Обзор законодательства
26 октября 2019 г. Постоянный комитет Всекитайского собрания народных представителей одобрил Закон «О криптографии Китайской Народной Республики» (далее по тексту – «Закон о криптографии»), который должен вступить в силу с 1 января 2020 г. До одобрения Закона о криптографии существовал лишь один правовой акт в области контроля за криптографической деятельностью – «Правила о коммерческих кодах шифрования» (далее по тексту – «Правила ККШ»), изданные в 1999 г. Таким образом, Закон о криптографии следует считать первым исчерпывающим законом в сфере криптографического контроля.
Закон о криптографии впервые подразделяет криптографию на 3 вида: фундаментальная криптография, обычная криптография и коммерческая криптография.
Информация высочайшего уровня, защищаемая фундаментальной криптографией, относится к разряду совершенно секретной, информация же, защищаемая обычной криптографией, относится к разряду конфиденциальной. Информация, защищаемая с помощью фундаментальной и обычной криптографии, относится к государственной тайне и контролируются исключительно департаментом по управлению криптографией, в то время как информация, шифруемая с помощью коммерческой криптографии, не относится государственной тайной.
Основные данные, защищаемые коммерческой криптографией
Во-первых, Закон о криптографии отменил разрешительный порядок доступа к рынку коммерческой криптографии, чтобы еще более освободить рынок и привести его в соответствие со следующими требованиями:
- Предприятиям с иностранным участием должен быть обеспечен национальный статус в области коммерческой криптографии, и они наравне с прочими предприятиями могут заниматься такой деятельностью, как проведение научных исследований, производство, продажа, обслуживание, импорт и экспорт в сфере коммерческой криптографии;
- Коммерческие коды, используемые в продуктах массового потребления, не могут быть объектом лицензий на импорт и не подлежат экспортному контролю;
- Административная экспертиза и одобрение развития, производства, импорта и использования продуктов коммерческой криптографии должны быть упразднены, а оценка безопасности и сертификация продуктов коммерческой криптографии должны выполняться только в случаях, затрагивающих государственную безопасность, национальную экономику и жизнедеятельность граждан, а также общественные и государственные интересы.
Во-вторых, Закон о криптографии в статьях 25 и 26 устанавливает систему идентификации и аутентификации коммерческой криптографии. На ее основе любое предприятие, использующее коммерческую криптографию, может добровольно принять для себя соответствующие механизмы идентификации и аутентификации. Продукты коммерческой криптографии, связанные с национальной безопасностью, национальной экономикой и жизнедеятельностью граждан, а также с общественными и государственными интересами, должны быть занесены в «Каталог критически важного сетевого оборудования и средств обеспечения сетевой безопасности» (обновляется регулярно), и могут продаваться или поставляться только после обязательной сертификации, проводимой специализированными учреждениями. В то же время, если предприятие, оказывающее услуги в области коммерческой криптографии, пользуется критически важным сетевым оборудованием и средствами обеспечения сетевой безопасности, агентство по аутентификации коммерческой криптографии также должно подтвердить квалификацию такого предприятия.
В-третьих, операторы ключевых информационных инфраструктур обязаны оценивать и проверять безопасность операций с коммерческой криптографией. Операторы ключевых информационных инфраструктур, использующие коммерческую криптографию для защиты, должны выполнять оценку безопасности операций с коммерческой криптографией самостоятельно, либо с помощью агентства по обнаружению коммерческой криптографии. Приобретатели сетевых продуктов и услуг, связанных с коммерческой криптографией, которые могут касаться государственной безопасности, должны пройти проверку на предмет обеспечения государственной безопасности.
Таким образом, операторы ключевых информационных инфраструктур должны исполнять обязанности по оценке безопасности и проверке обеспечения государственной безопасности, чтобы осуществлять деятельность, связанную с коммерческой криптографией. На практике многие предприятия уже привели свои операции с коммерческой криптографией в соответствие с «Основными требованиями по применению криптографии информационной системы GM/T 0054-2018».
Влияние на предприятия с иностранным участием
Принятие и исполнение Закона о криптографии представляет собой в целом положительное новшество для предприятий, связанных с использованием коммерческой криптографии, особенно предприятий с иностранным участием, в силу следующих обстоятельств:
- Импортируемые продукты массового потребления (такие как всевозможные электронные устройства с функциями связи), включая криптографические компоненты и технологии, больше не требуют прохождения утомительного процесса аутентификации посредством пароля, что одновременно облегчает процесс регистрации продуктов на китайском рынке;
- Зарубежные криптографические компоненты и технологии, используемые предприятиями с иностранным участием для целей внутренней коммуникации или для связи с их бизнес-партнерами, больше не требуют проблематичных разрешительных и регистрационных процедур для их свободного использования;
- Иностранное предприятие, обладающее возможностями по исследованию и развитию криптографических технологий, может выйти на китайский рынок как при участии китайских партнеров, так и без наличия таковых.
В любом случае, предприятиям следует пристально следить за последующим развитием Закона о криптографии и связанных с ним положений, чтобы своевременно адаптировать внутреннюю деятельность компании к новым правовым реалиям.