China está desarrollando un régimen único de seguridad cibernética y protección de datos que cambiará fundamentalmente el panorama de la tecnología de la información corporativa.
El régimen cibernético de China está impulsado principalmente por preocupaciones de seguridad nacional y estabilidad social, en lugar de la protección de datos personales.
Sin embargo, las compañías multinacionales están acostumbradas a los regímenes regulatorios que se centran principalmente en la protección de datos y redes personales. Si bien estos son objetivos clave de las autoridades chinas, Beijing también está igualmente preocupado por el contenido transmitido en esas redes.
Vamos a analizar aquí las principales regulaciones en materia de ciberseguridad existentes en China.
Indice
Ley de Ciberseguridad China
El 1 de junio de 2017 entró en vigor la Ley de Ciberseguridad de China.
Requiere que los operadores de red almacenen datos seleccionados dentro de China y permite a las autoridades chinas realizar controles al azar en las operaciones de red de una empresa. Beijing afirma que la ley tiene la intención de alinear a China con las mejores prácticas mundiales para la seguridad cibernética.
La ley ha suscitado preocupación entre algunas compañías extranjeras por mayores controles de datos, así como por un mayor riesgo de robo de propiedad intelectual.
La terminología vaga y la falta de orientación oficial sobre el cumplimiento de la ley han creado incertidumbre, lo que llevó a muchos a pedir que se demore la ley. Es probable que se anuncie un período de introducción gradual de 18 meses y las vagas disposiciones de la ley aseguran que la mayoría de las empresas adopten un enfoque de esperar y ver en los preparativos de cumplimiento.
Antecedentes
La Ley de Ciberseguridad fue aprobada inicialmente por el Congreso Nacional del Pueblo en noviembre de 2016. Reforma la gestión de datos y las regulaciones de uso de Internet en China e impone nuevos requisitos para la seguridad de redes y sistemas.
La ley es el último paso en la campaña a largo plazo de China para el control jurisdiccional sobre el contenido en Internet.
Los esfuerzos para controlar los datos y el contenido se remontan a un documento oficial del gobierno de 2010 que afirmó que «dentro del territorio chino, Internet está bajo la soberanía de China».
China ha centrado sus esfuerzos en controlar el acceso a Internet dentro de sus fronteras a través de su Gran Firewall, y desde julio de 2015 introdujo una serie de leyes y proyectos de ley sobre controles de Internet y acceso estatal a datos privados. La legislación que regula la gestión de datos en el sector de seguros ya se aprobó a mediados de 2016.
En otro nivel, el gobierno debería considerar la nueva ley como un medio para alinearse con las normas y mejores prácticas de seguridad cibernética mundiales.
Actualmente, la industria de datos de China está poco controlada en comparación con los códigos legales completos establecidos para la seguridad cibernética y la gestión de datos en Europa y América del Norte.
Las leyes chinas actualmente no tienen requisitos formales para la protección de datos, lo que puede ayudar a proteger las redes contra el cibercrimen.
Alcance
La Ley de Ciberseguridad es aplicable a operadores de red y empresas en sectores críticos.
Los operadores de red se definen como propietarios de red, gerentes y proveedores. Una red se define como cualquier sistema compuesto por ordenadores y equipos relacionados que recopilan, almacenan, transmiten, intercambian o procesan información.
Estas definiciones significan que la ley es aplicable a casi todas las empresas en China que administran su propio correo electrónico u otras redes de datos.
Los “sectores críticos” abarcan las empresas involucradas en comunicaciones, servicios de información, energía, transporte, agua, servicios financieros, servicios públicos y servicios de gobierno electrónico. Cualquier empresa que sea proveedor o socio de firmas en estos sectores también podría estar sujeta a la ley.
La ley exige que los operadores de red cooperen con los investigadores chinos de crímenes o seguridad y permitan el acceso total a los datos y el «soporte técnico» no especificado a las autoridades que lo soliciten.
Certificaciones obligatorias
La ley también impone pruebas obligatorias y certificación de equipos informáticos para operadores de redes del sector crítico. Se exige que los operadores de red:
- formulen sistemas internos de gestión de seguridad e implementen protecciones de seguridad de red;
- adopten medidas tecnológicas para prevenir virus o formas no especificadas de ciberataques;
- adopten medidas tecnológicas para monitorear y registrar la seguridad de una red; y
- lleven a cabo la clasificación de datos, copias de seguridad de datos importantes y cifrado.
Es importante destacar que el artículo 37 de la ley requiere que los operadores de red en sectores críticos almacenen en China continental los datos que el operador de red recopila o produce en el país.
Además, la ley también exige que la información comercial y los datos sobre ciudadanos chinos se mantengan en servidores nacionales y no se transfieran al extranjero sin permiso. Se incluye la prohibición de exportar cualquier dato económico, tecnológico o científico que represente una amenaza para la seguridad nacional o el interés público.
Preocupaciones para empresas extranjeras
Varias de las disposiciones descritas anteriormente se han convertido en un motivo de preocupación entre las empresas extranjeras.
Con respecto a los requisitos para las verificaciones y certificaciones, las firmas de abogados internacionales han advertido que se podría pedir a las compañías que proporcionen el código fuente, el cifrado u otra información crucial para su revisión por parte de las autoridades, lo que aumenta el riesgo de que esta información se pierda y se transmita a los locales competidores, o sean utilizados por las propias autoridades.
La ley establece que los operadores de red deben:
- Cumplir las normas sociales y la ética comercial
- Ser creíbles y honrados
- Satisfacer sus obligaciones de proteger la seguridad de la red
- Admitir la supervisión del gobierno y del público
- Asumir la responsabilidad social.
La vaguedad de esta disposición , así como los conceptos indefinidos de seguridad nacional e interés público, aumentan las bases del gobierno para hacer afirmaciones amplias sobre la necesidad de investigación y reducen la capacidad de una empresa extranjera para impugnar una demanda gubernamental de acceso a datos.
Además, los controles al azar pueden iniciarse a solicitud del gobierno o de una asociación comercial, lo que significa que los competidores nacionales pueden solicitar controles al azar en empresas extranjeras.
Mayor control del Gobierno chino
Para cumplir con la localización de datos, las empresas extranjeras tendrán que invertir en nuevos servidores de datos en China que estarían sujetos a controles puntuales del gobierno. O incurrir en nuevos costos para contratar a un proveedor de servidores local, como Huawei, Tencent o Alibaba, que han gastado miles de millones en los últimos años estableciendo centros de datos nacionales.
La inversión sustancial de estas firmas tecnológicas chinas en los últimos años es una de las razones por las que los críticos de la nueva ley creen que está diseñada en parte para reforzar la industria nacional de telecomunicaciones y gestión de datos de China contra los competidores globales.
Pero el requisito de localización de datos debe ser visto como un movimiento legal por parte de China: poner los datos bajo la jurisdicción china facilitará el enjuiciamiento de entidades que violen sus leyes de Internet.
Implicaciones
La ley da pocos indicios de cómo se espera que las empresas demuestren su cumplimiento y la ambigüedad sobre su implementación es indicativo de la incertidumbre que puede crear una nueva legislación en China para las empresas.
Las empresas extranjeras con sede en China ya están acostumbradas a estrictos controles de Internet y contenido.
Muchos tienen políticas internas existentes para la tecnología de la información y la gestión de datos y la privacidad en China, vinculadas a preocupaciones de gestión de datos y la seguridad de la propiedad intelectual, que se aplican tanto a las operaciones en el país como a los viajes para el personal internacional.
El Gran Firewall de China significa que la adaptación de las prácticas de tecnología de la información a los requisitos chinos no es un concepto nuevo.
La ley presenta otra consideración operativa importante para las empresas presentes en el mercado chino. Aunque es poco probable que desaliente la inversión, introduce otra capa de regulación de Internet en negocios clave en China que podría reducir la eficiencia o socavar la competitividad a largo plazo.
Ley de Criptografía
Esta ley entrará en vigor el 1 de enero de 2020, como consecuencia de la aplicación del Plan de protección multinivel 2.0 a partir del 1 de diciembre.
Con estas normas, China pretende desposeer a las grandes empresas de toda la información y comunicaciones que guardan electrónicamente en el país. Así, cualquier empresa extranjera que tenga datos encriptados en este país debe facilitar al gobierno las claves de cifrado.
Esta ley además, prohíbe que las empresas usen redes privadas virtuales para garantizar la confidencialidad de los datos. El gobierno chino no necesitará pedir a las empresas que le faciliten la información, podrán acceder directamente a ella.
El acceso total de las autoridades chinas a esa información de empresas extranjeras supondrá una importante desventaja competitiva. Estas autoridades pueden compartir la información con las empresas del país, que pueden usarla en contra de sus competidores extranjeros.
Además, esta normativa posibilitará la pérdida del secreto comercial de empresas extranjeras en todo el mundo. Si las empresas transfieren a China esos secretos comerciales, deben asumir la posibilidad de que estos sean divulgados dentro del país y a cualquier lugar del mundo.
Existen otros analistas que consideran que estas nuevas normas lo que pretenden es asegurar las redes chinas. Entienden que actualmente en China ya pueden acceder a cualquier tipo de información con los expertos grupos de hackers que tienen, por lo que no necesitan nuevas normas para ello.
Otras regulaciones
China implementará un programa denominado Esquema de protección multinivel de ciberseguridad («MLPS 2.0») que entrará en vigor el 1 de diciembre de 2019.
Este esquema establece los controles técnicos y organizativos de todas las empresas y las personas en China deben cumplir con las obligaciones de seguridad de Internet relacionadas con MLPS exigidas por la Ley de Ciberseguridad de China.
Todas las empresas e individuos deben cumplir con los siguientes tres estándares:
- GB/T 22239 – Tecnología de seguridad de la información 2019 – Línea de base para el esquema de protección multinivel
- GB / T 25070-2019 Tecnología de seguridad de la información: requisitos técnicos del diseño de seguridad para el esquema de protección multinivel.
- GB/T 28448 – Tecnología de seguridad de la información 2019 – Requisitos de evaluación para el esquema de protección multinivel.
Para comprender este programa, también se deben considerar los objetivos de otros documentos clave de planificación del gobierno chino, como:
- el programa nacional de inteligencia artificial,
- el programa Internet +,
- el sistema de crédito social para individuos y empresas y
- varios otros programas de red, Internet y recopilación de datos y vigilancia que se están implementando en China.
El plan de China es crear un sistema que cubra todas las formas de actividad de red en China: Internet, teléfono móvil, redes sociales tipo WeChat, sistemas en la nube, correo electrónico nacional e internacional.
Esquema de protección multinivel de ciberseguridad
Para lograr sus objetivos, China está creando un sistema para lograr dos objetivos en última instancia contradictorios:
- el sistema estará cerrado contra la intrusión de ciberdelincuentes
- pero será completamente transparente para el Ministerio de Seguridad Pública y otras agencias de seguridad de Internet del gobierno.
La transparencia al Ministerio de Seguridad Pública significa que no se permite ninguna tecnología que bloquee su acceso. Sin VPN, sin cifrado, sin servidores privados. Pero proporcionar acceso abierto al Ministerio de Seguridad Pública entra directamente en conflicto con el objetivo de una seguridad reforzada contra la intrusión.
Reglamento de Supervisión de Seguridad en Internet
La norma que otorga al Ministerio de Seguridad Pública el derecho de acceso al sistema es el Reglamento sobre Supervisión de Seguridad de Internet e Inspección por parte de los Órganos de Seguridad Pública. Este establece dos niveles de inspección de servidores en red: inspección en el sitio y acceso remoto fuera de línea.
La cuestión clave se convierte entonces en lo que sucede con los datos recopilados por el Ministerio de Seguridad Pública de China. Los datos de su empresa, por ejemplo. El Ministerio puede copiar y eliminar prácticamente cualquier información o datos que encuentre en los servidores que inspecciona. ¿Qué ocurre con la confidencialidad de esa información?
La regla de confidencialidad tiene por objeto evitar que los funcionarios del Ministerio de Seguridad Pública hagan dos cosas: vender datos a empresas chinas o extranjeras para obtener ganancias personales y revelar datos a agentes extranjeros (espías). La información confidencial alojada en cualquier servidor ubicado en China está sujeta a ser vista y copiada por el Ministerio de Seguridad Pública de China y esa información queda abierta para el acceso de todo el sistema gubernamental.
El resultado final será que, en lo que respecta a China, el «libre comercio» en las áreas críticas de la tecnología terminará siendo severamente restringido.
China tiene jueces con inteligencia artificial
Beijing está llevando a los jueces de AI a los tribunales. La medida, proclamada por China como «la primera de su tipo en el mundo», proviene del Tribunal de Internet de Beijing, que ha lanzado un centro de servicio de litigios online con un juez basado en IA, con un cuerpo, voz, expresiones faciales y todas las demás características de un ser humano real.
En realidad, no es la primera vez que China presenta a profesionales informáticos. El año pasado, el primer presentador virtual de habla inglesa de la agencia estatal de noticias Xinhua causó un gran revuelo entre los internautas.
Pero los teóricos de la conspiración pueden tranquilizarse: el apocalipsis de la IA aún no está cerca.
Este juez virtual, cuyas capacidades están basadas en tecnologías inteligentes de síntesis de voz e imagen, será usado para realizar únicamente el «trabajo básico repetitivo», según la declaración oficial del Tribunal de Internet de Beijing sobre la medida. Eso significa que se ocupará principalmente de la recepción de litigios y la orientación en línea.
En lugar de reemplazar los tribunales poblados por humanos, la misión declarada del Tribunal de Internet de Beijing es utilizar nuevas tecnologías para proporcionar servicios públicos más eficaces y de mayor alcance. La integración de la inteligencia artificial y la computación en la nube con el sistema de servicio de litigios permitirá al público cosechar mejor los beneficios de la innovación tecnológica en China.
La asistencia de IA ya se ha empleado en los tribunales chinos desde principios de 2019. Aunque la participación generalmente solo ha incluido la presentación de evidencias relacionadas con el caso y ayuda para la investigación.
De hecho, la colaboración hombre-máquina se encuentra en el corazón de una serie de proyectos de obras públicas chinos que se están desarrollando actualmente.
Los «robots» y otras formas de inteligencia artificial se están utilizando en China para una amplia gama de tareas domésticas, desde la clasificación de paquetes de comercio electrónico hasta la realización de mantenimiento en trenes bala.
Reglas globales de seguridad de datos
China lanza su propia iniciativa para establecer estándares globales sobre seguridad de datos, contrarrestando los esfuerzos de Estados Unidos para persuadir a países de ideas afines de que limiten sus redes a la tecnología china.
Dados los crecientes riesgos para la seguridad de los datos que requieren una solución global, es urgente formular reglas y estándares globales que reflejen las aspiraciones e intereses de la mayoría de los países.
La iniciativa de Beijing se produce en un contexto de intensas tensiones con Washington por cuestiones como la competencia comercial y tecnológica, que ha suscitado el espectro de una Internet cada vez más bifurcada.
En los últimos meses, la administración Trump ha tomado medidas para reducir lo que describe como amenazas a la seguridad nacional de compañías tecnológicas chinas como Huawei Technologies Co. y aplicaciones chinas populares como TikTok y Tencent Holdings de ByteDance. Ltd. Ltd. de WeChat. Mientras tanto, los funcionarios chinos acusaron a Estados Unidos de imponer un doble rasero y de intentar sabotear los esfuerzos de expansión empresarial chinos.
Tensiones entre Estados Unidos y China
La iniciativa china se produce aproximadamente un mes después de que el secretario de Estado de Estados Unidos, Mike Pompeo, anunciara el programa Clean Network, que excluiría de la infraestructura a las empresas chinas de telecomunicaciones, aplicaciones, proveedores de nube y cables submarinos.
Como parte de su nueva «Iniciativa global de seguridad de datos», China instaría a todos los países a gestionar la seguridad de los datos de una manera «integral, objetiva y basada en pruebas» y mantener una cadena de suministro abierta, segura y estable para las tecnologías de la información y las comunicaciones y servicios.
También alentaría a los gobiernos a respetar la soberanía de otros países en la forma en que manejan los datos, en línea con la visión de Beijing de “cibersoberanía”, según la cual los países ejercen un control total sobre sus propios rincones de Internet.
El proyecto de iniciativa no menciona a Estados Unidos ni a su programa Clean Network. No obstante, ofrece promesas que se hacen eco de las respuestas de China a las afirmaciones de Estados Unidos sobre las prácticas comerciales desleales de Beijing y las amenazas a la seguridad tecnológica de China.
Por ejemplo, la iniciativa china instaría a los países a oponerse a la “vigilancia masiva contra otros estados” y pediría a las empresas de tecnología que no instalen “puertas traseras en sus productos y servicios para obtener datos de personas de forma ilegal. Los funcionarios estadounidenses acusaron a Huawei de participar en tal actividad e instaron a los gobiernos amigos a bloquear a la compañía china de sus redes 5G nacionales. Huawei ha negado estas acusaciones.
Más de 30 países y territorios formaban parte del programa Red Limpia de Estados Unidos a principios de agosto. Pompeo lo describió como un esfuerzo para proteger la privacidad y los datos de los ciudadanos y empresas estadounidenses de grupos hostiles como el Partido Comunista Chino. También alentó a los gobiernos y empresas extranjeros a participar en la protección de sus datos del estado de vigilancia del Partido Comunista Chino y otras entidades maliciosas.