Data är en växande källa till värde som företag globalt försöker utnyttja. Men det finns risker att datan kan användas fel och EU och Kina inför regelverk som för hur data kan användas och hanteras.
Den kinesiska cybersäkerhetslagen är skapad för att, bland flera syften, säkra kinesisk cybersäkerhet och skydda den nationella säkerheten enligt enligt den grundläggande principen om vad som genereras i Kina måste lagras i Kina.
I tillägg till cybersäkerhetslagen finns ytterligare två lagar som samverkar med cybersäkerhetslagen för att reglera hur data i Kina ska hanteras: the Personal Information Protection Law (PIPL), som fokuserar på hur personlig information ska hanteras (liknande GDPR) och the Data Security Law (DSL), som fokuserar på hur känsliga data används, samlas in och skyddas.
Som en konsekvens svarar nästan hälften av de responderande svenska företagen i Kina att de påverkas av den kinesiska cybersäkerhetslagstiftningen enligt årets “Business Climate Survey for China 2021” som är genomförd av Team Sweden i Kina*. Endast 36 procent av de svenska företagen som ofta behöver interagera med exempelvis huvudkontor eller kunder utanför Kina, upplever att de inte påverkas.
(Källa: Team Swedens Business Climate Survey for China 2021.)
Alla tre undersökta segmenten ser en liknande övergripande påverkan, men med lite olika huvudsakliga utmaningar. Industriföretag upplever främst utmaningar när det kommer till användningen av molntjänster (26 procent), medan konsumentföretag och tjänsteföretag i första hand ser utmaningar i användningen av VPN för affärsändamål (43 procent respektive 30 procent).
PIPL – KINAS GDPR
Den nya kinesiska Personal Information Protection Law (PIPL) trädde i kraft den första november 2021 med många likheter med European General Data Protection Regulation (GDPR). I tillägg till att skydda individers integritetsrätt har Kinas PIPL syftet att reglera bearbetningen och användningen av individers personliga data i landet, vilket påverkar svenska företag som hanterar personuppgifter från individer i Kina.
PIPL understryker att hanterare av data, som huvudansvariga för skyddet av individers personuppgifter, ska ta ansvar för deras egna datahantering och måste vidta nödvändiga åtgärder för att skydda säkerheten för de personuppgifter de hanterar. Potentiella straff för överträdelser involverar inte bara stora bötesbelopp utan företag riskerar också att tvingas avsluta verksamheten och få verksamhetstillståndet återkallat.
PIPL påverkar inte bara företag som behandlar personuppgifter inom landet, utan även de som behandlar samma typ av data om individer utanför Kina. Svenska företag som är belägna i Kina, såväl som de som verkar utifrån, kan därför också påverkas av PIPL om de hanterar sådan data, vilket resulterar i ett behov för svenska företag att förstå om och hur de påverkas av den nyligen antagna lagen. Särskilt företag som behandlar personuppgifter om individer i Kina utifrån Kina behöver ha en särskild agentur eller utse en representant i Kina för att ansvara för relevanta frågor om skydd av personuppgifter och lämna in namn och kontaktinformation.
Det finns i huvudsak tre aspekter som svenska företag bör utreda efter PIPL:s införande:
- Identifiera och kategorisera datatillgångar och tillämpningsscenarier rörande affärer enligt kinesiska lagar.
- Bedöma om ett internt complience-team med auktoritet att ta beslut kring dataefterlevnad kan behövas.
- Genomföra en intern riskbedömning med utgångspunkt från de mest känsliga områdena som lättast blir ifrågasatta.
BEGRÄNSNINGAR FÖR ÖVERFÖRING AV VIKTIGA DATA ÖVER GRÄNSER
Den 1 september 2021 trädde den nya kinesiska datasäkerhetslagen i kraft, som anger hur data ska används, samlas in, utvecklas och skyddas i Kina. Lagen innehåller regler om hur gränsöverskridande överföring av viktig data som samlas in och genereras av en kritisk infrastruktur och allmänna registerförare inom Kina ska hanteras.
Det finns dock fortfarande osäkerheter kring vad viktig data innebär eftersom den ännu inte är specificerad, med definitioner som ska tillhandahållas av varje region och avdelning för relevanta branscher och områden i framtiden.
(Källa: Team Swedens Business Climate Survey for China 2021.)
Regelverk håller också på att införas för företag för att bedöma möjligheten att överföra viktig data från Kina. Det finns två separata ramverk för detta beroende på om datan samlas in från operatörer av kritisk informationsinfrastruktur (företag som verkar i specifika branscher eller med specifika tekniker vars förstörelse, förlorad funktion eller dataläckage allvarligt äventyrar den nationella säkerheten, det allmäna välbefinnandet och allmänhetens intresse) eller från allmänna registerförare (andra):
- Operatörer för kritisk informationsinfrastruktur (CIIO): Gränsöverskridande överföring av viktiga data som samlats in eller producerats på Kinas fastland regleras av cybersäkerhetsbestämmelserna och ska av princip lagras inom Kina, vilket kräver en säkerhetsbedömning innan en potentiell gränsöverskridande överföring görs.
- Allmänna registerförare: Säkerhetsgranskningsåtgärder ska formuleras av Cyberspace Administration of China för hur överföring av data till utlandet ska hanteras.
Även om den ännu inte är helt definierad har den nya datasäkerhetslagen redan trätt i kraft, och svenska företag måste vara redo att följa den om de påverkas när definitionerna väl har satts. Som leverantör till ett företag som faller inom ramen för CIIO kan svenska företag fortfarande påverkas av striktare bedömningar och kan krävas av sina kunder att stötta med säkerhetsbedömningar genom att lämna in dokument eller liknande, även om de inte själva faller under denna omfattning.
För att minska risken för överträdelser kopplade till gränsöverskridande dataöverföring finns det därför ett behov för svenska företag att:
- Bedöma om de faller inom ramen för operatörer av kritisk informationsinfrastruktur.
- Hålla ett vaksamt öga på utvecklingen av datasäkerhetslagen och vara redo att följa den vid behov, även vid förfrågningar från kunder.
- På förhand definiera ägarskap, åtkomst och ansvar för kunders data som en del av kommersiella avtal.
LOKALISERING I MOLNET BEROENDE PÅ BETYDELSEN AV DATA FÖR ATT DRIVA FÖRETAG I KINA
Molnlösningar och -tjänster blir allt viktigare både för den interna verksamheten och för externa tjänster, såsom software-as-a-service (SaaS). Svenska företag påverkas dock redan idag av cybersäkerhetslagstiftningen när de använder molnlösningar.
(Källa: Team Swedens Business Climate Survey for China 2021.)
Det vanligaste initiala tillvägagångssättet för många svenska företag är att fortsätta utnyttja offshoreservrar för att leverera tjänster även i Kina. Detta kan dock medföra osäkerhet kring regelefterlevnad och långsiktig kommersiell hållbarhet och kan resultera i lägre hastighet med en tjänst som, i värsta fall, kan blockeras av regeringen.
Det finns dock en risk att sätta upp separata servrar för den kinesiska marknaden eftersom det kan leda till separata öar av data. Påverkad av den nyligen antagna datasäkerhetslagen och konsekvenserna för dataöverföring, kan data som är lokaliserad i Kina kanske inte föras ut ur landet och, som en konsekvens, isoleras från resten av datan.
Hur man hanterar uppsättningar av molntjänster beror till stor del på om verksamheten i Kina ses som tillräckligt viktig för att riskera att skapa separata isolerade öar av data. För detta finns det till en början fyra frågor att överväga:
- Hur passar datan in i ditt företags övergripande modell?
- Är din verksamhet i Kina tillräckligt viktig för att skapa en separat installation för Kina?
- Vilka är riskerna och fördelarna med att sätta upp en sådan separat installation?
- Hur kan dataöverföringen hanteras, oavsett modell, om du är beroende av en stor mängd data för ditt företag?
SLUTSATS
Den kinesiska cybersäkerhetslagen, samt den nyligen antagna datasäkerhetslagen och lagen om skydd av personuppgifter, är utformade för att bland annat säkerställa kinesisk cybersäkerhet och skydda nationell säkerhet, vilket påverkar svenska företag som verkar på den kinesiska marknaden. Svenska företag behöver därför förstå konsekvenserna av Kinas cybersäkerhetslagstiftning för sin verksamhet, vilka risker de innebär och hur man hanterar dem bäst.
*Sveriges ambassad i Peking, Sveriges generalkonsulat i Shanghai, Svenska Handelskammaren i Kina, Business Sweden.