Закон о кибербезопасности КНР

Закон о кибербезопасности КНР (также Закон об интернет-безопасности КНР) — основной нормативно-правовой акт, регулирующий сферу интернет-безопасности КНР. Опубликован 7 ноября 2016 года, вступил в силу 1 июня 2017 года.

Закон о кибербезопасности регламентирует действия поставщиков сетевых продуктов и услуг по сбору, хранению и обработке пользовательских данных, определяет порядок и специфику обеспечения безопасности информационной инфраструктуры в стратегически важных отраслях. Главной целью принятия закона провозглашается защита национального «киберсуверенитета» КНР.^[1]

История

Сфера кибербезопасности попала в поле зрения китайских властей во второй половине 1990-х гг.

Одним из стимулов развития законодательства в этой области послужило создание в 1999 году системы электронного государственного управления (Government Online Project, GOP) и появление необходимости адекватного правового регулирования.^[2] Так, в 2000 году были приняты руководящие принципы для системы электронного государственного управления (Guidelines of National Electronic Government Construction, NEGC).

В 2011 году положения о кибербезопасности были внесены в национальное уголовное законодательство КНР, а в 2013 году — в Закон о защите прав и интересов потребителей.

В июле 2015 года Всекитайское собрание народных представителей опубликовало проект первого Закона о кибербезопасности.

7 ноября 2016 года Закон о кибербезопасности КНР был одобрен в третьем чтении на сессии постоянного комитета ВСНП. Официально вступил в силу 1 июня 2017 года.

Содержание закона

Закон о кибербезопасности носит сводный характер и представляет собой первую попытку китайских властей сформулировать и обобщить стратегические принципы, определяющие действия Китая в области кибербезопасности.

Текст закона состоит из 79 статей, объединённых в 7 разделов:

Основные принципы
Обеспечение и стимулирование кибербезопасности
Безопасность сетевых операций
Информационная безопасность
Контроль, предупреждение, чрезвычайное реагирование и меры наказания
Юридическая ответственность
Дополнительный раздел.

Главным образом, закон затрагивает деятельность поставщиков сетевых продуктов и услуг. Согласно Статье 22, поставщики сетевых продуктов и услуг должны своевременно информировать пользователей и соответствующие компетентные власти о любых известных уязвимостях в области безопасности и принимать необходимые меры по их устранению.^[3] В случае, если продукты или услуги собирают личные данные, поставщики обязаны уведомлять об этом пользователей. Сбор и хранение личных данных пользователей должны осуществляться исключительно в целях, официально обозначенных поставщиком. Запрещены раскрытие, изменение, удаление и передача данных третьим лицам, исключение составляет проведение перечисленных операций по требованию самого пользователя.

Закон существенно ограничивает анонимность пользователей за счёт введения требования об обязательной верификации для доступа к сети. Если пользователь не предоставляет реальные идентификационные данные, провайдер не имеет права открывать доступ к сети.

Особое внимание уделяется безопасности критически важной инфраструктуры, к которой относятся государственные коммуникационные и информационные услуги, энергетика, транспорт, ирригация, финансы, оборонная сфера, электронное правительство и другие ключевые отрасли и сектора, нанесение ущерба, незаконное использование и утечка данных в которых могут нести серьёзную угрозу национальной безопасности и общественным интересам. В том числе, ужесточаются требования к профессиональной подготовке сотрудников, работающих на объектах КВИИ, вводится запрет на хранение данных за пределами Китая; согласно положениям закона, закупка сетевых продуктов и услуг для объектов КВИИ должна осуществляться под контролем уполномоченных государственных органов, предприятия в критически важных отраслях обязаны проводить ежегодные оценки рисков безопасности и отражать полученные результаты в отчётах.

В случае выявления нарушений закон предусматривает штрафы в размере от 10 тысяч до 1 миллиона юаней, в зависимости от тяжести киберпреступления, при этом весь полученный незаконным путём доход подлежит конфискации.^[4] В соответствии со Статьёй 75, власти КНР имеют возможность замораживать активы иностранных учреждений, организаций и физических лиц, если они подозреваются в организации и осуществлении атаки, взлома, вмешательства, нанесении вреда критически важной информационной инфраструктуре Китая.

Нормативно-правовой акт также предусматривает проведение мер по повышению уровня грамотности населения в области кибербезопасности при участии государственных органов всех уровней и СМИ.

Значение

Принятие закона ведёт к усилению государственного контроля над деятельностью китайских и иностранных компаний в сети Интернет.

Закон может оказать существенное влияние на структуру внутреннего IT-рынка КНР и позиции национальных производителей. Его имплементация ограничивает доступ западных IT-компаний к китайскому рынку, так как требует от них прохождения специальной сертификации, что, в том числе, предполагает необходимость раскрытия исходных кодов поставляемого программного обеспечения.

Китайским и иностранным компаниям, планирующим заниматься реализацией IT-продуктов на китайском рынке, необходимо производить полную или частичную корректировку своих бизнес- и операционных практик в соответствии с положениями нового Закона.^[5]

Критика

В августе 2016 года более 40 международных бизнес-структур обратились к Премьер-министру КНР Ли Кэцяну с требованием внести поправки в опубликованный законопроект, однако китайские власти заявили, что положения закона «не противоречат интересам иностранных компаний».^[6]

Западные СМИ неоднократно называли новый нормативно-правовой акт спорным. В некитайских изданиях сообщалось о том, что крупные иностранные технокомпании «обеспокоены тем, что закон также направлен на защиту внутреннего IT-сектора Китая», а новые правила, по их мнению, «отбивают желание китайских покупателей приобретать иностранную продукцию».^[7]

Председатель Американской торговой палаты в Китае Джеймс Циммерман в интервью агентству Reuters назвал положения нового закона «нечёткими, двусмысленными и допускающими свободную трактовку со стороны властей».^[6]

Правозащитная организация Amnesty International неоднократно выступала с критикой в отношении политики китайских властей в области кибербезопасности. В частности, директор программ Amnesty International в Восточной Азии Николас Бекелин, комментируя публикацию проекта Закона о кибербезопасности КНР, заявил, что он ведёт к институционализации цензуры.^[8] По мнению специалиста Amnesty International по Китаю Патрика Муна, «этот опасный закон фактически делает интернет-компании агентами государства, предписывая им заниматься цензурой и предоставлять персональные данные пользователей властям по их первому требованию». Представители организации также призывали китайское правительство отменить новый закон о кибербезопасности, который «даёт властям карт-бланш на ограничение права на свободу выражения мнений и права на неприкосновенность частной жизни».^[4]

Примечания

↑ China’s New Cybersecurity Law (англ.), Council on Foreign Relations. Архивировано 18 октября 2018 года. Дата обращения 18 октября 2018.
↑ China’s First Cyber Security Law | Institute for Defence Studies and Analyses (англ.). idsa.in. Дата обращения: 18 октября 2018. Архивировано 18 июля 2017 года.
↑ 中华人民共和国网络安全法 (неопр.). 百度百科. Дата обращения: 28 июня 2022. Архивировано 22 января 2022 года.
↑ ^4,0 ^4,1 В Китае вступает в силу резонансный закон о кибербезопасности (рус.), РИА Новости (20170601T0018+0300Z). Архивировано 25 октября 2018 года. Дата обращения 18 октября 2018.
↑ КНР – Закон о кибербезопасности принят (рус.). www.imemo.ru. Дата обращения: 18 октября 2018.
↑ ^6,0 ^6,1 Wong, Sue-Lin. China adopts cyber security law in face of overseas opposition (англ.), U.S.. Архивировано 25 октября 2018 года. Дата обращения 18 октября 2018.
↑ В Китае закон о кибербезопасности позволит замораживать счета иностранцев (рус.), РИА Новости (20161101T1210+0300Z). Архивировано 6 декабря 2017 года. Дата обращения 18 октября 2018.
↑ Shih, Gerry. China's draft cybersecurity law could up censorship, irk business (англ.), U.S.. Архивировано 25 октября 2018 года. Дата обращения 18 октября 2018.

[1] China’s New Cybersecurity Law (англ.), Council on Foreign Relations. Архивировано 18 октября 2018 года. Дата обращения 18 октября 2018.

[2] China’s First Cyber Security Law | Institute for Defence Studies and Analyses (англ.). idsa.in. Дата обращения: 18 октября 2018. Архивировано 18 июля 2017 года.

[3] 中华人民共和国网络安全法 (неопр.). 百度百科. Дата обращения: 28 июня 2022. Архивировано 22 января 2022 года.

[автоссылка1-4] 4,0 ^4,1 В Китае вступает в силу резонансный закон о кибербезопасности (рус.), РИА Новости (20170601T0018+0300Z). Архивировано 25 октября 2018 года. Дата обращения 18 октября 2018.

[5] КНР – Закон о кибербезопасности принят (рус.). www.imemo.ru. Дата обращения: 18 октября 2018.

[автоссылка2-6] 6,0 ^6,1 Wong, Sue-Lin. China adopts cyber security law in face of overseas opposition (англ.), U.S.. Архивировано 25 октября 2018 года. Дата обращения 18 октября 2018.

[7] В Китае закон о кибербезопасности позволит замораживать счета иностранцев (рус.), РИА Новости (20161101T1210+0300Z). Архивировано 6 декабря 2017 года. Дата обращения 18 октября 2018.

[8] Shih, Gerry. China's draft cybersecurity law could up censorship, irk business (англ.), U.S.. Архивировано 25 октября 2018 года. Дата обращения 18 октября 2018.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]