ustawy zawiera przepis, który pozwala Chinom na podjęcie działań odwetowych wobec każdego kraju, który działa w sposób dyskryminujący wobec Chin w związku z handlem lub inwestycjami związanymi z danymi.
jedna z klauzul mówi, że projektowi ustawy mogą podlegać również organizacje i osoby spoza Chin, które prowadzą działania mogące zaszkodzić bezpieczeństwu Chin, bezpieczeństwu narodowemu lub interesom publicznym.
nie jest jasne, w jaki sposób Chiny podjęłyby działania egzekucyjne przeciwko organizacji poza jej granicami, która jest uważana za szkodliwą dla bezpieczeństwa narodowego kraju.
Inne klauzule wymagają od osób i organizacji przestrzegania wniosków o dane od organów ścigania, gdy są one wymagane do zbadania przestępstw lub ze względów bezpieczeństwa narodowego.
gdy zagraniczne rządy zwracają się do chińskich organizacji z prośbą o dane, prawo będzie wymagało od chińskiej firmy zgłoszenia wniosku i uzyskania zgody od chińskiego organu regulacyjnego.
tłumaczenie tekstu mówi: „W zakresie, w jakim Chiny uczestniczą w traktatach międzynarodowych, które zawierają postanowienia dotyczące dostępu zagranicznych organów ścigania do danych, Dane te są ujawniane zgodnie z tymi traktatami .”
projekt ustawy obejmuje dane, które mogą być ważne dla krytycznych branż, ale wyklucza dane osobowe osób fizycznych, informacje wojskowe lub tajemnice państwowe.