Explicação da Grande Revisão da Lei de Segurança de Rede da China: Como as Empresas Devem Responder ao Reforço das Penalidades e à Expansão da Aplicação Extraterritorial?

A “Lei de Segurança de Rede da República Popular da China” (Lei de Cibersegurança, texto original em chinês: 中华人民共和国网络安全法), que é o núcleo das regulamentações de cibersegurança na China, atingiu um ponto de viragem significativo. Em 28 de outubro de 2025, o Comitê Permanente da Assembleia Popular Nacional anunciou a revisão desta lei, que entrará em vigor a partir de 1 de janeiro de 2026.

Desde a sua implementação em 2017, esta é a primeira grande revisão da lei, que vai além de meras alterações de artigos. Inclui um fortalecimento significativo das responsabilidades legais, a adaptação a novas tecnologias como a inteligência artificial (IA), e a expansão da aplicação extraterritorial da lei, incorporando conteúdos importantes que não podem ser ignorados pelas empresas japonesas que operam na China.

Este artigo organiza o contexto por trás desta grande revisão da Lei de Segurança de Rede, os detalhes específicos das alterações, e as medidas práticas que as empresas japonesas devem adotar.

Antecedentes da Grande Revisão da “Lei de Segurança de Redes” (Lei de Cibersegurança)

A Lei de Segurança de Redes da China é a lei básica que serve como ponto de partida para a governança no campo cibernético, juntamente com a “Lei de Segurança de Dados” e a “Lei de Proteção de Informações Pessoais”, conhecidas como as “Três Leis de Dados da China”.

Existem dois fatores principais por trás da revisão atual. Um deles é a resposta aos novos riscos decorrentes do rápido desenvolvimento da economia digital.

Com a rápida disseminação de tecnologias de inteligência artificial, como a IA generativa, surgiram desafios que não eram suficientemente previstos nos sistemas legais tradicionais, como a segurança dos algoritmos, a legalidade dos dados de treinamento e as normas éticas da IA. Era necessário estabelecer uma estrutura para gerenciar legalmente esses aspectos.

Além disso, as ameaças como invasões de redes, ataques cibernéticos e a disseminação de informações ilegais também aumentaram, sendo necessário fortalecer a responsabilidade legal para aumentar o efeito dissuasor contra essas ameaças.

Outro fator é a relação com a estratégia nacional da China. Sob a construção de uma “potência cibernética” e a “visão geral de segurança nacional” promovidas pela China, o desenvolvimento de sistemas legais relacionados para proteger a soberania e a segurança no ciberespaço tem avançado.

Além disso, a antiga lei tinha penalidades relativamente leves, e havia uma diferença nos critérios de punição em comparação com a Lei de Segurança de Dados e a Lei de Proteção de Informações Pessoais, que foram promulgadas posteriormente. A revisão atual visa fortalecer a coordenação dessas “Três Leis de Dados” e aumentar a uniformidade e rigor na aplicação da lei.

Ademais, considerando o cenário internacional recente, a extensão da aplicação extraterritorial da lei foi clarificada e ampliada como resposta a ataques do exterior e atos que ameaçam a segurança nacional. Isso possibilita a imposição de medidas sancionatórias contra organizações e indivíduos fora da China.

Pontos Principais da Revisão da “Lei de Segurança de Redes”

A nova lei resultante desta revisão não só herda as obrigações substanciais da lei anterior, mas também introduz e modifica vários aspectos importantes.

Estabelecimento de Diretrizes Básicas e Regulamentações sobre Inteligência Artificial (IA)

Na nova lei, está formalizado que as operações de cibersegurança devem manter a liderança do Partido Comunista Chinês e implementar a “Visão Geral de Segurança Nacional”.

Além disso, nesta revisão, pela primeira vez, políticas relacionadas à IA foram sistematicamente incorporadas à lei de cibersegurança. O governo apoia a pesquisa e desenvolvimento de teorias básicas e algoritmos de IA, enquanto fortalece a monitorização de riscos, supervisão de segurança e estabelecimento de normas éticas, visando melhorar o nível de cibersegurança através do uso de novas tecnologias.

Reforço das Obrigações de Proteção de Segurança e Coordenação com a Legislação de Proteção de Dados Pessoais

Os operadores de rede têm a obrigação de garantir a segurança da rede, cumprindo o sistema de proteção de classificação, que inclui o estabelecimento de sistemas de gestão interna, clarificação de responsáveis e implementação de medidas técnicas.

Com esta revisão, ficou novamente claro que, ao lidar com informações pessoais, é necessário seguir não apenas a Lei de Segurança de Redes, mas também as disposições do Código Civil e da Lei de Proteção de Dados Pessoais.

Isso fortalece a coerência dos sistemas legais relacionados e exige uma resposta de conformidade mais integrada.

Garantia de Segurança de Produtos e Serviços de Rede

A lei enfatiza a segurança da cadeia de fornecimento de equipamentos importantes e produtos dedicados. A venda ou fornecimento de equipamentos de rede importantes que não tenham sido submetidos a certificação de segurança ou inspeção, ou que não tenham passado na inspeção, é estritamente proibida.

Em caso de violação, além da suspensão das vendas e confisco de rendimentos ilegais, pode ser aplicada uma multa substancial.

Reforço Significativo da Responsabilidade Legal (Sanções)

Uma das características mais marcantes desta revisão é a introdução de um sistema de sanções graduais de acordo com a gravidade do dano e o aumento geral do nível das multas.

Multas para Operadores de Rede

Na nova lei, é possível impor multas diretamente em caso de violação das obrigações de proteção de segurança, juntamente com uma ordem de correção (na lei anterior, em alguns casos, apenas uma recomendação de correção era emitida). Se a correção for recusada ou se ocorrer dano, a multa varia entre 50.000 e 500.000 yuans (aumentada do limite anterior de 100.000 yuans).

Além disso, como uma nova disposição de punição agravada introduzida nesta revisão, se ocorrerem danos significativos, como vazamento massivo de dados ou perda parcial de função de infraestrutura crítica de informação, a multa varia entre 500.000 e 2.000.000 yuans. Se ocorrerem danos extremamente significativos, como a perda das principais funções da infraestrutura crítica de informação, a multa varia entre 2.000.000 e 10.000.000 yuans.

Multas para Indivíduos (Responsáveis Diretos)

A responsabilidade dos indivíduos responsáveis nas empresas também se tornou mais pesada. Dependendo do grau de dano, em caso de dano significativo, os gestores diretamente responsáveis e outros responsáveis diretos podem ser multados entre 50.000 e 200.000 yuans, e em caso de dano extremamente significativo, entre 200.000 e 1.000.000 yuans. Além dos “gestores” tradicionais, “outros responsáveis diretos” também foram claramente incluídos como alvos de punição.

Outras Medidas de Sanção

Além das multas, medidas administrativas severas, como suspensão temporária de operações, cessação e reorganização de negócios, fechamento de sites ou aplicativos, e revogação de licenças comerciais, podem ser aplicadas dependendo das circunstâncias. Em caso de dano extremamente significativo, essas medidas serão obrigatoriamente aplicadas.

Expansão do Alcance da Aplicação Extraterritorial

Na lei anterior, a aplicação extraterritorial estava limitada a atividades que ameaçavam a infraestrutura crítica de informação (CII) da China, mas a nova lei inclui agora instituições, organizações e indivíduos estrangeiros envolvidos em atividades que ameaçam a segurança geral da rede da China. Se resultarem em consequências graves, as autoridades chinesas podem decidir aplicar medidas de sanção, como congelamento de ativos.

Como as Empresas Devem Responder às Alterações na “Lei de Segurança de Redes” na China

Com a implementação da nova lei, as empresas que operam na China precisam reavaliar fundamentalmente suas estruturas atuais e estabelecer uma governança mais rigorosa.

Revisão e Fortalecimento do Sistema Interno de Gestão de Segurança

As empresas devem verificar se suas redes estão protegidas no nível adequado de acordo com o sistema de proteção de classificação de segurança cibernética.

Clareza de Responsabilidades

É essencial definir claramente um responsável pela segurança da rede e incorporar suas atribuições e deveres nos regulamentos internos da empresa. Dado que a nova lei aumentou significativamente as multas pessoais, a educação e o apoio ao desempenho das funções dos responsáveis estão diretamente ligados à redução dos riscos legais da empresa.

Implementação Rigorosa de Medidas Técnicas

É necessário adotar medidas técnicas para prevenir vírus de computador e ataques cibernéticos, além de armazenar logs por mais de seis meses. Também é preciso verificar se a classificação de dados, o backup de dados importantes e as medidas de criptografia estão em conformidade com os padrões técnicos mais recentes.

Conformidade Rigorosa na Cadeia de Suprimentos

É necessário gerenciar rigorosamente se os equipamentos de rede importantes ou produtos especializados usados ou vendidos pela empresa passaram pela certificação de segurança e inspeção aprovadas pelas autoridades chinesas.

Verificação Durante a Aquisição

Empresas que operam como operadores de Infraestrutura de Informação Crítica (CII) e que adquirem produtos ou serviços de rede que possam impactar a segurança nacional devem passar por uma revisão de segurança nacional.

Acordos de Confidencialidade

É obrigatório firmar acordos com os fornecedores sobre segurança e confidencialidade, esclarecendo o âmbito das responsabilidades.

Estabelecimento de Sistema de Resposta e Relato de Incidentes

É necessário desenvolver um plano de resposta de emergência (manual) para incidentes de segurança e realizar treinamentos regulares. Em caso de incidente, deve-se tomar medidas de remediação imediatamente e estabelecer um fluxo para relatar às autoridades sem demora.

Avaliação de Segurança na Introdução de Novas Tecnologias (IA)

Ao introduzir IA nas operações, é necessário considerar a segurança dos algoritmos e a conformidade com normas éticas. A lei promove o desenvolvimento saudável da IA, ao mesmo tempo que reforça a vigilância de riscos, exigindo atenção às futuras regulamentações de supervisão e uma resposta proativa.

Gestão da Transferência Transfronteiriça de Dados

Para a transferência de dados importantes ou informações pessoais para fora do país, é necessário realizar avaliações de segurança, certificações e firmar contratos padrão de acordo com a Lei de Segurança de Dados e a Lei de Proteção de Informações Pessoais. A lei enfatiza a coordenação com essas outras leis, tornando urgente a construção de um sistema de gestão de dados unificado.

Resumo: Consulte um Advogado para Cumprir a Lei de Segurança de Redes da China

A recente revisão da Lei de Segurança de Redes na China simboliza a transição da governança digital no país, passando de “orientação através de recomendações corretivas” para “aplicação rigorosa da lei com multas substanciais”.

O valor máximo da multa, que pode chegar a 10 milhões de yuans, é significativo o suficiente para impactar a gestão de uma empresa. As empresas precisam agora, mais do que nunca, de uma compreensão precisa das leis e de um envolvimento cuidadoso nas decisões de gestão.

Além disso, é essencial organizar a relação com normas subordinadas relacionadas, como o “Regulamento de Gestão de Segurança de Dados de Redes”, que entrou em vigor em janeiro de 2025, para estabelecer um sistema de conformidade em camadas. Isso é indispensável para continuar operando no mercado chinês.

Para lidar com essas revisões legais, é crucial utilizar o suporte de advogados que não só compreendem a legislação, mas também são versados em negócios de TI.

Orientações Sobre as Medidas do Nosso Escritório

O Escritório de Advocacia Monolith é uma firma com vasta experiência em TI, especialmente na Internet e no direito. Nos últimos anos, o negócio global tem se expandido cada vez mais, aumentando a necessidade de verificações legais por especialistas. No nosso escritório, oferecemos soluções relacionadas ao direito internacional no contexto japonês.