חוק אבטחת המידע הסיני – מידע והנחיות לחברות ישראליות בסין

ינואר 11, 2022
כל הפוסטים

מאז שסין הגדירה את המעבר לכלכלה דיגיטלית כיעד לאומי מרכזי, הממשלה משקיעה מאמצים ומשאבים להגשמת החזון. אחת החזיתות שזכו להשקעה משמעותית ולתשומת לב מירבית בשנת 2021 היא מהפכה בשיטת ניהול המידע, מתוך שאיפה לייעל את שיטות עיבוד המידע ולהגן על הביטחון הלאומי והאינטרס הציבורי.

חוק אבטחת המידע הסיני (The Chinese Data Security Law), שנכנס לתוקף באחד בספטמבר 2021, הוא אבן הפינה של רגולציות אבטחת המידע בסין. החוק לא רק מבטיח סטנדרטיזציה לאומית בכל הקשור לתקנות אבטחת מידע, אלא גם מאגד תחתיו חוקי הגנת מידע משלימים, כדוגמת חוק הסייבר וחוק הגנת הפרטיות. חברות ישראליות בסין נדרשות לזכור שעל אף שהחוק הכללי כבר נאכף בסין, יש לצפות לתקנות מקומיות וספציפיות יותר, שיתפרסמו בקרוב.

עיקרי החוק

חוק אבטחת המידע מגדיר הנחיות באשר לאופן שבו מידע (בפורמט דיגיטלי או פיזי) נאסף, נשמר, מעובד, ומוגן בסין. החוק קובע שניתן לאסוף ולהשתמש במידע רק במסגרת החוק, ורק בתנאי שהמידע רלוונטי לליבת הפעילות של העסק. כמו כן, המידע הנאסף חייב להיות מוגן, כלומר, חברות נדרשות לפתח ולהשמיש מנגנונים פנימיים שתפקידם להגביל את הגישה למידע, להבטיח שהוא מוגן במספר רמות אבטחה למניעת פרצות, ולקבוע כיצד יש להיפטר ממידע שכבר אין לחברה צורך בו (למשל במקרה של סגירת חברה בסין או סיום העסקת עובדים בסין).

כדי להבטיח רגולציה אחידה ברחבי המדינה, הממשלה צפויה לפרסם "קטלוג הגנת מידע לאומי". בפשטות, מדובר ברשימה הממיינת את המידע על פי סוגו, ומסווגת אותו על פי מידת הרגישות שלו לביטחון הלאומי והציבורי. המידע מסווג לשלוש רמות: מידע כללי (General Data), מידע חשוב (Important Data) ומידע מהותי (Core Data), והסיווג יקבע את רמת ההגנה הנדרשת (למשל אם ניתן להעביר את המידע מחוץ לסין או לא) ואת חומרת הענישה במקרה שהמידע זולג.

מאחר שהאג'נדה הכלכלית הלאומית היא הגורם העיקרי שישפיע על מבנה הקטלוג וסיווג סוגי המידע, תכנית החומש הסינית יכולה לרמז כיצד עתידה להיראות רשימה זו. תעשיות המוגדרות כאסטרטגיות, כאלה שצוין במפורש שהן חשובות להתקדמות הכלכלית של סין, צפויות להיות מושפעות יותר מאחרות.

השירותים המקצועיים שלנו מסייעים לחברות ישראליות ובינלאומיות בשוק הסיני. צרו קשר

הנחיות למנהלי עסקים בסין

על אף שהחוק מנוסח באופן רחב ומקיף, בהחלט יתכנו עוד תוספות ועדכונים ולכן אנו ממליצים לחברות ישראליות בסין להמשיך לעקוב אחר הפרסומים ברמה הלאומית והמקומית. זה הזמן להתחיל לעדכן את העובדים בסין ובמטה החברה על מהות החוק והשלכותיו. חשוב להבהיר שאי ציות לתקנות המידע החדשות יגרור סנקציות מסוגים שונים, החל מקנסות ובמקרים קיצוניים גם עד לשלילת רישיון העסק בסין.

הנה כמה פעולות שכדאי למנהלי עסקים בסין להתחיל לתכנן ולבצע כבר בשלב זה:

למנות גורם אחראי

מנו אחראי אבטחת מידע בחברה (Data Security Officer), שתפקידו להיות בקי בכל האותיות הקטנות של החוק ולוודא שהחברה עומדת בדרישות שפורסמו גם ברמה הלאומית גם ברמה המקומית. מומלץ שאותו גורם יהיה אחד מעובדי החברה בסין, על מנת שיוכל לעקוב אחר ההתפתחויות המקומיות מקרוב ושניתן יהיה לפנות אליו אישית במידת הצורך.

להיערך לשינויים בתנאים להעברת מידע מחוץ לסין

חברות ישראליות המנהלות עסקים בסין נדרשות לא פעם להעביר מידע מהמשרד הסיני להנהלה בארץ. חוק אבטחת המידע מתיר העברת מידע מעבר לים, אך התהליך נדרש להיות מפוקח יותר בכפוף לחוק הגנת הפרטיות ולחוק הסייבר. יש להיערך לצוואר הבקבוק שעלול להיווצר בחברה, עקב הדרישה לבצע הערכת אבטחה בכל פעם שרוצים לשלוח מידע מחוץ לסין. כמובן שאנו נעדכן בהמשך, לכשיתפרסמו הנחיות יותר קונקרטיות.

להיזהר בבחירת סוכנים, ספקי שירות ושותפים עסקיים

במקרה של עבודה עם סוכן מקומי, החוק קובע שהאחריות לאבטחת המידע היא משותפת לשני הצדדים, ללא תלות בזהותו של הגורם שאוסף, מאחסן או משתמש במידע. הלכה למעשה, מעתה עליכם להיות זהירים יותר בבחירת השותפים העסקיים שלכם בסין, ומומלץ גם לבצע בדיקת נאותות כדי לאמת את זהות השותפים ולוודא שמקורות המידע שלהם חוקיים. מותר לכם (והחוק גם מחייב זאת) לבקש את אישורי הרישוי והאבטחה של השותפים העסקיים שלכם, אישורים אלה נדרשים מהם במסגרת חוק הסייבר. אם הם אוספים מידע באופן ידני, תוכלו לבקש הבהרה באשר למנגנונים הפנימיים שהם מיישמים לצרכי הבטחת אבטחת המידע. כך או כך, אין טעם לקחת סיכונים מיותרים.

השירותים המקצועיים שלנו מסייעים לחברות ישראליות ובינלאומיות בשוק הסיני. צרו קשר

להטמיע מנגנוני אבטחת מידע פנימיים

אנו ממליצים לבצע הערכות סיכונים תקופתיות והדרכות לעובדים. כמו כן, במקרים מסוימים כדאי לשקול פיתוח מערכות טכנולוגיות פנים-ארגוניות להגנת המידע, למרות שזו אינה דרישה מפורשת בחוק. בכל מקרה, רצוי מאוד להתחיל להעלות את המודעות של העובדים שלכם בסין לחוק החדש, ואולי אף לכלול הנחיות מיוחדות בספר העובדים.

תקנות אבטחת מידע הן כבר מזמן עניין מקובל במספר מדינות מערביות. אז גם אם אתם קוראים את הפוסט הזה ולא מבינים על מה כל המהומה, דעו שבסין זהו מהלך לאומי גדול וחדש. עם זאת, כמו שמקובל בסין, החוק הלאומי משאיר מקום לקביעת תקנות עתידיות נוספות על ידי ממשלות מחוזיות ומוניציפליות בסין. חוק אבטחת המידע הוא רק אחד ממכלול חוקי הגנת מידע המתגבשים בסין בעת האחרונה, מה שהופך את הסביבה הרגולטורית הצפויה מעתה למורכבת ומאתגרת יותר. בסיטואציה כזאת חשוב יותר מתמיד להיעזר בספק שירותים מקצועי בסין, שיסייע לך לפעול בסין באופן חוקי ויעיל.

איך אפשר לסייע לכם בניהול הפעילות בסין?

צרו קשר

הישארו מעודכנים

הצטרפו לרשימת קוראי הניוזלטר שלנו

    Loading...