พอร์ทัลกฎหมายของจีน - CJO

ค้นหากฎหมายของจีนและเอกสารสาธารณะที่เป็นทางการเป็นภาษาอังกฤษ

ภาษาอังกฤษอาหรับจีน (ดั้งเดิม)Dutchภาษาฝรั่งเศสภาษาเยอรมันภาษาฮินดีภาษาอิตาลีภาษาญี่ปุ่นเกาหลีโปรตุเกสรัสเซียสเปนสวีเดนชาวอิสราเอลชาวอินโดนีเซียเวียตนามภาษาไทยตุรกีMalay

รายการตรวจสอบ: กฎความปลอดภัยทางไซเบอร์ในประเทศจีน

31 ส.ค. 2020 16:37:10 น

 


I. กฎหมาย

1. กฎหมายความปลอดภัยทางไซเบอร์ของจีน (2017) 网络安全法

กฎหมายนี้มีผลบังคับใช้กับเจ้าของผู้จัดการและผู้ให้บริการเครือข่าย (ต่อไปนี้จะเรียกว่า "ผู้ให้บริการ") ที่สร้างดำเนินการบำรุงรักษาและใช้เครือข่ายในประเทศจีน ประเด็นสำคัญของกฎหมายนี้ ได้แก่ :

(1) ผู้ปฏิบัติงานจะต้องตรวจสอบตัวตนของผู้ใช้เมื่อให้บริการเช่นการเข้าถึงเครือข่ายการลงทะเบียนชื่อโดเมนการเข้าถึงเครือข่ายโทรศัพท์หรือการเผยแพร่ข้อมูลและการส่งข้อความโต้ตอบแบบทันทีสำหรับผู้ใช้

(2) ข้อมูลส่วนบุคคลและข้อมูลสำคัญจะต้องจัดเก็บไว้ในประเทศจีน การส่งออกข้อมูลจะต้องอยู่ภายใต้การตรวจสอบของหน่วยงานกำกับดูแล

(3) ผู้ปฏิบัติงานจะต้องให้การสนับสนุนทางเทคนิคและความช่วยเหลือแก่หน่วยงานด้านความมั่นคงสาธารณะและหน่วยงานความมั่นคงแห่งชาติ

(4) ในกรณีที่สถาบันในต่างประเทศองค์กรหรือการโจมตีส่วนบุคคลล่วงล้ำเข้ามารบกวนทำลายหรือทำลายโครงสร้างพื้นฐานข้อมูลที่สำคัญของจีนซึ่งก่อให้เกิดผลร้ายแรงใด ๆ ผู้ละเมิดจะต้องรับความรับผิดทางกฎหมายตามกฎหมาย หน่วยงานรักษาความปลอดภัยสาธารณะและหน่วยงานที่เกี่ยวข้องอาจตัดสินใจที่จะอายัดทรัพย์สินของหรือใช้มาตรการลงโทษอื่นใดที่จำเป็นต่อสถาบันองค์กรหรือบุคคล

2. การตัดสินใจในการเสริมสร้างการปกป้องข้อมูลเครือข่าย (2012) 关于加强网络信息保护的决定

การตัดสินใจกำหนดเป็นครั้งแรกในประเทศจีนกฎสำหรับการรวบรวมและการใช้ข้อมูลส่วนบุคคลและภาระหน้าที่ของผู้ให้บริการเครือข่ายในการปกป้องข้อมูลส่วนบุคคล

กฎหมายความปลอดภัยทางไซเบอร์ซึ่งประกาศใช้ในปี 2018 ได้นำเนื้อหาส่วนใหญ่ของการตัดสินใจมาใช้

3. การตัดสินใจในการรักษาความปลอดภัยอินเทอร์เน็ต (2000) 关于维护互联网安全的决定

การตัดสินใจเป็นกฎข้อแรกของจีนเกี่ยวกับความปลอดภัยทางไซเบอร์โดยมีประเด็นสำคัญดังนี้:

(1) การแฮ็กหรือทำลายระบบคอมพิวเตอร์ถือเป็นการก่ออาชญากรรม

(2) การโค่นอำนาจรัฐทำลายเอกภาพแห่งชาติและความเป็นเอกภาพของเชื้อชาติขโมยความลับของรัฐและมีส่วนร่วมในกิจกรรมที่เกี่ยวข้องกับลัทธิโดยการเผยแพร่ข้อมูลทางอินเทอร์เน็ตถือเป็นการก่ออาชญากรรม

(3) การละเมิดสิทธิ์อันชอบธรรมของผู้อื่นบนอินเทอร์เน็ตถือเป็นอาชญากรรม

II. ระเบียบการบริหาร

1. มาตรการบริหารเพื่อการป้องกันความปลอดภัยสำหรับการเชื่อมต่อระหว่างประเทศกับเครือข่ายข้อมูลคอมพิวเตอร์ (2011) 计算机计算机网络国际联网安全保护管理管理 

ประเด็นสำคัญของมาตรการประกอบด้วย:

(1) กระทรวงความมั่นคงสาธารณะมีหน้าที่ปกป้องการเชื่อมต่อระหว่างเครือข่ายคอมพิวเตอร์ในประเทศจีนและอินเทอร์เน็ตระหว่างประเทศ

(2) ห้ามองค์กรใดใช้อินเทอร์เน็ตระหว่างประเทศเพื่อเผยแพร่เนื้อหาที่ผิดกฎหมายหรือเป็นอันตรายต่อความปลอดภัยของคอมพิวเตอร์

2. ข้อบังคับว่าด้วยการป้องกันความปลอดภัยของระบบข้อมูลคอมพิวเตอร์ของจีน (2011) 计算机信息系统安全保护条例

ประเด็นสำคัญของมาตรการประกอบด้วย:

(1) กฎข้อบังคับมีจุดมุ่งหมายเพื่อปกป้องความปลอดภัยของระบบข้อมูลคอมพิวเตอร์ภายในดินแดนของจีน

(2) กระทรวงความมั่นคงสาธารณะเป็นหน่วยงานที่มีอำนาจในสาขานี้ซึ่งมีหน้าที่และอำนาจรวมถึงการกำกับดูแลการคุ้มครองความปลอดภัยที่เกี่ยวข้อง ตรวจสอบและลงโทษการกระทำที่ผิดกฎหมายที่เป็นอันตรายต่อความปลอดภัยของคอมพิวเตอร์

3. ข้อบังคับเกี่ยวกับระดับการป้องกันความปลอดภัยทางไซเบอร์ (ร่างการร้องขอความคิดเห็น) (ไม่ได้ประกาศใช้อย่างเป็นทางการ) (2018) (网络安全等级保护条例)

เมื่อวันที่ 27 มิถุนายน 2018 กระทรวงความมั่นคงสาธารณะตามมาตรา 21 ของกฎหมายความมั่นคงปลอดภัยไซเบอร์ได้ร่าง“ ระเบียบว่าด้วยระดับการป้องกันความปลอดภัยทางไซเบอร์” และประกาศร่างเพื่อขอความคิดเห็นจากสาธารณชน ณ ตอนนี้ร่างกฎหมายดังกล่าวยังไม่ได้ประกาศใช้เป็นกฎหมายอย่างเป็นทางการ

ประเด็นหลักของร่างมีดังนี้:

(1) ระบบเครือข่ายจะแบ่งออกเป็นระดับการป้องกันความปลอดภัย XNUMX ระดับตามความสำคัญในด้านความมั่นคงของประเทศโครงสร้างทางเศรษฐกิจและชีวิตทางสังคม

ความสำคัญของระบบเครือข่ายจะค่อยๆเพิ่มขึ้นจากระดับแรกไปยังระดับที่ห้า (ข้อ 15)

ระบบเครือข่ายในระดับที่แตกต่างกันระบุระดับที่ผลประโยชน์ที่เกี่ยวข้องอาจได้รับอันตรายในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยเครือข่ายของระบบเครือข่ายในระดับนั้นดังต่อไปนี้:

ระดับที่ 1: ความมั่นคงของชาติระเบียบสังคมและผลประโยชน์สาธารณะจะไม่ตกอยู่ในอันตราย

ระดับ 2: ระเบียบสังคมและผลประโยชน์สาธารณะจะใกล้สูญพันธุ์และความมั่นคงของชาติจะไม่ใกล้สูญพันธุ์

ระดับที่ 3: ระเบียบสังคมและผลประโยชน์สาธารณะจะใกล้สูญพันธุ์อย่างร้ายแรงหรือความมั่นคงของชาติจะใกล้สูญพันธุ์

ระดับ 4: ระเบียบสังคมและผลประโยชน์สาธารณะจะตกอยู่ในภาวะใกล้สูญพันธุ์อย่างรุนแรงหรือความมั่นคงของชาติจะใกล้สูญพันธุ์อย่างรุนแรง

ระดับที่ 5: ความมั่นคงของชาติอยู่ในภาวะใกล้สูญพันธุ์อย่างรุนแรง

(2) ผู้ให้บริการเครือข่ายจะต้องกำหนดระดับการป้องกันความปลอดภัยของเครือข่ายในระหว่างขั้นตอนการวางแผนและการออกแบบและผู้เชี่ยวชาญและหน่วยงานที่มีอำนาจจะต้องยืนยันระดับของเครือข่าย หลังจากยืนยันระดับแล้วผู้ให้บริการเครือข่ายควรยื่นเรื่องต่อหน่วยงานรักษาความปลอดภัยสาธารณะด้วย (บทความ 16, 17, 18)

(3) ผู้ให้บริการเครือข่ายควรปฏิบัติตามภาระหน้าที่ด้านความปลอดภัยที่จำเป็นและผู้ให้บริการเครือข่ายที่อยู่เหนือระดับ 3 ควรปฏิบัติตามภาระหน้าที่ในการป้องกันความปลอดภัยเป็นพิเศษด้วย (บทความ 20 และ 21)

(4) หากผลิตภัณฑ์และบริการเครือข่ายที่ซื้อโดยผู้ให้บริการเครือข่ายอาจส่งผลกระทบต่อความมั่นคงของประเทศผลิตภัณฑ์และบริการดังกล่าวควรได้รับการตรวจสอบความปลอดภัยระดับชาติที่จัดทำโดยหน่วยงานกำกับดูแล (ข้อ 28)

(5) เครือข่ายที่สูงกว่าระดับ 3 จะต้องได้รับการดูแลภายในประเทศและไม่อนุญาตให้มีการบำรุงรักษาทางเทคนิคระยะไกลในต่างประเทศ (ข้อ 29)

(6) ผู้ให้บริการเครือข่ายควรรายงานการตรวจสอบความปลอดภัยของเครือข่ายและข้อมูลเตือนภัยล่วงหน้าและเหตุการณ์ด้านความปลอดภัยของเครือข่ายต่อหน่วยงานกำกับดูแลสร้างข้อมูลสำคัญและกลไกการป้องกันความปลอดภัยของข้อมูลส่วนบุคคลและกำหนดและใช้แผนฉุกเฉินด้านความปลอดภัยของเครือข่าย (ข้อ 30, 31, 32)

III. ระเบียบกรม

1. มาตรการทบทวนความปลอดภัยทางไซเบอร์ของจีน (2020) 网络安全审查办法

มาตรการนี้มีจุดมุ่งหมายเพื่อกำกับดูแลว่าการซื้อผลิตภัณฑ์และบริการเครือข่ายโดยผู้ให้บริการโครงสร้างพื้นฐานข้อมูลที่สำคัญ (ต่อไปนี้เรียกว่า“ ผู้ประกอบการ”) ส่งผลกระทบต่อความมั่นคงของชาติหรือไม่ ประเด็นสำคัญของมาตรการประกอบด้วย:

(1) หากการซื้อผลิตภัณฑ์และบริการเครือข่ายโดยผู้ให้บริการส่งผลกระทบหรืออาจส่งผลกระทบต่อความมั่นคงของประเทศผู้ให้บริการจะต้องรายงานไปยังสำนักงานตรวจสอบความปลอดภัยของเครือข่ายที่เกี่ยวข้องกับฝ่ายบริหารไซเบอร์สเปซของจีนเพื่อตรวจสอบความปลอดภัยของเครือข่าย

(2) ผลิตภัณฑ์หรือบริการเครือข่าย ได้แก่ คอมพิวเตอร์เซิร์ฟเวอร์อุปกรณ์จัดเก็บข้อมูลฐานข้อมูลซอฟต์แวร์และบริการคลาวด์

(3) สำนักงานตรวจสอบความปลอดภัยของเครือข่ายจะตรวจสอบความเสี่ยงต่อไปนี้: สิ่งอำนวยความสะดวกที่ใช้ผลิตภัณฑ์หรือบริการดังกล่าวจะได้รับความเสียหายหรือไม่ ข้อมูลจะรั่วไหลหรือไม่ ช่องทางการจัดหาผลิตภัณฑ์หรือบริการดังกล่าวปลอดภัยและมั่นคงหรือไม่ ผู้จัดหาผลิตภัณฑ์หรือบริการดังกล่าวปฏิบัติตามกฎหมายของจีนหรือไม่

2. วิธีการประเมินความปลอดภัยสำหรับบริการคลาวด์คอมพิวติ้ง (2019) 云计算服务安全评估办法 

วิธีการประเมินความปลอดภัยนี้มีจุดมุ่งหมายเพื่อประเมินความปลอดภัยและความสามารถในการควบคุมของบริการคลาวด์คอมพิวติ้งที่ซื้อโดยภาคีและหน่วยงานของรัฐและผู้ดำเนินการโครงสร้างพื้นฐานข้อมูลที่สำคัญ ประเด็นสำคัญมีดังนี้:

(1) การประเมินความปลอดภัยของบริการคลาวด์คอมพิวติ้งจะมุ่งเน้นไปที่สิ่งต่อไปนี้ (i) ข้อมูลพื้นฐานของผู้ให้บริการแพลตฟอร์มคลาวด์ (ii) ภูมิหลังและความเสถียรของผู้ให้บริการคลาวด์ (ii) ความปลอดภัยของเทคโนโลยีแพลตฟอร์มคลาวด์ผลิตภัณฑ์และห่วงโซ่อุปทานของบริการ (vi) ความสามารถในการจัดการความปลอดภัยและมาตรการรักษาความปลอดภัยของผู้ให้บริการคลาวด์ (v) ความเป็นไปได้และความสะดวกในการย้ายข้อมูลของลูกค้า (iv) ความต่อเนื่องทางธุรกิจของผู้ให้บริการคลาวด์
(2) ผู้ให้บริการระบบคลาวด์สามารถยื่นขอการประเมินความปลอดภัยบนแพลตฟอร์มคลาวด์ที่ให้บริการคลาวด์คอมพิวติ้งแก่ภาคีและหน่วยงานของรัฐและผู้ดำเนินการโครงสร้างพื้นฐานข้อมูลที่สำคัญ

3. ข้อบังคับว่าด้วยการกำกับดูแลและตรวจสอบความปลอดภัยทางไซเบอร์โดยหน่วยงานความมั่นคงสาธารณะ (2018) 公安机关互联网安全监督检查规定

กฎข้อบังคับนี้มีจุดมุ่งหมายเพื่อระบุว่าหน่วยงานรักษาความปลอดภัยสาธารณะควรดำเนินการกำกับดูแลความปลอดภัยและตรวจสอบการปฏิบัติตามโดยผู้ให้บริการอินเทอร์เน็ตและผู้ใช้อินเทอร์เน็ตเกี่ยวกับภาระผูกพันด้านความปลอดภัยทางอินเทอร์เน็ตได้อย่างไร

4. มาตรการบริหารเพื่อการป้องกันความปลอดภัยสำหรับการเชื่อมต่อระหว่างประเทศกับเครือข่ายข้อมูลคอมพิวเตอร์ (2011) 计算机计算机网络国际联网安全保护管理管理 

ประเด็นสำคัญของมาตรการประกอบด้วย:

(1) กระทรวงความมั่นคงสาธารณะมีหน้าที่ปกป้องการเชื่อมต่อระหว่างเครือข่ายคอมพิวเตอร์ในประเทศจีนและอินเทอร์เน็ตระหว่างประเทศ

(2) ห้ามองค์กรใดใช้อินเทอร์เน็ตระหว่างประเทศเพื่อเผยแพร่เนื้อหาที่ผิดกฎหมายหรือเป็นอันตรายต่อความปลอดภัยของคอมพิวเตอร์

5. ข้อบังคับว่าด้วยมาตรการทางเทคนิคสำหรับความปลอดภัยทางไซเบอร์ (2006) 互联网安全保护技术措施规定 

ข้อบังคับนี้ มีจุดมุ่งหมายเพื่อกำกับดูแลผู้ให้บริการอินเทอร์เน็ตและผู้ใช้อินเทอร์เน็ตให้ใช้มาตรการทางเทคนิคเพื่อความปลอดภัยในโลกไซเบอร์และเพื่อให้แน่ใจว่ามาตรการทางเทคนิคสำหรับความปลอดภัยในโลกไซเบอร์ทำงานได้ตามปกติ ฝ่ายดูแลความปลอดภัยเครือข่ายข้อมูลสาธารณะของหน่วยงานความปลอดภัยสาธารณะมีหน้าที่กำกับดูแลการปฏิบัติตามมาตรการทางเทคนิคสำหรับความปลอดภัยทางไซเบอร์

IV. นโยบาย

1. แผนฉุกเฉินด้านความปลอดภัยทางอินเทอร์เน็ตสาธารณะ (2017) 公共互联网网络安全突发事件应急预案

แผนฉุกเฉินนี้มีจุดมุ่งหมายเพื่อสร้างระบบองค์กรฉุกเฉินและกลไกการทำงานสำหรับเหตุฉุกเฉินด้านความปลอดภัยทางอินเทอร์เน็ตสาธารณะ

2. มาตรการในการตรวจสอบและจัดการภัยคุกคามต่อความปลอดภัยทางไซเบอร์ของอินเทอร์เน็ตสาธารณะ (2017) 公共互联网网络安全威胁监测与处置办法

มาตรการนี้มีจุดมุ่งหมายเพื่อเพิ่มประสิทธิภาพการตรวจสอบและจัดการงานสำหรับภัยคุกคามต่อความปลอดภัยทางไซเบอร์ของอินเทอร์เน็ตสาธารณะเพื่อขจัดความเสี่ยงด้านความปลอดภัยหยุดการโจมตีหลีกเลี่ยงอันตรายและลดความเสี่ยงด้านความปลอดภัย ภัยคุกคามต่อความปลอดภัยทางไซเบอร์ของอินเทอร์เน็ตสาธารณะหมายถึงทรัพยากรเครือข่ายโปรแกรมที่เป็นอันตรายความเสี่ยงด้านความปลอดภัยหรือเหตุการณ์ด้านความปลอดภัยที่มีอยู่หรือแพร่กระจายในอินเทอร์เน็ตสาธารณะและอาจก่อให้เกิดหรือก่อให้เกิดอันตรายต่อสาธารณะแล้ว

3. แคตตาล็อกของอุปกรณ์เครือข่ายวิกฤตและผลิตภัณฑ์ความปลอดภัยทางไซเบอร์เฉพาะ (ชุดแรก 2017) 网络关键设备和网络安全专用产品目录 (第一批)

แคตตาล็อกแสดงรายการอุปกรณ์และผลิตภัณฑ์ 15 ประเภท กฎหมายความปลอดภัยทางไซเบอร์ของจีนกำหนดให้มีการปกป้องโครงสร้างพื้นฐานข้อมูลที่สำคัญจากการโจมตีการบุกรุกการแทรกแซงและความเสียหาย แค็ตตาล็อกระบุประเภทของอุปกรณ์และผลิตภัณฑ์ที่อยู่ในโครงสร้างพื้นฐานข้อมูลที่สำคัญ

4. มาตรการดูแลการใช้งานและการบำรุงรักษาระบบการจัดการความปลอดภัยของข้อมูลทางอินเทอร์เน็ต (สำหรับการทดลองใช้งาน, 2016) 互联网信息安全管理系统使用及运行维护管理办法 (试行)

มาตรการนี้มีวัตถุประสงค์เพื่อเป็นแนวทางในการบริหารงานสำหรับหน่วยงานกำกับดูแลในท้องถิ่นและองค์กรการเข้าถึงอินเทอร์เน็ตที่มีส่วนร่วมในศูนย์ข้อมูลอินเทอร์เน็ต (รวมถึงบริการความร่วมมือด้านทรัพยากรอินเทอร์เน็ต) บริการเข้าถึงอินเทอร์เน็ตเครือข่ายการจัดส่งเนื้อหาและบริการอื่น ๆ ในการจัดการการใช้และการบำรุงรักษาการดำเนินงานของอินเทอร์เน็ต ระบบการจัดการความปลอดภัยของข้อมูล

5. ความคิดเห็นหลายประการเกี่ยวกับการเสริมสร้างมาตรฐานความปลอดภัยเครือข่ายแห่งชาติ (2016) 关于关于加强国家安全安全工作的若干若干

ความคิดเห็นนี้มีจุดมุ่งหมายเพื่อส่งเสริมการจัดตั้งระบบมาตรฐานการรักษาความปลอดภัยเครือข่ายระดับชาติที่เป็นเอกภาพและเชื่อถือได้และกลไกการกำหนดมาตรฐาน ประเด็นสำคัญมีดังนี้:

(1) สร้างและปรับปรุงระบบมาตรฐานความปลอดภัยเครือข่ายอย่างต่อเนื่อง

(2) มีส่วนร่วมอย่างแข็งขันในการกำหนดกฎเกณฑ์ระหว่างประเทศและกฎมาตรฐานสากลสำหรับไซเบอร์สเปซ

6. ความคิดเห็นเกี่ยวกับการพัฒนาวินัยและการฝึกอบรมความสามารถในการรักษาความปลอดภัยทางไซเบอร์ (2016) 关于加强网络安全学科建设和人才培养的意见

ความคิดเห็นนี้มีจุดมุ่งหมายเพื่อเสริมสร้างการพัฒนาวินัยและการฝึกอบรมความสามารถของ Cybersecurity Academy ของจีน

7. ประกาศเกี่ยวกับการเสริมสร้างการจัดการความปลอดภัยของเว็บไซต์ของพรรคและหน่วยงานของรัฐ (2014) 关于加强党政机关网站安全管理通知通知

ประกาศนี้มีจุดมุ่งหมายเพื่อกระตุ้นให้หน่วยงานของรัฐทั้งหมดปรับปรุงการป้องกันความปลอดภัยของเว็บไซต์อย่างเป็นทางการของตน

8. ประกาศแนวทางความคิดเห็นเกี่ยวกับการเสริมสร้างความปลอดภัยทางอินเทอร์เน็ตในอุตสาหกรรม (2019) 加强工业互联网安全工作的指导意见的通知

ประกาศนี้แบ่งออกเป็น 3 ส่วนโดยมีจุดมุ่งหมายเพื่อส่งเสริมให้จีนจัดตั้งระบบรักษาความปลอดภัยอินเทอร์เน็ตอุตสาหกรรมในขั้นต้นภายในสิ้นปี 2020

 

V. มาตรฐานทางเทคนิค

1. ข้อกำหนดการประเมินการป้องกันระดับความปลอดภัยของเครือข่าย信息安全技术网络安全等级保护测评要求

 

2. ข้อกำหนดพื้นฐานของการป้องกันระดับความปลอดภัยของเครือข่าย信息安全技术网络安全安全等级保护基本要求

 

3. ข้อกำหนดการออกแบบความปลอดภัยระดับความปลอดภัยของเครือข่าย信息安全技术网络安全等级保护安全设计设计

 

 

 

ภาพโดยJéanBéller (https://unsplash.com/@jeanbeller) ใน Unsplash