Zeichen eines Mannes, der Fußgänger beobachtet, die eine Straße überqueren

Chinas neues Cybersecurity-System: Es gibt keinen Platz zum Verstecken

China Law Blog

Zeichen eines Mannes, der Fußgänger beobachtet, die eine Straße überqueren

Unsere Anwälte für Datenschutz in China haben einen ständigen Strom von Fragen zu unserem jüngsten Beitrag, Chinas neues Cybersicherheitsprogramm, erhalten : NO Place to Hide" (Kein Platz zum Verstecken), in dem es um die Einführung eines neuen Systems zur Überwachung von Unternehmensdaten durch die chinesische Regierung ging.

Diese Fragen kommen von unseren Lesern, unseren Kunden und den Medien. Die meisten suchen Antworten auf die folgenden zwei Fragen:

  1. In dem Beitrag habe ich von einer "Einführung" dieses neuen Überwachungssystems am 1. Dezember 2019 gesprochen, und die Leute wollen wissen, was genau eingeführt wird.
  2. In dem Beitrag habe ich erklärt, dass die Regierung der VR China Zugang zu allen Informationen hat und diese nach Belieben nutzen kann. Wir werden gefragt, ob ich dies auf der Grundlage des geschriebenen chinesischen Rechts oder auf der Grundlage meiner Erfahrungen mit China vor Ort sage.

Dieser Beitrag beantwortet beide Fragen.

Erstens: Das "Programm", das in Kraft treten wird, ist das Cybersecurity Multi-level Protection Scheme ("MLPS 2.0"), das am 1. Dezember 2019 in Kraft treten soll. Dieses Programm legt die technischen und organisatorischen Kontrollen fest, die alle Unternehmen und Einzelpersonen in China befolgen müssen, um die MLPS-bezogenen Internet-Sicherheitsverpflichtungen einzuhalten, die im chinesischen Cybersicherheitsgesetz vorgeschrieben sind. Alle Unternehmen und Einzelpersonen müssen sich an die folgenden drei Standards halten:

  1. GB/T 22239 - 2019 Informationssicherheitstechnologie - Grundlegende Anforderungen an ein mehrstufiges Schutzsystem
  2. GB/T 25070 - 2019 Informationssicherheitstechnologie - Technische Anforderungen an das Sicherheitsdesign für mehrstufige Schutzsysteme.
  3. GB/T 28448 - 2019 Informationssicherheitstechnologie - Bewertungsanforderungen für mehrstufige Schutzsysteme.

Die chinesische Version dieser Normen finden Sie hier; eine englische Übersetzung dieser Normen ist uns nicht bekannt.

Mein persönliches Dossier zu den Gesetzen und Vorschriften im Zusammenhang mit dem MLPS 2.0-System besteht aus über 800 Seiten sehr technischem Chinesisch. Aber selbst diese umfangreiche Dokumentation reicht nicht aus, um die Funktion des Systems vollständig zu verstehen. Um es vollständig zu verstehen, muss man auch die Ziele anderer wichtiger Planungsdokumente der chinesischen Regierung berücksichtigen, wie z. B. das nationale Programm für künstliche Intelligenz, das Internet+-Programm, das Sozialkreditsystem für Einzelpersonen und Unternehmen (sieheChinas neues System zur Verfolgung von Unternehmen: Comply, Comply, Comply) und verschiedene andere Netzwerk-/Internet-/Datensammlungs- und Überwachungsprogramme, die in China umgesetzt werden.

Wenn man all diese verschiedenen Programme zusammen betrachtet, wird deutlich, dass das MLPS 2.0-System die "Hardware"-Komponente eines umfassenden Programms zur Datenerfassung, Überwachung und Kontrolle ist. Chinas Plan ist es, ein System zu schaffen, das jede Form von Netzaktivität in China abdeckt: Internet, Mobiltelefon, soziale Netzwerke vom Typ WeChat, Cloud-Systeme, nationale und internationale E-Mails. Chinas Ziel ist es nicht, ein kommerzielles System zu schaffen, an dem einzelne Akteure teilnehmen und Geld verdienen können. Das Ziel ist die Überwachung und Kontrolle durch die Regierung der Volksrepublik China und die KPCh.

Um diese Ziele zu erreichen, schafft China ein System, mit dem zwei letztlich widersprüchliche Ziele erreicht werden sollen: Das System soll gegen das Eindringen "böser Akteure" (Ausländer und interne Dissidenten) abgeschottet werden, aber für das Ministerium für öffentliche Sicherheit und andere Internet-Sicherheitsbehörden der Regierung der VR China und der KPCh vollkommen transparent sein. Transparenz für das Ministerium für öffentliche Sicherheit bedeutet, was es sagt: Keine Technologie, die den Zugang des Ministeriums für öffentliche Sicherheit blockiert, ist erlaubt. Kein VPN, keine Verschlüsselung, keine privaten Server. Wenn das Ministerium für öffentliche Sicherheit Hintertüren oder andere Vorrichtungen oder Systeme zum Abfangen von Nachrichten/Daten installieren muss, um vollen Zugang zu erhalten, dannmüssen China Telecom und in China ansässige Internetanbieter dem nachkommen. Da die Bereitstellung eines offenen Zugangs für das Ministerium für öffentliche Sicherheit jedoch in direktem Konflikt mit dem Ziel eines gehärteten Schutzes vor Eindringlingen steht, ist die Frage, wie zwischen diesen widersprüchlichen Zielen vermittelt werden kann, der Hauptgrund für die Länge und Komplexität der MLPS-2.0-Standards.

Zweitens: Die Rechtsgrundlage dafür, dass das chinesische Ministerium für öffentliche Sicherheit auf Netze und Daten zugreifen darf, stammt aus einer Verordnung, die nicht in den MLPS-2.0-Standards enthalten ist. Wie ich bereits erwähnt habe, ist es für ein vollständiges Verständnis erforderlich, alle geltenden Vorschriften zusammenzutragen. Dies ist nur ein Beispiel dafür. Die schriftlichen Vorschriften, die dem Ministerium für öffentliche Sicherheit das Recht geben, einfach "zuzugreifen", sind die Verordnung über die Überwachung und Inspektion der Internetsicherheit durch die Organe der öffentlichen Sicherheit(公安机关互联网安全监督检查规定). Diese Verordnung wurde am 15. September 2018 verkündet und ist am 1. November 2018 in Kraft getreten. Meine nachstehenden Verweise auf diese Verordnung beziehen sich auf die Artikel der von der chinesischen Regierung veröffentlichten chinesischen Sprachversion. Es ist wichtig, sich bei Kommentaren zu der Verordnung auf das zu beziehen, was tatsächlich verabschiedet wurde, und nicht auf frühere Diskussionsentwürfe, die Bestimmungen enthielten, die nicht verabschiedet wurden.

Ein erster wichtiger Punkt, der durch die Verordnung über die Überwachung und Inspektion der Internetsicherheit durch die Organe der öffentlichen Sicherheit bestätigt wurde, ist, dass das Ministerium für öffentliche Sicherheit die Hauptverantwortung für die Durchsetzung der Internet- und Netzwerksicherheit in China trägt. Das bedeutet, dass MIIT (China Telecom), CAC, CNNIC und die ganze Buchstabensuppe anderer chinesischer Behörden, die sich um eine Rolle in der Cybersicherheitsverwaltung bemühten, zugunsten des Ministeriums für öffentliche Sicherheit beiseite geschoben wurden. Das bedeutet, dass die Durchsetzung der Vorschriften von der Polizei und nicht von lokalen Bürokraten übernommen wird. Diese Entscheidung über die Durchsetzung hat eine reale Bedeutung für ausländische Unternehmen, die in China Geschäfte machen, und für ihre ausländischen Mitarbeiter, die dort leben und arbeiten. Wenn ein chinesischer Bürokrat an Ihrer Tür auftaucht und Sie um Informationen bittet, können Sie diesen Bürokraten vielleicht wieder wegschicken. Wenn jedoch zwei oder mehr uniformierte Polizeibeamte an Ihrer Tür auftauchen, haben Sie so gut wie keine andere Wahl, als sich zu fügen.

Die Verordnung über die Überwachung und Inspektion der Internetsicherheit durch die Organe der öffentlichen Sicherheit sieht zwei Stufen der Inspektion von vernetzten Servern vor: Inspektion vor Ort und Offline-Fernzugriff. Siehe Artikel 13. Bei einer Inspektion vor Ort müssen mindestens zwei lokale Polizeibeamte anwesend sein. Siehe Artikel 14. Die Polizeibeamten werden von Mitarbeitern der örtlichen Behörden begleitet, die für die Internetsicherheit zuständig sind. Sollte das Personal der örtlichen Behörden nicht ausreichen, kann das Ministerium für öffentliche Sicherheit unabhängige Auftragnehmer mit der Durchführung der Arbeiten beauftragen.

Das Inspektionsteam hat vollständigen Zugang zum Netzsystem. Die Inspektion kann sich sowohl auf die technischen Aspekte des Netzsystems als auch auf die auf den Servern gespeicherten Daten/Informationen erstrecken. Siehe Artikel 10. Die Inspektoren haben uneingeschränkten Zugang zum System und dürfen alle Daten, die sie vorfinden, kopieren. Siehe Artikel 15. Die einzige Einschränkung für die Inspektoren, die Daten im System Ihres Unternehmens zu kopieren, besteht darin, dass die Inspektoren Ihnen eine Quittung aushändigen müssen. Obwohl Artikel 10 den Zugang auf Angelegenheiten beschränkt, die die nationale Sicherheit betreffen, ist die Definition der nationalen Sicherheit in China so weit gefasst, dass es keine wirkliche Beschränkung dafür gibt, was eingesehen, kopiert und entfernt werden darf.

Stellt das Ministerium für öffentliche Sicherheit ein Sicherheitsproblem im Internet fest, hat es das Recht, eine Fernzugriffsinspektion durchzuführen, deren Umfang in Artikel 10 festgelegt ist. Der Fernzugriff muss vorher angekündigt werden. Eine solche Ankündigung ist mit zwei Fragen verbunden: Erstens ist der Zweck der Ankündigung nicht der Schutz der Rechte der Partei, die überprüft wird. Vielmehr soll damit sichergestellt werden, dass der Server vollständig für den Zugriff des Ministeriums für öffentliche Sicherheit geöffnet wurde. Zweitens ist bei Servern, die von einem Cloud-Anbieter betrieben werden, nicht klar, ob die Mitteilung nur an den Cloud-Anbieter oder sowohl an den Cloud-Anbieter als auch an den Kunden des Cloud-Anbieters geht. Das heißt, es ist nicht klar, ob der Cloud-Kunde jemals eine Mitteilung darüber erhält, dass sein Server und seine Daten vom Ministerium für öffentliche Sicherheit eingesehen und kopiert wurden. Die Zeit wird es zeigen, aber ich vermute, dass der Cloud-Kunde es nie erfahren wird, es sei denn, sein Cloud-Anbieter teilt es ihm mit.

Diese Regel für den externen Zugriff ist schwer zu handhaben. Die Struktur der MLPS 2.0-Standards lässt vermuten, dass das Ministerium für öffentliche Sicherheit plant, mit Cloud-Anbietern und Managed Service Providern zusammenzuarbeiten, um sie dazu zu bringen, Systeme zu installieren, die dem Ministerium für öffentliche Sicherheit jederzeit einen einfachen Zugriff außerhalb des Standorts ermöglichen, ohne dass ein Verfahren zur Vorankündigung und anschließendem Zugriff durchlaufen werden muss. Diese Art von ständigem Zugangssystem ist jedoch in der Verordnung nicht vorgesehen. Doch selbst wenn die Verordnung über die Überwachung und Inspektion der Internetsicherheit durch die Organe der öffentlichen Sicherheit strikt befolgt wird, lässt sich die Tatsache nicht umgehen, dass sie dem chinesischen Ministerium für öffentliche Sicherheit einen im Wesentlichen uneingeschränkten Zugang zu allen Servern und Daten gewährt. Dies als "Cybersicherheit" zu bezeichnen, ist grundlegend irreführend. Wie in der Verordnung selbst festgestellt wird, handelt es sich um eine Regelung zur Inspektion und Kontrolle durch die chinesische Regierung. Es hat wirklich nichts mit Cybersicherheit zu tun, wie sie normalerweise in der Welt des offenen Internets betrachtet wird.

Die entscheidende Frage lautet dann: Was geschieht mit den Daten, die das chinesische Ministerium für öffentliche Sicherheit gesammelt hat? Zum Beispiel mit den Daten Ihres Unternehmens. Das Ministerium darf praktisch alle Informationen oder Daten, die es auf den von ihm inspizierten Servern findet, kopieren und entfernen. Wie steht es um die Vertraulichkeit dieser Informationen? Artikel 5 der Verordnung über die Überwachung und Inspektion der Internetsicherheit durch die Organe der öffentlichen Sicherheit befasst sich mit dieser Frage: "Die persönlichen Informationen, die Privatsphäre, die Geschäftsgeheimnisse und die Staatsgeheimnisse, von denen die Organe der öffentlichen Sicherheit und ihre Mitarbeiter bei der Erfüllung ihrer Aufgaben im Rahmen der Überwachung und Inspektion der Internetsicherheit Kenntnis erlangen, sind streng vertraulich zu behandeln und dürfen nicht weitergegeben, verkauft oder illegal für andere bereitgestellt werden." Diese Bestimmung muss sorgfältig gelesen werden, da sie eine "Vertraulichkeit mit chinesischen Merkmalen" vorsieht.

Der wichtigste Punkt ist, dass der Begriff "andere" keine Behörde der chinesischen Regierung oder der KPCh umfasst. Mit anderen Worten: Universitäten und andere Forschungszentren, die von der chinesischen Regierung betrieben oder kontrolliert werden, fallen nicht darunter. Er umfasst auch nicht das chinesische Militär oder chinesische Waffenhersteller. Auch Chinas staatseigene Unternehmen (SOEs) fallen nicht darunter. Obwohl der Begriff "andere" nicht eindeutig ist, umfasst er wahrscheinlich auch keine nominell privaten Unternehmen, die von den Chinesen kontrolliert werden. Siehe z. B. Huawei.

Was bedeutet nun diese Vertraulichkeitsbestimmung? So wie sie in China angewandt wird, soll die Vertraulichkeitsbestimmung in Artikel 5 Beamte des Ministeriums für öffentliche Sicherheit an zwei Dingen hindern: dem Verkauf von Daten an chinesische oder ausländische Unternehmen zum persönlichen Vorteil und zweitens der Weitergabe von Daten an ausländische Agenten (Spione). Diese Vorschrift soll das Ministerium nicht daran hindern, die von ihm gesammelten Daten an die oben beschriebenen Insider weiterzugeben. Vielmehr ist eine solche Weitergabe im Rahmen des Datenbedarfs der gesamten chinesischen Regierung und der KPCh vorgeschrieben. Das Ministerium für öffentliche Sicherheit darf die Daten nicht horten, sondern ist verpflichtet, sie weiterzugeben.

Dieses Ergebnis führt dann zu dem entscheidenden Problem. Vertrauliche Informationen, die sich auf einem Server in China befinden, können vom chinesischen Ministerium für öffentliche Sicherheit eingesehen und kopiert werden, und diese Informationen sind dann für das gesamte Regierungssystem der VR China zugänglich. Die Regierung der Volksrepublik China ist jedoch der Anteilseigner der staatlichen Unternehmen, die die Schlüsselindustrien in China darstellen. Die Regierung der VR China kontrolliert im Wesentlichen auch die wichtigsten Privatunternehmen in China wie Huawei und ZTE und seit kurzem auch Alibaba und Tencent und viele andere. Siehe China schickt Regierungsbeamte in Unternehmen wie Alibaba und Geely und China stellt Regierungsbeamte in 100 Privatunternehmen, einschließlich Alibaba. Die Regierung der VR China besitzt oder kontrolliert auch die gesamte chinesische Waffenindustrie.

Einfach ausgedrückt: Die Daten, die das Ministerium für öffentliche Sicherheit von ausländischen Unternehmen erhält, werden den wichtigsten Konkurrenten ausländischer Unternehmen, dem von der chinesischen Regierung kontrollierten und privaten Forschungs- und Entwicklungssystem sowie der chinesischen Waffenindustrie und dem Militär zur Verfügung stehen.

Die negativen Folgen dieser Entwicklung sollten offensichtlich sein. Der entscheidende Punkt ist jedoch, dass die Folgen weit über die kommerziellen Auswirkungen hinausgehen. Chinas neue Systeme werden für die USA und andere Regierungen zu einer Frage der nationalen Sicherheit. Dies führt zu einem Konflikt, dem sich private Unternehmen nicht entziehen können. Stellen sie ihre Daten dem chinesischen Ministerium für öffentliche Sicherheit zur Verfügung, wie es das chinesische Recht vorschreibt, oder halten sie diese Daten vor dem Ministerium (und damit dem chinesischen Militär) geheim, wie es die Gesetze ihres Heimatlandes vorschreiben? Mit anderen Worten, hören sie einfach auf, ihre Daten in China zu verwenden oder zu liefern?

Das Endergebnis wird sein, dass für China der "freie Handel" in den kritischen Bereichen der Technologie stark eingeschränkt wird. Willkommen in der neuen Normalität.

Teilen Sie

China Law Blog

Die Website China Law Blog konzentriert sich auf die praktischen Aspekte des chinesischen Rechts und auf die Auswirkungen auf ausländische Unternehmen, die in oder mit China Geschäfte machen. Ziel ist es, den Lesern zu vermitteln, was funktioniert und was nicht, und was Geschäftsleute tun können, um das Recht zu ihrem Vorteil zu nutzen. China Law Blog Das Ziel des Buches ist es, Unternehmen zu unterstützen, die bereits in China sind oder planen, nach China zu gehen, und nicht, neue Wege in der Rechtstheorie oder -politik zu beschreiten.

Harris Bricken Blog Mehr Beiträge lesen
Mehr lesen

Geistiges Eigentum (IP), Internet

Verwandte Beiträge

Marken in China und Madrid

Farbangaben für Marken: Vermeiden Sie
Seltene Erden und China

Seltene Erden und Polysilizium und warum wir das Risiko von China nehmen müssen
Überprüfung der Sorgfaltspflicht in China

Screening von verbotenen Parteien und die versteckten Gefahren im chinesischen Geschäftsverkehr

Neues Webinar | Internationale Schiedsgerichtsbarkeit: Regionale Trends und Taktiken
Gerichte in China

Chinas Gerichte, Cyberspionage, Firmenüberfälle und meine Aussage vor dem Kongress dazu
Markenrechtsstreitigkeiten in China

Konsolidierung von Markenrechtsklagen
Gesetz über Zwangsarbeit

Das Gesetz zur Verhinderung uigurischer Zwangsarbeit bringt Ihre China-Importe in Gefahr
Due-Diligence-Prüfung in China

Die Sorgfaltspflicht in China wurde gerade um einiges erschwert: Was nun?
China-Dumping

Drei neue AD/CVD-Petitionen: Stahlregale, Stahlzylinder, Messingstäbe
Haag Service China

E-Mail-Zustellungen an chinesische Beklagte
Schützen Sie Ihr IP

Verlagerung Ihrer Produktion nach China: Sind Sie wirklich Eigentümer Ihres Produkts?
Chinesisches Vertretungsbüro oder WFOE

China Repräsentanzbüros
Unterschreiben Sie mit Jetzt in neuer Schrift und später in schäbiger Schrift

Internationale Verträge sind jeden Dollar wert, den Sie lieber nicht zahlen würden
Spanien

Veranstaltung in Miami | Spanien: Ihre Brücke nach Europa
US-China-Handelspolitik

Entkopplung USA-China: Ja, Nein UND vielleicht doch