Расширенный поиск

В КНР с 1 июня вступает в силу принятый в октябре 2016 года закон о кибербезопасности

Закон о кибербезопасности КНР, принятый в октябре 2016 года постоянным комитетом Всекитайского собрания народных представителей (ПК ВСНП), начнет действовать с 1 июня. В шести главах и дополнениях документа закреплены права и интересы более чем 700 млн пользователей Chinanet (китайского сегмента Сети – прим. DR), а также определены обязанности провайдеров онлайн-услуг. Законом закреплены общие принципы и меры по поддержке и развитию сетевой безопасности, которые включают надзор, превентивные меры и реагирование на экстренные ситуации. В первой статье документа отмечается: «Данный закон разработан в целях обеспечения сетевой безопасности, защиты суверенитета киберпространства и национальной безопасности, отстаивания социальных и общественных интересов, защиты законных прав и интересов граждан, юридических лиц и других организаций в целях содействия здоровому развитию информатизации экономики и общества».

По сути, закон о кибербезопасности аккумулировал в себе уже действующие в Китае правила и нормы работы в интернете, поэтому его сложно назвать новым веянием для пользователей Chinanet. Скорее он выступит законодательным базисом для последующих актов и нормативов, послужит платформой для госрегулирования информационных технологий (ИТ). Несомненно, документ представляет интерес и для других стран, которые часто являются объектами кибератак, озабочены угрозами кибертерроризма, взаимоотношениями с зарубежными производителями оборудования и ПО, провайдерами.

Государство выступает на страже сетевой безопасности

В документе подчеркивается важность стандартизации и контроля в вопросах обеспечения кибербезопасности. Новый закон «применяется для создания, эксплуатации, обслуживания и использования интернета, а также эксплуатации (социальных) сетей». Главным регулятором выступает государство. «Государство создает и улучшает систему стандартов сетевой безопасности. Отделы стандартизации и другие ведомства при Госсовете КНР в соответствии со своими обязанностями организуют и формулируют, а также пересматривают национальные и отраслевые стандарты для управления сетевой безопасностью и сетевыми продуктами, услугами в сети и нормами безопасности», — отмечается в документе. Но авторы закона, принимая во внимание тот факт, что даже самый большой в мире аппарат исполнительной власти не сможет контролировать 700 млн пользователей Сети, предусмотрели частичное делегирование по реализации систем сетевой безопасности сетевым провайдерам. Операторы же, в свою очередь, «должны соответствовать требованиям системы защиты уровня безопасности сетей и другим требованиям, выполнять обязательства по сетевой безопасности, обеспечивать работу сетей без вмешательств, препятствовать доступу разрушающих или несанкционированных запросов, утечке данных, их хищению и фальсификации».

Созданием внутренней системы управления безопасностью, а также обеспечением превентивных мер против распространения компьютерных вирусов и кибератак будут заниматься операторы. Им же вменяется и ведение мониторинга состояния сети, обеспечение технических мер по разрешению вопросов сетевой безопасности и хранение всей отчетности не менее шести месяцев после формирования. В обязанности операторов также входит и первоначальная сортировка данных, шифрование и создание копий важных данных.

Провайдеров онлайн-сервисов обязали при обнаружении «слабых мест, лазеек и других рисков» принимать меры по устранению, а также своевременно уведомлять пользователей и соответствующие уполномоченные органы. Национальные стандарты и контроль будут распространяться как на отечественное, так и зарубежное оборудование, и ПО. В законе подчеркивается: «Критически необходимое сетевое оборудование и продукты сетевой безопасности перед началом продаж должны проверяться на соответствие национальным стандартам и обязательным требованиям, быть сертифицированы институтами или пройти испытания на безопасность». Этими вопросами будут заниматься «ведомства, задействованные в сфере интернета, и Госсовет КНР», которые уполномочены вести перечень ключевого интернет-оборудования и продуктов в сфере интернет-безопасности, а также «обеспечивают продвижение сертификатов безопасности и тестирования, предотвращают возможность дублирования этих документов».

Никакой анонимности и персональные данные под контролем

Уделено внимание в законе и вопросам о приватности информации и сбору персональных данных, который возможен «в рамках соответствующих законов и правил». В документе указано: «Провайдеры сетевых продуктов и услуг с функцией сбора данных пользователя должны получить разрешение пользователя на сбор информации; сбор персональной информации должен совершаться с соблюдением соответствующих законов и правил о личной информации. Любые физические лица и организации не имеют права присваивать личную информацию или использовать другие незаконные способы для ее получения». Операторы «не должны разглашать, искажать, наносить ущерб, а также вести сбор личной информации».

Использование фейковых профилей и анонимность в Сети попадают под запрет. «При регистрации доступа в интернет, регистрации в социальной сети, подключении стационарного телефона или мобильной связи, предоставлении клиенту услуг публикации информации или ее передачи, при подписании соглашения (об оказании услуг) клиент должен предоставить подлинное удостоверение личности. Если оно не будет предоставлено, то оператор услуг не имеет права на обслуживание клиента», – указано в законе. Разрабатывать технологии и создавать надежные средства удостоверения личности – прерогатива государства.

Провайдеры должны пресекать «любые незаконные проникновения как со стороны обычных пользователей, так и организаций, в сети других лиц, нарушение их естественной работы, похищение данных и ведение иной деятельности, которая несет в себе угрозу для сетевой безопасности». Согласно закону о кибербезопасности, КНР «придает особое значение защите общественных систем связи и информационного обслуживания, отраслей энергетики, транспорта, водопользования, финансов, социального обслуживания и электронного правительства, а также других отраслей, вывод из строя или хищение данных которых может подорвать национальную безопасность, экономику страны, интересы общества и ключевую информационную инфраструктуру».

Мнения китайских и зарубежных экспертов

Эксперты ИКТ-отрасли КНР отмечают, что закон о кибербезопасности направлен на усиление защиты индивидуальной информации в Сети. Так, заместитель главы Китайского института информационной безопасности Цзо Сяодун, говоря об оценке документа, отмечает: «В настоящее время защита личной информации является важным аспектом. По мере развития облачных технологий, роста объемов данных, а также роста числа запросов к личной информации со стороны предприятий и организаций увеличилось число случаев использования личной информации, ее разглашения и передачи за рубеж. Несмотря на то, что до вступления в силу закона китайские ведомства разработали меры регулирования, они не были систематизированы и нуждались в доработке. Новый закон существенно восполняет эти недостатки». Он также считает, что от запрета анонимности в Сети ожидается только положительный результат. «Данная статья имеет большое значение в борьбе с киберпреступлениями и для обеспечения национальной безопасности. Предоставление реальных имен более эффективно, чем использовавшаяся ранее идентификация пользователя по номеру телефона. При этом реальное имя раскрывается только в случае проведения расследования, в обычном режиме пользователь выходит в интернет под псевдонимом», – подчеркивает эксперт.

Сотрудник компании-лидера на китайском рынке антивирусного ПО Qihoo 360 Пэй Чжиюн говорит: «Факторов утечки личных данных достаточно много. Среди них – уязвимость сайтов в интернете, атаки хакеров или поддельных страниц, продажа данных недобросовестным продавцом и т. д. Ежегодно в китайском сегменте интернета из-за уязвимости веб-страниц происходит утечка около 5,53 млрд учетных записей. Из них большая часть – личная информация».

По мнению представителя Китайской ассоциации интернета Ли И, «новый закон позволяет более эффективно бороться с незаконным сбором данных, включая распространение приложений для мобильных устройств с вредоносным кодом, замаскированных под обычные программы». «Alibaba, Baidu, Tencent и другие компании, которые имеют сотни миллионов пользователей, должны нести соответствующие обязательства. У интернет-компаний должен быть соответствующий технологический потенциал обслуживания их информационных платформ для противодействия хакерам и предотвращения потерь пользователей. Также необходимы юридические механизмы, лишающие крупные компании возможностей навязать свои условия соглашений пользователю», — полагает он.

Но звучат и высказывания, что документ нуждается в дополнении. «Система реальных имен в интернете еще не полностью запущена, т. к. пока не полностью завершено создание технологии удостоверения личности», – говорит Чжу Вэй. Эксперты отмечают, что вопрос ответственности администраций сайтов за размещаемую информацию так и не решен, не проработаны стандарты для различных отраслей экономики, на законодательном уровне не хватает ряда постановлений, в том числе об интеллектуальных правах на информацию.

Со стороны зарубежных специалистов звучат опасения, что его вступление в силу может привести к закрытию иностранных ИТ-компаний, которые работают в различных секторах экономики КНР. Некоторые зарубежные компании не согласны с хранением данных на китайских серверах. В Американской торговой палате в Китае отмечают: «Положения достаточно неопределенны, неоднозначны и допускают широкое толкование регулирующими органами». Глава Human Rights Watch в Китае Софи Ричардсон считает, что закон будет ограничивать свободу в киберпространстве. «Несмотря на озабоченность международных корпораций и правозащитных организаций, их неоднократные заявления, правительство Китая не вносит существенных изменений в законопроект», – сетует она.

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend
Перейти к верхней панели