¿Qué es la Ley de Ciberseguridad de China? Explicación de los puntos clave para su cumplimiento
Según el “Informe Especial: Tendencias de Expansión de Empresas Japonesas en China (2022)” del Japanese Teikoku Databank, disponible en https://www.tdb.co.jp/report/watching/press/p220705.html[ja], el número de empresas japonesas que han expandido sus operaciones a China asciende a 12,706. Es probable que el número de empresas que realizan negocios relacionados con China sea aún mayor. En China, en el año 2017 (Heisei 29), se implementó la “Ley de Ciberseguridad de China”.
Como resultado, para desarrollar negocios en China, se ha vuelto necesario revisar las regulaciones de acuerdo con la ley y adoptar medidas de protección técnica. Sin embargo, puede que haya quienes no estén seguros de qué implica esta ley o cómo abordar su cumplimiento.
Por lo tanto, en este artículo explicaremos los aspectos generales de la Ley de Ciberseguridad de China, los sujetos regulados y las medidas que se deben tomar. Si usted está desarrollando negocios en China o está considerando expandirse allí en el futuro, le invitamos a utilizar esta información como referencia.
Resumen de la Ley de Ciberseguridad de China
La Ley de Ciberseguridad de China (网络安全法), promulgada en junio de 2017, establece su propósito en el Artículo 1 de la siguiente manera:
- Asegurar la seguridad de la red
- Proteger la soberanía del ciberespacio, la seguridad nacional y los intereses públicos
- Proteger los derechos e intereses legítimos de los ciudadanos, las corporaciones y otros grupos
- Promover el desarrollo de la informatización económica y social
La “red” se define como “un sistema compuesto por computadoras, otros dispositivos de información y equipos relacionados que, siguiendo ciertas reglas y programas, recopilan, almacenan, transmiten, intercambian y procesan información (Artículo 76)”, lo que incluye tanto a Internet como a las intranets.
La Ley de Ciberseguridad de China, a diferencia del Reglamento General de Protección de Datos (GDPR) de la UE o de la Ley de Protección de Información Personal de Japón (Japanese Personal Information Protection Act), no solo se enfoca en la “protección de la información personal y organizacional”, sino que también tiene como objetivo “proteger la seguridad nacional y los intereses públicos de China”. La ley establece la implementación de protección de seguridad cibernética por niveles, el cumplimiento de la normativa y la clarificación de derechos y obligaciones para las empresas sujetas a ella.
En cuanto a la legislación de seguridad, también existe la Ley de Seguridad de Datos de China.
Artículo relacionado: ¿Qué es la Ley de Seguridad de Datos de China? Explicación de las medidas que deben tomar las empresas japonesas[ja]
Objetivos de la regulación de la Ley de Ciberseguridad de China
Las empresas japonesas se convierten en sujetos de la Ley de Ciberseguridad de China en los siguientes casos:
- Cuando manejan información dentro de China
- Cuando transfieren información de China a Japón
Incluso si la base de la empresa está en Japón, se aplicará la ley si se cumplen las condiciones mencionadas anteriormente. Además, entre los sujetos regulados se incluyen “operadores de redes” y “operadores de infraestructuras críticas de información”.
Por operadores de redes se entiende a los propietarios o administradores de redes, así como a aquellos que proveen servicios de red.
Los operadores de infraestructuras críticas de información son aquellos que gestionan instalaciones que, en caso de sufrir daños, como deterioro o fuga de datos, podrían amenazar la seguridad nacional en sectores críticos (como energía, transporte, finanzas, servicios públicos, entre otros), y cuyo daño podría afectar significativamente la seguridad nacional, la vida de los ciudadanos o el interés público.
Contenido de la Ley de Ciberseguridad de China
La Ley de Ciberseguridad de China establece las siguientes obligaciones:
- Establecimiento de niveles de ciberseguridad
- Conformidad con los estándares obligatorios del país
- Requerimiento de registro con nombre real
- Obligaciones para los operadores de infraestructuras críticas de información
- Construcción de un sistema de gestión y respuesta
A continuación, explicaremos cada uno de estos puntos en detalle.
Establecimiento de niveles de ciberseguridad
El Artículo 21 de la Ley de Ciberseguridad de China establece un “sistema de protección de niveles” que los operadores de redes deben cumplir, y las empresas u organizaciones que poseen redes dentro de China deben obtener la certificación de protección de nivel.
El sistema de protección de niveles es un sistema oficial de evaluación para la gestión de la seguridad de la red. Los ámbitos que se incluyen en este sistema son los siguientes:
- Infraestructura de red
- IoT (Internet de las Cosas)
- Sistemas de control industrial
- Sitios de internet de gran escala y centros de datos
- Plataformas de servicios públicos
En el sistema de protección de niveles, los sistemas de información se clasifican en cinco niveles según el alcance del impacto y la magnitud del daño en caso de que se produzca un daño.
Grado de daño sufrido por el objeto | |||
Daño general | Daño grave | Daño especialmente grave | |
Ciudadanos y corporaciones, etc. | Primer nivel | Segundo nivel | Tercer nivel |
Orden social y bien público | Segundo nivel | Tercer nivel | Cuarto nivel |
Seguridad nacional | Tercer nivel | Cuarto nivel | Quinto nivel |
Además, las definiciones de cada nivel son las siguientes:
Nivel | Definición |
Primer nivel | Red general que, en caso de ser destruida, afectaría los derechos e intereses legítimos de los ciudadanos, corporaciones y otras organizaciones, pero no tendría impacto en la seguridad nacional, el orden social o el bien público. |
Segundo nivel | Red general que, en caso de ser destruida, causaría daños graves a los derechos e intereses legítimos de los ciudadanos, corporaciones y otras organizaciones, o perjudicaría el orden social y el bien público, pero no afectaría la seguridad nacional. |
Tercer nivel | Red importante que, en caso de ser destruida, provocaría daños muy graves a los derechos e intereses legítimos de los ciudadanos, corporaciones y otras organizaciones, o pondría en peligro la seguridad nacional. |
Cuarto nivel | Red especialmente importante que, en caso de ser destruida, causaría un daño significativo al orden social y al bien público, o un daño muy importante a la seguridad nacional. |
Quinto nivel | Red extremadamente importante que, en caso de ser destruida, provocaría un daño extremadamente grave a la seguridad nacional. |
Para cada clasificación, se establecen estándares de seguridad de la información que deben cumplirse. Es común que a los operadores de redes se les aplique un nivel de segundo grado o superior, y a los operadores de infraestructuras de información crítica, un nivel de tercer grado o superior.
Para obtener un nivel, los operadores deben presentar una solicitud de autoevaluación a las autoridades, pero al final es necesario obtener la aprobación del Ministerio de Seguridad Pública. Además, el sistema de protección de niveles requiere que los niveles de segundo grado o superior sean evaluados por una institución evaluadora. Es importante tener en cuenta que se pueden aplicar multas por incumplimiento del sistema de protección de niveles.
Conformidad con los estándares obligatorios del país
Los proveedores de productos y servicios de Internet deben cumplir con los estándares obligatorios del país (Artículo 22). Los proveedores no deben instalar programas maliciosos.
Además, si descubren defectos, vulnerabilidades u otros riesgos en sus productos o servicios, deben tomar medidas inmediatas, notificar a los usuarios y reportar a las autoridades competentes sin demora.
En septiembre de 2021 (Reiwa 3), se implementaron las “Regulaciones de Gestión de Vulnerabilidades de Seguridad de Productos de Internet (网络产品安全漏洞管理规定)” dirigidas a los operadores de redes. Por lo tanto, es necesario referirse a estas regulaciones y actuar en consecuencia.
Se requiere registro con nombre real
Cuando se proporcionan servicios de conexión a redes, procedimientos de conexión para teléfonos fijos y móviles, servicios de compartición de información, servicios de mensajería instantánea, entre otros, a los usuarios, se exige que estos se registren con su nombre real. Si el usuario no realiza el registro con su nombre real, no se le debe proporcionar el servicio.
Además, los operadores de redes tienen la obligación de revisar que la información transmitida por los usuarios no infrinja las leyes.
Obligaciones para los operadores de infraestructuras críticas de información
Los operadores de infraestructuras críticas de información no solo deben implementar medidas de seguridad impuestas a los operadores de redes, sino que también se requiere que adopten las siguientes medidas:
- Realizar copias de seguridad periódicas de sistemas y bases de datos
- Elaborar un plan de respuesta ante incidentes de seguridad
- Evaluación anual de seguridad
- Localización de datos
Localización de datos: proceso de almacenar y procesar datos dentro de las fronteras del país donde se generaron.
La “Japanese Ordinance on the Security Protection of Critical Information Infrastructure” (Ordenanza sobre la Protección de la Seguridad de las Infraestructuras Críticas de Información), que entró en vigor en septiembre de 2021 (Reiwa 3), establece de manera más concreta la gestión, certificación y obligaciones de los operadores de dichas infraestructuras, por lo que es necesario también consultar esta normativa.
Construcción de un Sistema de Gestión y Respuesta
A los operadores de redes se les exige cumplir con lo siguiente (Artículo 21):
- Establecimiento de un sistema de gestión de seguridad y procedimientos operativos
- Designación de un responsable de seguridad de la red
- Elaboración de un plan de respuesta y medidas técnicas frente a incidentes de seguridad
- Implementación de tecnologías de monitoreo de la red y conservación de registros (por lo menos durante 6 meses)
- Clasificación de datos y medidas de protección como respaldo y cifrado de datos críticos
Disposiciones en caso de incumplimiento de la Ley de Ciberseguridad
Si se incumplen los requisitos de seguridad exigidos por el sistema de protección de niveles, se emitirán órdenes de corrección y advertencias. Si se rechaza la orden o se amenaza la seguridad de la red, se deberá pagar una multa de más de 10,000 yuanes pero menos de 100,000 yuanes. Además, al responsable directo se le impondrá una multa de más de 5,000 yuanes y menos de 50,000 yuanes.
Asimismo, se emitirán órdenes de corrección y advertencias si se instalan programas maliciosos o si no se toman medidas ante riesgos como defectos en productos o servicios y vulnerabilidades de seguridad. Si se rechazan estas órdenes, se incurre en la obligación de pagar una multa.
La cantidad de la multa varía según la naturaleza de la infracción, y se puede ordenar el cierre de sitios web, la revocación de permisos de operación o la suspensión de actividades comerciales, por lo que es necesario prestar atención. En el pasado, ha habido casos en los que se impusieron multas por infracciones y se prohibió de por vida al personal responsable trabajar en el mismo sector, lo que demuestra que las medidas de ciberseguridad son indispensables.
Medidas que las empresas japonesas deben tomar frente a la ley de ciberseguridad
La ley de ciberseguridad de China es compleja y puede que no se sepa por dónde empezar. Aquí explicaremos las medidas que deben tomar las empresas japonesas.
Establecer un sistema de colaboración con los departamentos de sistemas de información y los relacionados con la transformación digital (DX)
Para cumplir con la ley de ciberseguridad china, es necesario desarrollar procesos operativos y formular o añadir regulaciones de gestión de información personal. Además, para cumplir con el sistema de protección de clasificación, son imprescindibles medidas técnicas para los sistemas propios de la empresa.
No basta con que los departamentos legales y de administración respondan individualmente, sino que es necesario establecer un sistema de colaboración con los departamentos de sistemas de información y los relacionados con la transformación digital (DX).
Determinar a qué nivel de clasificación corresponden los sistemas propios de la empresa
Primero, se determina el nivel de clasificación de los sistemas propios de la empresa. Según ese nivel, cada departamento debe actuar de acuerdo con la ciberseguridad. Los departamentos legales, de administración y de gestión de riesgos deben revisar y modificar las regulaciones y operaciones para cumplir con la ley, mientras que los departamentos de sistemas de información y relacionados con la transformación digital (DX) deben abordar los aspectos técnicos. A continuación, explicaremos cada una de estas respuestas.
Departamentos legales, de administración y de gestión de riesgos
Se comparan los elementos definidos en la clasificación con la situación actual de gestión y el sistema de seguridad de la información de la empresa, revisando y añadiendo regulaciones y sistemas operativos. Luego, se considera cómo responder y se lleva a cabo el desarrollo y la modificación de sistemas.
Si el nivel de clasificación es de segundo grado o superior, también se debe notificar a las autoridades. Si la empresa se considera operadora de infraestructuras críticas de información, se requerirá la certificación de protección de clasificación de tercer grado o superior. Además, se deben realizar otras acciones como cumplir con las regulaciones de localización de datos, proporcionar educación y entrenamiento técnico en seguridad de la información a los empleados, entre otras. Si existe la posibilidad de que la empresa sea considerada operadora de infraestructuras críticas de información, es recomendable consultar con un abogado asesor y establecer una política de respuesta.
En China, se han implementado una serie de sistemas relacionados con la seguridad en los últimos años. Por lo tanto, el departamento de gestión de riesgos necesitará adaptarse a las nuevas regulaciones.
Departamentos de sistemas de información y relacionados con la transformación digital (DX)
Los departamentos de sistemas de información y relacionados con la transformación digital (DX) deben implementar medidas de protección de seguridad acordes con el nivel de clasificación. Primero, se revisan las medidas de protección de seguridad de los sistemas existentes de la empresa y, si hay deficiencias, se integran sistemas acordes con la ley de ciberseguridad.
Además de la ley de ciberseguridad, también es necesario abordar regulaciones de localización de datos, restricciones transfronterizas y acceso gubernamental. Es necesario comprender qué datos se están transfiriendo fuera de China y revisar la situación de adquisición y almacenamiento de datos de la empresa.
La ley de ciberseguridad requiere no solo la revisión de regulaciones sino también la implementación de medidas de protección técnicas, por lo que la colaboración entre los departamentos correspondientes es esencial.
Resumen: Si tiene problemas con la respuesta de su empresa, consulte a un experto
La Ley de Ciberseguridad de China es un sistema creado para la seguridad nacional del país. Para cumplir con la Ley de Ciberseguridad, no solo es necesario revisar las regulaciones a través de los departamentos legales y administrativos, sino también implementar medidas de protección técnica.
Desde la implementación de la Ley de Ciberseguridad, se han establecido sucesivamente leyes relacionadas con el cumplimiento de datos, como las “Regulaciones de Gestión de Vulnerabilidades de Seguridad de Productos de Internet” y el “Método de Revisión de Ciberseguridad (un sistema que concretiza el régimen de revisión de seguridad nacional)”. Es necesario prestar atención, ya que violar estas leyes puede resultar en sanciones administrativas como multas, cierre de sitios web o anulación de permisos de operación. Si está desarrollando negocios en China o planea hacerlo en el futuro, se recomienda consultar con un abogado familiarizado con las leyes chinas.
Presentación de las medidas de nuestra firma
Monolith Law Office es un despacho de abogados especializado en IT, Internet y negocios. Hemos manejado casos en diversos países del mundo, incluyendo China, Estados Unidos y los países de la Unión Europea. Al expandir negocios en el extranjero, se enfrentan numerosos riesgos legales, por lo que el apoyo de abogados con experiencia es indispensable. Nuestra firma está profundamente familiarizada con las leyes y regulaciones locales y colabora con despachos de abogados de todo el mundo.
Áreas de práctica de Monolith Law Office: Asuntos legales internacionales y negocios en el extranjero[ja]