Закон КНР о кибербезопасности
Закон КНР о кибербезопасности (кит. 中华人民共和国网络安全法, англ. Cybersecurity Law of the People's Republic of China) — это нормативно-правовой акт, принятый Постоянным комитетом Всекитайского собрания народных представителей (ВСНП) 7 ноября 2016 года и вступивший в силу 1 июня 2017 года. Закон устанавливает правовые основы обеспечения кибербезопасности в Китайской Народной Республике, регулирует отношения в области защиты информационных систем, обработки персональных данных, контроля за передачей данных за рубеж и обязанности операторов сетей и критической информационной инфраструктуры (КИИ). Документ является первым всеобъемлющим законом КНР в сфере кибербезопасности, заменившим разрозненные подзаконные акты и административные предписания.
История принятия
Разработка закона началась в 2013 году на фоне роста числа кибератак, утечек данных и усиления государственного контроля за интернет-пространством. В июле 2015 года проект закона был опубликован для общественного обсуждения, что вызвало широкую дискуссию как внутри Китая, так и за его пределами. Критики, в том числе представители международных IT-компаний и правозащитных организаций, указывали на потенциальное ограничение свободы информации и создание барьеров для трансграничного потока данных. Несмотря на это, 7 ноября 2016 года закон был принят на 24-й сессии Постоянного комитета ВСНП 12-го созыва. Вступление в силу 1 июня 2017 года сопровождалось выпуском ряда подзаконных актов и разъяснений, уточняющих требования к различным категориям субъектов.
Основные положения
Сфера действия и субъекты
Закон распространяется на всех участников киберпространства КНР: операторов сетей (провайдеров интернет-услуг, владельцев сайтов, операторов мобильной связи), владельцев и операторов критической информационной инфраструктуры, а также на пользователей. Под юрисдикцию закона подпадают не только китайские компании, но и иностранные организации, оказывающие услуги на территории КНР или обрабатывающие данные граждан Китая.
Обязанности операторов сетей
Операторы сетей обязаны:
- внедрять технические и организационные меры защиты (шифрование, системы обнаружения вторжений, резервное копирование);
- разрабатывать планы реагирования на инциденты кибербезопасности;
- хранить журналы сетевой активности не менее 6 месяцев;
- незамедлительно уведомлять государственные органы об утечках данных и кибератаках;
- оказывать содействие правоохранительным органам в проведении расследований.
Критическая информационная инфраструктура (КИИ)
Особое внимание уделяется защите КИИ — объектов, нарушение функционирования которых может нанести существенный ущерб национальной безопасности, экономике или общественному порядку. К таким объектам относятся системы в сферах энергетики, транспорта, финансов, связи, здравоохранения, водоснабжения и государственного управления. Владельцы КИИ обязаны:
- проводить регулярные аудиты кибербезопасности;
- использовать только сертифицированное оборудование и программное обеспечение;
- хранить данные, собранные на территории КНР, в пределах страны (принцип локализации данных);
- при передаче данных за рубеж проходить обязательную проверку безопасности, проводимую уполномоченными органами.
Защита персональных данных
Закон вводит строгие требования к обработке персональных данных. Операторы обязаны:
- получать явное согласие пользователя на сбор и использование его данных;
- чётко указывать цели, способы и объём обработки;
- не передавать данные третьим лицам без дополнительного согласия;
- обеспечивать безопасность хранения и обработки;
- удалять данные по требованию пользователя или после достижения цели обработки.
Контроль за передачей данных за рубеж
Одно из наиболее спорных положений закона — требование о локализации данных. Все операторы сетей и владельцы КИИ обязаны хранить данные, собранные на территории КНР, в дата-центрах, расположенных в Китае. Передача таких данных за рубеж допускается только после прохождения оценки безопасности, проводимой Государственным управлением киберпространства Китая (Cyberspace Administration of China, CAC). Исключения возможны для случаев, предусмотренных международными договорами или административными актами.
Механизмы контроля и ответственность
Государственные органы
Основным регулятором является Государственное управление киберпространства Китая (CAC), которое координирует деятельность Министерства общественной безопасности, Министерства промышленности и информатизации, Государственного управления по делам радио и телевидения и других ведомств. CAC уполномочено проводить проверки, выдавать предписания, налагать штрафы и приостанавливать деятельность нарушителей.
Санкции
Нарушение закона влечёт за собой административную, гражданскую и уголовную ответственность. Штрафы для юридических лиц могут достигать 1 миллиона юаней (около 140 тысяч долларов США), а для должностных лиц — до 100 тысяч юаней. В случае серьёзных нарушений (например, утечка данных КИИ) возможна приостановка деятельности компании на срок до 6 месяцев или отзыв лицензии. Уголовная ответственность предусмотрена за кибератаки, шпионаж и незаконный сбор данных.
Влияние на международные отношения и бизнес
Принятие закона вызвало неоднозначную реакцию за рубежом. Иностранные компании, работающие в Китае, были вынуждены адаптировать свои IT-инфраструктуры: создавать локальные дата-центры, нанимать персонал по кибербезопасности и проходить процедуры оценки передачи данных. Ряд компаний (например, Apple, Microsoft, Amazon) заявили о выполнении требований закона, другие (например, Google, Facebook) сократили или изменили своё присутствие на китайском рынке. Закон также стал основой для последующих нормативных актов, включая «Закон о защите персональных данных» (2021) и «Закон о безопасности данных» (2021), которые ужесточили контроль за трансграничной передачей данных и обработкой персональной информации.
Критика и споры
Основные претензии к закону со стороны международного сообщества и правозащитных организаций касаются:
- Ограничения свободы информации: требования к операторам сетей блокировать контент, признанный незаконным (включая «подрыв государственной власти», «терроризм», «порнографию»), трактуются как инструмент цензуры.
- Неопределённость формулировок: термин «критическая информационная инфраструктура» оставляет широкие возможности для расширительного толкования, что создаёт риски для бизнеса.
- Барьеры для трансграничной торговли: требования локализации данных и обязательные проверки передачи данных за рубеж рассматриваются как протекционистские меры, противоречащие принципам Всемирной торговой организации.
- Риски для конфиденциальности: возможность доступа государственных органов к данным компаний без судебного решения вызывает опасения в отношении защиты коммерческой тайны и личной жизни.
Источники
- Текст Закона КНР о кибербезопасности (на китайском языке), опубликованный на официальном сайте ВСНП (2016).
- Разъяснения Государственного управления киберпространства Китая по применению Закона о кибербезопасности (2017).
- Доклад «China’s Cybersecurity Law: A Comprehensive Overview» (2018), подготовленный аналитическим центром «China Law Translate».
- Статья «The Cybersecurity Law of the People’s Republic of China: A Critical Analysis» в журнале «Journal of Cybersecurity» (2019).
- Материалы Министерства промышленности и информатизации КНР о сертификации оборудования для КИИ (2018–2020).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →