به گزارش
گرداب،در تاریخ 10 اکتبر 2016، دومین نسخه پیشنویس قانون امنیت سایبری چین منتشر شد. در تاریخ 7 نوامبر 2016، این پیشنویس تصویب و به قانون تبدیل شد. قانون تصویب شده در تاریخ اول ژوئن 2017 اجرایی خواهد شد. از زمان تصویب دومین پیشنویس، دو تغییر عمده در قانون امنیت سایبری چین صورت گرفته است که توجه به آنها خالی از لطف نیست.
تغییر در تعریف زیرساختهای کلیدی
طبق تعریف پیشنویس اول، زیرساخت کلیدی به برخی بخشهای خاص نظیر انرژی، ارتباطات عمومی، تامین اجتماعی و مالی اشاره میکند. در هر حال، اشاره به این بخشها در پیشنویس دوم حذف شد و زیرساختهای کلیدی اینطور تعریف شد: صنایعی که به امنیت ملی، اقتصاد ملی، سلامت شهروندان و منافع عمومی مرتبط هستند.
قانون جدید، دو تعریف مذکور را در هم آمیخته و بسط میدهد؛ بنابراین اکنون زیرساختهای کلیدی به ارتباطات عمومی، خدمات اطلاعاتی، انرژی، حملونقل، مالی، خدمات عمومی، مسائل دولت الکترونیک و همچنین صنایع مرتبط با امنیت ملی، اقتصاد ملی، سلامت شهروندان و منافع عمومی، اشاره دارد.
البته تعریف جدید نیز همان مشکل تعریف پیشنویس دوم را دارد: صنایع مرتبط با سلامت شهروندان و منافع عمومی میتواند تفسیر گستردهای داشته باشد. به علاوه، طبق تعریف قانون جدید، بخشهای زیادی زیرساخت کلیدی محسوب میشوند. این نکته ارزش تاکید را دارد که اگر شرکتی طبق این تعریف زیرساخت کلیدی محسوب شود، در صورتی که بخواهد هرگونه داده شخصی و/یا مهم را که داخل چین تولید شده به خارج از چین انتقال دهد (امری که ممکن است بر انتقال داده بین یک شرکت تابع چین و سایر شرکتهای وابسته به آن که خارج از چین قرار دارند، اثر بگذارد)، باید مورد بازرسی دقیق قرار گیرد.
در پیشنویس دوم، عبارت دادههای تجاری مهم به کار رفته بود اما در نسخه نهایی قانون، عبارت دادههای مهم جایگزین آن شد. از هیچ یک از عبارات فوق تعریفی ارائه نشده بود اما عبارت داده مهم میتواند به احتمال قوی تفسیر گستردهای داشته باشد.
مجازات سنگین برای اپراتورهایی که الزامات دادههای شخصی را نقض کنند
قانون جدید امنیت سایبری چین، حداکثر جریمه تحمیل شده بر اپراتورهای شبکه که اقدام به جمعآوری، فروش و بهکارگیری غیرمجاز دادههای شخصی میکنند را افزایش داده است. پیشنویس دوم تصریح کرده که مجازات تخطی اپراتورهای شبکه از الزامات مرتبط با دادههای شخصی شامل موارد زیر میشود:
* جریمهای معادل یک تا ده برابر سود حاصل از استفاده غیرمجاز از دادههای شخصی؛
* جریمه تا میزان 500.000 یوان چین (معادل تقریبا 58.000 یورو) در صورتی که سودی عاید شرکت متخلف نشده باشد؛ و
* تعلیق یا لغو احتمالی مجوز کسبوکار شرکت
در قانون جدید، اگر سودی عاید شرکت متخلف نشده باشد، حداکثر جریمه قابل اعمال یک میلیون یوان چین (معادل تقریبا 115.000 یورو) خواهد بود- دو برابر جریمه پیشبینی شده در پیشنویس دوم.
شرکتهای فعال در چین چه اقداماتی باید انجام دهند؟
هرچند که قانون امنیت سایبری چین از اول ژوئن 2017 موثر خواهد بود، هنوز درباره شرایط مرتبط با انتقال بینالمللی دادههای زیرساختهای کلیدی ابهاماتی وجود دارد.
این گونه مقرر گردیده که انتقال این گونه اطلاعات برای مقاصد تجاری، بنا به صلاحدید مقامات مجاز، مورد بازرسی قرار خواهد گرفت اما هنوز اقدامات و معیارهای دقیق درباره چگونگی اجرای این بند، مشخص نشده است. انتظار میرود قبل از اجرایی شدن قانون فوق، دستورالعملهای بیشتری از سوی مقامات ذیصلاح صادر شود. تا آن زمان، شرکتهایی که ممکن است تحت تاثیر این قانون قرار گیرند باید تدابیر داخلی احتمالی را در نظر بگیرند؛ مخصوصا اگر این ریسک وجود داشته باشد که در دسته زیرساختهای حیاتی جای بگیرد.
قرار گرفتن شرکت در دسته زیرساختهای حیاتی، اثرات مهمی بر برنامههای داخلی شرکت درباره ذخیره و انتقال داده و امنیت شبکه در چین بر جای خواهد گذاشت. حفاظت داده، کلید فعالیتهای آتی به شمار میرود و فهم شرکتها از پارامترهایی که باید رعایت کنند و کسب اطمینان از این که تدابیر حفاظتی مناسب پیشبینی گردیده، بسیار مهم است.