China

China está desarrollando un régimen único de seguridad cibernética y protección de datos que cambiará fundamentalmente el panorama de la tecnología de la información corporativa.

El régimen cibernético de China está impulsado principalmente por preocupaciones de seguridad nacional y estabilidad social, en lugar de la protección de datos personales.

Sin embargo, las compañías multinacionales están acostumbradas a los regímenes regulatorios que se centran principalmente en la protección de datos y redes personales. Si bien estos son objetivos clave de las autoridades chinas, Beijing también está igualmente preocupado por el contenido transmitido en esas redes.

Vamos a analizar aquí las principales regulaciones en materia de ciberseguridad existentes en China.

Ley de Ciberseguridad China

El 1 de junio de 2017 entró en vigor la Ley de Ciberseguridad de China.

Requiere que los operadores de red almacenen datos seleccionados dentro de China y permite a las autoridades chinas realizar controles al azar en las operaciones de red de una empresa. Beijing afirma que la ley tiene la intención de alinear a China con las mejores prácticas mundiales para la seguridad cibernética.

La ley ha suscitado preocupación entre algunas compañías extranjeras por mayores controles de datos, así como por un mayor riesgo de robo de propiedad intelectual.

La terminología vaga y la falta de orientación oficial sobre el cumplimiento de la ley han creado incertidumbre, lo que llevó a muchos a pedir que se demore la ley. Es probable que se anuncie un período de introducción gradual de 18 meses y las vagas disposiciones de la ley aseguran que la mayoría de las empresas adopten un enfoque de esperar y ver en los preparativos de cumplimiento.

Antecedentes

La Ley de Ciberseguridad fue aprobada inicialmente por el Congreso Nacional del Pueblo en noviembre de 2016. Reforma la gestión de datos y las regulaciones de uso de Internet en China e impone nuevos requisitos para la seguridad de redes y sistemas.

La ley es el último paso en la campaña a largo plazo de China para el control jurisdiccional sobre el contenido en Internet.

Los esfuerzos para controlar los datos y el contenido se remontan a un documento oficial del gobierno de 2010 que afirmó que «dentro del territorio chino, Internet está bajo la soberanía de China».

China ha centrado sus esfuerzos en controlar el acceso a Internet dentro de sus fronteras a través de su Gran Firewall, y desde julio de 2015 introdujo una serie de leyes y proyectos de ley sobre controles de Internet y acceso estatal a datos privados. La legislación que regula la gestión de datos en el sector de seguros ya se aprobó a mediados de 2016.

En otro nivel, el gobierno debería considerar la nueva ley como un medio para alinearse con las normas y mejores prácticas de seguridad cibernética mundiales.

Actualmente, la industria de datos de China está poco controlada en comparación con los códigos legales completos establecidos para la seguridad cibernética y la gestión de datos en Europa y América del Norte.

Las leyes chinas actualmente no tienen requisitos formales para la protección de datos, lo que puede ayudar a proteger las redes contra el cibercrimen.

Alcance

La Ley de Ciberseguridad es aplicable a operadores de red y empresas en sectores críticos.

Los operadores de red se definen como propietarios de red, gerentes y proveedores. Una red se define como cualquier sistema compuesto por ordenadores y equipos relacionados que recopilan, almacenan, transmiten, intercambian o procesan información.

Estas definiciones significan que la ley es aplicable a casi todas las empresas en China que administran su propio correo electrónico u otras redes de datos.

Los “sectores críticos” abarcan las empresas involucradas en comunicaciones, servicios de información, energía, transporte, agua, servicios financieros, servicios públicos y servicios de gobierno electrónico. Cualquier empresa que sea proveedor o socio de firmas en estos sectores también podría estar sujeta a la ley.

La ley exige que los operadores de red cooperen con los investigadores chinos de crímenes o seguridad y permitan el acceso total a los datos y el «soporte técnico» no especificado a las autoridades que lo soliciten.

La ley también impone pruebas obligatorias y certificación de equipos informáticos para operadores de redes del sector crítico. Se exige que los operadores de red:

  • formulen sistemas internos de gestión de seguridad e implementen protecciones de seguridad de red;
  • adopten medidas tecnológicas para prevenir virus o formas no especificadas de ciberataques;
  • adopten medidas tecnológicas para monitorear y registrar la seguridad de una red; y
  • lleven a cabo la clasificación de datos, copias de seguridad de datos importantes y cifrado.

Es importante destacar que el artículo 37 de la ley requiere que los operadores de red en sectores críticos almacenen en China continental los datos que el operador de red recopila o produce en el país.

Además, la ley también exige que la información comercial y los datos sobre ciudadanos chinos se mantengan en servidores nacionales y no se transfieran al extranjero sin permiso. Se incluye la prohibición de exportar cualquier dato económico, tecnológico o científico que represente una amenaza para la seguridad nacional o el interés público.

Preocupaciones para empresas extranjeras

Varias de las disposiciones descritas anteriormente se han convertido en un motivo de preocupación entre las empresas extranjeras.

Con respecto a los requisitos para las verificaciones y certificaciones, las firmas de abogados internacionales han advertido que se podría pedir a las compañías que proporcionen el código fuente, el cifrado u otra información crucial para su revisión por parte de las autoridades, lo que aumenta el riesgo de que esta información se pierda y se transmita a los locales competidores, o sean utilizados por las propias autoridades.

La ley establece que los operadores de red deben:

  • Cumplir las normas sociales y la ética comercial
  • Ser creíbles y honrados
  • Satisfacer sus obligaciones de proteger la seguridad de la red
  • Admitir la supervisión del gobierno y del público
  • Asumir la responsabilidad social.

La vaguedad de esta disposición , así como los conceptos indefinidos de seguridad nacional e interés público, aumentan las bases del gobierno para hacer afirmaciones amplias sobre la necesidad de investigación y reducen la capacidad de una empresa extranjera para impugnar una demanda gubernamental de acceso a datos.

Además, los controles al azar pueden iniciarse a solicitud del gobierno o de una asociación comercial, lo que significa que los competidores nacionales pueden solicitar controles al azar en empresas extranjeras.

Para cumplir con la localización de datos, las empresas extranjeras tendrán que invertir en nuevos servidores de datos en China que estarían sujetos a controles puntuales del gobierno. O incurrir en nuevos costos para contratar a un proveedor de servidores local, como Huawei, Tencent o Alibaba, que han gastado miles de millones en los últimos años estableciendo centros de datos nacionales.

La inversión sustancial de estas firmas tecnológicas chinas en los últimos años es una de las razones por las que los críticos de la nueva ley creen que está diseñada en parte para reforzar la industria nacional de telecomunicaciones y gestión de datos de China contra los competidores globales.

Pero el requisito de localización de datos debe ser visto como un movimiento legal por parte de China: poner los datos bajo la jurisdicción china facilitará el enjuiciamiento de entidades que violen sus leyes de Internet.

Implicaciones

La ley da pocos indicios de cómo se espera que las empresas demuestren su cumplimiento y la ambigüedad sobre su implementación es indicativo de la incertidumbre que puede crear una nueva legislación en China para las empresas.

Las empresas extranjeras con sede en China ya están acostumbradas a estrictos controles de Internet y contenido.

Muchos tienen políticas internas existentes para la tecnología de la información y la gestión de datos y la privacidad en China, vinculadas a preocupaciones de gestión de datos y la seguridad de la propiedad intelectual, que se aplican tanto a las operaciones en el país como a los viajes para el personal internacional.

El Gran Firewall de China significa que la adaptación de las prácticas de tecnología de la información a los requisitos chinos no es un concepto nuevo.

La ley presenta otra consideración operativa importante para las empresas presentes en el mercado chino. Aunque es poco probable que desaliente la inversión, introduce otra capa de regulación de Internet en negocios clave en China que podría reducir la eficiencia o socavar la competitividad a largo plazo.

Otras regulaciones

China implementará un programa denominado Esquema de protección multinivel de ciberseguridad («MLPS 2.0») que entrará en vigor el 1 de diciembre de 2019.

Este esquema establece los controles técnicos y organizativos de todas las empresas y las personas en China deben cumplir con las obligaciones de seguridad de Internet relacionadas con MLPS exigidas por la Ley de Ciberseguridad de China.

Todas las empresas e individuos deben cumplir con los siguientes tres estándares:

  • GB/T 22239 – Tecnología de seguridad de la información 2019 – Línea de base para el esquema de protección multinivel
  • GB / T 25070-2019 Tecnología de seguridad de la información: requisitos técnicos del diseño de seguridad para el esquema de protección multinivel.
  • GB/T 28448 – Tecnología de seguridad de la información 2019 – Requisitos de evaluación para el esquema de protección multinivel.

Para comprender este programa, también se deben considerar los objetivos de otros documentos clave de planificación del gobierno chino, como:

  • el programa nacional de inteligencia artificial,
  • el programa Internet +,
  • el sistema de crédito social para individuos y empresas y
  • varios otros programas de red, Internet y recopilación de datos y vigilancia que se están implementando en China.

El plan de China es crear un sistema que cubra todas las formas de actividad de red en China: Internet, teléfono móvil, redes sociales tipo WeChat, sistemas en la nube, correo electrónico nacional e internacional.

Esquema de protección multinivel de ciberseguridad

Para lograr sus objetivos, China está creando un sistema para lograr dos objetivos en última instancia contradictorios:

  • el sistema estará cerrado contra la intrusión de ciberdelincuentes
  • pero será completamente transparente para el Ministerio de Seguridad Pública y otras agencias de seguridad de Internet del gobierno.

La transparencia al Ministerio de Seguridad Pública significa que no se permite ninguna tecnología que bloquee su acceso. Sin VPN, sin cifrado, sin servidores privados. Pero proporcionar acceso abierto al Ministerio de Seguridad Pública entra directamente en conflicto con el objetivo de una seguridad reforzada contra la intrusión.

La norma que otorga al Ministerio de Seguridad Pública el derecho de acceso al sistema es el Reglamento sobre Supervisión de Seguridad de Internet e Inspección por parte de los Órganos de Seguridad Pública. Este establece dos niveles de inspección de servidores en red: inspección en el sitio y acceso remoto fuera de línea.

La cuestión clave se convierte entonces en lo que sucede con los datos recopilados por el Ministerio de Seguridad Pública de China. Los datos de su empresa, por ejemplo. El Ministerio puede copiar y eliminar prácticamente cualquier información o datos que encuentre en los servidores que inspecciona. ¿Qué ocurre con la confidencialidad de esa información?

La regla de confidencialidad tiene por objeto evitar que los funcionarios del Ministerio de Seguridad Pública hagan dos cosas: vender datos a empresas chinas o extranjeras para obtener ganancias personales y  revelar datos a agentes extranjeros (espías). La información confidencial alojada en cualquier servidor ubicado en China está sujeta a ser vista y copiada por el Ministerio de Seguridad Pública de China y esa información queda abierta para el acceso de todo el sistema gubernamental.

El resultado final será que, en lo que respecta a China, el «libre comercio» en las áreas críticas de la tecnología terminará siendo severamente restringido.