13 апреля 2020 г. в КНР приняты «Правила проверки сетевой безопасности», определяющие порядок проведения проверки на соответствие требованиям сетевой безопасности продукции и услуг, приобретаемых операторами ключевой информационной инфраструктуры. Новые правила вступают в силу с 1 июня 2020 г. и заменяют существующие сейчас правила проверки безопасности, действующие в пробном порядке с 2017 г.
Проверка на безопасность продукции и услуг, приобретаемых операторами ключевой информационной инфраструктуры, предусмотрена ст. 35 Закона КНР «О сетевой безопасности». В соответствии с законом операторы ключевой информационной инфраструктуры обязаны проводить проверку приобретаемой продукции и услуг на соответствие требованиям сетевой безопасности, если использование приобретаемой продукции и услуг может повлиять на состояние государственной безопасности. Проверка на соответствие требованиям государственной безопасности должна в соответствии с законом проводиться Государственной канцелярией по делам интернет-информации совместно с другими ведомствами Государственного совета КНР.
К сетевой продукции и услугам, подлежащим проверке на сетевую безопасность, в основном относится сетевое оборудование, высокофункциональные компьютеры и серверы, оборудование для хранения данных высокой емкости, оборудование для обеспечения сетевой безопасности, услуги облачных вычислений и другие товары и услуги, использование которых может существенно повлиять на состояние информационной безопасности.
Ответственные государственные органы
В соответствии с новыми правилами общее руководство работой осуществляется Комиссией Центрального комитета Компартии по вопросам сетевой безопасности и информатизации (далее – Комиссия ЦК КПК), выступающей в качестве последней инстанции при вынесении решений по результатам проверки. Основная работа осуществляется от имени Государственной канцелярии по делам интернет-информации (далее – CAC) совместно с остальными министерствами и ведомствами Госсовета КНР, которые могут участвовать в принятии решений в зависимости от отрасли и сферы деятельности оператора ключевой информационной инфраструктуры.
Организация проверок сетевой безопасности находится в ведении Канцелярии по проверке сетевой безопасности, созданной при CAC. Канцелярия несет ответственность за разработку правил проведения проверки сетевой безопасности и взаимодействует со всеми лицами, вовлеченными в процесс проверки.
Процедура проверки сетевой безопасности
В отличии от прежних правил «Правила проверки сетевой безопасности» предусматривают детальные правила проведения проверок и их сроки.
При закупке сетевой продукции и услуг операторы ключевой информационной инфраструктуры обязаны самостоятельно оценивать риски, возникающие в области сетевой безопасности, и при необходимости обращаться в Канцелярию по проверке сетевой безопасности с заявлением о проведении проверки. Для упрощения оценки новые правила позволяют отраслевым министерствам и ведомствам разработать руководства по оценке рисков в соответствующих отраслях и сферах деятельности.
При подаче заявления оператор ключевой информационной инфраструктуры обязан направить в Канцелярию по проверке сетевой безопасности заявление, отчет-анализ риска в области сетевой безопасности, а также проекты договоров или других документов для проведения закупки. Канцелярия вправе требовать предоставления дополнительных документов от оператора ключевой информационной инфраструктуры и поставщика товаров и услуг.
После получения документов Канцелярия по проверке сетевой безопасности обязана в течение 10 рабочих дней проверить заявление и принять решение о необходимости проведения проверки сетевой безопасности. По общему правилу при оценке необходимости проверки учитываются:
- риск использования поставщиком возможности для незаконного получения контроля или вмешательства в работу ключевой информационной инфраструктуры, а также риск хищения, раскрытия или повреждения важнейших цифровых данных;
- риск причинения длительного ущерба ключевой информационной инфраструктуре в случае прекращения поставки товаров и услуг;
- безопасность, открытость, прозрачность, многообразие источников продукции и услуг, надежность каналов поставки, а также риск прекращения поставки в силу политических, дипломатических, торговых и других причин;
- законопослушность поставщика товаров и услуг (соблюдение им законодательства КНР);
- другие факторы, способные создать угрозу для безопасности ключевой информационной инфраструктуры и государственной безопасности КНР.
Если Канцелярия по проверке сетевой безопасности сочтет, что проверка сетевой безопасности необходима, она обязана уведомить оператора ключевой информационной инфраструктуры и в течение 30 рабочих дней подготовить проект заключения и направить проект для получения рекомендаций в соответствующие государственные органы и организации. В свою очередь, государственные органы и организации, участвующие в принятии решения, обязаны в течение 15 рабочих дней направить канцелярии письменные ответы с рекомендациями.
Если полученные рекомендации одинаковы, Канцелярия по проверке сетевой безопасности завершает проверку, составляет заключение по результатам проверки и направляет заключение оператору ключевой информационной инфраструктуры. В противном случае Канцелярия переходит к процедуре выработки решения в особом порядке.
При проведении проверки сетевой безопасности в особом порядке Канцелярия по проверке сетевой безопасности обязана провести углубленный анализ, повторно подготовить проект заключения для согласования и запросить рекомендации от соответствующих госорганов и организаций, после чего внести проект на утверждение в Комиссию ЦК КПК, принимающую окончательное решение. Проверка в особом порядке по общему правилу проводится в течение 45 рабочих дней.
Помимо проверки сетевой безопасности по заявлению оператора ключевой информационной инфраструктуры с разрешения Комиссии ЦК КПК проверка сетевой безопасности может проводиться по инициативе любого государственного органа или организации, участвующей в работе по проверке сетевой безопасности.
Обязанности участников проверки
Все структуры и их служащие, участвующие в проверке сетевой безопасности, не вправе раскрывать сведения, составляющие коммерческую тайну предприятий, и закрытую информацию, предоставленную в ходе проведения проверки, а также обязаны защищать права на результаты интеллектуальной деятельности. Без согласия лиц, предоставивших информацию, запрещается предоставление сведений другим лицам, которые не имеют отношения к проведению проверки, или использование сведений в целях, которые не имеют отношения к проверке сетевой безопасности.
Проверка сетевой безопасности должна быть объективной и беспристрастной. Если оператор ключевой информационной инфраструктуры или поставщик товаров и услуг сочтет, что проверки лишена объективности и беспристрастности, он вправе обратиться с жалобой в CAC.
В свою очередь операторы ключевой информационной инфраструктуры и поставщики товаров и услуг обязаны оказывать содействие в проведении проверки сетевой безопасности и по требованию предоставлять дополнительные материалы.
Вступление в силу
Регистрация юридических лиц в Китае, составление и экспертиза договоров, защита интеллектуальной собственности, юридический консалтинг.
