Çin, yasa değişikliğini duyurdu Siber Güvenlik Yasası (CSL), 2017’de yürürlüğe girmesinden bu yana çerçevenin ilk büyük revizyonunu işaret ediyor. Ekim 2025’te Ulusal Halk Kongresi Daimi Komitesi tarafından onaylanan revizyonlar, yapay zeka (AI) güvenliğini artırmayı, uygulama mekanizmalarını güçlendirmeyi ve karadaki altyapıya yönelik olay raporlama yükümlülüklerini netleştirmeyi amaçlıyor.
Güncellenen siber güvenlik yasası resmi olarak 1 Ocak 2026’da yürürlüğe girecek.
CSL Güncellemeleri Yapay Zeka Yönetişimini ve Ulusal Güvenliği Güçlendiriyor
CSL’deki en dikkate değer güncellemelerden biri, yapay zeka geliştirme ve güvenliğine yönelik devlet desteğini vurgulayan yeni bir makalenin eklenmesidir. Bu ekleme, Çin’in siber güvenlik çerçevesinde yapay zekanın ilk açık ifadesidir.
Değişiklik aynı zamanda yapay zeka teknolojileri için etik standartlar ve güvenlik gözetim mekanizmaları oluşturmanın önemini vurguluyor. Yeni hükümler, siber güvenlik yönetimini iyileştirmek için yapay zeka ve diğer teknolojilerin kullanımını teşvik ederek, yapay zekanın hem ilerlemeyi kolaylaştırıcı hem de potansiyel bir risk kaynağı olarak ikili rolünün giderek daha fazla kabul edildiğinin sinyalini veriyor.
iken Global Policy Watch’ın bildirdiğine göre, revize edilen siber güvenlik yasası stratejik öncelikleri ifade ediyor ve ayrıntılı uygulama kılavuzlarının gelecekteki düzenlemeler veya teknik standartlarla birlikte takip edilmesi bekleniyor.
Uygulama ve Sorumluluğun Genişletilmesi
2025 değişiklikleri, CSL kapsamındaki ihlaller için daha sıkı yaptırım önlemleri ve daha yüksek cezalar getiriyor. Yasayı ciddi şekilde ihlal ettiği tespit edilen şirket ve kişiler, kuruluşlar için 10 milyon RMB’ye ve bireyler için 1 milyon RMB’ye kadar artırılmış para cezalarıyla karşı karşıya kalabilir. Revizyonlar aynı zamanda sorumluluğu da kapsayacak şekilde genişletiyor: Çin’in dijital ekosisteminde hesap verebilirliği güçlendirmeye yönelik devam eden çabalarını yansıtan ek ihlal kategorileri.
Üstelik güncellenen siber güvenlik yasası, ülke dışı erişimini de genişletiyor. Daha önce CSL’nin sınır ötesi siber olaylara ilişkin yargı yetkisi, Çin’in kritik bilgi altyapısına (CII) zarar veren yabancı eylemlerle sınırlıydı. Yeni değişiklikler, CII’yi hedef alıp almadığına bakılmaksızın, ülkenin ağ güvenliğini tehlikeye atan her türlü yabancı davranışı da kapsayacak şekilde genişletiyor. Ağır vakalarda yetkililer, varlıkların dondurulması veya diğer cezai tedbirler gibi yaptırımlar uygulayabilir.
Veri Koruma Yükümlülüklerinin Açıklığa kavuşturulması
Değişiklikler aynı zamanda kişisel verilerin işlenmesiyle ilgili uzun süredir devam eden belirsizliği de çözüyor. Revize edilen CSL uyarınca, ağ operatörlerinin artık yalnızca siber güvenlik yasasına değil, aynı zamanda Medeni Kanun ve Kişisel Bilgilerin Korunması Yasasına (PIPL) da açıkça uymaları gerekmektedir. Bu açıklama, Çin’in veri yönetimi rejiminin birbirine bağlı doğasını güçlendiriyor ve kişisel bilgileri işleyen şirketlere daha net rehberlik sağlıyor.
CSL değişikliklerini tamamlayan Çin Siber Uzay İdaresi (CAC), 1 Kasım 2025’te yürürlüğe girecek olan Ulusal Siber Güvenlik Olay Raporlamasına ilişkin İdari Önlemleri yayınladı. Bu yeni raporlama önlemleri, daha önce dağınık olan gereksinimleri birleşik bir çerçevede birleştirerek kara altyapısını yöneten kuruluşlar için daha net operasyonel beklentiler oluşturuyor.
Tedbirler, Çin içinde ağ kuran veya işleten ya da Çin ağları üzerinden hizmet sağlayan tüm ağ operatörleri için geçerlidir. Özellikle kuralların, Çinli kullanıcıları etkileseler bile offshore olaylarını hariç tuttuğu görülüyor ve bu da birincil odak noktasının yurt içi siber güvenlik direnci üzerinde kaldığını gösteriyor.
Tanımlanmış Eşikler ve Raporlama Prosedürleri
Yeni sistemde siber güvenlik olayları dört ciddiyet düzeyine göre sınıflandırılıyor. Operatörler, bir milyondan fazla kişiyi ilgilendiren veri ihlalleri veya 5 milyon RMB’yi (yaklaşık 700.000 ABD Doları) aşan ekonomik kayıplar gibi “nispeten büyük” olayları, keşfedildikten sonraki dört saat içinde rapor etmelidir. Ön raporun ardından 72 saat içinde tam bir değerlendirme yapılmalı ve çözümden sonraki 30 gün içinde olay sonrası inceleme yapılmalıdır.
CAC, uyumluluğu kolaylaştırmak için özel bir yardım hattı, web sitesi, e-posta ve WeChat platformu da dahil olmak üzere birden fazla raporlama kanalı başlattı. Bildirimde bulunulmaması, bildirimlerin gecikmesi veya yanlış bildirim, cezalarla sonuçlanabilir. Tersine, hızlı ve şeffaf raporlama, revize edilen siber güvenlik yasası kapsamındaki sorumluluğu hafifletebilir veya ortadan kaldırabilir.