Legea securității cibernetice a Republicii Populare Chineze ( cunoscută și sub denumirea de Legea securității pe internet a Republicii Populare Chineze ) este principalul act juridic de reglementare care reglementează sfera securității internetului în RPC . Publicat la 7 noiembrie 2016, în vigoare la 1 iunie 2017.
Legea securității cibernetice reglementează acțiunile furnizorilor de produse și servicii de rețea pentru colectarea, stocarea și prelucrarea datelor utilizatorilor, stabilește procedura și specificul pentru asigurarea securității infrastructurii informaționale în industriile importante din punct de vedere strategic. Scopul principal al adoptării legii este de a proteja „suveranitatea cibernetică” națională a RPC. [unu]
Sfera securității cibernetice a intrat în atenția autorităților chineze în a doua jumătate a anilor 1990.
Unul dintre stimulentele pentru dezvoltarea legislației în acest domeniu a fost crearea în 1999 a sistemului de guvernare electronică (Proiectul Guvernamental Online, GOP) și apariția necesității unei reglementări legale adecvate. [2] De exemplu, în 2000 au fost adoptate Orientările privind construcția guvernamentală electronică națională (NEGC).
În 2011, prevederile de securitate cibernetică au fost introduse în legislația penală națională a RPC, iar în 2013 în Legea privind protecția drepturilor și intereselor consumatorilor.
În iulie 2015, Congresul Național al Poporului din China a publicat proiectul primei legi a securității cibernetice.
La 7 noiembrie 2016, Legea securității cibernetice din RPC a fost aprobată în a treia lectură în ședința Comitetului permanent al NPC . A intrat oficial în vigoare la 1 iunie 2017.
Legea securității cibernetice este cumulativă și reprezintă prima încercare a autorităților chineze de a formula și rezuma principiile strategice care ghidează acțiunile Chinei în domeniul securității cibernetice.
Textul legii este alcătuit din 79 de articole, unite în 7 secțiuni:
Legea afectează în principal activitățile furnizorilor de produse și servicii de rețea. Potrivit articolului 22, furnizorii de produse și servicii de rețea trebuie să informeze utilizatorii și autoritățile competente relevante în timp util cu privire la orice vulnerabilități de securitate cunoscute și să ia măsurile necesare pentru a le elimina. [3] În cazul în care produsele sau serviciile colectează date cu caracter personal, furnizorii sunt obligați să informeze utilizatorii despre acest lucru. Colectarea și stocarea datelor cu caracter personal ale utilizatorilor trebuie efectuate exclusiv în scopurile desemnate oficial de furnizor. Dezvăluirea, modificarea, ștergerea și transferul datelor către terți sunt interzise, cu excepția efectuării operațiunilor enumerate la solicitarea utilizatorului însuși.
Legea limitează semnificativ anonimatul utilizatorilor prin introducerea unei cerințe de verificare obligatorie pentru accesul la rețea. În cazul în care utilizatorul nu furnizează date reale de identificare, furnizorul nu are dreptul de a deschide accesul la rețea.
Se acordă o atenție deosebită securității infrastructurii critice, care include serviciile guvernamentale de comunicații și informații, energie, transport, irigații, finanțe, apărare, e-guvernare și alte industrii și sectoare cheie, unde daunele, utilizarea abuzivă și scurgerile de date pot duce la grave amenințare la adresa securității naționale și a interesului public. Printre altele, cerințele pentru pregătirea profesională a angajaților care lucrează la unitățile KVII sunt înăsprite, se introduce interdicția stocării datelor în afara Chinei; în conformitate cu prevederile legii, achiziționarea de produse și servicii de rețea pentru instalațiile CSI ar trebui să fie efectuată sub controlul organismelor de stat autorizate, întreprinderile din industriile critice sunt obligate să efectueze evaluări anuale a riscurilor de securitate și să reflecte rezultatele în rapoarte.
Dacă se constată încălcări, legea prevede amenzi cuprinse între 10.000 și 1 milion de yuani, în funcție de gravitatea infracțiunii cibernetice, toate veniturile obținute ilegal pot fi confiscate. [4] În conformitate cu articolul 75, autoritățile RPC au capacitatea de a îngheța activele instituțiilor, organizațiilor și persoanelor străine dacă sunt suspectate că au organizat și desfășurat un atac, hacking, interferență sau vătămare a infrastructurii informaționale critice a Chinei.
Regulamentul prevede, de asemenea, implementarea unor măsuri de creștere a nivelului de alfabetizare a populației în domeniul securității cibernetice cu participarea agențiilor guvernamentale la toate nivelurile și a mass-media.
Adoptarea legii duce la un control sporit de stat asupra activităților companiilor chineze și străine pe internet.
Legea poate avea un impact semnificativ asupra structurii pieței IT interne a Chinei și asupra pozițiilor producătorilor naționali. Implementarea acestuia limitează accesul companiilor IT occidentale pe piața chineză, deoarece le impune să treacă printr-o certificare specială, care, printre altele, implică necesitatea dezvăluirii codurilor sursă ale software-ului furnizat.
Companiile chineze și străine care intenționează să vândă produse IT pe piața chineză trebuie să facă ajustări totale sau parțiale la practicile lor de afaceri și operaționale, în conformitate cu prevederile noii legi. [5]
În august 2016, peste 40 de companii internaționale au solicitat premierului chinez Li Keqiang să modifice proiectul de lege publicat, dar autoritățile chineze au spus că prevederile legii „nu intră în conflict cu interesele companiilor străine”. [6]
Mass-media occidentală a numit în mod repetat noul act legislativ controversat. Publicațiile non-chineze au raportat că marile companii străine de tehnologie sunt „îngrijorate de faptul că legea urmărește să protejeze și sectorul IT autohton al Chinei” și au spus că noile reguli „alungă cumpărătorii chinezi să cumpere produse străine”. [7]
Președintele Camerei Americane de Comerț din China, James Zimmerman, într-un interviu pentru Reuters, a numit prevederile noii legi „vagi, ambigue și deschise interpretării de către autorități”. [6]
Organizația pentru drepturile omului Amnesty International a criticat în repetate rânduri politica autorităților chineze în domeniul securității cibernetice. În special, directorul programelor Amnesty International în Asia de Est, Nicholas Bekelin, comentând publicarea proiectului Legii chineze privind securitatea cibernetică, a spus că aceasta duce la instituționalizarea cenzurii. [8] Potrivit specialistului în China de la Amnesty International, Patrick Moon, „această lege periculoasă face efectiv companiile de internet agenți ai statului, solicitându-le să cenzureze și să furnizeze autorităților datele personale ale utilizatorilor la prima lor cerere”. De asemenea, organizația a cerut guvernului chinez să abroge noua lege a securității cibernetice, care „oferă autorităților carte albă pentru a restrânge dreptul la libertatea de exprimare și dreptul la viață privată”. [patru]