I. Luật
1. Luật An ninh mạng của Trung Quốc (2017) 网络 安全 法
Luật này áp dụng cho các chủ sở hữu, người quản lý và nhà cung cấp dịch vụ mạng (sau đây gọi là “nhà khai thác”) xây dựng, vận hành, duy trì và sử dụng mạng ở Trung Quốc. Các điểm chính của Luật này bao gồm:
(1) Các nhà khai thác sẽ xác minh danh tính của người dùng khi cung cấp các dịch vụ như truy cập mạng, đăng ký tên miền, truy cập mạng điện thoại hoặc phát hành thông tin và nhắn tin tức thì cho người dùng.
(2) Thông tin cá nhân và dữ liệu quan trọng phải được lưu trữ tại Trung Quốc. Việc xuất dữ liệu phải được cơ quan quản lý xem xét.
(3) Các nhà khai thác sẽ cung cấp hỗ trợ và hỗ trợ kỹ thuật cho các cơ quan an ninh công cộng và các cơ quan an ninh quốc gia.
(4) Trường hợp bất kỳ cơ quan, tổ chức hoặc cá nhân nào ở nước ngoài tấn công, xâm nhập, làm rối loạn, phá hủy hoặc gây thiệt hại cho cơ sở hạ tầng thông tin quan trọng của Trung Quốc, gây hậu quả nghiêm trọng, người vi phạm sẽ phải chịu trách nhiệm pháp lý theo quy định của pháp luật. Cơ quan công an và các bộ phận liên quan có thể quyết định phong tỏa tài sản hoặc áp dụng bất kỳ biện pháp xử phạt cần thiết nào khác đối với cơ sở, tổ chức hoặc cá nhân.
2. Quyết định Tăng cường Bảo vệ Thông tin Mạng (2012) 关于 加强 网络 信息 保护 的 决定
Quyết định lần đầu tiên thiết lập tại Trung Quốc các quy tắc về thu thập và sử dụng thông tin cá nhân và nghĩa vụ của các nhà cung cấp dịch vụ mạng trong việc bảo vệ thông tin cá nhân.
Luật An ninh mạng, sau đó được ban hành vào năm 2018, đã thông qua hầu hết các nội dung của Quyết định.
3. Quyết định Duy trì An ninh Internet (2000) 关于 维护 互联网 安全 的 决定
Quyết định là quy tắc đầu tiên của Trung Quốc về an ninh mạng, với các điểm chính như sau:
(1) Lấy cắp dữ liệu hoặc phá hủy hệ thống máy tính cấu thành tội phạm.
(2) Lật đổ quyền lực nhà nước, phá hoại khối đại đoàn kết toàn dân tộc, lấy cắp bí mật nhà nước, hoạt động tà giáo bằng cách tung thông tin lên mạng là tội phạm.
(3) Xâm phạm quyền lợi chính đáng của người khác trên Internet là cấu thành tội phạm.
II. Quy chế quản lý
Các điểm chính của Biện pháp bao gồm:
(1) Bộ Công an chịu trách nhiệm bảo vệ kết nối giữa mạng máy tính ở Trung Quốc và Internet quốc tế.
(2) Không tổ chức nào được sử dụng Internet quốc tế để xuất bản nội dung bất hợp pháp hoặc gây nguy hiểm cho an ninh máy tính.
2. Quy định về bảo vệ an ninh hệ thống thông tin máy tính của Trung Quốc (2011) 计算机 信息 系统 安全 保护 条例
Các điểm chính của Biện pháp bao gồm:
(1) Các Quy định nhằm mục đích bảo vệ an ninh của các hệ thống thông tin máy tính trong lãnh thổ Trung Quốc.
(2) Bộ Công an là cơ quan có thẩm quyền trong lĩnh vực này, có chức năng và quyền hạn bao gồm giám sát việc bảo vệ an ninh liên quan; điều tra và trừng trị các hành vi vi phạm pháp luật gây nguy hiểm cho an ninh máy tính.
Ngày 27/2018/21, Bộ Công an căn cứ Điều XNUMX Luật An ninh mạng đã soạn thảo “Quy định về các cấp độ bảo vệ an ninh mạng” và công bố dự thảo để lấy ý kiến rộng rãi. Cho đến nay, dự thảo vẫn chưa trở thành luật được ban hành chính thức.
Các điểm cốt lõi của dự thảo như sau:
(1) Hệ thống mạng sẽ được chia thành XNUMX cấp độ bảo vệ theo tầm quan trọng của nó đối với an ninh quốc gia, xây dựng kinh tế và đời sống xã hội.
Tầm quan trọng của hệ thống mạng tăng dần từ cấp độ đầu tiên đến cấp độ thứ năm. (Điều 15)
Hệ thống mạng ở các cấp độ khác nhau cho biết mức độ mà các lợi ích liên quan có thể bị tổn hại trong trường hợp xảy ra sự cố an ninh mạng của hệ thống mạng ở cấp độ đó, như sau:
Mức độ 1: An ninh quốc gia, trật tự xã hội và lợi ích công cộng không bị đe dọa;
Mức độ 2: Trật tự xã hội và lợi ích công cộng sẽ bị đe dọa, an ninh quốc gia không bị đe dọa;
Mức độ 3: Trật tự xã hội và lợi ích công cộng bị đe dọa nghiêm trọng, an ninh quốc gia bị đe dọa;
Cấp độ 4: Trật tự xã hội và lợi ích công cộng sẽ bị đe dọa đặc biệt nghiêm trọng, an ninh quốc gia bị đe dọa nghiêm trọng;
Cấp độ 5: An ninh quốc gia đặc biệt nguy cấp.
(2) Nhà khai thác mạng sẽ xác định mức độ bảo vệ an ninh của mạng trong giai đoạn lập kế hoạch và thiết kế, các chuyên gia và cơ quan có thẩm quyền sẽ xác nhận mức độ đó. Sau khi cấp được xác nhận, nhà mạng cũng nên nộp hồ sơ cho cơ quan an ninh công cộng. (Điều 16, 17, 18)
(3) Các nhà khai thác mạng phải thực hiện các nghĩa vụ bảo mật cần thiết và các nhà khai thác mạng trên Cấp độ 3 cũng phải thực hiện các nghĩa vụ bảo vệ bảo mật đặc biệt. (Điều 20 và 21)
(4) Nếu các sản phẩm và dịch vụ mạng mà nhà khai thác mạng mua có thể ảnh hưởng đến an ninh quốc gia, thì các sản phẩm và dịch vụ đó phải được tổ chức đánh giá về an ninh quốc gia do cơ quan quản lý tổ chức. (Điều 28)
(5) Các mạng trên Cấp độ 3 sẽ được duy trì trong nước và không được phép bảo trì kỹ thuật từ xa ở nước ngoài. (Điều 29)
(6) Các nhà khai thác mạng cần báo cáo thông tin giám sát an ninh mạng và cảnh báo sớm và các sự cố an ninh mạng cho cơ quan quản lý, thiết lập dữ liệu quan trọng và cơ chế bảo vệ an toàn thông tin cá nhân, xây dựng và thực hiện các kế hoạch khẩn cấp về an ninh mạng. (Điều 30, 31, 32)
III. Quy định về căn hộ
1. Các biện pháp rà soát an ninh mạng của Trung Quốc (2020) 网络 安全 审查 办法
Các biện pháp nhằm giám sát việc mua các sản phẩm và dịch vụ mạng của các nhà khai thác cơ sở hạ tầng thông tin quan trọng (sau đây gọi là “nhà khai thác”) có ảnh hưởng đến an ninh quốc gia hay không. Các điểm chính của Biện pháp bao gồm:
(1) Nếu việc mua các sản phẩm và dịch vụ mạng của các nhà khai thác ảnh hưởng hoặc có thể ảnh hưởng đến an ninh quốc gia, các nhà khai thác phải báo cáo với văn phòng rà soát an ninh mạng trực thuộc Cục quản lý không gian mạng của Trung Quốc để xem xét an ninh mạng.
(2) Các sản phẩm hoặc dịch vụ mạng bao gồm máy tính, máy chủ, thiết bị lưu trữ, cơ sở dữ liệu, phần mềm và dịch vụ đám mây.
(3) Văn phòng rà soát an ninh mạng sẽ xem xét các rủi ro sau: liệu các cơ sở sử dụng sản phẩm hoặc dịch vụ đó có bị hư hỏng hay không; liệu dữ liệu sẽ bị rò rỉ; kênh cung cấp sản phẩm hoặc dịch vụ đó có an toàn và ổn định hay không; liệu nhà cung cấp các sản phẩm hoặc dịch vụ đó có tuân thủ luật pháp Trung Quốc hay không.
2. Phương pháp đánh giá bảo mật cho dịch vụ điện toán đám mây (2019) 云 计算 服务 安全 评估 办法
Phương pháp Đánh giá Bảo mật này nhằm mục đích đánh giá tính bảo mật và khả năng kiểm soát của các dịch vụ điện toán đám mây do Đảng và các cơ quan chính phủ mua và các nhà khai thác cơ sở hạ tầng thông tin quan trọng. Các điểm chính như sau:
(1) Đánh giá bảo mật của các dịch vụ điện toán đám mây sẽ tập trung vào các nội dung sau: (i) thông tin cơ bản của các nhà khai thác nền tảng đám mây; (ii) nền tảng và sự ổn định của các nhà cung cấp dịch vụ đám mây; (ii) tính bảo mật của công nghệ nền tảng đám mây, chuỗi cung ứng sản phẩm và dịch vụ; (vi) khả năng quản lý bảo mật và các biện pháp bảo mật của các nhà cung cấp dịch vụ đám mây; (v) tính khả thi và sự thuận tiện của việc di chuyển dữ liệu khách hàng; (iv) tính liên tục trong kinh doanh của các nhà cung cấp dịch vụ đám mây.
(2) Các nhà cung cấp dịch vụ đám mây có thể đăng ký đánh giá bảo mật trên các nền tảng đám mây cung cấp dịch vụ điện toán đám mây cho các cơ quan Đảng và chính phủ và các nhà khai thác cơ sở hạ tầng thông tin quan trọng.
Quy định này nhằm chỉ rõ cách thức các cơ quan công an thực hiện giám sát và kiểm tra an ninh đối với việc nhà cung cấp dịch vụ Internet và người sử dụng Internet thực hiện các nghĩa vụ về an ninh mạng.
Các điểm chính của Biện pháp bao gồm:
(1) Bộ Công an chịu trách nhiệm bảo vệ kết nối giữa mạng máy tính ở Trung Quốc và Internet quốc tế.
(2) Không tổ chức nào được sử dụng Internet quốc tế để xuất bản nội dung bất hợp pháp hoặc gây nguy hiểm cho an ninh máy tính.
5. quy định về các biện pháp kỹ thuật cho an ninh mạng (2006) 互联网 安全 保护 技术 措施 规定
Quy định này nhằm giám sát nhà cung cấp dịch vụ Internet và người sử dụng Internet thực hiện các biện pháp kỹ thuật an ninh mạng và bảo đảm hoạt động bình thường của các biện pháp kỹ thuật an ninh mạng. Bộ phận giám sát an toàn thông tin mạng của cơ quan Công an có trách nhiệm giám sát việc thực hiện các biện pháp kỹ thuật an ninh mạng.
IV. Chính sách
1. Kế hoạch Dự phòng về Khẩn cấp An toàn Internet Công cộng (2017) 公共 互联网 网络 安全 突发 事件 应急 预案
Các Kế hoạch Dự phòng này nhằm mục đích thiết lập một hệ thống tổ chức khẩn cấp và cơ chế hoạt động cho Khẩn cấp An toàn Internet Công cộng.
Các biện pháp nhằm mục đích tăng cường giám sát và xử lý công việc đối với các mối đe dọa đối với an ninh mạng của Internet công cộng, nhằm loại bỏ các nguy cơ bảo mật, ngăn chặn các cuộc tấn công, tránh gây hại và giảm thiểu rủi ro bảo mật. Các mối đe dọa đối với an ninh mạng của Internet công cộng đề cập đến tài nguyên mạng, chương trình độc hại, rủi ro bảo mật hoặc sự cố bảo mật tồn tại hoặc lan truyền trên Internet công cộng và có thể gây ra hoặc đã gây tổn hại cho công chúng.
Danh mục liệt kê 15 loại thiết bị và sản phẩm. Luật An ninh mạng của Trung Quốc yêu cầu bảo vệ cơ sở hạ tầng thông tin quan trọng khỏi các cuộc tấn công, xâm nhập, can thiệp và thiệt hại. Danh mục chỉ định loại thiết bị và sản phẩm nào thuộc cơ sở hạ tầng thông tin quan trọng.
Biện pháp này nhằm hướng dẫn công việc hành chính cho các cơ quan quản lý địa phương và các doanh nghiệp truy cập Internet tham gia vào các trung tâm dữ liệu Internet (bao gồm các dịch vụ cộng tác tài nguyên Internet), dịch vụ truy cập Internet, mạng phân phối nội dung và các dịch vụ khác trong việc quản lý việc sử dụng và duy trì hoạt động của Internet hệ thống quản lý an toàn thông tin.
Ý kiến này nhằm thúc đẩy việc thiết lập hệ thống tiêu chuẩn và cơ chế tiêu chuẩn an ninh mạng quốc gia thống nhất và có thẩm quyền. Các điểm chính như sau:
(1) Thiết lập và liên tục cải tiến hệ thống tiêu chuẩn an ninh mạng.
(2) Tích cực tham gia vào việc xây dựng các quy tắc quốc tế và các quy tắc tiêu chuẩn quốc tế về không gian mạng.
Ý kiến này nhằm mục đích tăng cường phát triển kỷ luật và đào tạo nhân tài của Học viện An ninh mạng của Trung Quốc.
Thông báo này nhằm mục đích thúc giục tất cả các cơ quan chính phủ cải thiện việc bảo vệ an ninh cho các trang web chính thức của họ.
Thông báo này được chia thành 3 phần, với mục đích thúc đẩy Trung Quốc bước đầu thiết lập hệ thống an ninh Internet công nghiệp vào cuối năm 2020.
V. Tiêu chuẩn kỹ thuật
1. Yêu cầu đánh giá mức độ bảo vệ an ninh mạng 信息 安全 技术 网络 安全 等级 保护 测评 要求
2. Yêu cầu cơ bản về bảo vệ mức độ an ninh mạng 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求
3. Bảo vệ Cấp độ An ninh Mạng Yêu cầu Thiết kế Bảo mật 信息 安全 技术 网络 安全 等级 保护 安全 设计 要求
Ảnh của Jéan Béller (https://unsplash.com/@jeanbeller) trên Unsplash