Kiinan kyberturvallisuuslaki

Kiinan kansantasavallan kyberturvallisuuslaki ( tunnetaan myös Kiinan kansantasavallan Internet-tietoturvalakina ) on tärkein Kiinan kansantasavallan Internet-turvallisuutta säätelevä säädös . Julkaistu 7. marraskuuta 2016, voimaan 1. kesäkuuta 2017.

Kyberturvalaki säätelee verkkotuotteiden ja -palvelujen tarjoajien toimia käyttäjätietojen keräämisessä, tallentamisessa ja käsittelyssä, määrittelee menettelytavat ja erityispiirteet tietoinfrastruktuurin turvallisuuden varmistamiseksi strategisesti tärkeillä toimialoilla. Lain hyväksymisen päätavoite on suojella Kiinan kansantasavallan kansallista "kybersuvereniteettia". [yksi]

Historia

Kyberturvallisuus nousi Kiinan viranomaisten tietoon 1990-luvun jälkipuoliskolla.

Yksi alan lainsäädännön kehittämisen kannustimista oli sähköisen hallinnon järjestelmän (Government Online Project, GOP) luominen vuonna 1999 ja riittävän oikeudellisen sääntelyn tarpeen ilmaantuminen. [2] Esimerkiksi vuonna 2000 hyväksyttiin kansallisen sähköisen hallinnon rakentamisohjeet (NEGC).

Vuonna 2011 kyberturvallisuussäännökset lisättiin Kiinan kansalliseen rikoslakiin ja vuonna 2013 kuluttajien oikeuksien ja etujen suojaa koskevaan lakiin.

Heinäkuussa 2015 Kiinan kansankongressi julkaisi luonnoksen ensimmäisestä kyberturvallisuuslaista.

7. marraskuuta 2016 Kiinan kyberturvallisuuslaki hyväksyttiin kolmannessa käsittelyssä NPC:n pysyvän komitean istunnossa . Virallisesti voimaan 1.6.2017.

Lain sisältö

Kyberturvallisuuslaki on kumulatiivinen ja on Kiinan viranomaisten ensimmäinen yritys muotoilla ja tiivistää strategiset periaatteet, jotka ohjaavat Kiinan toimia kyberturvallisuuden alalla.

Lain teksti koostuu 79 pykälästä, jotka on yhdistetty 7 osaan:

1. Perusperiaatteet
2. Kyberturvallisuuden varmistaminen ja edistäminen
3. Verkkotoimintojen turvallisuus
4. Tietoturva
5. Valvonta, ennaltaehkäisy, hätäapu ja rangaistukset
6. Oikeudellinen vastuu
7. Lisäosio.

Laki vaikuttaa pääasiassa verkkotuotteiden ja -palvelujen tarjoajien toimintaan. 22 artiklan mukaan verkkotuotteiden ja -palvelujen tarjoajien on ilmoitettava käyttäjille ja asianomaisille toimivaltaisille viranomaisille hyvissä ajoin kaikista tunnetuista tietoturva-aukoista ja toteutettava tarvittavat toimenpiteet niiden poistamiseksi. [3] Jos tuotteet tai palvelut keräävät henkilötietoja, palveluntarjoajien on ilmoitettava tästä käyttäjille. Käyttäjien henkilötietojen kerääminen ja tallentaminen on suoritettava yksinomaan palveluntarjoajan virallisesti määrittelemiin tarkoituksiin. Tietojen luovuttaminen, muuttaminen, poistaminen ja siirtäminen kolmansille osapuolille on kiellettyä, lukuun ottamatta lueteltujen toimintojen suorittamista käyttäjän itsensä pyynnöstä.

Laki rajoittaa merkittävästi käyttäjien nimettömyyttä ottamalla käyttöön verkkoon pääsyn pakollisen varmennusvaatimuksen. Jos käyttäjä ei anna oikeita tunnistetietoja, palveluntarjoajalla ei ole oikeutta avata verkkoon pääsyä.

Erityistä huomiota kiinnitetään kriittisen infrastruktuurin turvallisuuteen, joka sisältää valtion viestintä- ja tietopalvelut, energian, liikenteen, kastelun, rahoituksen, puolustuksen, sähköisen hallinnon ja muut keskeiset toimialat ja sektorit, joissa vauriot, väärinkäyttö ja tietovuodot voivat johtaa vakaviin tilanteisiin. uhka kansalliselle turvallisuudelle ja yleiselle edulle. Muun muassa KVII:n tiloissa työskentelevien työntekijöiden ammatillisen koulutuksen vaatimuksia tiukennetaan, kielletään tietojen säilyttäminen Kiinan ulkopuolella; Lain säännösten mukaan verkkotuotteiden ja -palveluiden osto IVY:n tiloja varten tulee tapahtua valtuutettujen valtion elinten valvonnassa, kriittisten toimialojen yritysten on suoritettava vuosittain turvallisuusriskiarvioinnit ja otettava huomioon tulokset. raportteja.

Jos rikkomuksia havaitaan, lain mukaan sakkoja, jotka vaihtelevat 10 000–1 miljoonaa yuania, tietoverkkorikollisuuden vakavuudesta riippuen, ja kaikki laittomasti saadut tulot on takavarikoitu. [4] Artiklan 75 mukaisesti Kiinan viranomaisilla on mahdollisuus jäädyttää ulkomaisten instituutioiden, organisaatioiden ja henkilöiden varat, jos heitä epäillään hyökkäyksen järjestämisestä ja toteuttamisesta, hakkeroinnista, häirinnästä tai vahingoittamisesta Kiinan kriittiseen tietoinfrastruktuuriin.

Asetuksessa säädetään myös toimenpiteiden toteuttamisesta väestön lukutaidon parantamiseksi kyberturvallisuuden alalla kaikkien tasojen valtion virastojen ja tiedotusvälineiden osallistuessa.

Merkitys

Lain hyväksyminen lisää valtion valvontaa kiinalaisten ja ulkomaisten yritysten toiminnassa Internetissä.

Laki voi vaikuttaa merkittävästi Kiinan kotimaan IT-markkinoiden rakenteeseen ja kansallisten valmistajien asemiin. Sen toteutus rajoittaa länsimaisten IT-yritysten pääsyä Kiinan markkinoille, koska se edellyttää niiltä erityistä sertifiointia, mikä tarkoittaa muun muassa tarvetta paljastaa toimitettujen ohjelmistojen lähdekoodit .

Kiinalaisten ja ulkomaisten yritysten, jotka suunnittelevat IT-tuotteiden myyntiä Kiinan markkinoille, on muutettava liiketoimintaansa ja toimintatapojaan kokonaan tai osittain uuden lain säännösten mukaisesti. [5]

Kritiikki

Elokuussa 2016 yli 40 kansainvälistä yritystä vetosi Kiinan pääministeriin Li Keqiangiin muuttamaan julkaistua lakia, mutta Kiinan viranomaiset sanoivat, että lain säännökset "eivät ole ristiriidassa ulkomaisten yritysten etujen kanssa". [6]

Länsimedia on toistuvasti kutsunut uutta lakia kiistanalaiseksi. Muut kuin kiinalaiset julkaisut raportoivat, että suuret ulkomaiset teknologiayritykset olivat "huolestuneita siitä, että lain tarkoituksena on myös suojella Kiinan kotimaista IT-sektoria", ja sanoivat, että uudet säännöt "hylkivät kiinalaisia ​​ostajia ostamasta ulkomaisia ​​tuotteita". [7]

Yhdysvaltain kauppakamarin Kiinan puheenjohtaja James Zimmerman kutsui Reutersin haastattelussa uuden lain säännöksiä "epämääräisiksi, moniselitteisiksi ja viranomaisten tulkinnanvaraisiksi". [6]

Ihmisoikeusjärjestö Amnesty International on toistuvasti arvostellut Kiinan viranomaisten politiikkaa kyberturvallisuuden alalla. Erityisesti Amnesty Internationalin Itä-Aasian ohjelmien johtaja Nicholas Bekelin kommentoi Kiinan kyberturvallisuuslakiluonnoksen julkaisemista, että se johtaa sensuurin institutionalisoitumiseen. [8] Amnesty Internationalin Kiina-asiantuntijan Patrick Moonin mukaan "tämä vaarallinen laki tekee Internet-yrityksistä tehokkaasti valtion agentteja vaatien niitä sensuroimaan ja toimittamaan käyttäjien henkilötiedot viranomaisille heidän ensimmäisestä pyynnöstä." Järjestö kehotti myös Kiinan hallitusta kumoamaan uuden kyberturvallisuuslain, joka "antaa viranomaisille carte blanche -vapauden rajoittaa oikeutta sananvapauteen ja oikeutta yksityisyyteen". [neljä]

Muistiinpanot

1. ↑ Kiinan uusi kyberturvallisuuslaki  , ulkosuhteiden neuvosto . Arkistoitu alkuperäisestä 18. lokakuuta 2018. Haettu 18.10.2018.
2. ↑ Kiinan ensimmäinen kyberturvallisuuslaki |  Puolustusalan tutkimus - ja analyysiinstituutti . idsa.in. Haettu 18. lokakuuta 2018. Arkistoitu alkuperäisestä 18. heinäkuuta 2017.
3. ↑ 中华人民共和国网络安全法.百度百科. Haettu 28. kesäkuuta 2022. Arkistoitu alkuperäisestä 22. tammikuuta 2022. (määrätön)
4. ↑ 1 2 Kyberturvallisuutta koskeva resonoiva laki astuu voimaan Kiinassa  (Venäjä) , RIA Novosti  (20170601T0018+0300Z). Arkistoitu alkuperäisestä 25. lokakuuta 2018. Haettu 18.10.2018.
5. ↑ Kiina – Kyberturvallisuuslaki hyväksytty . www.imemo.ru Haettu: 18.10.2018. (Venäjän kieli)
6. ↑ 12 Wong , Sue-Lin . Kiina hyväksyy kyberturvallisuuslain ulkomaisen opposition  (englanniksi) , USA :n edessä . Arkistoitu alkuperäisestä 25. lokakuuta 2018. Haettu 18.10.2018.
7. ↑ Kiinassa kyberturvallisuuslaki sallii ulkomaalaisten tilien jäädyttämisen  (venäläinen) , RIA Novosti  (20161101T1210 + 0300Z). Arkistoitu alkuperäisestä 6. joulukuuta 2017. Haettu 18.10.2018.
8. ↑ Shih, Gerry . Kiinan kyberturvallisuuslakiehdotus voi nostaa sensuuria, irk business  (englanti) , USA . Arkistoitu alkuperäisestä 25. lokakuuta 2018. Haettu 18.10.2018.