Що таке Китайський закон про кібербезпеку? Основні моменти, які потрібно дотримуватися

Згідно зі “спеціальним проектом: дослідженням тенденцій “виходу на ринок Китаю” японських компаній у 2022 році[ja]” від Японського Імперського Датабанку, кількість японських компаній, які вийшли на китайський ринок, становить 12,706. Можна сказати, що компаній, які займаються бізнесом, пов’язаним з Китаєм, є ще більше. У Китаї у 2017 році було введено в дію “Китайський закон про кібербезпеку”.

Це означає, що для розгортання бізнесу в Китаї необхідно внести зміни до положень відповідно до законодавства та вжити технічні заходи захисту. Однак, можливо, деякі з вас не знають, що це за закони, або не розуміють, як до них адаптуватися.

Тому в цій статті ми пояснимо основні положення Китайського закону про кібербезпеку, об’єкти регулювання та заходи, які слід вжити. Якщо ви ведете бізнес в Китаї або плануєте туди виходити, будь ласка, використовуйте цю інформацію як ресурс.

Огляд Китайського закону про кібербезпеку

Китайський закон про кібербезпеку (网络安全法), який був прийнятий у червні 2017 року, встановлює правові рамки для забезпечення безпеки в кіберпросторі. У першій статті закону визначені такі цілі:

• Забезпечення безпеки мережі
• Захист кіберсуверенітету, національної безпеки та громадських інтересів
• Захист законних прав та інтересів громадян, юридичних осіб та інших організацій
• Сприяння розвитку інформатизації економіки та суспільства

Термін “мережа” визначається як “система, що складається з комп’ютерів, інших інформаційних терміналів та відповідного обладнання, яка збирає, зберігає, передає, обмінює та обробляє інформацію відповідно до певних правил та програм (стаття 76)”, і включає не тільки Інтернет, але й інтранети.

На відміну від Загального регламенту захисту даних ЄС (GDPR) та Японського закону про захист персональних даних, Китайський закон про кібербезпеку має на меті не лише захист інформації осіб та організацій, але й захист національної безпеки та громадських інтересів Китаю. Закон встановлює вимоги до суб’єктів, що підпадають під його дію, щодо впровадження заходів забезпечення кібербезпеки, дотримання вимог комплаєнсу та уточнення прав та обов’язків.

Існують інші закони, що стосуються безпеки, такі як Китайський закон про безпеку даних.

Пов’язані статті: Що таке Китайський закон про безпеку даних? Роз’яснення заходів, які повинні вжити японські компанії[ja]

Регулювання Китайського закону про кібербезпеку

Японські компанії підпадають під дію Китайського закону про кібербезпеку у таких випадках:

• Коли вони обробляють інформацію всередині Китаю
• Коли вони передають інформацію з Китаю до Японії

Навіть якщо компанія знаходиться в Японії, вона може бути об’єктом цього закону, якщо вона відповідає вищезазначеним критеріям. Серед суб’єктів регулювання також зазначаються «оператори мереж» та «оператори критичної інформаційної інфраструктури».

Оператори мереж — це власники або управителі мереж, а також ті, хто надає мережеві послуги.

Оператори критичної інформаційної інфраструктури — це ті, хто управляє об’єктами, що у разі пошкодження або витоку даних можуть серйозно зашкодити національній безпеці, життю громадян або громадським інтересам у таких сферах, як енергетика, транспорт, фінанси, громадські послуги тощо, що може загрожувати національній безпеці.

Зміст Китайського закону про кібербезпеку

Китайський закон про кібербезпеку встановлює такі обов’язки:

• Створення системи рівнів кібербезпеки
• Відповідність обов’язковим національним стандартам
• Вимога реєстрації під справжнім іменем
• Обов’язки операторів критичної інформаційної інфраструктури
• Розробка системи управління та реагування

Далі ми розглянемо кожен з цих пунктів детальніше.

Встановлення рівнів кібербезпеки

Згідно зі статтею 21 Китайського закону про кібербезпеку, встановлено систему захисту за рівнями, якої повинні дотримуватися оператори мереж. Компанії та організації, що володіють мережами в Китаї, повинні отримати сертифікацію захисту за рівнями.

Система захисту за рівнями – це офіційна система оцінки для управління кібербезпекою. До об’єктів, що підпадають під цю систему, належать:

• Мережева інфраструктура
• IoT
• Промислові контрольні системи
• Масштабні інтернет-сайти та дата-центри
• Платформи публічних послуг

У системі захисту за рівнями інформаційні системи класифікуються на п’ять рівнів залежно від масштабу та обсягу збитків, які можуть бути завдані у разі їх пошкодження.

Крім того, визначення кожного рівня виглядає наступним чином:

Для кожного рівня встановлені стандарти інформаційної безпеки, яких необхідно дотримуватися. Зазвичай оператори мереж повинні відповідати вимогам 2-го рівня та вище, а оператори критичної інформаційної інфраструктури – 3-го рівня та вище.

Для отримання рівня необхідно подати самостійну заявку до відповідних органів, але в кінцевому підсумку потрібно отримати згоду від Міністерства громадської безпеки. Крім того, згідно з системою захисту за рівнями, для 2-го рівня та вище необхідно пройти оцінку від акредитованих оцінювальних організацій. Порушення системи захисту за рівнями може призвести до застосування штрафів, тому необхідно бути уважними.

Відповідність обов’язковим державним стандартам

Постачальники інтернет-продуктів та послуг зобов’язані забезпечувати, щоб їхні послуги відповідали обов’язковим державним стандартам (стаття 22). Постачальники не повинні встановлювати шкідливі програми.

Крім того, якщо виявлено дефекти, вразливості або інші ризики у продуктах чи послугах, постачальники повинні негайно вжити заходів, повідомити користувачів та звітувати відповідним регулюючим органам.

У вересні 2021 року (Рейва 3) було введено в дію «Положення про управління вразливостями безпеки інтернет-продуктів (网络产品安全漏洞管理规定)», спрямоване на операторів мереж. Тому необхідно також звернути увагу на це положення та відповідно реагувати на нього.

Вимога до реєстрації за реальним іменем

При наданні користувачам послуг зв’язку через мережу, процедур підключення до мережі стаціонарних та мобільних телефонів, сервісів спільного доступу до інформації, інстант-месенджерів тощо, вимагається реєстрація користувачів за їхніми реальними іменами. Якщо користувач не пройде реєстрацію за реальним іменем, надавати йому послуги заборонено.

Окрім того, оператори мереж зобов’язані перевіряти, чи не порушує інформація, яку розповсюджують користувачі, законодавство.

Обов’язки операторів важливих інформаційних інфраструктур

Оператори важливих інформаційних інфраструктур, крім виконання заходів безпеки, які накладені на операторів мереж, також повинні вжити наступні заходи:

• Регулярне резервне копіювання систем та баз даних
• Розробка плану реагування на інциденти безпеки
• Щорічна оцінка безпеки
• Локалізація даних

Локалізація даних: процес зберігання та обробки даних всередині кордонів країни, де ці дані були згенеровані

У вересні 2021 року було введено в дію «Японський закон про захист безпеки важливих інформаційних інфраструктур», який детальніше визначає управління, сертифікацію та обов’язки операторів важливих інформаційних інфраструктур, тому необхідно також звернутися до цього документу.

Побудова системи управління та реагування

Операторам мережі вимагається забезпечити наступне (стаття 21):

• Розробка системи безпеки та процедур управління
• Призначення відповідальної особи за безпеку мережі
• Розробка плану реагування на інциденти безпеки та впровадження технічних заходів
• Впровадження технологій моніторингу мережі та зберігання логів (принаймні 6 місяців)
• Класифікація даних та захисні заходи, такі як резервне копіювання та шифрування критично важливих даних

Положення про порушення Закону про кібербезпеку

У разі порушення вимог безпеки, встановлених системою захисту рівнів, видається наказ про виправлення та попередження. Якщо ви відмовитеся виконувати наказ або створите загрозу безпеці мережі, вам доведеться сплатити штраф від 10 тисяч юанів до 100 тисяч юанів. Крім того, особам, які безпосередньо відповідають, буде накладено штраф від 5 тисяч юанів до 50 тисяч юанів.

Також наказ про виправлення та попередження видається у випадку встановлення шкідливих програм, а також якщо не вжито заходів щодо ризиків, пов’язаних з дефектами продуктів чи послуг або з проблемами безпеки. У разі відмови від виконання такого наказу настає обов’язок сплати штрафу.

Розмір штрафу залежить від характеру порушення, і може бути наказано закрити веб-сайт, анулювати дозвіл на ведення бізнесу або призупинити діяльність, тому необхідно бути уважним. У минулому були випадки, коли за порушення накладалися штрафи, а відповідальним особам заборонялося довічно працювати у тій же галузі, тому заходи з кібербезпеки є невід’ємними.

Заходи, які японські компанії мають вжити щодо кібербезпеки

Через складність китайського закону про кібербезпеку, деякі можуть не знати, з чого почати. Тут ми пояснимо, які заходи повинні вжити японські компанії.

Створення системи співпраці з відділами інформаційних систем та сфери цифрової трансформації (DX)

Для відповідності китайському закону про кібербезпеку необхідно створити процеси управління та розробити або доповнити положення про управління персональними даними. Крім того, для відповідності системі захисту за рівнями, технічні заходи для системи компанії є невід’ємними.

Замість того, щоб відділи юридичних та загальних справ займалися цим окремо, необхідно налагодити співпрацю з відділами інформаційних систем та сфери цифрової трансформації (DX).

Визначення рівня відповідності систем, які має компанія

Спочатку визначте рівень відповідності систем вашої компанії. Відповідно до цього рівня, кожен відділ повинен діяти відповідно до вимог кібербезпеки. Відділи юридичних та загальних справ, а також управління ризиками повинні переглянути та оновити політики та процедури, щоб відповідати законодавству, тоді як відділи інформаційних систем та DX повинні займатися технічними аспектами. Тут ми пояснимо відповідні заходи для кожного відділу.

Відділи юридичних та загальних справ, управління ризиками

Порівняйте пункти, визначені в рівнях, з поточним станом управління та інформаційною безпекою вашої компанії, перегляньте та доповніть політики та процедури. Потім розгляньте, як ви будете відповідати, і вживайте необхідних заходів для розробки або оновлення систем.

Якщо рівень відповідності є другим або вищим, вам також потрібно буде повідомити відповідні органи. Якщо ваша компанія вважається оператором критичної інформаційної інфраструктури, вам буде потрібно отримати сертифікацію захисту третього рівня або вище. Крім того, вам потрібно буде вжити заходів, таких як відповідність регулюванню локалізації даних, регулярне навчання співробітників з питань інформаційної безпеки та технічне навчання. Якщо є ймовірність, що ваша компанія може бути визнана оператором критичної інфраструктури, консультація з юридичним радником та визначення плану дій може бути корисним.

Останнім часом у Китаї постійно вводяться нові системи безпеки. Тому відділ управління ризиками повинен займатися відповідністю новим регуляціям.

Відділи інформаційних систем та сфери цифрової трансформації (DX)

Відділи інформаційних систем та DX повинні впроваджувати системи захисту безпеки, відповідні до визначеного рівня. Спочатку організуйте заходи безпеки існуючих систем вашої компанії, і якщо вони недостатні, інтегруйте системи, які відповідають закону про кібербезпеку.

Крім закону про кібербезпеку, вам також потрібно буде відповідати регулюванню локалізації даних, обмеженням на перетин кордонів та доступу уряду. Вам потрібно буде знати, які дані передаються за межі Китаю, і переглянути процедури збору та зберігання даних вашої компанії.

Закон про кібербезпеку вимагає не лише оновлення політик, але й впровадження технічних заходів безпеки, тому співпраця між відповідними відділами є надзвичайно важливою.

Висновок: у разі проблем із власною відповідністю, зверніться до фахівців

Китайський закон про кібербезпеку – це система, створена для забезпечення національної безпеки Китаю. Для відповідності закону про кібербезпеку необхідно не лише оновити положення через юридичний або загальний відділ, але й вжити технічні заходи захисту.

Після набуття чинності закону про кібербезпеку було прийнято низку законів, пов’язаних із дотриманням даних, таких як “Положення про управління вразливостями інтернет-продуктів” та “Методики кібербезпеки (система національної безпеки)”. Невиконання цих законів може призвести до штрафів, закриття веб-сайтів або анулювання ліцензії на ведення бізнесу, тому необхідно бути уважними. Якщо ви вже ведете бізнес у Китаї або плануєте це робити в майбутньому, ми рекомендуємо проконсультуватися з адвокатом, який спеціалізується на китайському законодавстві.

Заходи, що пропонує наша юридична фірма

Юридична фірма “Моноліт” спеціалізується на IT, інтернет-бізнесі та має сильні позиції у цих сферах. Ми працювали з кейсами з Китаю, США, країн ЄС та інших куточків світу. При веденні бізнесу за кордоном завжди виникає багато юридичних ризиків, тому підтримка досвідчених адвокатів є незамінною. Наша фірма добре обізнана з місцевими законами та регуляціями і співпрацює з юридичними фірмами по всьому світу.

Сфери практики юридичної фірми “Моноліт”: Міжнародне право та зарубіжний бізнес[ja]