Ciberseguridad en China

Este elemento es una ampliación de las guías y los cursos de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs] En inglés: Cyber Security in China.

La Legislación sobre Ciberseguridad de China y el nexo entre la privacidad de los datos y el derecho mercantil

China ha progresado rápidamente desde el año 2015 hacia el desarrollo de un marco jurídico que rija el ciberespacio. Hay al menos 14 leyes, reglamentos, directrices, estrategias nacionales y normas que implementan el dictamen del Presidente Xi Jinping de que “sin ciberseguridad no hay seguridad nacional”. La comunidad empresarial internacional se ha opuesto sistemáticamente a estas leyes y reglamentos, alegando que interfieren indebidamente con las operaciones comerciales.[rtbs name=”operaciones-empresariales”]El pasado junio, los Estados Unidos tomaron los primeros pasos para unirse a la oposición explícita de la comunidad empresarial a los reglamentos de China.

En una reunión ordinaria del Consejo de servicios de la Organización Mundial del comercio (OMC), Estados Unidos se unió a Japón (junto con Corea del sur, Australia y el Taipei Chino) para decir que la ley de ciberseguridad de China (CSL) “podría impedir que los datos fluyan libremente y los nuevos proveedores de que operan en China “. Los Estados Unidos siguieron esta denuncia con un documento más detallado publicado el mes pasado criticando el CSI, la ley de seguridad nacional, y las medidas de aplicación relacionadas. El documento alegaba que estas leyes “perturbarían, disuadirían y en muchos casos prohibirían las transferencias transfronterizas de información que son rutinarias en el curso ordinario de los negocios” y pidieron que China detuviera la aplicación.

Washington primero argumenta que los proveedores extranjeros (referido a las personas, los migrantes, personas que se desplazan fuera de su lugar de residencia habitual, ya sea dentro de un país o a través de una frontera internacional, de forma temporal o permanente, y por diversas razones) de servicios, a través de una serie de industrias, transfieren periódicamente datos fuera de China en el curso de las operaciones comerciales normales. La legislación China, sin embargo, impone amplios derechos de mitigación de la privacidad y de evaluación de la seguridad sobre la transferencia de “datos importantes” o “información personal”. Estados Unidos critica a China por la amplitud de estos términos. Por ejemplo, los “datos importantes” parecen interpretarse como cualquier dato personal o comercial que el gobierno chino cree pueda poner en peligro sus intereses nacionales o sociales. La administración de ciberseguridad de China revisa “datos importantes” e información personal antes de que puedan ser transferidas, y algunos tipos de datos nunca se pueden mover a través de las fronteras.

Más Información

Los operadores de “infraestructura de información crítica” están sujetos a restricciones adicionales a la movilidad de los datos. Según un informe de Paul Triolo, Rogier Creemers y Graham Webster, los proyectos de Reglamento publicados el pasado julio “hacen claro que el alcance de [la infraestructura de información crítica] será bastante expansivo”.

Estados Unidos cree que estos requisitos violan los deberes de China en virtud del acuerdo general sobre el comercio de servicios (AGCS) para garantizar el trato nacional igualitario de los proveedores de servicios. El AGCS, que entró en vigor en 1995, creó normas comerciales internacionales para el sector de los servicios. Los reglamentos de China sobre la transferencia de datos permiten al país eludir efectivamente estos compromisos, no restringiendo explícitamente el comercio de servicios, sino gravando los datos subyacentes necesarios para llevar a cabo estos servicios. Este argumento parece pedir prestado al artículo XVII del AGCS, que dice que “[f] ejerza idéntico… el tratamiento se considerará menos favorable si modifica las condiciones de competencia en favor de los servicios o proveedores de servicio del miembro en comparación con servicios o proveedores de servicio de cualquier otro miembro.

El debate sobre las leyes legítimas de privacidad deben considerarse violaciones del AGCS todavía está en su infancia. Ningún miembro de la OMC ha instituido aún procedimientos contra otro por violar el AGCS basándose en leyes de protección de datos excesivamente onerosas.

Puntualización

Sin embargo, una lectura simple del AGCS parecería suscitar dudas sobre los requisitos excesivamente restrictivos para la transferencia de datos. Además del artículo XVII, el AGCS exige que los miembros “acuerden los servicios y los proveedores de servicios de cualquier otro tratamiento miembro, no menos favorables que los previstos en los términos, limitaciones y condiciones acordadas y especificadas en su calendario”. El calendario de China describe los requisitos para la presencia comercial (por ejemplo, empresas mixtas obligatorias), pero no limita aún más el suministro o el consumo transfronterizo de servicios.Entre las Líneas En particular, China enumeró explícitamente la implementación de software, el procesamiento de datos, las telecomunicaciones y los servicios de datos nacionales e internacionales en su calendario más reciente. China podría defender sus leyes basándose en el artículo XIV bis del AGCS, que estipula que el acuerdo no debe interpretarse para impedir que cualquier miembro actúe “considera necesario para la protección de sus intereses esenciales de seguridad”.Si, Pero: Pero el siguiente párrafo del artículo XIV bis restringe explícitamente esta excepción a tres categorías de interés nacional – provisionamiento de los militares, actividades relacionadas con materiales fisionables o fusionables, y medidas tomadas en tiempos de guerra u otros emergencias internacionales. A China le resultaría difícil justificar sus reglamentos sobre cualquiera de estos motivos.

Sin embargo, esta lectura del AGCS puede importar menos si Estados Unidos se convierte en un valor atípico en el mundo de la privacidad de los datos. La UE, que no se unirán a Estados Unidos para criticar las leyes de datos de China, comenzará a aplicar su Reglamento General de protección de datos (GDPR) este próximo mayo. El GDPR es muy protector de la intimidad, cubriendo los datos personales relacionados con el comportamiento llevado a cabo en la u.e. que luego es procesado por entidades (empresas, institutos de investigación, etc.) que no se encuentran en la u.e. de forma importante, también regula la transferencia de datos fuera los datos de la u.e. solo podrán ser transferidos si (1) una Comisión decide que el territorio receptor “garantiza un nivel de protección adecuado” consistente con el GDPR, (2) la entidad de transformación ha proporcionado “salvaguardias apropiadas”, o (3) la persona interesada ha proporcionó el consentimiento específico para la transferencia. La ley japonesa sobre la protección de la información personal (APPI), que ya está en vigor, contiene requisitos sustancialmente similares.

Aunque ambos regímenes pueden parecer similares a los de China, pueden distinguirse por tres motivos.Entre las Líneas En primer lugar, la UE y el Japón tienen una comprensión mucho menos espaciosa de los datos protegidos. El GDPR y el APPI se refieren solamente a la “información personal.” En el GDPR, esto cubre “información relacionada con una persona natural identificada o identificable”. El APPI está igualmente preocupado por la información relacionada con un individuo vivo, incluyendo el nombre, fecha de nacimiento, y otra información por la cual un individuo podría ser identificado. Ni menciona datos importantes para la seguridad nacional o la estabilidad social. Esto se refiere al núcleo de la queja de Washington en su carta a la OMC – la amplitud del régimen de ciberseguridad chino.Entre las Líneas En segundo lugar, el grado de implicación del gobierno es muy diferente. Mientras que los tres regímenes establecen una Comisión para supervisar la privacidad de los datos, solo China faculta a esa entidad para investigar el contenido de los datos y establecer categorías adicionales de datos que no pueden transferirse.

Detalles

Por último, Estados Unidos tiene acuerdos de transferencia de datos con la u.e. (la u.e./U.S. Privacy Shield) y una variedad de economías del Pacífico, incluyendo Japón (a través de las reglas de privacidad de la APEC), que facilitan la transferencia de datos. Dicho esto, el artículo 15 del CSI también ofrece una exención para los acuerdos internacionales (ver su concepto, así como tratado internacional, acuerdo internacional administrativo, acuerdo internacional medioambiental, acuerdo internacional no normativo, y acuerdo internacional sobre el transporte de mercancías perecederas o acuerdo ATP) de transferencia de datos.

Puntualización

Sin embargo, dadas las preocupaciones de derechos humanos sobre el alcance de los datos protegidos en China, es difícil imaginar cómo los Estados Unidos podrían negociar un acuerdo de este tipo con Beijing.

Las economías más importantes están empezando claramente a construir los argumentos jurídicos que reconcilian las leyes de privacidad de los datos internos con sus compromisos en el AGCS. Si la presentación de la OMC del mes pasado estaba destinada a articular la visión de Estados Unidos para el equilibrio adecuado entre el libre flujo de datos y la privacidad, sin embargo, se requiere una campaña legal mucho más robusta. Dos puntos exigen una atención especial.

Primero, los Estados Unidos deben tener su propia casa en orden: no existe una ley federal completa que regule la recolección y uso de datos personales.

Indicaciones

En cambio, se rige por un Bevy de legislación sectorial específica, como la ley de modernización de los servicios financieros, la ley federal de la Comisión de comercio y la ley de portabilidad y rendición de cuentas del seguro de salud.Entre las Líneas En algunos casos, los Estados han promulgado leyes de privacidad que van más allá de los requisitos federales. Mientras que el beneficio de una ley federal comprensiva sigue siendo confuso, como mínimo, Estados Unidos necesita una articulación a nivel nacional de la política de privacidad de los datos. De lo contrario, Estados Unidos seguirá operando en los términos establecidos por otros países a través de sus propias leyes de privacidad doméstica.

En segundo lugar, los Estados Unidos deben ampliar la coalición de miembros de la OMC dispuestos a insistir en el libre flujo de datos, centrándose especialmente en la UE Esto será difícil, dado que el Tribunal de Justicia de las comunidades europeas ha repulsado un acuerdo previo de intercambio de datos y dadas las inquietudes constantes sobre el compromiso de Estados Unidos con la privacidad de los datos expresada por Giovanni Buttarelli, Supervisor Europeo de protección de datos, apenas el último Mes. Como mínimo, Estados Unidos debe asegurarse de que los Estados miembros de la u.e. no se inclinan hacia la interpretación restrictiva de China del AGCS para permitir la legislación interna que acelere la fragmentación de Internet. Incluso asumiendo que una localización de datos es inevitable, su extensión es tremendamente importante.

Los Estados Unidos ya han perdido la ventaja del primer motor en la configuración de los contornos de las leyes internacionales de privacidad de datos. Una sólida campaña legal que se basa en la comunicación de la OMC del mes pasado es necesaria para garantizar que no se pierda por completo un escaño en la mesa.

La Ley

La ley de ciberseguridad de China (CSL) oficialmente tiene efecto desde junio de 2017. El New York Times advierte que “a medida que China se mueve para empezar a aplicar una nueva ley sobre ciberseguridad, las empresas extranjeras enfrentan un problema importante: saben muy poco al respecto”.

Ciertamente, el lenguaje de la ley es amplio y ambiguo, y esa vaguedad crea incertidumbres problemáticas.Si, Pero: Pero en realidad sabemos más acerca de cómo el CSI podría operar en la práctica de lo que parece a primera vista.

La CLS es solo una parte de un sistema emergente y en evolución de la gobernanza cibernética China. El examen del texto legislativo en el contexto más amplio de su paso revela que es probable que los funcionarios solo apliquen selectivamente su vasto alcance. Esto significa que los intereses políticos y económicos probablemente conformarán elementos importantes de la aplicación.

Para entender mejor cómo funciona la ley, es necesario considerar los debates internos que involucran a las empresas tecnológicas chinas y el grado en que se inició el cumplimiento voluntario antes de que la ley formalmente tuviera efecto. Si bien el reconocimiento de la ambigüedad persistirá, a continuación se muestran los pensamientos iniciales sobre cómo entender cuestiones clave como la localización de datos y el régimen de revisión de ciberseguridad, y evaluar en qué direcciones podrían estar moviéndose.

Ley de ciberseguridad: una parte más

El CSI es solo un elemento del sistema de instituciones, leyes, reglamentos y políticas del gobierno chino que se ha construido rápidamente para fortalecer la gobernanza cibernética. Marca un esfuerzo más amplio del Presidente Xi Jinping y el liderazgo (véase también carisma) del partido comunista chino para afirmar el último control sobre la industria China de Internet, los datos y la tecnología de las comunicaciones de información (TIC).

Una Conclusión

Por lo tanto, el CSI no debe leerse aisladamente de la docena de otras partes mutuamente reforzadas del cambiante sistema de gobernanza cibernética de China. El CSI se entiende mejor como la “piedra angular en un arco” de la buildout más grande del gobierno XI de un marco legal para los controles de seguridad en el ciberespacio.

El marco de la gobernanza cibernética en evolución de China

A continuación se muestran los principales puntos destacados:

Leyes

• Ley de ciberseguridad: Junio 2017
• Ley de encriptación (borrador): Abril 2017
• Ley de seguridad nacional: Julio 2015
• Ley antiterrorista: Diciembre 2015

Reglamentos/medidas/directrices

• Medidas sobre la evaluación de la seguridad de la transferencia transfronteriza de información personal y datos importantes: A partir del 2017 de junio; Cumplimiento requerido para diciembre 2018
• Medidas de revisión de la seguridad para la inspección de seguridad de productos y servicios de red (Interim); también conocido como el régimen de revisión de ciberseguridad (CRR): Junio 1 2017
• Otras medidas que definen la infraestructura de información crítica: Tbd
• Medidas de implementación de ciberseguridad específicas del sector: Tbd
• Pautas “seguras y controlables” del sector específico (Internet Plus, dispositivos médicos, banca, seguros): 2014-presente

Estrategias/planes nacionales

• Plan Nacional de desarrollo de la informatización: Julio 2016
• Estrategia de ciberseguridad internacional: Enero 2017
• XIII plan quinquenal de informatización: Julio 2016
• Estrategia nacional de ciberseguridad: Diciembre 2016
• Internet más opiniones orientadoras: Julio 2015
• Hecho en China 2025: 2013

Estándares

Decenas de normas de seguridad de la información, incluidas las relacionadas con la infraestructura de información crítica y la protección de datos en el Comité técnico 260 (TC260): Continua

Impacto práctico para las empresas que operan en China

Típicamente, el gobierno chino primero lanza una ley de principios amplios y después clarifica el alcance en una serie de decretos y de estándares de la ejecución. (Tal vez sea de interés más investigación sobre el concepto). Como se muestra en el cuadro anterior, siguen pendientes las directrices para la aplicación de las cuestiones más importantes y controvertidas de la ley sobre ciberseguridad, incluida la localización de datos y la transferencia transfronteriza de datos, la CRR y el alcance de la información crítica infraestructura (CII). Como resultado, muchos fuera y dentro de China han sido reacios a pesar en lo que se espera. Lamentablemente, este tipo de enfoque reactivo, de esperar y ver rara vez es una buena idea en China. A continuación se muestran los pensamientos iniciales sobre cómo entender estos problemas y evaluar las direcciones en las que podrían estar moviéndose.

Localización de datos

Mucho antes de que el CSI tuviera efecto, las empresas estaban reevaluando sus operaciones en el supuesto de que Beijing pronto requeriría la localización de datos.Si, Pero: Pero aunque la localización de datos es una prioridad para Beijing, las recientes declaraciones oficiales sugieren que las preocupaciones acerca de la capacidad de las empresas chinas para expandirse a nivel mundial (o global) podrían proporcionar algún espacio para la negociación sobre el alcance de las restricciones a la transferencia transfronteriza de datos.

Después de las revelaciones de Snow den y en medio de preguntas sobre el acceso de la aplicación de la norma (generalmente por los organismos y autoridades públicas, incluido las fuerzas y cuerpos de seguridad y orden público) occidental a los datos, el apoyo popular para la localización de datos ha crecido en China. Ahora existe una creencia generalizada — aunque inexacta — de que la ubicación geográfica es importante para la seguridad de los datos y que los datos exigentes permanecen en China y ofrecen un mayor nivel de protección.

El artículo 37 de la ley sobre ciberseguridad establece que la información personal y otros datos importantes recopilados o producidos por los operadores de infraestructura de información críticos durante las operaciones dentro del territorio continental de la República Popular de China, lo almacenarán dentro de la China continental.

El Gobierno todavía está en el proceso de definir “otros datos importantes” o qué sectores caen bajo la CII bajo directrices separadas, pero las indicaciones tempranas sugieren que incluso las directrices de seguimiento serán vastas y ambiguas. Por ejemplo, los proyectos de directrices para la evaluación de la seguridad de las transferencias transfronterizas emitidas el 27 de mayo dan una definición radical de “datos importantes” que resuenan la ley de seguridad nacional, que abarca lo que puede “influir o perjudicar al gobierno, el estado, los militares, economía, cultura, sociedad, tecnología, información… y otros asuntos de seguridad nacional. ”

Medidas separadas sobre la evaluación de la seguridad de la transferencia transfronteriza de información personal y los datos importantes — que se efectúan el 1 de junio con el cumplimiento obligatorio para diciembre de 2018 — estipulan que todos los “operadores de red” estarán sujetos a evaluaciones de transferencia de datos. Según el proyecto de directrices de TC260’s, los “operadores de red” podrían significar cualquier persona que posea y administre una red propia. Esto plantea preguntas sobre el alcance, incluida la posibilidad de que el comercio electrónico pueda considerarse como una infraestructura crítica, dado todos los datos personales que poseen empresas como alibaba y Tencent.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

A pesar de estas incertidumbres, muchas empresas en China ya asumen que los requisitos de localización de datos se convertirán en la realidad de facto para las operaciones de China.Entre las Líneas En diciembre de 2015 el gobierno eliminó por completo una disposición de la versión final de la ley contra el terrorismo que habría requerido que los operadores de telecomunicaciones y los ISP almacenaran todos los datos y equipos en China.Si, Pero: Pero incluso sin los requisitos escritos en la ley más allá de un puñado de regulaciones sector-específicas (por ejemplo, en la publicación y los mapas en línea), muchas compañías chinas y extranjeras comenzaron voluntariamente a planear para la localización de los datos en la anticipación de más terminante requisitos para venir. Algunas compañías chinas incluso dejaron de enviar sus datos a compañías extranjeras que tenían la capacidad de almacenar y procesar datos dentro de la China continental.

Las compañías tecnológicas chinas necesitan flujos de datos transfronterizos

A pesar de todo lo anterior, Beijing ha mostrado recientemente cierta voluntad de reevaluar hasta qué punto se extenderán las restricciones de transferencia de datos. Esto sugiere que el gobierno podría dejar espacio para la maniobrabilidad y la negociación con las empresas en lo que se refiere a la implementación.

El principal impulsor de la revaluación del gobierno probablemente no sea la objeción de las empresas extranjeras, tanto como las empresas de tecnología doméstica preocupadas por sus operaciones globales. Las compañías tecnológicas de campeón nacional de China no siempre están en unísono con Beijing. Como gato MA dijo una vez de la relación de alibaba con el gobierno, “esté en amor con ellos, pero no los case”. Puesto que por lo menos 2015 alibaba ha empujado detrás en restricciones de datos, argumentando que crean “los problemas importantes para las compañías chinas del Internet que se amplían en ultramar… que conducen en última instancia a la fragmentación del ciberespacio”. Este punto de vista está en consonancia con la posición de las empresas multinacionales extranjeras que operan en China.

Otros Elementos

Además, el Instituto de investigación de alibaba ha discutido para un esquema de la categorización de los datos que distinga entre los datos personales, del gobierno, y comerciales. Tencent, otro gigante chino del Internet, también indicó la ayuda para la clasificación de datos.

Los funcionarios indicaron el deseo de equilibrar la seguridad de los datos con las necesidades del comercio mundial (o global) en consonancia con las prácticas internacionales. Durante una reunión reciente en Beijing, el director general Zhao Zeliang, de la administración del ciberespacio de China (CAC), declaró que el gobierno no quiere interrumpir el flujo de datos transfronterizos ni obstaculizar la globalización económica- o internacionalización de la economía- en el marco de una sola carretera (OBOR) Iniciativa. Sugirió que el gobierno tratará de manera diferente los datos de CII, personales y empresariales. La intención declarada por el gobierno no es bloquear la exportación de “datos importantes”, sino obtener más visibilidad para los reguladores y las empresas en los riesgos, principalmente a través de “autoevaluaciones”. Una versión revisada de las medidas transfronterizas de transferencia de datos mostró algún intento de moderación, incluso afirmando que las empresas no tienen que detener las operaciones mientras se someten a una evaluación y eliminan una estipulación que habría sometido a todas las personas y datos importantes a la evaluación de seguridad antes de salir de China.

Régimen de revisión de ciberseguridad (CRR)

El CRR crea esencialmente una revisión de la seguridad de la caja negra — una que es casi imposible de evaluar para la mayoría de las personas — que puede utilizarse con fines políticos para retrasar o bloquear el acceso a los mercados. [rtbs name=”mercados”] Las empresas extranjeras ahora enfrentan al menos cuatro auditorías de seguridad separadas por diferentes agencias gubernamentales chinas con jurisdicciones poco claras.

El 2 de mayo, el CAC publicó las medidas de revisión de seguridad para la inspección de seguridad de productos y servicios de red (Interim). Las medidas requieren que los productos y servicios de red utilizados en la infraestructura crítica se sometan a una revisión de ciberseguridad administrada por el CAC. Se desconocen los criterios específicos, las métricas y las personas que realizan la evaluación.

La parte más reveladora de las medidas figura en el artículo 4, sección 5, que establece que el examen se centrará en “otros riesgos que podrían perjudicar la seguridad nacional”. Esta afirmación, que se incluye en alguna forma en todas las leyes y reglamentos del marco jurídico cibernético, da esencialmente a la autoridad del gobierno la posibilidad de interpretar el alcance de las revisiones, como quiera, subrayando la naturaleza intrínsecamente política de la Revisión.

Las empresas extranjeras ahora enfrentan múltiples revisiones de seguridad superpuestas en diferentes niveles de la burocracia.Entre las Líneas En la práctica, el gobierno no ha aclarado cómo funcionará el CRR con el esquema de protección multinivel existente (MLPS) administrado por el Ministerio de seguridad pública (MPS). Técnicamente, el CSI declara que los proveedores normales de red pasarán por MLPS mientras que los operadores de CII se someterán al CRR.Si, Pero: Pero dada la falta de definición en torno a estos conceptos, las empresas extranjeras podrían ser atrapados en la mira como el CAC y el MPS jockey para la influencia como el nuevo marco legal de ciberseguridad toma forma.

Otros Elementos

Además, el CAC y los reguladores específicos del sector tienen la responsabilidad de la CRR, creando una jurisdicción conflictiva incluso dentro del propio CRR.

Más allá de la MLPS y CRR, las empresas también tendrán que lidiar con otras nuevas evaluaciones que todavía están en las obras, incluyendo la exportación de datos transfronterizos (referenciada anteriormente) y una revisión de seguridad nacional más amplia similar a CFIUS (bajo el paraguas de la National Ley de seguridad del 2015 de julio).

Autor: Williams

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.