señal de hombre vigila a los peatones que cruzan una calle

El nuevo sistema de ciberseguridad de China: NO HAY DONDE ESCONDERSE

China Law Blog

señal de hombre vigila a los peatones que cruzan una calle

Nuestros abogados especializados en privacidad de datos en China han estado recibiendo un flujo constante de preguntas relacionadas con nuestro reciente post, El nuevo programa de ciberseguridad de China: NO Place to Hide, en relación con el despliegue por parte del gobierno chino de un nuevo sistema de vigilancia de los datos de las empresas.

Estas preguntas proceden de nuestros lectores, nuestros clientes y los medios de comunicación. La mayoría busca respuesta a las dos preguntas siguientes:

  1. En el post, me refería a una "puesta en marcha" de este nuevo sistema de vigilancia el 1 de diciembre de 2019 y la gente qué quiere saber exactamente qué se pondrá en marcha.
  2. En el post afirmé que el gobierno de la RPC tendrá acceso y podrá tomar la información que quiera. Se me pregunta si digo esto basándome en la legislación china escrita o en mi experiencia sobre el terreno con China.

Este post responde a ambas preguntas.

En primer lugar, el "programa" que se pondrá en marcha es el Esquema de Protección Multinivel de Ciberseguridad ("MLPS 2.0") y que está previsto que entre en vigor el 1 de diciembre de 2019. Este esquema establece los controles técnicos y organizativos que todas las empresas e individuos en China deben seguir para cumplir con las obligaciones de seguridad de Internet relacionadas con MLPS ordenadas por la Ley de Ciberseguridad de China. Todas las empresas y particulares deben cumplir las tres normas siguientes:

  1. GB/T 22239 - 2019 Tecnología de seguridad de la información - Línea de base para el esquema de protección multinivel.
  2. GB/T 25070 - 2019 Tecnología de seguridad de la información - Requisitos técnicos del diseño de seguridad para el esquema de protección multinivel.
  3. GB/T 28448 - 2019 Tecnología de seguridad de la información - Requisitos de evaluación para el esquema de protección multinivel.

Las versiones en chino de estas normas pueden consultarse aquí; no conocemos ninguna traducción al inglés de las mismas.

Mi archivo personal sobre las leyes y reglamentos relativos al sistema MLPS 2.0 consta de más de 800 páginas de chino muy técnico. Pero ni siquiera esta vasta documentación es suficiente para comprender plenamente el funcionamiento del sistema. Para comprenderlo por completo, también hay que tener en cuenta los objetivos de otros documentos clave de planificación del gobierno chino, como el programa nacional de inteligencia artificial, el programa Internet+, el sistema de crédito social para particulares y empresas (véaseEl nuevo sistema de seguimiento de empresas de China: cumplir, cumplir, cumplir), y varios otros programas de red/Internet/recopilación de datos y vigilancia que se están aplicando en China.

Cuando se examinan todos estos programas juntos, resulta evidente que el sistema MLPS 2.0 es el componente "hardware" de un amplio programa de recopilación de datos, vigilancia y control. El plan de China es crear un sistema que abarque todas las formas de actividad en red en China: Internet, telefonía móvil, redes sociales tipo WeChat, sistemas en la nube, correo electrónico nacional e internacional. El objetivo de China no es crear un sistema comercial en el que los actores individuales puedan participar y ganar dinero. Su objetivo es la vigilancia y el control por parte del gobierno de la RPC y el PCCh.

Para lograr estos objetivos, China está creando un sistema que persigue dos objetivos en última instancia contradictorios: el sistema estará cerrado contra la intrusión de "malos actores" (extranjeros y disidentes internos), pero será completamente transparente para el Ministerio de Seguridad Pública y otros organismos de seguridad en Internet del gobierno de la RPC y el PCCh. Transparencia para el Ministerio de Seguridad Pública significa lo que dice: No se permite ninguna tecnología que bloquee el acceso del Ministerio de Seguridad Pública. Ni VPN, ni cifrado, ni servidores privados. Si el Ministerio de Seguridad Pública se ve obligado a instalar puertas traseras u otros dispositivos o sistemas de interceptación de mensajes/datos para lograr un acceso total, entonces China Telecom y los ISP con sede en China estánobligados a cumplir. Pero como proporcionar acceso abierto al Ministerio de Seguridad Pública entra en conflicto directo con el objetivo de una seguridad reforzada frente a la intrusión, la forma de mediar entre estos objetivos contrapuestos es la principal razón de la extensión y complejidad de las normas MLPS 2.0.

En segundo lugar, la base jurídica que permite al Ministerio de Seguridad Pública de China acceder a redes y datos procede de una normativa no incluida en las normas MLPS 2.0. Como he señalado antes, para comprenderla plenamente es necesario reunir toda la normativa aplicable. Éste es sólo un ejemplo de ello. La normativa escrita que otorga al Ministerio de Seguridad Pública el derecho a "tomarla" sin más es el Reglamento sobre Supervisión e Inspección de la Seguridad en Internet por los Órganos de Seguridad Pública(公安机关互联网安全监督检查规定). Este reglamento fue promulgado el 15 de septiembre de 2018 y entró en vigor el 1 de noviembre de 2018. Mis referencias a este reglamento a continuación son a los artículos de la versión en chino publicada por el gobierno chino. Es importante basar los comentarios sobre el Reglamento en lo que realmente se adoptó, no en borradores de discusión anteriores que contenían disposiciones que no se adoptaron.

Como cuestión preliminar, una cuestión clave confirmada por el Reglamento sobre Supervisión e Inspección de la Seguridad en Internet por parte de los Órganos de Seguridad Pública es que el Ministerio de Seguridad Pública tiene la autoridad principal para asumir las tareas de ejecución de primera línea relacionadas con Internet y la seguridad de la red en China. Esto significa que MIIT (China Telecom), CAC, CNNIC y la sopa de letras de otros organismos chinos que pretendían desempeñar un papel en la administración de la ciberseguridad han sido apartados en favor del Ministerio de Seguridad Pública. Esto significa que de la aplicación de la ley se encargará la policía y no los burócratas locales. Esta decisión sobre la aplicación de la ley tiene un significado real para las empresas extranjeras que hacen negocios en China y para sus empleados extranjeros que viven y trabajan allí. Cuando un burócrata chino se presenta en su puerta para pedirle información, tal vez usted pueda enviarlo a paseo. Pero cuando dos o más policías uniformados se presentan en su puerta, no tiene más remedio que obedecer.

El Reglamento sobre Supervisión e Inspección de la Seguridad en Internet por los Órganos de Seguridad Pública prevé dos niveles de inspección de los servidores en red: inspección in situ y acceso remoto fuera de línea. Véase el artículo 13. Cuando se realiza una inspección in situ, deben estar presentes un mínimo de dos agentes de la policía local. Véase el artículo 14. Los agentes de policía estarán acompañados por personal de la administración local encargado de la seguridad en Internet. Si el personal de la agencia gubernamental local no es suficiente, el Ministerio de Seguridad Pública puede emplear a contratistas independientes para realizar el trabajo.

El equipo de inspección tiene acceso completo al sistema de red. La inspección puede abarcar tanto los aspectos técnicos del sistema de red como los datos/información conservados en los servidores. Véase el artículo 10. Los inspectores pueden acceder plenamente al sistema y se les permite copiar cualquier dato que encuentren. Véase el artículo 15. La única restricción para que los inspectores copien los datos del sistema de su empresa es que deben entregarle un recibo. Aunque el artículo 10 "restringe" el acceso a asuntos relacionados con la seguridad nacional, la definición de seguridad nacional en China es tan amplia que no hay ninguna limitación real sobre lo que se puede acceder, copiar y eliminar.

En los casos en que el Ministerio de Seguridad Pública determine que existe un problema de seguridad en Internet, tiene derecho a realizar una inspección de acceso remoto. cuyo alcance se establece en el artículo 10. Es necesario notificar previamente el acceso remoto. Hay dos cuestiones relacionadas con dicha notificación: En primer lugar, la finalidad de la notificación no es proteger los derechos de la parte inspeccionada. Más bien, el propósito de la notificación es garantizar que el servidor ha sido completamente abierto al acceso del Ministerio de Seguridad Pública. En segundo lugar, en el caso de los servidores mantenidos por un proveedor en nube, no está claro si la notificación se dirige únicamente al proveedor en nube o tanto al proveedor en nube como al cliente del proveedor en nube. Es decir, no está claro si el cliente de la nube recibirá alguna vez la notificación de que su servidor y sus datos fueron vistos y copiados por el Ministerio de Seguridad Pública. El tiempo lo dirá, pero creo que el cliente de la nube nunca lo sabrá a menos que su proveedor de la nube se lo diga.

Esta norma de acceso externo es difícil de gestionar. La estructura de las normas MLPS 2.0 sugiere que el Ministerio de Seguridad Pública tiene previsto trabajar con los proveedores de la nube y los proveedores de servicios gestionados para conseguir que instalen sistemas que permitan al Ministerio de Seguridad Pública un fácil acceso fuera del sitio en cualquier momento, sin necesidad de pasar por un procedimiento de acceso previo a la notificación incidente por incidente. Sin embargo, este tipo de sistema de acceso constante no está contemplado en el Reglamento. Sin embargo, incluso si se sigue estrictamente el Reglamento sobre supervisión e inspección de la seguridad en Internet por parte de los órganos de seguridad pública, no se puede eludir el hecho de que prevé que el Ministerio de Seguridad Pública de China tenga un acceso esencialmente ilimitado a todos los servidores y datos. Referirse a esto como "ciberseguridad" es fundamentalmente engañoso. Como dice el propio Reglamento, se trata de un régimen de inspección y control del Gobierno chino. Realmente no tiene nada que ver con la ciberseguridad tal y como se considera normalmente en el mundo de la Internet abierta.

La cuestión clave es entonces qué ocurre con los datos recopilados por el Ministerio de Seguridad Pública chino. Los datos de su empresa, por ejemplo. El Ministerio está autorizado a copiar y eliminar prácticamente cualquier información o dato que encuentre en los servidores que inspecciona. ¿Qué ocurre con la confidencialidad de esa información? El artículo 5 del Reglamento sobre Supervisión e Inspección de la Seguridad en Internet por los Órganos de Seguridad Pública aborda esta cuestión: "La información personal, la intimidad, los secretos comerciales y los secretos de Estado de que tengan conocimiento los órganos de seguridad pública y sus funcionarios en el cumplimiento de las funciones de supervisión e inspección de la seguridad en Internet se mantendrán estrictamente confidenciales y no se divulgarán, venderán ni facilitarán ilegalmente a terceros." Esta disposición debe leerse con atención porque establece una "confidencialidad con características chinas".

El punto clave es que el término "otros" no incluye ninguna agencia del gobierno chino o del PCCh. En otras palabras, no incluye las universidades y otros centros de investigación gestionados o controlados por el gobierno chino. Tampoco incluye al ejército chino ni a los fabricantes de armas chinos. Tampoco incluye las entidades estatales chinas. Aunque no está claro, es probable que el término "otros" tampoco incluya entidades nominalmente privadas controladas por los chinos. Véase, por ejemplo, Huawei.

Una vez más, ¿qué significa esta disposición de confidencialidad? Tal como se aplica en China, la norma de confidencialidad del artículo 5 pretende impedir que los funcionarios del Ministerio de Seguridad Pública hagan dos cosas: vender datos a empresas chinas o extranjeras para beneficio personal y, en segundo lugar, revelar datos a agentes extranjeros (espías). Esta norma no pretende impedir que el Ministerio comparta los datos que recopila con las personas con información privilegiada descritas anteriormente. De hecho, ese intercambio es obligatorio como parte de las necesidades de datos de todo el gobierno chino y del PCCh. El Ministerio de Seguridad Pública no puede acaparar los datos, sino que está obligado a difundirlos.

Este resultado nos lleva a la cuestión clave. La información confidencial alojada en cualquier servidor ubicado en China está sujeta a ser vista y copiada por el Ministerio de Seguridad Pública de China y esa información queda entonces abierta al acceso de todo el sistema gubernamental de la RPC. Pero el gobierno de la RPC es el accionista de las Entidades de Propiedad Estatal (SOE) que son las industrias clave en China. El gobierno de la RPC también controla esencialmente las empresas privadas clave en China como Huawei y ZTE y más recientemente Alibaba y Tencent y muchos otros. Ver China está enviando funcionarios del gobierno en empresas como Alibaba y Geely y China para colocar funcionarios del gobierno dentro de 100 empresas privadas, incluyendo Alibaba. El gobierno de la RPC también posee o controla toda la industria armamentística de China.

En pocas palabras, los datos que el Ministerio de Seguridad Pública obtenga de las empresas extranjeras estarán a disposición de los principales competidores de las empresas extranjeras, del sistema de I+D privado y controlado por el gobierno chino y de la industria armamentística y el ejército chinos.

Las consecuencias negativas de esto deberían ser obvias. Pero la cuestión crítica es que las consecuencias van mucho más allá del mero impacto comercial. Los nuevos sistemas chinos se convertirán en una cuestión de seguridad nacional para Estados Unidos y otros gobiernos. Esto plantea un conflicto que las empresas privadas no podrán evitar. ¿Ponen sus datos a disposición del Ministerio de Seguridad Pública chino, como exige la legislación china, o se los ocultan al Ministerio (y a su vez a las Fuerzas Armadas chinas), como exige la legislación de su país de origen? En otras palabras, ¿dejan simplemente de utilizar o proporcionar datos a sus operaciones en China?

El resultado final será que, por lo que respecta a China, el "libre comercio" en las áreas críticas de la tecnología acabará viéndose gravemente restringido. Bienvenidos a la Nueva Normalidad.

Compartir

China Law Blog

China Law Blog se centra en los aspectos prácticos de la legislación china y en cómo afecta a las empresas extranjeras que hacen negocios en o con China. El objetivo es ayudar a los lectores a entender qué funciona y qué no funciona y qué pueden hacer los empresarios para utilizar la ley en su beneficio. China Law Blog El objetivo del libro es ayudar a las empresas que ya están en China o que planean entrar en el país, no abrir nuevos caminos en la teoría o la política jurídica.

Blog de Harris Sliwoski Leer más artículos
Seguir leyendo

Propiedad intelectual (PI), Internet

Entradas relacionadas

Condiciones de pago en China que harán que le paguen

Cómo asegurarse de que le pagan cuando hace negocios con empresas chinas
Maqueta de una tarjeta de identificación personal china.

Su marca en China ya está registrada: ¿Y ahora qué?
Ejecución de sentencias estadounidenses en China

Ejecución de sentencias estadounidenses en China: Lo que debe saber
Política comercial de EE.UU. con China

Duelo de sanciones entre EE.UU. y China: Guía para empresas
Guía para elegir fabricante

Las tres claves para no ser estafado al fabricar en el extranjero
Abogados especializados en diligencia debida en China

Diligencia debida en China: NO es opcional
china law blog

Redactar su propio contrato con China
Acuerdos NNN en China

Acuerdos NNN en China: Respuesta a las diez preguntas más frecuentes
Pantalla de ordenador portátil que muestra un despertador e iconos que indican la prohibición de música y sonido.

El tic-tac del reloj se detiene en TikTok
Varios moldes de resina epoxi junto a recipientes de resina y endurecedor sobre una superficie de madera.

Nuevas peticiones AD/CVD: Determinadas resinas epoxi originarias de China, India, Corea del Sur, Taiwán y Tailandia (AD/CVD)
Trasladar su fabricación de China a México

México frente a China en riesgos de fabricación
Legislación china sobre derechos de autor

Ley de Propiedad Intelectual de China: Conceptos básicos
Abogados de empresas conjuntas internacionales

Encontrar la pareja perfecta: Preguntas clave para el éxito de las empresas conjuntas internacionales
Abogados especializados en fabricación internacional

Las numerosas ventajas de visitar su fábrica en el extranjero
Acuerdos de fabricación con China

Cómo evitar los problemas de fabricación en China: Introducción