Zákon o kybernetické bezpečnosti Čínské lidové republiky - Cybersecurity Law of the People's Republic of China

Viz také: zákon o zabezpečení dat Čínské lidové republiky , zákon o národní inteligenci Čínské lidové republiky a zákon o národní bezpečnosti Čínské lidové republiky
Zákon o kybernetické bezpečnosti Čínské lidové republiky
Státní znak Čínské lidové republiky (2). Svg
Národní lidový kongres
  • Zákon o kybernetické bezpečnosti Čínské lidové republiky
Citace Zákon o kybernetické bezpečnosti (anglicky)
Územní rozsah Čínská lidová republika, ale vylučuje zvláštní správní oblasti Číny .
Povoleno uživatelem Stálý výbor Národního lidového kongresu
Povoleno 7. listopadu 2016
Zahájeno 1. června 2017
Související legislativa
Zákon o zabezpečení dat , národní zpravodajský zákon , národní bezpečnostní zákon (Čína)
souhrn
Zákon formulovaný za účelem: zajištění kybernetické bezpečnosti; zajistit suverenitu kyberprostoru a národní bezpečnost, sociální a veřejné zájmy; zákonná práva a zájmy občanů, právnických osob a jiných organizací; a podporovat zdravý rozvoj informatizace ekonomiky a společnosti.
Klíčová slova
Kybernetická bezpečnost , národní bezpečnost , kybernetická suverenita
Stav: V platnosti

Cybersecurity Zákon z Čínské lidové republiky ( Chinese :中华人民共和国网络安全法) se běžně označuje jako Cybersecurity zákona čínská , byl přijat od Národního lidového kongresu s cílem zvýšit ochranu dat, lokalizačních údajů , a kybernetická zdánlivě v zájmu národní bezpečnosti. Zákon je součástí širší řady zákonů schválených čínskou vládou ve snaze posílit národní bezpečnostní legislativu. Mezi příklady, které od roku 2014 zahrnovaly zákon o národní zpravodajské službě , národní bezpečnosti Čínské lidové republiky (nezaměňovat s hongkongským zákonem o národní bezpečnosti ) a zákony o boji proti terorismu a řízení zahraničních nevládních organizací, všechny prošly postupně navzájem krátké časové rámce.

Dějiny

Tento zákon byl přijat Stálým výborem Národního lidového kongresu 7. listopadu 2016 a byl implementován 1. června 2017. Vyžaduje, aby provozovatelé sítí ukládali vybraná data v Číně, a umožňuje čínským úřadům provádět namátkové kontroly společnosti. síťové operace.

Kybernetická bezpečnost je uznávána jako základní zákon. To staví zákon na vrchol pyramidově strukturovaných právních předpisů o kybernetické bezpečnosti. Zákon je evolucí dříve existujících pravidel a předpisů pro kybernetickou bezpečnost z různých úrovní a oblastí a jejich asimilací k vytvoření strukturovaného zákona na makroúrovni. Zákon také nabízí základní normy pro některá témata, která nejsou bezprostředně naléhavá, ale mají dlouhodobý význam. Tyto normy budou sloužit jako právní reference v případě nových problémů.

Rezervy

Zákon vytvořil:

  • Princip suverenity kyberprostoru
  • Definovány bezpečnostní povinnosti internetových produktů a poskytovatelů služeb
  • Podrobně popsány bezpečnostní povinnosti poskytovatelů internetových služeb .
  • Další upřesněná pravidla týkající se ochrany osobních údajů
  • Zaveden bezpečnostní systém pro klíčovou informační infrastrukturu
  • Zavedená pravidla pro nadnárodní přenos dat z kritických informačních infrastruktur.

Zákon o kybernetické bezpečnosti se vztahuje na provozovatele sítí a podniky v „ kritických odvětvích “. Podle kritických sektorů Čína zhruba rozděluje domácí podniky na síťové podniky, které jsou zapojeny do telekomunikací, informačních služeb, dopravy energií, vody, finančních služeb, veřejných služeb a elektronických vládních služeb. Mezi nejkontroverznější části zákona patří články 28, 35 a 37.

Článek 28 ukládá vágně definovaným „provozovatelům sítí“ (vykládáno tak, že zahrnují: platformy sociálních médií, tvůrci aplikací a další technologické společnosti) spolupracovat s orgány veřejné bezpečnosti, jako je ministerstvo veřejné bezpečnosti, a na požádání předávat informace.

Článek 28: Provozovatelé sítí poskytují technickou podporu a pomoc orgánům veřejné bezpečnosti a národním bezpečnostním orgánům, které zajišťují národní bezpečnost a vyšetřují trestné činnosti v souladu se zákonem.

-  Oddíl 1: „Běžná ustanovení“

Článek 35 je zaměřen na nákupy zahraničního softwaru nebo hardwaru vládními agenturami nebo jinými „provozovateli kritické informační infrastruktury“, přičemž požaduje, aby veškerý zakoupený hardware softwaru prošel kontrolou agentur, jako je čínská SCA nebo státní správa kryptografie, což může potenciálně zahrnovat poskytnutí zdrojových kódů a další citlivé informace o vlastnictví pro vládní agentury, které dláždí cestu k odcizení duševního vlastnictví nebo přenosu k domácím konkurentům. Článek především vytváří další regulační zátěž pro zahraniční technologické společnosti působící v Číně a nepřímo vytváří příznivější podmínky pro domácí konkurenty, kteří by přirozeně byli připravenější dodržovat předpisy.

Článek 35: Provozovatelé kritické informační infrastruktury nakupující síťové produkty a služby, které by mohly mít dopad na národní bezpečnost, se podrobí přezkoumání národní bezpečnosti organizované státními útvary kybernetické bezpečnosti a informatizace a příslušnými útvary Státní rady.

-  Oddíl 2: „Zabezpečení provozu kritické informační infrastruktury“

Článek 37 vytváří požadavek na lokalizaci dat, což znamená, že zahraniční technologické společnosti jako Microsoft , Apple a PayPal působící na čínském trhu jsou povinny ukládat čínská uživatelská data na čínské servery v pevninské Číně, což poskytuje snazší přístupovou cestu pro čínskou inteligenci a státní bezpečnost agentury zachytit data a komunikaci a současně rozšířit sílu vládnoucí čínské komunistické strany zaměřit se na disenty a sledovat občany.

Článek 37: Provozovatelé kritické informační infrastruktury, kteří shromažďují nebo vytvářejí osobní údaje nebo důležitá data během operací na pevninském území Čínské lidové republiky, je uchovávají v pevninské Číně. Tam, kde je to vzhledem k obchodním požadavkům skutečně nutné zajistit mimo pevninu, budou se řídit opatřeními, která společně provedou státní bezpečnostní útvary pro kybernetickou bezpečnost a informatizaci a příslušná oddělení Státní rady k provedení bezpečnostního posouzení; pokud zákony a správní předpisy stanoví jinak, postupujte podle těchto ustanovení.

-  Oddíl 2: „Zabezpečení provozu kritické informační infrastruktury“

Zákon se vztahuje na všechny čínské podniky, které spravují své vlastní servery nebo jiné datové sítě. Od provozovatelů sítí se mimo jiné očekává, že budou: vyjasňovat odpovědnost za kybernetickou bezpečnost v rámci své organizace, přijímat technická opatření k zabezpečení provozu sítě a předcházení únikům dat a krádežím; a hlásit jakékoli incidenty v oblasti kybernetické bezpečnosti jak uživatelům sítě, tak příslušnému implementačnímu oddělení pro daný sektor.

Zákon se skládá z podpůrných pododdílů předpisů, které specifikují jeho účel. Například nařízení o ochraně bezpečnosti iniciativy Core Infrastructure Initiative (CII) a opatření pro posuzování bezpečnosti přeshraničního přenosu osobních údajů a důležitých údajů. Tento zákon však bude teprve stanoven, protože čínské vládní úřady se zabývají definováním podmíněnějších zákonů, aby lépe odpovídaly zákonu o kybernetické bezpečnosti. Začleněním již existujících zákonů o VPN a zabezpečení dat do zákona o kybernetické bezpečnosti čínská vláda posiluje svoji kontrolu a kromě toho zdůrazňuje, že je nutné, aby zahraniční společnosti dodržovaly domácí předpisy.

Zákon o kybernetické bezpečnosti také poskytuje předpisy a definice právní odpovědnosti . Za různé druhy protiprávního jednání zákon stanoví různé tresty, například pokuty, pozastavení nápravy, odebrání povolení a živnostenských oprávnění a další. Zákon proto poskytuje orgánům pro kybernetickou bezpečnost a správu práva a pokyny k vymáhání práva v případě nezákonných činů.

Ačkoli cenzura ovlivňuje pevninskou Čínu , Hongkong a Macao jsou osvobozeny od daně podle zásady „ jedna země dva systémy “ a zachování oddělených a nezávislých právních systémů.

Související předpisy

V červenci 2021 čínská správa kyberprostoru vydala „Předpisy pro správu bezpečnostních chyb v síťových produktech“, které požadují, aby byly všechny zranitelnosti hlášeny Ministerstvu průmyslu a informačních technologií (MIIT), a zakazuje zveřejňování zranitelností, a to i zámořským organizace.

Reakce

Spolu s Velkou bránou firewall vyvolala omezení stanovená zákonem obavy, zejména ze strany zahraničních technologických společností působících v Číně. Pokud jde o požadavky na kontroly na místě a certifikace, mezinárodní právnické firmy varovaly, že společnosti mohou být požádány o poskytnutí zdrojového kódu, šifrování nebo jiných důležitých informací pro kontrolu úřady, což zvyšuje riziko krádeží duševního vlastnictví, ztráty informací, jejich předání na místní konkurenty nebo je používají samotné úřady. Federální úřad pro vyšetřování varoval, že zákon by mohl donutit firmy přenos dat prostřednictvím serverů v Číně, aby se podrobí kontrole dat a špionáže.

Zákon vyvolal obavy na domácí i mezinárodní úrovni kvůli jeho formulaci a specifickým požadavkům. Zahraniční společnosti a podniky v Číně vyjádřily obavy, že tento zákon může bránit budoucím investicím v Číně, protože zákon jim ukládá „ukládat svá data na místní servery regulované čínským právem a spolupracovat s čínskými národními bezpečnostními agenturami“. Potenciálně zvyšuje riziko krádeží duševního vlastnictví a ztráty obchodního tajemství v tomto procesu.

Od svého vzniku již mnoho zahraničních technologických společností dodržuje zákon. Společnost Apple například v roce 2017 oznámila, že investuje 1 miliardu dolarů ve spolupráci s místní společností pro cloudovou výpočetní techniku ​​Guizhou Cloud Big Data nebo GCBD do výstavby nového datového centra umístěného v čínské provincii Guizhou za účelem dodržování předpisů. Současně společnost také oznámila, že převede provoz a ukládání dat iCloud do pevninské Číny. Společnost Microsoft také oznámila rozšíření svých služeb Azure v partnerské cloudové výpočetní společnosti 21Vianet prostřednictvím investic do více serverů. Mezitím online služby, jako jsou Skype a WhatsApp, které odmítly ukládat svá data lokálně a byly buď odstraněny z domácích obchodů s aplikacemi, nebo byly omezeny z dalšího rozšiřování.

Článek 9 zákona o kybernetické bezpečnosti uvádí, že „provozovatelé sítí ... musí dodržovat sociální normy a obchodní etiku, být upřímní a důvěryhodní, plnit povinnosti k ochraně zabezpečení sítě, přijímat dohled od vlády a veřejnosti a nést sociální odpovědnost“. Ačkoliv vyvstávají určité argumenty a pochybnosti, existuje obecně podezření, že taková vágní ustanovení zvyšují vládní rozsah výkladu a prosazují potřebu zasahovat do obchodních operací a omezovat volný tok informací a řeči. Tyto intervence by zahrnovaly vyšetřování, která by se mohla rozptýlit do vládních obchodních asociací požadujících kontroly zahraničních firem na místě. Zákon mimo jiné dále signalizuje odhodlání čínské vlády posílit její kontrolu nad datovými a technologickými společnostmi.

Zákon nutí zahraniční technologie a další společnosti působící v Číně, aby buď investovaly do nové serverové infrastruktury, aby dodržely zákon, nebo se spojily s poskytovateli služeb, jako jsou Huawei , Tencent nebo Alibaba , které již mají serverovou infrastrukturu na místě, což šetří náklady na kapitálové výdaje společností. Tento zákon je obecně považován za v souladu s 12. pětiletým plánem (2011–2015), jehož cílem je vytvořit domácí šampiony v odvětvích, jako je cloud computing a zpracování velkých objemů dat. Zákon je vnímán jako přínos pro domácí společnosti a byl kritizován jako vytvářející neférové ​​prostředí vůči mezinárodním technologickým společnostem, jako jsou Microsoft a Google .

Zastánci zákona uvedli, že záměrem zákona není zakázat zahraničním podnikům působit v Číně ani posílit domácí čínskou konkurenceschopnost. Studie Matthiase Bauera a Hosuka Lee-Makiyamy z roku 2015 uvádí, že lokalizace dat způsobuje menší poškození ekonomického růstu v důsledku neefektivnosti, která vyplývá z procesů přenosu dat a duplikace dat mezi několika jurisdikcemi. Požadavek na lokalizaci dat je také považován za krok Pekingu, aby se data dostala pod čínskou jurisdikci a usnadnila stíhání subjektů považovaných za porušující čínské internetové zákony.

Prezident AmCham South China Harley Seyedin prohlásil, že zahraniční firmy čelí „masovým obavám“, protože zákon výrazně zvýšil provozní náklady a měl velký dopad na to, jak se v Číně podniká. Konkrétněji uvedl, že zákon o kybernetické bezpečnosti nadále vytváří „nejistotu v investiční komunitě a má za následek minimálně odložení některých investic do výzkumu a vývoje“.

Zákon byl široce kritizován kvůli omezování svobody slova . Například zákon výslovně požaduje, aby většina online služeb působících v Číně shromažďovala a ověřovala identitu svých uživatelů a v případě potřeby tyto informace bez záruky předala donucovacím orgánům. Aktivisté tvrdili, že tato politika odrazuje lidi od svobodného vyjadřování jejich myšlenek online, dále potlačuje nesouhlas tím, že usnadňuje cílení a sledování disidentů.

Viz také

Reference

  1. ^ a b c d e Wagner, Jack (01.06.2017). „Čínský zákon o kybernetické bezpečnosti: Co potřebujete vědět“ . Diplomat . Archivováno od originálu 12. prosince 2018 . Citováno 2018-12-14 .
  2. ^ Blanchard, Ben (2015-12-28). „Čína přijímá kontroverzní protiteroristický zákon“ . Reuters . Citováno 2021-07-21 .
  3. ^ Wong, Edward (2016-04-28). „Zásah v Číně omezuje 7 000 zahraničních organizací“ . The New York Times . ISSN  0362-4331 . Citováno 2021-07-21 .
  4. ^ "网络 安全 法 (草案) 全文 _ 中国 人大 网" . www.npc.gov.cn . Archivováno od originálu dne 2016-10-29 . Citováno 2018-04-14 .
  5. ^ Lulu, Xia a Zhao Leo (2018-08-21). „Čínský zákon o kybernetické bezpečnosti: Úvod pro zahraniční podnikatele“ . Čína Briefing . Archivovány od originálu na 2018-12-13 . Citováno 2018-12-14 .Správa CS1: více jmen: seznam autorů ( odkaz )
  6. ^ 网易. „网络 安全 法 明确 了 网络 空间 主权 原则 _ 网易 新闻“ . news.163.com . Archivováno od originálu dne 2019-07-03 . Citováno 2018-04-14 .
  7. ^ "《网络 安全 法》 正式 施行 为 个人 信息 加 把" 锁" " .中国 网. Archivováno od originálu dne 2018-12-14 . Citováno 2018-04-14 .
  8. ^ 103411. "网络 安全 立法 中 的 关键 信息 基础 设施 保护 保护 理论-理论-人民网" . theory.people.com.cn . Archivováno od originálu dne 2018-04-15 . Citováno 2018-04-14 .Správa CS1: numerická jména: seznam autorů ( odkaz )
  9. ^ "专家 解读 《网络 安全 法》 具有 六大 突出 亮点 新华网-新华网" . www.xinhuanet.com . Archivováno od originálu dne 2018-04-15 . Citováno 2018-04-14 .
  10. ^ Gierow Johannes, Hauke ​​(2015-04-22). „Kybernetická bezpečnost v Číně: Internetová bezpečnost, protekcionismus a konkurenceschopnost: nové výzvy pro západní podniky“ (PDF) . China Monitor, Merics: Mercator Institute for China Studies. Archivováno (PDF) z originálu dne 2018-12-16 . Citováno 2018-12-14 .
  11. ^ „Čínská kybernetická regulace: bolest hlavy pro zahraniční společnosti | Merics“ . merics.org . Citováno 2021-07-22 .
  12. ^ „Kdo těží z čínských zákonů o kybernetické bezpečnosti?“ . www.csis.org . Citováno 2021-07-22 .
  13. ^ „Pochopení čínského zákona o kybernetické bezpečnosti INFORMACE O NOVÝCH ZEALANDSKÝCH PODNIKÁCH“ (PDF) . Ministerstvo zahraničních věcí a obchodu a Nový Zéland obchodu a podnikání. Září 2017. Archivováno (PDF) z originálu 23. ledna 2019 . Citováno 2018-12-14 .
  14. ^ Nick, Beckett (listopad 2017). „Průvodce pro firmy k prvnímu čínskému zákonu o kybernetické bezpečnosti“ . China Monitor, Merics: Mercator Institute for China Studies. Archivováno od originálu dne 2018-12-16 . Citováno 2018-12-14 .
  15. ^ Lee, Jyh-An. „Proniknutí do čínského zákona o kybernetické bezpečnosti“. Wake Forest L .
  16. ^ „Čína stanoví nová pravidla pro zveřejňování zranitelností“ . Arjun Ramprasad . Previewtech.net. 18. června 2021.
  17. ^ Uchill, Joe (17. října 2019). „Vylepšený čínský zákon o kybernetické bezpečnosti by si mohl vybrat daň“ . Axios . Archivováno z originálu 29. března 2020 . Získáno 8. dubna 2020 .
  18. ^ „Nebezpeční partneři: Big Tech a Peking“ . Federální úřad pro vyšetřování . Archivováno od originálu dne 2020-04-02 . Citováno 2020-04-09 .
  19. ^ Peking, Liza Lin ve Wuzhenu a Yoko Kubota v (2017-12-06). „Americké technické firmy vystrašené čínským tajemným zákonem o kybernetické bezpečnosti“ . Wall Street Journal . ISSN  0099-9660 . Citováno 2021-07-22 .
  20. ^ "中国 施行 《网络 安全 法》 外企 为何 担忧?" . BBC 中文 网. 2017-05-31. Archivováno od originálu dne 2018-05-11 . Citováno 2018-04-14 .
  21. ^ Gartenberg, Chaim (2017-07-13). „Apple staví své první čínské datové centrum podle nového zákona o kybernetické bezpečnosti“ . The Verge . Citováno 2021-07-22 .
  22. ^ "Další informace o iCloudu v Číně" . Podpora Apple . Archivováno od originálu dne 2018-03-07 . Citováno 2018-04-14 .
  23. ^ "Nová oblast Azure přichází do Číny v roce 2022 | Azure blog a aktualizace | Microsoft Azure" . azure.microsoft.com . Citováno 2021-07-22 .
  24. ^ „多家 中国 区 应用 商店 下 架 Skype“ .纽约 时报 中文 网(v čínštině). 2017-11-22. Archivováno od originálu dne 2018-04-13 . Citováno 2018-04-14 .
  25. ^ Hu, Huifeng (2018-03-01). „Zákon o kybernetické bezpečnosti způsobující„ masové obavy “mezi zahraničními firmami v Číně“ . Jihočínská pošta . Archivováno od originálu dne 2018-11-07 . Citováno 2018-12-14 .
  26. ^ "中国 《网络 安全 法》 草案 出炉 恐 加强 言论 管制" . BBC 中文 网(v čínštině). 9. července 2015. Archivováno od originálu dne 2018-05-08 . Citováno 2018-04-14 .