Открыть сервис

Закон о кибербезопасности КНР

Закон о кибербезопасности КНР — это нормативный правовой акт Китайской Народной Республики, принятый Всекитайским собранием народных представителей (ВСНП) и вступивший в силу 1 июня 2017 года. Закон устанавливает правовые основы обеспечения безопасности компьютерных сетей и информационных систем на территории КНР, регулирует деятельность операторов сетей, поставщиков услуг и пользователей, а также определяет порядок защиты персональных данных, критической информационной инфраструктуры и национальной безопасности в киберпространстве.

История принятия

Разработка закона началась в 2013 году на фоне роста кибератак, утечек данных и увеличения зависимости китайской экономики от цифровых технологий. Первый проект был опубликован для общественного обсуждения в июле 2015 года. После нескольких раундов доработок, включая учёт замечаний международных компаний и правозащитных организаций, закон был окончательно принят на 24-й сессии Постоянного комитета ВСНП 7 ноября 2016 года. Вступление в силу состоялось 1 июня 2017 года. Закон стал первым комплексным актом КНР в области кибербезопасности, заменив разрозненные подзаконные акты и отраслевые стандарты.

Основные положения

Общие принципы

Закон провозглашает принцип «суверенитета киберпространства», закрепляя право государства на регулирование интернета в пределах своей юрисдикции. Он обязывает всех участников сетевой деятельности соблюдать законы КНР, уважать общественный порядок и не наносить ущерб национальным интересам. Вводится понятие «безопасной и контролируемой среды» для развития интернета.

Требования к операторам сетей

Операторы сетей (провайдеры, владельцы сайтов, администраторы систем) обязаны:

Защита персональных данных

Закон вводит строгие требования к сбору и обработке персональных данных. Операторы должны получать явное согласие пользователя, указывать цели сбора и обеспечивать безопасность хранения. Запрещается собирать данные, не связанные с заявленной целью. Пользователи имеют право на удаление своих данных и отзыв согласия. Нарушение этих норм влечёт административную и уголовную ответственность.

Критическая информационная инфраструктура (КИИ)

К КИИ относятся системы, сбой или разрушение которых может нанести серьёзный ущерб национальной безопасности, экономике или общественному здоровью. К ним относятся энергетика, транспорт, финансы, связь, здравоохранение, водоснабжение и государственное управление. Операторы КИИ обязаны:

Локализация данных

Одно из наиболее спорных положений закона — требование о хранении персональных данных и «важной информации» граждан КНР на серверах, расположенных в Китае. Исключения возможны только при прохождении специальной оценки безопасности, проводимой уполномоченными органами. Это положение затронуло международные компании, работающие в Китае, такие как Apple, Amazon и Google.

Государственный контроль и надзор

Закон наделяет государственные органы широкими полномочиями по мониторингу сетевого трафика, блокировке нежелательного контента и проведению расследований. Создаётся система оценки безопасности сетевых продуктов и услуг, а также механизм сертификации поставщиков. Государство может требовать от операторов установки «задних дверей» для доступа к зашифрованным данным в целях национальной безопасности.

Виды ответственности

Закон предусматривает три уровня ответственности за нарушения:

Критика и международная реакция

Закон подвергся критике со стороны международных правозащитных организаций, таких как Amnesty International и Human Rights Watch, а также бизнес-ассоциаций, представляющих интересы иностранных компаний. Основные претензии:

В ответ на критику китайские власти заявляют, что закон соответствует международной практике и направлен на защиту прав граждан и национальной безопасности. Некоторые положения были уточнены в последующих подзаконных актах, например, в «Мерах по оценке безопасности передачи данных за рубеж» (2022).

Влияние на бизнес и технологии

Закон оказал значительное влияние на деятельность как китайских, так и иностранных компаний. Многие международные корпорации были вынуждены строить дата-центры в Китае или передавать данные местным партнёрам. Например, Apple разместила серверы iCloud в Китае под управлением государственной компании. Google, Facebook (организация признана экстремистской и запрещена в РФ) и Twitter (заблокированы в КНР) фактически лишились возможности полноценно работать на китайском рынке. В то же время закон стимулировал развитие отечественных технологий кибербезопасности, таких как продукты компаний Qihoo 360 и Venustech.

Сопутствующие нормативные акты

После принятия основного закона были изданы дополнительные акты, уточняющие его положения:

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →