El gobierno chino lleva varios años trabajando en un programa integral de seguridad/vigilancia de Internet. Este programa se basa en la Ley de Ciberseguridad adoptada en 2016. El plan es vasto e incluye una serie de leyes y reglamentos subsidiarios. El 1 de diciembre de 2018, el Ministerio de Seguridad Pública chino anunció que finalmente pondrá en marcha el plan completo.
El núcleo del plan consiste en que el Ministerio de Seguridad chino tenga pleno acceso a las ingentes cantidades de datos brutos transmitidos a través de las redes chinas y alojados en servidores de China. Como los datos brutos tienen poco valor, la clave del éxito del Ministerio estará en procesarlos. Viendo que esta es la cuestión clave, el Ministerio ha nombrado a Wang Yingwei nuevo jefe de la Oficina de Ciberseguridad. Wang es un reputado experto en "big data" y se encargará de dar sentido a los datos brutos que se recopilarán con el nuevo sistema.
El plan para el nuevo sistema es ambicioso y exhaustivo. Como explicó Guo Qiquan, el principal animador del plan, el principal objetivo del nuevo sistema es proporcionar una "cobertura total". Según explicó Guo, "abarcará todos los distritos, ministerios, empresas y otras instituciones, cubriendo básicamente a toda la sociedad. También cubrirá todos los objetivos que necesiten protección [de ciberseguridad], incluidas todas las redes, sistemas de información, plataformas en la nube, internet de las cosas, sistemas de control, big data e internet móvil".
Este sistema se aplicará a las empresas de propiedad extranjera en China en las mismas condiciones que a todas las personas, entidades o individuos chinos. Ninguna información contenida en un servidor situado en China quedará exenta de este programa de cobertura total. Ninguna comunicación desde o hacia China estará exenta. No habrá secretos. No habrá VPN. Ni mensajes privados o cifrados. Ni cuentas anónimas en línea. No habrá secretos comerciales. Ni datos confidenciales. Todos y cada uno de los datos estarán disponibles y abiertos al gobierno chino. Dado que el gobierno chino es el accionista de todas las empresas estatales y ahora también ejerce un control de facto sobre las principales empresas privadas de China, toda esta información estará disponible para esas empresas estatales y empresas chinas. Véase, por ejemplo,China colocará a funcionarios del Gobierno dentro de 100 empresas privadas, incluida Alibaba. Toda esta información estará disponible para el ejército chino y los institutos de investigación militar. Los chinos están dejando muy claro que este es su plan.
En el pasado, las empresas de propiedad extranjera en China podían evitar generalmente el impacto de este tipo de sistema de dos maneras. Lo hacían principalmente estableciendo servidores de Internet VPN en sus propias oficinas. Estos servidores utilizaban tecnologías VPN para aislar los datos de las redes controladas por China, lo que permitía el uso de una intranet de la empresa que mantenía el secreto de los correos electrónicos y los datos almacenados en los servidores de la empresa en China. A medida que ha avanzado la computación en nube, las empresas de propiedad extranjera suelen utilizar las mismas tecnologías VPN para aislar sus servidores basados en la nube del sistema controlado por China. Aunque las autoridades chinas se quejaban a menudo de estos sistemas VPN, las empresas extranjeras solían alegar que su estatus especial de WFOE las eximía de los controles de datos chinos.
Sin embargo, con la puesta en marcha del nuevo sistema, todo eso cambiará. En primer lugar, la Ley de Ciberseguridad y las leyes y reglamentos conexos son muy claros en el sentido de que se aplican a todas las personas y entidades de China , independientemente de su titularidad o nacionalidad. No hay excepciones. Más importante aún, la nueva Ley de Inversión Extranjera que entra en vigor el 1 de enero de 2020 elimina cualquier estatus especial asociado con ser una WFOE u otra empresa de inversión extranjera. Las empresas de propiedad extranjera recibirán exactamente el mismo trato que las empresas de propiedad china. Ver China's New Foreign Investment Law Benefits: Like Putting Lipstick on a Pig. Esto significa que la Ley de Ciberseguridad se aplicará a las empresas de propiedad extranjera (WFOE, empresas conjuntas y oficinas de representación) exactamente igual que a las empresas y particulares de propiedad china. Las empresas extranjeras no podrán esconderse.
Esto significa que los sistemas VPN intraempresariales ya no serán autorizados en China por nadie, incluidas las empresas extranjeras. Esto significa, a su vez, que todo el correo electrónico y las transferencias de datos de las empresas deberán utilizar sistemas de comunicación operados en China que estén totalmente abiertos a la Oficina de Ciberseguridad de China. Todos los servidores de datos que utilicen redes de comunicación chinas también deberán estar abiertos al sistema de vigilancia y control de la Oficina de Ciberseguridad.
Es importante entender bien lo que esto significa. En virtud de la Ley de Ciberseguridad, el gobierno chino tiene derecho a obtener de cualquier persona o entidad en China cualquier información que el gobierno chino considere que tiene algún impacto en la seguridad china. El gobierno chino es consciente de que las empresas y particulares extranjeros se mostrarán reacios a entregar simplemente su información al gobierno chino cuando éste se lo pida. Por ese motivo, la Oficina de Ciberseguridad china no tiene previsto solicitar amablemente la información. La premisa fundamental de los nuevos sistemas de ciberseguridad es que el gobierno utilizará su control de las comunicaciones para simplemente tomar la información sin discutir el asunto con el usuario. Todos los datos estarán a disposición del gobierno chino.
Este sistema de acceso constante y omnipresente a los datos y de vigilancia de los mismos plantea un conflicto fundamental para las empresas estadounidenses y muchas extranjeras que operan en China, ya que la legislación estadounidense exige en muchos casos mantener en secreto gran parte de la información. Pero la legislación china exige ahora el acceso total del gobierno a esos secretos si éstos cruzan la frontera china por cualquier motivo. Este conflicto pone a muchas empresas estadounidenses y extranjeras que operan en China en un aprieto legal imposible. Incluyo a las empresas extranjeras porque las empresas extranjeras con filiales estadounidenses o incluso ciertos tipos de relaciones con empresas estadounidenses también se verán obligadas o al menos afectadas por estas leyes de confidencialidad estadounidenses.
En primer lugar, a medida que empieza a ampliarse el ámbito de lo que el gobierno estadounidense designa como información y tecnología controladas, aumentan las restricciones sobre lo que no puede transmitirse a través de la frontera china. Véase esta entrada sobre lo que probablemente constituirá una "tecnología emergente" restringida con arreglo a la legislación estadounidense. Las empresas estadounidenses solían adoptar la postura de que su información en China está en un servidor privado aislado del gobierno chino y si éste la solicita, "nos negaremos a cumplir". Este argumento ya no funcionará porque el gobierno chino ya no pedirá la información, simplemente la tomará sin pedir permiso.
En segundo lugar, gran parte de la propiedad intelectual está protegida como secreto comercial y no porque esté registrada como patente. De hecho, el valor de muchas patentes de EE.UU. radica en que respaldan conocimientos técnicos secretos comerciales. Los secretos comerciales son una forma de propiedad y, como tal, están protegidos por la legislación estadounidense. Sin embargo, la regla general para poder mantener algo como secreto comercial (en virtud de la legislación de EE.UU., China y la UE) es que el poseedor del secreto comercial debe tomar medidas razonables para mantener su secreto. Una vez que un secreto comercial ha sido revelado de forma intencionada o irrazonable por su poseedor, su protección como secreto comercial queda anulada. Esto da lugar al conflicto.
Con el nuevo sistema chino, los secretos comerciales no están permitidos. Esto significa que las empresas de EE.UU. y la UE que operan en China tendrán que asumir que cualquier "secreto" que intenten mantener en un servidor o red en China estará automáticamente a disposición del gobierno chino y, a continuación, de todos sus competidores controlados por el gobierno chino en China, incluido el ejército chino. Esto incluye llamadas telefónicas, correos electrónicos, mensajes de WeChat y cualquier otra forma de comunicación electrónica. Dado que ninguna empresa puede asumir razonablemente que sus secretos comerciales seguirán siendo secretos una vez transmitidos a China a través de una red controlada por China, corren un gran riesgo de que sus protecciones de secretos comerciales fuera de China también se evaporen.
La empresa estadounidense o de la UE puede tener un acuerdo ejecutable con el destinatario chino de su información confidencial. Por tanto, el secreto comercial está protegido con respecto a ese destinatario autorizado. Pero si el secreto está fácilmente a disposición del gobierno chino, no existe una verdadera protección del secreto comercial.
Al dar al gobierno chino y a sus compinches pleno acceso a sus datos, es muy posible que se considere que la empresa estadounidense o de la UE ha exportado ilegalmente tecnología a China y que se enfrente a multas millonarias e incluso a penas de cárcel para algunos de sus directivos y consejeros. Existe un conflicto inherente entre las leyes extranjeras que obligan a una empresa a no transferir su tecnología y las leyes chinas que, de hecho, obligan a esa transferencia.
Con el nuevo sistema de ciberseguridad chino, no habrá lugar donde esconderse.
9-30 Actualización. El New York Times publicahoy un artículo sobre "la visión del Partido Comunista de los negocios como medio de control".
