Zákon o kybernetické bezpečnosti Čínské lidové republiky (také známý jako zákon o internetové bezpečnosti Čínské lidové republiky ) je hlavním regulačním právním aktem upravujícím oblast internetové bezpečnosti v ČLR . Zveřejněno 7. listopadu 2016 s účinností od 1. června 2017.
Zákon o kybernetické bezpečnosti upravuje jednání poskytovatelů síťových produktů a služeb pro sběr, uchovávání a zpracování uživatelských dat, určuje postup a specifika pro zajištění bezpečnosti informační infrastruktury ve strategicky důležitých odvětvích. Hlavním cílem přijetí zákona je ochrana národní „kybernetické suverenity“ ČLR. [jeden]
Oblast kybernetické bezpečnosti se dostala do pozornosti čínských úřadů ve druhé polovině 90. let.
Jedním z podnětů pro rozvoj legislativy v této oblasti bylo v roce 1999 vytvoření systému elektronické správy (Government Online Project, GOP) a vznik potřeby adekvátní právní regulace. [2] Například v roce 2000 byly přijaty Směrnice pro budování národní elektronické vlády (NEGC).
V roce 2011 byla ustanovení o kybernetické bezpečnosti zavedena do vnitrostátního trestního práva ČLR a v roce 2013 do zákona o ochraně práv a zájmů spotřebitelů.
V červenci 2015 zveřejnil Čínský národní lidový kongres návrh prvního zákona o kybernetické bezpečnosti.
Dne 7. listopadu 2016 byl na zasedání Stálého výboru NPC ve třetím čtení schválen zákon o kybernetické bezpečnosti ČLR . Oficiálně vstoupila v platnost 1. června 2017.
Zákon o kybernetické bezpečnosti je kumulativní a představuje první pokus čínských úřadů formulovat a shrnout strategické principy, kterými se řídí jednání Číny v oblasti kybernetické bezpečnosti.
Text zákona se skládá ze 79 článků, sjednocených do 7 částí:
Zákon se dotýká především činnosti poskytovatelů síťových produktů a služeb. Podle článku 22 musí poskytovatelé síťových produktů a služeb včas informovat uživatele a příslušné orgány o všech známých bezpečnostních slabinách a přijmout nezbytná opatření k jejich odstranění. [3] V případě, že produkty nebo služby shromažďují osobní údaje, jsou poskytovatelé povinni o tom uživatele informovat. Shromažďování a uchovávání osobních údajů uživatelů musí být prováděno výhradně pro účely oficiálně určené poskytovatelem. Sdělování, úprava, mazání a předávání údajů třetím osobám je zakázáno, s výjimkou provádění uvedených operací na žádost samotného uživatele.
Zákon výrazně omezuje anonymitu uživatelů zavedením požadavku na povinné ověření pro přístup do sítě. Pokud uživatel neuvede skutečné identifikační údaje, poskytovatel nemá právo otevřít přístup do sítě.
Zvláštní pozornost je věnována bezpečnosti kritické infrastruktury, která zahrnuje vládní komunikační a informační služby, energetiku, dopravu, zavlažování, finance, obranu, e-government a další klíčová odvětví a sektory, kde poškození, zneužití a únik dat může vést k závažným ohrožení národní bezpečnosti a veřejného zájmu. Mimo jiné se zpřísňují požadavky na odbornou přípravu zaměstnanců pracujících na zařízeních KVII, zavádí se zákaz uchovávání dat mimo Čínu; podle ustanovení zákona by nákup síťových produktů a služeb pro zařízení CIS měl být prováděn pod kontrolou oprávněných státních orgánů, podniky v kritických odvětvích jsou povinny provádět každoroční hodnocení bezpečnostních rizik a výsledky promítnout do zprávy.
V případě zjištění porušení zákon stanoví pokuty v rozmezí od 10 000 do 1 milionu juanů v závislosti na závažnosti kybernetické kriminality, přičemž veškeré nelegálně získané příjmy podléhají zabavení. [4] V souladu s článkem 75 mají orgány ČLR možnost zmrazit majetek zahraničních institucí, organizací a jednotlivců, pokud jsou podezřelí z organizování a provádění útoku, hackerství, zasahování nebo poškozování kritické informační infrastruktury Číny.
Nařízení dále počítá s realizací opatření ke zvýšení úrovně gramotnosti obyvatel v oblasti kybernetické bezpečnosti za účasti orgánů státní správy na všech úrovních a médií.
Přijetí zákona vede ke zvýšení státní kontroly nad aktivitami čínských a zahraničních firem na internetu.
Zákon může mít významný dopad na strukturu čínského domácího IT trhu a postavení národních výrobců. Jeho implementace omezuje přístup západních IT firem na čínský trh, protože po nich vyžaduje speciální certifikaci, z čehož mimo jiné vyplývá nutnost prozradit zdrojové kódy dodávaného softwaru.
Čínské a zahraniční společnosti, které plánují prodávat IT produkty na čínském trhu, musí provést úplné nebo částečné úpravy svých obchodních a provozních postupů v souladu s ustanoveními nového zákona. [5]
V srpnu 2016 více než 40 mezinárodních společností požádalo čínského premiéra Li Kche-čchianga o změnu zveřejněného zákona, ale čínské úřady uvedly, že ustanovení zákona „nejsou v rozporu se zájmy zahraničních společností“. [6]
Západní média opakovaně označila nový právní akt za kontroverzní. Nečínské publikace uvedly, že velké zahraniční technologické společnosti byly „znepokojeny tím, že cílem zákona je také chránit čínský domácí IT sektor“ a uvedly, že nová pravidla „odpuzují čínské kupce od nákupu zahraničních produktů“. [7]
Předseda Americké obchodní komory v Číně James Zimmerman v rozhovoru pro agenturu Reuters označil ustanovení nového zákona za „nejasná, nejednoznačná a otevřená výkladu ze strany úřadů“. [6]
Lidskoprávní organizace Amnesty International opakovaně kritizovala politiku čínských úřadů v oblasti kybernetické bezpečnosti. Zejména ředitel programů Amnesty International ve východní Asii Nicholas Bekelin v komentáři ke zveřejnění návrhu čínského zákona o kybernetické bezpečnosti uvedl, že to vede k institucionalizaci cenzury. [8] Podle specialisty Amnesty International na Čínu Patricka Moona „tento nebezpečný zákon fakticky dělá z internetových společností agenty státu a vyžaduje od nich cenzuru a poskytování osobních údajů uživatelů úřadům na první žádost“. Organizace také vyzvala čínskou vládu, aby zrušila nový zákon o kybernetické bezpečnosti, který „dává úřadům volnost při omezování práva na svobodu projevu a práva na soukromí“. [čtyři]