Las empresas con operaciones en China podrían verse sometidas a una mayor presión para que sus preparativos de seguridad cibernética se revisen y certifiquen según un proyecto de ley que se espera que se aplique el próximo año.
El borrador de la ley de seguridad de datos de China también puede requerir que las empresas revelen detalles sobre la seguridad de la red en sus operaciones fuera de China.
China tiene como objetivo proteger lo que denomina «datos importantes» que, si se filtran, pueden afectar directamente a la seguridad nacional, la seguridad económica, la estabilidad social o la salud pública del país.
Se entiende que la ley, publicada ayer por el Comité Permanente del Congreso Popular Nacional de China, es la primera vez que China ha intentado ejercer autoridad legal sobre empresas fuera de su jurisdicción.
«China está considerando permitir que la ley tenga un efecto extraterritorial que no hemos visto antes», dijo Yan Luo, socio del bufete de abogados Covington & Burling en Beijing. «Quieren contrarrestar el efecto extraterritorial de la ley estadounidense.»
Es probable que el proyecto de ley cambie significativamente entre ahora y cuando finalmente se promulgue en 2021.
A las empresas con operaciones en China ya se les puede exigir que sus operaciones de ciberseguridad estén certificadas por organismos de certificación designados por el gobierno.
En virtud de la ley propuesta, también se puede pedir a las empresas con operaciones en China que revelen detalles de su seguridad de red en el extranjero para calificar para un certificado.
El proyecto de ley otorgará a los organismos gubernamentales centrales y regionales chinos poderes para definir lo que consideran «datos importantes» para diferentes regiones e industrias.
Las organizaciones que procesen estos datos deberán cumplir con estándares de seguridad más altos.
Las empresas pueden ser multadas
La policía china tendrá poderes para emitir multas de $150,000 a las empresas que violen las leyes chinas de ciberseguridad y potencialmente cierren organizaciones que no cumplan.
Se espera que China vaya más allá de una auditoría técnica de la seguridad cibernética de una empresa y considere si, por ejemplo, las empresas extranjeras están cumpliendo con las sanciones estadounidenses que podrían dañar la seguridad nacional de China.
«No es solo una revisión técnica de las protecciones que ha implementado, podrían ser elementos políticos», dijo Luo.
El proyecto de ley incluye una disposición que permite a China tomar medidas de represalia contra cualquier país que actúe de manera discriminatoria contra China en relación con el comercio o la inversión relacionados con los datos.
Una cláusula dice que las organizaciones e individuos fuera de China que realicen actividades que puedan dañar la seguridad, la seguridad nacional o los intereses públicos de China también pueden estar sujetos al proyecto de ley.
No está claro cómo China tomaría medidas coercitivas contra una organización fuera de sus fronteras que se considera que está dañando la seguridad nacional del país.
Otras cláusulas requieren que las personas y organizaciones cumplan con las solicitudes de datos de los organismos encargados de hacer cumplir la ley cuando se les requiera investigar delitos o por razones de seguridad nacional.
Cuando las solicitudes de datos son realizadas por gobiernos extranjeros a organizaciones chinas, la ley requerirá que la empresa china informe la solicitud y solicite la aprobación de un regulador chino.
Una traducción del texto dice: «En la medida en que China participe en tratados internacionales que incluyan disposiciones para el acceso de las fuerzas de seguridad extranjeras a los datos, esos datos se divulgarán de conformidad con dichos tratados.»
El proyecto de ley cubre datos que pueden ser importantes para industrias críticas, pero excluye datos personales sobre individuos, información militar o secretos de Estado.