Ley de Ciberseguridad de la República Popular China

Ley de China

La Ley de Ciberseguridad de la República Popular China ( en chino :中华人民共和国网络安全法), comúnmente conocida como la Ley de Ciberseguridad de China , fue promulgada por el Congreso Nacional del Pueblo con el objetivo de aumentar la protección de datos, la localización de datos y la ciberseguridad ostensiblemente en interés de la seguridad nacional. ^[1] La ley es parte de una serie más amplia de leyes aprobadas por el gobierno chino en un esfuerzo por fortalecer la legislación de seguridad nacional. Ejemplos de las cuales desde 2014 incluyen la ley de seguridad de datos , la ley de inteligencia nacional , la ley de seguridad nacional , las leyes sobre contraterrorismo ^[2] y gestión de ONG extranjeras, ^[3] todas aprobadas en breves períodos sucesivos entre sí.

Historia

Los responsables políticos chinos se mostraron cada vez más preocupados por el riesgo de ciberataques tras las revelaciones de vigilancia global de Edward Snowden en la década de 2010 , que demostraron extensas actividades de inteligencia de los Estados Unidos en China . ^{[4] : 129} La Ley de Ciberseguridad fue parte de la respuesta de China tras las mayores preocupaciones de los responsables políticos sobre la vigilancia extranjera y la recopilación de datos después de estas revelaciones. ^{[4] : 250}

Esta ley fue promulgada por el Comité Permanente del Congreso Nacional del Pueblo el 7 de noviembre de 2016 y se implementó el 1 de junio de 2017. ^[5] Requiere que los operadores de red almacenen datos seleccionados dentro de China y permite a las autoridades chinas realizar controles aleatorios en las operaciones de red de una empresa. ^[1]

La ciberseguridad se reconoce como una ley básica, lo que la sitúa en la cúspide de la legislación sobre ciberseguridad estructurada en forma de pirámide. La ley es una evolución de las normas y reglamentos de ciberseguridad existentes previamente en diversos niveles y ámbitos, asimilándolos para crear una ley estructurada a nivel macro. La ley también ofrece normas principales sobre determinadas cuestiones que no son de urgencia inmediata pero que son de importancia a largo plazo. Estas normas servirán como referencia jurídica cuando surjan nuevas cuestiones. ^[6]

Provisiones

La ley es un pilar importante del entorno regulatorio de datos chino. ^{[4] : 131} Es:

• Creó el principio de soberanía del ciberespacio ^[7]
• Se definen las obligaciones de seguridad de los proveedores de productos y servicios de Internet
• Se detallan las obligaciones de seguridad de los proveedores de servicios de Internet .
• Normas más precisas en torno a la protección de la información personal ^[8]
• Se estableció un sistema de seguridad para la infraestructura de información clave ^[9]
• Se establecieron normas para la transmisión transnacional de datos desde infraestructuras de información críticas. ^[10]

La ley de ciberseguridad se aplica a los operadores de redes y a las empresas de sectores críticos . ^[1] Por sectores críticos, China divide a grandes rasgos las empresas nacionales en empresas de redes que participan en telecomunicaciones, servicios de información, transporte de energía, agua, servicios financieros, servicios públicos y servicios de gobierno electrónico. ^[11] Algunas de las secciones más controvertidas de la ley incluyen los artículos 28, 35 y 37.

El artículo 28 obliga a los vagamente definidos "operadores de red" (interpretados para incluir: plataformas de redes sociales, creadores de aplicaciones y otras empresas de tecnología), a cooperar con los órganos de seguridad pública como el Ministerio de Seguridad Pública y entregar información cuando se les solicite.

Artículo 28: Los operadores de red brindarán apoyo y asistencia técnica a los órganos de seguridad pública y a los órganos de seguridad nacional que salvaguarden la seguridad nacional e investiguen actividades delictivas de conformidad con la ley.

—  Sección 1: 'Disposiciones ordinarias'

El artículo 35 está dirigido a las compras de software o hardware extranjero por parte de agencias gubernamentales u otros "operadores de infraestructura de información crítica", y exige que todo hardware o software comprado sea revisado por agencias como la SCA de China o la Administración Estatal de Criptografía, lo que potencialmente implica el suministro de códigos fuente y otra información confidencial confidencial a agencias gubernamentales, allanando el camino al robo estatal de propiedad intelectual o su transmisión a competidores nacionales. ^[12] Sobre todo, el artículo crea más cargas regulatorias para las empresas de tecnología extranjeras que operan en China, creando indirectamente un campo de juego más favorable para los competidores nacionales que naturalmente estarían más preparados para cumplir con las regulaciones.

Artículo 35: Los operadores de infraestructura de información crítica que adquieran productos y servicios de red que puedan tener impacto en la seguridad nacional deberán someterse a una revisión de seguridad nacional organizada por los departamentos estatales de ciberseguridad e informatización y los departamentos pertinentes del Consejo de Estado.

—  Sección 2: 'Seguridad de las operaciones para infraestructuras de información crítica'

La ley establece estrictos requisitos de localización de datos . ^{[4] : 131}

La ley se aplica a todas las empresas de China que gestionan sus propios servidores u otras redes de datos. Se espera que los operadores de redes, entre otras cosas, aclaren las responsabilidades en materia de ciberseguridad dentro de su organización, adopten medidas técnicas para salvaguardar las operaciones de la red, eviten fugas y robos de datos e informen de cualquier incidente de ciberseguridad tanto a los usuarios de la red como al departamento de implementación correspondiente para ese sector. ^[13]

La ley se compone de subdivisiones de apoyo de regulaciones que especifican su propósito. Por ejemplo, las Regulaciones de Protección de Seguridad de la Iniciativa de Infraestructura Básica (CII) y Medidas para la Evaluación de Seguridad de la Transferencia Transfronteriza de Información Personal y Datos Importantes. Sin embargo, la ley aún no se ha establecido en piedra ya que las autoridades gubernamentales de China están ocupadas con la definición de leyes más contingentes para que se correspondan mejor con la ley de ciberseguridad. Al incorporar leyes preexistentes sobre VPN y seguridad de datos en la ley de ciberseguridad, el gobierno chino refuerza su control además de enfatizar la necesidad de que las empresas extranjeras cumplan con las regulaciones nacionales. ^[14]

La ley de ciberseguridad también establece normas y definiciones sobre la responsabilidad legal . Para los distintos tipos de conductas ilegales, la ley establece una variedad de sanciones, como multas, suspensión por rectificación, revocación de permisos y licencias comerciales, entre otras. En consecuencia, la ley otorga a las autoridades de ciberseguridad y administración derechos y directrices para llevar a cabo la aplicación de la ley sobre actos ilegales. ^[15]

Normativa relacionada

En julio de 2021, la Administración del Ciberespacio de China emitió "Regulaciones sobre la gestión de vulnerabilidades de seguridad en productos de red" que exigen que todas las vulnerabilidades se informen al Ministerio de Industria y Tecnología de la Información (MIIT) y prohíben la divulgación pública de vulnerabilidades, incluso a organizaciones extranjeras. ^[16]

Reacciones

Junto con el Gran Cortafuegos , las restricciones estipuladas en la ley han suscitado inquietudes, especialmente por parte de las empresas tecnológicas extranjeras que operan en China. ^[17] En cuanto a los requisitos para los controles aleatorios y las certificaciones, los bufetes de abogados internacionales han advertido de que se podría pedir a las empresas que proporcionen el código fuente, el cifrado u otra información crucial para su revisión por parte de las autoridades, lo que aumenta el riesgo de robo de propiedad intelectual , pérdida de información, transmisión a competidores locales o uso por parte de las propias autoridades. ^[1] La Oficina Federal de Investigaciones advirtió de que la ley podría obligar a las empresas que transmiten datos a través de servidores en China a someterse a la vigilancia y el espionaje de datos. ^[18]

Algunos analistas occidentales consideran que esta ley es comparable al RGPD de la UE y han sugerido que podría mejorar la capacidad del gobierno chino para controlar al público, además de dar a las empresas chinas una ventaja sobre las extranjeras. ^[19]

La ley generó inquietudes tanto a nivel nacional como internacional debido a su redacción y requisitos específicos. ^[20] Las empresas y negocios extranjeros en China expresaron su preocupación de que esta ley pudiera impedir futuras inversiones en China, ya que la ley les exige "almacenar sus datos en servidores locales regulados por la ley china y cooperar con las agencias de seguridad nacional chinas". ^[21]

Desde su creación, muchas empresas tecnológicas extranjeras ya han cumplido con la ley. Apple, por ejemplo, anunció en 2017 que invertiría 1.000 millones de dólares en asociación con la empresa local de computación en la nube Guizhou Cloud Big Data o GCBD para construir un nuevo centro de datos ubicado en la provincia china de Guizhou con el fin de cumplir con la ley. ^[22] Al mismo tiempo, la empresa también anunció que transferiría la operación y el almacenamiento de datos de iCloud a China continental. ^[23] Microsoft también anunció una expansión de sus servicios Azure en asociación con la empresa de computación en la nube 21Vianet mediante la inversión en más servidores. ^[24] Mientras tanto, los servicios en línea, como Skype y WhatsApp , que se negaron a almacenar sus datos localmente, fueron eliminados de las tiendas de aplicaciones nacionales o se les restringió su expansión. ^[25]

La ley obliga a las empresas extranjeras de tecnología y otras que operan en China a invertir en nueva infraestructura de servidores para cumplir con la ley o a asociarse con proveedores de servicios como Huawei , Tencent o Alibaba , que ya cuentan con infraestructura de servidores en el terreno, lo que permite ahorrar costos de inversión de capital a las empresas. La ley se considera ampliamente en línea con el 12.º Plan Quinquenal (2011-2015), que tiene como objetivo crear campeones nacionales en industrias como la computación en la nube y el procesamiento de grandes datos. La ley se considera una bendición para las empresas nacionales y ha sido criticada por crear un campo de juego injusto contra las empresas tecnológicas internacionales como Microsoft y Google . ^{[ cita requerida ]}

Los partidarios de la ley han declarado que la intención de la misma no es prohibir a las empresas extranjeras operar en China ni impulsar la competitividad interna china. Un estudio realizado por Matthias Bauer y Hosuk Lee-Makiyama en 2015 afirma que la localización de datos causa un daño menor al crecimiento económico debido a las ineficiencias que surgen de los procesos de transferencia de datos y la duplicación de datos entre varias jurisdicciones. El requisito de localización de datos también se considera una medida de Pekín para poner los datos bajo la jurisdicción china y facilitar el procesamiento de las entidades que se considere que violan las leyes de Internet de China. ^[1]

El presidente de la Cámara de Comercio de China del Sur (AmCham ) Harley Seyedin afirmó que las empresas extranjeras se enfrentan a “grandes preocupaciones” porque la ley ha aumentado enormemente los costos operativos y ha tenido un gran impacto en la forma de hacer negocios en China. Más específicamente, afirmó que la ley de ciberseguridad sigue creando “incertidumbre dentro de la comunidad inversora y está dando como resultado, como mínimo, el aplazamiento de algunas inversiones en I+D”. ^[26]

La ley fue ampliamente criticada por limitar la libertad de expresión . ^[27] Por ejemplo, la ley exige explícitamente que la mayoría de los servicios en línea que operan en China recopilen y verifiquen la identidad de sus usuarios y, cuando sea necesario, entreguen dicha información a las autoridades sin orden judicial. Los activistas han argumentado que esta política disuade a las personas de expresar libremente sus pensamientos en línea, sofocando aún más la disidencia al facilitar la persecución y vigilancia de los disidentes. ^[27]

Véase también

• Ley de Seguridad de Datos de la República Popular China
• Internet en China
• Ley de Protección de Información Personal de la República Popular China
• La ciberguerra de China

Referencias

1. Wagner, Jack (1 de junio de 2017). «La ley de ciberseguridad de China: lo que necesita saber». The Diplomat . Archivado desde el original el 12 de diciembre de 2018. Consultado el 14 de diciembre de 2018 .
2. Blanchard, Ben (28 de diciembre de 2015). "China aprueba una controvertida ley antiterrorista". Reuters . Consultado el 21 de julio de 2021 .
3. Wong, Edward (28 de abril de 2016). «Represión en China restringe a 7.000 organizaciones extranjeras». The New York Times . ISSN  0362-4331 . Consultado el 21 de julio de 2021 .
4. Zhang, Angela Huyue (2024). High Wire: Cómo China regula las grandes empresas tecnológicas y gobierna su economía . Oxford University Press . ISBN 9780197682258.
5. "网络安全法 （草案）全文_中国人大网". www.npc.gov.cn. ​Archivado desde el original el 29 de octubre de 2016 . Consultado el 14 de abril de 2018 .
6. Lulu, Xia y Zhao Leo (21 de agosto de 2018). "Ley de ciberseguridad de China: una introducción para empresarios extranjeros". China Briefing . Archivado desde el original el 13 de diciembre de 2018. Consultado el 14 de diciembre de 2018 .{{cite web}}: CS1 maint: varios nombres: lista de autores ( enlace )
7. 网易. "网络安全法明确了网络空间主权原则_网易新闻". NetEase . Archivado desde el original el 3 de julio de 2019 . Consultado el 14 de abril de 2018 .
8. "《网络安全法》正式施行 为个人信息加把"锁"". Centro de información de Internet de China . Archivado desde el original el 14 de diciembre de 2018 . Consultado el 14 de abril de 2018 .
9. "网络安全立法中的关键信息基础设施保护问题--理论-人民网". Diario del Pueblo . Archivado desde el original el 15 de abril de 2018 . Consultado el 14 de abril de 2018 .
10. "专家解读《网络安全法》 具有六大突出亮点-新华网". www.xinhuanet.com . Archivado desde el original el 15 de abril de 2018 . Consultado el 14 de abril de 2018 .
11. Gierow Johannes, Hauke ​​(22 de abril de 2015). "Seguridad cibernética en China: seguridad en Internet, proteccionismo y competitividad: nuevos desafíos para las empresas occidentales" (PDF) . China Monitor, Merics: Mercator Institute for China Studies. Archivado (PDF) desde el original el 16 de diciembre de 2018. Consultado el 14 de diciembre de 2018 .
12. "Las regulaciones cibernéticas de China: un dolor de cabeza para las empresas extranjeras | Merics". merics.org . 22 de marzo de 2017 . Consultado el 22 de julio de 2021 .
13. "Información sobre la ley de ciberseguridad de China para las empresas de Nueva Zelanda" (PDF) . Ministerio de Asuntos Exteriores y Comercio y Comercio y Empresa de Nueva Zelanda. Septiembre de 2017. Archivado (PDF) del original el 23 de enero de 2019 . Consultado el 14 de diciembre de 2018 .
14. Beckett, Nick (noviembre de 2017). "Guía para empresas sobre la primera ley de ciberseguridad de China". China Monitor, Merics: Mercator Institute for China Studies. Archivado desde el original el 16 de diciembre de 2018. Consultado el 14 de diciembre de 2018 .
15. Lee, Jyh-An (2017). "Hackeo de la ley de ciberseguridad de China" (PDF) . Wake Forest Law Review . 53 (1). SSRN  3174626.
16. "China establece nuevas reglas de divulgación de vulnerabilidades". Arjun Ramprasad . Previewtech.net. 18 de junio de 2021.
17. Uchill, Joe (17 de octubre de 2019). «La ley de ciberseguridad mejorada de China podría pasar factura». Axios . Archivado desde el original el 29 de marzo de 2020. Consultado el 8 de abril de 2020 .
18. "Socios peligrosos: las grandes tecnológicas y Pekín". Oficina Federal de Investigaciones . Archivado desde el original el 2 de abril de 2020. Consultado el 9 de abril de 2020 .
19. Bo, QU; Changxu, HUO (15 de septiembre de 2020). "Privacidad, seguridad nacional y economía de Internet: una explicación de la legislación de protección de la información personal de China". Fronteras del derecho en China . 15 (3): 339–366. doi :10.3868/s050-009-020-0019-4. ProQuest  2450653759.
20. Lin, Liza; Kubota, Yoko (6 de diciembre de 2017). "Las empresas tecnológicas estadounidenses se asustan con la misteriosa ley de ciberseguridad de China". Wall Street Journal .
21. "中国施行《网络安全法》 外企为何担忧？". BBC 中文网. 2017-05-31. Archivado desde el original el 11 de mayo de 2018 . Consultado el 14 de abril de 2018 .
22. Gartenberg, Chaim (13 de julio de 2017). "Apple está construyendo su primer centro de datos en China según la nueva ley de ciberseguridad". The Verge . Consultado el 22 de julio de 2021 .
23. "Obtén más información sobre iCloud en China". Soporte técnico de Apple . Archivado desde el original el 7 de marzo de 2018. Consultado el 14 de abril de 2018 .
24. "Nueva región de Azure llegará a China en 2022 | Blog y actualizaciones de Azure | Microsoft Azure". azure.microsoft.com . 4 de marzo de 2021 . Consultado el 22 de julio de 2021 .
25. "多家中国区应用商logging下架Skype".纽约时报中文网(en chino). 2017-11-22. Archivado desde el original el 13 de abril de 2018 . Consultado el 14 de abril de 2018 .
26. Hu, Huifeng (1 de marzo de 2018). "La ley de ciberseguridad genera 'preocupaciones masivas' entre las empresas extranjeras en China". South China Post . Archivado desde el original el 7 de noviembre de 2018. Consultado el 14 de diciembre de 2018 .
27. "中国《网络安全法》草案出炉 恐加强言论管制". BBC 中文网(en chino simplificado). 9 de julio de 2015. Archivado desde el original el 8 de mayo de 2018 . Consultado el 14 de abril de 2018 .