1 сентября 2021 г. в КНР вступило в силу Положение «О защите безопасности ключевой информационной инфраструктуры» (Постановление Госсовета КНР № 745), определяющее правила отнесения сетевой инфраструктуры и информационных сетей к ключевой информационной инфраструктуре (КИИ), обязанности и ответственность операторов КИИ, основные государственные гарантии функционирования КИИ и юридическую ответственность за правонарушения.
Понятие «ключевая информационная инфраструктура» (关键信息基础设施) в КНР впервые появилось в Законе КНР «О сетевой безопасности», вступившем в силу с 1 июня 2017 г. В соответствии с законом КНР осуществляет особую защиту КИИ в области общественных телекоммуникаций и информационных услуг, энергетики, транспорта, ирригации, финансов, общественных услуг, электронного правительства, других важнейших отраслей и сфер деятельности, а также другой КИИ, если причинение вреда или раскрытие данных инфраструктуры может представлять существенную угрозу государственной безопасности, экономике и благосостоянию или публичным интересам.
В дополнение к обязанностям, которые обязаны выполнять все операторы сетей, операторы КИИ в соответствии с Законом КНР «О сетевой безопасности» обязаны создавать специальные отделы для обеспечения безопасности и определять ответственных лиц, проводить регулярное обучение и аттестацию сотрудников, проводить проверку на безопасность при закупке основного оборудования, оценку угроз безопасности КИИ с представлением отчетности в контролирующие органы, а также хранить на территории КНР важные данные и персональные данные пользователей.
Первый проект Положения «О защите безопасности ключевой информационной инфраструктуры» был опубликован для общественных консультаций в июле 2017 г. после вступления в силу Закона КНР «О сетевой безопасности», после чего надолго пропал из поля зрения на четырехлетний период. В окончательной редакции Положение было принято 17 августа 2021 г.
Компетентные госорганы
Контроль за выполнением работы по защите безопасности КИИ осуществляет Министерство общественной безопасности КНР, выполняющее работу под общим руководством со стороны Государственной канцелярии по делам интернет-информации (CAC). Министерство промышленности и информатизации КНР, другие министерства и ведомства КНР (включая органы по защите гостайны и регулирования криптографии) выполняют работу по защите безопасности КИИ в пределах собственной компетенции.
CAC координирует обмен информацией между госорганами, обобщает и распространяет сведения об угрозах, уязвимостях и происшествиях в области сетевой безопасности, а также руководит работой по проведению инспекций и проверок. Проведение инспекций и проверок находится в ведении органов общественной безопасности и органов отраслевого регулирования и контроля.
Признание в качестве КИИ
В соответствии с Положением к КИИ относится важнейшая сетевая инфраструктура и информационные системы в следующих отраслях и сферах деятельности:
- общественные телекоммуникации и информационные услуги;
- энергетика;
- транспорт;
- ирригация;
- финансы;
- общественные услуги;
- электронное правительство;
- оборонная наука, техника и промышленность;
- другие важнейшие отрасли и сферы деятельности.
Кроме того, к КИИ относятся важнейшая сетевая инфраструктура и информационные системы, если их нарушение (причинение вреда, нарушение функционирования, раскрытие данных) может создать существенную угрозу для государственной безопасности, национальной экономики и народного благосостояния или публичных интересов.
В дополнение к объектам, отнесенным к КИИ Законом КНР «О сетевой безопасности», Положение включает в КИИ сетевую инфраструктуру и информационные сети в области государственной обороны (оборонная наука, техника и промышленность). В остальном перечень отраслей и сфер деятельности не изменился.
Подробные правила признания инфраструктуры и информационных системы в качестве КИИ должны быть установлены органами отраслевого регулирования и контроля для каждой отрасли по отдельности. После определения правил и их регистрации в Министерстве общественной безопасности КНР органы отраслевого регулирования и контроля обязаны самостоятельно проводить оценку инфраструктуры и информационных систем и принимать решения об отнесении объектов к КИИ с учетом значимости объекта для соответствующей отрасли, возможного ущерба в случае нарушения и другого взаимосвязанного влияния на отрасль или сферу деятельности. В случае отнесения к КИИ госорганы обязаны уведомить оператора инфраструктуры или информационной системы, а также проинформировать Министерство общественной безопасности КНР.
Обязанности операторов КИИ
Основная ответственность за обеспечение безопасности возлагается на операторов КИИ. Основное ответственное лицо (законный представитель) оператора КИИ несет ответственность за защиту безопасности КИИ, руководит выполнением работы по обеспечению безопасности и ликвидации последствий происшествий в области сетевой безопасности, а таже организует изучение и разрешение основных проблем по обеспечению безопасности.
В соответствии с Положением операторы КИИ обязаны:
- синхронизировать меры по обеспечению безопасности КИИ с развитием и использованием КИИ;
- создавать специальные отделы по обеспечению безопасности и проводить биографии руководителей отделов и сотрудников на ключевых должностях (органы общественной безопасности и органы государственной безопасности обязаны оказывать содействие при проведении проверок);
- обеспечивать отделы по обеспечению безопасности необходимыми кадровыми и материальными ресурсами и принимать решения по вопросам сетевой безопасности и информатизации с участием сотрудников данных отделов;
- проводить ежегодную оценку сетевой безопасности (самостоятельно или поручать проведение проверки квалифицированной сервисной организации), своевременно устранять выявленные проблем и информировать соответствующие госорганы;
- информировать органы отраслевого регулирования или контроля и органы общественной безопасности о значимых происшествиях или выявлении существенных угроз безопасности КИИ;
- отдавать приоритет надежным и безопасным услугам и оборудованию и при необходимости проходить процедуру проверки сетевой безопасности при закупке у поставщиков услуг и оборудования (а также заключать с поставщиками соглашения о безопасности и конфиденциальности, включающие условия о технической поддержке и ответственности поставщика за безопасность поставляемого оборудования/услуг);
- оказывать содействие госорганам при проведении инспекций и проверок безопасности КИИ;
- своевременно информировать госорганы при возникновении изменений, которые могут повлиять на результаты оценки значимости сетевой инфраструктуры или информационной системы, и проходить повторную проверку в компетентном госоргане;
- своевременно информировать госорганы при слиянии, разделении, ликвидации организации-оператора КИИ и предпринимать меры в отношении КИИ в соответствии с требованиями госорганов.
Юридическая ответственность операторов КИИ
Если оператор КИИ не выполняет обязанности по информированию госорганов, созданию специальных отделов для обеспечения безопасности, проверке биографий основных сотрудников, ежегодной проверке и оценке состояния сетевой безопасности КИИ, заключению с поставщиком соглашения о безопасности и конфиденциальности, а также если оператор КИИ принимает решения по вопросам сетевой безопасности без участия основных сотрудников, ответственных за обеспечение безопасности КИИ, компетентные органы выносят предупреждение и предписание об устранении нарушении. Если оператор КИИ не выполняет предписание или в случае возникновения тяжелых негативных последствий в результате правонарушения на оператора КИИ может быть наложен штраф в размере от 100 тыс. до 1 млн. юаней жэньминьби, а на ответственных лиц оператора – штраф в размере от 10 тыс. до 100 тыс. юаней жэньминьби.
В случае закупки у поставщика оборудования и услуг без проведения проверки безопасности (если проверка необходима), то CAC вправе наложить на оператора КИИ штраф в сумме от однократного до десятикратного размера стоимости закупки, а на ответственных лиц оператора – в размере от 10 тыс. до 100 тыс. юаней жэньминьби.
В случае отказа оператора от содействия при проведении инспекции или проверки сетевой безопасности КИИ соответствующий госорган обязан вынести предупреждение и издать предписание об устранении нарушений; если предписание не будет исполнено – наложить штраф на организацию в размере от 50 тыс. до 500 тыс. юаней жэньминьби и штраф на ответственных лиц оператора КИИ в размере от 10 тыс. до 100 тыс. юаней жэньминьби.
Заключение
Положение «О защите безопасности ключевой информационной инфраструктуры» оставляет принятие детальных правил отнесения сетевой инфраструктуры и информационных сетей к КИИ на усмотрение министерств и ведомств, ответственных за регулирование и контроль в отдельных отраслях. Следовательно, подробные правила будут по отдельности приниматься несколькими ведомствами (среди них: Министерство промышленности и информатизации КНР, Министерство транспорта КНР, Народный банк Китая, Государственный комитет по развитию и реформе КНР) и могут содержать разные критерии. Последствия принятия нового Положения для иностранного бизнеса в Китае тоже можно будет оценить только после появления детальных правил.
Регистрация юридических лиц, проверка контрагентов в Китае, составление и экспертиза договоров, защита интеллектуальной собственности, юридический консалтинг.
