I. กฎหมาย
1. กฎหมายความปลอดภัยทางไซเบอร์ของจีน (2017) 网络安全法
กฎหมายนี้มีผลบังคับใช้กับเจ้าของผู้จัดการและผู้ให้บริการเครือข่าย (ต่อไปนี้จะเรียกว่า "ผู้ให้บริการ") ที่สร้างดำเนินการบำรุงรักษาและใช้เครือข่ายในประเทศจีน ประเด็นสำคัญของกฎหมายนี้ ได้แก่ :
(1) ผู้ปฏิบัติงานจะต้องตรวจสอบตัวตนของผู้ใช้เมื่อให้บริการเช่นการเข้าถึงเครือข่ายการลงทะเบียนชื่อโดเมนการเข้าถึงเครือข่ายโทรศัพท์หรือการเผยแพร่ข้อมูลและการส่งข้อความโต้ตอบแบบทันทีสำหรับผู้ใช้
(2) ข้อมูลส่วนบุคคลและข้อมูลสำคัญจะต้องจัดเก็บไว้ในประเทศจีน การส่งออกข้อมูลจะต้องอยู่ภายใต้การตรวจสอบของหน่วยงานกำกับดูแล
(3) ผู้ปฏิบัติงานจะต้องให้การสนับสนุนทางเทคนิคและความช่วยเหลือแก่หน่วยงานด้านความมั่นคงสาธารณะและหน่วยงานความมั่นคงแห่งชาติ
(4) ในกรณีที่สถาบันในต่างประเทศองค์กรหรือการโจมตีส่วนบุคคลล่วงล้ำเข้ามารบกวนทำลายหรือทำลายโครงสร้างพื้นฐานข้อมูลที่สำคัญของจีนซึ่งก่อให้เกิดผลร้ายแรงใด ๆ ผู้ละเมิดจะต้องรับความรับผิดทางกฎหมายตามกฎหมาย หน่วยงานรักษาความปลอดภัยสาธารณะและหน่วยงานที่เกี่ยวข้องอาจตัดสินใจที่จะอายัดทรัพย์สินของหรือใช้มาตรการลงโทษอื่นใดที่จำเป็นต่อสถาบันองค์กรหรือบุคคล
2. การตัดสินใจในการเสริมสร้างการปกป้องข้อมูลเครือข่าย (2012) 关于加强网络信息保护的决定
การตัดสินใจกำหนดเป็นครั้งแรกในประเทศจีนกฎสำหรับการรวบรวมและการใช้ข้อมูลส่วนบุคคลและภาระหน้าที่ของผู้ให้บริการเครือข่ายในการปกป้องข้อมูลส่วนบุคคล
กฎหมายความปลอดภัยทางไซเบอร์ซึ่งประกาศใช้ในปี 2018 ได้นำเนื้อหาส่วนใหญ่ของการตัดสินใจมาใช้
3. การตัดสินใจในการรักษาความปลอดภัยอินเทอร์เน็ต (2000) 关于维护互联网安全的决定
การตัดสินใจเป็นกฎข้อแรกของจีนเกี่ยวกับความปลอดภัยทางไซเบอร์โดยมีประเด็นสำคัญดังนี้:
(1) การแฮ็กหรือทำลายระบบคอมพิวเตอร์ถือเป็นการก่ออาชญากรรม
(2) การโค่นอำนาจรัฐทำลายเอกภาพแห่งชาติและความเป็นเอกภาพของเชื้อชาติขโมยความลับของรัฐและมีส่วนร่วมในกิจกรรมที่เกี่ยวข้องกับลัทธิโดยการเผยแพร่ข้อมูลทางอินเทอร์เน็ตถือเป็นการก่ออาชญากรรม
(3) การละเมิดสิทธิ์อันชอบธรรมของผู้อื่นบนอินเทอร์เน็ตถือเป็นอาชญากรรม
II. ระเบียบการบริหาร
ประเด็นสำคัญของมาตรการประกอบด้วย:
(1) กระทรวงความมั่นคงสาธารณะมีหน้าที่ปกป้องการเชื่อมต่อระหว่างเครือข่ายคอมพิวเตอร์ในประเทศจีนและอินเทอร์เน็ตระหว่างประเทศ
(2) ห้ามองค์กรใดใช้อินเทอร์เน็ตระหว่างประเทศเพื่อเผยแพร่เนื้อหาที่ผิดกฎหมายหรือเป็นอันตรายต่อความปลอดภัยของคอมพิวเตอร์
2. ข้อบังคับว่าด้วยการป้องกันความปลอดภัยของระบบข้อมูลคอมพิวเตอร์ของจีน (2011) 计算机信息系统安全保护条例
ประเด็นสำคัญของมาตรการประกอบด้วย:
(1) กฎข้อบังคับมีจุดมุ่งหมายเพื่อปกป้องความปลอดภัยของระบบข้อมูลคอมพิวเตอร์ภายในดินแดนของจีน
(2) กระทรวงความมั่นคงสาธารณะเป็นหน่วยงานที่มีอำนาจในสาขานี้ซึ่งมีหน้าที่และอำนาจรวมถึงการกำกับดูแลการคุ้มครองความปลอดภัยที่เกี่ยวข้อง ตรวจสอบและลงโทษการกระทำที่ผิดกฎหมายที่เป็นอันตรายต่อความปลอดภัยของคอมพิวเตอร์
เมื่อวันที่ 27 มิถุนายน 2018 กระทรวงความมั่นคงสาธารณะตามมาตรา 21 ของกฎหมายความมั่นคงปลอดภัยไซเบอร์ได้ร่าง“ ระเบียบว่าด้วยระดับการป้องกันความปลอดภัยทางไซเบอร์” และประกาศร่างเพื่อขอความคิดเห็นจากสาธารณชน ณ ตอนนี้ร่างกฎหมายดังกล่าวยังไม่ได้ประกาศใช้เป็นกฎหมายอย่างเป็นทางการ
ประเด็นหลักของร่างมีดังนี้:
(1) ระบบเครือข่ายจะแบ่งออกเป็นระดับการป้องกันความปลอดภัย XNUMX ระดับตามความสำคัญในด้านความมั่นคงของประเทศโครงสร้างทางเศรษฐกิจและชีวิตทางสังคม
ความสำคัญของระบบเครือข่ายจะค่อยๆเพิ่มขึ้นจากระดับแรกไปยังระดับที่ห้า (ข้อ 15)
ระบบเครือข่ายในระดับที่แตกต่างกันระบุระดับที่ผลประโยชน์ที่เกี่ยวข้องอาจได้รับอันตรายในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยเครือข่ายของระบบเครือข่ายในระดับนั้นดังต่อไปนี้:
ระดับที่ 1: ความมั่นคงของชาติระเบียบสังคมและผลประโยชน์สาธารณะจะไม่ตกอยู่ในอันตราย
ระดับ 2: ระเบียบสังคมและผลประโยชน์สาธารณะจะใกล้สูญพันธุ์และความมั่นคงของชาติจะไม่ใกล้สูญพันธุ์
ระดับที่ 3: ระเบียบสังคมและผลประโยชน์สาธารณะจะใกล้สูญพันธุ์อย่างร้ายแรงหรือความมั่นคงของชาติจะใกล้สูญพันธุ์
ระดับ 4: ระเบียบสังคมและผลประโยชน์สาธารณะจะตกอยู่ในภาวะใกล้สูญพันธุ์อย่างรุนแรงหรือความมั่นคงของชาติจะใกล้สูญพันธุ์อย่างรุนแรง
ระดับที่ 5: ความมั่นคงของชาติอยู่ในภาวะใกล้สูญพันธุ์อย่างรุนแรง
(2) ผู้ให้บริการเครือข่ายจะต้องกำหนดระดับการป้องกันความปลอดภัยของเครือข่ายในระหว่างขั้นตอนการวางแผนและการออกแบบและผู้เชี่ยวชาญและหน่วยงานที่มีอำนาจจะต้องยืนยันระดับของเครือข่าย หลังจากยืนยันระดับแล้วผู้ให้บริการเครือข่ายควรยื่นเรื่องต่อหน่วยงานรักษาความปลอดภัยสาธารณะด้วย (บทความ 16, 17, 18)
(3) ผู้ให้บริการเครือข่ายควรปฏิบัติตามภาระหน้าที่ด้านความปลอดภัยที่จำเป็นและผู้ให้บริการเครือข่ายที่อยู่เหนือระดับ 3 ควรปฏิบัติตามภาระหน้าที่ในการป้องกันความปลอดภัยเป็นพิเศษด้วย (บทความ 20 และ 21)
(4) หากผลิตภัณฑ์และบริการเครือข่ายที่ซื้อโดยผู้ให้บริการเครือข่ายอาจส่งผลกระทบต่อความมั่นคงของประเทศผลิตภัณฑ์และบริการดังกล่าวควรได้รับการตรวจสอบความปลอดภัยระดับชาติที่จัดทำโดยหน่วยงานกำกับดูแล (ข้อ 28)
(5) เครือข่ายที่สูงกว่าระดับ 3 จะต้องได้รับการดูแลภายในประเทศและไม่อนุญาตให้มีการบำรุงรักษาทางเทคนิคระยะไกลในต่างประเทศ (ข้อ 29)
(6) ผู้ให้บริการเครือข่ายควรรายงานการตรวจสอบความปลอดภัยของเครือข่ายและข้อมูลเตือนภัยล่วงหน้าและเหตุการณ์ด้านความปลอดภัยของเครือข่ายต่อหน่วยงานกำกับดูแลสร้างข้อมูลสำคัญและกลไกการป้องกันความปลอดภัยของข้อมูลส่วนบุคคลและกำหนดและใช้แผนฉุกเฉินด้านความปลอดภัยของเครือข่าย (ข้อ 30, 31, 32)
III. ระเบียบกรม
1. มาตรการทบทวนความปลอดภัยทางไซเบอร์ของจีน (2020) 网络安全审查办法
มาตรการนี้มีจุดมุ่งหมายเพื่อกำกับดูแลว่าการซื้อผลิตภัณฑ์และบริการเครือข่ายโดยผู้ให้บริการโครงสร้างพื้นฐานข้อมูลที่สำคัญ (ต่อไปนี้เรียกว่า“ ผู้ประกอบการ”) ส่งผลกระทบต่อความมั่นคงของชาติหรือไม่ ประเด็นสำคัญของมาตรการประกอบด้วย:
(1) หากการซื้อผลิตภัณฑ์และบริการเครือข่ายโดยผู้ให้บริการส่งผลกระทบหรืออาจส่งผลกระทบต่อความมั่นคงของประเทศผู้ให้บริการจะต้องรายงานไปยังสำนักงานตรวจสอบความปลอดภัยของเครือข่ายที่เกี่ยวข้องกับฝ่ายบริหารไซเบอร์สเปซของจีนเพื่อตรวจสอบความปลอดภัยของเครือข่าย
(2) ผลิตภัณฑ์หรือบริการเครือข่าย ได้แก่ คอมพิวเตอร์เซิร์ฟเวอร์อุปกรณ์จัดเก็บข้อมูลฐานข้อมูลซอฟต์แวร์และบริการคลาวด์
(3) สำนักงานตรวจสอบความปลอดภัยของเครือข่ายจะตรวจสอบความเสี่ยงต่อไปนี้: สิ่งอำนวยความสะดวกที่ใช้ผลิตภัณฑ์หรือบริการดังกล่าวจะได้รับความเสียหายหรือไม่ ข้อมูลจะรั่วไหลหรือไม่ ช่องทางการจัดหาผลิตภัณฑ์หรือบริการดังกล่าวปลอดภัยและมั่นคงหรือไม่ ผู้จัดหาผลิตภัณฑ์หรือบริการดังกล่าวปฏิบัติตามกฎหมายของจีนหรือไม่
2. วิธีการประเมินความปลอดภัยสำหรับบริการคลาวด์คอมพิวติ้ง (2019) 云计算服务安全评估办法
วิธีการประเมินความปลอดภัยนี้มีจุดมุ่งหมายเพื่อประเมินความปลอดภัยและความสามารถในการควบคุมของบริการคลาวด์คอมพิวติ้งที่ซื้อโดยภาคีและหน่วยงานของรัฐและผู้ดำเนินการโครงสร้างพื้นฐานข้อมูลที่สำคัญ ประเด็นสำคัญมีดังนี้:
(1) การประเมินความปลอดภัยของบริการคลาวด์คอมพิวติ้งจะมุ่งเน้นไปที่สิ่งต่อไปนี้ (i) ข้อมูลพื้นฐานของผู้ให้บริการแพลตฟอร์มคลาวด์ (ii) ภูมิหลังและความเสถียรของผู้ให้บริการคลาวด์ (ii) ความปลอดภัยของเทคโนโลยีแพลตฟอร์มคลาวด์ผลิตภัณฑ์และห่วงโซ่อุปทานของบริการ (vi) ความสามารถในการจัดการความปลอดภัยและมาตรการรักษาความปลอดภัยของผู้ให้บริการคลาวด์ (v) ความเป็นไปได้และความสะดวกในการย้ายข้อมูลของลูกค้า (iv) ความต่อเนื่องทางธุรกิจของผู้ให้บริการคลาวด์
(2) ผู้ให้บริการระบบคลาวด์สามารถยื่นขอการประเมินความปลอดภัยบนแพลตฟอร์มคลาวด์ที่ให้บริการคลาวด์คอมพิวติ้งแก่ภาคีและหน่วยงานของรัฐและผู้ดำเนินการโครงสร้างพื้นฐานข้อมูลที่สำคัญ
กฎข้อบังคับนี้มีจุดมุ่งหมายเพื่อระบุว่าหน่วยงานรักษาความปลอดภัยสาธารณะควรดำเนินการกำกับดูแลความปลอดภัยและตรวจสอบการปฏิบัติตามโดยผู้ให้บริการอินเทอร์เน็ตและผู้ใช้อินเทอร์เน็ตเกี่ยวกับภาระผูกพันด้านความปลอดภัยทางอินเทอร์เน็ตได้อย่างไร
ประเด็นสำคัญของมาตรการประกอบด้วย:
(1) กระทรวงความมั่นคงสาธารณะมีหน้าที่ปกป้องการเชื่อมต่อระหว่างเครือข่ายคอมพิวเตอร์ในประเทศจีนและอินเทอร์เน็ตระหว่างประเทศ
(2) ห้ามองค์กรใดใช้อินเทอร์เน็ตระหว่างประเทศเพื่อเผยแพร่เนื้อหาที่ผิดกฎหมายหรือเป็นอันตรายต่อความปลอดภัยของคอมพิวเตอร์
5. ข้อบังคับว่าด้วยมาตรการทางเทคนิคสำหรับความปลอดภัยทางไซเบอร์ (2006) 互联网安全保护技术措施规定
ข้อบังคับนี้ มีจุดมุ่งหมายเพื่อกำกับดูแลผู้ให้บริการอินเทอร์เน็ตและผู้ใช้อินเทอร์เน็ตให้ใช้มาตรการทางเทคนิคเพื่อความปลอดภัยในโลกไซเบอร์และเพื่อให้แน่ใจว่ามาตรการทางเทคนิคสำหรับความปลอดภัยในโลกไซเบอร์ทำงานได้ตามปกติ ฝ่ายดูแลความปลอดภัยเครือข่ายข้อมูลสาธารณะของหน่วยงานความปลอดภัยสาธารณะมีหน้าที่กำกับดูแลการปฏิบัติตามมาตรการทางเทคนิคสำหรับความปลอดภัยทางไซเบอร์
IV. นโยบาย
1. แผนฉุกเฉินด้านความปลอดภัยทางอินเทอร์เน็ตสาธารณะ (2017) 公共互联网网络安全突发事件应急预案
แผนฉุกเฉินนี้มีจุดมุ่งหมายเพื่อสร้างระบบองค์กรฉุกเฉินและกลไกการทำงานสำหรับเหตุฉุกเฉินด้านความปลอดภัยทางอินเทอร์เน็ตสาธารณะ
มาตรการนี้มีจุดมุ่งหมายเพื่อเพิ่มประสิทธิภาพการตรวจสอบและจัดการงานสำหรับภัยคุกคามต่อความปลอดภัยทางไซเบอร์ของอินเทอร์เน็ตสาธารณะเพื่อขจัดความเสี่ยงด้านความปลอดภัยหยุดการโจมตีหลีกเลี่ยงอันตรายและลดความเสี่ยงด้านความปลอดภัย ภัยคุกคามต่อความปลอดภัยทางไซเบอร์ของอินเทอร์เน็ตสาธารณะหมายถึงทรัพยากรเครือข่ายโปรแกรมที่เป็นอันตรายความเสี่ยงด้านความปลอดภัยหรือเหตุการณ์ด้านความปลอดภัยที่มีอยู่หรือแพร่กระจายในอินเทอร์เน็ตสาธารณะและอาจก่อให้เกิดหรือก่อให้เกิดอันตรายต่อสาธารณะแล้ว
แคตตาล็อกแสดงรายการอุปกรณ์และผลิตภัณฑ์ 15 ประเภท กฎหมายความปลอดภัยทางไซเบอร์ของจีนกำหนดให้มีการปกป้องโครงสร้างพื้นฐานข้อมูลที่สำคัญจากการโจมตีการบุกรุกการแทรกแซงและความเสียหาย แค็ตตาล็อกระบุประเภทของอุปกรณ์และผลิตภัณฑ์ที่อยู่ในโครงสร้างพื้นฐานข้อมูลที่สำคัญ
มาตรการนี้มีวัตถุประสงค์เพื่อเป็นแนวทางในการบริหารงานสำหรับหน่วยงานกำกับดูแลในท้องถิ่นและองค์กรการเข้าถึงอินเทอร์เน็ตที่มีส่วนร่วมในศูนย์ข้อมูลอินเทอร์เน็ต (รวมถึงบริการความร่วมมือด้านทรัพยากรอินเทอร์เน็ต) บริการเข้าถึงอินเทอร์เน็ตเครือข่ายการจัดส่งเนื้อหาและบริการอื่น ๆ ในการจัดการการใช้และการบำรุงรักษาการดำเนินงานของอินเทอร์เน็ต ระบบการจัดการความปลอดภัยของข้อมูล
ความคิดเห็นนี้มีจุดมุ่งหมายเพื่อส่งเสริมการจัดตั้งระบบมาตรฐานการรักษาความปลอดภัยเครือข่ายระดับชาติที่เป็นเอกภาพและเชื่อถือได้และกลไกการกำหนดมาตรฐาน ประเด็นสำคัญมีดังนี้:
(1) สร้างและปรับปรุงระบบมาตรฐานความปลอดภัยเครือข่ายอย่างต่อเนื่อง
(2) มีส่วนร่วมอย่างแข็งขันในการกำหนดกฎเกณฑ์ระหว่างประเทศและกฎมาตรฐานสากลสำหรับไซเบอร์สเปซ
ความคิดเห็นนี้มีจุดมุ่งหมายเพื่อเสริมสร้างการพัฒนาวินัยและการฝึกอบรมความสามารถของ Cybersecurity Academy ของจีน
ประกาศนี้มีจุดมุ่งหมายเพื่อกระตุ้นให้หน่วยงานของรัฐทั้งหมดปรับปรุงการป้องกันความปลอดภัยของเว็บไซต์อย่างเป็นทางการของตน
ประกาศนี้แบ่งออกเป็น 3 ส่วนโดยมีจุดมุ่งหมายเพื่อส่งเสริมให้จีนจัดตั้งระบบรักษาความปลอดภัยอินเทอร์เน็ตอุตสาหกรรมในขั้นต้นภายในสิ้นปี 2020
V. มาตรฐานทางเทคนิค
1. ข้อกำหนดการประเมินการป้องกันระดับความปลอดภัยของเครือข่าย信息安全技术网络安全等级保护测评要求
2. ข้อกำหนดพื้นฐานของการป้องกันระดับความปลอดภัยของเครือข่าย信息安全技术网络安全安全等级保护基本要求
3. ข้อกำหนดการออกแบบความปลอดภัยระดับความปลอดภัยของเครือข่าย信息安全技术网络安全等级保护安全设计设计
ภาพโดยJéanBéller (https://unsplash.com/@jeanbeller) ใน Unsplash