Закон о кибербезопасности Китайской Народной Республики ( китайский :中华人民共和国网络安全法), обычно называемый Китайским законом о кибербезопасности , был принят Всекитайским собранием народных представителей с целью усиления защиты данных, локализации данных и кибербезопасности якобы в интересах национальной безопасности. [1] Закон является частью более широкой серии законов, принятых китайским правительством в целях укрепления законодательства о национальной безопасности. Примерами которых с 2014 года являются Закон о национальной разведке , Национальной безопасности Китайской Народной Республики (не путать с Законом о национальной безопасности Гонконга ), а также законы о борьбе с терроризмом [2] и управлении иностранными НПО, [ 3] все прошли в последовательные короткие промежутки времени друг от друга.
Китайские политики стали все больше беспокоиться о риске кибератак после разоблачений Эдварда Сноудена в 2010-х годах , которые продемонстрировали обширную разведывательную деятельность США в Китае . [4] : 129 Закон о кибербезопасности стал частью реакции Китая на возросшую обеспокоенность политиков по поводу иностранного наблюдения и сбора данных после этих раскрытий. [4] : 250
Этот закон был принят Постоянным комитетом Всекитайского собрания народных представителей 7 ноября 2016 года и вступил в силу 1 июня 2017 года. [5] Он требует от сетевых операторов хранить избранные данные на территории Китая и позволяет китайским властям проводить выборочные проверки. о сетевых операциях компании. [1]
Кибербезопасность признана основным законом. Это ставит закон на вершину пирамидальной структуры законодательства о кибербезопасности. Закон представляет собой эволюцию ранее существовавших правил и норм кибербезопасности различных уровней и областей, ассимилируя их для создания структурированного закона на макроуровне. Закон также предлагает основные нормы по некоторым вопросам, которые не являются неотложными, но имеют долгосрочное значение. Эти нормы будут служить правовой основой при возникновении новых вопросов. [6]
Закон является важной опорой китайской нормативной базы данных. [4] : 131 Это:
Закон о кибербезопасности применим к сетевым операторам и предприятиям в критически важных секторах . [1] По критическим секторам Китай грубо делит отечественный бизнес на сетевые предприятия, которые занимаются телекоммуникациями, информационными услугами, энергетическим транспортом, водоснабжением, финансовыми услугами, общественными услугами и электронными правительственными услугами. [11] К числу наиболее спорных разделов закона относятся статьи 28, 35 и 37.
Статья 28 обязывает расплывчато определяемых «сетевых операторов» (включающих в себя: платформы социальных сетей, создателей приложений и другие технологические компании) сотрудничать с органами общественной безопасности, такими как Министерство общественной безопасности , и передавать информацию по запросу.
Статья 28. Сетевые операторы должны предоставлять техническую поддержку и помощь органам общественной безопасности и органам национальной безопасности, которые обеспечивают национальную безопасность и расследуют преступную деятельность в соответствии с законом.
— Раздел 1: «Обычные положения»
Статья 35 нацелена на закупки иностранного программного обеспечения или оборудования государственными учреждениями или другими «операторами критически важной информационной инфраструктуры», требуя, чтобы любое приобретаемое аппаратное обеспечение программного обеспечения проходило проверку такими агентствами, как SCA Китая или Государственное управление криптографии, что потенциально может включать в себя предоставление исходных кодов и другую конфиденциальную информацию, являющуюся собственностью правительственных учреждений, что открывает путь к краже интеллектуальной собственности государством или ее передаче отечественным конкурентам. [12] Прежде всего, статья создает дополнительное нормативное бремя для иностранных технологических компаний, работающих в Китае, косвенно создавая более благоприятное игровое поле для отечественных конкурентов, которые, естественно, будут более подготовлены к соблюдению правил.
Статья 35. Операторы критической информационной инфраструктуры, приобретающие сетевые продукты и услуги, которые могут повлиять на национальную безопасность, должны пройти проверку национальной безопасности, организованную государственными департаментами кибербезопасности и информатизации и соответствующими департаментами Государственного совета.
— Раздел 2: «Безопасность операций критической информационной инфраструктуры».
Закон устанавливает строгие требования к локализации данных . [4] : 131
Закон применим ко всем предприятиям в Китае, которые управляют собственными серверами или другими сетями передачи данных. Ожидается, что сетевые операторы, среди прочего, разъяснят обязанности по обеспечению кибербезопасности в своей организации, примут технические меры для защиты работы сети, предотвратят утечку и кражу данных, а также сообщат о любых инцидентах кибербезопасности как пользователям сети, так и соответствующему отделу внедрения для этого сектора. . [13]
Закон состоит из вспомогательных подразделений правил, определяющих его цель. Например, «Правила защиты безопасности и меры по оценке безопасности трансграничной передачи личной информации и важных данных» Инициативы базовой инфраструктуры (CII). Однако этот закон еще не высечен в камне, поскольку правительственные органы Китая заняты разработкой дополнительных законов, чтобы они лучше соответствовали закону о кибербезопасности. Включив ранее существовавшие законы о VPN и безопасности данных в закон о кибербезопасности, китайское правительство усиливает свой контроль, а также подчеркивает необходимость того, чтобы иностранные компании соблюдали внутренние правила. [14]
Закон о кибербезопасности также содержит положения и определения юридической ответственности . За различные виды незаконного поведения закон устанавливает различные наказания, такие как штрафы, приостановление деятельности для исправления ситуации, отзыв разрешений и лицензий на ведение бизнеса и другие. Соответственно, Закон предоставляет органам кибербезопасности и административным органам права и инструкции по обеспечению правопорядка в отношении незаконных действий. [15]
В июле 2021 года Администрация киберпространства Китая издала «Правила управления уязвимостями безопасности в сетевых продуктах», требующие сообщать обо всех уязвимостях в Министерство промышленности и информационных технологий (MIIT) и запрещающие публичное раскрытие уязвимостей, в том числе за рубежом. организации. [16]
Наряду с «Великим файрволом» ограничения, предусмотренные законом, вызвали обеспокоенность, особенно со стороны иностранных технологических компаний, работающих в Китае. [17] Что касается требований к выборочным проверкам и сертификации, международные юридические фирмы предупреждают, что компании могут попросить предоставить исходный код, шифрование или другую важную информацию для проверки властями, что увеличивает риск кражи интеллектуальной собственности . теряются, передаются местным конкурентам или используются самими властями. [1] Федеральное бюро расследований предупредило, что закон может заставить компании, передающие данные через серверы в Китае, подвергнуться слежке за данными и шпионажу. [18]
Некоторые аналитики западного происхождения считают, что этот закон можно сравнить с GDPR ЕС . Они предположили, что закон может улучшить способность китайского правительства контролировать общественность, а также дать китайским компаниям преимущество перед иностранными компаниями. [19]
Закон вызвал обеспокоенность как внутри страны, так и за рубежом из-за своей формулировки и конкретных требований. [20] Иностранные компании и предприятия в Китае выразили обеспокоенность тем, что этот закон может помешать будущим инвестициям в Китай, поскольку закон требует от них «хранить свои данные на локальных серверах, регулируемых китайским законодательством, и сотрудничать с китайскими органами национальной безопасности». [21]
С момента его создания многие зарубежные технологические компании уже соблюдали закон. Например, в 2017 году Apple объявила, что инвестирует 1 миллиард долларов в партнерство с местной компанией облачных вычислений Guizhou Cloud Big Data или GCBD для строительства нового центра обработки данных, расположенного в китайской провинции Гуйчжоу , в целях соблюдения требований. [22] Одновременно компания также объявила, что перенесет операции и хранение данных iCloud в материковый Китай. [23] Microsoft также объявила о расширении своих сервисов Azure в партнерстве с компанией облачных вычислений 21Vianet за счет инвестиций в большее количество серверов. [24] Тем временем онлайн-сервисы, такие как Skype и WhatsApp , которые отказались хранить свои данные локально и были либо исключены из отечественных магазинов приложений, либо им было запрещено дальнейшее расширение. [25]
Закон вынуждает иностранные технологические и другие компании, работающие в Китае, либо инвестировать в новую серверную инфраструктуру, чтобы соответствовать закону, либо сотрудничать с поставщиками услуг, такими как Huawei , Tencent или Alibaba , которые уже имеют серверную инфраструктуру на месте, экономя капитальные затраты компаний. Многие считают, что закон соответствует 12-му пятилетнему плану (2011–2015 гг.), целью которого является создание отечественных чемпионов в таких отраслях, как облачные вычисления и обработка больших данных. Закон рассматривается как благо для отечественных компаний и подвергается критике за создание несправедливых условий для международных технологических компаний, таких как Microsoft и Google . [ нужна цитата ]
Сторонники закона заявили, что цель закона не состоит в том, чтобы запретить иностранному бизнесу работать в Китае или повысить внутреннюю конкурентоспособность Китая. В исследовании Матиаса Бауэра и Хосука Ли-Макиямы , проведенного в 2015 году, говорится, что локализация данных наносит незначительный ущерб экономическому росту из-за неэффективности, возникающей в результате процессов передачи данных и дублирования данных между несколькими юрисдикциями. Требование локализации данных также рассматривается как шаг Пекина по передаче данных под юрисдикцию Китая и упрощению преследования лиц, которые считаются нарушающими китайское интернет-законодательство. [1]
Президент AmCham South China Харли Сейедин заявил, что иностранные фирмы сталкиваются с «массовой обеспокоенностью», поскольку закон значительно увеличил операционные расходы и оказал большое влияние на то, как ведется бизнес в Китае. В частности, он заявил, что закон о кибербезопасности продолжает создавать «неопределенность внутри инвестиционного сообщества и приводит, как минимум, к отсрочке некоторых инвестиций в НИОКР». [26]
Закон подвергся широкой критике за ограничение свободы слова . [27] Например, закон прямо требует, чтобы большинство онлайн-сервисов, работающих в Китае, собирали и проверяли личности своих пользователей, а при необходимости передавали такую информацию правоохранительным органам без соответствующего ордера. Активисты утверждают, что эта политика отговаривает людей от свободного выражения своих мыслей в Интернете, что еще больше подавляет инакомыслие, облегчая выявление и слежку за диссидентами. [27]
{{cite web}}
: CS1 maint: multiple names: authors list (link)