Закон о кибербезопасности Китая
Закон о кибербезопасности Китая (кит. трад. 中华人民共和国网络安全法, пиньинь Zhōnghuá Rénmín Gònghéguó Wǎngluò Ānquán Fǎ) — это нормативный правовой акт Китайской Народной Республики, принятый Постоянным комитетом Всекитайского собрания народных представителей (ВСНП) 7 ноября 2016 года и вступивший в силу 1 июня 2017 года. Закон устанавливает правовые основы для обеспечения безопасности киберпространства, защиты персональных данных, критической информационной инфраструктуры, а также регулирует деятельность операторов связи, интернет-провайдеров и пользователей сети «Интернет» на территории КНР. Он является частью более широкой стратегии Китая по созданию «суверенного киберпространства» и усилению государственного контроля над информационными потоками.
История принятия
Разработка закона началась в 2013 году на фоне стремительного роста интернет-аудитории Китая (к 2016 году превысившей 700 млн человек) и увеличения числа кибератак, утечек данных и кибершпионажа. Первый проект закона был опубликован в июле 2015 года для общественного обсуждения. После двух раундов консультаций и внесения поправок, учитывающих замечания международных компаний и правозащитных организаций, закон был принят 7 ноября 2016 года на 24-й сессии Постоянного комитета ВСНП 12-го созыва.
Вступление закона в силу 1 июня 2017 года сопровождалось публикацией ряда подзаконных актов, включая «Меры по оценке безопасности при передаче персональных данных за рубеж» (2017) и «Положения об управлении безопасностью критической информационной инфраструктуры» (2021). В 2021 году закон был дополнен «Законом о защите персональных данных» и «Законом о безопасности данных», которые уточнили и расширили его положения.
Основные положения
Сфера действия и принципы
Закон распространяется на все виды деятельности по строительству, эксплуатации, обслуживанию и использованию сетей на территории КНР, а также на управление и надзор за кибербезопасностью. Он основан на принципах:
- Суверенитет киберпространства — Китай осуществляет полный суверенитет над своей частью киберпространства.
- Государственное управление — государство устанавливает правила и контролирует их соблюдение.
- Права и обязанности — пользователи имеют право на защиту своих данных, но обязаны соблюдать законы.
Классификация объектов защиты
Закон вводит два ключевых понятия:
- Критическая информационная инфраструктура (КИИ) — объекты, выход из строя которых может нанести серьёзный ущерб национальной безопасности, экономике или общественному порядку. К ним относятся:
- Государственные информационные системы (правительственные порталы, базы данных).
- Системы управления в ключевых отраслях: энергетика, транспорт, финансы, водоснабжение, здравоохранение, связь.
- Системы, содержащие данные о населении (более 1 млн записей).
- Системы, обрабатывающие государственные секреты.
- Операторы сетей — любые организации, предоставляющие услуги связи, интернет-доступа, хостинга, облачных вычислений и т.д. (включая китайские и иностранные компании).
Требования к операторам сетей
- Регистрация и лицензирование — операторы обязаны получить лицензию на оказание услуг, пройти аттестацию по стандартам безопасности.
- Технические меры — внедрение систем обнаружения вторжений, шифрования, резервного копирования, контроля доступа.
- Уведомление об инцидентах — в течение 24 часов после обнаружения кибератаки или утечки данных необходимо сообщить в уполномоченный орган.
- Хранение данных — определённые категории данных (например, логи доступа) должны храниться на территории КНР не менее 6 месяцев.
Защита персональных данных
Закон вводит строгие правила обработки персональных данных:
- Согласие — сбор и обработка данных возможны только с информированного согласия пользователя.
- Целевое использование — данные не могут быть использованы для целей, не указанных при сборе.
- Запрет на незаконную передачу — передача персональных данных третьим лицам без согласия запрещена.
- Локализация данных — операторы КИИ обязаны хранить персональные данные и «важные данные» граждан КНР на серверах, расположенных на территории Китая. Передача таких данных за рубеж допускается только после прохождения оценки безопасности, проводимой уполномоченным органом.
Обязанности пользователей
- Запрещено создавать, распространять или использовать программы, нарушающие безопасность сети (вирусы, трояны, ботнеты).
- Запрещено осуществлять несанкционированный доступ к чужим сетям, перехватывать трафик, нарушать работу сетей.
- Пользователи обязаны сообщать о выявленных уязвимостях и инцидентах безопасности.
Органы управления и надзора
Основным органом, ответственным за реализацию закона, является Управление киберпространства Китая (Cyberspace Administration of China, CAC), созданное в 2014 году. CAC разрабатывает нормативные акты, проводит проверки, выдает лицензии и налагает санкции. Дополнительные полномочия имеют Министерство промышленности и информатизации, Министерство общественной безопасности (полиция) и Государственное управление по защите государственных тайн.
Ответственность за нарушения
Закон предусматривает широкий спектр санкций:
- Административные штрафы — от 10 000 до 1 млн юаней (около 140 000 — 14 млн долларов США) для юридических лиц; для должностных лиц — от 5 000 до 100 000 юаней.
- Приостановление деятельности — на срок до 3 месяцев или полное закрытие.
- Уголовная ответственность — за тяжкие нарушения (например, кибершпионаж, саботаж КИИ) предусмотрено лишение свободы на срок до 7 лет (по Уголовному кодексу КНР).
- Конфискация оборудования — изъятие серверов, программного обеспечения и других средств.
Критика и последствия
Международная реакция
Закон вызвал критику со стороны иностранных правительств и бизнеса. Основные претензии:
- Требование локализации данных — расценивается как барьер для международной торговли и нарушение принципов свободного потока информации.
- Неопределённость формулировок — такие термины, как «важные данные» и «критическая инфраструктура», не были чётко определены до 2021 года, что создавало риски для компаний.
- Усиление цензуры — закон используется для блокировки нежелательного контента и преследования оппозиционных активистов (например, по статье о «распространении фейковых новостей»).
- Доступ к исходным кодам — в некоторых случаях CAC требует предоставления исходных кодов программного обеспечения для проверки на наличие «шпионских функций».
Влияние на бизнес
Иностранные компании, работающие в Китае (Alibaba, Tencent, Amazon, Microsoft, Google, Apple), были вынуждены:
- Перенести серверы с данными китайских пользователей на территорию КНР.
- Создать совместные предприятия с китайскими партнёрами для управления данными.
- Внедрить механизмы согласования передачи данных за рубеж (например, для трансграничных финансовых операций).
Некоторые компании (например, LinkedIn) столкнулись с ограничениями доступа к своим сервисам из-за несоответствия требованиям закона.
Внутренние последствия
В Китае закон способствовал:
- Укреплению государственного контроля над интернетом и снижению числа кибератак на государственные учреждения.
- Развитию национальной индустрии кибербезопасности (рынок вырос с 40 млрд юаней в 2016 году до 150 млрд юаней в 2022 году).
- Росту числа судебных дел по фактам утечек данных и кибермошенничества.
Связанные нормативные акты
- Закон КНР о безопасности данных (2021) — уточняет понятие «важные данные» и вводит систему классификации данных по степени важности.
- Закон КНР о защите персональных данных (2021) — аналог европейского GDPR, устанавливает права субъектов данных и требования к обработчикам.
- Положения об управлении безопасностью критической информационной инфраструктуры (2021) — определяет критерии отнесения объектов к КИИ и порядок их защиты.
- Меры по оценке безопасности при передаче персональных данных за рубеж (2017, обновлены в 2022) — регламентируют процедуру трансграничной передачи данных.
Источники
- Закон Китайской Народной Республики о кибербезопасности (текст на русском языке, перевод Посольства КНР в РФ, 2017).
- Cybersecurity Law of the People's Republic of China — официальный текст на английском языке, опубликованный Национальной комиссией по развитию и реформам КНР (2016).
- China's Cybersecurity Law: A Comprehensive Guide — аналитический доклад Центра стратегических и международных исследований (CSIS, Вашингтон, 2018).
- The Implementation of China's Cybersecurity Law — отчёт Международной ассоциации юристов (IBA, 2020).
- Кибербезопасность в Китае: правовое регулирование и практика — статья в журнале «Право и цифровая экономика» (№ 2, 2021, с. 45–58).
- China's Data Localization Requirements — исследование Европейской комиссии по вопросам торговли (2022).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →