La Ley de Ciberseguridad de China
July 27, 2022 | 8 minutes read
La Ley de Ciberseguridad de China es una normativa de privacidad de datos que fue aprobada por el gobierno chino en 2017. Dado que China es el país más poblado del mundo y, a su vez, tiene la mayor presencia mundial en línea, la protección de los derechos de privacidad de los datos de los ciudadanos chinos es de suma importancia. La Ley de Ciberseguridad de China, que consta de 79 artículos divididos en 7 capítulos, tiene un alcance especialmente amplio. Dicha legislación contiene un marco global que abarca la regulación de la seguridad de internet, la protección de datos e información personal o sensible y el desarrollo de salvaguardas para la seguridad y la soberanía del ciberespacio. La Ley de Ciberseguridad de China es similar en alcance y función al marco de ciberseguridad adoptado por el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST).
Además, la Ley de Ciberseguridad de China hace hincapié en los requisitos específicos relativos a los servicios de red, productos, seguridad de la información y las operaciones, detección temprana, supervisión, respuesta a las emergencias y presentación de informes. Con respecto a la privacidad de datos, la ley es similar a otras leyes de protección de la privacidad de datos en todo el mundo que establecen requisitos y restricciones al procesamiento de datos e información personal. Además, la normativa ofrece una visión de cómo el gobierno chino planea manejar el flujo de datos personales e información a través de las fronteras internacionales.
¿Con qué requisitos deben cumplir los operadores de redes según la Ley de Ciberseguridad de China?
Según la Ley de Ciberseguridad de China los operadores de redes deben satisfacer los siguientes requisitos:
- El establecimiento de una política de seguridad y una caracterización de las operaciones, la utilización de tecnologías de protección de la red, la designación de personal de seguridad de la red, la clasificación de los datos, el cifrado, la conservación de un registro de funcionamiento de la red durante un período mínimo de seis meses y la supervisión y seguimiento tanto de los incidentes como de las actividades de la red.
- Tanto los proveedores de servicios como de productos de internet deben obtener la autorización de los ciudadanos chinos antes de recoger sus datos o información personal.
- Los proveedores de servicios de internet y de equipos de red deben cumplir con los requisitos específicos establecidos por el gobierno chino, así como obtener la certificación de un agente autorizado antes de vender cualquier producto o prestar servicios al público.
- Los operadores de redes están obligados a verificar la identidad de un cliente antes de prestarle cualquier tipo de servicio.
- Los operadores de redes están obligados a desarrollar y mantener un plan de respuesta a incidentes de ciberseguridad que aborde con prontitud y eficacia diversos riesgos como los ataques e intrusiones en la red, las posibles infecciones de virus y la vulnerabilidad del sistema.
- Los operadores de redes deben supervisar la ejecución de las evaluaciones de riesgo y la autentificación de ciberseguridad para asegurarse de que cumplan con todas las disposiciones legales pertinentes en China.
- Aunque no lo exige la ley, se anima a los operadores de redes a que realicen evaluaciones de ciberseguridad optimizadas, presenten informes periódicos y establezcan normas de ciberseguridad coherentes con los estándares del sector.
Asimismo, la Ley de Ciberseguridad de China establece varios requisitos relacionados con la seguridad de las operaciones de una Infraestructura de Información Crítica (CII). Dichas normativas son las siguientes:
- Las disposiciones de seguridad de las operaciones deben hacer hincapié en la protección de la ciberseguridad en el ámbito específico de los servicios de información y comunicación pública, conservación del agua, transporte, energía, servicios públicos, finanzas, administración electrónica y otros sectores y campos esenciales.
- Las disposiciones relativas a la seguridad de las operaciones deben definir claramente las funciones y las responsabilidades del encargado de planificar, orientar y supervisar las operaciones de seguridad de una CII.
- Las disposiciones de seguridad de las operaciones deben garantizar la continuidad y la estabilidad de las operaciones de una CII.
- Las disposiciones relativas a la seguridad de las operaciones deben permitir el establecimiento de un órgano de gestión de la seguridad comprometido, así como de un líder de gestión de la seguridad que pueda realizar verificaciones de seguridad a los antecedentes de los individuos en puestos clave. Estas disposiciones también deben permitir la comprobación periódica de la seguridad de la red, así como evaluar las habilidades de los empleados y proveer capacitación profesional a estos. Además, deben tomarse medidas para realizar copias de seguridad de todos los sistemas y datos críticos pertinentes en caso de desastre, así como, formularse planes de respuesta a emergencia durante incidentes de ciberseguridad. Estos últimos deben incluir la realización de simulacros periódicos.
- Las disposiciones de seguridad de las operaciones deben permitir que las CIIs conserven datos esenciales e información privada recogida o producida dentro de China. Los departamentos de información de la red estatal y los departamentos del Consejo de Estado chino correspondientes deben llevar a cabo evaluaciones de seguridad si dicha información necesita ser transmitida fuera de China.
- Las CIIs también deben realizar evaluaciones anuales de los riesgos de ciberseguridad. Estas evaluaciones pueden ser realizadas a lo interno por la propia CII o por un proveedor externo. Los informes de dichas evaluaciones, así como los planes de remediación deben hacerse llegar a todos los departamentos responsables de la protección de la seguridad en las CIIs.
- Los departamentos estatales de información de la red deben supervisar periódicamente los posibles riesgos de seguridad asociados con las CIIs, así como orientar a las CIIs la realización de simulacros y procedimientos de emergencia de seguridad de red. Además, deben promover el intercambio de seguridad de información de la red entre los departamentos correspondientes y proporcionar asistencia técnica y apoyo para la gestión de emergencias y recuperación de la seguridad de la red.
¿Cómo se define la información personal según la Ley de Ciberseguridad de China?
Según la Ley de Ciberseguridad de China, la información personal se define como “la información registrada por medios electrónicos o de otro tipo que puede utilizarse sola o en combinación con otra información para identificar a una persona, incluidos el nombre, la fecha de nacimiento, el número de documento de identidad, la información biométrica personal (como las huellas dactilares, el reconocimiento facial y el escáner de retina), la dirección, el número de teléfono y otros datos personales similares”. Bajo la ley, los proveedores de redes deben cumplir con los siguientes requisitos en relación con la protección de la información personal de los ciudadanos chinos:
- Los operadores de redes son responsables de crear y mantener un sistema o mecanismo de protección de la información privada que garantice la estricta confidencialidad de la información de los usuarios en todo momento.
- La recopilación y el uso de toda información privada deben cumplir con las leyes y reglamentos aplicables, como la Ley de Ciberseguridad de China. Esta información privada no puede recogerse sin el consentimiento del usuario y todas las leyes y normativas deben hacerse públicas. Los operadores de redes no pueden recopilar información personal que no esté relacionada con los servicios prestados.
- La Ley de Ciberseguridad de China prohíbe divulgar, dañar, manipular o compartir la información personal de un individuo sin su consentimiento. Además, deben tomarse medidas para garantizar la seguridad de la información privada en todo momento. Asimismo, deben aplicarse medidas de seguridad de emergencia en caso de pérdida de información privada. En tales circunstancias, deben enviarse notificaciones a todas las partes y usuarios pertinentes.
- En caso de que un usuario descubra que un determinado operador de redes ha violado alguna de las disposiciones de la Ley de Ciberseguridad de China, tiene derecho a solicitar que su información privada sea retirada de la posesión de dicho operador. Los usuarios también pueden solicitar que se corrija o actualice su información, si descubren errores en esta.
- Los operadores de redes son responsables de reforzar la gestión de toda la información que publican sus usuarios. Asimismo, deben aplicar medidas de seguridad inmediatas que prohíban la transmisión o publicación no autorizada de información inapropiada.
¿Cuáles son las sanciones por violar la Ley de Ciberseguridad de China?
Los operadores de redes que infrinjan la ley pueden enfrentarse a sanciones monetarias y a responsabilidades legales. Estas sanciones pueden aplicarse tanto a individuos como a entidades comerciales y empresas. Las sanciones monetarias por violación de la Ley de Ciberseguridad de China oscilan entre 5000 RMB (773,91 dólares) y 1000000 RMB (154 781 dólares). Por otra parte, las posibles consecuencias legales incluyen la suspensión de la licencia comercial de una organización o empresa, la revocación de dicha licencia comercial, la destitución de individuos de su cargo o función laboral y la responsabilidad penal.
Aunque la Ley de Ciberseguridad de China ha suscitado algunas críticas por parte de los medios de comunicación estadounidenses en relación con la ambigüedad en su naturaleza y ámbito de aplicación, no cabe duda de que dicha legislación proporciona a los ciudadanos chinos un nivel superior de protección en lo que respecta a su información personal. Dado que China es el país más poblado del mundo y, por extensión, el que más usuarios de internet tiene, leyes como esta son imperativas. Con dicha legislación, los ciudadanos chinos pueden estar seguros de que disponen de una vía de recurso con relación a la información personal que comparten con los operadores de redes a través de internet.