Что такое китайский закон о кибербезопасности? Объяснение ключевых моментов соблюдения
Согласно специальному исследованию “Тенденции выхода японских компаний на китайский рынок (2022 год)[ja]” от Имперского Дата Банка (Teikoku Databank), количество японских компаний, работающих в Китае, достигло 12,706. Можно сказать, что компаний, занимающихся бизнесом, связанным с Китаем, еще больше. В Китае в 2017 году был введен в действие “Китайский закон о кибербезопасности”.
Это означает, что для ведения бизнеса в Китае компании должны привести в соответствие свои политики и технические меры защиты с требованиями этого закона. Однако некоторые могут не знать, что это за закон и какие меры следует предпринять для соответствия ему.
В данной статье мы рассмотрим основные положения Китайского закона о кибербезопасности, объекты регулирования и необходимые меры предосторожности. Если вы ведете бизнес в Китае или планируете туда выйти, обязательно используйте эту информацию для справки.
Обзор Китайского закона о кибербезопасности
Китайский закон о кибербезопасности (网络安全法), введенный в действие в июне 2017 года (2017), определяет свои цели в первой статье следующим образом:
- Обеспечение безопасности сети
- Защита суверенитета киберпространства, национальной безопасности и общественных интересов
- Защита законных прав и интересов граждан, юридических лиц и других организаций
- Способствование развитию информатизации экономики и общества
Под “сетью” понимается “система, состоящая из компьютеров, других информационных терминалов и связанных с ними устройств, которая собирает, сохраняет, передает, обменивает и обрабатывает информацию в соответствии с определенными правилами и программами (статья 76)”, и она включает в себя не только интернет, но и интранет.
Китайский закон о кибербезопасности отличается от Общего регламента по защите данных ЕС (GDPR) и Японского закона о защите личных данных тем, что он направлен не только на защиту информации личных лиц и организаций, но и на защиту национальной безопасности и общественных интересов Китая. Закон устанавливает требования к предприятиям, подпадающим под его действие, включая выполнение мер по защите кибербезопасности, соблюдение нормативных требований и уточнение прав и обязанностей.
Существуют и другие законы, касающиеся безопасности, такие как Китайский закон о данных безопасности.
Связанные статьи: Что такое Китайский закон о данных безопасности? Разъяснение мер, которые должны предпринять японские компании[ja]
Регулируемые субъекты Китайского закона о кибербезопасности
Японские компании могут подпадать под действие Китайского закона о кибербезопасности в следующих случаях:
- Обработка информации внутри Китая
- Передача информации из Китая в Японию
Даже если компания находится в Японии, она может стать объектом данного закона, если соответствует вышеуказанным условиям. К регулируемым субъектам относятся такие категории, как «операторы сетей» и «операторы критически важных информационных инфраструктур».
Операторы сетей — это владельцы или управляющие сетями, а также предоставляющие сетевые услуги.
Операторы критически важных информационных инфраструктур — это лица, управляющие объектами, которые в случае повреждения или утечки данных могут серьезно угрожать национальной безопасности или нанести значительный ущерб общественному благосостоянию и жизни граждан в таких сферах, как энергетика, транспорт, финансы, общественные услуги и другие.
Содержание Китайского закона о кибербезопасности
Китайский закон о кибербезопасности устанавливает следующие обязанности:
- Установление классификации уровней кибербезопасности
- Соответствие обязательным национальным стандартам
- Требование регистрации под настоящим именем
- Обязанности операторов критически важной информационной инфраструктуры
- Создание системы управления и реагирования
Далее мы подробно рассмотрим каждый из этих пунктов.
Установление уровней кибербезопасности
В статье 21 Китайского закона о кибербезопасности (Chinese Cybersecurity Law) установлена система классификации защиты, которой должны следовать операторы сетей, и компании или организации, владеющие сетями в Китае, должны получить сертификацию соответствующего уровня защиты.
Система классификации защиты – это официальная система оценки управления сетевой безопасностью. Она применяется к следующим областям:
- Сетевая инфраструктура
- IoT
- Промышленные управляющие системы
- Крупные интернет-сайты и центры обработки данных
- Платформы общественных услуг
В системе классификации защиты информационные системы разделяются на пять уровней в зависимости от масштаба и серьезности ущерба в случае их повреждения:
| Степень ущерба, наносимого объекту | |||
| Обычный ущерб | Серьезный ущерб | Особо серьезный ущерб | |
| Граждане и юридические лица | 1-й уровень | 2-й уровень | 3-й уровень |
| Общественный порядок и общественные интересы | 2-й уровень | 3-й уровень | 4-й уровень |
| Национальная безопасность | 3-й уровень | 4-й уровень | 5-й уровень |
Определения каждого уровня следующие:
| Уровень | Определение |
| 1-й уровень | Сеть, при повреждении которой законные права и интересы граждан, юридических лиц и других организаций нарушаются, но это не влияет на национальную безопасность, общественный порядок и общественные интересы |
| 2-й уровень | Сеть, при повреждении которой возникает серьезный ущерб для законных прав и интересов граждан, юридических лиц и других организаций, а также угроза общественному порядку и общественным интересам, но не влияющая на национальную безопасность |
| 3-й уровень | Важная сеть, при повреждении которой возникает очень серьезный ущерб для законных прав и интересов граждан, юридических лиц и других организаций, а также угроза национальной безопасности |
| 4-й уровень | Особо важная сеть, при повреждении которой серьезно нарушаются общественный порядок и общественные интересы, а также возникает очень важный ущерб для национальной безопасности |
| 5-й уровень | Чрезвычайно важная сеть, при повреждении которой возникает чрезвычайно серьезный ущерб для национальной безопасности |
Для каждой категории установлены стандарты информационной безопасности, которым необходимо следовать. Обычно операторы сетей должны соответствовать как минимум 2-му уровню, а операторы критически важной информационной инфраструктуры – как минимум 3-му уровню.
Для получения уровня защиты операторы сетей подают заявление о самооценке уровня, но в конечном итоге необходимо получить согласие от Министерства общественной безопасности. Кроме того, согласно системе классификации защиты, для 2-го уровня и выше требуется оценка со стороны оценочного органа. Несоблюдение системы классификации защиты может привести к наложению штрафов, поэтому необходимо быть внимательными.
Соответствие обязательным государственным стандартам
Поставщики интернет-продуктов и услуг обязаны соблюдать обязательные государственные стандарты (статья 22). Поставщики не должны устанавливать вредоносные программы.
Кроме того, если обнаруживаются дефекты, уязвимости или другие риски в продуктах или услугах, поставщики должны немедленно принять меры, уведомить пользователей и сообщить соответствующим регулирующим органам.
В сентябре 2021 года (Рэйва 3) были введены в действие “Правила управления уязвимостями безопасности интернет-продуктов (网络产品安全漏洞管理规定)”, которые также необходимо учитывать и соблюдать операторам сетей.
Требуется регистрация под настоящим именем
При предоставлении пользователю услуг подключения к сети, процедур подключения к сети фиксированной и мобильной телефонии, сервисов обмена информацией, инстант-мессенджеров и прочего, необходимо требовать от пользователя регистрацию под настоящим именем. Если пользователь не проходит регистрацию под настоящим именем, предоставление ему сервисов не допускается.
Кроме того, операторы сети обязаны контролировать, чтобы информация, распространяемая пользователями, не нарушала законодательства.
Обязанности операторов критической информационной инфраструктуры
Операторы критической информационной инфраструктуры обязаны не только выполнять меры безопасности, налагаемые на сетевых операторов, но и реализовывать следующие меры:
- Регулярное создание резервных копий систем и баз данных
- Разработка плана реагирования на инциденты безопасности
- Ежегодная оценка безопасности
- Локализация данных
Локализация данных: процесс хранения и обработки данных в пределах границ страны, где эти данные были сгенерированы
В сентябре 2021 года был введен в действие «Положение о защите безопасности критической информационной инфраструктуры», которое более конкретно определяет управление, аккредитацию и обязанности операторов критической информационной инфраструктуры, поэтому необходимо также ознакомиться с этим документом.
Построение системы управления и реагирования
От операторов сети требуется следующее (статья 21).
- Разработка системы безопасности и процедур управления
- Назначение ответственного за безопасность сети
- Разработка плана реагирования на инциденты безопасности и технических мер
- Внедрение технологий мониторинга сети и сохранение журналов (как минимум на 6 месяцев)
- Классификация данных и защитные меры, такие как резервное копирование и шифрование важных данных
Положения при нарушении Закона о кибербезопасности
В случае нарушения требований безопасности, предусмотренных системой классификации защиты, выносится приказ о приведении в соответствие и предупреждение. Если приказ игнорируется или если действия угрожают безопасности сети, необходимо уплатить штраф от 10 тысяч (юаней) до 100 тысяч (юаней). Кроме того, на прямого руководителя налагается штраф от 5 тысяч (юаней) до 50 тысяч (юаней).
Также приказ о приведении в соответствие и предупреждение выносятся в случае установки вредоносных программ, а также если не принимаются меры в отношении рисков, связанных с дефектами продуктов или услуг, или с уязвимостями безопасности. В случае отказа от исполнения таких приказов налагается штраф.
Размер штрафа зависит от характера нарушения, и может быть наложено закрытие веб-сайта, аннулирование лицензии на ведение бизнеса или приостановление предпринимательской деятельности, поэтому необходимо быть внимательными. В прошлом были случаи, когда за нарушения налагались штрафы, а ответственные лица получали пожизненный запрет на занятие аналогичной деятельностью, что подчеркивает необходимость мер по кибербезопасности.
Меры, которые должны предпринять японские компании в связи с законом о кибербезопасности
Китайский закон о кибербезопасности достаточно сложен, и многие не знают, с чего начать. В этой статье мы объясним, какие меры должны предпринять японские компании.
Создание системы сотрудничества с отделами информационных систем и DX
Для соответствия китайскому закону о кибербезопасности необходимо разработать операционные процессы и правила управления личной информацией, а также принять технические меры для защиты систем в соответствии с системой классификации защиты.
Необходимо наладить сотрудничество не только в юридических и административных отделах, но и с отделами информационных систем и DX.
Определение класса защиты для каждой системы, которой владеет компания
Сначала необходимо определить класс защиты системы компании. В соответствии с этим классом каждый отдел должен принять меры по кибербезопасности. Юридические, административные и отделы управления рисками должны пересмотреть и изменить правила и процедуры в соответствии с законом, а отделы информационных систем и DX должны принять технические меры. Далее мы объясним каждый из этих аспектов.
Юридические, административные и отделы управления рисками
Сравните требования класса защиты с текущим состоянием управления и информационной безопасности компании, пересмотрите правила и процедуры управления. Затем рассмотрите, какие меры следует принять, и внесите необходимые изменения в систему.
Если класс защиты второй или выше, необходимо также уведомить регулирующие органы. Если компания считается оператором критической информационной инфраструктуры, требуется сертификация защиты третьего класса или выше. Кроме того, необходимо соблюдать правила локализации данных, проводить регулярное обучение сотрудников информационной безопасности и техническому тренингу. Если есть вероятность, что компания относится к операторам критической информационной инфраструктуры, рекомендуется проконсультироваться с юридическим советником и разработать план действий.
В последнее время в Китае внедряется множество систем безопасности. Отделы управления рисками должны адаптировать свои меры к новым регулированиям.
Отделы информационных систем и DX
Отделы информационных систем и DX должны внедрить системы защиты безопасности, соответствующие классу защиты. Сначала необходимо проанализировать меры защиты существующих систем компании и, если они недостаточны, интегрировать системы, соответствующие закону о кибербезопасности.
Помимо закона о кибербезопасности, необходимо также учитывать правила локализации данных, ограничения на пересечение границ и доступ правительства. Необходимо понимать, какие данные передаются за пределы Китая, и пересмотреть процедуры сбора и хранения данных компании.
Закон о кибербезопасности требует не только изменения правил, но и технических мер защиты, поэтому важно сотрудничество между соответствующими отделами.
Заключение: При возникновении проблем с внутренними процедурами, обращайтесь к специалистам
Китайский закон о кибербезопасности представляет собой систему, созданную для обеспечения национальной безопасности Китая. Для соответствия закону о кибербезопасности необходимо не только пересмотреть нормативные акты юридического и общего отделов, но и принять технические меры защиты.
После вступления в силу закона о кибербезопасности были приняты множество законов, касающихся соблюдения данных, таких как “Правила управления уязвимостями безопасности интернет-продуктов” и “Методы кибербезопасности (система национальной безопасности)”, и другие. Несоблюдение этих законов может привести к штрафам, закрытию веб-сайтов и аннулированию лицензий на ведение бизнеса, поэтому необходимо быть внимательными. Если вы ведете бизнес в Китае или планируете это сделать в будущем, рекомендуем проконсультироваться с адвокатом, специализирующимся на китайском законодательстве.
Информация о мерах, предпринимаемых нашей юридической фирмой
Юридическая фирма “Монолит” специализируется на IT, интернет-бизнесе и предоставляет юридические услуги в этих областях. Мы работаем с делами в различных странах, включая Китай, США и страны Европейского Союза. При ведении бизнеса за рубежом возникает множество юридических рисков, поэтому поддержка опытных адвокатов необходима. Наша фирма хорошо знакома с местным законодательством и регулированием и сотрудничает с юридическими фирмами по всему миру.
Сферы деятельности юридической фирмы “Монолит”: Международное право и зарубежный бизнес[ja]
Related Articles
Является ли заработок призовых в e-спорте подработкой? Объяснение, включая классификацию доходов
General Corporate
Объяснение «дополнительного закрытия» в инвестиционных контрактах: подходящие методы и содержани.
General Corporate
С октября 2023 года (5-й год эры Рейва) обязательно указание «Рекламы». Объяснение критериев при.
General Corporate
Особенности продажи алкоголя в интернет-магазине: разъяснение Японского закона о налоге на алког.
General Corporate
Обязательное разработка плана непрерывности бизнеса (BCP) в учреждениях по уходу | Методы состав.
General Corporate
Что такое 'Право на новую практическую идею (実用新案権)'? Понятное объяснение различий с патентными .
General Corporate
