Explicación de la gran reforma de la "Ley de Seguridad de Redes" de China: ¿Cómo deben las empresas responder al fortalecimiento de sanciones y la expansión de la aplicación extraterritorial?

La “Ley de Seguridad de Redes de la República Popular China” (conocida como la Ley de Ciberseguridad, en chino: 中华人民共和国网络安全法), que es el núcleo de las regulaciones de ciberseguridad en China, ha llegado a un punto de inflexión significativo. El 28 de octubre de 2025, el Comité Permanente de la Asamblea Popular Nacional anunció la enmienda de esta ley, la cual entrará en vigor el 1 de enero de 2026.

Desde su implementación en 2017, esta es la primera gran revisión de la ley, y va más allá de simples modificaciones de artículos. Además de un fortalecimiento significativo de las responsabilidades legales, se incluyen respuestas a nuevas tecnologías como la inteligencia artificial (IA) y la expansión de la aplicación extraterritorial de la ley. Estos son aspectos cruciales que las empresas japonesas que operan en China no pueden ignorar.

En este artículo, organizamos el trasfondo de esta gran revisión de la Ley de Seguridad de Redes, los detalles específicos de las enmiendas y las respuestas prácticas que se requieren de las empresas japonesas.

Antecedentes de la Gran Reforma de la “Ley de Seguridad de Redes” (Ley de Ciberseguridad)

La Ley de Seguridad de Redes de China, junto con la “Ley de Seguridad de Datos” y la “Ley de Protección de Información Personal”, constituye la ley básica que sirve como punto de partida para la gobernanza en el ámbito cibernético, conocida como las “Tres Leyes de Datos de China”.

Existen dos factores principales detrás de la reforma actual. Uno es la respuesta a los nuevos riesgos que surgen con el rápido desarrollo de la economía digital.

La rápida difusión de tecnologías de inteligencia artificial, como la IA generativa, ha puesto de manifiesto desafíos que no se habían previsto completamente en los sistemas legales tradicionales, como la seguridad de los algoritmos, la legalidad de los datos de entrenamiento y las normas éticas de la IA. Se requería establecer un marco para gestionar legalmente estos aspectos.

Además, han aumentado las amenazas como las intrusiones en redes, los ciberataques y la difusión de información ilegal, lo que ha hecho necesario fortalecer la responsabilidad legal para aumentar el efecto disuasorio.

Otro factor es la relación con la estrategia nacional de China. Bajo la construcción de una “potencia cibernética” y la “visión integral de la seguridad nacional” que promueve China, se ha avanzado en el desarrollo de sistemas legales relacionados para proteger la soberanía y la seguridad en el ciberespacio.

Además, se consideraba un problema que las sanciones en la ley anterior fueran relativamente leves y que hubiera diferencias en los criterios de sanción en comparación con la Ley de Seguridad de Datos y la Ley de Protección de Información Personal, que se promulgaron posteriormente. La reforma actual busca fortalecer la coordinación de estas “Tres Leyes de Datos” y aumentar la uniformidad y rigor en la aplicación de la ley.

Asimismo, teniendo en cuenta la situación internacional reciente, se ha clarificado y ampliado el alcance de la aplicación extraterritorial de la ley como respuesta a ataques desde fuera de China y actos que amenazan la seguridad nacional. Esto permite imponer medidas sancionadoras a organizaciones e individuos fuera del país.

Puntos Clave de la Reforma de la “Ley de Seguridad de Redes” en Japón

La nueva ley resultante de esta reforma no solo hereda las obligaciones sustantivas de la ley anterior, sino que también introduce y modifica varios aspectos importantes.

Establecimiento de Directrices Básicas y Regulaciones sobre Inteligencia Artificial (IA)

En la nueva ley, se ha formalizado la adhesión a la dirección del Partido Comunista Chino en las operaciones de ciberseguridad, implementando la “visión integral de la seguridad nacional”.

Además, esta reforma incorpora por primera vez de manera sistemática políticas relacionadas con la IA en el cuerpo principal de la ley de ciberseguridad. Mientras el gobierno apoya la investigación y desarrollo de teorías básicas y algoritmos de IA, también se refuerza la supervisión de riesgos, la supervisión de seguridad y el establecimiento de normas éticas, con el objetivo de mejorar el nivel de ciberseguridad utilizando nuevas tecnologías.

Fortalecimiento de las Obligaciones de Protección de Seguridad y Coordinación con la Legislación de Protección de Datos Personales

Los operadores de redes tienen la obligación de garantizar la seguridad de la red cumpliendo con el sistema de protección por niveles, que incluye el establecimiento de un sistema de gestión interna, la clarificación de responsabilidades y la implementación de medidas técnicas.

La reforma aclara que, al manejar información personal, es necesario cumplir no solo con la Ley de Seguridad de Redes, sino también con el Código Civil y la Ley de Protección de Datos Personales, entre otras regulaciones.

Esto refuerza la coherencia de los sistemas legales relacionados y exige una respuesta de cumplimiento más integrada.

Garantía de Seguridad de Productos y Servicios de Redes

La ley enfatiza la seguridad de la cadena de suministro de equipos importantes y productos especializados. Está estrictamente prohibida la venta o provisión de equipos importantes de red que no hayan pasado por certificación o inspección de seguridad, o que no hayan aprobado dichas inspecciones.

En caso de violación, se pueden imponer sanciones como la suspensión de ventas, la confiscación de ingresos ilegales y multas significativas.

Fortalecimiento Significativo de la Responsabilidad Legal (Sanciones)

Una de las características más destacadas de esta reforma es la introducción de un sistema de sanciones escalonadas según la gravedad del daño y el aumento general del nivel de multas.

Multas para Operadores de Redes

La nueva ley permite imponer multas directamente junto con órdenes de corrección por violaciones de las obligaciones de protección de seguridad (en la ley anterior, a veces solo se emitían recomendaciones de corrección). Las multas por negarse a corregir o por causar daño oscilan entre 50,000 yuanes y 500,000 yuanes (aumentando el límite superior de 100,000 yuanes de la ley anterior).

Además, como nueva disposición de sanciones agravadas introducida en esta reforma, si se produce un daño significativo como una fuga masiva de datos o la pérdida parcial de funciones de infraestructuras críticas de información, se impondrán multas de entre 500,000 yuanes y 2,000,000 yuanes. En caso de daños especialmente graves, como la pérdida de funciones principales de infraestructuras críticas de información, las multas oscilarán entre 2,000,000 yuanes y 10,000,000 yuanes.

Multas para Individuos (Responsables Directos)

La responsabilidad de los individuos encargados en las empresas también se ha intensificado. Según el grado de daño, en caso de daño significativo, se impondrán multas de entre 50,000 yuanes y 200,000 yuanes a los responsables directos y otros responsables directos. En caso de daño especialmente grave, las multas oscilarán entre 200,000 yuanes y 1,000,000 yuanes. Además, se ha especificado que, además de los “responsables principales”, los “otros responsables directos” también están sujetos a sanciones.

Otras Medidas de Sanción

Además de las multas, se pueden imponer sanciones administrativas severas como la suspensión temporal de operaciones, el cese y reorganización de negocios, el cierre de sitios web o aplicaciones, y la revocación de licencias comerciales, dependiendo de las circunstancias. En caso de daño especialmente grave, estas medidas se impondrán obligatoriamente.

Ampliación del Alcance de Aplicación Extraterritorial

En la ley anterior, la aplicación extraterritorial se limitaba a actividades que amenazaban infraestructuras críticas de información (CII) en China. Sin embargo, la nueva ley incluye a instituciones, organizaciones e individuos extranjeros que participan en actividades que amenazan la seguridad de redes en general en China. En caso de resultados graves, las autoridades chinas pueden decidir medidas de sanción como la congelación de activos.

Respuesta de las Empresas a la Reforma de la “Ley de Seguridad de Redes” en Japón

Con la implementación de la nueva ley, las empresas que operan en China deben revisar fundamentalmente sus sistemas actuales y establecer una gobernanza más estricta.

Revisión y Fortalecimiento del Sistema de Gestión de Seguridad Interna

Las empresas deben verificar si su red está protegida adecuadamente bajo el sistema de protección de clasificación de ciberseguridad.

Clarificación de Responsabilidades

Es esencial definir claramente al responsable de la seguridad de la red y plasmar sus poderes y obligaciones en las regulaciones internas. Dado que la nueva ley ha incrementado significativamente las multas personales, la educación y el apoyo en el desempeño de las funciones del responsable están directamente relacionados con la reducción del riesgo legal de la empresa.

Implementación Exhaustiva de Medidas Técnicas

Se deben tomar medidas técnicas para prevenir virus informáticos y ataques cibernéticos, y conservar los registros durante más de seis meses. Además, se requiere verificar si la clasificación de datos, la copia de seguridad de datos importantes y las medidas de encriptación cumplen con los estándares técnicos más recientes.

Cumplimiento de la Cadena de Suministro

Es necesario gestionar estrictamente si los equipos de red importantes o productos específicos utilizados o vendidos por la empresa han pasado la certificación de seguridad y las inspecciones aprobadas por las autoridades chinas.

Verificación en el Momento de la Adquisición

Las empresas que operan como operadores de CII, al adquirir productos o servicios de red que puedan afectar la seguridad nacional, deben aprobar una revisión de seguridad nacional.

Acuerdo de Confidencialidad

Es obligatorio firmar un acuerdo con los proveedores sobre seguridad y confidencialidad, clarificando el alcance de las responsabilidades.

Establecimiento de un Sistema de Respuesta y Reporte de Incidentes

Se requiere desarrollar un plan de respuesta de emergencia (manual) para incidentes de seguridad y realizar entrenamientos periódicos. En caso de un incidente, es necesario implementar medidas de remediación de inmediato y establecer un flujo para reportar a las autoridades sin demora.

Evaluación de Seguridad al Introducir Nuevas Tecnologías (IA)

Al introducir IA en las operaciones, se debe considerar la seguridad de los algoritmos y su conformidad con las normas éticas. La ley promueve el desarrollo saludable de la IA mientras refuerza la vigilancia de riesgos, por lo que es crucial estar atentos a las futuras regulaciones de supervisión y gestión, y tomar medidas proactivas.

Gestión de la Transferencia Transfronteriza de Datos

Para la provisión de datos importantes o información personal al extranjero, es necesario realizar evaluaciones de seguridad, certificaciones y firmar contratos estándar de acuerdo con la Ley de Seguridad de Datos y la Ley de Protección de Información Personal. La ley enfatiza la colaboración con estas otras leyes, por lo que es urgente establecer un sistema de gestión de datos unificado.

Conclusión: Consulte a un abogado para cumplir con la Ley de Seguridad de Redes de China

La reciente enmienda a la Ley de Seguridad de Redes en China simboliza un cambio en la gobernanza digital del país, pasando de “orientación mediante recomendaciones correctivas” a “estricta aplicación de la ley con multas significativas”.

La multa máxima de 10 millones de yuanes puede tener un impacto considerable en la gestión de una empresa. Las empresas deben ahora más que nunca comprender con precisión las leyes y participar en decisiones de gestión cuidadosas.

Al mismo tiempo, es esencial organizar la relación con normativas subordinadas relacionadas, como el “Reglamento de Gestión de Seguridad de Datos de Redes”, que entró en vigor en enero de 2025 (Reiwa 7), y establecer un sistema de cumplimiento integral para continuar operando en el mercado chino.

Para abordar estos cambios legales, es crucial contar con el apoyo de abogados que no solo estén familiarizados con la ley, sino también con el negocio de TI.

Guía de Soluciones de Nuestra Firma

El despacho de abogados Monolith es una firma legal con amplia experiencia en IT, especialmente en Internet y leyes. En los últimos años, los negocios globales se han expandido cada vez más, y la necesidad de revisiones legales por parte de expertos ha aumentado significativamente. En nuestra firma, ofrecemos soluciones relacionadas con el derecho internacional bajo el sistema legal japonés.