I. Leis
1. Lei de Cibersegurança da China (2017) 网络 安全 法
Esta Lei é aplicável a proprietários, gerentes e provedores de serviços de rede (doravante denominados “operadores”) que constroem, operam, mantêm e usam redes na China. Os pontos-chave desta lei incluem:
(1) Os operadores devem verificar a identidade do usuário ao fornecer serviços como acesso à rede, registro de nome de domínio, acesso à rede telefônica ou liberação de informações e mensagens instantâneas para o usuário.
(2) Informações pessoais e dados importantes devem ser armazenados na China. A exportação de dados está sujeita à revisão do regulador.
(3) Os operadores devem fornecer apoio técnico e assistência aos órgãos de segurança pública e autoridades de segurança nacional.
(4) Quando qualquer instituição, organização ou ataque individual no exterior se intrometa, perturbe, destrua ou de outra forma danifique as infraestruturas de informação críticas da China, causando qualquer consequência séria, o infrator estará sujeito à responsabilidade legal de acordo com a lei. Os órgãos de segurança pública e departamentos competentes podem decidir pelo congelamento de bens ou por qualquer outra medida sancionatória necessária contra a instituição, organização ou indivíduo.
2. Decisão sobre o fortalecimento da proteção das informações da rede (2012) 关于 加强 网络 信息 保护 的 决定
A decisão estabelece, pela primeira vez na China, as regras para a coleta e uso de informações pessoais e as obrigações dos provedores de serviços de rede de proteger as informações pessoais.
A Lei de Cibersegurança, posteriormente promulgada em 2018, adotou a maior parte do conteúdo da Decisão.
3. Decisão sobre a manutenção da segurança da Internet (2000) 关于 维护 互联网 安全 的 决定
A decisão é a primeira regra da China sobre segurança cibernética, com os seguintes pontos-chave:
(1) Hackear ou destruir o sistema de computador constitui um crime.
(2) A subversão do poder do Estado, a destruição da unidade nacional e a unidade das nacionalidades, o roubo de segredos de Estado e a prática de atividades de culto através da publicação de informações na Internet constituem crime.
(3) Violar os direitos legítimos de terceiros na Internet constitui crime.
II. Regulamentos Administrativos
Os pontos-chave das medidas incluem:
(1) O Ministério de Segurança Pública é responsável por proteger a conexão entre a rede de computadores na China e a Internet internacional.
(2) Nenhuma entidade deve usar a Internet internacional para publicar conteúdo ilegal ou colocar em risco a segurança do computador.
Os pontos-chave das medidas incluem:
(1) Os Regulamentos visam proteger a segurança dos sistemas de informação de computador dentro do território da China.
(2) O Ministério da Segurança Pública é a autoridade competente neste domínio, cujas funções e poderes incluem a supervisão da proteção de segurança pertinente; investigar e punir os atos ilegais que põem em perigo a segurança do computador.
Em 27 de junho de 2018, o Ministério da Segurança Pública, com base no Artigo 21 da Lei de Segurança Cibernética, elaborou o “Regulamento dos Níveis de Proteção da Segurança Cibernética” e divulgou sua minuta para solicitação de opinião do público. No momento, o projeto ainda não se tornou uma lei oficialmente promulgada.
Os pontos principais do projeto são os seguintes:
(1) O sistema de rede será dividido em cinco níveis de proteção de segurança, de acordo com sua importância na segurança nacional, construção econômica e vida social.
A importância do sistema de rede aumenta gradualmente do primeiro ao quinto nível. (Artigo 15)
Os sistemas de rede de diferentes níveis indicam o grau em que interesses relevantes podem ser prejudicados no caso de um incidente de segurança de rede do sistema de rede nesse nível, como segue:
Nível 1: Segurança nacional, ordem social e interesse público não serão ameaçados;
Nível 2: a ordem social e os interesses públicos estarão em perigo e a segurança nacional não estará em perigo;
Nível 3: a ordem social e os interesses públicos estarão seriamente ameaçados ou a segurança nacional estará em perigo;
Nível 4: a ordem social e os interesses públicos ficarão particularmente ameaçados, ou a segurança nacional estará seriamente ameaçada;
Nível 5: a segurança nacional está seriamente ameaçada.
(2) O operador da rede deve determinar o nível de proteção da segurança da rede durante a fase de planeamento e conceção e os peritos e autoridades competentes devem confirmar o seu nível. Após a confirmação do nível, a operadora da rede também deve entrar com o arquivo no órgão de segurança pública. (Artigos 16, 17, 18)
(3) Os operadores de rede devem cumprir as obrigações de segurança necessárias e os operadores de redes acima do Nível 3 também devem cumprir as obrigações especiais de proteção de segurança. (Artigos 20 e 21)
(4) Se os produtos e serviços de rede adquiridos por operadoras de rede podem afetar a segurança nacional, tais produtos e serviços devem ser submetidos a análises de segurança nacional organizadas por autoridades regulatórias. (Artigo 28)
(5) Redes acima do Nível 3 devem ser mantidas dentro do país, e manutenção técnica remota não deve ser permitida no exterior. (Artigo 29)
(6) Os operadores de rede devem relatar o monitoramento da segurança da rede e informações de alerta precoce e incidentes de segurança da rede às autoridades regulatórias, estabelecer mecanismos importantes de proteção de segurança de dados e informações pessoais e formular e executar planos de emergência de segurança de rede. (Artigo 30, 31, 32)
III. Regulamentos Departamentais
1. Medidas de revisão de segurança cibernética da China (2020) 网络 安全 审查 办法
As medidas visam supervisionar se a aquisição de produtos e serviços de rede por operadores de infraestruturas de informação críticas (doravante designados por “operadores”) afeta a segurança nacional. Os pontos-chave das medidas incluem:
(1) Se a compra de produtos e serviços de rede pelas operadoras afetar ou puder afetar a segurança nacional, as operadoras deverão se reportar ao escritório de revisão de segurança de rede afiliado à Administração do Ciberespaço da China para a revisão de segurança de rede.
(2) Os produtos ou serviços de rede incluem computadores, servidores, dispositivos de armazenamento, bancos de dados, software e serviços em nuvem.
(3) O escritório de revisão de segurança de rede analisará os seguintes riscos: se as instalações que usam tais produtos ou serviços serão danificadas; se os dados serão vazados; se o canal de fornecimento de tais produtos ou serviços é seguro e estável; se o fornecedor de tais produtos ou serviços está em conformidade com as leis chinesas.
2. Métodos de avaliação de segurança para serviços de computação em nuvem (2019) 云 计算 服务 安全 评估 办法
Estes Métodos de Avaliação de Segurança visam avaliar a segurança e a controlabilidade dos serviços de computação em nuvem adquiridos pela Parte e órgãos governamentais e operadores de infraestrutura de informação chave. Os pontos-chave são os seguintes:
(1) A avaliação de segurança dos serviços de computação em nuvem enfocará o seguinte: (i) as informações básicas dos operadores de plataforma em nuvem; (ii) o histórico e a estabilidade dos provedores de serviços em nuvem; (ii) a segurança da tecnologia da plataforma em nuvem, produtos e cadeia de suprimentos de serviços; (vi) a capacidade de gerenciamento de segurança e as medidas de segurança dos provedores de serviços em nuvem; (v) a viabilidade e a conveniência da migração de dados do cliente; (iv) a continuidade dos negócios dos provedores de serviços em nuvem.
(2) Os provedores de serviços em nuvem podem se inscrever para avaliação de segurança em plataformas de nuvem que fornecem serviços de computação em nuvem para a Parte e órgãos governamentais e principais operadores de infraestrutura de informação.
Este Regulamento visa especificar como os órgãos de segurança pública devem conduzir a supervisão e fiscalização da segurança no cumprimento, por provedores de serviços de Internet e usuários da Internet, das obrigações de segurança cibernética.
Os pontos-chave das medidas incluem:
(1) O Ministério de Segurança Pública é responsável por proteger a conexão entre a rede de computadores na China e a Internet internacional.
(2) Nenhuma entidade deve usar a Internet internacional para publicar conteúdo ilegal ou colocar em risco a segurança do computador.
5. Regulamentos sobre medidas técnicas para segurança cibernética (2006) 互联网 安全 保护 技术 措施 规定
Este Regulamento visam supervisionar os provedores de serviços da Internet e os usuários da Internet para tomar medidas técnicas para a segurança cibernética e para garantir o funcionamento normal das medidas técnicas para a segurança cibernética. O departamento de supervisão da segurança das redes de informação pública do órgão de segurança pública é responsável pela supervisão da implementação das medidas técnicas de segurança cibernética.
XNUMX. Políticas
Estes Planos de Contingência visam estabelecer um sistema de organização de emergência e mecanismo de trabalho para Emergências de Segurança na Internet Pública.
As medidas visam aprimorar o monitoramento e o tratamento do trabalho para ameaças à segurança cibernética da Internet pública, para eliminar riscos de segurança, interromper ataques, evitar danos e reduzir riscos de segurança. Ameaças à cibersegurança da Internet pública referem-se a recursos de rede, programas maliciosos, riscos de segurança ou incidentes de segurança que existem ou se espalham na Internet pública e podem causar ou já causaram danos ao público.
O Catálogo lista 15 tipos de equipamentos e produtos. A Lei de Cibersegurança da China exige a proteção da infraestrutura crítica de informações contra ataques, intrusão, interferência e danos. O Catálogo especifica que tipo de equipamento e produtos pertencem à infraestrutura de informação crítica.
Estas medidas visam orientar o trabalho administrativo para as autoridades reguladoras locais e empresas de acesso à Internet que se envolvem em centros de dados da Internet (incluindo serviços de colaboração de recursos da Internet), serviços de acesso à Internet, redes de distribuição de conteúdo e outros serviços na gestão do uso e manutenção operacional da Internet sistemas de gestão de segurança da informação.
Estas opiniões têm como objetivo promover o estabelecimento de um sistema de padrão de segurança de rede nacional unificado e autorizado e um mecanismo de padronização. Os pontos-chave são os seguintes:
(1) Estabelecer e melhorar continuamente o sistema padrão de segurança de rede.
(2) Participar ativamente na formulação de regras e normas internacionais para o ciberespaço.
Estas opiniões têm como objetivo fortalecer o desenvolvimento disciplinar e o treinamento de talentos da Academia de Segurança Cibernética da China.
Este Aviso visa exortar todos os departamentos do governo a melhorar a proteção de segurança de seus sites oficiais.
Este Aviso está dividido em 3 partes, com o objetivo de promover a China a estabelecer inicialmente um sistema de segurança industrial da Internet até o final de 2020.
V. Padrão Técnico
1. Requisitos de avaliação de proteção de nível de segurança de rede 信息 安全 技术 网络 安全 等级 保护 测评 要求
2. Requisitos básicos de proteção do nível de segurança da rede 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求
3. Requisitos de design de segurança de proteção de nível de segurança de rede 信息 安全 技术 网络 安全 等级 保护 安全 设计 要求
Foto de Jéan Béller (https://unsplash.com/@jeanbeller) no Unsplash