I. Lagar
1. Kinas cybersäkerhetslag (2017) 网络 安全 法
Denna lag är tillämplig på ägare, chefer och nätverkstjänsteleverantörer (nedan kallade "operatörer") som bygger, driver, underhåller och använder nätverk i Kina. Viktiga punkter i denna lag inkluderar:
(1) Operatörer ska verifiera användarens identitet när de tillhandahåller sådana tjänster som nätverksåtkomst, domännamnsregistrering, telefonnätåtkomst eller informationsfrigörande och snabbmeddelanden för användaren.
(2) Personlig information och viktig information måste lagras i Kina. Dataexport ska underkastas tillsynsmyndighetens granskning.
(3) Operatörer ska tillhandahålla tekniskt stöd och hjälp till offentliga säkerhetsorgan och nationella säkerhetsmyndigheter.
(4) Om någon utomeuropeisk institution, organisation eller enskilda attacker, tränger in i, stör, förstör eller på annat sätt skadar Kinas kritiska informationsinfrastruktur, vilket orsakar allvarliga konsekvenser, ska överträdaren vara föremål för juridiskt ansvar i enlighet med lag. De allmänna säkerhetsorganen och relevanta avdelningar kan besluta att frysa fastigheten till eller vidta andra nödvändiga sanktionsåtgärder mot institutionen, organisationen eller individen.
2. Beslut om förstärkning av skyddet av nätverksinformation (2012) 关于 加强 网络 信息 保护 的 决定
I beslutet fastställs för första gången i Kina reglerna för insamling och användning av personlig information och skyldigheterna för nättjänstleverantörer att skydda personlig information.
Lagen om cybersäkerhet, som sedan utfärdades 2018, har antagit det mesta innehållet i beslutet.
3. Beslut om upprätthållande av internetsäkerhet (2000) 关于 维护 互联网 安全 的 决定
Beslutet är Kinas första regel om cybersäkerhet, med följande viktiga punkter:
(1) Att hacka eller förstöra datorsystemet utgör ett brott.
(2) Att undergräva statsmakten, förstöra nationell enhet och nationalitet, stjäla statshemligheter och delta i aktiviteter som involverar kult genom att publicera information på Internet utgör ett brott.
(3) Att kränka andras legitima rättigheter på Internet utgör ett brott.
II Administrativa föreskrifter
De viktigaste punkterna i åtgärderna inkluderar:
(1) Ministeriet för offentlig säkerhet ansvarar för att skydda anslutningen mellan datanätverket i Kina och det internationella Internet.
(2) Ingen enhet får använda det internationella Internet för att publicera olagligt innehåll eller äventyra datasäkerhet.
2. Regler om säkerhetsskydd för datainformationssystemet i Kina (2011) 计算机 信息 系统 安全 保护 条例
De viktigaste punkterna i åtgärderna inkluderar:
(1) Förordningarna syftar till att skydda säkerheten för datainformationssystem inom Kinas territorium.
(2) Ministeriet för offentlig säkerhet är den behöriga myndigheten på detta område, vars funktioner och befogenheter inkluderar övervakning av relevant säkerhetsskydd. utreda och bestraffa olagliga handlingar som äventyrar datasäkerheten.
Den 27 juni 2018 utarbetade ministeriet för allmän säkerhet baserat på artikel 21 i cybersäkerhetslagen "Regulations on Levels of Cyber Security Protection" och tillkännagav sitt utkast för att begära yttranden från allmänheten. Från och med nu har utkastet ännu inte blivit en officiellt utfärdad lag.
Kärnpunkterna i utkastet är följande:
(1) Nätverkssystemet kommer att delas in i fem säkerhetsskyddsnivåer beroende på dess betydelse för nationell säkerhet, ekonomisk konstruktion och socialt liv.
Betydelsen av nätverkssystemet ökar gradvis från första nivå till femte nivå. (Artikel 15)
Nätverkssystem på olika nivåer anger i vilken grad relevanta intressen kan skadas i händelse av en nätverkssäkerhetsincident i nätverkssystemet på den nivån, enligt följande:
Nivå 1: Nationell säkerhet, social ordning och allmänna intressen äventyras inte;
Nivå 2: Social ordning och allmänna intressen hotas och nationell säkerhet kommer inte att hotas;
Nivå 3: Social ordning och allmänna intressen kommer att hotas allvarligt eller nationell säkerhet hotas;
Nivå 4: Social ordning och allmänna intressen hotas särskilt allvarligt, eller nationell säkerhet kommer att hotas allvarligt;
Nivå 5: Nationell säkerhet är särskilt allvarligt hotad.
(2) Nätoperatören ska fastställa nätets säkerhetsskyddsnivå under planerings- och designfasen, och experterna och behöriga myndigheterna ska bekräfta dess nivå. Efter att nivån har bekräftats bör nätoperatören också arkivera med det allmänna säkerhetsorganet. (Artiklarna 16, 17, 18)
(3) Nätoperatörer bör utföra nödvändiga säkerhetsskyldigheter och operatörer av nät över nivå 3 bör också utföra särskilda säkerhetsskyddsskyldigheter. (Artiklarna 20 och 21)
(4) Om nätverksprodukter och tjänster som köpts av nätoperatörer kan påverka nationell säkerhet bör sådana produkter och tjänster genomgå nationella säkerhetsgranskningar som organiseras av tillsynsmyndigheter. (Artikel 28)
(5) Nätverk över nivå 3 ska upprätthållas i landet och fjärrtekniskt underhåll får inte tillåtas utomlands. (Artikel 29)
(6) Nätoperatörer bör rapportera nätverkssäkerhetsövervakning och tidig varningsinformation och nätverkssäkerhetsincidenter till tillsynsmyndigheter, upprätta viktiga mekanismer för skydd av personuppgifter och säkerhetsinformation och formulera och utöva nödsäkerhetsplaner. (Artikel 30, 31, 32)
III Avdelningsbestämmelser
1. Åtgärder för översyn av cybersäkerhet i Kina (2020) 网络 安全 审查 办法
Åtgärderna syftar till att övervaka om inköp av nätverksprodukter och tjänster av kritiska informationsinfrastrukturoperatörer (nedan kallade operatörer) påverkar den nationella säkerheten. De viktigaste punkterna i åtgärderna inkluderar:
(1) Om operatörernas köp av nätverksprodukter och tjänster påverkar eller kan påverka den nationella säkerheten ska operatörerna rapportera till nätverkssäkerhetsgranskningskontoret som är anslutet till Cyberspace Administration i Kina för nätverkssäkerhetsgranskningen.
(2) Nätverksprodukterna eller tjänsterna inkluderar datorer, servrar, lagringsenheter, databaser, programvara och molntjänster.
(3) Nätverkets säkerhetsgranskningskontor kommer att granska följande risker: huruvida anläggningarna som använder sådana produkter eller tjänster kommer att skadas. om uppgifterna kommer att läcka ut; om leveranskanalen för sådana produkter eller tjänster är säker och stabil. om leverantören av sådana produkter eller tjänster följer kinesiska lagar.
2. Säkerhetsbedömningsmetoder för molntjänster (2019) 云 计算 服务 安全 评估 评估
Dessa säkerhetsbedömningsmetoder syftar till att bedöma säkerheten och kontrollerbarheten hos molntjänster som köpts av partiet och regeringsorgan och viktiga informationsinfrastrukturoperatörer. Nyckelpunkterna är följande:
(1) Säkerhetsbedömningen av molntjänster kommer att fokusera på följande: (i) grundinformation för molnplattformoperatörer; (ii) molntjänstleverantörernas bakgrund och stabilitet; (ii) säkerheten för molnplattformsteknik, produkter och tjänsteleverantörskedja; vi) säkerhetshanteringsförmågan och säkerhetsåtgärderna för leverantörer av molntjänster, (v) genomförbarheten och bekvämligheten med migrering av kunddata; (iv) molntjänstleverantörers affärskontinuitet.
(2) Molntjänstleverantörer kan ansöka om säkerhetsbedömning på molnplattformar som tillhandahåller molntjänster till partiet och regeringsorgan och viktiga operatörer av informationsinfrastruktur.
Dessa föreskrifter syftar till att specificera hur offentliga säkerhetsorgan ska utföra säkerhetstillsyn och inspektion av att Internetleverantörer och internetanvändare uppfyller skyldigheterna till cybersäkerhet.
De viktigaste punkterna i åtgärderna inkluderar:
(1) Ministeriet för offentlig säkerhet ansvarar för att skydda anslutningen mellan datanätverket i Kina och det internationella Internet.
(2) Ingen enhet får använda det internationella Internet för att publicera olagligt innehåll eller äventyra datasäkerhet.
5.Regler om tekniska åtgärder för cybersäkerhet (2006) 互联网 安全 保护 技术 措施 规定
Dessa föreskrifter sträva efter att övervaka internetleverantörer och Internetanvändare för att vidta tekniska åtgärder för cybersäkerhet och för att säkerställa att de tekniska åtgärderna för cybersäkerhet fungerar normalt. Avdelningen för övervakning av det allmänna informationsnätets säkerhet för det allmänna säkerhetsorganet är ansvarig för att övervaka genomförandet av de tekniska åtgärderna för cybersäkerhet.
IV. Policyer
1. Beredskapsplaner för nödsituationer för allmän internetsäkerhet (2017) 公共 互联网 网络 安全 突发 事件 应急 预案
Dessa beredskapsplaner syftar till att upprätta ett nödorganisationssystem och en arbetsmekanism för nödsituationer för allmän internetsäkerhet.
Åtgärderna syftar till att förbättra övervakningen och hanteringen av arbetet för hot mot cybersäkerheten på det offentliga Internet, för att eliminera säkerhetsrisker, stoppa attacker, undvika skador och minska säkerhetsrisker. Hot mot cybersäkerheten på offentligt internet hänvisar till nätverksresurser, skadliga program, säkerhetsrisker eller säkerhetsincidenter som finns eller sprids på offentligt internet, och kan orsaka eller redan orsakat skada för allmänheten.
Katalogen listar 15 typer av utrustning och produkter. Kinas cybersäkerhetslag kräver skydd av kritisk informationsinfrastruktur från attacker, intrång, störningar och skador. Katalogen specificerar vilken typ av utrustning och produkter som tillhör kritisk informationsinfrastruktur.
Dessa åtgärder syftar till att styra det administrativa arbetet för lokala tillsynsmyndigheter och internetåtkomstföretag som bedriver Internetdatacenter (inklusive tjänster för samarbete med internetresurser), Internetåtkomsttjänster, innehållsleveransnätverk och andra tjänster för hantering av användning och driftunderhåll av Internet hanteringssystem för informationssäkerhet.
Dessa yttranden syftar till att främja inrättandet av ett enhetligt och auktoritativt nationellt nätverkssäkerhetssystem och standardiseringsmekanism. Nyckelpunkterna är följande:
(1) Upprätta och kontinuerligt förbättra standardsystemet för nätverkssäkerhet.
(2) Delta aktivt i formuleringen av internationella regler och internationella standardregler för cyberspace.
Detta yttrande syftar till att stärka disciplinutvecklingen och talangutbildningen i Kinas Cybersecurity Academy.
Detta meddelande syftar till att uppmana alla myndigheter att förbättra säkerhetsskyddet på sina officiella webbplatser.
Detta meddelande är uppdelat i tre delar, i syfte att främja Kina att inledningsvis etablera ett industriellt internetsäkerhetssystem i slutet av 3.
V. Teknisk standard
1. Krav för utvärdering av nätverkssäkerhetsnivå 信息 安全 技术 网络 安全 等级 保护 测评 要求
2. Grundläggande krav för nätverkssäkerhetsskydd 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求
3. Nätverkssäkerhetsnivå Skydd Säkerhetsdesignkrav 信息 安全 技术 网络 安全 等级 保护 安全 设计 要求
Foto av Jéan Béller (https://unsplash.com/@jeanbeller) på Unsplash