Открыть сервис

Закон КНР о кибербезопасности

Закон КНР о кибербезопасности (кит. 中华人民共和国网络安全法, англ. Cybersecurity Law of the People's Republic of China) — это нормативно-правовой акт, принятый Постоянным комитетом Всекитайского собрания народных представителей (ВСНП) 7 ноября 2016 года и вступивший в силу 1 июня 2017 года. Закон устанавливает правовые основы обеспечения кибербезопасности в Китайской Народной Республике, регулирует отношения в области защиты информационных систем, обработки персональных данных, контроля за передачей данных за рубеж и обязанности операторов сетей и критической информационной инфраструктуры (КИИ). Документ является первым всеобъемлющим законом КНР в сфере кибербезопасности, заменившим разрозненные подзаконные акты и административные предписания.

История принятия

Разработка закона началась в 2013 году на фоне роста числа кибератак, утечек данных и усиления государственного контроля за интернет-пространством. В июле 2015 года проект закона был опубликован для общественного обсуждения, что вызвало широкую дискуссию как внутри Китая, так и за его пределами. Критики, в том числе представители международных IT-компаний и правозащитных организаций, указывали на потенциальное ограничение свободы информации и создание барьеров для трансграничного потока данных. Несмотря на это, 7 ноября 2016 года закон был принят на 24-й сессии Постоянного комитета ВСНП 12-го созыва. Вступление в силу 1 июня 2017 года сопровождалось выпуском ряда подзаконных актов и разъяснений, уточняющих требования к различным категориям субъектов.

Основные положения

Сфера действия и субъекты

Закон распространяется на всех участников киберпространства КНР: операторов сетей (провайдеров интернет-услуг, владельцев сайтов, операторов мобильной связи), владельцев и операторов критической информационной инфраструктуры, а также на пользователей. Под юрисдикцию закона подпадают не только китайские компании, но и иностранные организации, оказывающие услуги на территории КНР или обрабатывающие данные граждан Китая.

Обязанности операторов сетей

Операторы сетей обязаны:

Критическая информационная инфраструктура (КИИ)

Особое внимание уделяется защите КИИ — объектов, нарушение функционирования которых может нанести существенный ущерб национальной безопасности, экономике или общественному порядку. К таким объектам относятся системы в сферах энергетики, транспорта, финансов, связи, здравоохранения, водоснабжения и государственного управления. Владельцы КИИ обязаны:

Защита персональных данных

Закон вводит строгие требования к обработке персональных данных. Операторы обязаны:

Контроль за передачей данных за рубеж

Одно из наиболее спорных положений закона — требование о локализации данных. Все операторы сетей и владельцы КИИ обязаны хранить данные, собранные на территории КНР, в дата-центрах, расположенных в Китае. Передача таких данных за рубеж допускается только после прохождения оценки безопасности, проводимой Государственным управлением киберпространства Китая (Cyberspace Administration of China, CAC). Исключения возможны для случаев, предусмотренных международными договорами или административными актами.

Механизмы контроля и ответственность

Государственные органы

Основным регулятором является Государственное управление киберпространства Китая (CAC), которое координирует деятельность Министерства общественной безопасности, Министерства промышленности и информатизации, Государственного управления по делам радио и телевидения и других ведомств. CAC уполномочено проводить проверки, выдавать предписания, налагать штрафы и приостанавливать деятельность нарушителей.

Санкции

Нарушение закона влечёт за собой административную, гражданскую и уголовную ответственность. Штрафы для юридических лиц могут достигать 1 миллиона юаней (около 140 тысяч долларов США), а для должностных лиц — до 100 тысяч юаней. В случае серьёзных нарушений (например, утечка данных КИИ) возможна приостановка деятельности компании на срок до 6 месяцев или отзыв лицензии. Уголовная ответственность предусмотрена за кибератаки, шпионаж и незаконный сбор данных.

Влияние на международные отношения и бизнес

Принятие закона вызвало неоднозначную реакцию за рубежом. Иностранные компании, работающие в Китае, были вынуждены адаптировать свои IT-инфраструктуры: создавать локальные дата-центры, нанимать персонал по кибербезопасности и проходить процедуры оценки передачи данных. Ряд компаний (например, Apple, Microsoft, Amazon) заявили о выполнении требований закона, другие (например, Google, Facebook) сократили или изменили своё присутствие на китайском рынке. Закон также стал основой для последующих нормативных актов, включая «Закон о защите персональных данных» (2021) и «Закон о безопасности данных» (2021), которые ужесточили контроль за трансграничной передачей данных и обработкой персональной информации.

Критика и споры

Основные претензии к закону со стороны международного сообщества и правозащитных организаций касаются:

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →