نظام حماية أمن الشبكات على مستويات للمؤسسات في تسجيل الشركات في الصين

أهلاً بكم أيها المستثمرون العرب. اسمي ليو، وعملت لأكثر من 12 عاماً في شركة جيا شي للضرائب والمحاسبة، ولدي 14 عاماً من الخبرة الميدانية في تسجيل الشركات الأجنبية في الصين. على مر السنين، رأيتُ العديد من المستثمرين يندفعون لتأسيس شركاتهم في الصين، مركزين على الجوانب التجارية والقانونية الأساسية، لكنهم غالباً ما يتجاهلون "الفيل الموجود في الغرفة" وهو نظام حماية أمن الشبكات على مستويات (MLPS). هذا النظام ليس مجرد إجراء شكلي، بل هو حجر الزاوية لضمان استمرارية أعمالك في الصين. في هذا المقال، سأشارككم خبراتي وتجاربي الواقعية حول هذا النظام، وأشرح لكم لماذا يجب أن يكون على رأس أولوياتكم عند تسجيل شركتكم.

في السنوات الأخيرة، ومع التحول الرقمي السريع للاقتصاد الصيني، أصبحت البيانات والبنية التحتية للمعلومات أصولاً استراتيجية. لذلك، وضعت الحكومة الصينية إطاراً قانونياً صارماً لحماية هذه الأصول، وأهمها قانون أمن الشبكات (Cybersecurity Law) الذي صدر عام 2017، والذي يُلزم جميع الشركات والمؤسسات بتطبيق نظام حماية أمن الشبكات على مستويات (المعروف اختصاراً بـ MLPS أو 等保). تخيلوا هذا النظام كـ "بطاقة هوية أمنية" لشركتكم على الإنترنت، فهي تحدد مستوى الحماية المطلوب بناءً على نوع البيانات التي تتعاملون معها وأهمية النظام. تجاهل هذا النظام قد يعرضكم لغرامات باهظة، أو حتى تعليق الخدمات، وهذا ليس سيناريو جيد لأي مستثمر.

التصنيفات

أول وأهم جانب يجب فهمه هو كيفية تصنيف نظامكم ضمن مستويات الحماية الخمسة. هذا التصنيف ليس عشوائياً، بل يتبع معايير دقيقة تحددها الجهات التنظيمية. المستوى الأول (Level 1) هو الأقل ضرراً، ويطبق على الأنظمة التي لا تؤثر على الأمن القومي أو المصلحة العامة إذا تعطلت. بالمقابل، المستوى الخامس (Level 5) مخصص للأنظمة الحيوية التي تمس الأمن القومي بشكل مباشر. غالبية الشركات الأجنبية المتوسطة تقع عادةً في المستوى الثاني أو الثالث. أتذكر حالة لأحد عملائنا، وهو شركة تجارة إلكترونية أوروبية، اعتقدوا في البداية أن نظامهم لا يستحق أكثر من المستوى الأول، ولكن تبين لاحقاً أن منصتهم تخزن بيانات شخصية لآلاف المستهلكين الصينيين، مما رفع تصنيفهم تلقائياً إلى المستوى الثالث. كان هذا اكتشافاً مكلفاً بعض الشيء لكنه كان ضرورياً لتجنب عقوبات أكبر.

لن يكون تصنيف المستوى مجرد إجراء بيروقراطي، بل هو تقييم فني دقيق يشمل اختبارات الاختراق (Penetration Testing) وتقييم الثغرات الأمنية. غالباً ما نستعين بشركات متخصصة في الأمن السيبراني (Third-party assessment agencies) لإجراء هذا التقييم، لأنهم يمتلكون الخبرة والمعدات اللازمة. بعض الأحيان، نواجه عملاء يستغربون من التكلفة الإضافية، ولكنني أشرح لهم دائماً أن هذه التكلفة هي استثمار في حماية سمعتهم وبيانات عملائهم. أتذكر عميلاً سعودياً قال لي: "يا أستاذ ليو، هذا مثل التأمين على الصحة، لا تريد أن تحتاجه، لكنه يحميك عندما يحدث الأسوأ". وهذه المقاربة صحيحة تماماً. التصنيف الصحيح يحدد بعد ذلك مجموعة الإجراءات الأمنية التي يجب تطبيقها، مثل أنظمة كشف التسلل، وجدران الحماية المتطورة، وإدارة الهوية والوصول (IAM).

عملية التصنيف نفسها تتطلب توثيقاً دقيقاً وشاملاً. يجب على الشركة تقديم "تقرير التقييم الذاتي" (Self-assessment report) يصف بالتفصيل هيكل النظام، وتدفق البيانات، والبرمجيات المستخدمة. هذا التقرير هو أول ما تنظر إليه هيئة تنظيم الشبكات الصينية (Cybersecurity Administration of China - CAC). في بعض الأحيان، أجد أن الشركات تتعجل في إعداد هذا التقرير، مما يؤدي إلى تأخيرات كبيرة في عملية التسجيل. نصيحتي دائماً هي الاستثمار في مستشار فني قانوني مختص منذ البداية، حتى لا تضطروا لإعادة العمل لاحقاً. الصبر والدقة في هذه المرحلة هما مفتاح النجاح. كما أن الهيئة التنظيمية قد تطلب فحصاً حضورياً (On-site inspection)، خاصة إذا كان النظام يندرج تحت المستوى الثالث أو أعلى.

إجراءات التسجيل

بعد تحديد المستوى، تبدأ رحلة التقديم والتسجيل الرسمية. قد يعتقد البعض أن هذه مجرد معاملة ورقية، لكنها في الواقع عملية تفاعلية معقدة. الخطوة الأولى هي التقديم إلى مكتب الأمن العام المحلي (Public Security Bureau - PSB) في المنطقة التي تقع فيها الشركة. هذا يعني أن عنوان تسجيل شركتك يلعب دوراً كبيراً في تحديد الجهة الإشرافية. أتذكر أحد العملاء الذين سجلوا شركتهم في منطقة تشونغ قوان تسون (Zhongguancun) في بكين، وكان عليهم التعامل مع مكتب أمن متخصص في التكنولوجيا، مما جعل الإجراءات أكثر سلاسة لأنهم كانوا على دراية بأنظمة التكنولوجيا.

الجزء الأكثر إرهاقاً في هذه الإجراءات هو جمع الوثائق والمستندات الداعمة. تشمل هذه الوثائق: مخطط هيكل الشبكة، سياسات الأمن الداخلية، سجلات تدريب الموظفين على الأمن السيبراني، عقود الصيانة مع مزودي الخدمات، وتقارير تقييم الثغرات. العدد الهائل من الأوراق يمكن أن يكون محبطاً، لكن تنظيمها بشكل منطقي هو نصف النجاح. في شركة جيا شي، قمنا بتطوير "قائمة مرجعية" (Checklist) حرفية لهذه الوثائق، ونسلمها للعميل من اليوم الأول. هذا يوفر الوقت والأعصاب للجميع. أقول دائماً لموظفي: "الورقة المفقودة اليوم قد تعني شهراً من التأخير غداً".

بمجرد تقديم الطلب، تبدأ مرحلة المراجعة والتقييم الفني. هنا، تتعاون هيئة الأمن العام مع مختبرات أو مراكز تقييم أمنية معتمدة. هذه المراكز تقوم باختبارات فعلية على النظام. في تجربتي، كان أكثر ما يقلق العملاء هو مقاطعة هذه الاختبارات لسير العمل اليومي. لحل هذه المشكلة، ننصح دائماً بإجراء جميع الاختبارات على نسخة طبق الأصل من النظام (Staging environment) أولاً، ثم تطبيق الإصلاحات على النظام الفعلي. هذا النهج يقلل من المخاطر التشغيلية. لقد تعلمت هذا الدرس بالطريقة الصعبة عندما تسبب اختبار مباشر في تعطل موقع عميل لمدة ساعتين. منذ ذلك الحين، أصبح هذا الإجراء جزءاً لا يتجزأ من خطتنا.

المواطنون والأفراد

قد يبدو العنوان غريباً بعض الشيء، لكنه يشير إلى التأثير المباشر لهذا النظام على الموظفين في الشركة. لا يقتصر الأمر على الأنظمة والتقنيات فقط، بل يمتد ليشمل الأشخاص الذين يديرونها. كل شركة ملزمة بتعيين مسؤول أمني (Information Security Officer) يكون مسؤولاً شخصياً عن الامتثال. هذا الشخص يجب أن يكون على دراية كاملة باللوائح والإجراءات. في إحدى المرات، عملت مع شركة أمريكية عينت موظفاً تقنياً ممتازاً كمسؤول أمني، لكنه لم يكن على دراية كافية باللغة الصينية القانونية. هذا خلق فجوة في التواصل مع الجهات التنظيمية، وكانت النتيجة تأخيراً لعدة أشهر. نصيحتي للشركات الأجنبية هي تعيين ثنائي اللغة (صيني/إنجليزي) أو استشارة خبراء محليين لشغل هذا المنصب.

علاوة على ذلك، التدريب والتوعية للموظفين هو مطلب ملزم وليس مجرد خيار. يجب على الشركة إثبات أنها قامت بتدريب جميع الموظفين على سياسات أمن المعلومات، بما في ذلك كيفية التعامل مع البريد الإلكتروني المشبوه (Phishing) وحماية كلمات المرور. في أحد مشاريعنا، قمنا بتطوير دورة تدريبية مبسطة باللغة العربية للموظفين العرب في إحدى الشركات، وهذا لاقى استحساناً كبيراً من الجهات التنظيمية. فهم يعتبرون أن وصول المعلومة بلغة المستخدم الأصلية يزيد من فعالية الوعي الأمني. أتذكر أحد الموظفين قال لي: "لأول مرة أفهم بالضبط ما هو المطلوب مني دون ترجمة معقدة".

جانب آخر مهم هو إدارة الوصول والصلاحيات. النظام يتطلب تطبيق مبدأ "الحد الأدنى من الامتيازات" (Principle of Least Privilege)، أي أن كل موظف لا يحصل إلا على الصلاحيات التي يحتاجها لأداء عمله فقط. في التطبيق العملي، هذا يعني فصلاً واضحاً بين مهام الإدارة والمستخدمين العاديين، وتطبيق المصادقة متعددة العوامل (MFA - Multi-Factor Authentication). في أحد عمليات التدقيق التي أجريناها، اكتشفنا أن مدير الحسابات كان لديه صلاحية الوصول إلى قاعدة بيانات العملاء الكاملة، وهذا كان مخالفاً للوائح. قمنا بتعديل الصلاحيات فوراً، مما جنب الشركة عقوبة محتملة. هذا المثال يوضح كيف أن الامتثال ليس مجرد وثائق على الرف، بل هو ممارسة يومية.

الإجراءات الأمنية

هذا القسم يتعلق بـ الإجراءات التقنية والإدارية التي يجب تطبيقها فعلياً. بناءً على مستوى التصنيف، تختلف درجة التعقيد. على سبيل المثال، لنظام من المستوى الثاني، يجب تطبيق جدران الحماية (Firewalls)، وأنظمة كشف التسلل (IDS/IPS)، وتشفير البيانات الحساسة سواء في حالة السكون (At rest) أو أثناء النقل (In transit). بالنسبة للمستوى الثالث، تضاف متطلبات مثل "النسخ الاحتياطي عن بعد" (Off-site backup) وأنظمة "التعافي من الكوارث" (Disaster Recovery) التي يجب اختبارها دورياً. أحب أن أقول لعملائي: "لا تظن أنك اشتريت جهازاً وخلاص، فالأمن هو عملية مستمرة من التحديث والمراقبة".

أحد التحديات التي أواجهها بشكل متكرر هو إقناع الشركات بضرورة توثيق كل إجراء. العديد من الشركات الناشئة، خاصة التقنية منها، تعتمد على "الثقافة الشفوية" في العمل، فكل شيء يتم بشكل غير رسمي. هذا يتعارض تماماً مع روح النظام الصيني الذي يتطلب توثيق جميع السياسات والإجراءات كتابياً واعتمادها. أتذكر مؤسس شركة ناشئة ألماني قال لي: "هذا يقتل الابتكار!"، فقلت له: "لا يا صديقي، هذا يحمي ابتكارك من السرقة أو الاختراق". بعد فترة، أدرك أن الوثائق الجيدة هي التي ساعدتهم على الحصول على تمويل أكبر من مستثمر صيني كان قلقاً على الاستقرار الأمني للشركة. التوثيق هو بمثابة "دستور الشركة" الأمني.

من الناحية الفنية، اختبار الاختراق المنتظم (Regular Penetration Testing) لم يعد خياراً، بل أصبح متطلباً دورياً. الهيئات التنظيمية تتوقع رؤية تقارير اختبار سنوية أو نصف سنوية. هذه الاختبارات يجب أن يقوم بها طرف ثالث متخصص ومعتمد، وليس فريق تقني داخلي. في الأيام الأولى، كنا نعتمد على شركات أميركية متخصصة، لكن سرعان ما اكتشفنا أن الشركات الصينية المحلية تفهم بيئة التهديدات الصينية بشكل أفضل (مثل هجمات محددة من جهات فاعلة محلية). التكلفة قد تكون أعلى قليلاً، لكنها ضمانة أساسية للامتثال. أقول دائماً: "اختبر نظامك قبل أن يختبره المخترقون". هذه النصيحة ليست فقط للامتثال، بل لحماية سمعة العمل.

التحديثات والتدقيق

هذا النظام ليس صارماً مرة واحدة وينتهي الأمر، بل هو متطلبات مستمرة ومتطورة. تماماً كما يتطور الفيروس، تتطور وسائل الحماية. الهيئات التنظيمية تصدر تحديثات دورية للمعايير (Standards) والمتطلبات. على سبيل المثال، بعد تطبيق قانون حماية المعلومات الشخصية (PIPL) في عام 2021، أصبحت متطلبات حماية البيانات أكثر تشدداً ضمن إطار MLPS. الشركات التي لا تتابع هذه التحديثات تجد نفسها غير متوافقة بعد عام من الامتثال الأولي. لذلك، أنصح دائماً بتأسيس "لجنة أمن سيبراني" داخل الشركة تجتمع شهرياً لمناقشة أي تحديثات تنظيمية.

بالإضافة إلى التحديثات، هناك جولات التدقيق الدوري (Periodic Audits). هذا ليس شيئاً تستطيع الشركة اختياره، بل هو إلزامي، خاصة للأنظمة عالية المستوى. جهاز التدقيق قد يكون من هيئة الأمن العام نفسها أو من شركة تدقيق معتمدة. يشعر الكثير من العملاء بالتوتر قبل التدقيق، ولكن التحضير الجيد يزيل أكثر من نصف القلق. في شركة جيا شي، نقوم بإجراء "تدقيق تجريبي" (Mock Audit) قبل التدقيق الرسمي بشهر على الأقل. هذا يساعدنا في اكتشاف أي ثغرات في التوثيق أو الإجراءات وتصحيحها. تذكرت مرة إحدى الشركات التي فشلت في التدقيق لأنها لم تكن تحتفظ بسجلات الدخول (Logs) لمدة 6 أشهر كما هو مطلوب، وهذا خطأ صغير بتكلفة كبيرة.

التحدي الكبير هنا هو الحفاظ على التوثيق على قيد الحياة. خلال فترة عملي، لاحظت أن الشركات تبذل جهداً كبيراً في التوثيق الأولي، ولكن مع مرور الوقت، تصبح الوثائق قديمة وغير دقيقة بسبب تغيير الإجراءات أو البرمجيات. هذا يؤدي إلى فجوة بين ما هو مكتوب وما يحدث فعلياً. الحل الذي نطبقه هو ربط نظام إدارة التغيير (Change Management) بعملية توثيق MLPS. أي تغيير تقني في النظام أو البرمجيات يجب أن ينعكس تلقائياً في وثائق الامتثال. نستخدم أحياناً أدوات برمجية لإدارة هذا التوثيق، ولكن حتى استخدام جدول إكسل (Excel) بسيط مع تواريخ التحديث يمكن أن يكون فعالاً. الأهم هو أن يكون هناك شخص (أو فريق) مسؤول عن "إحياء" هذه الوثائق.

العقوبات والمخاطر

أي حديث عن نظام حماية لا يكتمل دون ذكر العواقب المترتبة على عدم الامتثال. قانون أمن الشبكات الصيني لا يمزح في هذا الجانب. تتراوح العقوبات بين الغرامات المالية الكبيرة (تصل إلى 1% من الإيرادات السنوية للشركة) إلى تعليق الخدمات وحتى إلغاء تراخيص التشغيل. بالنسبة للشركات الأجنبية، قد يمتد الضرر ليشمل السمعة والسوق الصيني بأكمله. أتذكر جيداً قصة إحدى شركات التكنولوجيا المالية الأجنبية التي تم تغريمها بمبلغ 500 ألف يوان صيني (حوالي 70 ألف دولار) وتوقف خدماتها لمدة 10 أيام بسبب عدم تطبيق متطلبات المستوى الثالث. تلك الأيام العشرة كلفتهم خسائر بملايين اليوانات.

لكن الخطر لا يقتصر على العقوبات المالية فقط. هناك المسؤولية الجنائية الشخصية. نعم، قرأت ذلك صحيح. المسؤول الأول عن أمن المعلومات في الشركة (قد يكون المدير العام أو المسؤول الأمني المعين) قد يواجه عقوبات جنائية، تصل إلى السجن، في حال حدوث تسرب بيانات كبير أو هجوم سيبراني بسبب الإهمال في تطبيق الإجراءات الأمنية. هذا أمر يجهله الكثير من المستثمرين الأجانب. في أحد المؤتمرات، صادفت مديراً تنفيذياً فرنسياً لم يأخذ هذا الأمر على محمل الجد، وبعد أن شرحته له بشكل صريح وكتبت له الترجمة القانونية للبنان، تغيرت نبرته تماماً. لا شيء يضاهي الخوف من المسؤولية الشخصية لجذب الانتباه.

هناك أيضاً المخاطر التشغيلية والسمعية. حتى إذا تجنبت العقوبات الرسمية، فإن شركتك قد تصبح هدفاً سهلاً للهجمات الإلكترونية بسبب ضعف الحماية. هذا يؤدي إلى فقدان ثقة العملاء والشركاء، خاصة في السوق الصيني حيث تنتشر الأخبار بسرعة عبر منصات التواصل الاجتماعي مثل WeChat. في أحد التقارير التي قرأتها من معهد الأمن السيبراني الصيني (CNCERT)، 80% من الهجمات السيبرانية الناجحة كانت تستهدف شركات غير مطبقة لنظام MLPS بشكل صحيح. هذه إحصائية تخيف، لكنها أيضاً تحفز على العمل. أقول لعملائي دائماً: "الامتثال ليس عبئاً، إنه درع يحمي مستقبلك في الصين."

شركاء التنفيذ

في النهاية، ستحتاج إلى شريك موثوق لتنفيذ هذه المهمة المعقدة. لا يمكن لشركة أجنبية، حتى لو كان لديها فريق تقني ممتاز، أن تقوم بكل شيء بمفردها بسبب تعقيد اللغة القانونية والتقنية. هنا يأتي دور شركات الاستشارات مثل شركتنا "جيا شي". نحن لا نقدم فقط الخدمات الضريبية والمحاسبية التقليدية، بل أنشأنا قسم متخصص في الامتثال السيبراني. نعمل مع شركاء تقنيين محليين معتمدين لتقديم حلول متكاملة. معرفتنا باللوائح المحلية واللغة تمنحنا ميزة كبيرة في تسهيل الإجراءات.

أحد الأمثلة العملية هو تعاملنا مع شركة لوجستية ألمانية كانت تريد دخول السوق الصيني. فريقهم التقني كان متمكناً، لكنهم عانوا في فهم متطلبات "توطين البيانات" (Data Localization) ضمن إطار MLPS. قمنا بترجمة متطلباتهم إلى خطة عمل واضحة، وساعدناهم في اختيار مزود خدمة سحابية محلي (Cloud provider) يلبي اشتراطات المستوى الثالث. اليوم، شركتهم تعمل بسلاسة منذ 3 سنوات دون أي مشاكل تنظيمية. هذا النجاح هو نتيجة للتعاون الوثيق بين الفريق القانوني والتقني. لا تستهينوا أبداً بقيمة "المترجم الثقافي" الذي يفهم لغة الأعمال ولغة الهيئات التنظيمية.

نحن نؤمن بأن الشفافية هي أفضل استراتيجية في التعامل مع الجهات التنظيمية. بدلاً من محاولة إخفاء نقاط الضعف، ننصح عملاءنا دائماً بالكشف عنها مبكراً والعمل على إصلاحها. الهيئات التنظيمية الصينية، خلافاً للاعتقاد الشائع، تقدر الشركات التي تظهر جهداً حقيقياً في الامتثال. لقد رأيت بعيني كيف تحولت شركة واجهت مشاكل في البداية إلى "شركة نموذجية" في منطقة معينة بسبب تعاونها الصادق. العلاقة الجيدة مع الجهات التنظيمية هي أصل غير ملموس قيمته لا تقدر بثمن. الاستثمار في هذه العلاقة هو استثمار في استقرار عملك على المدى الطويل.

في شركة جيا شي للضرائب والمحاسبة، نحن ندرك تماماً أن التنقل في متاهة "نظام حماية أمن الشبكات على مستويات" (MLPS) يمثل تحدياً حقيقياً للمستثمرين الأجانب، خاصة الناطقين بالعربية. على مدار سنوات عملنا، بنينا فريقاً متخصصاً لا يفهم فقط الجوانب القانونية والفنية لهذا النظام، بل يجيد أيضاً التواصل مع الجهات التنظيمية المحلية بلغتها وإجراءاتها. رؤيتنا هي أن نكون "الجسر" الذي يربط بين طموحات المستثمرين العرب ومتطلبات السوق الصيني، ليس فقط من الناحية الضريبية والمحاسبية، بل في جميع جوانب الامتثال التشغيلي بما فيها الأمن السيبراني. نحن لا نقدم مجرد استشارات، بل نقدم شراكة استراتيجية تضمن أن تكون شركتك "آمنة، متوافقة، وناجحة" من اليوم الأول. ثقتكم هي مسؤوليتنا، ونسعى دائماً لأن نكون عند حسن ظنكم.