5727
? 01.02.2017, Рогожин А.А.
photo from www.homelandsecuritynewswire.com
В Китае опубликован Закон о кибербезопасности в последней, третьей редакции. Обсуждение Закона общественностью и в Постоянном комитете Всекитайского собрания народных представителей (ПК ВСНП) проходило весьма активно и, по китайским меркам, быстро – все три чтения в ПК ВСНП заняли немногим более года – что, несомненно отражает понимание Китаем актуальности проблем кибербезопасности страны. Закон о кибербезопасности является первым сводным законом, регулирующим практически все проблемы данной сферы в Китае.
Закон о кибербезопасности вступит в силу 1 июня 2017 г. Ожидается, что в переходный период удастся, во-первых, обнаружить недостатки Закона и ликвидировать их в окончательной редакции. Во-вторых, за оставшиеся месяцы все структуры, деятельность которых в той или иной степени регулируются новым законом, должны успеть подготовиться к его реализации на практике.
Законодательство и практика Китая в области информационной и технологической безопасности в последние годы стремительно развивались, реагируя на потребности в сфере защиты национальной безопасности. Была ускорена разработка ряда законодательных инициатив в области национальной безопасности, в том числе Закона о борьбе с терроризмом, Закона о национальной безопасности и Закона о кибербезопасности. Все эти законодательные инициативы включают в себя положения, связанные с информационной и технологической безопасностью.
Кибербезопасность в настоящее время является весьма проблемным полем как в самом Китае, так и во всём мире, и Закон о кибербезопасности, реагируя на эти вызовы, представляет собой важнейший правовой механизм работы с этими вызовами. В то же время, поскольку Китай не ввёл закон об унифицированной защите данных, Закон о кибербезопасности также включает в себя несколько положений, связанных с защитой персональной информации, которая также стала вопросом первостепенной важности. Помимо некоторых общих положений, связанных с защитой личных данных, встроенных в существующие регуляторные правила, Закон о кибербезопасности также включает некоторые новые требования по этому вопросу.
Закон о кибербезопасности регулирует создание, эксплуатацию, обслуживание и использование сетей, а также надзор и администрирование процедур кибербезопасности на территории КНР. Понятие "сети" включает в себя сети и системы, объединяющие компьютеры и иные информационные терминалы и соответствующие объекты инфраструктуры, используемые в целях сбора, хранения, передачи, обмена и обработки информации в соответствии с определёнными правилами и процедурами (статья 76). "Сетевые операторы", важный субъект правовых обязательств в рамках Закона о кибербезопасности, в широком значении определяется как "владельцы и администратор сетей и поставщиков сетевых услуг (там же)".
Закон о кибербезопасности предусматривает в качестве фундаментального принципа "защиту национального суверенитета в киберпространстве" и в рамках достижения этой цели включает в себя положения о стратегии, плане и меры по продвижению кибербезопасности, безопасности сетевых операций, безопасности сетевой информации, системах предупреждения и реагирования на чрезвычайные ситуации.
Орган по администрированию национального киберпространства – Администрация по киберпространству Китая (АКК), отвечает за координацию деятельности в области защиты кибербезопасности и надзор и администрирование соответствующей деятельности на национальном уровне. Также предусматривается, что министерство промышленности и информационных технологий, министерство государственной безопасности и другие правительственные агентства будут отвечать за защиту и надзор за кибербезопасностью в рамках своих соответствующих полномочий.
Основные требования Закона о кибербезопасности
1. Усиление обязательств в области безопасности сетевых операций. Закон о кибербезопасности предусматривает различные обязательства в области защиты безопасности для сетевых операторов, в числе которых:
выполнение ряда требований выстраивания многоуровневой системы киберзащиты (статья 21); верификация подлинности личности пользователей – обязательное требование для определённых сетевых операторов (статья 24); составление планов реагирования на чрезвычайные ситуации в области кибербезопасности (статья 25); оказание необходимого содействия и поддержки следственным органам в деле защиты национальной безопасности и расследования преступлений (статья 24). Кроме того, поставщики сетевых продуктов и услуг должны информировать пользователей об этом и ставить в известность соответствующие органы власти о любых известных дефектах и уязвимостях в области безопасности, а также предоставлять постоянные услуги в области обеспечения безопасности своих продуктов и услуг, не встраивать вредоносные программные средства в свои продукты, а также ясно информировать своих пользователей и получать их согласие в том случае, если их продукты или услуги собирают информацию о пользователях (статья 22).
Ключевые сетевые механизмы и особые продукты, используемые для защиты сети, должны соответствовать действующим национальным стандартам и отвечать сертификационным требованиям, они могут предлагаться на продажу лишь после сертификации квалифицированной сертификационной организацией или прохождения соответствующих испытаний в области безопасности (статья 23).
Важно отметить, что некоторые требования к сетевым операторам, такие как сохранение пользовательских логов на срок минимум шесть месяцев (статья 21) и регуляторные правила в области публикации информации о кибербезопасности в отношении лазеек в системах, компьютерных вирусах, кибератаках, кибервторжениях и т. п. (статья 26) сформулированы в китайском законодательстве впервые.
2. Повышенная защита критически важной информационной инфраструктуры
Закон о кибербезопасности впервые в законодательстве КНР вводит серию повышенных обязательств в области безопасности для операторов критически важной информационной инфраструктуры (КВИИ), включающие в себя:
требования к внутренней организации, подготовке сотрудников, резервированию данных и выработке мер реагирования на чрезвычайные ситуации (статья 34); хранение личных данных и других важных данных должно обеспечиваться исключительно на территории КНР (статья 37); закупка сетевых продуктов и услуг, которые могут повлиять на национальную безопасность, должна осуществляться под контролем соответствующих органов безопасности (статья 35); проведение ежегодных оценок рисков кибербезопасности и предоставление отчётов о результатах этих оценок и мерах по улучшению ситуации соответствующим органам власти (статья 38). 3. Защита личных данных
Закон о кибербезопасности подтверждает обязанности сетевых операторов в отношении защиты персональной информации, которые определены существующим законодательством и регуляторными требованиями, включая право на отслеживание соблюдения принципа законности, необходимости и уместности сбора и использования личных данных, а также право наблюдения за выполнением "требований об информировании и получении согласия" (статья 41) об использовании личных данных лишь в тех целях на которые дало согласие соответствующее лицо (статья 41), право принимать меры защиты безопасности личных данных (статья 42) и защищать индивидуальное право оценивать и вносить исправления в личную информацию (статья 43).
Кроме того, Закон о кибербезопасности также включает в себя некоторые новые правила в отношении защиты личных данных, включая требования об уведомлении о нарушении защиты данных (статья 42), об анонимизации данных в качестве исключения в требованиях об информировании и получении согласия (статья 42), а также об праве индивида требовать у сетевых операторов внести изменения в или удалить его личные данные в случае, если информация о нём ошибочна или используется в несогласованных с ним целях (статья 43).
Обратим внимание на ключевые изменения законопроекта, внесённые в ходе второго чтения. В окончательном варианте законопроекта:
понятие КВИИ переформулировано как информационная инфраструктура в области "государственных коммуникационных и информационных услуг, энергетики, дорожного и иного транспорта, ирригации, финансов, государственных услуг, электронного правительства и других ключевых отраслей и секторов, а также другая иная информационная инфраструктура, нанесение ущерба, незаконное использование и утечка данных и которой могут нести серьёзную угрозу национальной безопасности, национальному благополучию, жизни людей и общественным интересам". Перечень отраслей и секторов, включённых в первый вариант законопроекта и удалённый из проекта, предложенного ко второму чтению, был возвращён в определение КВИИ в окончательном варианте законопроекта (статья 31). определение данных КВИИ, на которые распространяется требование о хранении на территории страны, расширены с "личных данных граждан и другой важной бизнес-информации" до "личных данных и другой важной информации" (статья 37); понятие "защищённые личные данные" расширено с "личных данных граждан" до "личных данных"; введено дополнительное особое положение о наказаниях и санкциях в отношении зарубежных предприятий, которые ставят под угрозу внутреннюю КВИИ (статья 75); установлены более высокие денежные штрафы за нарушение законодательства в области кибербезопасности. Каково практическое значение Закона о кибербезопасности? Полагаем, что когда Закон о кибербезопасности вступит в силу, интернет-компании и другие субъекты сферы ИКТ в Китае столкнутся с необходимостью выполнять широкий спектр более строгих и комплексных обязательств и столкнутся с серьёзными мерами наказания за потенциальные нарушения.
Несомненно, Закон включает в себя ряд новых правовых концепций и требований, которые могут оказать влияние и на компании, ведущие бизнес-операции с Китаем. Иностранный бизнес, работающий в Китае, может столкнуться с требованиями локализации данных, обязательствами делиться конфиденциальной информацией, принадлежащей компании, с китайскими властями, а также ограничениями на использование иностранных технологий и оборудования в Китае.
Поскольку Закон о кибербезопасности является сводным, затрагивающим многие аспекты кибербезопасности, многие его положения всё ещё носят очень общий и абстрактный характер, и детальные требования по его реализации и правоприменительная практика будут зависеть от дальнейшей проработки более частных регламентов, а также мнения соответствующих органов власти.
Можно ожидать, что соответствующие регуляторные органы смогут предложить порядок внедрения этого законодательства, проясняющий определённые требования в рамках Закона о кибербезопасности, такие как регулирование многоуровневых систем защиты кибербезопасности; конкретизируют масштаб и меры защиты КВИИ, обязательную сертификацию в области безопасности и требования к испытанию ключевых сетевых устройств и специализированных продуктов в области кибербезопасности; а также дадут оценку сетевых продуктов и услуг, закупаемых операторами КВИИ, с точки зрения национальной безопасности.
До формального вступления в силу Закона о кибербезопасности остаётся около полугода, и компании ( как китайские, так и иностранные) могут использовать этот переходный период для улучшения своего понимания потенциального воздействия закона на их бизнес. В частности, если компании являются операторами КВИИ, Закон о кибербезопасности может оказать значительное воздействие на формат их сетевой безопасности, механизмы закупки продуктов в области безопасности, а также хранение данных.
Как китайские, так и иностранные компании смогут оценить, не нуждаются ли они в необходимости корректировки своих бизнес- и операционных практик с учётом вышеупомянутых аспектов и повышении своей защиты в области кибербезопасности, а также удостовериться в их полном соответствии требованиям Закона о кибербезопасности КНР. Учитывая, что конкретные аспекты реализации требований Закона о кибербезопасности полностью неясны, компаниям также понадобится тщательно отслеживать принятие всех последующих регламентов и мнений соответствующих органов государственной власти.
Изложенное выше в полной мере относится и к российским IT-компаниям, работающим в Китае или планирующих проникновение и освоение гигантского китайского рынка информационно-коммуникационных технологий, а также реализующих на нём свои продукты.