Todo lo que Necesitas Saber Sobre la Nueva Ley de Ciberseguridad en China

mayo 08, 2019 Seguridad y Cumplimiento, MOVEit

En este artículo, responderemos algunas de las preguntas más comunes sobre la CSL y haremos los objetivos de cumplimiento lo más claros posible.

La primera regulación integral de China sobre privacidad y seguridad digital, la Ley de Seguridad Cibernética (CSL) se aprobó el 7 de noviembre de 2016 y entró en vigencia por primera vez el 1 de junio de 2017. Desde entonces, ha habido una aplicación esporádica de ciertos artículos de la ley, mientras que Otros están siendo con menos constancia.

Cualquiera que sea la aplicación, la CSL impone requisitos nuevos y masivos a una amplia gama de compañías, tanto nacionales como extranjeras, que operan en China, y establece sanciones importantes por incumplimiento, como los fines o incluso el tiempo en la cárcel. En este artículo, responderemos algunas de las preguntas más comunes sobre la CSL y haremos los objetivos de cumplimiento lo más claros posible.

¿A quiénes afecta la CSL? ¿Necesito cumplir?

Según el idioma oficial del reglamento, la CSL se aplica a lo que China denomina "Operadores de red", así como a los operadores de "Infraestructura de información crítica" (CII). El término "Operadores de red" se define como los "propietarios, operadores y proveedores de servicios de redes", y podría interpretarse que incluye a casi cualquier compañía que preste servicios o ejecute su negocio a través de una red de computadoras.

Echa un Vistazo a la guía profesional para el cumplimiento de Datos. Descarguelo aqui.

La definición de la regulación de operadores de CII es igualmente amplia e incluye compañías del sector de telecomunicaciones, radio, televisión y los operadores de cualquier infraestructura que se considere crítica, es decir, la infraestructura “causará graves daños a la seguridad del estado”. "La economía nacional y el sustento de la gente y el interés público si se destruye, pierde la función o se encuentra con la fuga de datos".

Para decirlo sin rodeos, si su negocio opera en línea en China, debe estar preparado para cumplir con la CSL.

Si cumple con GDPR, ¿también cumple con la CSL de China?

En resumen, no. Si bien algunos de los requisitos de la nueva ley, como la localización de datos y la designación de personal de seguridad, pueden recordar el Reglamento de protección de datos global (GDPR) de la UE, las dos leyes son en realidad muy diferentes, y las medidas adoptadas para cumplir con GDPR No se debe asumir que cumple con la CSL.

La CSL es, al mismo tiempo, menos completa y más amplia que la GDPR, lo que, a mi entender, parece confuso. Básicamente, es una ley menos prescriptiva, pero les da a las agencias de aplicación de la ley un amplio margen para decidir qué compañías deben cumplir, y cómo se ve exactamente el cumplimiento. Esto puede significar problemas para las compañías occidentales que operan en China, ya que incluso ahora, dos años después de la implementación inicial de la ley, algunos aspectos de la regulación y la aplicación siguen sin estar claros.

¿Hay un requisito de localización de datos?

Al igual que el GDPR, el CSL tiene un requisito de localización de datos, el lenguaje de la regulación es mucho más vago. Bajo la CSL, cualquier "información personal" o "datos importantes" que sean recopilados o generados por los operadores de CII o los llamados operadores de red en China deben almacenarse en China. Eso significa que no hay que almacenar los datos de los ciudadanos chinos en el extranjero.

Sin embargo, es posible transferir datos personales o importantes al extranjero si su empresa puede demostrar la necesidad de exportar los datos y aprobar una evaluación de seguridad para demostrar que los datos se manejarán de manera segura. Eso significa primero probar que la transferencia de datos es “legal, legítima y necesaria” y luego evaluar los riesgos asociados con la transferencia en sí.

Existe una disposición en el reglamento, para que la prueba sea auto-administrada, pero es más probable que sea realizada por las autoridades chinas, ya sea de forma remota o in situ. En cualquier caso, podemos esperar que el proceso no se mueva a la velocidad del negocio, por lo que es mejor cumplir con el requisito de localización de datos en todas las circunstancias.

¿Cuáles son los requisitos de seguridad?

La CSL también tiene una larga lista de requisitos de seguridad, algunos de los cuales reflejan la GDPR de manera cercana, aunque sin el lenguaje estricto y prescriptivo de su equivalente en la UE. De acuerdo con el Artículo 21 de la CSL, las empresas que se encuentran bajo la regulación deben designar personal que será responsable de la seguridad de la red e implementar protocolos de seguridad de acuerdo con las pautas de seguridad de la red establecidas por el gobierno chino.

Las empresas también deben adoptar medidas tecnológicas que les permitan prevenir, investigar y defenderse de los ataques cibernéticos. De acuerdo con un borrador de directriz, estas medidas tecnológicas incluyen la protección con contraseña, el cifrado y la prevención de intrusiones. También requiere que todos los sistemas o dispositivos que almacenan información personal utilicen al menos dos métodos de autenticación.

Finalmente, la CSL requiere el establecimiento de un procedimiento de informe para problemas de seguridad.

¿Cuáles son los requisitos de privacidad?

La CSL no solo se preocupa por la seguridad de los datos, sino también por el tipo de datos que se recopilan y cómo se recopilan esos datos. El reglamento establece una serie de requisitos de privacidad, incluido el requisito de obtener el consentimiento antes de recopilar información personal.

La información que se recopila debe ser relevante para los servicios de su empresa, y debe establecer explícitamente el propósito para el cual está recopilando la información, la forma en que la recopila y el alcance del uso de esos datos.

En una disposición similar al "Derecho de borrado" de GDPR, la CSL requiere que los operadores de red eliminen o modifiquen los datos personales de los usuarios cuando lo soliciten.

La CSL también incluye requisitos para la notificación de incumplimiento, que especifican que un incumplimiento debe ser divulgado tanto a las personas afectadas como a los departamentos gubernamentales pertinentes.

¿Tendré que censurar el contenido?

Paradójicamente, la CSL está menos preocupada por los derechos de privacidad del usuario cuando se trata de monitoreo y vigilancia.

De acuerdo con el artículo 47 de la CSL, los operadores de red están obligados a controlar la información divulgada por sus usuarios para obtener información que está "prohibida de ser publicada o transmitida por las leyes o regulaciones administrativas".

Si se descubre dicha información, se requiere que los operadores de red eliminen la información, mantengan registros e informen a las autoridades cualquier contenido ilegal.

¿Cómo se aplica la CSL?

Como regulador central de internet de China, la Administración del Ciberespacio de China (CAC) es la principal autoridad encargada de supervisar y hacer cumplir la CSL.

En los años transcurridos desde que la ley se implementó por primera vez, el CAC se ha centrado principalmente en el monitoreo del contenido del usuario descrito anteriormente.

El CAC ya impuso multas a varias grandes empresas de tecnología, incluidas Alibaba Cloud y Taobao, por "no implementar medidas para prevenir la difusión de información prohibida".

A nivel local, las oficinas de seguridad pública de China (PSB), es decir, la policía local y provincial, recibieron recientemente los poderes de cumplimiento de la ley. Eso significa que pueden realizar inspecciones de una amplia gama de negocios, básicamente cualquier cosa que esté registrada como una "entidad que usa la red", que incluye operadores de red, ISP, centros de datos, servicios de nombres de dominio y servicios de información de Internet.

Los PSB tienen la autoridad de inspeccionar no solo los locales de las empresas reguladas, sino también sus redes. Estas inspecciones pueden llevarse a cabo en el sitio o mediante inspecciones remotas de redes. Los procesos de inspección pueden incluir la revisión y copia de documentos, entrevistas al personal de la compañía o la inspección de medidas de protección de la ciberseguridad.

Además, debido al amplio lenguaje del reglamento, los PSB tienen mucho margen de maniobra para determinar qué compañías están sujetas al reglamento, y el calendario y el alcance de las inspecciones.

¿Cuáles son las sanciones por incumplimiento?

La CSL incluía sanciones tanto monetarias como penales por incumplimiento, así como sanciones de operación para empresas que no pueden cumplir. De acuerdo con el artículo 66 de la ley, las compañías que violan la localización de datos pueden encontrar aproximadamente $7,500-75,000 USD. El personal directamente a cargo de las compañías que no cumplen con las normas también puede ser multado, o incluso sujeto a hasta 15 días de cárcel por violar ciertas partes de la ley.

Además, el CAC se reserva el derecho de cerrar sitios web o retirar licencias o permisos comerciales, lo que impide efectivamente que una empresa determinada opere en China.

Jeff Edwards

Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.