Открыть главное меню

Закон о кибербезопасности КНР (также Закон об интернет-безопасности КНР) — основной нормативно-правовой акт, регулирующий сферу интернет-безопасности КНР. Опубликован 7 ноября 2016 года, вступил в силу 1 июня 2017 года.

Закон о кибербезопасности регламентирует действия поставщиков сетевых продуктов и услуг по сбору, хранению и обработке пользовательских данных, определяет порядок и специфику обеспечения безопасности информационной инфраструктуры в стратегически важных отраслях. Главной целью принятия закона провозглашается защита национального «киберсуверенитета» КНР.[1]

ИсторияПравить

Сфера кибербезопасности попала в поле зрения китайских властей во второй половине 1990-х гг.

Одним из стимулов развития законодательства в этой области послужило создание в 1999 году системы электронного государственного управления (Government Online Project, GOP) и появление необходимости адекватного правового регулирования.[2] Так, в 2000 году были приняты руководящие принципы для системы электронного государственного управления (Guidelines of National Electronic Government Construction, NEGC).

В 2011 году положения о кибербезопасности были внесены в национальное уголовное законодательство КНР, а в 2013 году — в Закон о защите прав и интересов потребителей.

В июле 2015 года Всекитайское собрание народных представителей опубликовало проект первого Закона о кибербезопасности.

7 ноября 2016 года Закон о кибербезопасности КНР был одобрен в третьем чтении на сессии постоянного комитета ВСНП. Официально вступил в силу 1 июня 2017 года.

Содержание законаПравить

Закон о кибербезопасности носит сводный характер и представляет собой первую попытку китайских властей сформулировать и обобщить стратегические принципы, определяющие действия Китая в области кибербезопасности.

Текст закона состоит из 79 статей, объединенных в 7 разделов:

  1. Основные принципы
  2. Обеспечение и стимулирование кибербезопасности
  3. Безопасность сетевых операций
  4. Информационная безопасность
  5. Контроль, предупреждение, чрезвычайное реагирование и меры наказания
  6. Юридическая ответственность
  7. Дополнительный раздел.

Главным образом, закон затрагивает деятельность поставщиков сетевых продуктов и услуг. Согласно Статье 22, поставщики сетевых продуктов и услуг должны своевременно информировать пользователей и соответствующие компетентные власти о любых известных уязвимостях в области безопасности и принимать необходимые меры по их устранению.[3] В случае, если продукты или услуги собирают личные данные, поставщики обязаны уведомлять об этом пользователей. Сбор и хранение личных данных пользователей должны осуществляться исключительно в целях, официально обозначенных поставщиком. Запрещены раскрытие, изменение, удаление и передача данных третьим лицам, исключение составляет проведение перечисленных операций по требованию самого пользователя.

Закон существенно ограничивает анонимность пользователей за счет введения требования об обязательной верификации для доступа к сети. Если пользователь не предоставляет реальные идентификационные данные, провайдер не имеет права открывать доступ к сети.

Особое внимание уделяется безопасности критически важной инфраструктуры, к которой относятся государственные коммуникационные и информационные услуги, энергетика, транспорт, ирригация, финансы, оборонная сфера, электронное правительство и другие ключевые отрасли и сектора, нанесение ущерба, незаконное использование и утечка данных в которых могут нести серьёзную угрозу национальной безопасности и общественным интересам. В том числе, ужесточаются требования к профессиональной подготовке сотрудников, работающих на объектах КВИИ, вводится запрет на хранение данных за пределами Китая; согласно положениям закона, закупка сетевых продуктов и услуг для объектов КВИИ должна осуществляться под контролем уполномоченных государственных органов, предприятия в критически важных отраслях обязаны проводить ежегодные оценки рисков безопасности и отражать полученные результаты в отчетах.

В случае выявления нарушений закон предусматривает штрафы в размере от 10 тысяч до 1 миллиона юаней, в зависимости от тяжести киберпреступления, при этом весь полученный незаконным путем доход подлежит конфискации.[4] В соответствии со Статьей 75, власти КНР имеют возможность замораживать активы иностранных учреждений, организаций и физических лиц, если они подозреваются в организации и осуществлении атаки, взлома, вмешательства, нанесении вреда критически важной информационной инфраструктуре Китая.

Нормативно-правовой акт также предусматривает проведение мер по повышению уровня грамотности населения в области кибербезопасности при участии государственных органов всех уровней и СМИ.

ЗначениеПравить

Принятие закона ведет к усилению государственного контроля над деятельностью китайских и иностранных компаний в сети Интернет.

Закон может оказать существенное влияние на структуру внутреннего IT-рынка КНР и позиции национальных производителей. Его имплементация ограничивает доступ западных IT-компаний к китайскому рынку, так как требует от них прохождения специальной сертификации, что, в том числе, предполагает необходимость раскрытия исходных кодов поставляемого программного обеспечения.

Китайским и иностранным компаниям, планирующим заниматься реализацией IT-продуктов на китайском рынке, необходимо производить полную или частичную корректировку своих бизнес- и операционных практик в соответствии с положениями нового Закона.[5]

КритикаПравить

В августе 2016 года более 40 международных бизнес-структур обратились к Премьер-министру КНР Ли Кэцяну с требованием внести поправки в опубликованный законопроект, однако китайские власти заявили, что положения закона «не противоречат интересам иностранных компаний».[6]

Западные СМИ неоднократно называли новый нормативно-правовой акт спорным. В некитайских изданиях сообщалось о том, что крупные иностранные технокомпании «обеспокоены тем, что закон также направлен на защиту внутреннего IT-сектора Китая», а новые правила, по их мнению, «отбивают желание китайских покупателей приобретать иностранную продукцию».[7]

Председатель Американской торговой палаты в Китае Джеймс Циммерман в интервью агентству Reuters назвал положения нового закона «нечеткими, двусмысленными и допускающими свободную трактовку со стороны властей».[6]

Правозащитная организация Amnesty International неоднократно выступала с критикой в отношении политики китайских властей в области кибербезопасности. В частности, директор программ Amnesty International в Восточной Азии Николас Бекелин, комментируя публикацию проекта Закона о кибербезопасности КНР, заявил, что он ведет к институционализации цензуры.[8] По мнению специалиста Amnesty International по Китаю Патрика Муна, «этот опасный закон фактически делает интернет-компании агентами государства, предписывая им заниматься цензурой и предоставлять персональные данные пользователей властям по их первому требованию». Представители организации также призывали китайское правительство отменить новый закон о кибербезопасности, который «дает властям карт-бланш на ограничение права на свободу выражения мнений и права на неприкосновенность частной жизни».[4]

ПримечанияПравить

  1. China’s New Cybersecurity Law (англ.), Council on Foreign Relations. Дата обращения 18 октября 2018.
  2. China’s First Cyber Security Law | Institute for Defence Studies and Analyses (англ.). idsa.in. Дата обращения 18 октября 2018.
  3. 中华人民共和国网络安全法. 百度百科.
  4. 1 2 В Китае вступает в силу резонансный закон о кибербезопасности (рус.), РИА Новости (20170601T0018+0300Z). Дата обращения 18 октября 2018.
  5. КНР – Закон о кибербезопасности принят. www.imemo.ru. Дата обращения 18 октября 2018.
  6. 1 2 Wong, Sue-Lin. China adopts cyber security law in face of overseas opposition (англ.), U.S.. Дата обращения 18 октября 2018.
  7. В Китае закон о кибербезопасности позволит замораживать счета иностранцев (рус.), РИА Новости (20161101T1210+0300Z). Дата обращения 18 октября 2018.
  8. Shih, Gerry. China's draft cybersecurity law could up censorship, irk business (англ.), U.S.. Дата обращения 18 октября 2018.