stringtranslate.com

Закон о кибербезопасности Китайской Народной Республики

Закон о кибербезопасности Китайской Народной Республики ( китайский :中华人民共和国网络安全法), обычно называемый китайским Законом о кибербезопасности , был принят Всекитайским собранием народных представителей с целью повышения защиты данных, локализации данных и кибербезопасности якобы в интересах национальной безопасности. [1] Закон является частью более широкой серии законов, принятых китайским правительством в целях укрепления законодательства о национальной безопасности. Примерами которых с 2014 года являются закон о безопасности данных , закон о национальной разведке , закон о национальной безопасности , законы о борьбе с терроризмом [2] и об управлении иностранными НПО [3] , все они были приняты в течение коротких промежутков времени друг от друга.

История

Китайские политики стали все больше беспокоиться о риске кибератак после того, как в 2010-х годах Эдвард Сноуден раскрыл информацию о глобальной слежке , которая продемонстрировала обширную разведывательную деятельность США в Китае . [4] : 129  Закон о кибербезопасности стал частью реакции Китая на возросшую обеспокоенность политиков по поводу иностранной слежки и сбора данных после этих раскрытий. [4] : 250 

Этот закон был принят Постоянным комитетом Всекитайского собрания народных представителей 7 ноября 2016 года и вступил в силу 1 июня 2017 года. [5] Он требует от сетевых операторов хранить избранные данные на территории Китая и позволяет китайским властям проводить выборочные проверки сетевых операций компании. [1]

Кибербезопасность признана базовым законом. Это ставит закон на вершину пирамидально структурированного законодательства о кибербезопасности. Закон представляет собой эволюцию ранее существовавших правил и положений кибербезопасности из различных уровней и областей, ассимилируя их для создания структурированного закона на макроуровне. Закон также предлагает основные нормы по определенным вопросам, которые не являются срочными, но имеют долгосрочное значение. Эти нормы будут служить правовой ссылкой при возникновении новых вопросов. [6]

Положения

Закон является важной опорой китайской нормативной среды данных. [4] : 131  Он:

Закон о кибербезопасности применяется к сетевым операторам и предприятиям в критических секторах . [1] По критическим секторам Китай грубо делит внутренний бизнес на сетевые предприятия, которые занимаются телекоммуникациями, информационными услугами, транспортировкой энергии, водоснабжением, финансовыми услугами, государственными услугами и услугами электронного правительства. [11] Некоторые из наиболее спорных разделов закона включают статьи 28, 35 и 37.

Статья 28 обязывает нечетко определенных «операторов сетей» (в число которых входят платформы социальных сетей, создатели приложений и другие технологические компании) сотрудничать с органами общественной безопасности, такими как Министерство общественной безопасности , и передавать информацию по запросу.

Статья 28: Операторы сетей должны оказывать техническую поддержку и помощь органам общественной безопасности и органам национальной безопасности, которые обеспечивают национальную безопасность и расследуют преступную деятельность в соответствии с законом.

—  Раздел 1: «Обычные положения»

Статья 35 нацелена на закупку иностранного программного или аппаратного обеспечения государственными учреждениями или другими «операторами критической информационной инфраструктуры», требуя, чтобы любое приобретенное оборудование или программное обеспечение проходило проверку такими учреждениями, как SCA Китая или Государственное управление криптографии, что потенциально влечет за собой предоставление исходных кодов и другой конфиденциальной информации, составляющей коммерческую тайну, государственным учреждениям, открывая путь для государственной кражи интеллектуальной собственности или передачи ее отечественным конкурентам. [12] Прежде всего, статья создает дополнительные нормативные обременения для иностранных технологических компаний, работающих в Китае, косвенно создавая более благоприятные условия для отечественных конкурентов, которые, естественно, будут более подготовлены к соблюдению правил.

Статья 35: Операторы критической информационной инфраструктуры, приобретающие сетевые продукты и услуги, которые могут повлиять на национальную безопасность, должны пройти проверку национальной безопасности, организованную государственными департаментами кибербезопасности и информатизации и соответствующими департаментами Государственного совета.

—  Раздел 2: «Безопасность операций для критически важной информационной инфраструктуры»

Закон устанавливает строгие требования к локализации данных . [4] : 131 

Закон применим ко всем предприятиям в Китае, которые управляют собственными серверами или другими сетями передачи данных. От сетевых операторов ожидается, что они, помимо прочего, разъяснят обязанности по кибербезопасности в своей организации, примут технические меры для защиты сетевых операций, предотвратят утечки и кражи данных и сообщат о любых инцидентах кибербезопасности как пользователям сети, так и соответствующему отделу внедрения для этого сектора. [13]

Закон состоит из вспомогательных подразделов правил, которые определяют его цель. Например, Правила защиты безопасности Инициативы основной инфраструктуры (CII) и меры по оценке безопасности трансграничной передачи личной информации и важных данных. Однако закон еще не высечен на камне, поскольку государственные органы Китая заняты определением более условных законов для лучшего соответствия закону о кибербезопасности. Включая уже существующие законы о VPN и безопасности данных в закон о кибербезопасности, китайское правительство усиливает свой контроль, а также подчеркивает необходимость соблюдения иностранными компаниями внутренних правил. [14]

Закон о кибербезопасности также содержит положения и определения о юридической ответственности . Для различных видов незаконного поведения закон устанавливает различные наказания, такие как штрафы, отстранение для исправления, отзыв разрешений и лицензий на ведение бизнеса и другие. Закон соответственно предоставляет органам кибербезопасности и администрирования права и руководящие принципы для осуществления правоприменения в отношении незаконных действий. [15]

Сопутствующие правила

В июле 2021 года Управление киберпространства Китая выпустило «Правила управления уязвимостями безопасности в сетевых продуктах», требующие, чтобы обо всех уязвимостях сообщалось в Министерство промышленности и информационных технологий (МИИТ), и запрещающие публичное раскрытие информации об уязвимостях, в том числе зарубежным организациям. [16]

Реакции

Наряду с Великим файрволом , ограничения, предусмотренные в законе, вызывают обеспокоенность, особенно со стороны иностранных технологических компаний, работающих в Китае. [17] Что касается требований к выборочным проверкам и сертификациям, международные юридические фирмы предупредили, что компании могут быть вынуждены предоставить исходный код, шифрование или другую важную информацию для проверки властями, что увеличивает риск кражи интеллектуальной собственности , потери информации, передачи ее местным конкурентам или использования самими властями. [1] Федеральное бюро расследований предупредило, что закон может заставить компании, передающие данные через серверы в Китае, подчиняться слежке за данными и шпионажу. [18]

Некоторые аналитики с западным опытом считают этот закон сопоставимым с GDPR ЕС . Они предположили, что закон может улучшить способность китайского правительства контролировать общественность, а также дать китайским компаниям преимущество перед иностранными компаниями. [19]

Закон вызвал беспокойство как внутри страны, так и за рубежом из-за его формулировок и конкретных требований. [20] Иностранные компании и предприятия в Китае выразили обеспокоенность тем, что этот закон может помешать будущим инвестициям в Китай, поскольку закон требует от них «хранить свои данные на местных серверах, регулируемых китайским законодательством, и сотрудничать с китайскими органами национальной безопасности». [21]

С момента своего создания многие иностранные технологические компании уже соблюдали закон. Например, Apple объявила в 2017 году, что инвестирует 1 миллиард долларов в партнерство с местной компанией облачных вычислений Guizhou Cloud Big Data или GCBD для строительства нового центра обработки данных, расположенного в китайской провинции Гуйчжоу , в целях соблюдения требований. [22] Одновременно компания также объявила, что перенесет эксплуатацию и хранение данных iCloud на материковый Китай. [23] Microsoft также объявила о расширении своих сервисов Azure в партнерстве с компанией облачных вычислений 21Vianet за счет инвестиций в большее количество серверов. [24] Между тем, онлайн-сервисы, такие как Skype и WhatsApp , которые отказались хранить свои данные локально, были либо исключены из внутренних магазинов приложений, либо ограничены в дальнейшем расширении. [25]

Закон обязывает иностранные технологические и другие компании, работающие в Китае, либо инвестировать в новую серверную инфраструктуру, чтобы соответствовать закону, либо сотрудничать с поставщиками услуг, такими как Huawei , Tencent или Alibaba , у которых уже есть серверная инфраструктура на местах, что позволяет компаниям экономить капитальные затраты. Широко распространено мнение, что закон соответствует 12-му пятилетнему плану (2011–2015), который направлен на создание отечественных чемпионов в таких отраслях, как облачные вычисления и обработка больших данных. Закон рассматривается как благо для отечественных компаний и подвергается критике за создание несправедливой игровой площадки против международных технологических компаний, таких как Microsoft и Google . [ требуется цитата ]

Сторонники закона заявили, что цель закона не в том, чтобы запретить иностранным компаниям работать в Китае или повысить внутреннюю китайскую конкурентоспособность. Исследование Маттиаса Бауэра и Хосука Ли-Макиямы , проведенное в 2015 году, утверждает, что локализация данных наносит незначительный ущерб экономическому росту из-за неэффективности, возникающей из-за процессов передачи данных и дублирования данных между несколькими юрисдикциями. Требование локализации данных также рассматривается как шаг Пекина по передаче данных под китайскую юрисдикцию и упрощению судебного преследования организаций, которые считаются нарушающими китайские законы об Интернете. [1]

Президент AmCham South China Харли Сейедин заявил, что иностранные фирмы сталкиваются с «массовыми опасениями», поскольку закон значительно увеличил операционные расходы и оказал большое влияние на то, как ведется бизнес в Китае. В частности, он заявил, что закон о кибербезопасности продолжает создавать «неопределенность в инвестиционном сообществе, и это приводит, как минимум, к отсрочке некоторых инвестиций в НИОКР». [26]

Закон широко критиковался за ограничение свободы слова . [27] Например, закон прямо требует от большинства онлайн-сервисов, работающих в Китае, собирать и проверять личность своих пользователей и, при необходимости, передавать такую ​​информацию правоохранительным органам без ордера. Активисты утверждают, что эта политика отговаривает людей от свободного выражения своих мыслей в Интернете, еще больше подавляя инакомыслие, облегчая преследование и слежку за инакомыслящими. [27]

Смотрите также

Ссылки

  1. ^ abcde Вагнер, Джек (2017-06-01). «Закон Китая о кибербезопасности: что вам нужно знать». The Diplomat . Архивировано из оригинала 2018-12-12 . Получено 2018-12-14 .
  2. ^ Бланшар, Бен (28.12.2015). «Китай принимает противоречивый закон о борьбе с терроризмом». Reuters . Получено 21.07.2021 .
  3. ^ Вонг, Эдвард (28.04.2016). «Усиление контроля в Китае ограничивает деятельность 7000 иностранных организаций». The New York Times . ISSN  0362-4331 . Получено 21.07.2021 .
  4. ^ abcd Чжан, Анджела Хуюэ (2024). High Wire: Как Китай регулирует крупные технологические компании и управляет своей экономикой . Oxford University Press . ISBN 9780197682258.
  5. ^ "网络安全法(草案)全文_中国人大网" . www.npc.gov.cn. ​Архивировано из оригинала 29 октября 2016 г. Проверено 14 апреля 2018 г.
  6. ^ Лулу, Ся и Чжао Лео (21.08.2018). «Закон о кибербезопасности Китая: введение для иностранных бизнесменов». China Briefing . Архивировано из оригинала 13.12.2018 . Получено 14.12.2018 .{{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
  7. ^ 网易. «网络安全法明确了网络空间主权原则_网易新闻». NetEase . Архивировано из оригинала 3 июля 2019 г. Проверено 14 апреля 2018 г.
  8. ^ "《网络安全法》正式施行 为个人信息加把"锁"" . Китайский интернет-информационный центр . Архивировано из оригинала 14 декабря 2018 г. Проверено 14 апреля 2018 г.
  9. ^ "网络安全立法中的关键信息基础设施保护问题--理论-人民网" . Народная газета . Архивировано из оригинала 15 апреля 2018 г. Проверено 14 апреля 2018 г.
  10. ^ "专家解读《网络安全法》 具有六大突出亮点-新华网" . www.xinhuanet.com . Архивировано из оригинала 15 апреля 2018 г. Проверено 14 апреля 2018 г.
  11. ^ Gierow Johannes, Hauke ​​(2015-04-22). «Кибербезопасность в Китае: безопасность Интернета, протекционизм и конкурентоспособность: новые вызовы для западного бизнеса» (PDF) . China Monitor, Merics: Mercator Institute for China Studies. Архивировано (PDF) из оригинала 2018-12-16 . Получено 2018-12-14 .
  12. ^ «Киберрегулирование Китая: головная боль для иностранных компаний | Merics». merics.org . 22 марта 2017 г. Получено 22 июля 2021 г.
  13. ^ "Понимание закона Китая о кибербезопасности. ИНФОРМАЦИЯ ДЛЯ НОВОЗЕЛАНДСКИХ ПРЕДПРИЯТИЙ" (PDF) . Министерство иностранных дел и торговли и Министерство торговли и предпринимательства Новой Зеландии. Сентябрь 2017 г. Архивировано (PDF) из оригинала 23-01-2019 . Получено 14-12-2018 .
  14. ^ Беккет, Ник (ноябрь 2017 г.). «Руководство для бизнеса по первому закону Китая о кибербезопасности». China Monitor, Merics: Mercator Institute for China Studies. Архивировано из оригинала 16.12.2018 . Получено 14.12.2018 .
  15. ^ Ли, Джи-Ан (2017). «Взлом китайского закона о кибербезопасности» (PDF) . Обзор закона Wake Forest . 53 (1). SSRN  3174626.
  16. ^ "Китай устанавливает новые правила раскрытия уязвимостей". Арджун Рампрасад . Previewtech.net. 18 июня 2021 г.
  17. ^ Училль, Джо (17 октября 2019 г.). «Обновленный закон Китая о кибербезопасности может иметь последствия». Axios . Архивировано из оригинала 29 марта 2020 г. Получено 8 апреля 2020 г.
  18. ^ "Опасные партнеры: крупные технологические компании и Пекин". Федеральное бюро расследований . Архивировано из оригинала 2020-04-02 . Получено 2020-04-09 .
  19. ^ Бо, Цюй; Чансюй, ХУО (15 сентября 2020 г.). «Конфиденциальность, национальная безопасность и интернет-экономика: объяснение китайского законодательства о защите личной информации». Frontiers of Law in China . 15 (3): 339–366. doi :10.3868/s050-009-020-0019-4. ProQuest  2450653759.
  20. ^ Лин, Лиза; Кубота, Йоко (6 декабря 2017 г.). «Американские технологические компании напуганы загадочным законом Китая о кибербезопасности». Wall Street Journal .
  21. ^ "中国施行《网络安全法》 外企为何担忧?" . BBC 中文网. 31 мая 2017 г. Архивировано из оригинала 11 мая 2018 г. Проверено 14 апреля 2018 г.
  22. ^ Гартенберг, Хаим (13 июля 2017 г.). «Apple строит свой первый центр обработки данных в Китае в соответствии с новым законом о кибербезопасности». The Verge . Получено 22 июля 2021 г.
  23. ^ "Узнайте больше об iCloud в Китае". Поддержка Apple . Архивировано из оригинала 2018-03-07 . Получено 2018-04-14 .
  24. ^ "Новый регион Azure появится в Китае в 2022 году | Блог и обновления Azure | Microsoft Azure". azure.microsoft.com . 4 марта 2021 г. Получено 22 июля 2021 г.
  25. ^ «多家中国区应用商店下架Skype».纽约时报中文网(на китайском языке). 2017-11-22. Архивировано из оригинала 13 апреля 2018 г. Проверено 14 апреля 2018 г.
  26. ^ Ху, Хуэйфэн (2018-03-01). «Закон о кибербезопасности вызывает «массовые опасения» среди иностранных фирм в Китае». South China Post . Архивировано из оригинала 2018-11-07 . Получено 2018-12-14 .
  27. ^ ab "中国《网络安全法》草案出炉 恐加强言论管制". BBC 中文网(на упрощенном китайском языке). 9 июля 2015 г. Архивировано из оригинала 08 мая 2018 г. Проверено 14 апреля 2018 г.