去年年底,中国政府出台了新的网络安全法,即所谓的“网络安全等级制度”()。 该法律于 XNUMX 月生效,实际上意味着政府可以无限制地访问国内所有数据,无论这些数据是存储在中国服务器上还是通过中国网络传输。
这意味着不会有匿名VPN(许多流行的VPN都是中国公司拥有的)。 没有私人或加密的消息。 没有匿名在线帐户或敏感数据。 任何数据都将向中国政府开放和访问,包括外国公司在中国服务器上或经过中国的数据, 礼德·史密斯律师事务所。 从某种意义上说,等保2.0及配套法律可以与俄罗斯的“亚罗瓦亚一揽子法律”相比较。
一切都像看上去的那样糟糕,而且还在变得更糟。 MLPS 2.0 得到另外两项立法的支持,这两项立法都消除了曾经可能用于维护企业数据完整性的任何保护、保障或漏洞。 两者均于本月初生效。 CS在线。
首先是新的《外商投资法》,该法给予外国投资者与中国投资者同等的待遇。 尽管这被宣传为简化投资流程的一种手段,但实际上它剥夺了外国投资者以前享有的许多权利。
第二个制定了一套新的加密指南。 同样,乍一看,这些提议似乎是出于共同利益而提出的。 该法律由公安部正式通过,旨在保护网络基础设施免受“损害”和外部威胁。 只有经过仔细检查,副作用才开始出现。
根据自 2008 年起实施的现行等级保护制度,网络运营商(一个非常广泛的术语,涵盖发送或处理数据的任何连接的计算机或系统)需要将其网络和信息系统分为不同的层,并应用适当的安全措施。 该计划按照敏感度对信息和通信技术 (ICT) 系统进行排名:1 - 最不敏感,5 - 最敏感。 评级越高,该系统受到公安部 (MPS) 的控制就越严格。 第三个层次是自我认证转变为政府核查。 当网络损坏将“对中国公民、法人及其他利害关系组织的合法权益造成特别严重损害,或者对公共秩序和公共利益造成特别严重损害,或者危害国家安全”时,即达到该级别。
分析公司 NewAmerica 等保2.0代表着“向更多验证的转变”。 在等保2.0下,受检查的网络几乎扩展到所有IT系统。
数据本地化要求
根据新密码法,密码系统的开发、销售和使用“不得损害国家安全和社会公共利益”。 此外,未经“验证和认证”的密码系统也被禁止。 一般来说,如果您的企业试图向政府隐瞒信息,您可能而且将会受到惩罚。
此外,如果您的数据中心使用例如中文软件服务,那么该服务存储和管理的所有数据都可能被扣押。 这包括商业秘密、财务信息等。 同样,如果您在国内保留任何资产,您就无法完全控制它们; 政府可以随时以最低限度的理由没收它们。
新立法中包含的数据本地化要求也极大地损害了云安全。 专家解释说,数据存储在哪里并不重要。 如 它们被存储。 因此,本地化在保护敏感信息方面作用甚微,同时创建了易于攻击的目标数据存储位置。
中国从来不羞于忽视隐私和数据安全。 这些新规则只是该国长期以来的规范的正式化。 但这并没有让公司变得更容易。
外资企业面临的问题
美国智库战略与国际研究中心(CSIS)声称中国已释放 与网络安全相关的新国家标准。 最新的变化之一是 MLPS 更新。
新法律对于外国公司拥有的数据中心来说尤其成问题。
事实上,他们有两个选择。
首先是停止在中国开展业务,包括通过合作伙伴关系开展业务。 理论上,如果有足够多的公司走这条路,可能会对中国政府施加压力,要求废除该法律。
第二是接受隐私和安全性降低作为在中国开展业务的成本。
可以说,在俄罗斯的外国企业仍然有同样的两种选择。
我想,通过共同努力,他们会走第一条路。 不幸的是,实际上第二种选择更有可能被选择。 因为对于很多人来说,这个做生意的价格是可以接受的。
来源: habr.com