Le aziende con attività in Cina potrebbero essere sottoposte a maggiori pressioni per rivedere e certificare i loro preparativi per la sicurezza informatica in base a un progetto di legge che dovrebbe essere applicato il prossimo anno.
Progetto di legge sulla sicurezza dei dati della Cina può anche richiedere alle aziende di rivelare dettagli sulla sicurezza della rete nelle loro operazioni al di fuori della Cina.
La Cina mira a proteggere quelli che definisce “dati importanti” che, se trapelati, potrebbero influenzare direttamente la sicurezza nazionale, la sicurezza economica, la stabilità sociale o la salute pubblica del paese.
La legge, pubblicata ieri dal Comitato permanente del Congresso nazionale del Popolo cinese, è intesa come la prima volta che la Cina ha tentato di esercitare autorità legale su società al di fuori della sua giurisdizione.
“La Cina sta considerando di consentire alla legge di avere un effetto extra-territoriale che non abbiamo mai visto prima”, ha detto Yan Luo, partner dello studio legale Covington& Burling a Pechino. “Vogliono contrastare l’effetto extraterritoriale della legge statunitense.”
Il progetto di legge è destinato a cambiare in modo significativo tra oggi e quando è finalmente emanata nel 2021.
Alle aziende con attività in Cina può già essere richiesto di avere le loro operazioni di cyber-sicurezza certificate da organismi di certificazione nominati dal governo.
Secondo la legge proposta, le imprese con attività in Cina possono anche essere invitati a rivelare i dettagli della loro sicurezza di rete all’estero, al fine di qualificarsi per un certificato.
Il progetto di legge darà agli enti governativi centrali e regionali cinesi poteri per definire quelli che considerano “dati importanti” per diverse regioni e industrie.
Le organizzazioni che elaborano questi dati saranno tenute a rispettare standard di sicurezza più elevati.
Le aziende possono essere multate
La polizia cinese avrà il potere di emettere multe di $150.000 sulle aziende che violano le leggi cinesi sulla cyber-sicurezza e potrebbero potenzialmente chiudere le organizzazioni che non rispettano.
Si prevede che la Cina vada oltre un audit tecnico sulla sicurezza informatica di un’azienda e consideri se, ad esempio, le aziende estere rispettino le sanzioni statunitensi che potrebbero danneggiare la sicurezza nazionale cinese.
“Non è solo una revisione tecnica di quali protezioni hai messo in atto, potrebbe essere elementi politici”, ha detto Luo.
Il progetto di legge include una disposizione che consente alla Cina di intraprendere azioni di ritorsione contro qualsiasi paese che agisce in modo discriminatorio nei confronti della Cina per il commercio o gli investimenti relativi ai dati.
Una clausola dice che le organizzazioni e gli individui al di fuori della Cina che conducono attività che possono danneggiare la sicurezza della Cina, la sicurezza nazionale o gli interessi pubblici possono anche essere soggetti al progetto di legge.
Non è chiaro come la Cina intraprenderebbe azioni esecutive contro un’organizzazione al di fuori dei suoi confini che si ritiene danneggi la sicurezza nazionale del paese.
Altre clausole impongono agli individui e alle organizzazioni di soddisfare le richieste di dati da parte delle forze dell’ordine quando richiesto per indagare su crimini o per motivi di sicurezza nazionale.
Quando le richieste di dati vengono fatte da governi stranieri a organizzazioni cinesi, la legge richiederà alla società cinese di segnalare la richiesta e chiedere l’approvazione di un regolatore cinese.
Una traduzione del testo dice: “Nella misura in cui la Cina partecipa a trattati internazionali che includono disposizioni per l’accesso ai dati da parte delle forze dell’ordine straniere, tali dati saranno divulgati in conformità con tali trattati.”
Il progetto di legge copre i dati che possono essere importanti per le industrie critiche, ma esclude i dati personali su individui, informazioni militari o segreti di stato.