Wielki (Cyber) Mur – Nowe regulacje dotyczące cyberbezpieczeństwa wprowadzone w Chinach

Podczas gdy uwaga świata skupiona była na historycznych wyborach w Stanach Zjednoczonych (zasługujących na co najmniej cykl artykułów naukowych jeżeli chodzi o aspekt operacji wywiadowczych i ofensywnych działań cybernetycznych), w Chińskiej Republice Ludowej ogłoszono nowe regulacje których celem jest zwiększenie bezpieczeństwa infrastruktury sieciowej, a przez to zapewnienie ‘cyber suwerenności’, co zresztą było jednym z głównych punktów polityki rządu Prezydenta Xi. Prawo ma wejść w życie 1 lipca 2017 roku, jednak już budzi wiele kontrowersji ze względu na coraz dalej idące ingerencje w prywatność oraz znaczne utrudnienia dla prowadzenia działalności gospodarczej, szczególnie w obszarach zaklasyfikowanych jako infrastruktura krytyczna. Co więc zakładają nowe przepisy?

Przede wszystkim wprowadzone zostały blankietowe klauzule umożliwiające podjęcie przez rząd bliżej niesprecyzowanych działań w zakresie bezpieczeństwa informacji. Artykuł 21 zakłada wdrożenie ‘wielowarstwowego systemu bezpieczeństwa sieciowego’ który to może być przedmiotem regulacji i zobowiązań które to zostaną dopiero wprowadzone. Nałożony został obowiązek udzielania pomocy organom państwowym w zapewnianiu bezpieczeństwa narodowego i ścigania przestępstw. Jak to często bywa w takich przypadkach, w przepisach nie została zawarta definicja ‘bezpieczeństwa narodowego’ ani katalog przestępstw którego miałaby dotyczyć pomoc. Dodatkowo ustawa zakłada ustanowienie systemu monitorowania, wczesnego ostrzegania i notyfikacji który będzie musiał zostać zaimplementowany przez operatorów telekomunikacyjnych. Poszczególne przepisy zostaną zapewne doprecyzowane poprzez kolejne akty prawne – w postaci ustaw bądź przepisów wykonawczych, jednak zapewne część z nich zostanie celowo pozostawiona w bardzo ogólnym brzemieniu. Takie zapisy pozostawiają bowiem bardzo dużo swobody we wprowadzaniu konkretnych rozwiązań. Może tak być przykładowo z artykułami przewidującymi ustanowienie mechanizmu ewaluacji i reakcji na zagrożenia oraz organizacji mających ustanowić standardy w zakresie cyberbezpieczeństwa.

Jak wspomniałem, szczególnie kontrowersyjne przepisy dotyczące przedsiębiorstw działających w obszarze infrastruktury krytycznej. Co do zasady serwery należące do takich podmiotów i zawierające ‘dane osobowe i inne istotne informacje’ będą musiały znajdować się na terytorium Chin. Wyjątki zostały przewidziane jedynie dla firm które wykażą, że konieczne jest przechowywanie danych na terytorium innych krajów, a dodatkowo będą współpracować z rządem w zakresie ustanowienia mechanizmów monitorowania bezpieczeństwa serwerów. Co najciekawsze, ustawa zasadniczo nie precyzuje jakie dokładnie obszary stanowią infrastrukturę krytyczną. Wymienione wprost zostały jedynie komunikacja publiczna, energetyka, usługi informacyjne, wodociągi, finanse, usługi publiczne. Jednakże przepisy mogą objąć wszystkie obszary jeżeli wyciek danych bądź utrata funkcjonalności stanowiłaby zagrożenie dla bezpieczeństwa narodowego, dobrobytu państwa, życia ludzkiego bądź interesu publicznego. W praktyce więc, zależenie od decyzji władz, regulacjami może zostać objęta znaczna część firm funkcjonalnych w Chinach.

W przypadku nie zastosowania się do nowych przepisów, na przedsiębiorcę może zostać nałożona grzywna, której kwota waha się pomiędzy ok. 8000 a 150 000 dolarów. Agencje rządowe mogą również cofać koncesje na prowadzenie działalności i nakazać wyłączenie stron internetowych. Najostrzejszą przewidzianą sankcją jest możliwość zastosowania trwającego do 15 dni aresztu.

Ustawa wprowadza także szereg przepisów administracyjnych, zarówno zawierających nowe regulacje jak i kodyfikujących te już istniejące. Uwzględniony został przykładowo obowiązek weryfikacji tożsamości osób którym świadczone są usługi telekomunikacyjne – który i tak jest już egzekwowany, oraz zakaz ‘podżegania do podważania suwerenności państwa’ i ‘obalania systemu socjalistycznego’. Rada Stanu może także ograniczyć dostęp do internetu w celu ochrony bezpieczeństwa narodowego bądź porządku publicznego. Wprowadzone zostały również przepisy dotyczące ochrony danych osobowych które ograniczają zakres informacji które mogą być gromadzone i umożliwiają żądanie usunięcia danych z bazy. W porównaniu z regulacjami europejskimi bądź nawet amerykańskimi są to jednak oczywiście szczątkowe zapisy.

Czy nowe prawo zwiększy poziom cyberbepieczeństwa przedsiębiorców działających w Chinach? Trudno jednoznacznie odpowiedzieć na to pytanie. Z pewnością rząd w Pekinie chce zapewnić sobie dużo szersze możliwości nadzoru nad sposobem zapewniania bezpieczeństwa oraz ewentualnej interwencji w przypadku zaistnienia incydentu. Na ile jednak jest to element narodowej strategi bezpieczeństwa informatycznego, a na ile sposób na rozszerzenie możliwości inwigilacji i kontroli potencjalnie niewygodnych przedsiębiorstw pozostaje pytaniem otwartym.

Analiza oparta o tłumaczenie przygotowane przez China Law Translate.

Advertisements

Tags: , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: