El gobierno chino está considerando una enmienda a sus leyes de ciberseguridad existentes, lo que podría llevar a tomar medidas enérgicas contra las empresas que no las cumplan. Si se implementan, las multas para las empresas que violen sus obligaciones de ciberseguridad podrían alcanzar hasta 50 millones de RMB (aproximadamente £5,6 millones). Por lo tanto, es crucial que las empresas que operan en China o quieran desarrollar vínculos más fuertes dentro del país estén al tanto de estas enmiendas y tomen las medidas adecuadas.
Qué está haciendo China para aumentar la ciberseguridad
El 14 de septiembre de 2022, la Administración del Ciberespacio de China (CAC) emitió propuestas de enmiendas a la Ley de Ciberseguridad de China (CCL) de 2017. El objetivo declarado era hacer que estas enmiendas fueran consistentes con varias leyes nuevas ya promulgadas en 2017.
Las enmiendas cambian la gravedad y el alcance de las sanciones para las empresas que violan las disposiciones existentes, en lugar de realizar cambios fundamentales en las actividades o comportamientos cubiertos por la CCL. El gobierno quiere mejorar la ciberseguridad en el país y hacer cumplir la responsabilidad legal de las empresas grandes y pequeñas.
Hay cuatro cambios fundamentales propuestos a la CCL.
El primero se relaciona con la seguridad de las operaciones de la red y ajusta el tamaño de las sanciones administrativas por actos que violen las obligaciones. El segundo altera la responsabilidad legal de quienes se ocupan de la infraestructura de información crítica y su seguridad. Esta sección aumenta el nivel de sanciones por cualquier acto ilegal que cometan los "operadores de infraestructura de información crítica". puede realizar.
La tercera enmienda ajusta las condiciones de los proveedores de red. responsabilidad de garantizar que la información compartida dentro de esas redes (por empresas e individuos) no viole ninguna ley china. La cuarta enmienda revisa secciones de la CCL original para proteger mejor la información personal.
Las autoridades ahora tendrán más herramientas para ayudar a abordar las violaciones de ciberseguridad y proteger los derechos de los usuarios. Pero aún así, algunos aspectos de la ley son bastante grises y no existe una interpretación clara de términos como "datos importantes". Además, la definición de "operador de infraestructura de información crítica" es bastante vago.
Las leyes también permiten a los reguladores chinos determinar qué tipo de transferencias de datos salientes son necesarias, especialmente si la intención es trasladar dichos datos al extranjero. El regulador podrá determinar si una empresa tiene intereses "importantes". datos que desencadenan una evaluación de seguridad adicional y pueden provocar interrupciones para las empresas o, como mínimo, más negociaciones con los reguladores. Una vez más, no está del todo claro qué determina si los datos son importantes a los ojos del regulador.
La reacción del mundo ante la dirección de China
Vale la pena señalar que los esfuerzos del gobierno de Beijing ya son mucho más amplios que los implementados por Estados Unidos o Europa. Algunos pueden señalar las normas GDPR existentes en Europa, pero se centran más en la privacidad personal que en la seguridad nacional o la estabilidad social per se.
Los políticos estadounidenses se han opuesto anteriormente a algunas de las leyes de la CCL, y un funcionario calificó la legislación como "el arma cargada que el resto del mundo no debería querer enfrentar". ." Este funcionario creía que la ley obliga a cualquier empresa que desee hacer negocios en China a colaborar con el gobierno en "campañas de espionaje".
Qué significa esto para las empresas que operan en China
Las empresas que operan en China deben ser conscientes del amplio alcance de posibles obligaciones y objetivos y de las vagas definiciones contenidas en la legislación. Deben comprender cómo cada elemento de la legislación rige la privacidad, la ciberseguridad y las transferencias transfronterizas de datos. También deberían vigilar cómo las organizaciones reguladoras responsables de la implementación hacen cumplir las leyes y cómo pueden operar los legisladores a nivel nacional y local. Puede haber incoherencias tanto en la interpretación como en la aplicación de la ley por parte de diferentes órganos administrativos.
¿Qué significa esto para las corporaciones extranjeras con fuertes vínculos con China?
Un número considerable de empresas del Reino Unido hacen negocios con China. En 2021, las empresas del Reino Unido importaron £63,6 mil millones de libras y exportaron £18,8 mil millones (en valor de bienes) hacia y desde China. Durante el mismo año, el Reino Unido importó £2.500 millones y exportó £8.200 millones en valor de servicios. Esta legislación puede plantear un desafío importante para estas y otras organizaciones. Es posible que el gobierno haya redactado las regulaciones para centrarse en las empresas nacionales, pero es posible que las organizaciones internacionales aún deban cumplir con los requisitos locales.
Muchas empresas internacionales preferirán compartir información sin restricciones, pero sus estándares operativos o políticas globales pueden entrar en conflicto con los requisitos regulatorios chinos. Es posible que estas empresas deban considerar agregar recursos adicionales en China para adelantarse a cualquier requisito de cumplimiento normativo local que pueda representar un alto riesgo.
Además, la legislación permite al gobierno inspeccionar y potencialmente investigar cualquier organización si sospecha que hay problemas con la seguridad de Internet. Es posible que algunas empresas quieran prepararse para esta posibilidad y determinar si están contentas de que el gobierno chino tenga acceso a cierta información clave. Algunas de las regulaciones permiten que los datos recopilados sean inspeccionados o investigados. Por supuesto, si los reguladores chinos tienen acceso a dichos datos, entonces la propia empresa no tendrá ningún control sobre dónde terminan los datos o quién tiene acceso adicional a ellos.
Los reguladores pueden centrar la mayor parte de su atención en la información y los sistemas dentro de las agencias gubernamentales más grandes o de las empresas privadas. Sin embargo, cualquier multinacional extranjera debe ser consciente del potencial del escrutinio y estar actualizada sobre las regulaciones de contenido a medida que cambian. También deben recordar que el gobierno chino puede responsabilizar tanto a los individuos como a la empresa si una investigación conduce a una infracción.
Las empresas extranjeras deben realizar una auditoría exhaustiva de cualquier entrada y salida de datos. Deben ser conscientes de dónde obtienen los datos y dónde terminan una vez que están bajo su control. Después de todo, el gobierno podría responsabilizar a los funcionarios de la empresa por todos los datos del sistema, independientemente de si los produjeron ellos mismos.
