Ley de Ciberseguridad de la República Popular China

ley de china

La Ley de Ciberseguridad de la República Popular China ( chino :中华人民共和国网络安全法), comúnmente conocida como Ley de Ciberseguridad de China , fue promulgada por el Congreso Nacional del Pueblo con el objetivo de aumentar ostensiblemente la protección de datos, la localización de datos y la ciberseguridad. en interés de la seguridad nacional. ^[1] La ley es parte de una serie más amplia de leyes aprobadas por el gobierno chino en un esfuerzo por fortalecer la legislación de seguridad nacional. Ejemplos de los cuales desde 2014 han incluido una Ley de Inteligencia Nacional , la Seguridad Nacional de la República Popular China (que no debe confundirse con la Ley de Seguridad Nacional de Hong Kong ) y leyes sobre antiterrorismo ^[2] y gestión de ONG extranjeras, ^{[ 3]} todos pasaron dentro de cortos períodos de tiempo sucesivos entre sí.

Historia

Esta ley fue promulgada por el Comité Permanente del Congreso Nacional del Pueblo el 7 de noviembre de 2016 y se implementó el 1 de junio de 2017. ^[4] Requiere que los operadores de red almacenen datos seleccionados dentro de China y permite a las autoridades chinas realizar inspecciones al azar. en las operaciones de red de una empresa. ^[1]

La ciberseguridad se reconoce como una ley básica. Esto sitúa a la ley en la cima de la legislación estructurada piramidal sobre ciberseguridad. La ley es una evolución de las normas y regulaciones de ciberseguridad previamente existentes en varios niveles y campos, asimilándolas para crear una ley estructurada a nivel macro. La ley también ofrece normas principales sobre ciertas cuestiones que no son inmediatamente urgentes pero sí de importancia a largo plazo. Estas normas servirán de referencia jurídica cuando surjan nuevas cuestiones. ^[5]

Provisiones

La Ley:

• Creó el principio de soberanía del ciberespacio ^[6]
• Definidas las obligaciones de seguridad de los proveedores de productos y servicios de Internet.
• Detalla las obligaciones de seguridad de los proveedores de servicios de Internet .
• Reglas más refinadas en torno a la protección de la información personal ^[7]
• Estableció un sistema de seguridad para la infraestructura de información clave ^[8]
• Se instituyeron reglas para la transmisión transnacional de datos desde infraestructuras de información críticas. ^[9]

La ley de ciberseguridad es aplicable a operadores de redes y empresas en “ sectores críticos ”. ^[1] Por sectores críticos, China divide aproximadamente las empresas nacionales en empresas de redes que están involucradas en telecomunicaciones, servicios de información, transporte de energía, agua, servicios financieros, servicios públicos y servicios de gobierno electrónico. ^[10] Algunas de las secciones más controvertidas de la ley incluyen los artículos 28, 35 y 37.

El artículo 28 obliga a los "operadores de redes" vagamente definidos (interpretados en el sentido de que incluyen: plataformas de redes sociales, creadores de aplicaciones y otras empresas de tecnología) a cooperar con los órganos de seguridad pública, como el Ministerio de Seguridad Pública , y a entregar información cuando se les solicite.

Artículo 28: Los operadores de redes brindarán apoyo y asistencia técnica a los órganos de seguridad pública y a los órganos de seguridad nacional que salvaguarden la seguridad nacional e investiguen actividades delictivas de conformidad con la ley.

—  Sección 1: 'Disposiciones ordinarias'

El artículo 35 está dirigido a las compras de software o hardware extranjeros por parte de agencias gubernamentales u otros "operadores de infraestructura de información crítica", exigiendo que cualquier hardware o software adquirido sea revisado por agencias como la SCA de China o la Administración Estatal de Criptografía, lo que podría implicar el suministro de códigos fuente y otra información confidencial confidencial a agencias gubernamentales, allanando el camino para el robo estatal de propiedad intelectual o su transmisión a competidores nacionales. ^[11] Sobre todo, el artículo crea cargas regulatorias adicionales para las empresas de tecnología extranjeras que operan en China, creando indirectamente un campo de juego más favorable para los competidores nacionales que naturalmente estarían más preparados para cumplir con las regulaciones.

Artículo 35: Los operadores de infraestructura de información crítica que compren productos y servicios de red que puedan afectar la seguridad nacional se someterán a una revisión de seguridad nacional organizada por los departamentos estatales de ciberseguridad e informatización y los departamentos pertinentes del Consejo de Estado.

—  Sección 2: 'Seguridad de las operaciones para la infraestructura de información crítica'

El artículo 37 crea el requisito de localización de datos, lo que significa que las empresas de tecnología extranjeras como Microsoft , Apple y PayPal que operan en el mercado chino están obligadas a almacenar los datos de los usuarios chinos en servidores chinos en China continental, proporcionando una ruta de acceso más fácil para la inteligencia y la seguridad estatal chinas. agencias para interceptar datos y comunicaciones, al tiempo que amplía el poder del gobernante Partido Comunista Chino para atacar a la disidencia y vigilar a los ciudadanos. ^[12]

La ley es aplicable a todas las empresas en China que administran sus propios servidores u otras redes de datos. Se espera que los operadores de red, entre otras cosas, aclaren las responsabilidades de ciberseguridad dentro de su organización, tomen medidas técnicas para salvaguardar las operaciones de la red, eviten fugas y robos de datos e informen cualquier incidente de ciberseguridad tanto a los usuarios de la red como al departamento de implementación correspondiente para ese sector. . ^[13]

La ley se compone de subdivisiones de apoyo de reglamentos que especifican el propósito de la misma. Por ejemplo, las Normas y medidas de protección de seguridad de la Iniciativa de infraestructura básica (CII) para la evaluación de la seguridad de la transferencia transfronteriza de información personal y datos importantes. Sin embargo, la ley aún no está escrita en piedra, ya que las autoridades gubernamentales de China están ocupadas en definir más leyes contingentes para corresponderse mejor con la ley de ciberseguridad. Al incorporar leyes preexistentes sobre VPN y seguridad de datos en la ley de ciberseguridad, el gobierno chino refuerza su control además de enfatizar la necesidad de que las empresas extranjeras cumplan con las regulaciones nacionales. ^[14]

La ley de ciberseguridad también proporciona regulaciones y definiciones sobre responsabilidad legal . Para diferentes tipos de conductas ilícitas, la ley establece una variedad de sanciones, como multas, suspensión para rectificación, revocación de permisos y licencias comerciales, entre otras. En consecuencia, la Ley otorga a las autoridades de administración y seguridad cibernética derechos y directrices para llevar a cabo la aplicación de la ley sobre actos ilegales. ^[15]

Regulaciones relacionadas

En julio de 2021, la Administración del Ciberespacio de China emitió un "Reglamento sobre la gestión de vulnerabilidades de seguridad en productos de red" que exige que todas las vulnerabilidades se informen al Ministerio de Industria y Tecnología de la Información (MIIT) y prohíbe la divulgación pública de vulnerabilidades, incluso al extranjero. organizaciones. ^[dieciséis]

Reacciones

Junto con el Gran Cortafuegos , las restricciones estipuladas en la ley han generado preocupación, especialmente por parte de las empresas tecnológicas extranjeras que operan en China. ^[17] En cuanto a los requisitos de controles aleatorios y certificaciones, bufetes de abogados internacionales han advertido que se podría pedir a las empresas que proporcionen código fuente, cifrado u otra información crucial para su revisión por parte de las autoridades, lo que aumenta el riesgo de robo de propiedad intelectual, información que se perderse, transmitirse a competidores locales o ser utilizados por las propias autoridades. ^[1] La Oficina Federal de Investigaciones advirtió que la ley podría obligar a las empresas que transmiten datos a través de servidores en China a someterse a vigilancia y espionaje de datos. ^[18]

Algunos analistas de origen occidental consideran que esta ley es comparable al RGPD de la UE . Han sugerido que la ley podría mejorar la capacidad del gobierno chino para monitorear al público, además de dar a las empresas chinas una ventaja sobre las extranjeras. ^[19]

La ley generó preocupaciones tanto a nivel nacional como internacional debido a su redacción y requisitos específicos. ^[20] Las empresas y negocios extranjeros en China expresaron su preocupación de que esta ley pudiera impedir futuras inversiones en China, ya que la ley les exige "almacenar sus datos en servidores locales regulados por la ley china y cooperar con las agencias de seguridad nacional chinas". ^[21]

Desde sus inicios muchas empresas tecnológicas extranjeras ya han cumplido con la ley. Apple, por ejemplo, anunció en 2017 que invertiría mil millones de dólares en asociación con la empresa local de computación en la nube Guizhou Cloud Big Data o GCBD para construir un nuevo centro de datos ubicado en la provincia china de Guizhou con fines de cumplimiento. ^[22] Simultáneamente, la compañía también anunció que transferiría la operación y el almacenamiento de datos de iCloud a China continental. ^[23] Microsoft también anunció una expansión de sus servicios Azure en asociación con la empresa de computación en la nube 21Vianet mediante la inversión en más servidores. ^[24] Mientras tanto, los servicios en línea, como Skype y WhatsApp , se negaron a almacenar sus datos localmente y fueron eliminados de la lista de las tiendas de aplicaciones nacionales o se les restringió su expansión. ^[25]

La ley obliga a las empresas de tecnología extranjera y otras empresas que operan dentro de China a invertir en nueva infraestructura de servidores para cumplir con la ley o a asociarse con proveedores de servicios como Huawei , Tencent o Alibaba , que ya tienen una infraestructura de servidores en el terreno, ahorrando costos de inversión de capital para las empresas. Se considera ampliamente que la ley está en consonancia con el XII Plan Quinquenal (2011-2015), cuyo objetivo es crear líderes nacionales en industrias como la computación en la nube y el procesamiento de big data. La ley es vista como una bendición para las empresas nacionales y ha sido criticada por crear un terreno de juego injusto contra empresas tecnológicas internacionales como Microsoft y Google . ^{[ cita necesaria ]}

Los partidarios de la ley han declarado que la intención de la ley no es prohibir que las empresas extranjeras operen en China ni impulsar la competitividad interna china. Un estudio de Matthias Bauer y Hosuk Lee-Makiyama de 2015 afirma que la localización de datos causa daños menores al crecimiento económico debido a las ineficiencias que surgen de los procesos de transferencia de datos y la duplicación de datos entre varias jurisdicciones. El requisito de localización de datos también se considera una medida de Beijing para someter los datos a la jurisdicción china y facilitar el procesamiento de entidades consideradas violadoras de las leyes de Internet de China. ^[1]

El presidente de AmCham del Sur de China, Harley Seyedin, afirmó que las empresas extranjeras se enfrentan a “preocupaciones masivas” porque la ley ha aumentado considerablemente los costos operativos y ha tenido un gran impacto en la forma en que se hacen negocios en China. Más específicamente, afirmó que la ley de seguridad cibernética continúa creando "incertidumbres dentro de la comunidad inversora y está provocando, como mínimo, el aplazamiento de algunas inversiones en I+D". ^[26]

La ley fue ampliamente criticada por limitar la libertad de expresión . ^[27] Por ejemplo, la ley exige explícitamente que la mayoría de los servicios en línea que operan en China recopilen y verifiquen la identidad de sus usuarios y, cuando sea necesario, entreguen dicha información a las autoridades sin orden judicial. Los activistas han argumentado que esta política disuade a las personas de expresar libremente sus pensamientos en línea, sofocando aún más la disidencia al facilitar la localización y vigilancia de los disidentes. ^[27]

Ver también

• Ley de Seguridad de Datos de la República Popular China
• Ley de Protección de Información Personal de la República Popular China
• Guerra cibernética por parte de China

Referencias

1. Wagner, Jack (1 de junio de 2017). "Ley de ciberseguridad de China: lo que necesita saber". El diplomático . Archivado desde el original el 12 de diciembre de 2018 . Consultado el 14 de diciembre de 2018 .
2. Blanchard, Ben (28 de diciembre de 2015). "China aprueba una controvertida ley antiterrorista". Reuters . Consultado el 21 de julio de 2021 .
3. Wong, Edward (28 de abril de 2016). "La represión en China restringe a 7.000 organizaciones extranjeras". Los New York Times . ISSN  0362-4331 . Consultado el 21 de julio de 2021 .
4. "网络安全法 （草案）全文_中国人大网". www.npc.gov.cn.​ Archivado desde el original el 29 de octubre de 2016 . Consultado el 14 de abril de 2018 .
5. Lulu, Xia y Zhao Leo (21 de agosto de 2018). "Ley de ciberseguridad de China: una introducción para empresarios extranjeros". Informe de China . Archivado desde el original el 13 de diciembre de 2018 . Consultado el 14 de diciembre de 2018 .{{cite web}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )
6. 网易. "网络安全法明确了网络空间主权原则_网易新闻". NetEase . Archivado desde el original el 3 de julio de 2019 . Consultado el 14 de abril de 2018 .
7. "《网络安全法》正式施行 为个人信息加把"锁"". Centro de información de Internet de China . Archivado desde el original el 14 de diciembre de 2018 . Consultado el 14 de abril de 2018 .
8. "网络安全立法中的关键信息基础设施保护问题--理论-人民网". Diario del Pueblo . Archivado desde el original el 15 de abril de 2018 . Consultado el 14 de abril de 2018 .
9. "专家解读《网络安全法》 具有六大突出亮点-新华网". www.xinhuanet.com . Archivado desde el original el 15 de abril de 2018 . Consultado el 14 de abril de 2018 .
10. Gierow Johannes, Hauke ​​(22 de abril de 2015). "Ciberseguridad en China: seguridad, proteccionismo y competitividad en Internet: nuevos desafíos para las empresas occidentales" (PDF) . China Monitor, Merics: Instituto Mercator de Estudios de China. Archivado (PDF) desde el original el 16 de diciembre de 2018 . Consultado el 14 de diciembre de 2018 .
11. "Las regulaciones cibernéticas de China: un dolor de cabeza para las empresas extranjeras | Merics". merics.org . 22 de marzo de 2017 . Consultado el 22 de julio de 2021 .
12. "¿Quién se beneficia de las leyes de ciberseguridad de China?". www.csis.org . Consultado el 22 de julio de 2021 .
13. "Comprensión de la ley de ciberseguridad de China INFORMACIÓN PARA EMPRESAS DE NUEVA ZELANDA" (PDF) . Ministerio de Asuntos Exteriores y Comercio, y Comercio y Empresas de Nueva Zelanda. Septiembre de 2017. Archivado (PDF) desde el original el 23 de enero de 2019 . Consultado el 14 de diciembre de 2018 .
14. Beckett, Nick (noviembre de 2017). "Una guía para empresas sobre la primera ley de seguridad cibernética de China". China Monitor, Merics: Instituto Mercator de Estudios de China. Archivado desde el original el 16 de diciembre de 2018 . Consultado el 14 de diciembre de 2018 .
15. Lee, Jyh-An (2017). "Hackear la ley de ciberseguridad de China" (PDF) . Revisión de la ley de Wake Forest . 53 (1). SSRN  3174626.
16. "China establece nuevas reglas de divulgación de vulnerabilidades". Arjun Ramprasad . Previewtech.net. 18 de junio de 2021.
17. Uchill, Joe (17 de octubre de 2019). "La ley de ciberseguridad mejorada de China podría pasar factura". Axios . Archivado desde el original el 29 de marzo de 2020 . Consultado el 8 de abril de 2020 .
18. "Socios peligrosos: las grandes tecnologías y Beijing". Oficina Federal de Investigaciones . Archivado desde el original el 2 de abril de 2020 . Consultado el 9 de abril de 2020 .
19. Bo, QU; Changxu, HUO (15 de septiembre de 2020). "Privacidad, seguridad nacional y economía de Internet: una explicación de la legislación de protección de información personal de China". Fronteras del derecho en China . 15 (3): 339–366. doi :10.3868/s050-009-020-0019-4. ProQuest2450653759  .
20. Lin, Liza; Kubota, Yoko (6 de diciembre de 2017). "Empresas tecnológicas estadounidenses asustadas por la arcana ley de ciberseguridad de China". Wall Street Journal .
21. "中国施行《网络安全法》 外企为何担忧？". BBC 中文网. 2017-05-31. Archivado desde el original el 11 de mayo de 2018 . Consultado el 14 de abril de 2018 .
22. Gartenberg, Chaim (13 de julio de 2017). "Apple está construyendo su primer centro de datos con sede en China según la nueva ley de ciberseguridad". El borde . Consultado el 22 de julio de 2021 .
23. "Obtenga más información sobre iCloud en China". Soporte de Apple . Archivado desde el original el 7 de marzo de 2018 . Consultado el 14 de abril de 2018 .
24. "La nueva región de Azure llegará a China en 2022 | Blog y actualizaciones de Azure | Microsoft Azure". azure.microsoft.com . 4 de marzo de 2021 . Consultado el 22 de julio de 2021 .
25. "多家中国区应用商logging下架Skype".纽约时报中文网(en chino). 2017-11-22. Archivado desde el original el 13 de abril de 2018 . Consultado el 14 de abril de 2018 .
26. Hu, Huifeng (1 de marzo de 2018). "La ley de ciberseguridad provoca 'preocupaciones masivas' entre las empresas extranjeras en China". Correo del Sur de China . Archivado desde el original el 7 de noviembre de 2018 . Consultado el 14 de diciembre de 2018 .
27. "中国《网络安全法》草案出炉 恐加强言论管制". BBC 中文网(en chino simplificado). 9 de julio de 2015. Archivado desde el original el 8 de mayo de 2018 . Consultado el 14 de abril de 2018 .