КНР – Закон о кибербезопасности принят

4957

© 01.02.2017, Рогожин А.А. 

photo from www.homelandsecuritynewswire.com

В Китае опубликован Закон о кибербезопасности в последней, третьей редакции. Обсуждение Закона общественностью и в Постоянном комитете Всекитайского собрания народных представителей (ПК ВСНП) проходило весьма активно и, по китайским меркам, быстро – все три чтения в ПК ВСНП заняли немногим более года – что, несомненно отражает понимание Китаем актуальности проблем кибербезопасности страны. Закон о кибербезопасности является первым сводным законом, регулирующим практически все проблемы данной сферы в Китае.

Закон о кибербезопасности вступит в силу 1 июня 2017 г. Ожидается, что в переходный период удастся, во-первых, обнаружить недостатки Закона и ликвидировать их в окончательной редакции. Во-вторых, за оставшиеся месяцы все структуры, деятельность которых в той или иной степени регулируются новым законом, должны успеть подготовиться к его реализации на практике.

Законодательство и практика Китая в области информационной и технологической безопасности в последние годы стремительно развивались, реагируя на потребности в сфере защиты национальной безопасности. Была ускорена разработка ряда законодательных инициатив в области национальной безопасности, в том числе Закона о борьбе с терроризмом, Закона о национальной безопасности и Закона о кибербезопасности. Все эти законодательные инициативы включают в себя положения, связанные с информационной и технологической безопасностью.

Кибербезопасность в настоящее время является весьма проблемным полем как в самом Китае, так и во всём мире, и Закон о кибербезопасности, реагируя на эти вызовы, представляет собой важнейший правовой механизм работы с этими вызовами. В то же время, поскольку Китай не ввёл закон об унифицированной защите данных, Закон о кибербезопасности также включает в себя несколько положений, связанных с защитой персональной информации, которая также стала вопросом первостепенной важности. Помимо некоторых общих положений, связанных с защитой личных данных, встроенных в существующие регуляторные правила, Закон о кибербезопасности также включает некоторые новые требования по этому вопросу.

Закон о кибербезопасности регулирует создание, эксплуатацию, обслуживание и использование сетей, а также надзор и администрирование процедур кибербезопасности на территории КНР. Понятие "сети" включает в себя сети и системы, объединяющие компьютеры и иные информационные терминалы и соответствующие объекты инфраструктуры, используемые в целях сбора, хранения, передачи, обмена и обработки информации в соответствии с определёнными правилами и процедурами (статья 76). "Сетевые операторы", важный субъект правовых обязательств в рамках Закона о кибербезопасности, в широком значении определяется как "владельцы и администратор сетей и поставщиков сетевых услуг (там же)".

Закон о кибербезопасности предусматривает в качестве фундаментального принципа "защиту национального суверенитета в киберпространстве" и в рамках достижения этой цели включает в себя положения о стратегии, плане и меры по продвижению кибербезопасности, безопасности сетевых операций, безопасности сетевой информации, системах предупреждения и реагирования на чрезвычайные ситуации.

Орган по администрированию национального киберпространства – Администрация по киберпространству Китая (АКК), отвечает за координацию деятельности в области защиты кибербезопасности и надзор и администрирование соответствующей деятельности на национальном уровне. Также предусматривается, что министерство промышленности и информационных технологий, министерство государственной безопасности и другие правительственные агентства будут отвечать за защиту и надзор за кибербезопасностью в рамках своих соответствующих полномочий.

Основные требования Закона о кибербезопасности

1. Усиление обязательств в области безопасности сетевых операций. Закон о кибербезопасности предусматривает различные обязательства в области защиты безопасности для сетевых операторов, в числе которых:

  • выполнение ряда требований выстраивания многоуровневой системы киберзащиты (статья 21);
  • верификация подлинности личности пользователей – обязательное требование для определённых сетевых операторов (статья 24);
  • составление планов реагирования на чрезвычайные ситуации в области кибербезопасности (статья 25);
  • оказание необходимого содействия и поддержки следственным органам в деле защиты национальной безопасности и расследования преступлений (статья 24).

Кроме того, поставщики сетевых продуктов и услуг должны информировать пользователей об этом и ставить в известность соответствующие органы власти о любых известных дефектах и уязвимостях в области безопасности, а также предоставлять постоянные услуги в области обеспечения безопасности своих продуктов и услуг, не встраивать вредоносные программные средства в свои продукты, а также ясно информировать своих пользователей и получать их согласие в том случае, если их продукты или услуги собирают информацию о пользователях (статья 22).

Ключевые сетевые механизмы и особые продукты, используемые для защиты сети, должны соответствовать действующим национальным стандартам и отвечать сертификационным требованиям, они могут предлагаться на продажу лишь после сертификации квалифицированной сертификационной организацией или прохождения соответствующих испытаний в области безопасности (статья 23).

Важно отметить, что некоторые требования к сетевым операторам, такие как сохранение пользовательских логов на срок минимум шесть месяцев (статья 21) и регуляторные правила в области публикации информации о кибербезопасности в отношении лазеек в системах, компьютерных вирусах, кибератаках, кибервторжениях и т. п. (статья 26) сформулированы в китайском законодательстве впервые.

2. Повышенная защита критически важной информационной инфраструктуры

Закон о кибербезопасности впервые в законодательстве КНР вводит серию повышенных обязательств в области безопасности для операторов критически важной информационной инфраструктуры (КВИИ), включающие в себя:

  • требования к внутренней организации, подготовке сотрудников, резервированию данных и выработке мер реагирования на чрезвычайные ситуации (статья 34);
  • хранение личных данных и других важных данных должно обеспечиваться исключительно на территории КНР (статья 37);
  • закупка сетевых продуктов и услуг, которые могут повлиять на национальную безопасность, должна осуществляться под контролем соответствующих органов безопасности (статья 35);
  • проведение ежегодных оценок рисков кибербезопасности и предоставление отчётов о результатах этих оценок и мерах по улучшению ситуации соответствующим органам власти (статья 38).

3. Защита личных данных

Закон о кибербезопасности подтверждает обязанности сетевых операторов в отношении защиты персональной информации, которые определены существующим законодательством и регуляторными требованиями, включая право на отслеживание соблюдения принципа законности, необходимости и уместности сбора и использования личных данных, а также право наблюдения за выполнением "требований об информировании и получении согласия" (статья 41) об использовании личных данных лишь в тех целях на которые дало согласие соответствующее лицо (статья 41), право принимать меры защиты безопасности личных данных (статья 42) и защищать индивидуальное право оценивать и вносить исправления в личную информацию (статья 43).

Кроме того, Закон о кибербезопасности также включает в себя некоторые новые правила в отношении защиты личных данных, включая требования об уведомлении о нарушении защиты данных (статья 42), об анонимизации данных в качестве исключения в требованиях об информировании и получении согласия (статья 42), а также об праве индивида требовать у сетевых операторов внести изменения в или удалить его личные данные в случае, если информация о нём ошибочна или используется в несогласованных с ним целях (статья 43).

Обратим внимание на ключевые изменения законопроекта, внесённые в ходе второго чтения. В окончательном варианте законопроекта:

  • понятие КВИИ переформулировано как информационная инфраструктура в области "государственных коммуникационных и информационных услуг, энергетики, дорожного и иного транспорта, ирригации, финансов, государственных услуг, электронного правительства и других ключевых отраслей и секторов, а также другая иная информационная инфраструктура, нанесение ущерба, незаконное использование и утечка данных и которой могут нести серьёзную угрозу национальной безопасности, национальному благополучию, жизни людей и общественным интересам". Перечень отраслей и секторов, включённых в первый вариант законопроекта и удалённый из проекта, предложенного ко второму чтению, был возвращён в определение КВИИ в окончательном варианте законопроекта (статья 31).
  • определение данных КВИИ, на которые распространяется требование о хранении на территории страны, расширены с "личных данных граждан и другой важной бизнес-информации" до "личных данных и другой важной информации" (статья 37);
  • понятие "защищённые личные данные" расширено с "личных данных граждан" до "личных данных";
  • введено дополнительное особое положение о наказаниях и санкциях в отношении зарубежных предприятий, которые ставят под угрозу внутреннюю КВИИ (статья 75);
  • установлены более высокие денежные штрафы за нарушение законодательства в области кибербезопасности.

Каково практическое значение Закона о кибербезопасности? Полагаем, что когда Закон о кибербезопасности вступит в силу, интернет-компании и другие субъекты сферы ИКТ в Китае столкнутся с необходимостью выполнять широкий спектр более строгих и комплексных обязательств и столкнутся с серьёзными мерами наказания за потенциальные нарушения.

Несомненно, Закон включает в себя ряд новых правовых концепций и требований, которые могут оказать влияние и на компании, ведущие бизнес-операции с Китаем. Иностранный бизнес, работающий в Китае, может столкнуться с требованиями локализации данных, обязательствами делиться конфиденциальной информацией, принадлежащей компании, с китайскими властями, а также ограничениями на использование иностранных технологий и оборудования в Китае.

Поскольку Закон о кибербезопасности является сводным, затрагивающим многие аспекты кибербезопасности, многие его положения всё ещё носят очень общий и абстрактный характер, и детальные требования по его реализации и правоприменительная практика будут зависеть от дальнейшей проработки более частных регламентов, а также мнения соответствующих органов власти.

Можно ожидать, что соответствующие регуляторные органы смогут предложить порядок внедрения этого законодательства, проясняющий определённые требования в рамках Закона о кибербезопасности, такие как регулирование многоуровневых систем защиты кибербезопасности; конкретизируют масштаб и меры защиты КВИИ, обязательную сертификацию в области безопасности и требования к испытанию ключевых сетевых устройств и специализированных продуктов в области кибербезопасности; а также дадут оценку сетевых продуктов и услуг, закупаемых операторами КВИИ, с точки зрения национальной безопасности.

До формального вступления в силу Закона о кибербезопасности остаётся около полугода, и компании ( как китайские, так и иностранные) могут использовать этот переходный период для улучшения своего понимания потенциального воздействия закона на их бизнес. В частности, если компании являются операторами КВИИ, Закон о кибербезопасности может оказать значительное воздействие на формат их сетевой безопасности, механизмы закупки продуктов в области безопасности, а также хранение данных.

Как китайские, так и иностранные компании смогут оценить, не нуждаются ли они в необходимости корректировки своих бизнес- и операционных практик с учётом вышеупомянутых аспектов и повышении своей защиты в области кибербезопасности, а также удостовериться в их полном соответствии требованиям Закона о кибербезопасности КНР. Учитывая, что конкретные аспекты реализации требований Закона о кибербезопасности полностью неясны, компаниям также понадобится тщательно отслеживать принятие всех последующих регламентов и мнений соответствующих органов государственной власти.

Изложенное выше в полной мере относится и к российским IT-компаниям, работающим в Китае или планирующих проникновение и освоение гигантского китайского рынка информационно-коммуникационных технологий, а также реализующих на нём свои продукты.


к списку

Комментарии (0)

Нет комментариев

Добавить комментарий







Актуальные комментарии
Новости Института
19.02.2020

Состоялось заседание Ученого совета Института. На повестке дня был представлен доклад Эдуарда Соловьева на тему «Новый этап украинского кризиса: основные вызовы и тенденции развития».

подробнее...

18.02.2020

За заслуги в изучении российско-индийских отношений Алексей Куприянов и Яна Садовникова награждены медалью "За выдающиеся академические успехи памяти профессора Г.Л. Бондаревского".

подробнее...

Вышли из печати