סין אישרה חוק אבטחת מידע חדש

"חוק אבטחת המידע של רפובליקת העם של סין" אושר באופן סופי בתחילת השבוע, לאחר שני סבבים של הערות מהציבור, והוא עתיד להיות עמוד התווך של הרגולציה על אבטחת מידע בסין. החוק, שייכנס לתוקפו ב-1 בספטמבר 2021, יוצר שורה של נהלי מדיניות שתפקידם להבטיח שימוש מאובטח ויעיל במידע, שיחולו הן על פעולות במידע המתרחשות בסין, והן על פעולות במידע המתבצעות מחוץ לסין ושעלולה להיות להן השפעה על הביטחון הלאומי או האינטרס הציבורי בסין.

לפי החוק, מדיניות אבטחת המידע מבוססת על סיווג היררכי של מידע: מידע שיסווג כ-"important data" יזכה לרמת הגנה גבוהה יותר ופעולות בו תהיינה כפופות לרגולציה מחמירה יותר, בדומה ל"מידע רגיש" כהגדרתו בחוק הגנת הפרטיות, התשמ"א-1981, או ל-"Special Categories of Personal Data" כהגדרתן ב-General Data Protection Regulation (Regulation (EU) 2016/679). החוק אינו מגדיר מהו מידע חשוב, אלא מותיר את מלאכת הסיווג לידי הרשויות המקומיות (המחוזות בסין) והרשויות הממשלתיות – שכל אחת מהן עתידה ליצור "קטלוג מידע" היררכי משלה, שעל פיו תיישם את החוק בתחום הסמכות שלה.

בין היתר, החוק קובע נהלים לגבי הנושאים הבאים: חובות לעניין אבטחת המידע, דוגמת הקמת מערכות לניהול אבטחת המידע, ביצוע הדרכות, ושימוש באמצעים טכנולוגיים שיבטיחו את ההגנה על המידע וימנעו פירצות אבטחה; העברת מידע אל מחוץ לסין, שתהיה כפופה לרגולציה ולפיקוח של מינהלת הסייבר של סין; והצורך בקבלת רישיון מהמדינה לעיבוד מידע, לצורך עיבוד של סוגי מידע מסוימים (שטרם הוגדרו).

אף שהחוק יחסית מקיף ורחב, לא ברור מה תהיה השפעתו בפועל – שכן הוא כולל שורה ארוכה של עקרונות ונהלי מדיניות, אך הוא חסר כללים פרקטיים ויש בו "חורים" רבים. סין עתידה לחוקק חוקים ותקנות משלימים שימלאו את החסר, אך לא ברור מתי הדבר צפוי לקרות. מקור: Hunton Andrews Kurth