Закон о кибербезопасности КНР
Закон о кибербезопасности КНР (также Закон об интернет-безопасности КНР) — основной нормативно-правовой акт, регулирующий сферу интернет-безопасности КНР. Опубликован 7 ноября 2016 года, вступил в силу 1 июня 2017 года.
Закон о кибербезопасности регламентирует действия поставщиков сетевых продуктов и услуг по сбору, хранению и обработке пользовательских данных, определяет порядок и специфику обеспечения безопасности информационной инфраструктуры в стратегически важных отраслях. Главной целью принятия закона провозглашается защита национального «киберсуверенитета» КНР.[1]
История
Сфера кибербезопасности попала в поле зрения китайских властей во второй половине 1990-х гг.
Одним из стимулов развития законодательства в этой области послужило создание в 1999 году системы электронного государственного управления (Government Online Project, GOP) и появление необходимости адекватного правового регулирования.[2] Так, в 2000 году были приняты руководящие принципы для системы электронного государственного управления (Guidelines of National Electronic Government Construction, NEGC).
В 2011 году положения о кибербезопасности были внесены в национальное уголовное законодательство КНР, а в 2013 году — в Закон о защите прав и интересов потребителей.
В июле 2015 года Всекитайское собрание народных представителей опубликовало проект первого Закона о кибербезопасности.
7 ноября 2016 года Закон о кибербезопасности КНР был одобрен в третьем чтении на сессии постоянного комитета ВСНП. Официально вступил в силу 1 июня 2017 года.
Содержание закона
Закон о кибербезопасности носит сводный характер и представляет собой первую попытку китайских властей сформулировать и обобщить стратегические принципы, определяющие действия Китая в области кибербезопасности.
Текст закона состоит из 79 статей, объединённых в 7 разделов:
- Основные принципы
- Обеспечение и стимулирование кибербезопасности
- Безопасность сетевых операций
- Информационная безопасность
- Контроль, предупреждение, чрезвычайное реагирование и меры наказания
- Юридическая ответственность
- Дополнительный раздел.
Главным образом, закон затрагивает деятельность поставщиков сетевых продуктов и услуг. Согласно Статье 22, поставщики сетевых продуктов и услуг должны своевременно информировать пользователей и соответствующие компетентные власти о любых известных уязвимостях в области безопасности и принимать необходимые меры по их устранению.[3] В случае, если продукты или услуги собирают личные данные, поставщики обязаны уведомлять об этом пользователей. Сбор и хранение личных данных пользователей должны осуществляться исключительно в целях, официально обозначенных поставщиком. Запрещены раскрытие, изменение, удаление и передача данных третьим лицам, исключение составляет проведение перечисленных операций по требованию самого пользователя.
Закон существенно ограничивает анонимность пользователей за счёт введения требования об обязательной верификации для доступа к сети. Если пользователь не предоставляет реальные идентификационные данные, провайдер не имеет права открывать доступ к сети.
Особое внимание уделяется безопасности критически важной инфраструктуры, к которой относятся государственные коммуникационные и информационные услуги, энергетика, транспорт, ирригация, финансы, оборонная сфера, электронное правительство и другие ключевые отрасли и секторы, нанесение ущерба, незаконное использование и утечка данных в которых могут нести серьёзную угрозу национальной безопасности и общественным интересам. В том числе ужесточаются требования к профессиональной подготовке сотрудников, работающих на объектах КВИИ, вводится запрет на хранение данных за пределами Китая; согласно положениям закона, закупка сетевых продуктов и услуг для объектов КВИИ должна осуществляться под контролем уполномоченных государственных органов, предприятия в критически важных отраслях обязаны проводить ежегодные оценки рисков безопасности и отражать полученные результаты в отчётах.
В случае выявления нарушений закон предусматривает штрафы в размере от 10 тысяч до 1 миллиона юаней, в зависимости от тяжести киберпреступления, при этом весь полученный незаконным путём доход подлежит конфискации.[4] В соответствии со Статьёй 75, власти КНР имеют возможность замораживать активы иностранных учреждений, организаций и физических лиц, если они подозреваются в организации и осуществлении атаки, взлома, вмешательства, нанесении вреда критически важной информационной инфраструктуре Китая.
Нормативно-правовой акт также предусматривает проведение мер по повышению уровня грамотности населения в области кибербезопасности при участии государственных органов всех уровней и СМИ.
Значение
Принятие закона ведёт к усилению государственного контроля над деятельностью китайских и иностранных компаний в сети Интернет.
Закон может оказать существенное влияние на структуру внутреннего IT-рынка КНР и позиции национальных производителей. Его имплементация ограничивает доступ западных IT-компаний к китайскому рынку, так как требует от них прохождения специальной сертификации, что, в том числе, предполагает необходимость раскрытия исходных кодов поставляемого программного обеспечения.
Китайским и иностранным компаниям, планирующим заниматься реализацией IT-продуктов на китайском рынке, необходимо производить полную или частичную корректировку своих бизнес- и операционных практик в соответствии с положениями нового Закона.[5]
Критика
В августе 2016 года более 40 международных бизнес-структур обратились к Премьер-министру КНР Ли Кэцяну с требованием внести поправки в опубликованный законопроект, однако китайские власти заявили, что положения закона «не противоречат интересам иностранных компаний».[6]
Западные СМИ неоднократно называли новый нормативно-правовой акт спорным. В некитайских изданиях сообщалось о том, что крупные иностранные технокомпании «обеспокоены тем, что закон также направлен на защиту внутреннего IT-сектора Китая», а новые правила, по их мнению, «отбивают желание китайских покупателей приобретать иностранную продукцию».[7]
Председатель Американской торговой палаты в Китае Джеймс Циммерман в интервью агентству Reuters назвал положения нового закона «нечёткими, двусмысленными и допускающими свободную трактовку со стороны властей».[6]
Правозащитная организация Amnesty International неоднократно выступала с критикой в отношении политики китайских властей в области кибербезопасности. В частности, директор программ Amnesty International в Восточной Азии Николас Бекелин, комментируя публикацию проекта Закона о кибербезопасности КНР, заявил, что он ведёт к институционализации цензуры.[8] По мнению специалиста Amnesty International по Китаю Патрика Муна, «этот опасный закон фактически делает интернет-компании агентами государства, предписывая им заниматься цензурой и предоставлять персональные данные пользователей властям по их первому требованию». Представители организации также призывали китайское правительство отменить новый закон о кибербезопасности, который «даёт властям карт-бланш на ограничение права на свободу выражения мнений и права на неприкосновенность частной жизни».[4]
Примечания
- ↑ "China's New Cybersecurity Law". Council on Foreign Relations (англ.). Архивировано 18 октября 2018. Дата обращения: 18 октября 2018.
- ↑ China’s First Cyber Security Law | Institute for Defence Studies and Analyses (англ.). idsa.in. Дата обращения: 18 октября 2018. Архивировано 18 июля 2017 года.
- ↑ 中华人民共和国网络安全法 . 百度百科. Дата обращения: 28 июня 2022. Архивировано 22 января 2022 года.
- ↑ 1 2 "В Китае вступает в силу резонансный закон о кибербезопасности". РИА Новости. 2017-06-01:00:18. Архивировано 25 октября 2018. Дата обращения: 18 октября 2018.
{{cite news}}
: Проверьте значение даты:|date=
(справка) - ↑ КНР – Закон о кибербезопасности принят . www.imemo.ru. Дата обращения: 18 октября 2018.
- ↑ 1 2 Wong, Sue-Lin. "China adopts cyber security law in face of overseas opposition". U.S. (англ.). Архивировано 25 октября 2018. Дата обращения: 18 октября 2018.
- ↑ "В Китае закон о кибербезопасности позволит замораживать счета иностранцев". РИА Новости. 2016-11-01:12:10. Архивировано 6 декабря 2017. Дата обращения: 18 октября 2018.
{{cite news}}
: Проверьте значение даты:|date=
(справка) - ↑ Shih, Gerry. "China's draft cybersecurity law could up censorship, irk business". U.S. (англ.). Архивировано 25 октября 2018. Дата обращения: 18 октября 2018.