företag med verksamhet i Kina kan komma under större tryck för att få sina förberedelser för cybersäkerhet granskade och certifierade enligt ett lagförslag som förväntas verkställas nästa år.Kinas utkast till datasäkerhetslag kan också kräva att företag avslöjar detaljer om nätverkssäkerhet i sin verksamhet utanför Kina.
Kina syftar till att skydda vad det kallar ”viktiga data” som, om de läckt ut, direkt kan påverka landets nationella säkerhet, ekonomiska säkerhet, social stabilitet eller folkhälsa.
lagen, som publicerades igår av ständiga utskottet för National People ’ s Congress of China, förstås vara första gången som Kina har försökt att utöva juridisk auktoritet på företag utanför dess jurisdiktion.
”Kina överväger att låta lagen ha en extra territoriell effekt som vi inte har sett tidigare”, säger Yan Luo, partner i advokatbyrån Covington & Burling i Peking. ”De vill motverka den extra territoriella effekten av amerikansk lag.”
lagförslaget kommer sannolikt att förändras avsevärt mellan nu och när det äntligen antas 2021.
företag med verksamhet i Kina kan redan vara skyldiga att få sina cybersäkerhetsoperationer certifierade av statligt utsedda certifieringsorgan.
enligt den föreslagna lagen kan företag med verksamhet i Kina också bli ombedda att avslöja detaljer om deras nätverkssäkerhet utomlands för att kvalificera sig för ett certifikat.lagförslaget kommer att ge kinesiska statliga och regionala myndigheter befogenheter att definiera vad de betraktar som ”viktiga data” för olika regioner och industrier.
organisationer som behandlar dessa data kommer att krävas för att uppfylla högre säkerhetsstandarder.
företag kan bli böter
Kinesisk polis kommer att ha befogenhet att utfärda böter på $150,000 på företag som bryter mot Kinesiska cybersäkerhetslagar och kan potentiellt stänga organisationer som inte följer.
Kina förväntas gå utöver en teknisk revision av ett företags cybersäkerhet och överväga om till exempel utländska företag följer amerikanska sanktioner som kan skada Kinas nationella säkerhet.
”det är inte bara en teknisk granskning av vilka skydd du har infört, det kan vara politiska element”, säger Luo.
lagförslaget innehåller en bestämmelse som gör det möjligt för Kina att vidta repressalier mot alla länder som agerar på ett diskriminerande sätt mot Kina över datarelaterad handel eller investeringar.
en klausul säger att organisationer och individer utanför Kina som bedriver verksamhet som kan skada Kinas säkerhet, nationell säkerhet eller allmänna intressen också kan omfattas av lagförslaget.
det är inte klart hur Kina skulle vidta verkställighetsåtgärder mot en organisation utanför dess gränser som anses skada landets nationella säkerhet.
andra klausuler kräver att individer och organisationer följer begäran om data från brottsbekämpande organ när det krävs för att utreda brott eller av nationella säkerhetsskäl.
När dataförfrågningar görs av utländska regeringar till Kinesiska organisationer kommer lagen att kräva att det kinesiska företaget rapporterar begäran och söker godkännande från en kinesisk tillsynsmyndighet.
en översättning av texten säger: ”I den utsträckning som Kina deltar i internationella fördrag som innehåller bestämmelser om utländsk brottsbekämpning tillgång till data, ska dessa uppgifter lämnas ut i enlighet med sådana fördrag.”
lagförslaget omfattar data som kan vara viktiga för kritiska branscher, men utesluter personuppgifter om individer, militär information eller statshemligheter.