El nuevo endurecimiento de China: qué significan las crecientes medidas de ciberseguridad para el comercio con China

El gobierno chino está considerando una enmienda a sus leyes existentes de ciberseguridad, lo que podría llevar a una represión contra las empresas que no cumplan. Si se implementa, las multas para las empresas que violen sus obligaciones de ciberseguridad podrían ascender hasta RMB50 millones (aproximadamente £5.6 millones). Por lo tanto, es crucial que las empresas que operan en China o que desean desarrollar lazos más fuertes dentro del país estén al tanto de estas enmiendas y tomen las medidas apropiadas.
Image

Lo que China está haciendo para aumentar la ciberseguridad

El 14 de septiembre de 2022, la Administración del Ciberespacio de China (CAC) emitió propuestas de enmiendas a la Ley China de Ciberseguridad de 2017 (CCL). El objetivo declarado era hacer que estas enmiendas fueran coherentes con varias leyes nuevas ya promulgadas en 2017.

Las enmiendas cambian la gravedad y el alcance de las sanciones para las empresas que violan las disposiciones existentes, en lugar de realizar cambios fundamentales en las actividades o comportamientos cubiertos por la CCL. El gobierno busca mejorar la ciberseguridad en el país y hacer cumplir la responsabilidad legal para empresas grandes y pequeñas.

Hay cuatro cambios fundamentales propuestos para la CCL.

  • El primero se refiere a la seguridad de las operaciones de red y ajusta el tamaño de cualquier sanción administrativa por actos que violen obligaciones.
  • El segundo altera la responsabilidad legal de aquellos que manejan infraestructuras de información crítica y su seguridad. Esta sección eleva el nivel de las sanciones por actos ilegales que los "operadores de infraestructuras de información crítica" pueden realizar.
  • La tercera enmienda ajusta la responsabilidad de los proveedores de red para garantizar que la información compartida dentro de esas redes (por empresas e individuos) no viole ninguna ley china.
  • La cuarta enmienda revisa secciones de la CCL original para proteger mejor la información personal.

Las autoridades tendrán ahora instrumentos más afilados para abordar las violaciones de ciberseguridad y proteger los derechos de los usuarios. Sin embargo, algunos aspectos de la ley son bastante ambiguos, y no hay una interpretación clara de términos como "datos importantes". Además, la definición de "operador de infraestructura de información crítica" es bastante vaga.

Las leyes también permiten a los reguladores chinos determinar qué tipo de transferencias de datos salientes son necesarias, especialmente si la intención es mover esos datos al extranjero. El regulador tendrá autoridad para determinar si una empresa tiene datos "importantes" que desencadenan una evaluación de seguridad adicional y pueden provocar interrupciones para las empresas o más negociaciones con los reguladores como mínimo. Nuevamente, no está del todo claro qué determina si los datos son importantes a ojos del regulador.

La reacción mundial ante la dirección de China

Vale la pena señalar que los esfuerzos del gobierno de Beijing son mucho más integrales que los implementados por Estados Unidos o Europa. Algunos pueden señalar las reglas existentes de GDPR en Europa, pero están más centradas en la privacidad personal que en la seguridad nacional o la estabilidad social per se.

Los políticos estadounidenses han criticado previamente algunas de las leyes de la CCL, con un funcionario calificando la legislación como "un arma cargada que el resto del mundo no debería querer enfrentar". Este funcionario creía que la ley obliga a cualquier empresa que desee hacer negocios en China a colaborar con el gobierno en "campañas de espionaje". 

Lo que esto significa para las empresas que operan en China

Las empresas que operan en China deben ser conscientes del amplio alcance de las posibles obligaciones y objetivos, así como de las definiciones vagas contenidas en la legislación. Deben comprender cómo cada elemento de la legislación gobierna la privacidad, la ciberseguridad y las transferencias de datos transfronterizas. También deben estar atentas a cómo las organizaciones reguladoras responsables de la implementación hacen cumplir las leyes y cómo los legisladores pueden operar a nivel nacional y local. Puede haber inconsistencias tanto en la interpretación como en la aplicación de la ley por diferentes organismos administrativos.

¿Qué significa esto para las corporaciones extranjeras con fuertes lazos con China?

Un número considerable de empresas del Reino Unido hacen negocios con China. En 2021, las empresas del Reino Unido importaron £63.6 mil millones y exportaron £18.8 mil millones (en valor de bienes) hacia y desde China. Durante el mismo año, el Reino Unido importó £2.5 mil millones y exportó £8.2 mil millones en valor de servicios. Esta legislación puede representar un desafío significativo para estas y otras organizaciones. El gobierno puede haber redactado las regulaciones para centrarse en las empresas nacionales, pero las organizaciones internacionales aún pueden necesitar cumplir con los requisitos locales.

Muchas empresas internacionales preferirán compartir información sin restricciones, pero sus estándares operativos o políticas globales pueden entrar en conflicto con los requisitos regulatorios chinos. Estas empresas pueden necesitar considerar la adición de recursos adicionales en China para anticiparse a cualquier requisito de cumplimiento regulatorio local que pueda representar un alto riesgo.

Además, la legislación permite al gobierno inspeccionar y potencialmente investigar a cualquier organización si sospechan problemas con la seguridad en Internet. Algunas empresas pueden querer prepararse para esta posibilidad y determinar si están satisfechas de que el gobierno chino tenga acceso a cierta información clave. Algunas de las regulaciones permiten que los datos recopilados sean inspeccionados o investigados. Por supuesto, si los reguladores chinos tienen acceso a tales datos, la empresa misma no tendrá control sobre dónde termina la información ni quién tiene acceso posterior a ella.

Los reguladores pueden centrar la mayor parte de su atención en la información y sistemas dentro de las agencias gubernamentales más grandes o empresas privadas. Sin embargo, cualquier multinacional extranjera debe ser consciente del potencial de escrutinio y estar al día con las regulaciones a medida que cambian. También deben recordar que el gobierno chino puede responsabilizar tanto a individuos como a la empresa si una investigación resulta en una violación.

Las empresas extranjeras deben realizar una auditoría exhaustiva de cualquier flujo de datos y datos salientes. Deben ser conscientes de de dónde obtienen los datos y a dónde van una vez que están bajo su control. Después de todo, el gobierno podría responsabilizar a los funcionarios de la empresa por todos los datos en el sistema, independientemente de si los produjeron ellos mismos.

Cómo HLB puede ayudar

HLB es una red global de asesoramiento y contabilidad que busca ayudar a las empresas que comercian internacionalmente, especialmente si tienen exposición en China. Hemos producido un informe de ciberseguridad titulado "Uniendo Personas y AI: El Futuro de la Resiliencia Cibernética" y un informe separado basado en una encuesta a líderes empresariales en 2023 para obtener información adicional.

Si realiza negocios dentro de China, póngase en contacto con uno de los expertos de HLB Global para obtener consejo o ayuda con estas regulaciones de ciberseguridad.