قانون امنیت سایبری چین

قانون امنیت سایبری چین
تاریخ انتشار : ۲۳ دی ۱۳۹۵

در حالی که چند ماه بیشتر به زمان اجرایی شدن قانون امنیت سایبری چین باقی نمانده، دو تغییر عمده در این قانون صورت گرفته است.

به گزارش گرداب،در تاریخ 10 اکتبر 2016، دومین نسخه پیش‌نویس قانون امنیت سایبری چین منتشر شد. در تاریخ 7 نوامبر 2016، این پیش‌نویس تصویب و به قانون تبدیل شد. قانون تصویب شده در تاریخ اول ژوئن 2017 اجرایی خواهد شد. از زمان تصویب دومین پیش‌نویس، دو تغییر عمده در قانون امنیت سایبری چین صورت گرفته است که توجه به آنها خالی از لطف نیست.
 
 
تغییر در تعریف زیرساخت‌های کلیدی
 
طبق تعریف پیش‌نویس اول، زیرساخت کلیدی به برخی بخش‌های خاص نظیر انرژی، ارتباطات عمومی، تامین اجتماعی و مالی اشاره می‌کند. در هر حال، اشاره به این بخش‌ها در پیش‌نویس دوم حذف شد و زیرساخت‌های کلیدی این‌طور تعریف شد: صنایعی که به امنیت ملی، اقتصاد ملی، سلامت شهروندان و منافع عمومی مرتبط هستند.
 
قانون جدید، دو تعریف مذکور را در هم آمیخته و بسط می‌دهد؛ بنابراین اکنون زیرساخت‌های کلیدی به ارتباطات عمومی، خدمات اطلاعاتی، انرژی، حمل‌ونقل، مالی، خدمات عمومی، مسائل دولت الکترونیک و همچنین صنایع مرتبط با امنیت ملی، اقتصاد ملی، سلامت شهروندان و منافع عمومی، اشاره دارد.
 
البته تعریف جدید نیز همان مشکل تعریف پیش‌نویس دوم را دارد: صنایع مرتبط با سلامت شهروندان و منافع عمومی می‌تواند تفسیر گسترده‌ای داشته باشد. به علاوه، طبق تعریف قانون جدید، بخش‌های زیادی زیرساخت کلیدی محسوب می‌شوند. این نکته ارزش تاکید را دارد که اگر شرکتی طبق این تعریف زیرساخت کلیدی محسوب شود، در صورتی که بخواهد هرگونه داده شخصی و/یا مهم را که داخل چین تولید شده به خارج از چین انتقال دهد (امری که ممکن است بر انتقال داده بین یک شرکت تابع چین و سایر شرکت‌های وابسته به آن که خارج از چین قرار دارند، اثر بگذارد)، باید مورد بازرسی دقیق قرار گیرد.
 
در پیش‌نویس دوم، عبارت داده‌های تجاری مهم به کار رفته بود اما در نسخه نهایی قانون، عبارت داده‌های مهم جایگزین آن شد. از هیچ یک از عبارات فوق تعریفی ارائه نشده بود اما عبارت داده مهم می‌تواند به احتمال قوی تفسیر گسترده‌ای داشته باشد.
 
 
مجازات سنگین برای اپراتورهایی که الزامات داده‌های شخصی را نقض کنند
 
قانون جدید امنیت سایبری چین، حداکثر جریمه تحمیل شده بر اپراتورهای شبکه که اقدام به جمع‌آوری، فروش و به‌کارگیری غیرمجاز داده‌های شخصی می‌کنند را افزایش داده است. پیش‌نویس دوم تصریح کرده که مجازات تخطی اپراتورهای شبکه از الزامات مرتبط با داده‌های شخصی شامل موارد زیر می‌شود:
 
* جریمه‌ای معادل یک تا ده برابر سود حاصل از استفاده غیرمجاز از داده‌های شخصی؛
 
* جریمه تا میزان 500.000 یوان چین (معادل تقریبا 58.000 یورو) در صورتی که سودی عاید شرکت متخلف نشده باشد؛ و
 
* تعلیق یا لغو احتمالی مجوز کسب‌وکار شرکت
 
در قانون جدید، اگر سودی عاید شرکت متخلف نشده باشد، حداکثر جریمه قابل اعمال یک میلیون یوان چین (معادل تقریبا 115.000 یورو) خواهد بود- دو برابر جریمه پیش‌بینی شده در پیش‌نویس دوم.
 
 
شرکت‌های فعال در چین چه اقداماتی باید انجام دهند؟
 
هرچند که قانون امنیت سایبری چین از اول ژوئن 2017 موثر خواهد بود، هنوز درباره شرایط مرتبط با انتقال بین‌المللی داده‌های زیرساخت‌های کلیدی ابهاماتی وجود دارد.
 
این گونه مقرر گردیده که انتقال این گونه اطلاعات برای مقاصد تجاری، بنا به صلاحدید مقامات مجاز، مورد بازرسی قرار خواهد گرفت اما هنوز اقدامات و معیارهای دقیق درباره چگونگی اجرای این بند، مشخص نشده است. انتظار می‌رود قبل از اجرایی شدن قانون فوق، دستورالعمل‌های بیشتری از سوی مقامات ذیصلاح صادر شود. تا آن زمان، شرکت‌هایی که ممکن است تحت تاثیر این قانون قرار گیرند باید تدابیر داخلی احتمالی را در نظر بگیرند؛ مخصوصا اگر این ریسک وجود داشته باشد که در دسته زیرساخت‌های حیاتی جای بگیرد.
 
قرار گرفتن شرکت در دسته زیرساخت‌های حیاتی، اثرات مهمی بر برنامه‌های داخلی شرکت درباره ذخیره و انتقال داده و امنیت شبکه در چین بر جای خواهد گذاشت. حفاظت داده، کلید فعالیت‌های آتی به شمار می‌رود و فهم شرکت‌ها از پارامترهایی که باید رعایت کنند و کسب اطمینان از این که تدابیر حفاظتی مناسب پیش‌بینی گردیده، بسیار مهم است.