Çin, Yurtdışında Listelenen Ağ Platformlarının Siber Güvenlik İncelemesi Üzerine Yeni Kurallar Yayınladı

Hazırlayan: Eren Talha Kurukız

Çin, Yurtdışında Listelenen Ağ Platformlarının Siber Güvenlik İncelemesi Üzerine

 Yeni Kurallar Yayınladı

Siber güvenlik incelemesi için yeni önlemler, Çin Siber-Uzay Dairesi’nin 16 Kasım 2021 tarihinde gerçekleştirdiği 20. Ofis toplantısında gözden geçirildi ve 15 Şubat 2022 tarihinde Devlet Güvenlik Bakanlığı, Sanayi ve Bilgi Teknolojileri Bakanlığı ve Çin Menkul Kıymetler Düzenleme Komisyonu da dahil olmak üzere 12 farklı otorite tarafından onaylanarak yürürlüğe girdi.

Söz konusu kuralların ilk taslağı, 10 Temmuz 2021 yayınlanarak kamu görüşüne sunulmuştu, toplanan görüşlerin ardından son haline gelen taslak 4 Ocak 2022’de yayınlanmıştı. Söz konusu kurallar dayanağını Çin Halk Cumhuriyeti İnternet Güvenliği Kanunu ile yakın zamanda kabul edilen Çin Halk Cumhuriyeti Veri Güvenliği Kanunu’ndan alıyor.

Bu kuralların kabul edilmesiyle birlikte 13 Nisan 2020’de yürürlüğe giren önlemler kaldırılmış oldu.

İlgili Kararın Getirdiği Yeni Düzenlemeler

Buradaki adresten ulaşılabilecek olan kuralların temel noktası, “kritik bilgi altyapısı tedarik zincirinin güvenliğini sağlamak, ağ güvenliğini ve veri güvenliğini sağlamak ve ulusal güvenliği sağlamak” olarak ifade ediliyor.

İlgili kurallar gereğince kritik bilgi altyapısı operatörlerinin ağ ürünleri ve hizmetleri satın aldığı ve ağ platformu operatörlerinin ulusal güvenliği etkileyen veya etkileyebilecek veri işleme faaliyetleri yürüttüğü durumlarda, yayınlanan bu yeni önlemler uygun olarak bir ağ güvenliği incelemesi yapması yükümlülüğü getirilmiş durumda.

Yeni Siber Güvenlik İncelemesi Önlemleri’nin en önemli ve dikkat çekeni Çin’in, Çinli şirketlerin verileri yurtdışında listelemelerine getirdiği düzenleme oldu. Düzenlemeye göre, yurtdışındaki borsalarda listelenecek olan 1 milyondan fazla kullanıcının kişisel verilerine erişen çevrimiçi platformlar yönünden ise ulusal güvenlik riski ortaya çıkıp çıkmadığına dair bir değerlendirme yapılmasına gerek olmaksızın yurtdışındaki borsalarda listelenmeden önce bu başvurunun yapılması gerekiyor. İlgili düzenleme her ne kadar Çin hükümetinin, şirketlerin yurtdışında listelenmesinin önüne koyduğu bir engel olarak görünse de Çin hükümeti, ilgili düzenleme ile ulusal güvenlik ve veri güvenliğini güçlendirmek istediğini belirtiyor.

Getirilen kurallarda dikkat çeken diğer bir yenilik de kritik bilgi altyapısı operatörlerinin faaliyetlerine ilişkin. Yeni düzenleme ile birlikte bir siber güvenlik inceleme ofisi kurulmuş oldu. Kritik bilgi altyapısı işletmecisinin, ağ ürün ve hizmetlerini satın alması, ürün ve hizmetlerin kullanıma sunulmasından sonra ulusal güvenliği etkileyen ya da etkileyebilecek olan riskler ortaya çıkacağını öngörmesi halinde bu ofise başvurarak bir siber güvenlik incelemesi talep etme zorunluluğu da getirildi.

Düzenlemede öngörülen bu incelemenin usul ve esaslar ile incelemenin hangi kriterlere göre yapılacağı da söz konusu kurallar içerisinde düzenlenmiş halde. Yapılacak incelemede kişisel verilerin ve fikri mülkiyet haklarının korunması başta olmak üzere ticari sırlar vb.nin korunacağına dair ilgili ofise yükümlülükler getirilmiş durumda.

Bahse konu yenilikler ile birlikte Merkezi Ağ Güvenliği ve Bilişim Komisyonu önderliğinde ulusal bir siber güvenlik çalışma mekanizması da oluşturuldu ve buradaki sistemleri formüle etme görevi, Siber Güvenlik İnceleme Ofisi’nin sorumluluğuna bırakıldı.