Cina >Normative sulla sicurezza informatica> Confronto con India, Indonesia, Taiwan

La Cina sta enfatizzando sempre più la sovranità del governo sul cyberspazio e sui dati, evolvendo rapidamente la sua sicurezza informatica e il regime dei dati, adottando numerose regole e politiche e formulando standard nazionali per la sicurezza informatica e la protezione dei dati. I diritti alla privacy e i principi di sicurezza sono radicati nella costituzione, nel codice civile e nella legge sulla sicurezza nazionale della RPC, fondati su tre pilastri del diritto consolidati: la legge sulla sicurezza informatica (CSL), la legge sulla sicurezza dei dati (DSL) e la legge sulla protezione delle informazioni personali (PIPL).

INTERAZIONE DELLE LEGGI PILASTRO

Vincent Wang, Ufficio legale globale
Vincenzo Wang
compagno
Studio legale globale a Shanghai
Telefono: +86 21 2310 9518
E-mail: vincentwang@glo.com.cn

Tra queste tre leggi pilastro, il CSL è fondamentale per la sovranità del cyberspazio, stabilendo il quadro generale di sicurezza. Il DSL mira a proteggere la sicurezza dei dati elaborati e il PIPL è dedicato alla regolamentazione del trattamento delle informazioni personali.

Sia il DSL che il PIPL rivendicano il potere extraterritoriale di proteggere i dati e le informazioni personali elaborate dalle infrastrutture protette dal CSL. Il DSL punirà qualsiasi trattamento dei dati al di fuori della RPC se lesivo della sicurezza nazionale o dell’interesse pubblico, o dei legittimi diritti e interessi di qualsiasi cittadino o ente cinese. Allo stesso modo, l’elaborazione delle informazioni personali al di fuori della RPC per l’offerta di prodotti o servizi a persone o per la valutazione del comportamento delle persone nella RPC deve essere conforme al PIPL.

REGOLE SPECIALIZZATE

Le aziende in Cina dovrebbero anche rispettare le regole specializzate in settori specifici e le normative locali sui dati. Gli sforzi continui di vari regolatori industriali e governi locali affrontano la sicurezza informatica, in particolare nei servizi di informazione medica e sanitaria, finanziaria, automobilistica e Internet (come i servizi di raccomandazione di algoritmi) a livello locale e nazionale.

REVISIONE DELLA SICUREZZA informatica

La Cyberspace Administration of China (CAC) ha recentemente pubblicato i risultati tanto attesi di una revisione della sicurezza informatica contro il colosso dei trasporti pubblici DiDi, che ha comportato una multa di 1,2 miliardi di dollari. La revisione è stata avviata prima che la revisione delle misure sulla sicurezza informatica entrasse in vigore il 15 febbraio.

Da tale revisione, l’ambito della revisione della sicurezza informatica si è esteso per applicarsi specificamente agli operatori di piattaforme di rete che cercano la quotazione all’estero mentre elaborano informazioni personali di oltre un milione di utenti.

Il riesame si applica anche all’appalto di prodotti o servizi di rete da parte di operatori di infrastrutture informatiche critiche o all’elaborazione di dati da parte di operatori di operatori di piattaforme di rete, se la sicurezza nazionale è o è probabile che ne risenta.

Tra le tre circostanze che attivano la revisione, l’elaborazione dei dati da parte degli operatori di rete è la più difficile da autodeterminare, in quanto non esiste una guida legale esplicita sui fattori rilevanti. Apparentemente, qualsiasi grande piattaforma che elabora un grande volume o vari tipi di dati potrebbe essere soggetta a revisione.

Per sicurezza, non eseguire una piattaforma di rete di grandi dimensioni o, se lo fai, richiedi volontariamente una revisione della sicurezza informatica per ricevere la notifica di nessuna ulteriore azione. Altrimenti, corre un rischio simile per l’enorme database di ricerca accademica China National Knowledge Infrastructure (CNKI), attualmente in fase di revisione per motivi di sicurezza nazionale.

PROTEZIONE A PIÙ LIVELLI

Anche i requisiti di protezione multilivello sui sistemi informativi e sulle reti vengono aggiornati nell’ambito del CSL. Nell’ambito del regime dello schema di protezione multilivello (MLPS), gli operatori delle applicazioni di rete dovrebbero valutare le proprie applicazioni di rete e i rischi associati, assegnando a ciascuna applicazione un “livello di sicurezza” in base alla natura, all’importanza e alla gravità del potenziale impatto in caso di compromissione.

I livelli vanno da uno a cinque e più alto è il livello, più severi saranno i requisiti di sicurezza che l’operatore dovrebbe adottare. Fatto salvo il livello di sicurezza, gli operatori sono tenuti a far archiviare o valutare le proprie valutazioni delle applicazioni di rete dall’autorità di pubblica sicurezza e ad adottare adeguate misure di sicurezza.

DATA DI SOVRANITÀ

Zhao Xinyao, Ufficio legale globale
Zhao Xinyao
Socio
Studio legale globale a Shanghai
Telefono: +86 21 2310 9516
E-mail: xinyaozhao@glo.com.cn

Per salvaguardare la sovranità dei dati, il CSL impone requisiti di localizzazione dei dati agli operatori di infrastrutture informatiche critiche. Il DSL e il PIPL stabiliscono che qualsiasi richiesta da parte di un organo giudiziario straniero o di un’autorità di contrasto per la fornitura di dati o informazioni personali archiviati in Cina è soggetta alla preventiva approvazione delle autorità competenti.

Le misure di valutazione della sicurezza del trasferimento transfrontaliero di dati CAC, entrate in vigore il 1 settembre, consentono ai responsabili del trattamento dei dati un periodo di transizione di sei mesi per conformarsi. In precedenza, il CAC ha emesso la bozza di disposizione sul contratto standard per il trasferimento transfrontaliero di informazioni personali, simile alle clausole contrattuali standard dell’UE (SCC). Il National Information Security Standardization Technical Committee (TC260) ha anche pubblicato le Linee guida pratiche per gli standard di sicurezza informatica – Specifiche per la certificazione di sicurezza delle attività di trattamento transfrontaliero delle informazioni personali, introducendo un quadro di certificazione per il trattamento dei dati transfrontaliero.

Secondo le misure, una valutazione di sicurezza obbligatoria guidata dal CAC sarà attivata in situazioni legali prescritte nelle misure di valutazione della sicurezza del CAC per il trasferimento transfrontaliero di dati.

Al contrario, la certificazione di sicurezza dovrebbe affrontare i frequenti trasferimenti di informazioni personali tra filiali o affiliate dello stesso gruppo aziendale, mentre l’SCC sarà lo strumento principale per i trasferimenti di dati transfrontalieri senza bisogno dell’approvazione preventiva del CAC. Tuttavia, date le soglie basse per la valutazione della sicurezza, diventerà probabilmente il mezzo pervasivo per trasferire dati transfrontalieri.

CLASSIFICAZIONE DEI DATI

Il DSL stabilisce un requisito generale sulla gestione e protezione della classificazione dei dati in base all’importanza dei dati per l’economia nazionale, la sicurezza nazionale, l’interesse pubblico e la società, nonché il potenziale grado di danno in caso di violazione della sicurezza. Un core data è il più alto del sistema a tre livelli, soggetto alla protezione più rigorosa e dovrebbe essere determinato dalle agenzie del governo centrale.

I dati importanti sono nella fascia media. Le autorità di regolamentazione industriale e le amministrazioni locali definiranno rispettivamente i dati importanti in vari settori e regioni amministrative, e gli incaricati del trattamento seguiranno il catalogo delle definizioni per determinare l’ambito dei loro dati importanti. Ma per ora esiste solo un progetto di norma nazionale sull’identificazione dei dati importanti, insieme a un regolamento amministrativo preliminare che lo definisca nell’industria automobilistica e un progetto di regolamento nei settori industriale e informatico. Potrebbe volerci del tempo prima che tutti i dati di base e i dati importanti vengano identificati a livello nazionale.

PROTEZIONE DEI DATI PERSONALI

Estella Wang, Studio legale globale
Estella Wang
Associato minore
Studio legale globale a Shanghai
Telefono: +86 21 2310 9519
E-mail: estellawang@glo.com.cn

Il PIPL fornisce una protezione completa che copre l’intero ciclo di elaborazione delle informazioni personali, richiedendo ai responsabili del trattamento di adottare misure appropriate per garantire la sicurezza e imponendo requisiti più severi sul trattamento delle informazioni sensibili. I responsabili del trattamento sono tenuti a ottenere una base legale prima di elaborare qualsiasi informazione personale, incluso il consenso degli interessati e una varietà di altre basi legali. Sono inoltre tenuti a seguire i principi di legalità, legittimità, necessità e buona fede, rispettare i requisiti legali e conservare i documenti pertinenti per dimostrare la conformità o difendere potenziali reclami.

Inoltre, il PIPL garantisce agli interessati diritti completi, sia sostanziali che procedurali, sulle loro informazioni personali, come il diritto di conoscere, decidere, avere la portabilità e presentare reclamo.

ESECUZIONE E PENALITÀ

Le leggi del pilastro impongono dure responsabilità penali, amministrative e civili contro la sicurezza informatica e le violazioni della privacy. Ad esempio, ai sensi del PIPL, i guadagni illegali possono essere confiscati, con multe che vanno da 1 milione di RMB (142.000 USD) a 50 milioni di RMB, o il 5% del fatturato annuo dell’impresa. La persona direttamente responsabile e le altre persone direttamente responsabili possono essere multate fino a 1 milione di RMB. La multa da record DiDi è l’esempio più recente. Una bozza di proposta per modificare il CSL con sanzioni ancora più severe è stata rilasciata per un commento pubblico il 14 settembre. I pubblici ministeri e i tribunali cinesi sono chiaramente più attivi sulla protezione delle informazioni personali e sui reati relativi ai dati nelle cause civili e penali.

TENDENZE E SVILUPPI

Il governo ritiene che l’economia digitale e le risorse di dati saranno la prossima area competitiva chiave al mondo e sta dando la priorità alla costruzione, al mantenimento e alla difesa della sovranità nel cyberspazio.

Si può ragionevolmente prevedere che il trend di sviluppo nei prossimi tre-cinque anni molto probabilmente presenterà:

  • L’applicazione del CSL, con l’implementazione di MLPS 2.0, sarà rafforzata per stabilire una base solida e sicura per la sovranità del cyberspazio;
  • Lo sviluppo di DSL, attraverso la categorizzazione e classificazione dei dati, sarà completato e pienamente implementato in tutti i settori e le regioni amministrative; e
  • Il PIPL continuerà a essere localizzato da una maggiore applicazione giudiziaria contro entità straniere, nel rispetto della legge.

Le tendenze e gli sviluppi di cui sopra delle leggi sulla sicurezza del ciberspazio determinano che ci saranno più sanzioni amministrative, revisione giudiziaria e sforzi di contrasto extraterritoriali nei prossimi anni. Pertanto, le società multinazionali in Cina e le entità offshore che interagiscono a distanza con la Cina dovrebbero tenere sotto stretta osservazione gli sviluppi legali, amministrativi e giudiziari e comprendere tempestivamente e chiaramente la pertinente dichiarazione di sottolineatura dello sviluppo, collaborando con consulenti locali qualificati e apportando gli opportuni adeguamenti nella sua operazione commerciale ai fini della conformità.

Logo dell'ufficio legale globale

STUDIO LEGALE GLOBALE
35 e 36/F Shanghai One ICC, n.999
Middle Huai Hai Road, distretto di Xuhui
Shanghai, 200031, Cina
Telefono: +86 21 2310 8288
E-mail: shanghai@glo.com.cn

www.glo.com.cn

Leave a Comment

Your email address will not be published. Required fields are marked *