Китай открывает великий файрвол – московское заявление главного в КНР по ИБ

105

На Форуме безопасного Интернета, состоявшемся в Москве в среду, выступил генеральный директор бюро по информационной безопасности руководящей группы ЦК Компартии Китая по информатизации и сетевой безопасности КНР Чжао Цзэлян (Zhao Ziyang) – он сообщил важные подробности о вступающем через в силу через месяц законе о кибербезопасности (China Cybersecurity Law), а также о политике своей страны в области трансграничной передачи данных, персональных в том числе. Это, по словам Чжао Цзэляна, первый «всеобъемлющий» закон о кибербезопасности Китая.

Политика страны в киберпространстве будет усовершенствована. Чжао Цзэлян назвал «недоразумением» представления о том, что Китай якобы стремится ограничить деятельность иностранных компаний и распространение их продукции на китайском рынке, трансграничную передачу данных, или же ограничить свободу и демократию в киберпространстве.

Чжао Цзэлян выступает на VIII Форуме безопасного Интернета в Москве. Фото (с) Андрей Анненков

Что предполагает закон о кибербезопасности КНР

1. China Cybersecurity Law «имеет целью развитие и открытость». Стандарты и правила, необходимые для защиты IT-систем, имеют целью сохранение данных и соблюдение интересов тех, кому данные принадлежат – а принадлежат они государству, компаниям, частным лицам. Закон определяет обязанности и меру ответственности субъектов права в киберпространстве.

В настоящее время в КНР проживают более 700 миллионов пользователей Интернета. В китайском сегменте Интернета – более четырех миллионов веб-сайтов. По словам Чжао Цзэляна, «Интернет становится неотъемлемой частью жизни людей, китайская экономика и общество очень сильно зависит от Интернета».

2. Защита детей в киберпространстве. Для детей в Сети должна существовать «безопасная и здоровая среда». Государство поощряет научные исследования, разработку устройств и онлайн-сервисов, необходимых детям. China Cybersecurity Law позволяет на законных основаниях пресечь («crack down», сказал выступавший на английском Чжао Цзэлян) деятельность тех, кто в Сети ставит под угрозу психическое и физическое здоровье детей.

Защита детей в Интернете также есть «важный компонент политики председателя КНР Си Цзиньпина в сфере IT, сообщил директор бюро по информационной безопасности.

Методы защиты детей, как и пользователей вообще, разнообразны. Самым важным из них в Китае считают «повышение осведомлённости и навыков».

В Китае каждый год проходит «национальная кибернеделя», она проводится в масштабах страны и приходится на третью неделю сентября. Участие в ней принимают все без изъятия, от руководителей государства и членов правительства до школьников. В течение кибернедели проводятся тематические мероприятия – выставки, демонстрации технологий IT-безопасности, собрания в общинах, классах, семьях. Более 200 миллионов пользователей Интернета получают обучающие материалы на мобильные телефоны.

3. «Цзы Чжу Кэ Конг» (Zi Zhu Ke Kong), институт наблюдения за кибербезопасностью в КНР. Чжао Цзэлян затруднился с буквальным переводом на английский, но пояснил суть дела: IT-продукты и сервисы, критически важные для информационной инфраструктуры – в частности, те, что обеспечивают национальную безопасность, – должны анализироваться на предмет соответствия определённым требованиям по строгим процедурам, без того, что в России называют «ручным управлением». Прямого это сказано, разумеется, не было, пример служит только тому, чтобы яснее передать смысл.

Приблизительный перевод «Цзычжу» (ZiZhu) – автономность, самостоятельность, без вмешательства. Далее, «Кэ Конг» (Ke Kong) в словосочетании означает «контроль».

Принципы «Цзы Чжу Кэ Конг»:

Во-первых, без согласия пользователя невозможен доступ к принадлежащим ему данным, их использование, модификация или уничтожение.

Во-вторых, провайдеры не должны ни контролировать, ни изменять пользовательские системы без ведома или против воли пользователя.

В-третьих, провайдеры не должны навязывать пользователю удовлетворение своих собственных интересов за его счёт, заставляя потребителя продуктов или сервисов соглашаться под угрозой отказа в обслуживании (то, что сплошь и рядом имеет место в сегодняшней Сети, где действует диктуемой производителями правило «соглашайся с нашими условиями, или уходи» – ред.).

При этом «Цзы Чжу Кэ Конг», система автономной, но контролируемой проверки IT-продуктов и онлайн-сервисов, не делает никаких различий между иностранными и китайскими поставщиками таковых. Правила одни для всех, «национальные ограничения» бизнесу не навязываются.

4. Трансграничная передача данных

Трансграничное движение данных – предпосылка движения капиталов, технологий, продуктов, людей между странами и регионами. Без трансграничной передачи данных нет глобализация в её истинном смысле.

Но следует оценить «персональную информацию и важные данные» прежде, чем они будут вывезены из страны.

Важные замечания по этому пункту.

Во-первых, не все данные подлежат проверке и оценке. Речь только о персональной информации и важных данных. Что значит «важные» — это определяют требования разумной, достаточной национальной безопасности. Данные, представляющие интерес только для бизнеса, в категорию «важные» не входят и контролю на границе не подлежат.

Во-вторых, если субъект персональных данных дал на то своё согласие, его личная информация также может пересечь границу.

В-третьих, говоря в привычных нашему читателю российских терминах, в настоящее время проект нормативно-правового акта об оценке ценности личной информации и «важных данных» открыт для общественного обсуждения. Китайский регулятор заинтересован в комментариях и изменениях, откуда бы они ни исходили. Цель обсуждения – найти баланс между выгодами трансграничной передачи данных и защищённостью личной информации.

5. Международное сотрудничество

С вызовами кибербезопасности ни одна страна или регион не может справиться в одиночку. Странам следует сотрудничать, чтобы овладеть ситуацией, обеспечить безопасность своих граждан, компаний, собственную безопасность в киберпространстве.

При этом не имеет значения, велика страна или мала, развита она или только развивается – у каждой есть право определять, какие правила поведения и способы регулирования применять в киберпространстве в соответствии с национальными законами.

Московское сообщение о китайском законе: что важно

Чжао Цзэлян специально выбрал Москву для декларации принципов политики КНР в киберпространстве. «Ещё два дня назад я был в Новой Зеландии, на конференции по ISO/ISC SC27 (стандарт информационной безопасности – ред.), но досрочно оставил мероприятие, «потому что хотел оказаться в Москве, чтобы обсудить здесь с вами вопросы кибербезопасности».

Сделанное им сообщение содержит существенную новизну: страна, которая запретила на своей территории деятельность ряда транснациональных IT-компаний, включая Google и Facebook, провозгласила равенство всех перед «Цзы Чжу Кэ Конг» и допустимость трансграничной передачи данных, необходимых для бизнеса, включая персональные, с согласия их владельца. Для Китая, изолировавшего свой сегмент Интернета «великим китайским файрволом», это может означать принципиальные изменения политики в отношении Интернета.

«Великий китайский файрвол», официально «Золотой щит» (Golden Shield Project) – совокупность IT-систем и организационных мероприятий с целью контроля интернет-трафика на границе с КНР. Важнейшая функция состоит в блокировке доступа к запрещенным правительством КНР данным и онлайн-сервисам (запрещены, в частности, порнография).

«Великий китайский файрвол» существует более 15 лет и значительно усовершенствовался за время существования.

Конечно, трансграничная передача данных нужна КНР постольку, поскольку важные рынки сбыта китайской продукции находятся за пределами страны, а покупают эту продукцию сегодня онлайн, на AliExpress. Однако предложения и опыт КНР имеет смысл изучить и позаимствовать. Не исключено, например, что продуманная и опробованная китайцами процедура оценки IT-продуктов помогла бы усовершенствовать российские методы импортозамещения ПО.

Для России, последовательно добивающейся примата международного права в управлении Интернетом, сотрудничество с КНР в духе China Cybersecurity Law сулит важного союзника.

«Великий файрвол», когда его создавали 15 лет назад, был молчаливым признанием сложившегося в Сети положения дел. А оно было таково: если тебя что-то не устраивает, будь то система управления корневыми доменами или деятельность американского поисковика в твоей стране, иди судиться с ICANN и Google в окружной суд Сан-Хосе, штат Калифорния. Китай и сохранял независимость, как умел, ограждая себя внешнего управления.

Теперь положение иное. Страна, где пользователей Интернета больше совокупного населения России и США, вводит универсальные правила, по которым данные и компании могут пересечь границу КНР с её «великим файрволом». С этими правилами придётся считаться всем.