Открыть сервис

Закон о кибербезопасности Китая

Закон о кибербезопасности Китая (кит. трад. 中华人民共和国网络安全法, пиньинь Zhōnghuá Rénmín Gònghéguó Wǎngluò Ānquán Fǎ) — это нормативный правовой акт Китайской Народной Республики, принятый Постоянным комитетом Всекитайского собрания народных представителей (ВСНП) 7 ноября 2016 года и вступивший в силу 1 июня 2017 года. Закон устанавливает правовые основы для обеспечения безопасности киберпространства, защиты персональных данных, критической информационной инфраструктуры, а также регулирует деятельность операторов связи, интернет-провайдеров и пользователей сети «Интернет» на территории КНР. Он является частью более широкой стратегии Китая по созданию «суверенного киберпространства» и усилению государственного контроля над информационными потоками.

История принятия

Разработка закона началась в 2013 году на фоне стремительного роста интернет-аудитории Китая (к 2016 году превысившей 700 млн человек) и увеличения числа кибератак, утечек данных и кибершпионажа. Первый проект закона был опубликован в июле 2015 года для общественного обсуждения. После двух раундов консультаций и внесения поправок, учитывающих замечания международных компаний и правозащитных организаций, закон был принят 7 ноября 2016 года на 24-й сессии Постоянного комитета ВСНП 12-го созыва.

Вступление закона в силу 1 июня 2017 года сопровождалось публикацией ряда подзаконных актов, включая «Меры по оценке безопасности при передаче персональных данных за рубеж» (2017) и «Положения об управлении безопасностью критической информационной инфраструктуры» (2021). В 2021 году закон был дополнен «Законом о защите персональных данных» и «Законом о безопасности данных», которые уточнили и расширили его положения.

Основные положения

Сфера действия и принципы

Закон распространяется на все виды деятельности по строительству, эксплуатации, обслуживанию и использованию сетей на территории КНР, а также на управление и надзор за кибербезопасностью. Он основан на принципах:

Классификация объектов защиты

Закон вводит два ключевых понятия:

  1. Критическая информационная инфраструктура (КИИ) — объекты, выход из строя которых может нанести серьёзный ущерб национальной безопасности, экономике или общественному порядку. К ним относятся:
  1. Операторы сетей — любые организации, предоставляющие услуги связи, интернет-доступа, хостинга, облачных вычислений и т.д. (включая китайские и иностранные компании).

Требования к операторам сетей

  • Регистрация и лицензирование — операторы обязаны получить лицензию на оказание услуг, пройти аттестацию по стандартам безопасности.
  • Технические меры — внедрение систем обнаружения вторжений, шифрования, резервного копирования, контроля доступа.
  • Уведомление об инцидентах — в течение 24 часов после обнаружения кибератаки или утечки данных необходимо сообщить в уполномоченный орган.
  • Хранение данных — определённые категории данных (например, логи доступа) должны храниться на территории КНР не менее 6 месяцев.

Защита персональных данных

Закон вводит строгие правила обработки персональных данных:

  • Согласие — сбор и обработка данных возможны только с информированного согласия пользователя.
  • Целевое использование — данные не могут быть использованы для целей, не указанных при сборе.
  • Запрет на незаконную передачу — передача персональных данных третьим лицам без согласия запрещена.
  • Локализация данных — операторы КИИ обязаны хранить персональные данные и «важные данные» граждан КНР на серверах, расположенных на территории Китая. Передача таких данных за рубеж допускается только после прохождения оценки безопасности, проводимой уполномоченным органом.

Обязанности пользователей

  • Запрещено создавать, распространять или использовать программы, нарушающие безопасность сети (вирусы, трояны, ботнеты).
  • Запрещено осуществлять несанкционированный доступ к чужим сетям, перехватывать трафик, нарушать работу сетей.
  • Пользователи обязаны сообщать о выявленных уязвимостях и инцидентах безопасности.

Органы управления и надзора

Основным органом, ответственным за реализацию закона, является Управление киберпространства Китая (Cyberspace Administration of China, CAC), созданное в 2014 году. CAC разрабатывает нормативные акты, проводит проверки, выдает лицензии и налагает санкции. Дополнительные полномочия имеют Министерство промышленности и информатизации, Министерство общественной безопасности (полиция) и Государственное управление по защите государственных тайн.

Ответственность за нарушения

Закон предусматривает широкий спектр санкций:

  • Административные штрафы — от 10 000 до 1 млн юаней (около 140 000 — 14 млн долларов США) для юридических лиц; для должностных лиц — от 5 000 до 100 000 юаней.
  • Приостановление деятельности — на срок до 3 месяцев или полное закрытие.
  • Уголовная ответственность — за тяжкие нарушения (например, кибершпионаж, саботаж КИИ) предусмотрено лишение свободы на срок до 7 лет (по Уголовному кодексу КНР).
  • Конфискация оборудования — изъятие серверов, программного обеспечения и других средств.

Критика и последствия

Международная реакция

Закон вызвал критику со стороны иностранных правительств и бизнеса. Основные претензии:

  • Требование локализации данных — расценивается как барьер для международной торговли и нарушение принципов свободного потока информации.
  • Неопределённость формулировок — такие термины, как «важные данные» и «критическая инфраструктура», не были чётко определены до 2021 года, что создавало риски для компаний.
  • Усиление цензуры — закон используется для блокировки нежелательного контента и преследования оппозиционных активистов (например, по статье о «распространении фейковых новостей»).
  • Доступ к исходным кодам — в некоторых случаях CAC требует предоставления исходных кодов программного обеспечения для проверки на наличие «шпионских функций».

Влияние на бизнес

Иностранные компании, работающие в Китае (Alibaba, Tencent, Amazon, Microsoft, Google, Apple), были вынуждены:

  • Перенести серверы с данными китайских пользователей на территорию КНР.
  • Создать совместные предприятия с китайскими партнёрами для управления данными.
  • Внедрить механизмы согласования передачи данных за рубеж (например, для трансграничных финансовых операций).

Некоторые компании (например, LinkedIn) столкнулись с ограничениями доступа к своим сервисам из-за несоответствия требованиям закона.

Внутренние последствия

В Китае закон способствовал:

  • Укреплению государственного контроля над интернетом и снижению числа кибератак на государственные учреждения.
  • Развитию национальной индустрии кибербезопасности (рынок вырос с 40 млрд юаней в 2016 году до 150 млрд юаней в 2022 году).
  • Росту числа судебных дел по фактам утечек данных и кибермошенничества.

Связанные нормативные акты

  • Закон КНР о безопасности данных (2021) — уточняет понятие «важные данные» и вводит систему классификации данных по степени важности.
  • Закон КНР о защите персональных данных (2021) — аналог европейского GDPR, устанавливает права субъектов данных и требования к обработчикам.
  • Положения об управлении безопасностью критической информационной инфраструктуры (2021) — определяет критерии отнесения объектов к КИИ и порядок их защиты.
  • Меры по оценке безопасности при передаче персональных данных за рубеж (2017, обновлены в 2022) — регламентируют процедуру трансграничной передачи данных.

Источники

  1. Закон Китайской Народной Республики о кибербезопасности (текст на русском языке, перевод Посольства КНР в РФ, 2017).
  2. Cybersecurity Law of the People's Republic of China — официальный текст на английском языке, опубликованный Национальной комиссией по развитию и реформам КНР (2016).
  3. China's Cybersecurity Law: A Comprehensive Guide — аналитический доклад Центра стратегических и международных исследований (CSIS, Вашингтон, 2018).
  4. The Implementation of China's Cybersecurity Law — отчёт Международной ассоциации юристов (IBA, 2020).
  5. Кибербезопасность в Китае: правовое регулирование и практика — статья в журнале «Право и цифровая экономика» (№ 2, 2021, с. 45–58).
  6. China's Data Localization Requirements — исследование Европейской комиссии по вопросам торговли (2022).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →