Особенности Закона о кибербезопасности Китайской Народной Республики 2017 г. и международная реакция на его принятие

Государственному совету КНР Закон поручает разработку правил и мер, призванных обеспечить защиту критической информационной инфраструктуры. Помогать ему в этом Закон обязывает вышеописанных операторов – они должны оценивать состояние защиты своих сетей как минимум раз в год и направлять результаты проверок в органы, ответственные за критическую информационную инфраструктуру. Впрочем, Закон не определяет точные масштабы инфраструктуры, которую следовало бы признать критически важной.

Новые правила для граждан КНР, касающиеся защиты персональных данных, представлены в Законе статьями 22, 41-45. В первую очередь, Закон подчёркивает, что в КНР запрещено получать персональные данные граждан иначе, как с их собственного согласия при предварительном уведомлении граждан о том, что их данные будут собраны, переданы или каким-либо другим способом использованы. Даже при поверхностном анализе причин, почему это положение есть в Законе, на ум сразу приходит как минимум участившиеся случаи массовой покупки и продажи различными организациями баз данных, содержащих персональные данные граждан, такие как номер телефона, электронная почта, фактический адрес проживания. Ни для кого не секрет, что подобные «утечки» ведут к большому количеству иных видов мошенничества с использованием персональных данных граждан.

Также, операторы обязываются Законом осуществлять сбор и хранение персональных данных в соответствии с самим Законом, соглашениями с гражданами и внутренними правилами, которые, как было сказано выше будут разработаны государственными органами КНР. Операторам запрещается утаивать, повреждать или уничтожать собранные персональные данные, но незаконно собранные данные могут (и должны) быть удалены по первому запросу гражданина, которому принадлежат эти данные.

37 статья Закона устанавливает ограничения на экспорт информации, связанной с критической информационной инфраструктурой. Если условия того или иного бизнеса требуют передачи подобной информации за рубеж, весь процесс передачи должен быть проверен органами кибербезопасности. По выходе Закона он подвергся серьёзной критике за отсутствие конкретного набора правил передачи информации за рубеж, дабы не растягивать деловые процессы на долгие сроки проверок. С другой стороны, стремление КНР хранить критически важную информацию внутри своих границ понимаемо и законно. Также, статья обещает бизнесу принятие органами кибербезопасности рекомендаций и правил организации хранения информации внутри КНР.