Кибербезопасность по-китайски: в КНР вступает в силу новый закон об интернете
1 июня в Китае вступает в силу Закон о кибербезопасности КНР, принятый в октябре 2016 года постоянным комитетом Всекитайского собрания народных представителей (ПК ВСНП). Закон появился на свет спустя три десятилетия после того, как профессор одного из пекинских вузов Цянь Тяньбай впервые вошел в интернет для переписки с зарубежными коллегами. Закон, состоящий из шести глав и дополнения, затрагивает права и интересы более чем 700 млн пользователей китайского сегмента интернета (т. н. Chinanet), определяя также обязанности провайдеров электронных услуг. В нем изложены общие принципы и меры по поддержке и развитию сетевой безопасности, включая надзор, превентивные меры и реагирование на экстренные ситуации. Упоминается ответственность за нарушения требований закона. "Данный закон разработан в целях обеспечения сетевой безопасности, защиты суверенитета киберпространства и национальной безопасности, отстаивания социальных и общественных интересов, защиты законных прав и интересов граждан, юридических лиц и других организаций в целях содействия здоровому развитию информатизации экономики и общества", — подчеркивается в первой статье закона. Подавляющее большинство пользователей интернета в Китае вряд ли непосредственно ощутят последствия вступления закона в силу: он вобрал в себя уже действующие в стране правила и нормы работы в интернете. Вместе с тем Закон о кибербезопасности КНР создает для этих и последующих актов и нормативов законодательную основу. Несмотря на кажущуюся неполноту и местами расплывчатый характер, закон послужит платформой для государственного регулирования информационных технологий (ИТ), встраивания их в общую конструкцию современного китайского социума. Хотя закон предназначен для регулирования вопросов кибербезопасности в КНР и исходит из сугубо китайских реалий, требований национального законодательства, он представляет интерес и для других стран, которые сталкиваются с угрозой кибертерроризма, становятся объектами кибератак и где стоят вопросы взаимоотношений с иностранными производителями оборудования и ПО, провайдерами интернет-услуг. Стандартизация и контроль — основы безопасности интернета в Китае Закон о кибербезопасности "применяется для создания, эксплуатации, обслуживания и использования интернета, а также эксплуатации (социальных) сетей", гласит документ, подчеркивающий важность стандартизации и контроля при доминирующей роли правительства. "Государство создает и улучшает систему стандартов сетевой безопасности. Отделы стандартизации и другие ведомства при Госсовете КНР в соответствии со своими обязанностями организуют и формулируют, а также пересматривают национальные и отраслевые стандарты для управления сетевой безопасностью и сетевыми продуктами, услугами в сети и нормами безопасности", — говорится в нем. Создатели закона, понимая, что даже самому большому в мире аппарату исполнительной власти не по силам обеспечить полный контроль за интернет-населением (в Китае оно превышает 700 млн юзеров), частично передоверяют реализацию систем сетевой безопасности сетевым операторам, которые, в свою очередь, "должны соответствовать требованиям системы защиты уровня безопасности сетей и другим требованиям, выполнять обязательства по сетевой безопасности, обеспечивать работу сетей без вмешательств, препятствовать доступу разрушающих или несанкционированных запросов, утечке данных, их хищению и фальсификации". Операторы должны создавать внутреннюю систему управления безопасностью, принимать превентивные меры против компьютерных вирусов и сетевых атак. Им предписано обеспечивать мониторинг и запись состояния сети, технических мер по разрешению вопросов сетевой безопасности и хранить отчеты не менее шести месяцев со дня их создания. Первоначальная сортировка данных, шифрование и создание копий важной информации — также среди обязанностей операторов. Провайдерам сетевых продуктов и услуг запрещается устанавливать "вредоносные программы". При обнаружении в сетевых продуктах и услугах "слабых мест, лазеек и других рисков" они должны "незамедлительно принять меры по исправлению ситуации, своевременно уведомить пользователей и соответствующие уполномоченные органы". Требования стандартизации и контроля распространяются и на "железо", и на ПО, в том числе зарубежные. "Критически необходимое сетевое оборудование и продукты сетевой безопасности перед началом продаж должны проверяться на соответствие национальным стандартам и обязательным требованиям, быть сертифицированы институтами или пройти испытания на безопасность", — говорится в законе. Эти функции возлагаются на "ведомства, задействованные в сфере интернета, и Госсовет КНР", которые "составляют и публикуют список ключевого интернет-оборудования и продуктов в сфере интернет-безопасности, а также обеспечивают продвижение сертификатов безопасности и тестирования, предотвращают возможность дублирования этих документов". Главное — защита общественных интересов, анонимности — нет! Вопросы приватности информации в интернете трактуются в законе в общем виде, сбор персональной информации допускается в рамках "соответствующих законов и правил". "Провайдеры сетевых продуктов и услуг с функцией сбора данных пользователя должны получить разрешение пользователя на сбор информации; сбор персональной информации должен совершаться с соблюдением соответствующих законов и правил о личной информации", — гласит документ. Операторы "не должны разглашать, искажать, наносить ущерб, а также вести сбор личной информации". "Любые физические лица и организации не имеют права присваивать личную информацию или использовать другие незаконные способы для ее получения". Вместе с тем исключается анонимность пользователей: "При регистрации доступа в интернет, регистрации в социальной сети, подключении стационарного телефона или мобильной связи, предоставлении клиенту услуг публикации информации или ее передачи, при подписании соглашения (об оказании услуг) клиент должен предоставить подлинное удостоверение личности. Если оно не будет предоставлено, то оператор услуг не имеет права на обслуживание клиента". При этом "государство принимает стратегию по разработке технологий и созданию надежных средств удостоверения личности, а также их взаимного признания". Физическим лицам и организациям не разрешается "на незаконной основе проникать в сети других лиц, нарушать их естественную работу, похищать данные и вести другую деятельность, несущую в себе угрозу для сетевой безопасности". Важную роль в этом также должны играть сами провайдеры. Китайское государство, гласит Закон о кибербезопасности, "придает особое значение защите общественных систем связи и информационного обслуживания, отраслей энергетики, транспорта, водопользования, финансов, социального обслуживания и электронного правительства, а также других отраслей, вывод из строя или хищение данных которых может подорвать национальную безопасность, экономику страны, интересы общества и ключевую информационную инфраструктуру". В законе перечисляется ряд ведомств, отвечающих за информационную безопасность по различным направлениям. "Государство обеспечивает систему мониторинга кибербезопасности, раннего предупреждения и оповещения. Ведомства должны координировать работу правительственных учреждений с целью укрепления интернет-безопасности, сбора информации и анализа, а также уведомлений в соответствии с постановлениями". Им также вменяется в обязанность разработка планов реагирования в чрезвычайных ситуациях, регулярное проведение учений. Отдельная статья посвящена действиям при крупных сетевых угрозах. Прописаны виды наказания (преимущественно штрафы — до 100 тыс. юаней, это 823 тыс. рублей) за нарушения требований закона для ведомств, организаций и физических лиц, в случаях если их действия не влекут за собой уголовной ответственности. Реакция на закон в Китае Китайские эксперты высоко оценивают Закон о кибербезопасности, указывая, в частности, на усиление защиты индивидуальной информации. "В настоящее время защита личной информации является важным аспектом. По мере развития облачных технологий, роста объемов данных, а также роста числа запросов к личной информации со стороны предприятий и организаций увеличилось число случаев использования личной информации, ее разглашения и передачи за рубеж. Несмотря на то, что до вступления в силу закона китайские ведомства разработали меры регулирования, они не были систематизированы и нуждались в доработке. Новый закон существенно восполняет эти недостатки", — заявил заместитель главы Китайского института информационной безопасности Цзо Сяодун. "Факторов утечки личных данных достаточно много. Среди них — уязвимость сайтов в интернете, атаки хакеров или поддельных страниц, продажа данных недобросовестным продавцом и т. д. Ежегодно в китайском сегменте интернета из-за уязвимости веб-страниц происходит утечка около 5,53 млрд учетных записей. Из них большая часть — личная информация", — напомнил Пэй Чжиюн, эксперт компании Qihoo 360, являющейся одним из лидеров на китайском рынке антивирусного программного обеспечения. "Новый закон позволяет более эффективно бороться с незаконным сбором данных, включая распространение приложений для мобильных устройств с вредоносным кодом, замаскированных под обычные программы", — полагает представитель Китайской ассоциации интернета Ли И. "Данная статья имеет большое значение в борьбе с киберпреступлениями и для обеспечения национальной безопасности, — подчеркивает Цзо Сяодун. — Предоставление реальных имен более эффективно, чем использовавшаяся ранее идентификация пользователя по номеру телефона. При этом реальное имя раскрывается только в случае проведения расследования, в обычном режиме пользователь выходит в интернет под псевдонимом". Важной частью закона эксперты считают ужесточение контроля и требований к безопасности, в которых, по их мнению, заинтересованы крупные компании. В Китае сформировалась группа интернет-компаний, занимающих доминирующее положение в национальном сегменте интернета: Alibaba, Baidu, Shanda Group, NetEase, Tencent, Sina, Tom, Sohu и 360. В случае кибератак или установления контроля над инфраструктурой этих компаний, полагают в КНР, есть опасность установления через их ресурсы контроля над китайским сегментом интернета и финансовыми потоками, проходящими через Chinanet. "Если работа китайских интернет-компаний или предприятий будет нарушена или парализована, то это чревато серьезными потерями. На нынешнем этапе развития интернета уже необходимо создание ряда требований, нельзя допустить "дикого развития", как это было раньше", — убежден представитель Китайской ассоциации интернета Ли И. "Alibaba, Baidu, Tencent и другие компании, которые имеют сотни миллионов пользователей, должны нести соответствующие обязательства. У интернет-компаний должен быть соответствующий технологический потенциал обслуживания их информационных платформ для противодействия хакерам и предотвращения потерь пользователей. Также необходимы юридические механизмы, лишающие крупные компании возможностей навязать свои условия соглашений пользователю", — полагает Ли И. Эксперты отмечают важность 37-й статьи закона, предписывающей "данные, собранные на территории КНР, хранить только в пределах Китая". По мнению некоторых китайских экспертов, закон нуждается в дополнении. "Система реальных имен в интернете еще не полностью запущена, т. к. пока не полностью завершено создание технологии удостоверения личности", — считает Чжу Вэй. Не решен вопрос ответственности интернет-сайтов, нет стандартов для различных отраслей экономики. Что касается пользовательских соглашений о сборе информации, то пока не хватает ряда постановлений, в том числе об интеллектуальных правах на информацию. Многие компании не ведут подробный учет процесса обмена информацией, и это осложняет поиск источника информации в случае возникновения непредвиденной ситуации. Профессор факультета права Пекинского педагогического университета Лю Дэлянь считает, что "необходимо решить вопрос взаимосвязи закона с уже принятыми правовыми документами". Например, ответственность при гражданских нарушениях, защита личной информации, правила доступа на рынки аппаратного и программного обеспечения и т. д. Согласование этих аспектов важно для избежания проблем при исполнении закона, заявил эксперт. Критика извне Зарубежные критики закона утверждают, что его вступление в силу может привести к закрытию иностранных технологических компаний, работающих в различных секторах экономики Китая. Иные из иностранных компаний не согласны с хранением данных на серверах Китая. "Положения достаточно неопределенны, неоднозначны и допускают широкое толкование регулирующими органами", — отмечают в Американской торговой палате в Китае. В международной правозащитной организации Human Rights Watch полагают, что закон будет ограничивать свободу в киберпространстве. "Несмотря на озабоченность международных корпораций и правозащитных организаций, их неоднократные заявления, правительство Китая не вносит существенных изменений в законопроект", — сетовала директор Human Rights Watch в Китае Софи Ричардсон. В письме Торговой палаты ЕС в Китае, ранее направленном в Управление по вопросам киберпространства КНР, говорилось, что новый закон "приведет к большим неопределенностям и рискам". Авторы письма рекомендовали "отложить вступление закона в силу для обеспечения достаточного обсуждения". При этом иные эксперты полагали, что Китай не сможет обеспечить в полной мере исполнение закона. "Не похоже на то, что закон будет полностью соблюдаться с 1 июня", — посчитал старший директор по политике в Азиатско-Тихоокеанском регионе BSA The Software Alliance Джаред Рагланд. Для полного соблюдения закона, по его мнению, "не хватает нормативной ясности". "Очевидно, что закон вступит в силу с 1 июня, но я не думаю, что он будет строго соблюдаться. Ведь закон повлияет на многие международные компании и китайские организации, которые передают данные за границу в рамках основной деятельности", — написала эксперт юридической компании Norton Rose Fulbright Барбара Ли. Андрей Кириллов, Алексей Селищев