Закон о кибербезопасности КНР
Закон о кибербезопасности КНР — это нормативный правовой акт Китайской Народной Республики, принятый Всекитайским собранием народных представителей (ВСНП) и вступивший в силу 1 июня 2017 года. Закон устанавливает правовые основы обеспечения безопасности компьютерных сетей и информационных систем на территории КНР, регулирует деятельность операторов сетей, поставщиков услуг и пользователей, а также определяет порядок защиты персональных данных, критической информационной инфраструктуры и национальной безопасности в киберпространстве.
История принятия
Разработка закона началась в 2013 году на фоне роста кибератак, утечек данных и увеличения зависимости китайской экономики от цифровых технологий. Первый проект был опубликован для общественного обсуждения в июле 2015 года. После нескольких раундов доработок, включая учёт замечаний международных компаний и правозащитных организаций, закон был окончательно принят на 24-й сессии Постоянного комитета ВСНП 7 ноября 2016 года. Вступление в силу состоялось 1 июня 2017 года. Закон стал первым комплексным актом КНР в области кибербезопасности, заменив разрозненные подзаконные акты и отраслевые стандарты.
Основные положения
Общие принципы
Закон провозглашает принцип «суверенитета киберпространства», закрепляя право государства на регулирование интернета в пределах своей юрисдикции. Он обязывает всех участников сетевой деятельности соблюдать законы КНР, уважать общественный порядок и не наносить ущерб национальным интересам. Вводится понятие «безопасной и контролируемой среды» для развития интернета.
Требования к операторам сетей
Операторы сетей (провайдеры, владельцы сайтов, администраторы систем) обязаны:
- внедрять технические средства защиты, соответствующие государственным стандартам;
- хранить логи сетевого трафика не менее 6 месяцев;
- предоставлять государственным органам доступ к данным по запросу;
- уведомлять пользователей о сборе и обработке их персональных данных;
- не передавать данные третьим лицам без согласия субъекта данных.
Защита персональных данных
Закон вводит строгие требования к сбору и обработке персональных данных. Операторы должны получать явное согласие пользователя, указывать цели сбора и обеспечивать безопасность хранения. Запрещается собирать данные, не связанные с заявленной целью. Пользователи имеют право на удаление своих данных и отзыв согласия. Нарушение этих норм влечёт административную и уголовную ответственность.
Критическая информационная инфраструктура (КИИ)
К КИИ относятся системы, сбой или разрушение которых может нанести серьёзный ущерб национальной безопасности, экономике или общественному здоровью. К ним относятся энергетика, транспорт, финансы, связь, здравоохранение, водоснабжение и государственное управление. Операторы КИИ обязаны:
- проводить регулярные оценки рисков;
- хранить данные на территории КНР (локализация данных);
- проходить обязательные проверки безопасности при закупке иностранного оборудования;
- сотрудничать с государственными органами при расследованиях.
Локализация данных
Одно из наиболее спорных положений закона — требование о хранении персональных данных и «важной информации» граждан КНР на серверах, расположенных в Китае. Исключения возможны только при прохождении специальной оценки безопасности, проводимой уполномоченными органами. Это положение затронуло международные компании, работающие в Китае, такие как Apple, Amazon и Google.
Государственный контроль и надзор
Закон наделяет государственные органы широкими полномочиями по мониторингу сетевого трафика, блокировке нежелательного контента и проведению расследований. Создаётся система оценки безопасности сетевых продуктов и услуг, а также механизм сертификации поставщиков. Государство может требовать от операторов установки «задних дверей» для доступа к зашифрованным данным в целях национальной безопасности.
Виды ответственности
Закон предусматривает три уровня ответственности за нарушения:
- Административная: штрафы для юридических лиц от 10 000 до 1 000 000 юаней, для должностных лиц — от 5 000 до 100 000 юаней, приостановление деятельности или отзыв лицензии.
- Гражданско-правовая: возмещение ущерба пострадавшим сторонам.
- Уголовная: лишение свободы на срок до 7 лет за серьёзные нарушения, такие как утечка государственных секретов или кибератаки на КИИ.
Критика и международная реакция
Закон подвергся критике со стороны международных правозащитных организаций, таких как Amnesty International и Human Rights Watch, а также бизнес-ассоциаций, представляющих интересы иностранных компаний. Основные претензии:
- Ограничение свободы слова и интернета: требование блокировки контента и мониторинга трафика рассматривается как инструмент цензуры.
- Локализация данных: создаёт барьеры для международной торговли и увеличивает затраты компаний на инфраструктуру.
- Неопределённость формулировок: такие термины, как «важная информация» и «национальная безопасность», не имеют чётких определений, что оставляет широкий простор для произвольного толкования.
- Усиление государственного надзора: положения о «задних дверях» и доступе к шифрованию вызывают опасения по поводу приватности и безопасности данных.
В ответ на критику китайские власти заявляют, что закон соответствует международной практике и направлен на защиту прав граждан и национальной безопасности. Некоторые положения были уточнены в последующих подзаконных актах, например, в «Мерах по оценке безопасности передачи данных за рубеж» (2022).
Влияние на бизнес и технологии
Закон оказал значительное влияние на деятельность как китайских, так и иностранных компаний. Многие международные корпорации были вынуждены строить дата-центры в Китае или передавать данные местным партнёрам. Например, Apple разместила серверы iCloud в Китае под управлением государственной компании. Google, Facebook (организация признана экстремистской и запрещена в РФ) и Twitter (заблокированы в КНР) фактически лишились возможности полноценно работать на китайском рынке. В то же время закон стимулировал развитие отечественных технологий кибербезопасности, таких как продукты компаний Qihoo 360 и Venustech.
Сопутствующие нормативные акты
После принятия основного закона были изданы дополнительные акты, уточняющие его положения:
- «Закон о защите персональных данных» (2021) — детализирует правила обработки персональных данных.
- «Закон о безопасности данных» (2021) — регулирует оборот данных, включая государственные и коммерческие.
- «Меры по оценке безопасности передачи данных за рубеж» (2022) — устанавливают процедуры для трансграничной передачи данных.
- «Положения о безопасности критической информационной инфраструктуры» (2021) — определяют критерии отнесения объектов к КИИ.
Источники
- Закон КНР «О кибербезопасности» (принят 7 ноября 2016 г., вступил в силу 1 июня 2017 г.) — официальный текст на китайском языке (Государственный совет КНР).
- «Кибербезопасность в Китае: правовое регулирование и практика» — аналитический доклад Центра стратегических исследований при МИД КНР (2020).
- «China’s Cybersecurity Law: What You Need to Know» — обзор юридической компании Baker McKenzie (2017).
- «The Impact of China’s Cybersecurity Law on Foreign Companies» — статья в журнале Harvard Business Review (2018).
- «China’s Data Localization Requirements» — исследование Института Восток-Запад (2021).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →