Кибербезопасность в китае доклад

Обновлено: 30.06.2024

В настоящее время многие государства мира, включая КНР, разрабатывают собственную теоретическую базу в области обеспечения кибербезопасности. Одна из основных проблем мирового киберпространства на современном этапе - отсутствие международной правовой системы, юридически устанавливающей нормы и правила поведения в этой сфере.

В КНР создание полноценной структуры обеспечения кибербезопасности и интернет-контроля, где ведущую роль занимает Коммунистическая партия Китая (КПК), а также разработка соответствующей юридической базы с законодательно утвержденным разделением функций гражданских и военных структур позволят эффективно обеспечить национальную безопасность в киберпространстве.

В Китае в настоящее время принят и используется ряд законодательных актов, регламентирующих стратегию страны в киберпространстве.

Закон о кибербезопасности вступил в юридическую силу 1 июня 2017 года.

В феврале 2014-го для разработки этого документа была специально создана руководящая группа по информатизации и кибербезопасности, что подчеркивало важность обеспечения кибербезопасности страны. В конце июня 2015 года Всекитайское собрание народных представителей (ВСНП) 12-го созыва начало обсуждение проекта закона о кибербезопасности, 7 ноября 2016-го он был принят на 24-м заседании постоянного комитета ВСНП.

Закон о кибербезопасности регламентирует действия серверов и услуг по сбору, хранению и обработке пользовательских данных, определяет порядок и специфику обеспечения безопасности информационной инфраструктуры в стратегически важных отраслях.

Главной целью принятия закона провозглашается защита национального "киберсуверенитета" КНР. Его положения носят сводный характер и представляют собой первую попытку китайских властей сформулировать и обобщить стратегические принципы, определяющие действия страны в области кибербезопасности. К основным его положениям можно отнести следующие:
- поставщики серверов и услуг должны своевременно информировать пользователей и соответствующие компетентные органы о любых известных уязвимостях в области безопасности и принимать необходимые меры по их устранению;
- в случае если серверы собирают личные данные, поставщики обязаны уведомлять об этом пользователей;
- сбор и хранение личных данных пользователей должны осуществляться исключительно в целях, официально обозначенных поставщиком интернет-услуг;
- запрещены раскрытие, изменение, удаление и передача данных третьим лицам за исключением проведения перечисленных операций по требованию самого пользователя;
- исключается анонимность пользователей за счет введения требования об обязательной верификации для доступа к сети;
- особое внимание уделяется безопасности критически важных областей (государственные коммуникационные и информационные услуги, энергетика, транспорт, финансы, оборонная сфера и другие ключевые отрасли и сектора, причинение ущерба, незаконное использование и утечка данных, в которых могут нести серьезную угрозу национальной безопасности и общественным интересам);
- ужесточаются требования к профессиональной подготовке сотрудников объектов информационной инфраструктуры, вводится запрет на хранение данных за пределами Китая;
- закупка сетевых серверов и услуг должна осуществляться под контролем уполномоченных государственных органов, а предприятия в критически важных отраслях обязаны проводить ежегодные оценки рисков безопасности и отражать полученные результаты в отчетах;
- в случае выявления нарушений предусмотрены штрафы в размере от 10 тыс. до 1 млн юаней в зависимости от тяжести киберпреступления, при этом весь полученный незаконным путем доход подлежит конфискации;
- в соответствии со ст. 75 закона власти КНР также имеют возможность "замораживать" * активы иностранных учреждений, организаций и физических лиц, если они подозреваются в организации и осуществлении атак, взлома, вмешательства, нанесении вреда критически важной информационной инфраструктуре Китая;
- предусматриваются меры по повышению уровня грамотности населения в области кибербезопасности при участии государственных органов всех уровней и СМИ.

Таким образом, принятие закона ведет к усилению государственного контроля над деятельностью китайских и иностранных компаний в сети Интернет.

В Национальной стратегии безопасности в киберпространстве КНР (далее - Стратегия) информационная безопасность определяется как основа стабильности в стране, для поддержания которой необходимо предотвращать любые виды вмешательства в политическую, социальную и культурную жизнь государства. Данная стратегия подразумевает деятельность, направленную не только на обеспечение кибербезопасности страны, но и на защиту законных прав своих граждан в сети Интернет.

В первую очередь в Стратегии дано определение киберпространства - это виртуальное пространство общественной деятельности, созданное людьми на основе информационных технологий и являющееся новой областью, вошедшей в повседневную жизнь людей. Документ также выделяет базовые аспекты интернет-пространства, которые необходимо развивать: новые каналы распространения информации; сетевые технологии, расширяющие сферу коммуникаций; совершенствование платформ образования, предпринимательства, медицинского обслуживания и финансовых операций. Отмечается, что всемирная сеть становится движущей силой инновационного развития, которая способствует трансформации и модернизации традиционных отраслей промышленности, содействует экономической реструктуризации и изменениям вектора экономического развития страны.

В сфере обеспечения информационной безопасности Стратегия определяет главный проект - "Золотой щит" - систему фильтрации интернет-контента в Китае.

Между провайдерами и международными каналами связи работает система серверов, которая критически оценивает всю информацию согласно установкам руководства страны.

"Щит" применяется провайдерами для защиты компьютерных систем от хакерских атак и интернет-вирусов, а также для ограничения доступа к информации.

За его реализацию отвечает бюро общественной информации и надзора за сетевой безопасностью. "Золотой щит" - это один из ведущих проектов КНР в области создания электронного правительства. За счет регулирования информации и создания благоприятного информационного фона он позволяет повысить осведомленность граждан о назначении электронного правительства.

В Национальной стратегии безопасности в киберпространстве правительство выделяет важные для интересов Китая аспекты:
- гонка вооружений в киберпространстве и установленная западными странами гегемония в нем угрожают международному балансу сил, мешая совместному и эффективному предотвращению общих проблем кибербезопасности;
- система национальной кибербезопасности должна постоянно обновляться и дополняться новыми технологиями и кибероборудованием;
- необходимость установления единых для всего мирового киберпространства стандартов в области информационных технологий, обеспечение открытости IT-рынков с целью преодоления разрыва между странами в сфере развития цифровых технологий;
- систематизация и интеграция на национальном уровне в единую законодательную базу вопросов обеспечения безопасности киберпространства;
- установление единых стандартов в сфере международного киберсотрудничества и кибербезопасности, причем эта деятельность должна обеспечивать личную конфиденциальность и права человека.

В этом документе китайская сторона впервые изложила свою позицию и понимание кибербезопасности, перспективы преобразования системы государственного управления сетевым пространством и возможности построения единого интернет-сообщества. Успешное управление киберпространством руководство страны видит в комплексном соблюдении следующих правил: обеспечение справедливого распределения основных ресурсов Интернета; многостороннее управление серверами и различными объектами информационно-коммуникационной инфраструктуры с территории Китая; содействие развитию цифровой экономики и инвестирование в развитие сетевой культуры.

Стратегия международного сотрудничества в киберпространстве (издана 1 марта 2017 года МИД КНР) - первый официальный документ, регламентирующий вопросы участия Китая в международном обмене и сотрудничестве в области международной информационной безопасности (МИБ). В этом документе представлены взгляды Пекина на национальные и международные проблемы в киберпространстве, излагаются основные принципы, стратегические цели и ключевые действия по работе с другими странами. В Стратегии изложена позиция китайского руководства по урегулированию спорных вопросов в мировом интернет-пространстве и подчеркивается, что их разрешение должно носить исключительно мирный характер.

Документом были определены следующие задачи КНР по обеспечению МИБ:
- защита интернет-суверенитета, национальной безопасности и интересов Китая;
- формирование системы международных правил в киберпространстве;
- содействие справедливости в управлении Интернетом;
- защита законных прав и интересов граждан;
- содействие глобальному сотрудничеству в цифровой экономике;
- создание платформ для обмена киберкультурой.

Кроме этого, в данном документе Пекин объявил всему миру реальность, необходимость и легитимность строительства сил информационного противоборства в рамках военной реформы, инициированной в конце 2015 года. Отмечается также, что защита собственных интересов в киберпространстве является важной частью национальной обороны КНР.

Обеспечением МИБ Китай занимается и в рамках ООН, Шанхайской организации сотрудничества (ШОС) и БРИКС.

Необходимо также отметить, что китайская нормативно-законодательная база в сфере кибербезопасности постоянно развивается.

Структура государственного аппарата КНР по обеспечению кибербезопасности. Высшим руководством в этой сфере является Центральный военный совет. Кроме того, в данном процессе задействованы профильные министерства, такие как: бюро общественной информации и надзора за сетевой безопасностью, министерство государственной безопасности, министерство науки и технологий КНР, а также другие узконаправленные правительственные институты.

Ключевым отличием от большинства стран мира является то, что в КНР большое влияние на реализацию информационной политики оказывает КПК. Координирующую роль играет Центральная комиссия по киберпространству, в которую входят председатель КНР, премьер Государственного совета КНР и главы профильных министерств и комиссий.

В государственном аппарате страны существует более 30 отделов и институтов, занимающихся вопросами обеспечения кибербезопасности и формирующих ее национальную стратегию.

В марте 2018 года на 1-й сессии ВСНП 13-го созыва был вынесен на рассмотрение масштабный план по реорганизации 26 министерств и комитетов в рамках документа "Усиление программы партии и государственной институциональной реформы". Согласно ему руководящая группа по кибербезопасности и информатизации была реформирована в Центральный комитет по кибербезопасности и информатизации КПК. В настоящее время он выполняет те же функции, что и эта группа, а также совместно с Центральным комитетом по международным делам и Центральным финансовым и экономическим комитетом будет реализовывать и контролировать масштабные проекты в смежных для комитетов областях.

В Центральный комитет по кибербезопасности и информатизации КПК входят многие члены руководящей группы по всестороннему углублению реформ, Государственного управления по защите государственной тайны КНР, руководящей группы по пропаганде и идеологии, а также большое число представителей различных министерств КНР. Они играют роль "специализированных" институтов, обеспечивая информационную безопасность в интернет-пространстве.

Необходимо отметить, что несмотря на ведущую роль Центрального комитета по кибербезопасности и информатизации КПК, регулирование контента и всей электронной индустрии в большей степени является ответственностью Государственного управления по делам радиовещания, кинематографии и телевидения. Оно отвечает за блокировку нежелательного контента в китайском сегменте Интернета. Провайдеры обязаны устанавливать специальные фильтры для блокировки доступа к нежелательным ресурсам и определенным зарубежным сайтам.

Военные структуры, отвечающие за обеспечение кибербезопасности. В системе обеспечения национальной безопасности в киберпространстве военные структуры Народно-освободительной армии Китая (НОАК) в настоящее время играют наиболее важную роль.

C 2015 года в вооруженных силах КНР произошли структурные изменения, связанные с проводимой политическим руководством страны реформой НОАК. Так, генеральный штаб НОАК преобразован в объединенный штаб Центрального военного совета (ЦВС).

В настоящее время в структуре ВС страны в сфере обеспечения кибербезопасности особое место занимают формирования сил стратегической поддержки НОАК (ССП). В их функции входит ведение разведывательной деятельности в Интернете, поиск уязвимостей информационных систем и проработка действий подразделений по проведению кибератак против гражданских и военных объектов противника. В состав ССП вошли многие институты и подразделения НОАК с общими задачами. Кроме того, эти силы начали заниматься вопросами информационного обеспечения политического и военного руководства страны.

НОАК подчинены научно-исследовательские институты и центры, специализирующиеся на информационной безопасности, а также информационный и сертификационный центр, который представляет собой единую структуру, занимающуюся вопросами обеспечения идеологического контроля гражданских информационных технологий.

Ведущим научным подразделением Народно-освободительной армии Китая в области кибербезопасности является 56 НИИ, известный как Исследовательский институт компьютерных технологий (городской округ в провинции Цзянсу), обеспечивающий деятельность других научных центров.

56 НИИ, в частности, занимается реализацией программы правительства № 863 (создание и развитие стратегических информационных технологий, решение государственных научно-технических задач), основная цель которой - добиться полной технологической самостоятельности страны.

57 НИИ НОАК, он же Юго-западный институт электронных и телекоммуникационных технологий (г. Шанхай), отвечает за разработку систем перехвата коммуникативных сигналов и их обработку.

В провинции Сычуань расположен 58 НИИ НОАК (Юго-западный исследовательский институт автоматики), занимающийся вопросами криптологии и информационной безопасности, который реализует свою деятельность совместно с Нанкинским университетом науки и технологий.

Таким образом, китайское правительство в последние годы предпринимает конкретные шаги по повышению уровня кибербезопасности в стране. Впервые за последние десять лет была официально заявлена позиция правительства КНР в вопросах национальной кибербезопасности и международного сотрудничества в киберпространстве.

Китайская система обеспечения кибербезопасности - это не только поддержание технической безопасности устройств, но и тотальный контроль национальной информационной инфраструктуры Интернета, а также государственного суверенитета. Закон о кибербезопасности установил единые стандарты сбора и хранения персональных данных пользователей, обязав операторов сотовой связи и интернет-провайдеров хранить их на территории КНР. На законодательном уровне введены меры наказания за противоправную деятельность в киберпространстве.

В стратегии международного сотрудничества в киберпространстве китайское руководство впервые открыто говорит о создании сил информационно
го противоборства, официально объявляет о готовности к международному сотрудничеству в вопросах кибербезопасности, поскольку все страны мира в этой сфере сталкиваются с одинаковыми проблемами - кибертерроризмом и киберпреступностью.

* Согласно закону, институты государственной безопасности КНР и их подразделения имеют право замораживать и приостанавливать деятельность зарубежных организаций на территории страны.

Таблица 1 Основные международные документы КНР по обеспечению международной информационной безопасности

В 2016 году в Китае представили современную версию национальный стратегии по кибербезопасности. Его основной посыл — использование любых средств для обеспечения суверенитета национального киберпространства. В новой серии статей мы расскажем о том, какие именно инструменты применяет Китай для обеспечения информационной безопасности в стране.

Начнем с общего обзора различных классификаций и законов.



/ Flickr / Surian Soosay / CC

Многоуровневая система защиты

1. Повреждение ИС наносит вред правам граждан и организаций.

2. Здесь к п.1 добавляется ущерб общественному порядку.

3. Помимо п.1 и п.2 — еще и ущерб национальной безопасности.

4. Значимый ущерб всех трех уровнях (п.1 — п.3).

5. Критический ущерб на уровне национальной безопасности.

Полагаясь на MLPS и законодательство, власти требуют доступ к протоколам шифрования и значительной части исходного кода от компаний, работающих в сфере финансов, телекома, медицины, образования и энергетики. Чем выше потенциальная угроза, тем выше требования.

Регулирование шифрования

Важный элемент обеспечения информационной безопасности в Китае — регулирование всего, что касается шифрования. Одна из первых директив в этом отношении вышла еще в 1999 году.

Она регламентировала работу с тематическим ПО и железом — производить и продавать продукты шифрования в коммерческом секторе стало возможно только с разрешения государственных органов и в соответствии с установленными правилами. Так, криптостойкость не могла превышать уровень, установленный государством. Позже власти разъяснили, что эти правила применяются к продуктам, основной функцией которых является шифрование. Например, для пользовательских гаджетов это — вторичная функция, и на них запрет не действует.

В следующие годы власти развивали идею контроля средств шифрования и развивали национальные стандарты. Например, в 2003 году правительство сделало WAPI обязательным для любого беспроводного продукта, продаваемого в Китае. Набор стандартов IEEE 802.11 временно оказался под запретом, но в процессе диалога с Международной организацией по стандартизации (ИСО) ограничение смягчили, а ряд вендров пошли по пути компромисса. Например, Apple с поддержкой WAPI в рамках 3GS iPhone.



/ Flickr / Jessica Spengler / CC

В 2009 году в Китае появился каталог импортеров продуктов шифрования. Его состав пересматривался позднее. Например, в 2013 году список покинули смарт-карты для цифрового ТВ и Bluetooth-модули. Судя по проекту нового закона о шифровании, Китай отказывается от строгих требований для иностранных компаний и стремится к унификации регулирования.

В сентябре прошлого года Госсовет КНР принял решение, которое освобождает производителей и пользователей продуктов шифрования от необходимости получать разрешение на поставки и распространение, но все еще требует сертификации. Без него ни одна компания или физическое лицо не сможет продавать коммерческие продукты шифрования в Китае.

Закон о кибербезопасности

В 2014 году за два года до публикации современной версии национальной стратегии по кибербезопасности в Китае прошла первая встреча Группы по вопросам безопасности и информатизации. На ней президент Си Цзиньпин дал напутствие сделать ИТ-безопасность приоритетом для страны. Это решение было продиктовано и тем, что годом ранее Китай вошел в число стран, понесших самые большие потери от киберпреступлений в мире.

В 2015 году в Китае был принят новый закон о национальной безопасности. Его положения распространялись на широкий круг сфер, и подчеркивали необходимость укрепления защиты национальных ИТ-систем и установления суверенитета киберпространства в Китае. Более подробно эти вопросы раскрыл черновик Закона о кибербезопасности. В числе прочего он предполагал обязательную регистрацию в интернет-сервисах, особенно в мессенджерах, под настоящими именами, привлечение операторов к участию в правительственных расследованиях, крупные инвестиции в сферу кибербезопасности, введение обязательства по хранению ПД в Китае.

В 2016 году закон был окончательно принят, а в 2017-м вступил в силу. Закон делает акцент на сборе, хранении и использовании ПД китайских гражданах и информации, имеющей отношение к национальной безопасности. Такие сведения должны храниться внутри страны.

Закон о кибербезопасности применяется ко всем операторам и предприятиям в критически важных секторах, и фактически к любым системам, состоящим из компьютеров и сопутствующего оборудования, которое собирает, хранит, передает и обрабатывает информацию. Регулирование также предусматривает обязательное тестирование и сертификацию оборудования сетевых операторов и запрещают экспорт за границу экономических, технологических или научных данных, которые представляют угрозу национальной безопасности или общественным интересам.

Последнее положение вызвало неоднозначную реакцию. Более 50 американских, европейских и японских компаний подписали коллективное письмо на имя премьер-министра Ли Кэцяна еще в июне 2016 года. Они утверждали, что новое законодательство будет препятствовать работе иностранных компаний в Китае. Уже после принятия закона США опубликовали официальный призыв к Китаю с просьбой не допустить полного ввода новых правил, так как они препятствуют международному обмену информацией.



/ Flickr / ChiralJon / CC

Тем временем закон продолжает поэтапно вступать в силу. Ожидается, что процесс завершится к концу 2018 года. В мае этого года в Китае обсудят спецификацию ПД, предложенную в январе.

Она станет важным дополнением к законодательству. Спецификация уточняет определение персональных данных и вводит различные составляющие таких сведений — финансовая, идентификационная информация и так далее. Документ содержит конкретные требования к сбору и использованию ПД в зависимости от их назначения.

На этом мы не заканчиваем тему правовой защиты информационной безопасности Китая. В следующих частях мы подложим знакомить вас с технологическими нюансами этой темы.

Вопросы ускоренного развития новых цифровых технологий вместе с различными аспектами обеспечения информационной безопасности в последние несколько лет являются важнейшей проблемой развития многих стран, в том числе России и Китая.

Алексей Маслов: Россия и Китай совместно предлагают целый комплекс мер, направленных в будущее.

Изначально открытая, общедоступная цифровая среда одновременно представляет собой поле для различных киберугроз, а также форм манипуляции общественным мнением. И Китай, и Россия предпринимают ряд мер, нацеленных на защиту цифровой среды, в том числе создание суверенных и устойчивых сетей интернет и интранет. Китай также испытал в 2019-2020 годах мощнейшие атаки на свои технологии, которые он предлагал для всего мира, в частности 5G, облачные хранилища и т.д. Под серьезным давлением оказались и гиганты техноиндустрии Китая, в том числе Huawei, Alibaba, ZTE и многие другие. Таким образом, вопрос развития структуры информационно-коммуникационных технологий (ИКТ) тесно связан с вопросами обеспечения глобальной конкурентоспособности и безопасности.

Фото: Синьхуа

Взаимодействие России и Китая на данном направлении представляется крайне важным, учитывая также заметное расширение сотрудничества в области науки и техники и противостояние общим вызовам. К тому же обе страны часто парадоксальным образом попадают в общие списки "киберугроз", которые составляют власти США, Канады и ряда других стран .

Россия и Китай разрабатывают во многом схожие меры в области цифровой экономики, однако наблюдаются и существенные различия, заключающиеся прежде всего в комплексности подходов. При этом обе страны уже сегодня имеют одни из самых жестких законодательств в области обеспечения безопасности ИКТ. Comparitech в марте 2020 года изучила уровень кибербезопасности в 76 странах и обнаружила, что законодательство России лучше всего отвечает современным требованиям в этой сфере. По данным исследования, самое современное законодательство по кибербезопасности в целом разработано во Франции, Китае, России и Германии.

Обратим внимание на то, что очевидно объединяет позиции России и Китая в этом вопросе. Во-первых, понимание комплексного характера атак и угроз, которые исходят из киберпространства. Это и террористические угрозы, и кибератаки на значимые инфраструктурные объекты, и возможность дестабилизации политической и экономической ситуации за счет распространения дезинформации через социальные сети. Во-вторых, это разработка национальных платформ и защищенного интернета, а также национальных социальных сетей. Если Китай значительно раньше начал движение в этом направлении и к сегодняшнему дню уже создал национальные системы социальных сетей (WeChat, Douban, Youku и др.), то подход России допускает использование как национальных, так и международных платформ. Еще одним важным моментом взаимодействия России и Китая в этой области является готовность развивать более широкую координацию усилий, в том числе через платформы ШОС, БРИКС.

Меры в области цифровой экономики в Китае

Особенности современного цифрового развития Китая заключаются в том, что китайское руководство связало воедино ряд аспектов, которые первоначально развивались по различным направлениям и программам. Прежде всего это сочетание цифровизации, поддержания устойчивости энергосетей и передачи энергии на большие расстояния. В этой области реализуется несколько проектов: "Сделано в Китае-2025" 2013 года, "Национальный план развития информатизации" 2016 года. "Национальная стратегия взаимодействия в киберпространстве" 2017 года, "Новая инфраструктура" 2020 года и ряд других. Законодательную базу составляют "Закон о национальной безопасности" 2015 года, "Закон об информационной безопасности" 2017 года и т.д.


Алексей Маслов: Россия и Китай совместно предлагают целый комплекс мер, направленных в будущее, - не только на укрепление кибербезопасности, но и на широкое взаимодействие в области высоких информационных технологий. Фото: Донат Сорокин / ТАСС

В последние несколько лет руководство КНР сделало ИТ-безопасность одним из своих главных приоритетов. К мерам первостепенной важности относится введение строгих правил использования иностранных ИТ-продуктов в секторах, критических для безопасности Китая, таких как банковское дело. Главная цель - закрыть потенциальные точки входа для хакеров и иностранных спецслужб и укрепить китайскую кибериндустрию. В результате этих мер китайский рынок ИТ-безопасности быстро расширился: по данным американской компании по исследованию рынка Technavio, с 2,11 млрд долл. в 2014 году до 3,62 млрд долл. в 2019 году, с ежегодным двузначным ростом.

Усилия Китая в области кибербезопасности как в гражданском, так и в военном аспекте к настоящему времени уже более масштабны, чем усилия США и Европы. США, например, не имеют единой позиции по защите данных на национальном уровне и только пытаются сформулировать четкую стратегию для киберпространства за пределами военной области. Похожая ситуация сложилась и в ЕС: европейский "Общий регламент ЕС по защите данных" явно не связан с более масштабными целями для национальной безопасности и социальной стабильности. Однако Европа также стала придерживаться более жесткого подхода к безопасности, в частности, цифровой торговли.

Фото: Синьхуа

Китай стремится перенести свои разработки в области компьютерной безопасности на внешние рынки и создать с партнерами совместный контур безопасности. В частности, в сентябре 2020 года было объявлено, что Китай запустит глобальную инициативу по обеспечению безопасности данных, которая может служить мировым стандартом. Такое заявление сделал министр иностранных дел КНР Ван И на международном семинаре на тему "Использование цифровых возможностей для сотрудничества и развития", отметив, что Китай не просил и не будет просить китайские компании передавать зарубежные данные правительству КНР в нарушение законов других стран. В целом инициатива состоит из восьми предложений и направлена на защиту глобальных данных и безопасность цепочки поставок, содействие развитию цифровой экономики и обеспечение плана для формулирования глобальных правил. Она представляет собой обязательство Китая обеспечить глобальную безопасность данных. КНР предлагает государствам добиваться этого комплексным, объективным и основанным на фактах образом и выступает против использования данных для действий, подрывающих национальную безопасность и интересы других государств. Китай также призвал государства противостоять массовому слежению друг за другом и не просить местные компании хранить данные, созданные и полученные за рубежом, на их собственной территории .

Инициатива возникла в связи с экспертным мнением о том, что растущие риски безопасности данных поставили под угрозу национальную безопасность, общественные интересы и личные права, а также выдвинули новые задачи для глобального цифрового управления. Поэтому Китай стремится защитить то, что китайские эксперты обычно называют "важными данными", которые в случае утечки могут напрямую повлиять на национальную и экономическую безопасность, социальную стабильность или здоровье населения страны. При этом, например, в области производства полупроводников Китай все еще в основном полагается на иностранные комплектующие: по состоянию на 2019 год только 16 процентов полупроводников производятся внутри КНР. Таким образом, КНР не располагает достаточным опытом и ноу-хау, и поэтому открываются возможности для взаимодействия с иностранными партнерами. При этом Россия располагает большим числом специалистов, в том числе в рамках центров при ведущих российских университетах, таких как Московский государственный университет им. М.В. Ломоносова, Московский государственный технический университет им. Н.Э. Баумана, Московский физико-технический институт, которые по различным причинам не имеют прямой возможности реализовать свои уникальные разработки на международных рынках. Возможными вариантами осуществления совместных российско-китайских высокотехнологических программ могут стать, в частности, создание совместной распределенной зоны высоких технологий, а также активное использование мощностей российско-китайского университета МГУ-ППИ в Шэньчжэне для создания совместных лабораторий и производств.

Законопроект о безопасности данных, принятый 2 июля 2020 г. Постоянным комитетом Всекитайского собрания народных представителей (ПК ВСНП), является первой системной попыткой Китая осуществить законные полномочия в отношении компаний, находящихся за пределами его юрисдикции. Компании, ведущие операции в Китае, могут столкнуться с требованиями проверки и сертификации соблюдения ими мер кибербезопасности в соответствии с документом, который, как ожидается, вступит в силу в 2021 году. Организации, ведущие деятельность на территории КНР, уже обязаны сертифицировать свои операции по кибербезопасности через назначенные правительством органы. Согласно предложенному закону, их также могут попросить раскрыть детали своей сетевой безопасности за границей, чтобы получить сертификат. Законопроект предоставляет центральным и региональным правительственным органам Китая полномочия определять то, что они считают "важными данными" для различных регионов и отраслей.


Алексей Маслов: На Центральном совещании по экономическим вопросам в 2018 году. В Китае было предложено "ускорить темпы коммерциализации 5G и укрепить строительство новой инфраструктуры, такой как искусственный интеллект, промышленный интернет и интернет вещей". Фото: REUTERS

Пандемия 2020 года показала огромное влияние цифровых сетей на возможность поддержания устойчивого функционирования промышленности и хозяйства в целом. Ускорение строительства новых типов инфраструктуры - это не только важное средство реагирования на неблагоприятные последствия эпидемии и обеспечение бесперебойной работы экономики, но и мера для содействия технологическим инновациям и придания нового импульса экономическому развитию.

Режим управления ИКТ в Китае можно понимать как матрицу взаимосвязанных стратегий, законов, мер, правил и стандартов, постепенно вводимых государственной администрацией. Вместе эти части охватывают правила защиты данных, критической инфраструктуры, шифрования, интернет-контента, а также поддержки индустрии ИКТ Китая. Важнейшим в данном случае является Закон о кибербезопасности, но многие соответствующие меры и стандарты все еще находятся в стадии разработки. В частности, ожидается одобрение новых стандартов в отношении потоков данных, персональной информации, критической инфраструктуры и т.д.

Фото: AP Photo/Mark Schiefelbein

В Докладе о работе правительства КНР за 2019 год предлагалось "укрепить строительство информационной инфраструктуры нового поколения". На Центральном совещании по экономическим вопросам 2019 года была подчеркнута необходимость "неуклонно развивать строительство сетей связи". 4 марта 2020 года Постоянный комитет Политбюро ЦК КПК провел заседание, на котором предложил "ускорить строительство новой инфраструктуры, в том числе сетей 5G и центров обработки данных".

На исполнительном заседании Госсовета 28 апреля 2020 года были приняты новые меры по ускорению строительства новой инфраструктуры, такой как информационные сети, и уточнен ряд требований, в частности "инновационный инвестиционный режим строительства" и "ориентированность на приложения". Эти решения стали сигналом для ускорения создания "новой инфраструктуры" и указали направления ее развития.

Национальная комиссия по развитию и реформам уточнила масштабы "новой инфраструктуры" и предложила, чтобы она базировалась на новых концепциях развития, связанных прежде всего с технологическими инновациями, основанными на информационных сетях и отвечающими потребностям высококачественного развития, обеспечивая цифровую трансформацию, интеллектуальное обновление и интеграцию.

В августе 2020 года были определены три основные стратегии развития "новой инфраструктуры". Во-первых, необходимо сосредоточиться на координации отношений между государственными и частными инвестициями. Во-вторых, уделить особое внимание содействию скоординированному развитию инвестиций как в новую, так и в традиционную инфраструктуру. В-третьих, обратить внимание на взаимосвязь между руководящими принципами государственной политики и рыночным распределением ресурсов. Таким образом, привлечение частного бизнеса является важнейшей частью развития этой инфраструктуры, в то время как центральной администрации следует "изучить и сформулировать национальные планы развития новых инвестиций в инфраструктуру, а провинциальным департаментам - изучить и сформулировать новые планы развития инвестиций в инфраструктуру, отвечающие местным условиям". При этом само планирование предполагается сделать гибким: "Планирование инвестиций должно быть приблизительным, а не подробным, главным образом для публикации информации и направления инвестиций".


Алексей Маслов: Области, связанные с технологиями следующего поколения, - научно-исследовательские институты, исследовательская инфраструктура и инновационные индустриальные парки. Фото: Виктор Авдеев

На сессии ВСНП в 2020 году было объявлено, что помимо удвоения инвестиций в инициативы "Сделано в Китае-2025" и "Китайские стандарты-2035" власти выделят около 1,4 трлн долл. в качестве государственных инвестиций на новую цифровую инфраструктуру. Новая инфраструктура включает семь ключевых областей: сети 5G, промышленный интернет, междугородний транспорт и железнодорожная система, центры обработки данных, искусственный интеллект, передача электроэнергии сверхвысокого напряжения и станции зарядки автомобилей на новых типах энергии.

В целом инвестиции, связанные с новыми инфраструктурными проектами, составят около 10 трлн юаней (1,43 трлн долл.) и 17,5 трлн юаней (2.51 трлн долл.) на следующий пятилетний период до 2025 года.

Только по сетям 5G к концу 2020 году Китай планирует построить 600 000 базовых станций, а к 2025 году их количество вырастет до примерно 5 млн.

В апреле 2020 года Национальная комиссия по развитию и реформам опубликовала модернизированную классификацию новой инфраструктуры, включающую три широкие области, связанные с технологиями следующего поколения:

1. Информационная инфраструктура - основа технологического развития, которая относится к технологиям повышения производительности, а также увеличения скорости, точности и широты получения собираемой, хранящейся, распространяемой и анализируемой информации. Включает в себя технологии 5G, интернет вещей, промышленный интернет, искусственный интеллект, облачные вычисления, блокчейн, центры обработки данных и сетевую инфраструктуру интернет-коммуникаций.

2. Инновационная инфраструктура - общедоступные объекты, которые призваны поддерживать научно-техническую, научно-образовательную и инновационную инфраструктуру промышленных технологий.


Алексей Маслов: В проекте каталога поощряемых инвестиций 2020 года предлагается расширить перечень производственных категорий на 56 позиций. Фото: AP

3. Интегрированная (конвергентная) инфраструктура формируется за счет сочетания применения интернета, больших данных, искусственного интеллекта и других технологий для поддержки модернизации традиционной инфраструктуры. Затем все эти разработки используются для развития интеллектуальной транспортной (строительство междугородних высокоскоростных железнодорожных и внутригородских железнодорожных систем), а также интеллектуальной энергетической инфраструктуры (новые зарядные станции для электромобилей и сверхмощные линии электропередачи).

25 провинций приступили к реализации своих собственных планов. Шанхайский план устанавливает общий целевой показатель инвестиций в новые технологии на ближайшие три года в 270 млрд юаней (38,7 млрд долл.), Гуанчжоу подписал 16 новых цифровых инфраструктурных проектов с общим объемом инвестиций 56,6 млрд юаней (8,09 млрд долл.). В провинции Чжэцзян 61 процент новых проектов приходится на области высоких технологий, что на 20 процентов больше, чем в 2019 году.

Китай объявил, что к 2025 году инвестирует 500 млрд юаней (72 млрд долл.) в передачу электроэнергии сверхвысокого напряжения, 100 млрд юаней в микросхемы для искусственного интеллекта и 650 млрд юаней (93,4 млрд долл.) в промышленный интернет. Власти также заявили, что построить 5 млн базовых станций 5G к концу 2025 году - это 25-кратное увеличение мощностей менее чем за пять лет.

Основным инвестором выступает государство, однако для каждой области наблюдается разная степень участия государственного финансирования. Например, инновационные исследования и спутниковая связь будут иметь высокий объем государственных инвестиций, в то время как прикладные разработки, виртуальная реальность, 3D-печать и производство интеллектуальных роботов будут поддерживаться за счет частных инвестиций и иметь относительно низкие входные отраслевые барьеры для иностранных инвестиций. Участие иностранных компаний в этих областях в ряде случае ограничено. Иностранные инвестиции в интернет-центры обработки данных и сети 5G практически невозможны, в то время как инвестиции в промышленный интернет и искусственный интеллект обычно поддерживаются.

Фото: Михаил Джапаридзе/ТАСС

В проекте каталога поощряемых инвестиций 2020 года предлагается расширить перечень производственных категорий на 56 позиций, добавив производство лидарных (световых и дальномерных) и миллиметровых (ММВ) радаров, связанных с технологией автономного вождения, а также зарядных станций. В области производства компьютеров, средств связи и электроники в предложенный перечень добавилось производство интеллектуальных носимых устройств, интеллектуальных беспилотных летательных аппаратов (БПЛА), роботов для обслуживания клиентов, а также систем и оборудования для умного дома. К этому также относятся видеокомпоненты (оптические объективы, лазеры, фоточувствительные чипы, радары, фотоэлектрические модули и др.) и мобильные терминалы 5G (телефоны, автомобили, беспилотные летательные аппараты, виртуальная реальность и дополненные дисплеи).

Меры в области цифровой экономики в России

* Полная версия статьи - сборник "20-летие Договора о добрососедстве, дружбе и сотрудничестве между РФ и КНР"


1 июня в Китае вступает в силу Закон о кибербезопасности КНР, принятый в октябре 2016 года постоянным комитетом Всекитайского собрания народных представителей (ПК ВСНП). Нормативный акт появился на свет спустя три десятилетия после того, как профессор одного из пекинских вузов Цянь Тяньбай впервые вошел в интернет для переписки с зарубежными коллегами.

Закон, состоящий из шести глав и дополнения, затрагивает права и интересы более чем 700 млн пользователей китайского сегмента интернета (т. н. Chinanet), определяя также обязанности провайдеров электронных услуг. В нем изложены общие принципы и меры по поддержке и развитию сетевой безопасности, включая надзор, превентивные меры и реагирование на экстренные ситуации. Упоминается ответственность за нарушения требований закона.

"Данный закон разработан в целях обеспечения сетевой безопасности, защиты суверенитета киберпространства и национальной безопасности, отстаивания социальных и общественных интересов, защиты законных прав и интересов граждан, юридических лиц и других организаций в целях содействия здоровому развитию информатизации экономики и общества", — подчеркивается в первой статье документа.

Подавляющее большинство пользователей интернета в Китае вряд ли непосредственно ощутят последствия вступления закона в силу: он вобрал в себя уже действующие в стране правила и нормы работы в интернете. Вместе с тем Закон о кибербезопасности КНР создает для этих и последующих актов и нормативов законодательную основу. Несмотря на кажущуюся неполноту и местами расплывчатый характер, закон послужит платформой для государственного регулирования информационных технологий (ИТ), встраивания их в общую конструкцию современного китайского социума.

Хотя новые правила предназначены для регулирования вопросов кибербезопасности в КНР и исходят из сугубо китайских реалий, требований национального законодательства, они представлят интерес и для других стран, которые сталкиваются с угрозой кибертерроризма, становятся объектами кибератак и где стоят вопросы взаимоотношений с иностранными производителями оборудования и ПО, провайдерами интернет-услуг.

Стандартизация и контроль — основы безопасности интернета в Китае

Закон о кибербезопасности "применяется для создания, эксплуатации, обслуживания и использования интернета, а также эксплуатации (социальных) сетей", гласит документ, подчеркивающий важность стандартизации и контроля при доминирующей роли правительства.

"Государство создает и улучшает систему стандартов сетевой безопасности. Отделы стандартизации и другие ведомства при Госсовете КНР в соответствии со своими обязанностями организуют и формулируют, а также пересматривают национальные и отраслевые стандарты для управления сетевой безопасностью и сетевыми продуктами, услугами в сети и нормами безопасности", — говорится в нем. Создатели закона, понимая, что даже самому большому в мире аппарату исполнительной власти не по силам обеспечить полный контроль за интернет-населением (в Китае оно превышает 700 млн юзеров), частично передоверяют реализацию систем сетевой безопасности сетевым операторам, которые, в свою очередь, "должны соответствовать требованиям системы защиты уровня безопасности сетей и другим требованиям, выполнять обязательства по сетевой безопасности, обеспечивать работу сетей без вмешательств, препятствовать доступу разрушающих или несанкционированных запросов, утечке данных, их хищению и фальсификации".

Китай запустил платформу для отслеживания недостоверной информации в интернете

Операторы должны создавать внутреннюю систему управления безопасностью, принимать превентивные меры против компьютерных вирусов и сетевых атак. Им предписано обеспечивать мониторинг и запись состояния сети, технических мер по разрешению вопросов сетевой безопасности и хранить отчеты не менее шести месяцев со дня их создания. Первоначальная сортировка данных, шифрование и создание копий важной информации — также среди обязанностей операторов.

Провайдерам сетевых продуктов и услуг запрещается устанавливать "вредоносные программы". При обнаружении в сетевых продуктах и услугах "слабых мест, лазеек и других рисков" они должны "незамедлительно принять меры по исправлению ситуации, своевременно уведомить пользователей и соответствующие уполномоченные органы".

Требования стандартизации и контроля распространяются и на "железо", и на ПО, в том числе зарубежные. "Критически необходимое сетевое оборудование и продукты сетевой безопасности перед началом продаж должны проверяться на соответствие национальным стандартам и обязательным требованиям, быть сертифицированы институтами или пройти испытания на безопасность", — говорится в законе. Эти функции возлагаются на "ведомства, задействованные в сфере интернета, и Госсовет КНР", которые "составляют и публикуют список ключевого интернет-оборудования и продуктов в сфере интернет-безопасности, а также обеспечивают продвижение сертификатов безопасности и тестирования, предотвращают возможность дублирования этих документов".

Главное — защита общественных интересов, анонимности — нет!

Вопросы приватности информации в интернете трактуются в законе в общем виде, сбор персональной информации допускается в рамках "соответствующих законов и правил". "Провайдеры сетевых продуктов и услуг с функцией сбора данных пользователя должны получить разрешение пользователя на сбор информации; сбор персональной информации должен совершаться с соблюдением соответствующих законов и правил о личной информации", — гласит документ. Операторы "не должны разглашать, искажать, наносить ущерб, а также вести сбор личной информации".

"Любые физические лица и организации не имеют права присваивать личную информацию или использовать другие незаконные способы для ее получения". Вместе с тем исключается анонимность пользователей: "При регистрации доступа в интернет, регистрации в социальной сети, подключении стационарного телефона или мобильной связи, предоставлении клиенту услуг публикации информации или ее передачи, при подписании соглашения (об оказании услуг) клиент должен предоставить подлинное удостоверение личности. Если оно не будет предоставлено, то оператор услуг не имеет права на обслуживание клиента". При этом "государство принимает стратегию по разработке технологий и созданию надежных средств удостоверения личности, а также их взаимного признания".

Физическим лицам и организациям не разрешается "на незаконной основе проникать в сети других лиц, нарушать их естественную работу, похищать данные и вести другую деятельность, несущую в себе угрозу для сетевой безопасности". Важную роль в этом также должны играть сами провайдеры.

Китайское государство, гласит Закон о кибербезопасности, "придает особое значение защите общественных систем связи и информационного обслуживания, отраслей энергетики, транспорта, водопользования, финансов, социального обслуживания и электронного правительства, а также других отраслей, вывод из строя или хищение данных которых может подорвать национальную безопасность, экономику страны, интересы общества и ключевую информационную инфраструктуру".

Си Цзиньпин: мир должен совместно бороться с преступлениями в киберпространстве

В законе перечисляется ряд ведомств, отвечающих за информационную безопасность по различным направлениям. "Государство обеспечивает систему мониторинга кибербезопасности, раннего предупреждения и оповещения. Ведомства должны координировать работу правительственных учреждений с целью укрепления интернет-безопасности, сбора информации и анализа, а также уведомлений в соответствии с постановлениями". Им также вменяется в обязанность разработка планов реагирования в чрезвычайных ситуациях, регулярное проведение учений.

Отдельная статья посвящена действиям при крупных сетевых угрозах. Прописаны виды наказания (преимущественно штрафы — до 100 тыс. юаней, это 823 тыс. рублей) за нарушения требований закона для ведомств, организаций и физических лиц, в случаях если их действия не влекут за собой уголовной ответственности.

Реакция на закон в Китае

Китайские эксперты высоко оценивают Закон о кибербезопасности, указывая, в частности, на усиление защиты индивидуальной информации. "В настоящее время защита личной информации является важным аспектом. По мере развития облачных технологий, роста объемов данных, а также роста числа запросов к личной информации со стороны предприятий и организаций увеличилось число случаев использования личной информации, ее разглашения и передачи за рубеж. Несмотря на то, что до вступления в силу закона китайские ведомства разработали меры регулирования, они не были систематизированы и нуждались в доработке. Новый закон существенно восполняет эти недостатки", — заявил заместитель главы Китайского института информационной безопасности Цзо Сяодун.

"Факторов утечки личных данных достаточно много. Среди них — уязвимость сайтов в интернете, атаки хакеров или поддельных страниц, продажа данных недобросовестным продавцом и т. д. Ежегодно в китайском сегменте интернета из-за уязвимости веб-страниц происходит утечка около 5,53 млрд учетных записей. Из них большая часть — личная информация", — напомнил Пэй Чжиюн, эксперт компании Qihoo 360, являющейся одним из лидеров на китайском рынке антивирусного программного обеспечения.

"Новый закон позволяет более эффективно бороться с незаконным сбором данных, включая распространение приложений для мобильных устройств с вредоносным кодом, замаскированных под обычные программы", — полагает представитель Китайской ассоциации интернета Ли И.

"Данная статья имеет большое значение в борьбе с киберпреступлениями и для обеспечения национальной безопасности, — подчеркивает Цзо Сяодун. — Предоставление реальных имен более эффективно, чем использовавшаяся ранее идентификация пользователя по номеру телефона. При этом реальное имя раскрывается только в случае проведения расследования, в обычном режиме пользователь выходит в интернет под псевдонимом".

Важной частью закона эксперты считают ужесточение контроля и требований к безопасности, в которых, по их мнению, заинтересованы крупные компании. В Китае сформировалась группа интернет-компаний, занимающих доминирующее положение в национальном сегменте интернета: Alibaba, Baidu, Shanda Group, NetEase, Tencent, Sina, Tom, Sohu и 360. В случае кибератак или установления контроля над инфраструктурой этих компаний, полагают в КНР, есть опасность установления через их ресурсы контроля над китайским сегментом интернета и финансовыми потоками, проходящими через Chinanet.

Джек Ма: интернет-технологии будут определять развитие стран в течение ближайших 100 лет

"Если работа китайских интернет-компаний или предприятий будет нарушена или парализована, то это чревато серьезными потерями. На нынешнем этапе развития интернета уже необходимо создание ряда требований, нельзя допустить "дикого развития", как это было раньше", — убежден представитель Китайской ассоциации интернета Ли И.

"Alibaba, Baidu, Tencent и другие компании, которые имеют сотни миллионов пользователей, должны нести соответствующие обязательства. У интернет-компаний должен быть соответствующий технологический потенциал обслуживания их информационных платформ для противодействия хакерам и предотвращения потерь пользователей. Также необходимы юридические механизмы, лишающие крупные компании возможностей навязать свои условия соглашений пользователю", — полагает Ли И.

Эксперты отмечают важность 37-й статьи закона, предписывающей "данные, собранные на территории КНР, хранить только в пределах Китая". По мнению некоторых китайских экспертов, закон нуждается в дополнении. "Система реальных имен в интернете еще не полностью запущена, т. к. пока не полностью завершено создание технологии удостоверения личности", — считает Чжу Вэй. Не решен вопрос ответственности интернет-сайтов, нет стандартов для различных отраслей экономики. Что касается пользовательских соглашений о сборе информации, то пока не хватает ряда постановлений, в том числе об интеллектуальных правах на информацию. Многие компании не ведут подробный учет процесса обмена информацией, и это осложняет поиск источника информации в случае возникновения непредвиденной ситуации.

Профессор факультета права Пекинского педагогического университета Лю Дэлянь считает, что "необходимо решить вопрос взаимосвязи закона с уже принятыми правовыми документами". Например, ответственность при гражданских нарушениях, защита личной информации, правила доступа на рынки аппаратного и программного обеспечения и т. д. Согласование этих аспектов важно для избежания проблем при исполнении закона, заявил эксперт.

Критика извне

Зарубежные критики закона утверждают, что его вступление в силу может привести к закрытию иностранных технологических компаний, работающих в различных секторах экономики Китая. Иные из иностранных компаний не согласны с хранением данных на серверах Китая.

"Положения достаточно неопределенны, неоднозначны и допускают широкое толкование регулирующими органами", — отмечают в Американской торговой палате в Китае.

В международной правозащитной организации Human Rights Watch полагают, что закон будет ограничивать свободу в киберпространстве. "Несмотря на озабоченность международных корпораций и правозащитных организаций, их неоднократные заявления, правительство Китая не вносит существенных изменений в законопроект", — сетовала директор Human Rights Watch в Китае Софи Ричардсон.

В письме Торговой палаты ЕС в Китае, ранее направленном в Управление по вопросам киберпространства КНР, говорилось, что новый закон "приведет к большим неопределенностям и рискам". Авторы письма рекомендовали "отложить вступление закона в силу для обеспечения достаточного обсуждения". При этом иные эксперты полагали, что Китай не сможет обеспечить в полной мере исполнение новых правил. "Не похоже на то, что закон будет полностью соблюдаться с 1 июня", — посчитал старший директор по политике в Азиатско-Тихоокеанском регионе BSA The Software Alliance Джаред Рагланд. Для полного соблюдения закона, по его мнению, "не хватает нормативной ясности".

"Очевидно, что закон вступит в силу с 1 июня, но я не думаю, что он будет строго соблюдаться. Ведь закон повлияет на многие международные компании и китайские организации, которые передают данные за границу в рамках основной деятельности", — написала эксперт юридической компании Norton Rose Fulbright Барбара Ли.

Андрей Кириллов, Алексей Селищев

Читайте также: