Постоянный комитет Всекитайского собрания народных представителей обратил свое пристальное внимание на создание нормативной базы в сфере криптографии. Осенью 2019 года был одобрен Закон "О криптографии Китайской народной Республики" (Закон о криптографии), который вступил в силу 1 января 2020 года. До этого момента в сфере криптографии был всего один правовой акт - "Правила о коммерческих кодах шифрования" (Правила ККШ) от 1999 года. Можно смело назвать Закон о криптографии первым всеобъемлющим документом в сфере криптографического контроля.
Закон разделил криптографию на три вида:
- фундаментальная
- обычная
- коммерческая
Фундаментальная криптография - информация высочайшего уровня, относится к совершенно секретной.
Обычная криптография - относиться к разряду конфиденциальной информации.
Данные виды криптографии относятся к государственной тайне и контролируются Департаментом по управлению криптографией, коммерческая криптография, к государственной тайне не относиться.
Данные защищаемые коммерческой криптографией
Закон о криптографии отменил разрещительный порядок доступа к данному рынку, приводя правила в соответствие со следующими требованиями:
- Предприятиям с иностранным участиям можно свободно заниматься научными исследованиями, производством, продажей и обслуживанием, импортом и экспортом в сфере коммерческой криптографии;
- Коммерческие коды, выводятся из под объектов лицензирования при импорте и не подлежат экспортному контролю;
- Упраздняется административная экспертиза продуктов коммерческой криптографии, о сертификация и оценка безопасности, выполняется только в случае, когда затрагиваются интересы гос.безопасности.
В Законе о криптографии четко сформулирована система идентификации и аутентификации в сфере коммерческой криптографии, которые предприятия работающие в данной сфере могут принять на себя добровольно. При этом, если коммерческая криптография заходит в зону интересов государства и влияет на национальную безопасность и экономику, а также оказывает влияние на жизнедеятельность граждан, такая компания должна быть включена в "Каталог критически важного сетевого оборудования и средств обеспечения сетевой безопасности", который регулярно обновляется. Предприятия оказывающие услуги в области коммерческой криптографии, которые пользуются указанным выше оборудованием, должны подтверждать квалификацию в Агенстве по аутентификации коммерческой криптографии.
Большая ответственность наложена на операторов информационных структур, которые обязаны оценивать и проверять безопасность операций в сфере коммерческой криптографии. Они должны обеспечивать безопасность самостоятельно, либо с помощью Агентства по аутентификации коммерческой криптографии. Покупатели сетевых продуктов или услуг, которые заходят на поле гос.безопаснсти должны проходить проверку.
Оценка безопасности и обеспечение государственной безопасности полностью ложиться на плечи оператора. Многие китайские и иностранные компании привели свою деятельность в соответствие с "Основными требованиями по применению криптографии информационных систем GM/T0054-2018".
Как влияет Закон на предприятия с иностранным участием:
Китайские СМИ говорят о положительном влиянии Закона на предприятия с иностранным участием, опуская тему повышенного контроля за их деятельностью. Что же он реально дает:
- Более простая регистрация продуктов и оборудования на рынке Китая
- Отсутствие разрешительных и регистрационных процедур для использования на территории Китая
- Возможность работы без участия китайского партнера
При этом компаниям собирающимся работать в сфере криптографии необходимо внимательно следить за развитием законодательства и адаптироваться к его изменениям.
Автор: Спасский Максим - эксперт по Китаю.
Спасибо проекту Bitbanker.ru за поддержку и консультации в области крипторынков.