Ley de ciberseguridad de China: lo que necesita saber

La Ley de Ciberseguridad de China entra en vigor el 1 de junio. Exige que los operadores de red almacenen datos selectos dentro de China y permite a las autoridades chinas realizar verificaciones puntuales en las operaciones de red de una empresa. Beijing afirma que la ley pretende alinear a China con las mejores prácticas globales para la ciberseguridad.

La ley ha generado preocupación entre algunas empresas extranjeras sobre mayores controles de datos, así como mayores riesgos de robo de propiedad intelectual. La terminología vaga y la falta de orientación oficial sobre el cumplimiento de la ley han creado incertidumbre, lo que ha llevado a muchos a pedir que se retrase la ley. Es probable que se anuncie un período de incorporación paulatina de 18 meses y las vagas disposiciones de la ley aseguran que la mayoría de las empresas adopten un enfoque de esperar y observar en los preparativos de cumplimiento.

Fondo

La Ley de Ciberseguridad fue aprobada inicialmente por el Congreso Nacional de los Pueblos en noviembre de 2016. Reformará la gestión de datos y las regulaciones de uso de Internet en China e impondrá nuevos requisitos para la seguridad de la red y el sistema. La ley es el paso más reciente en la campaña a largo plazo de China por el control jurisdiccional del contenido en Internet.

Los esfuerzos para controlar los datos y el contenido se remontan a un libro blanco del gobierno de 2010 que afirmaba que, dentro del territorio chino, Internet está bajo la soberanía de China. Anteriormente, China centró sus esfuerzos en controlar el acceso a Internet dentro de sus fronteras a través de su Gran Cortafuegos y, desde julio de 2015, introdujo una serie de leyes y proyectos de ley sobre controles de Internet y acceso estatal a datos privados. La legislación que regula la gestión de datos en el sector de los seguros ya se aprobó a mediados de 2016.

¿Disfrutas de este artículo? Haga clic aquí para suscribirse y obtener acceso completo. Solo $5 al mes.

En otro nivel, la nueva ley debe ser considerada como un medio por parte del gobierno para alinearse con las normas y mejores prácticas globales de ciberseguridad. Actualmente, la industria de datos de China está poco controlada en comparación con los códigos legales integrales vigentes para la ciberseguridad y la gestión de datos en Europa y América del Norte. Actualmente, las leyes chinas no tienen requisitos formales para la protección de datos, lo que puede ayudar a proteger las redes del delito cibernético.

Alcance de la Ley

La Ley de Ciberseguridad es aplicable a operadores de redes y empresas de sectores críticos. Los operadores de red se definen como propietarios, administradores y proveedores de red; una red se define como cualquier sistema compuesto por computadoras y equipos relacionados que recopilan, almacenan, transmiten, intercambian o procesan información. Estas definiciones significan que la ley se aplica a casi todas las empresas en China que administran su propio correo electrónico u otras redes de datos. Los sectores críticos abarcan empresas involucradas en comunicaciones, servicios de información, energía, transporte, agua, servicios financieros, servicios públicos y servicios de gobierno electrónico. El bufete de abogados Baker McKenzie también ha advertido públicamente que cualquier empresa que sea proveedora o socia de firmas de estos sectores también podría estar sujeta a la ley.

La ley requiere que los operadores de red cooperen con los investigadores de seguridad o criminales chinos y permitan el acceso completo a los datos y soporte técnico no especificado a las autoridades cuando lo soliciten. La ley también impone pruebas y certificaciones obligatorias de los equipos informáticos para los operadores de redes del sector crítico. Estas pruebas y certificaciones se relacionan principalmente con el artículo 21 de la ley, que exige a los operadores de red que formulen sistemas de gestión de seguridad interna e implementen protecciones de seguridad de red; adoptar medidas tecnológicas para prevenir virus o formas no especificadas de ciberataques; adoptar medidas tecnológicas para monitorear y registrar la seguridad de una red; y llevar a cabo la clasificación de datos, copias de seguridad de datos importantes y cifrado. Estas medidas de seguridad son bastante estándar y forman parte de las recomendaciones de mejores prácticas para las empresas que recopilan y almacenan datos importantes de empresas y clientes.

Es importante destacar que el artículo 37 de la ley exige que los operadores de red en sectores críticos almacenen en China continental los datos recopilados o producidos por el operador de red en el país. Además, la ley también requiere que la información comercial y los datos sobre ciudadanos chinos recopilados dentro de China se mantengan en servidores nacionales y no se transfieran al extranjero sin permiso. La ley también incluye la prohibición de exportar cualquier dato económico, tecnológico o científico que suponga una amenaza para la seguridad nacional o el interés público.

Preocupaciones e incertidumbre

Varias de las disposiciones descritas anteriormente se han convertido en motivo de preocupación entre las empresas extranjeras. Con respecto a los requisitos para las verificaciones y certificaciones al azar, los bufetes de abogados internacionales han advertido que se les podría pedir a las empresas que proporcionen el código fuente, el cifrado u otra información crucial para su revisión por parte de las autoridades, lo que aumenta el riesgo de que esta información se pierda y se transmita a las autoridades locales. competidores, o utilizados por las propias autoridades.

El artículo 9 de la ley establece que los operadores de red deben obedecer las normas sociales y la ética comercial, ser honestos y creíbles, cumplir con las obligaciones para proteger la seguridad de la red, aceptar la supervisión del gobierno y el público, y asumir la responsabilidad social. La vaguedad de esta disposición, así como los conceptos indefinidos de seguridad nacional e interés público, aumentan los motivos del gobierno para hacer amplias afirmaciones sobre la necesidad de una investigación y reducen la capacidad de una empresa extranjera para impugnar una demanda del gobierno de acceso a los datos. Además, las verificaciones al azar pueden iniciarse a solicitud del gobierno o de una asociación comercial, lo que significa que los competidores nacionales podrían solicitar verificaciones al azar en empresas extranjeras. Desde una perspectiva de continuidad del negocio, las nuevas facultades de inspección también presentan un nuevo desafío para las operaciones.

Para cumplir con la localización de datos, las empresas extranjeras tendrán que invertir en nuevos servidores de datos en China, que estarían sujetos a controles aleatorios del gobierno, o incurrir en nuevos costos para contratar un proveedor de servidores local, como Huawei, Tencent o Alibaba, que han gastado miles de millones en los últimos años estableciendo centros de datos domésticos como parte del 12º Plan Quinquenal de Beijing (2011-2015). La inversión sustancial de estas firmas de tecnología chinas en los últimos años es una de las razones por las que los críticos de la nueva ley creen que está diseñada en parte para reforzar la industria nacional de telecomunicaciones y gestión de datos de China frente a los competidores globales.

Sin embargo, una firma de abogados internacional con presencia en China le dijo a PGI que la intención de la ley no es prohibir que las empresas extranjeras operen en China, ni impulsar la competitividad china. De hecho, un estudio realizado por Matthias Bauer y Hosuk Lee-Makiyama en 2015 mostró que la localización de datos causa un daño menor al crecimiento económico debido a las ineficiencias que surgen de los procesos de transferencia de datos y la duplicación de datos entre varias jurisdicciones. En cambio, el requisito de localización de datos debe verse como un movimiento legal por parte de Beijing al colocar los datos bajo la jurisdicción china, lo que facilitará el enjuiciamiento de las entidades que violen las leyes de Internet de China.

¿Disfrutas de este artículo? Haga clic aquí para suscribirse y obtener acceso completo. Solo $5 al mes.

Cumplimiento e Implicaciones

La implementación de la ley podría ser gradual, lo que permitirá a las empresas evaluar mejor sus obligaciones y aprender de la experiencia de otras firmas. Más de 50 empresas estadounidenses, europeas y japonesas firmaron una carta al primer ministro Li Keqiang en junio de 2016 criticando la ley, afirmando que impediría la entrada y la innovación extranjera. Ha habido informes de Reuters de que esta oposición podría retrasar su lanzamiento. Según se informa, la Administración del Ciberespacio de China celebró una reunión el 20 de mayo y abrió debates sobre un período de incorporación paulatina de 18 meses a partir de junio de 2017, lo que retrasó la implementación total de la ley para dar a las empresas más tiempo para cumplir.

Los borradores publicados de la ley cibernética ya han llevado a algunas empresas a comenzar a tomar medidas preparatorias. Las empresas de sectores críticos, como las finanzas y la energía, han comenzado a realizar ejercicios de mapeo de datos para determinar qué información es demasiado crítica para almacenarse en servidores chinos y deberá permanecer en China. Empresas como la empresa de aplicaciones para compartir hospitalidad Airbnb ya han comenzado a cumplir con las disposiciones relativas a los datos sobre ciudadanos chinos.

Sin embargo, la ley da poca indicación de cómo se espera que las empresas demuestren el cumplimiento y la ambigüedad sobre su implementación es indicativa de la incertidumbre que la nueva legislación en China puede crear para las empresas. Aquellos en sectores no críticos no están seguros del alcance y la aplicabilidad de la ley y ha habido muy poca comunicación por parte de las autoridades chinas antes de la fecha de implementación. No está claro si un período de incorporación gradual estaría acompañado de orientación sobre la nueva ley o si las empresas estarían sujetas a sanciones inmediatas por incumplimiento. Esto no es inusual en la legislación china. A menudo, solo después de que se redactan las leyes y se reciben comentarios, las autoridades comunican algunas pautas sobre la implementación, aunque de manera inconsistente. Por ejemplo, las leyes de contaminación para la industria del transporte marítimo, que se anunciaron inicialmente a fines de 2015, se implementaron gradualmente hasta 2016 y se aplicaron por completo a principios de 2017.

Las empresas extranjeras con sede en China ya están acostumbradas a los estrictos controles de contenido e Internet. Muchos tienen políticas internas existentes para la tecnología de la información y la gestión de datos y la privacidad en China, vinculadas a preocupaciones de larga data sobre la seguridad de la propiedad intelectual, que se aplican tanto a las operaciones en el país como a los viajes del personal internacional. El Gran Cortafuegos de China significa que la adaptación de las prácticas de tecnología de la información a los requisitos chinos no es un concepto nuevo. A pesar de los informes de algunas empresas en sectores críticos que ya se están preparando para el cumplimiento, la mayoría de las empresas parecen estar adoptando un enfoque de esperar y ver la Ley de Ciberseguridad, anticipando alguna comunicación de las autoridades sobre un período de introducción gradual.

La ley presenta otra consideración operativa importante para las empresas presentes en el mercado chino. Aunque es poco probable que disuada la inversión, introducirá otra capa de regulación de Internet en empresas clave en China que podría reducir la eficiencia o socavar la competitividad a largo plazo.

Jack Wagner es analista de Asia en PGI Intelligence, una consultora de gestión de riesgos con sede en el Reino Unido.

Ir arriba