ארכיון תגיות: אבטחת מידע

חוק פרטיות המידע ("חוק להגנת המידע האישי")

תהילה לוי-לאטי, נתנאל שפיגלמן

לאחרונה, נכנס לתוקף בסין חוק פרטיות המידע– "חוק להגנת המידע האישי", העשוי להשפיע דרמטית על האופן בו תוכלנה חברות טכנולוגיה לפעול בסין. החוק אימץ את מודל הגנת המידע הכללי של האיחוד האירופי, והוא מטיל הגבלות משמעותיות על איסוף והעברת נתונים. הוא מתמקד בעיקר באפליקציות המשתמשות במידע אישי לשם מיקוד ("טירגוט") צרכנים, וכמו כן מגביל העברת מידע אישי למדינות בהן נהוגה רמת הגנה פחותה על נתונים.

החוק החדש מתייחס באופן נרחב לכל סוג מידע שהוא, המתועד או מעובד בכל מדיום שהוא – אלקטרוני ושאינו – הנוגע לאנשים פרטיים, המזוהה עמם או מאפשר לזהותם. משכך, אין בחוק הגבלות על איסוף ואחסנת מידע אנונימי. עיבוד מידע כולל איסוף, אחסון, שימוש, שידור, מסירה, חשיפה ומחיקה. החוק אף מגביל את השימוש במידע האישי שנאסף בהתאם להגבלות המוטלות, לצורך מטרות מוגדרות וסבירות בלבד. איסוף המידע מוגבל להיקף המינימלי הדרוש למטרה. מעבדי המידע יישאו באחריות לצמצום היקף השימוש, כמו גם לכך שהמידע המעובד יאובטח ברמה הנדרשת.

עיבוד מידע מזהה מותר אך ורק כאשר ניתנה הסכמה מראש; במקרה בו הדבר נחוץ לצורך בירור על צד לשם כריתת חוזה, לרבות ניהול משאבי אנוש על פי מדיניות העסקה שנקבעה כדין; עיבוד של מידע שכבר נחשף לציבור על ידי המזוהה או בדרך אחרת, בהיקף סביר; נסיבות אחרות שנקבעה בחוק ובתקנות הרלוונטיים.

לעיבודו של מידע אישי רגיש נדרשים מטרה מוגדרת והכרח מספק, אמצעי בטיחות נוקשים, והסכמת הפרט מושא האיסוף. מידע אישי רגיש הוא כזה שדליפתו עלולה לפגוע בקלות בכבוד האדם, בביטחונו האישי, ברכושו. בכלל זאת מידע ביומטרי, דתי, רפואי, פיננסי, ומיקום אישי. מידע על קטינים למטה מגיל 14 מוגדר אוטומטית כמידע אישי רגיש.

בנוסף, תחולתו הטריטוריאלית של החוק רחבה והיא מגבילה גם איסוף ואחסון נתונים מחוץ לסין, ככל שמטרת הפעילות היא אספקת מוצרים ושירותים לאזרחים סיניים; ניתוח והערכת פעילות של אזרחי סין ונסיבות אחרות הקבועות בחוקים ובתקנות הרלוונטיים.

פרק הזמן הקצר שחלף בין חקיקת החוק באוגוסט לבין תחולתו בראשית נובמבר, מנע מחברות טכנולוגיה רבות – כמו גם מכאלו שפעילותן העסקית כרוכה באחזקת מידע על עובדים ולקוחות – את היכולת להתארגן כיאות. עם זאת, חברות שכבר יישמו ופעלו בהתאם לתקינה האירופית התמודדו ביתר נוחות עם החקיקה החדשה. לעומתן, חברות אמריקאיות רבות – אשר פעלו בהתאם לתקינה האמריקאית – צריכות לפלס את דרכן בסבך ההגבלות החדשות על העברת מידע אישי מסין לארצות הברית.

אנו ממליצים לחברות אלו ליידע את עובדיהן או המועמדים לעבודה אצלן לגבי מטרת איסוף המידע האישי, וקבלת הסכמה לעיבודו. במקביל, לשם אבטחת המידע כנדרש בחוק, יש לנסח מדיניות סדורה הנוגעת לעיבוד מידע אישי כחלק מכללי ניהול העסק. כאשר המידע האישי נאסף ומנוטר במיקור חוץ – יש לוודא את יכולת הקבלן לפקח על תהליך עיבוד המידע. בנוסף, שומה על חברות המפעילות אתרי אינטרנט או אפליקציות בסין, לסקור שנית את הצהרות הפרטיות שלהן, ולוודא כי הן עומדות בדרישות החוק כיאות.

מטבע דיגיטלי סיני

מאת: תהילה לוי לאטי, רביד רום ונתנאל שפיגלמן

ב-23 בפברואר האחרון הודיעה העיר צ'נגדו על הגרלה ייחודית. מאתיים אלף שוברים נמכרו בערכים של בין 27-37 דולר, כאשר הפרס הגדול הוא בשווי של כ-6 מיליון דולר. אלא שהפרס לא יינתן ביואן – הוא ישולם במטבע הדיגיטלי החדש שהנפיק הבנק המרכזי, ה-DCEP (Digital Currency Electronic Payment), מדובר במטבע הדיגיטלי החוקי היחיד בסין לעת עתה.

ההגרלה בצ'נגדו גדולה יותר מזו שנערכה בבייג'ינג בראשית אותו חודש, בה הוגרלו כ-1.5 מיליון דולר בין חמישים אלף משתתפים. ערים נוספות, ביניהן שנז'ן וסוג'ואו, ערכו בחודשים האחרונים בדיקות משלהן לפופולריות המטבע הדיגיטלי המדובר. בדומה להגרלה בבייג'ינג, גם ההגרלה של צ'נגדו נערכה לרגל חגיגות ראש השנה הסינית. עורכת ההגרלה עבדה עם קמעונאים מקומיים בדרך המסורתית, אך גם עם אפליקציית הסחר JD.com.

בכך נראה שהמעבר להגרלת מטבעות קריפטו הוא חלק בלתי נפרד ממהפכת התשלום בסלולרי שעברה סין בשנים האחרונות. שתי האפליקציות העיקריות והמפורסמות ביותר לתשלום דיגיטלי הן Alipay של Alibaba ו-Wechat Pay של Tencent. המטבע הדיגיטלי החדש שפיתח בנק העם הסיני צפוי לעבוד בטכניקה זהה לאפליקציות התשלום, וההגרלות שנערכו מהוות מעין בלוני ניסוי למדידת סיכויי הצלחתו.

כוונתה של ממשלת סין ברורה – היא לא מעוניינת בייצור מטבע ספקולטיבי שישמש רק להשקעות, אלא בהמרת המערכת המוניטרית כולה, שתתבסס בטווח הארוך על המטבע החדש. כך למשל, מקודמת חקיקה שתחייב סוחרים לקבל את ה-DCEP כתשלום חוקי לכל דבר. יתרונות השימוש במטבע הדיגיטלי ברורים: הקטנת העלויות של העברות בנקאיות, צמצום הסיכונים שבעסקאות מזומן לא מקוונות, מיגור הלבנות הון ומימונים בלתי חוקיים. על המטבע החדש יוכל הרגולטור לפקח ביתר יעילות, ולצד זאת, תיחסכנה עלויות שימור מחזור המטבעות והשטרות המזומנים.

מעניין לציין כי לפני שש שנים, החלה בסין דרכו של מטבע קריפטו אחר: הביטקוין. אבי הביטקוין, צ'נדלר גואו, הקים את החווה הראשונה לכריית ביטקוין בסמוך לתחנת כוח הידרואלקטרית במערב סין. כריית ביטקוין דורשת אנרגיה רבה, וגורמי הממשל המקומיים העמידו לרשותו את התחנה ההיא, שבשיאה סיפקה את החשמל הדרוש לכריית כ-30% מכלל הביטקוין בעולם.

גואו מאמין שה-DCEP יכבוש את שוק הקריפטו, וכי "יום אחד כל העולם ישתמש ב-DCEP". לדבריו, סוכני המטבע החדש יהיו בני ובנות התפוצה הסינית הגדולה בארצות זרות, שתוך שימוש טבעי בו עם משפחתם שבסין יטמיעו אותו במדינות השונות.

עם זאת, רבים מטילים ספק בסיכויי הצלחת המטבע הדיגיטלי הסיני. בדומה לביטקוין, המטבע החדש משתמש בטכנולוגיית בלוקצ'יין – מעין ספר דיגיטלי אוניברסלי המשמש לאימות עסקאות. כלומר, משתמש המעוניין לאמת עסקה חדשה, מתועד אוטומטית במאגר הכולל כל עסקה שנעשתה אי פעם ברשת. אך בשונה מביטקוין ומטבעות קריפטו דומים, המופעלים על ידי מערכת מבוזרת, המטבע הדיגיטלי החדש נשלט על ידי גורם יחיד – הבנק המרכזי. נתון זה לבדו מעלה את החשש שהממשל המרכזי יעשה במטבע שימוש לריגול אחרי אזרחים.

אנליסטים סיניים טוענים שה-DCEP בטוח יותר לשימוש מאשר הליברה, המטבע החדש שהנפיקה פייסבוק, והמצוי תחת שליטתה הבלעדית. מדובר במרוץ צמוד לכיבוש שוק הקריפטו: הבנק המרכזי להוט לקדם את התפתחות המטבע, ולנצל את ההזדמנות להוציא את המערכת הפיננסית הבינלאומית משליטתה של ארצות הברית.

ככל שיותר מדינות תשתמשנה במטבע הדיגיטלי הסיני, תוכל להיווצר סיטואציה חדשה של בניית מערכת פיננסית חדשה. זו הקיימת נבנתה על ידי ארצות הברית, בדמותה ובצלמה; הגורמים המאיצים את השימוש במטבע הדיגיטלי החדש מקווים שהוא יסייע להפיכת היואן למטבע בינלאומי, ובכך בעצם למצב בו היואן יהפוך למתחרה משמעותי של הדולר.

טיוטת החוק להגנה על המידע האישי – הגנה מוגברת על הפרטיות

מאת: עו"ד ושותפה תהילה לוי לאטי ורביד רום

ב-21 באוקטובר 2020 פורסמה טיוטת חוק הגנת המידע האישי, המכילה 70 סעיפים הנוגעים להטלת קנסות כבדים כנגד הפרות הנוגעות להגנה על נתונים אישיים. מדובר בחוק המקיף הראשון של סין בתחום הזה – מה שעשוי להשפיע משמעותית על חברות הפועלות בסין או מעוניינות לפתוח בפעילות בשוק הסיני.

טיוטת החוק תשפיע בהגברת האבטחה, בכך שמפעילי תשתית מידע וגופים מרכזיים המטפלים בכמות משמעותית של מידע אישי אשר מעבירים מידע אישי לחו"ל יחויבו לעבור הערכת אבטחה מצד הרשויות הסיניות. טיוטה זו אינה מספקת מידע לגבי ההגדרה מהי כמות משמעותית, בשונה מטיוטה קודמת מ-2017, ככל הנראה כדי לאפשר הרחבה של ההגנה וגמישות בנוגע ליישומה. אם יתגלה כי ארגונים או יחידים מעבר לים פגעו בזכויות אזרחי סין בכל הנוגע למידע אישי או מעורבים בפעילויות הקשורות בנתונים אישיים ופוגעים בביטחון הלאומי ובאינטרסים הציבוריים של סין, הם יוכנסו לרשימה שחורה על ידי מרחב הסייבר הסיני. פגיעה מעין זו כוללת שימוש במידע בדרכים לא חוקיות, פסולות, המבוססות על הונאה והטעיה באשר לעיבוד המידע, וכן דרכים ללא מטרה ברורה וסבירה או שאינן קשורות למטרת העיבוד וכן ללא הסכמה אישית.

עולם הנתונים, עיתוי פרסום הטיוטה ותקופת הקורונה קשורים אלה באלה. עולם הדאטה גדל במהירות רבה בסין, ומסייע רבות למשל בהתמודדות עם הנגיף, על ידי מעקב וניטור קשרים של חולים מאומתים דרך פלטפורמות מקוונות וזיהוי מהיר של מסלולים של חולים פוטנציאליים. עם זאת, הפרות רבות קורות באופן בוטה בעיקר ברשתות החברתיות. כך לפי מומחים, עיתוי פרסום הטיוטה נועד לפנות דווקא לחברות זרות, שבשנים האחרונות הדליפו מידע אישי והפרו לא אחת את הפרטיות של משתמשי הפלטפורמות ברשת. למרות זאת, בשל הצורך בפיתוח טכנולוגיות חדשות (להן יש משמעות חשובה בכל התחומים) המבוססות על נתונים אישיים, ייתכן והטיוטה תיאכף בזהירות כדי להימנע מתמריץ שלילי בפיתוח.

נתונים אישיים שחוסה עליהם פרטיות המובהרים בטיוטה הם: גזע, אתניות, דת, נתונים ביומטריים, נתונים רפואיים ופיננסיים ונתוני מסלול אישי. הטיוטה חלה על עיבוד הנתונים האישיים של יחידים בסין ללא קשר למוצאם במקור, ובכך מציעה יישום חוץ-טריטוריאלי ברור וספציפי לגופים ויחידים בחו"ל המעבדים את הנתונים האישיים של נושאי נתונים בסין לצורך אספקת מוצרים ושירותים, לניתוח או הערכת התנהגותם של בעלי נתונים בסין או בנסיבות אחרות המפורטות ברגולציה הסינית. ארגונים או אנשים מחוץ לסין אשר נופלים במסגרת ההגדרות בטיוטה יצטרכו להקים ארגון ייעודי או למנות נציג בסין ולדווח על המידע הרלוונטי לרשויות בסין.

בעוד שבאופן מסוים הטיוטה כוללת חוקים שכבר קיימים ונמצאים באופן מפוזר בחוקים ותקנות שונות בנושא אבטחת סייבר והגנת נתונים, היא גם מחדשת בכך שמחייבת מעבדי נתונים אישיים לאמץ תוכנית compliance לתאימות ובקרה בכדי להגן על נתונים אישיים של משתמשים.

להפרות חמורות של הטיוטה ואי נקיטת אמצעים מספקים שהכרחיים להגנה על נתונים אישיים, יש השלכות שיכולות לבוא לידי ביטוי בקנסות גבוהים בסכום של עד 50,000,000 RMB או עד 5% מהכנסות השנה הקודמת, מה שעשוי לפגוע קשות בארגונים וביחידים שאוספים מידע אישי, משתמשים בו וסוחרים בו שלא כדין ולמטרות רווח.

מבחינת האחריות האישית בהקשר של הפרה של הטיוטה, הצוות או האדם שאחראי באופן ישיר על המידע האישי ועל עיבודו עלולים להיות מחויבים בסכום של מיליון RMB. הטיוטה מניחה שמעבד הנתונים האישיים הוא אשם אם עולות טענות מעין אלו כנגדו על ידי האחראי על תחום מערכת הנתונים, אלא אם האחרון יוכיח אחרת. גם אם יוכיח אחרת, ההכרעה עדיין בידי בית המשפט הסיני ועל סמך שיקול דעתו, ולכן יהיה קשה להוכיח שהוא לחלוטין נטול כל אחריות.

טיוטת החוק מספקת באופן ספציפי עקרונות הגנת נתונים שונים, כולל שקיפות, הוגנות, מזעור נתונים ודיוקם, שמירה מוגבלת והטלת אחריות. התוצאה לטווח הארוך הנלמדת מפרסום הטיוטה היא החמרת הסנקציות והאכיפה כנגד הגורמים שמקבלים ומעבדים נתונים אישיים והגנה מוגברת על דאטה ונתונים אישיים ופרטיותם של אזרחי סין.

כל מה שחשוב לדעת על עדכוני החקיקה האחרונים בסין חלק ב'

אמצעים מנהליים להשקעות חוץ (תיקון)

ב-1 למרץ 2018 ייכנס לתוקף בסין התיקון של ההנחיות בדבר אמצעים מנהליים להשקעות חוץ שמטרתו הוא שיפור הפיקוח, שמירה על הביטחון הלאומי ותמיכה בפיתוח בריא של השקעות סיניות בחו"ל. להלן עיקרי התיקון:

הרחבת היקף התחולה

  • המדדים החדשים יחולו על כלל הארגונים המקומיים וארגונים מסוימים בחו"ל.
  •  הבהרה והרחבה של היקף פעילויות ההשקעה, כך שיותר פעילויות השקעה תהיינה כפופות לתיקון.

ייעול שיטת הפיקוח

  • הוסרה דרישת אישור מראש מהוועדה הלאומית לפיתוח ("NDRC") עבור רכישות או הצעות על פרויקטים העולות על 300 מיליון דולר מצד משקיעים סינים.
  • הפשטה וייעול של הליכים פורמליים ע"י השקה של פלטפורמה מקוונת.
  • החמרת הפיקוח:
    1. משקיעים סיניים נדרשים להגיש דו"ח השלמת פרויקט תוך 20 ימי עבודה לאחר השלמת הפרויקט.
    2. על משקיעים סיניים לדווח ל-NDRC או למקבילה המקומית על כל עניין מהותי במהלך חיי הפרויקט בחו"ל.
    3. ה-NDRC רשאי לבקש מראש ממשקיע להגיש דו"ח בכתב בכל עניין מפורט לפי שיקול דעתו.
    4. ה-NDRC יפרסם ויתחזק "רשימה שחורה" של המשקיעים סיניים אשר נמצאו בהפרה של תיקון זה.

התקן הלאומי של סין בדבר אבטחת מידע אישי

מנהל התקינה הארצי של סין פרסם את התקן הלאומי בדבר מידע אישי אשר ייכנס לתוקף ב-1 למאי 2018. התקן מפרט את ההגדרה של מידע אישי, חובות ונהלים שעל עסקים וארגונים רלוונטיים ליישם בנוגע לאיסוף, שימור, שימוש, העברה, שיתוף וטיפול חוצה גבולות במידע אישי.

למשל, התקן דורש ממנהל הנתונים לבצע בדיקת נאותות על הסובייקט לפני קבלת המידע האישי על מנת לדעת בבירור את מקורות המידע ואת ההיקף המוסכם של אופן עיבוד המידע ושימוש בו.

התקן מציב את עקרון ה"מזעור" לצד ומעל הכללים בתקן. העיקרון מחייב כי סוג המידע האישי שייאסף צריך להיות קשור ישירות לביצוע הפעולה העסקית או השירות הרלוונטי; ותדירות וכמות המידע האישי צריכות להיות מוגבלות לתקן המינימלי הנדרש לביצוע הפעולה העסקית או השירות. הלכה למעשה, עקרון ה"מזעור" ייקבע על בסיס כל מקרה לגופו.

על אף שכיום מדובר במסגרת וולונטרית, אנו ממליצים כי חברות אשר פעילותן נוגעת למידע אישי תעקובנה אחר הנושא מאחר והתקן קובע באופן יעיל את שיטות העבודה המומלצות והמצופות על ידי הגופים הרגולטורים וכללי הגנת הנתונים הקיימים בסין. בנוסף, תקן זה יהווה בסיס חשוב לרגולציה וחקיקה עתידית בתחום ביטחון המידע.

החוק לביטחון לאומי בסין

ב-1 ביולי פורסם החוק לביטחון לאומי החדש בסין. החוק נועד, על פי הממשלה, להתמודד עם איומים מורכבים על האינטרסים הלאומיים, החל מאיומי סייבר ועד לאיומי טרור.
מספר ימים לאחר מכן, פורסמה טיוטת "חוק אבטחת המידע" שהייתה פתוחה להערות הציבור עד ה-5 באוגוסט. הטיוטה מביעה את רצון הממשל הסיני להגביר את השליטה ברשתות התקשורת ואבטחת הנתונים, במטרה לחזק באופן משמעותי את מה שמוגדר "הביטחון הלאומי" במדינה.

ההשפעות המרכזיות בטיוטת החוק על חברות זרות בסין:

  • הגדרה ואחריות של "מפעילי רשת" ו"ספקי שירות"
    הטיוטה כוללת יותר ויותר דרישות מחמירות עבור מפעילי רשת (Network Operators) וספקי שירות (Service Providers) על פי הגדרת החוק. כתוצאה מכך, האחריות להסדיר ולשמור על 'חוקיות' המידע שמתפרסם ומופץ בפלטפורמות השונות תתרחב, וכבר לא תחול רק על הממשלה.
    סעיף 65 בטיוטה מגדיר "מפעילי רשת" באופן רחב, וכולל: בעלי רשת (Owners), מנהלי רשת (Administrators) וספקי שירותי רשת (Network Service Providers).
    בפועל, "ספקי שירותי מידע" כוללים רשתות חברתיות (כמו Weibo), אתרי חיפוש (כמו Baidu ו-Bing), אתרי וידאו (כמו Youku ו-LeTV), פלטפורמות E-Commerce (כמו Taobao ו-JD), אתרים רגילים של חברות, ואף אתרים לא מסחריים המפרסמים מידע כמו אתרי אוניברסיטאות.

החובות העיקריות שיחולו על כל אלו:

  • שמירת פרוטוקולים (Cyber-Security) ונקיטת אמצעים למניעת וירוסים ופרצות אבטחה.
  • בעת קניית מוצרי רשת או שירותים שונים, יש לוודא כי הם עומדים בסטנדרטים הקבועים בתקנות ובחוק על פי התעשייה הרלוונטית.
  • דרישה להודיע למשתמשים באופן מיידי וללא דיחוי על פרצות אבטחה.
  • עבור שירותי טלפון ואינטרנט: אימות זהות המשתמשים (באמצעות תעודה מזהה וכתובת).
  • חובת צנזורה: נקיטת פעולות מיידיות לצורך הסרת תכנים, ודיווח לרשות בגין כל אירוע.
  • מכירת חומרה וציוד IT "בעלי חשיבות" תהיה כפופה להליך אישור מיוחד מטעם הרשויות
    מלבד החובות המחמירים על מפעילי רשת, החוק יחיל חובות גם על ספקי מוצרים ושירותי רשתות מידע.

א) מוצרי רשתות ושירותי אבטחה
הטיוטה קובעת כי מכירה או יישומה של חומרה או ציוד IT "בעל חשיבות", יהיו כפופות לבחינת תנאי סף מחייבים ולאישור ממשלתי. מכאן, חברות זרות צפויות לחוות אתגר נוסף בעת ניסיונן למכור מוצר או שירותים העונים להגדרה.¹
עד לאחרונה, חברות סיניות ורשויות מקומיות בסין השתמשו במערכות מיחשוב זרות בהיקף נרחב. אולם, בעקבות חשיפת תוכנית פריזם (PRISM) של ה-NSA בשנת 2013, הממשלה הסינית הבינה את הסכנה הפוטנציאלית במוצרי IT זרים והחלה לפעול באופן מיידי. מאז, יותר ויותר חברות סיניות ורשויות מקומיות הפסיקו להשתמש במוצרי IT זרים, ועברו למוצרים ושירותים מקומיים מתקדמים, או שהחלו לפתח מערכות טכנולוגיות משלהן.
ניתן היה לראות את הדאגה של הממשלה הסינית גם בהנחיות לבנקים שפורסמו בסוף שנת 2014. ההנחיות אמנם לא אוסרות על שימוש בספקים זרים לתוכנות וחומרות במערכות הבנקאיות, אך מציבות רף דרישות גבוה לספקים זרים הרוצים לקחת חלק בשוק (כמו: רישום ומעקב אחר ציוד, בדיקה ואישור רשות הטכנולוגיה על ציוד רשת, ועוד).

ב) "מפעילי תשתיות מידע בעלות חשיבות" (key information infrastructure facilities)
ההגדרה הרחבה של המושג "מפעילי תשתיות מידע בעלות חשיבות"² משאירה מקום לרגולטור הסיני לפרש את החוק ולבחון כל מקרה לגופו, כאשר חברות ושירותים רבים יכולים להיכנס להגדרה.

כחלק מאינטרס הממשלה לשמור על פרטיות משתמשים ועל מידע רגיש, הטיוטה קובעת תקנות חדשות הנוגעות לאחסון מידע. סעיף 31 בטיוטה קובע כי מידע שנאסף על ידי "תשתיות מידע בעלות חשיבות" ייחשב כ"מידע חשוב" או "מידע קריטי" על ידי הממשל הסיני, ועל כן על המידע להיות מאוחסן בשטח הטריטוריאלי של הרפובליקה העממית של סין (לא כולל הונג-קונג וטיוואן). השאלות איזה מידע יסווג כ"חשוב" ומהם החריגים למדיניות זו עומדות בעינן. במידה ולחברה זרה יש צורך לגיטימי לאחסן את הנתונים בחו"ל, יהיה עליה לעבור הליך הערכה בטחונית מחמירה.

בפועל, חברות זרות רבות בוחרות כיום לאחסן מידע על שרתים מחוץ לסין מסיבות שונות (שירותי אחסון טובים יותר, גיבוי נתונים, או אחסון בשרתי חברת האם במדינת המקור). במידה והסעיף ייכנס לתוקף, חברות אלו ואחרות יאלצו לנקוט באמצעים שונים על מנת להתאים את מערכות ניהול הנתונים ופריסת הרשתות שלהן לחוק. בנוסף, גם ספקים זרים של תשתיות אחסון נתונים יאלצו להתמודד עם הערכות בטחוניות מצד הרשויות בסין, או עם לקוחות שעוזבים על מנת לעמוד בדרישות החוק החדש בסין. ספקי שירותי ענן עלולים אף הם לחוות קשיים, בהתחשב במבנה השרתים ובמיקומם.

לסיכום, הממשלה הסינית נחושה להבטיח שליטה טובה יותר ברשת האינטרנט בסין על מנת לחזק את הביטחון הלאומי ולשמור על ריבונותה. טיוטת החוק מנוסחת באופן כללי ורחב מאוד, תוך הצבת תנאים מחמירים לניהול רשתות ולמידע הזורם בהן. ההגדרות העמומות והלשון הכללית בטיוטה ישאירו מקום לרשויות הרגולטוריות לתת פרשנות משלהן לחוק, על פי בחינה של כל מקרה לגופו.
מצד אחד, הממשלה הסינית מציגה מאמצים ורצון לפתוח את השוק כמה שיותר להשקעות זרות. מצד שני, עם כניסת 'העולם המערבי' וחברות זרות לסין, הממשלה (באופן טבעי) מחוייבת להגביר את הפיקוח בשוק. לאור העובדה שמדובר בחלק מהאג'נדה הפוליטית של הממשלה, נראה כי הסביבה העסקית בסין והחברה כולה יצטרכו לקבל זאת, ושחברות זרות ייאלצו להסתגל למדיניות החדשה.

הנוסח הסופי של החוק יתפרסם בקרוב. אנו ממליצים לעקוב אחר ההתפתחויות בנושא, שכן חוקים אלו ואחרים צפויים להשפיע רבות על חברות זרות ועסקים בסין.

את טיוטת חוק אבטחת המידע (בסינית בלבד) ניתן למצוא באתר:
http://www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/content_1940614.htm

[1] בעתיד יפורסם קטלוג שיכלול את התחומים "בעלי החשיבות" אותם תקבע הממשלה.
[2] מפעילי תשתיות מידע בעלי חשיבות מוגדרות בסעיף 25 בטיוטה וכוללות:
basic information networks; important information systems in important industries or in public service sectors; military networks; government networks for state organs at city level or higher; and networks and systems owned or managed by network service providers with a significant number of users.