I. Leggi
1. Cybersecurity Law of China (2017) 网络 安全 法
Questa legge è applicabile a proprietari, gestori e fornitori di servizi di rete (di seguito denominati "operatori") che costruiscono, gestiscono, mantengono e utilizzano reti in Cina. I punti chiave di questa legge includono:
(1) Gli operatori devono verificare l'identità dell'utente quando forniscono servizi quali accesso alla rete, registrazione del nome di dominio, accesso alla rete telefonica o rilascio di informazioni e messaggistica istantanea per l'utente.
(2) Le informazioni personali e i dati importanti devono essere archiviati in Cina. L'esportazione dei dati è soggetta alla revisione dell'autorità di regolamentazione.
(3) Gli operatori forniscono supporto tecnico e assistenza agli organi di pubblica sicurezza e alle autorità di sicurezza nazionale.
(4) Laddove un'istituzione, un'organizzazione o un individuo all'estero attacca, si intromette, disturba, distrugge o danneggia in altro modo le infrastrutture informatiche critiche della Cina, causando gravi conseguenze, il trasgressore sarà soggetto a responsabilità legale in conformità con la legge. Gli organi di pubblica sicurezza e i servizi competenti possono decidere di congelare i beni o adottare qualsiasi altra misura sanzionatoria necessaria nei confronti dell'istituzione, organizzazione o individuo.
La decisione stabilisce, per la prima volta in Cina, le regole per la raccolta e l'uso delle informazioni personali e gli obblighi dei fornitori di servizi di rete per la protezione delle informazioni personali.
La legge sulla sicurezza informatica, successivamente promulgata nel 2018, ha adottato la maggior parte dei contenuti della decisione.
3. Decisione sul mantenimento della sicurezza in Internet (2000) 关于 维护 互联网 安全 的 决定
La decisione è la prima regola della Cina sulla sicurezza informatica, con i seguenti punti chiave:
(1) L'hacking o la distruzione del sistema informatico costituisce un crimine.
(2) Sovvertire il potere statale, distruggere l'unità nazionale e l'unità delle nazionalità, rubare i segreti di stato e impegnarsi in attività che coinvolgono il culto pubblicando informazioni su Internet costituiscono un crimine.
(3) La violazione dei diritti legittimi altrui su Internet costituisce un crimine.
II.Regolamenti amministrativi
I punti chiave delle misure includono:
(1) Il Ministero della Pubblica Sicurezza è responsabile della protezione della connessione tra la rete di computer in Cina e Internet internazionale.
(2) Nessuna entità può utilizzare Internet internazionale per pubblicare contenuti illegali o mettere in pericolo la sicurezza informatica.
I punti chiave delle misure includono:
(1) Il Regolamento mira a proteggere la sicurezza dei sistemi informatici del computer nel territorio della Cina.
(2) Il Ministero della Pubblica Sicurezza è l'autorità competente in questo campo, le cui funzioni e poteri includono la supervisione della relativa protezione di sicurezza; indagare e punire gli atti illeciti che mettono a rischio la sicurezza informatica.
Il 27 giugno 2018, il Ministero della pubblica sicurezza in base all'articolo 21 della legge sulla sicurezza informatica, ha redatto il "Regolamento sui livelli di protezione della sicurezza informatica" e ha annunciato la sua bozza per sollecitare i pareri del pubblico. Ad oggi, il progetto non è ancora diventato una legge ufficialmente promulgata.
I punti centrali del progetto sono i seguenti:
(1) Il sistema di rete sarà suddiviso in cinque livelli di protezione della sicurezza in base alla sua importanza nella sicurezza nazionale, nella costruzione economica e nella vita sociale.
L'importanza del sistema di rete aumenta gradualmente dal primo al quinto livello. (Articolo 15)
I sistemi di rete di diversi livelli indicano il grado in cui gli interessi rilevanti possono essere danneggiati in caso di un incidente di sicurezza della rete del sistema di rete a quel livello, come segue:
Livello 1: sicurezza nazionale, ordine sociale e interessi pubblici non saranno messi in pericolo;
Livello 2: l'ordine sociale e gli interessi pubblici saranno messi in pericolo e la sicurezza nazionale non sarà messa in pericolo;
Livello 3: l'ordine sociale e gli interessi pubblici saranno seriamente minacciati o la sicurezza nazionale sarà messa in pericolo;
Livello 4: l'ordine sociale e gli interessi pubblici saranno particolarmente gravemente minacciati o la sicurezza nazionale sarà gravemente minacciata;
Livello 5: la sicurezza nazionale è particolarmente gravemente minacciata.
(2) L'operatore di rete determina il livello di protezione della sicurezza della rete durante la fase di pianificazione e progettazione e gli esperti e le autorità competenti ne confermano il livello. Dopo che il livello è stato confermato, l'operatore di rete dovrebbe anche depositare presso l'organo di pubblica sicurezza. (Articoli 16, 17, 18)
(3) Gli operatori di rete dovrebbero adempiere agli obblighi di sicurezza necessari e gli operatori di reti oltre il livello 3 dovrebbero anche adempiere a obblighi speciali di protezione della sicurezza. (Articoli 20 e 21)
(4) Se i prodotti e servizi di rete acquistati dagli operatori di rete possono incidere sulla sicurezza nazionale, tali prodotti e servizi dovrebbero essere sottoposti a riesami della sicurezza nazionale organizzati dalle autorità di regolamentazione. (Articolo 28)
(5) Le reti al di sopra del livello 3 saranno mantenute all'interno del paese e la manutenzione tecnica a distanza non sarà consentita all'estero. (Articolo 29)
(6) Gli operatori di rete dovrebbero segnalare il monitoraggio della sicurezza della rete e le informazioni di allerta precoce e gli incidenti di sicurezza della rete alle autorità di regolamentazione, stabilire importanti meccanismi di protezione della sicurezza dei dati e delle informazioni personali e formulare ed applicare piani di emergenza per la sicurezza della rete. (Articoli 30, 31, 32)
III Regolamento dipartimentale
1. Misure di revisione della cibersicurezza della Cina (2020) 网络 安全 审查 办法
Le misure mirano a controllare se l'acquisto di prodotti e servizi di rete da parte di operatori di infrastrutture informatiche critiche (di seguito denominati "operatori") incida sulla sicurezza nazionale. I punti chiave delle misure includono:
(1) Se l'acquisto di prodotti e servizi di rete da parte degli operatori influisce o può influire sulla sicurezza nazionale, gli operatori devono riferire all'ufficio di revisione della sicurezza della rete affiliato alla Cyberspace Administration of China per il controllo della sicurezza della rete.
(2) I prodotti o servizi di rete includono computer, server, dispositivi di archiviazione, database, software e servizi cloud.
(3) L'ufficio di revisione della sicurezza della rete esaminerà i seguenti rischi: se le strutture che utilizzano tali prodotti o servizi saranno danneggiate; se i dati saranno trapelati; se il canale di fornitura di tali prodotti o servizi è sicuro e stabile; se il fornitore di tali prodotti o servizi rispetta le leggi cinesi.
2. Metodi di valutazione della sicurezza per i servizi di cloud computing (2019) 云 计算 服务 安全 评估 办法
Questi metodi di valutazione della sicurezza mirano a valutare la sicurezza e la controllabilità dei servizi di cloud computing acquistati dal partito e dagli organi governativi e dai principali operatori delle infrastrutture informatiche. I punti chiave sono i seguenti:
(1) La valutazione della sicurezza dei servizi di cloud computing si concentrerà su quanto segue: (i) le informazioni di base degli operatori della piattaforma cloud; (ii) il background e la stabilità dei fornitori di servizi cloud; (ii) la sicurezza della tecnologia, dei prodotti e della catena di fornitura dei servizi della piattaforma cloud; (vi) la capacità di gestione della sicurezza e le misure di sicurezza dei fornitori di servizi cloud; (v) la fattibilità e la convenienza della migrazione dei dati dei clienti; (iv) la continuità operativa dei fornitori di servizi cloud.
(2) I fornitori di servizi cloud possono richiedere la valutazione della sicurezza su piattaforme cloud che forniscono servizi di cloud computing al partito e agli organi governativi e ai principali operatori di infrastrutture informatiche.
Il presente regolamento mira a specificare in che modo gli organi di pubblica sicurezza devono condurre la supervisione e l'ispezione della sicurezza sull'adempimento da parte dei fornitori di servizi Internet e degli utenti di Internet degli obblighi di cibersicurezza.
I punti chiave delle misure includono:
(1) Il Ministero della Pubblica Sicurezza è responsabile della protezione della connessione tra la rete di computer in Cina e Internet internazionale.
(2) Nessuna entità può utilizzare Internet internazionale per pubblicare contenuti illegali o mettere in pericolo la sicurezza informatica.
5.Regolamenti sulle misure tecniche per la sicurezza informatica (2006) 互联网 安全 保护 技术 措施 规定
Questo Regolamento mirare a controllare che i fornitori di servizi Internet e gli utenti di Internet adottino misure tecniche per la sicurezza informatica e assicurino il normale funzionamento delle misure tecniche per la sicurezza informatica. Il dipartimento di supervisione della sicurezza della rete di informazione pubblica dell'organo di pubblica sicurezza è responsabile della supervisione dell'attuazione delle misure tecniche per la sicurezza informatica.
IV. Politiche
Questi piani di emergenza mirano a stabilire un sistema di organizzazione delle emergenze e un meccanismo di lavoro per l'emergenza di sicurezza Internet pubblica.
Le misure mirano a migliorare il monitoraggio e la gestione del lavoro per le minacce alla sicurezza informatica della rete Internet pubblica, per eliminare i rischi per la sicurezza, bloccare gli attacchi, evitare danni e ridurre i rischi per la sicurezza. Le minacce alla sicurezza informatica di Internet pubblico si riferiscono a risorse di rete, programmi dannosi, rischi per la sicurezza o incidenti di sicurezza che esistono o si diffondono su Internet pubblico e possono causare o hanno già causato danni al pubblico.
Il catalogo elenca 15 tipi di apparecchiature e prodotti. La legge cinese sulla sicurezza informatica richiede la protezione dell'infrastruttura delle informazioni critiche da attacchi, intrusioni, interferenze e danni. Il catalogo specifica il tipo di apparecchiature e prodotti che appartengono all'infrastruttura di informazioni critiche.
Queste misure mirano a guidare il lavoro amministrativo per le autorità di regolamentazione locali e le imprese di accesso a Internet che si impegnano in centri dati Internet (inclusi servizi di collaborazione su risorse Internet), servizi di accesso a Internet, reti di distribuzione di contenuti e altri servizi nella gestione dell'uso e della manutenzione operativa di Internet sistemi di gestione della sicurezza delle informazioni.
I presenti pareri mirano a promuovere la creazione di un sistema di standard di sicurezza della rete nazionale unificato e autorevole e di un meccanismo di standardizzazione. I punti chiave sono i seguenti:
(1) Stabilire e migliorare continuamente il sistema standard di sicurezza della rete.
(2) Partecipare attivamente alla formulazione di regole internazionali e regole standard internazionali per il cyberspazio.
I presenti pareri mirano a rafforzare lo sviluppo della disciplina e la formazione dei talenti della Cybersecurity Academy cinese.
Questo avviso mira a sollecitare tutti i dipartimenti governativi a migliorare la protezione della sicurezza dei loro siti web ufficiali.
Questo avviso è diviso in 3 parti, con l'obiettivo di promuovere la Cina a istituire inizialmente un sistema di sicurezza Internet industriale entro la fine del 2020.
V. Standard tecnico
1. Requisiti per la valutazione della protezione del livello di sicurezza della rete 信息 安全 技术 网络 安全 等级 保护 测评 要求
2. Requisiti di base della protezione del livello di sicurezza della rete 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求
3. Requisiti di progettazione della protezione del livello di protezione della rete 信息 安全 技术 网络 安全 等级 保护 安全 设计 要求
Foto di Jéan Béller (https://unsplash.com/@jeanbeller) su Unsplash