Ландшафт кибербезопасности Китая
Выбрать раздел:
Государственная политика Китая в сфере кибербезопасности
Государственная политика Китайской Народной Республики (КНР) по инновационному развитию страны, заключается в реформировании ведущих отраслей экономики и наращивании передового потенциала в условиях сложной геополитической обстановки. При этом особое внимание уделяется развитию цифровизации промышленности, контролю киберпространства и созданию собственной (отличающейся от зарубежной) стратегии его регулирования.
За последнее десятилетие руководством страны были предприняты значительные усилия по формированию национальной модели управления киберпространством и приобретения государственного цифрового суверенитета. При этом немаловажная роль отводилась сектору кибербезопасности, как одной из важнейших составляющих национальной безопасности государства. В стремлении занять лидирующие мировые позиции в этой области, китайскими регулирующими органами был введен в действие ряд нормативных правил и законодательных актов, которые формулируют национальные стандарты безопасности и защиты персональных данных. Всего было обнародовано более 140 законов о киберпространстве, которые сформировали в соответствии с Конституцией его правовую основу. Нормативная база определяет требования по обработке, передаче и хранению данных, предусматривая, в том числе, обязательное лицензирование организаций осуществляющих такую деятельность. В частности, ключевыми нормативными актами являются «Закон о кибербезопасности» (Cybersecurity Law, CSL), «Закон о безопасности данных» (Data Security Law, DSL) и «Закон о защите личной информации» (Personal Information Protection Law, PIPL).
«Закон о кибербезопасности» (CSL) от первого июня 2017 года является первым национальным нормативным актом, регулирующим кибербезопасность и защиту конфиденциальности данных. В соответствии с его положениями вся личная информация и данные, собираемые и создаваемые операторами связи, должны храниться на серверах, расположенных на территории материкового Китая. Срок хранения не менее шести месяцев. Для сбора и использования персональных данных требуется согласие физического лица. В 2022 году в закон был внесен ряд поправок, которые усилили ответственность за нарушение обязательств по общей безопасности функционирования сети, защиту критической информационной инфраструктуры, сетевой информационной безопасности и защиту персональных данных.
«Закон о безопасности данных» (DSL), вступивший в силу первого сентября 2021 года, регламентирует деятельность технологических компаний в части использования и хранения данных на территории КНР. Для передачи данных за пределы страны компания должна получить разрешение правительства на это и пройти проверку безопасности. DSL применяется не только к компаниям, работающим в Китае, но и к любым организациям, которые ведут бизнес, предоставляя товары и услуги в стране.
«Закон о защите личной информации» (PIPL) от первого ноября 2021 года дополняет существующие нормативные акты и правила о персональных данных. Применяется к государственному и частному секторам.
Также, Гражданский кодекс КНР, вступивший в силу первого января 2021 года, укрепляет установленное законом право на неприкосновенность частной жизни и устанавливает принципы защиты данных.
Кроме основных нормативных актов, в Китае существует ряд законов и правил, в том числе и на уровне провинций, положения которых регулируют сбор и использование частной информации в зависимости от отрасли применения и фактического контекста самих актов (личная информация, полученная в ходе деятельности финансовых учреждений и предприятий электронной коммерции, а также личная информация, собранная поставщиками телекоммуникационных или интернет-услуг и др.).
Помимо формирования нормативно-правовой базы, была проведена всеобъемлющая реорганизация институционального ландшафта политики в области контроля киберпространства КНР. Ранее эта область была фрагментирована и распределена между многочисленными ведомствами министерского уровня. А на сегодняшний день, организационная система новой структуры управления киберпространством состоит из многочисленных партийных и государственных органов, аналитических центров, научно-исследовательских институтов, а также технических организаций, отраслевых ассоциаций и альянсов.
Центральная комиссия по кибербезопасности и информатизации
Во главе структуры управления киберпространством находится Центральная комиссия по кибербезопасности и информатизации (Central Commission for Cybersecurity and Informatization, CCCI), которая является одной из самых влиятельных китайских правительственных организаций. Руководит CCCI Генеральный секретарь коммунистической партии Китая (КПК) Си Цзиньпин.
CCCI отвечает за обеспечение межведомственной координации, взаимодействие национальной обороны и частного сектора, содействие принятию решений и урегулированию межведомственных противоречий в области кибербезопасности и информатизации.
Администрация киберпространства Китая
Ключевым исполнительным органом CCCI является Администрация (или Управление) киберпространства Китая (Cyberspace Administration of China, CAC).
Изначально САС создавалось для контроля и обеспечения безопасности национального сегмента сети Интернет, в том числе в области государственного информирования и рецензирования для поддержания и продвижения в Интернете руководящей линии ЦК КПК. Но со временем компетенция САС была расширена и закреплена в законодательных актах, добавив в обязанности формирование политики и регулирование в области кибербезопасности, защиты данных и конфиденциальности. Таким образом, Администрация киберпространства Китая была преобразована в межведомственный регулирующий орган, обладающий соответствующими юридическими полномочиями практически во всех государственных и частных секторах, осуществляющих свою деятельность в киберпространстве. В настоящее время CAC отвечает за разработку комплексной национальной стратегии в сферах информационных технологий и кибербезопасности. В компетенцию Администрации входит: управление киберпространством, содействие созданию правовой базы, обеспечение координации и надзора за распространяемой в китайском сегменте сети Интернет информации, развитие технологий и безопасность критической информационной инфраструктуры (КИИ), противодействие киберпреступности и организация международного сотрудничества в области киберуправления.
Кроме этого, САС курирует деятельность министерств Государственного совета, отвечающих за работу телекоммуникационных сетей, поставщиков сетевого оборудования и серверов доступа, а также управление распределением IP-адресов и имен интернет-пользователей. Данные китайских компаний, хранящиеся за пределами Китая, также должны пройти одобрение CAC. Помимо этого, Администрация киберпространства имеет правоприменительные полномочия в соответствии с законами, касающимися антимонопольного законодательства, недобросовестной конкуренции, защиты прав потребителей и безопасности данных, и может выдавать приказы о взимании штрафов, приостановке деятельности и/или отзыве лицензии на ведение бизнеса в отношении компаний, нарушающих действующее законодательство.
В отличие от большинства административных агентств, CAC является закрытым учреждением.
CAC контролирует деятельность следующих организаций:
- Национальный технический комитет по стандартизации информационной безопасности Китая (TC260) – отвечает за разработку технических стандартов информационной безопасности. Он состоит из семи постоянных рабочих групп, которые занимаются различными вопросами кибербезопасности, в том числе защитой секретной информации и шифрованием, аутентификацией и авторизацией, оценкой и управлением безопасностью телекоммуникационных сетей и больших данных.
Ассоциация кибербезопасности Китая
Ассоциация кибербезопасности Китая (Cybersecurity Association of China, CSAC). Это посредническая организация, которая оказывает поддержку государственным департаментам в эффективном внедрении законов, нормативных актов и политик, создающих новый правовой режим в области информационно-коммуникационных технологий (ИКТ).
Кроме того, CSAC осуществляет технологическую поддержку, способствующую развитию отечественной отрасли ИКТ; надзор за общественным мнением для обеспечения контроля информации и пропаганды; защиту основных интересов Китая в условиях глобализации и содействие развитию конкурентоспособных на мировом рынке китайских ИТ-компаний. В её задачи также входят такие вопросы, как организация политических исследований и издание отраслевого журнала, предоставление экспертных знаний для разработки законодательных актов и стандартов, участие в международных дискуссиях по вопросам кибербезопасности, организация программ привлечения талантов, организация специального обучения и повышения осведомленности граждан.
В состав CSAC входят четыре рабочих комитета, которые занимаются, соответственно, вопросами привлечения талантов и образования, киберуправления и международного сотрудничества, организации конкурсов и учений по кибербезопасности, а также юриспруденцией и государственной политикой.
- Национальная техническая группа реагирования на чрезвычайные ситуации в компьютерных сетях, он же Координационный центр Китая (Computer Network Emergency Response Technical Team/Coordination Center of China, CNCERT/CC) – это неправительственный, некоммерческий технический центр, в обязанности которого входит защита информационной инфраструктуры, обнаружение и реагирование на масштабные киберинциденты, которые затрагивают национальную, региональную или отраслевую безопасность.
- Китайская академия исследований киберпространства (The Chinese Academy of Cyberspace Studies, CACS), в качестве аналитического центра публикует ежегодные отчеты о приоритетах и перспективах развития национального сегмента сети Интернет и мирового киберпространства.
- Китайский центр информации о сети Интернет (China Internet Network Information Center, CNNIC) – осуществляет контроль технического состояния автоматизированной системы доменных имен (Domain Name System, DNS) для доменов верхнего уровня «.cn», а также для доменных имен на китайском языке. Кроме этого, CNNIC каждые шесть месяцев публикует статистические отчеты о развитии национального сегмента сети Интернет, в которых содержится анализ состояния ИТ-инфраструктуры Китая и её использования.
Министерство общественной безопасности
Следующим немаловажным органом структуры управления киберпространством является Министерство общественной безопасности (Ministry of Public Security, MPS).
MPS – это орган исполнительной власти КНР, в чьи обязанности входит выполнение полицейских функций (Народная полиция КНР), охрана общественного порядка, защита политического и государственного строя, высшего руководства государства и важных государственных объектов, борьба с терроризмом, экстремизмом и сепаратизмом на территории Китая. Ещё до создания CAC, MPS занимала одну из ведущих позиций в области обеспечения кибербезопасности государства.
На сегодняшний день MPS осуществляет надзор за сетями общественной информации, являясь одной из ключевых государственных организаций, которая имеет полномочия давать прямые указания средствам массовой информации и интернет-компаниям, как освещать или цензурировать определенные типы информационных материалов. Она также отвечает за обеспечение соблюдения законов и нормативных актов, и проводит целевые кампании по высокоприоритетным проблемным вопросам.
Наиболее важные задачи находятся в компетенции 11-го Бюро кибербезопасности MPS. Так, Бюро курирует проект «Золотой щит» (Golden Shield), который является общенациональной инициативой по созданию фундаментальной сетевой безопасности, разработанную электронным правительством КНР. Проект включает в себя национальную систему управления информационной безопасностью, криминальную информационную систему, информационную систему управления въездом и выездом, информационную систему контроля, информационную систему управления дорожным движением и другие.
Проект «Великий брандмауэр»
Входящая в «Золотой щит» национальная система управления информационной безопасностью, более известная как «Великий брандмауэр» (Great Firewall), представляет собой совокупность законодательных мер и технологий, применяемых для регулирования и цензурирования сети Интернет внутри страны. Система предназначена для проверки пакетов протокола управления передачи данных трансграничного интернет-трафика на наличие конфиденциальной информации и соответствия зарубежных компаний требованиям внутренних правил КНР. В случае если эти правила не соблюдаются механизм «Великого брандмауэра» может ограничить доступ к зарубежным источникам информации, блокировать определенные иностранные веб-сайты и мобильные приложения.
Официально проект «Великий брандмауэр» технически управляется САС, но по неподтвержденным данным к его управлению, в части касающейся, может быть причастно и 11-е Бюро MPS. Кроме того, Бюро контролирует функционирование системы многоуровневой защиты кибербезопасности (Cybersecurity Multi-Level Protection System, MLPS), которая обеспечивает информационную безопасность и борьбу с киберпреступностью.
Узнать больше информации о проекте «Золотой щит» можно узнать из нашей справки в VK. В сообществе представлены не только аналитические материалы по теме ИБ, но также и интересные интервью с представителями отрасли, полезные советы для детей и родителей — подписывайтесь.
Министерство промышленности и информационных технологий
Министерство промышленности и информационных технологий (Ministry of Industry and Information Technology, MIIT), также как и Министерство общественной безопасности, ранее занимало ведущую позицию в киберпространстве Китая, пока часть обязанностей не были переданы в САС. Тем не менее, оно по-прежнему имеет ключевое значение в развитии инфраструктуры Интернета и телекоммуникаций. На сегодняшний день MIIT отвечает за строительство и управление сетевой инфраструктурой, включая внедрение технологии 5G, и связанные с этим задачи по обеспечению информационной безопасности, а также за регулирование промышленной политики в ИКТ-секторе. Кроме этого, MIIT сохраняет за собой часть регулирующих полномочий в отношении DNS, несмотря на то, что CNNIC был передан в управление CAC.
Подведомственными организациями, которые курирует MIIT являются Китайская академия информационных и коммуникационных технологий (China Academy for Information and Communication Technologies, CAICT) и Китайское интернет-общество (Internet Society China, ISC).
CAICT – это аналитический центр, который проводит исследования и разрабатывает политику для MIIT. Имеет многолетний опыт в выпуске публикаций, отражающих состояние исследований новых технологий, таких как блокчейн, искусственный интеллект и большие данные. В публикациях излагается видение MIIT относительно их социального и экономического воздействия. Кроме исследований CAICT располагает значительными технологическими возможностями в области промышленного Интернета, облачных вычислений и Интернета вещей. Аналитический центр предоставляет информацию для промышленности и правительства по стандартам и техническим испытаниям, выступая в качестве технического сертификационного органа в тестовых проверках 5G-технологий. Является членом различных отраслевых организаций, ассоциаций и рабочих групп. Имеет сертификаты на проведение процедур проверки сетевых сервисов и продуктов в области кибербезопасности.
Таким образом, CAICT играет важную роль в разработке политики и стандартов в области ИКТ, в частности, являясь важным партнером иностранных компаний по этим вопросам.
В свою очередь ISC является посреднической организацией интернет-сектора, в состав которой входят 16 рабочих групп, занимающихся различными вопросами от защиты авторских прав в Интернете и информатизации сельских районов до рассылки спама и проведения финансовых операций через Интернет. На международном уровне ISC позиционирует себя как неправительственная организация, отвечающая за цифровую среду Китая, в то же время, играя важную регулирующую роль. Является аккредитованным субъектом Международного Союза Электросвязи (МСЭ).
Министерство государственной безопасности
Министерство государственной безопасности (Ministry of State Security, MSS) имеет особое значение для кибердипломатии КНР на международной арене и реализации намеченных целей в области кибербезопасности.
MSS курирует два учреждения: Китайский институт современных международных отношений (The China Institute of Contemporary International Relations, CICR) и Китайский центр оценки безопасности информационных технологий (China Information Technology Security Evaluation Center, CNITSEC).
CICR – это аналитический центр и исследовательский институт, занимающийся международными делами. Он тесно связан с MSS, а большая часть его руководства имеет опыт работы в разведке. Институт занимается академическими исследованиями и обучением, а также составлением аналитических отчетов. Это основное учреждение, отвечающее за межгосударственное сотрудничество по направлению применения международного права в области киберпространства.
CNITSEC – собирает информацию об уязвимостях в программных и аппаратных продуктах и информационных системах. Управляет Национальной базой данных об уязвимостях в области информационной безопасности Китая (China National Vulnerability Database for Information Security, CNNVD) и выполняет процедуры проверки безопасности, предписанные законом о кибербезопасности и подзаконными актами.
В отличие от других субъектов структуры управления киберпространством, Министерство иностранных дел (Ministry of Foreign Affairs, MFA) имеет минимум прямых полномочий в отношении политики, связанной с киберпространством. Его основная роль заключается в продвижении и отстаивании китайского подхода и принципов по управлению киберпространством на международном уровне, а также обсуждение позиций других государств.
В марте 2023 года руководством Китая было принято решение обеспечить централизованный и более жесткий надзор за цифровизацией страны. С этой целью был создан ещё один субъект, вошедший в структуру управления киберпространством.
Национальное управление данных
Национальное управление данных (National Data Bureau, NDB) находится в подчинении Государственного комитета по развитию и реформам (National Development and Reform Commission, NDRC). Новое агентство отвечает за координацию разработки, использования и обмена важными национальными ресурсами данных, а также за содействие по обмену данными между отраслями и ведомствами (ранее контроль был возложен на CAC). В структуру NDB вошли отделы NDRC, отвечающие за продвижение развития цифровой экономики, планирование и строительство цифрового общества, и реализацию национальной стратегии «больших данных».
Несмотря на переход части функционала в NDB, САС продолжает осуществлять контроль над крупными технологическими компаниями, проводить мероприятия по усилению надзора за национальным сегментом сети Интернет и проводить проверки транснациональных компаний на предмет безопасности передачи данных. Защита данных, личной информации и кибербезопасность также остались в ведении Администрации киберпространства Китая. CAC и NDB составили два вектора управления данными Китая, один из которых сосредоточен на безопасности данных, а другой – на экономике данных. Кроме этого, САС сфокусировался на направлениях связанных с продвижением руководящей линии ЦК КПК в сети Интернет и национальной безопасностью.
Помимо вышеперечисленных организаций, которые составляют ядро структуры по внутренним и международным вопросам кибербезопасности Китая, в процессах регулирования периодически участвуют и другие департаменты. Некоторые из них являются специализированными техническими органами, как Государственное управление криптографии (State Cryptography Administration) и Национальная администрация по защите государственной тайны (National Administration of State Se-crets Protection). Другие ведомства, такие как Министерство науки и технологий (Ministry of Science and Technology) и Министерство просвещения (Ministry of Education), поддерживают образовательные и исследовательские компоненты цифровой стратегии Китая. А Министерство финансов (Ministry of Finance) участвует как финансовая составляющая этой стратегии.
Немаловажную роль в ландшафте кибербезопасности Китая играет и частный сектор, особенно крупнейшие ИКТ-компании, такие как Alibaba, Baidu и Tencent, а также отраслевые ассоциации и альянсы. Они являются ключевыми элементами, которые способствуют достижению глобальных технологических целей государства по установлению международных стандартов, влиянию на мировой цифровой порядок и получению технологической независимости.