stringtranslate.com

Закон о кибербезопасности Китайской Народной Республики

Закон о кибербезопасности Китайской Народной Республики ( китайский :中华人民共和国网络安全法), обычно называемый Китайским законом о кибербезопасности , был принят Всекитайским собранием народных представителей с целью усиления защиты данных, локализации данных и кибербезопасности якобы в интересах национальной безопасности. [1] Закон является частью более широкой серии законов, принятых китайским правительством в целях укрепления законодательства о национальной безопасности. Примерами которых с 2014 года являются Закон о национальной разведке , Национальной безопасности Китайской Народной Республики (не путать с Законом о национальной безопасности Гонконга ), а также законы о борьбе с терроризмом [2] и управлении иностранными НПО, [ 3] все прошли в последовательные короткие промежутки времени друг от друга.

История

Китайские политики стали все больше беспокоиться о риске кибератак после разоблачений Эдварда Сноудена в 2010-х годах , которые продемонстрировали обширную разведывательную деятельность США в Китае . [4] : 129  Закон о кибербезопасности стал частью реакции Китая на возросшую обеспокоенность политиков по поводу иностранного наблюдения и сбора данных после этих раскрытий. [4] : 250 

Этот закон был принят Постоянным комитетом Всекитайского собрания народных представителей 7 ноября 2016 года и вступил в силу 1 июня 2017 года. [5] Он требует от сетевых операторов хранить избранные данные на территории Китая и позволяет китайским властям проводить выборочные проверки. о сетевых операциях компании. [1]

Кибербезопасность признана основным законом. Это ставит закон на вершину пирамидальной структуры законодательства о кибербезопасности. Закон представляет собой эволюцию ранее существовавших правил и норм кибербезопасности различных уровней и областей, ассимилируя их для создания структурированного закона на макроуровне. Закон также предлагает основные нормы по некоторым вопросам, которые не являются неотложными, но имеют долгосрочное значение. Эти нормы будут служить правовой основой при возникновении новых вопросов. [6]

Положения

Закон является важной опорой китайской нормативной базы данных. [4] : 131  Это:

Закон о кибербезопасности применим к сетевым операторам и предприятиям в критически важных секторах . [1] По критическим секторам Китай грубо делит отечественный бизнес на сетевые предприятия, которые занимаются телекоммуникациями, информационными услугами, энергетическим транспортом, водоснабжением, финансовыми услугами, общественными услугами и электронными правительственными услугами. [11] К числу наиболее спорных разделов закона относятся статьи 28, 35 и 37.

Статья 28 обязывает расплывчато определяемых «сетевых операторов» (включающих в себя: платформы социальных сетей, создателей приложений и другие технологические компании) сотрудничать с органами общественной безопасности, такими как Министерство общественной безопасности , и передавать информацию по запросу.

Статья 28. Сетевые операторы должны предоставлять техническую поддержку и помощь органам общественной безопасности и органам национальной безопасности, которые обеспечивают национальную безопасность и расследуют преступную деятельность в соответствии с законом.

—  Раздел 1: «Обычные положения»

Статья 35 нацелена на закупки иностранного программного обеспечения или оборудования государственными учреждениями или другими «операторами критически важной информационной инфраструктуры», требуя, чтобы любое приобретаемое аппаратное обеспечение программного обеспечения проходило проверку такими агентствами, как SCA Китая или Государственное управление криптографии, что потенциально может включать в себя предоставление исходных кодов и другую конфиденциальную информацию, являющуюся собственностью правительственных учреждений, что открывает путь к краже интеллектуальной собственности государством или ее передаче отечественным конкурентам. [12] Прежде всего, статья создает дополнительное нормативное бремя для иностранных технологических компаний, работающих в Китае, косвенно создавая более благоприятное игровое поле для отечественных конкурентов, которые, естественно, будут более подготовлены к соблюдению правил.

Статья 35. Операторы критической информационной инфраструктуры, приобретающие сетевые продукты и услуги, которые могут повлиять на национальную безопасность, должны пройти проверку национальной безопасности, организованную государственными департаментами кибербезопасности и информатизации и соответствующими департаментами Государственного совета.

—  Раздел 2: «Безопасность операций критической информационной инфраструктуры».

Закон устанавливает строгие требования к локализации данных . [4] : 131 

Закон применим ко всем предприятиям в Китае, которые управляют собственными серверами или другими сетями передачи данных. Ожидается, что сетевые операторы, среди прочего, разъяснят обязанности по обеспечению кибербезопасности в своей организации, примут технические меры для защиты работы сети, предотвратят утечку и кражу данных, а также сообщат о любых инцидентах кибербезопасности как пользователям сети, так и соответствующему отделу внедрения для этого сектора. . [13]

Закон состоит из вспомогательных подразделений правил, определяющих его цель. Например, «Правила защиты безопасности и меры по оценке безопасности трансграничной передачи личной информации и важных данных» Инициативы базовой инфраструктуры (CII). Однако этот закон еще не высечен в камне, поскольку правительственные органы Китая заняты разработкой дополнительных законов, чтобы они лучше соответствовали закону о кибербезопасности. Включив ранее существовавшие законы о VPN и безопасности данных в закон о кибербезопасности, китайское правительство усиливает свой контроль, а также подчеркивает необходимость того, чтобы иностранные компании соблюдали внутренние правила. [14]

Закон о кибербезопасности также содержит положения и определения юридической ответственности . За различные виды незаконного поведения закон устанавливает различные наказания, такие как штрафы, приостановление деятельности для исправления ситуации, отзыв разрешений и лицензий на ведение бизнеса и другие. Соответственно, Закон предоставляет органам кибербезопасности и административным органам права и инструкции по обеспечению правопорядка в отношении незаконных действий. [15]

Соответствующие правила

В июле 2021 года Администрация киберпространства Китая издала «Правила управления уязвимостями безопасности в сетевых продуктах», требующие сообщать обо всех уязвимостях в Министерство промышленности и информационных технологий (MIIT) и запрещающие публичное раскрытие уязвимостей, в том числе за рубежом. организации. [16]

Реакции

Наряду с «Великим файрволом» ограничения, предусмотренные законом, вызвали обеспокоенность, особенно со стороны иностранных технологических компаний, работающих в Китае. [17] Что касается требований к выборочным проверкам и сертификации, международные юридические фирмы предупреждают, что компании могут попросить предоставить исходный код, шифрование или другую важную информацию для проверки властями, что увеличивает риск кражи интеллектуальной собственности . теряются, передаются местным конкурентам или используются самими властями. [1] Федеральное бюро расследований предупредило, что закон может заставить компании, передающие данные через серверы в Китае, подвергнуться слежке за данными и шпионажу. [18]

Некоторые аналитики западного происхождения считают, что этот закон можно сравнить с GDPR ЕС . Они предположили, что закон может улучшить способность китайского правительства контролировать общественность, а также дать китайским компаниям преимущество перед иностранными компаниями. [19]

Закон вызвал обеспокоенность как внутри страны, так и за рубежом из-за своей формулировки и конкретных требований. [20] Иностранные компании и предприятия в Китае выразили обеспокоенность тем, что этот закон может помешать будущим инвестициям в Китай, поскольку закон требует от них «хранить свои данные на локальных серверах, регулируемых китайским законодательством, и сотрудничать с китайскими органами национальной безопасности». [21]

С момента его создания многие зарубежные технологические компании уже соблюдали закон. Например, в 2017 году Apple объявила, что инвестирует 1 миллиард долларов в партнерство с местной компанией облачных вычислений Guizhou Cloud Big Data или GCBD для строительства нового центра обработки данных, расположенного в китайской провинции Гуйчжоу , в целях соблюдения требований. [22] Одновременно компания также объявила, что перенесет операции и хранение данных iCloud в материковый Китай. [23] Microsoft также объявила о расширении своих сервисов Azure в партнерстве с компанией облачных вычислений 21Vianet за счет инвестиций в большее количество серверов. [24] Тем временем онлайн-сервисы, такие как Skype и WhatsApp , которые отказались хранить свои данные локально и были либо исключены из отечественных магазинов приложений, либо им было запрещено дальнейшее расширение. [25]

Закон вынуждает иностранные технологические и другие компании, работающие в Китае, либо инвестировать в новую серверную инфраструктуру, чтобы соответствовать закону, либо сотрудничать с поставщиками услуг, такими как Huawei , Tencent или Alibaba , которые уже имеют серверную инфраструктуру на месте, экономя капитальные затраты компаний. Многие считают, что закон соответствует 12-му пятилетнему плану (2011–2015 гг.), целью которого является создание отечественных чемпионов в таких отраслях, как облачные вычисления и обработка больших данных. Закон рассматривается как благо для отечественных компаний и подвергается критике за создание несправедливых условий для международных технологических компаний, таких как Microsoft и Google . [ нужна цитата ]

Сторонники закона заявили, что цель закона не состоит в том, чтобы запретить иностранному бизнесу работать в Китае или повысить внутреннюю конкурентоспособность Китая. В исследовании Матиаса Бауэра и Хосука Ли-Макиямы , проведенного в 2015 году, говорится, что локализация данных наносит незначительный ущерб экономическому росту из-за неэффективности, возникающей в результате процессов передачи данных и дублирования данных между несколькими юрисдикциями. Требование локализации данных также рассматривается как шаг Пекина по передаче данных под юрисдикцию Китая и упрощению преследования лиц, которые считаются нарушающими китайское интернет-законодательство. [1]

Президент AmCham South China Харли Сейедин заявил, что иностранные фирмы сталкиваются с «массовой обеспокоенностью», поскольку закон значительно увеличил операционные расходы и оказал большое влияние на то, как ведется бизнес в Китае. В частности, он заявил, что закон о кибербезопасности продолжает создавать «неопределенность внутри инвестиционного сообщества и приводит, как минимум, к отсрочке некоторых инвестиций в НИОКР». [26]

Закон подвергся широкой критике за ограничение свободы слова . [27] Например, закон прямо требует, чтобы большинство онлайн-сервисов, работающих в Китае, собирали и проверяли личности своих пользователей, а при необходимости передавали такую ​​информацию правоохранительным органам без соответствующего ордера. Активисты утверждают, что эта политика отговаривает людей от свободного выражения своих мыслей в Интернете, что еще больше подавляет инакомыслие, облегчая выявление и слежку за диссидентами. [27]

Смотрите также

Рекомендации

  1. ^ abcde Вагнер, Джек (01.06.2017). «Закон Китая о кибербезопасности: что вам нужно знать». Дипломат . Архивировано из оригинала 12 декабря 2018 г. Проверено 14 декабря 2018 г.
  2. ^ Бланшар, Бен (28 декабря 2015 г.). «Китай принимает спорный закон о борьбе с терроризмом». Рейтер . Проверено 21 июля 2021 г.
  3. ^ Вонг, Эдвард (28 апреля 2016 г.). «Подавление в Китае ограничивает деятельность 7000 иностранных организаций». Нью-Йорк Таймс . ISSN  0362-4331 . Проверено 21 июля 2021 г.
  4. ^ abcd Чжан, Анджела Хуюэ (2024). High Wire: как Китай регулирует крупные технологические отрасли и управляет своей экономикой . Издательство Оксфордского университета . ISBN 9780197682258.
  5. ^ "网络安全法(草案)全文_中国人大网" . www.npc.gov.cn. ​Архивировано из оригинала 29 октября 2016 г. Проверено 14 апреля 2018 г.
  6. ^ Лулу, Ся и Чжао Лео (21 августа 2018 г.). «Закон Китая о кибербезопасности: введение для иностранных бизнесменов». Китайский брифинг . Архивировано из оригинала 13 декабря 2018 г. Проверено 14 декабря 2018 г.{{cite web}}: CS1 maint: multiple names: authors list (link)
  7. ^ 网易. «网络安全法明确了网络空间主权原则_网易新闻». NetEase . Архивировано из оригинала 3 июля 2019 г. Проверено 14 апреля 2018 г.
  8. ^ "《网络安全法》正式施行 为个人信息加把"锁"" . Китайский интернет-информационный центр . Архивировано из оригинала 14 декабря 2018 г. Проверено 14 апреля 2018 г.
  9. ^ "网络安全立法中的关键信息基础设施保护问题--理论-人民网" . Народная газета . Архивировано из оригинала 15 апреля 2018 г. Проверено 14 апреля 2018 г.
  10. ^ "专家解读《网络安全法》 具有六大突出亮点-新华网" . www.xinhuanet.com . Архивировано из оригинала 15 апреля 2018 г. Проверено 14 апреля 2018 г.
  11. ^ Геров Йоханнес, Хауке (22 апреля 2015 г.). «Кибербезопасность в Китае: Интернет-безопасность, протекционизм и конкурентоспособность: новые вызовы западному бизнесу» (PDF) . China Monitor, Merics: Институт китайских исследований Меркатора. Архивировано (PDF) из оригинала 16 декабря 2018 г. Проверено 14 декабря 2018 г.
  12. ^ «Киберрегулирование Китая: головная боль для иностранных компаний | Merics» . merics.org . 22 марта 2017 года . Проверено 22 июля 2021 г.
  13. ^ «Понимание китайского закона о кибербезопасности. ИНФОРМАЦИЯ ДЛЯ БИЗНЕСА НОВОЙ ЗЕЛАНДИИ» (PDF) . Министерство иностранных дел и торговли и Министерство торговли и предпринимательства Новой Зеландии. Сентябрь 2017 г. Архивировано (PDF) из оригинала 23 января 2019 г. Проверено 14 декабря 2018 г.
  14. Беккет, Ник (ноябрь 2017 г.). «Руководство для бизнеса по первому китайскому закону о кибербезопасности». China Monitor, Merics: Институт китайских исследований Меркатора. Архивировано из оригинала 16 декабря 2018 г. Проверено 14 декабря 2018 г.
  15. ^ Ли, Джих-Ан (2017). «Взлом на закон Китая о кибербезопасности» (PDF) . Обзор закона Уэйк Форест . 53 (1). ССНН  3174626.
  16. ^ «Китай устанавливает новые правила раскрытия уязвимостей» . Арджун Рампрасад . Previewtech.net. 18 июня 2021 г.
  17. Училль, Джо (17 октября 2019 г.). «Усовершенствованный закон Китая о кибербезопасности может иметь негативные последствия». Аксиос . Архивировано из оригинала 29 марта 2020 года . Проверено 8 апреля 2020 г.
  18. ^ «Опасные партнеры: крупные технологии и Пекин». Федеральное Бюро Расследований . Архивировано из оригинала 2 апреля 2020 г. Проверено 9 апреля 2020 г.
  19. ^ Бо, Цюй; Чансюй, ХуО (15 сентября 2020 г.). «Конфиденциальность, национальная безопасность и интернет-экономика: объяснение китайского законодательства о защите личной информации». Границы права в Китае . 15 (3): 339–366. дои : 10.3868/s050-009-020-0019-4. ПроКвест  2450653759.
  20. ^ Лин, Лиза; Кубота, Йоко (6 декабря 2017 г.). «Технологические компании США напуганы загадочным китайским законом о кибербезопасности». Уолл Стрит Джорнал .
  21. ^ "中国施行《网络安全法》 外企为何担忧?" . BBC 中文网. 31 мая 2017 г. Архивировано из оригинала 11 мая 2018 г. Проверено 14 апреля 2018 г.
  22. ^ Гартенберг, Хаим (13 июля 2017 г.). «Apple строит свой первый центр обработки данных в Китае в соответствии с новым законом о кибербезопасности». Грань . Проверено 22 июля 2021 г.
  23. ^ «Узнайте больше об iCloud в Китае» . Поддержка Apple . Архивировано из оригинала 07 марта 2018 г. Проверено 14 апреля 2018 г.
  24. ^ «Новый регион Azure появится в Китае в 2022 году | Блог Azure и обновления | Microsoft Azure» . azure.microsoft.com . 4 марта 2021 г. Проверено 22 июля 2021 г.
  25. ^ «多家中国区应用商店下架Skype».纽约时报中文网(на китайском языке). 22 ноября 2017 г. Архивировано из оригинала 13 апреля 2018 г. Проверено 14 апреля 2018 г.
  26. ^ Ху, Хуэйфэн (01 марта 2018 г.). «Закон о кибербезопасности вызывает« массовую обеспокоенность »иностранных фирм в Китае». Почта Южного Китая . Архивировано из оригинала 07.11.2018 . Проверено 14 декабря 2018 г.
  27. ^ ab "中国《网络安全法》草案出炉 恐加强言论管制". BBC 中文网(на упрощенном китайском языке). 9 июля 2015 г. Архивировано из оригинала 08 мая 2018 г. Проверено 14 апреля 2018 г.