Analisi ravvicinata della Legge cinese sulla sicurezza dei dati, in vigore dal 1 settembre 2021

Posted by Reading Time: 9 minutes

La legge cinese sulla sicurezza dei dati (Data Security Law – DSL) contiene disposizioni che riguardano l’utilizzo, la raccolta e la protezione dei dati nella Repubblica Popolare Cinese. Le violazioni della DSL  comporteranno sanzioni pecuniarie e persino la sospensione dell’attività e la revoca delle licenze e dei permessi. La persona direttamente responsabile per la compliance dell’azienda sarà esposta a rischi di sanzioni, e perciò si consiglia di prestare molta attenzione alla DSL e di seguire tutti i futuri sviluppi della normativa. Infatti la DSL non fornisce dettagli su come ottenere l’approvazione dell’autorità competente pertinente o su quali autorità avranno il diritto di approvare la condivisione transfrontaliera dei dati. Allo stesso modo, la Legge allo stato attuale non specifica come saranno esaminati i fornitori di servizi intermediari e se la non conformità del fornitore di dati dovrà estendersi al fornitore di servizi intermediari. Infine, la DSL introduce l’etica e la morale sociale quali nuovi elementi di conformità per le aziende che si occupano di attività di elaborazione dati e di ricerca e sviluppo di nuove tecnologie dei dati.

Il 10 giugno 2021, la DSL è stata ufficialmente approvata durante la 29a sessione del Comitato permanente del XIII Congresso Nazionale del Popolo. Questa legge è stata rivista tre volte da giugno 2020 ed è entrata in vigore l’ 1° settembre 2021.

Con l’obiettivo di rafforzare ulteriormente l’attuale regime di protezione dell’economia legata al digitale, in rapida crescita nel Paese, la legge stabilisce come i dati debbano essere utilizzati, raccolti, sviluppati e protetti in Cina. Sottolinea il coordinamento dall’alto verso il basso dell’implementazione della sicurezza dei dati tra i governi locali, ed introduce sanzioni differenziate in base alla gravità delle violazioni.

I dati sono stati considerati una risorsa fondamentale e strategica del Paese. Secondo Xinhua, la Legge svolgerà un ruolo importante nel garantire la sicurezza dei dati e nella salvaguardia degli interessi fondamentali della Cina.

Punti salienti della legge sulla sicurezza dei dati

Sebbene la DSL non costituisca una normativa dettagliata, essa evidenzia alcune questioni chiave a cui le aziende dovrebbero prestare attenzione.

Requisiti per il trasferimento di dati transfrontalieri

Per le società multinazionali con sede in Cina o con filiali in Cina, il trasferimento di dati al di fuori della Cina potrebbe essere inevitabile, soprattutto quando si interagisce con società o investitori esteri.

La DSL ha rafforzato la gestione del trasferimento transfrontaliero dei dati, disciplinata dall’articolo 31 e dall’articolo 36.

Ai sensi dell’articolo 31, il trasferimento transfrontaliero di dati di rilievo raccolti e generati da infrastrutture di informazioni critiche all’interno del territorio Cinese è disciplinato dalla Legge sulla sicurezza informatica, in base alla quale i dati raccolti e generati da operatori di tali infrastrutture devono, per principio, essere archiviati nel territorio della Cina. Ogni volta che tali dati devono essere trasferiti all’estero, deve essere eseguita una valutazione della sicurezza.

Sono considerati dati di rilievo quelli definiti nell’articolo 21 della DSL. Essi saranno individuati in appositi cataloghi redatti dai diversi dipartimenti governativi competenti nelle diverse Regioni, e con riferimento  alle industrie e ai settore di loro competenza.

Le infrastrutture di informazione critica sono quelle infrastrutture in importanti settori dell’industria come comunicazioni pubbliche, servizi di informazione, energia, trasporti, conservazione dell’acqua, finanza, servizio pubblico ed e-government, e altre infrastrutture che, se danneggiate, disabilitate o i cui dati venissero divulgati, potrebbero minacciare gravemente la sicurezza nazionale, l’economia nazionale, il sostentamento delle persone e gli interessi pubblici (secondo l’articolo 37 della legge sulla sicurezza informatica).

Per il trasferimento transfrontaliero di dati di rilievo raccolti dai responsabili del trattamento generali nel territorio della Repubblica popolare cinese, l’articolo 31 della legge sulla sicurezza dei dati prevede che le misure di controllo della sicurezza saranno formulate dall’amministrazione statale del cyberspazio di concerto con i dipartimenti competenti del Consiglio di Stato. Per il momento, non esistono norme specifiche sul responsabile generale del trattamento per il trasferimento all’estero di dati di rilievo.

I responsabili del trattamento dei dati che violano l’articolo 31 della legge sulla sicurezza dei dati e trasferiscono illegalmente dati importanti all’estero riceveranno l’ordine dall’autorità competente pertinente di apportare rettifiche e possono essere altresì multati per un importo non inferiore a 100.000 RMB (US $ 15.460) e non superiore ad 1 milione di RMB (154.600 USD). Se le circostanze sono gravi, invece, la multa parte da 1 milione di RMB (154.600 USD) fino a 10 milioni di RMB (1,55 milioni di USD) e può essere imposta la sospensione dell’attività. La persona direttamente responsabile e le altre persone direttamente responsabili saranno multate tra 100.000 RMB (15.460 USD) e 1 milione di RMB (154.600 USD).

Una attenta attività di auditing sulla sicurezza informatica sta diventando sempre più importante per le aziende poiché la Cina sta rafforzando le sue pratiche di sicurezza informatica e la relativa regolamentazione. Si consiglia alle aziende di valutare attentamente se rientrano nell’ambito degli operatori di infrastrutture informatiche critiche prima di trasferire i propri dati a soggetti esteri e di tenere d’occhio i futuri sviluppi legislativi per evitare rischi di conformità e potenziali sanzioni.

L’articolo 36 della Legge sulla sicurezza dei dati stabilisce i requisiti per la fornitura di dati alle autorità giudiziarie o di polizia al di fuori della Cina.

Qualsiasi organizzazione e persona in Cina deve ottenere l’approvazione dell’autorità competente quando si tratta di richieste di trasmissione di dati transfrontaliere presentate da autorità giudiziarie o forze dell’ordine straniere.

E’ previsto che l’autorità competente tratti la domanda in conformità alle leggi, ai trattati e agli accordi internazionali sottoscritti e in base ad un principio di reciprocità.

Coloro che forniscono dati ad istituzioni giudiziarie o forze dell’ordine straniere senza l’approvazione delle autorità competenti possono incorrere in una multa che va da 100.000 RMB (15.460 USD) a 5 milioni di RMB (773.000 USD). Allo stesso tempo, alle società inadempienti potrebbe essere ordinato dalle autorità competenti di sospendere le attività interessate e i permessi e le licenze potranno essere revocate; il diretto responsabile e gli altri direttamente responsabili multati per un importo tra RMB 50.000 (US $ 7.730) e RMB 500.000 (US $ 77.300).

Per il momento, la DSL non fornisce dettagli su come ottenere l’approvazione dell’autorità competente, o quali autorità abbiano o meno tale competenza. Si suggerisce alle imprese di seguire gli sviluppi futuri delle misure di attuazione.

Requisiti di conformità per i fornitori di servizi intermediari dei dati

Con il miglioramento della capacità di archiviare, analizzare e utilizzare i dati, la domanda di scambio di dati relativi al mercato continua ad espandersi.

Sono emerse molte piattaforme di scambio di dati, come Tianyancha, Qichacha, Tianyuan Data, Jingdong Cloud, Guiyang Big Data Exchange e Shanghai Data Exchange Center, ecc.

In effetti, tali piattaforme di scambio di dati fungono da fornitore di servizi intermediari, fornendo una piattaforma di scambio per fornitori di dati e richiedenti di dati. In altre parole, è come se fossero piattaforme di ecommerce, come Alibaba, eBay, Amazon, ecc., tranne per il fatto che le merci su tali piattaforme sono dati.

In precedenza non esistevano leggi o regolamenti precisi per monitorare e controllare il processo di scambio di dati. Gli interessi delle parti coinvolte nelle transazioni di dati sono stati talvolta influenzati in negativo dalla mancanza di standard sui fornitori di servizi intermediari.

Ora, per la prima volta, la DSL propone alcuni requisiti formali sul processo di scambio dei dati. Questo serve come punto di partenza per promuovere una base affidabile per lo scambio dei dati.

Per essere più specifici, l’articolo 33 della DSL impone i seguenti requisiti per le istituzioni impegnate in servizi di intermediazione per le transazioni di dati:

  • L’ente impegnato nei servizi di intermediario nelle transazioni di dati richiede al fornitore di dati di dichiarare la fonte dei dati. I dati non dovrebbero avere alcun difetto di proprietà, il che significa che i dati non devono essere stati acquisiti con mezzi illegali.
  • L’ente impegnato nei servizi di intermediario per le operazioni di dati verifica l’identità di entrambe le parti dell’operazione. Entrambe le parti dovrebbero essere organizzazioni giuridiche o persone fisiche. Per determinate attività di scambio di dati che richiedono alle parti interessate di ottenere determinate licenze prima di impegnarsi nelle transazioni, l’intermediario dovrebbe verificare se la parte dispone delle licenze richieste.
  • L’ente impegnato nei servizi di intermediario per le operazioni di dati, conserva gli esiti delle analisi e registra le operazioni.

I fornitori di servizi intermediari dei dati che non adempiano agli obblighi di cui sopra potrebbero essere soggetti a molteplici sanzioni. I guadagni illeciti saranno infatti confiscati, e sarà comminata una multa da una a 10 volte il guadagno illecito. Se non ci sono guadagni illeciti o se i guadagni illeciti sono inferiori a 100.000 RMB (15.460 USD), il fornitore di servizi intermediario dati che non adempie agli obblighi verrà sanzionato con una multa tra 100.000 RMB (15.460 USD) e 1 milione di RMB ( 154.600 USD). Inoltre, potrebbe essere richiesto di interrompere le attività, e la licenza commerciale potrebbe essere revocata. Allo stesso tempo, la persona direttamente responsabile e le altre persone direttamente responsabili saranno multate da 10.000 RMB (1.546 USD) a 100.000 RMB (15.460 USD).

Attualmente, la DSL non specifica i dettagli su come saranno valutati i fornitori di servizi intermediari e se la responsabilità di inadempienza del fornitore di dati sarà trasferita al fornitore di servizi intermediari. Si suggerisce alle parti interessate di prestare molta attenzione alle future misure di attuazione.

Tutela degli interessi pubblici

Oltre ai suddetti requisiti di conformità e agli obblighi che devono essere soddisfatti, la DSL punta a tutelare alcuni interessi della collettività, come per esempio l’interesse a che tutte le persone possano egualmente  godere dei vantaggi portati dall’economia digitale.

Attenzione a gruppi speciali

Negli ultimi anni la Cina ha fatto grandi miglioramenti nell’erogazione efficiente dei servizi pubblici grazie alla rivoluzione dei dati. D’altra parte, alcuni gruppi come gli anziani ei disabili hanno incontrato molte difficoltà nell’uso delle tecnologie digitali.

In pratica, mentre ci sono molti casi in cui  venditori o  fornitori di servizi financo si rifiutano di accettare pagamenti in contanti, gli anziani invece non sanno come utilizzare Alipay o WeChat Pay. Inoltre, dallo scoppio del COVID-19, è stato segnalato che in alcune città alle persone è stato negato l’accesso ai trasporti pubblici o ai servizi perché non sono riuscite a ottenere il codice sanitario digitale, implementato nell’ambito delle misure di prevenzione dell’epidemia.

Per proteggere questi gruppi speciali e garantire che possano ugualmente accedere ai servizi pubblici, l’articolo 15 della DSL sottolinea che qualsiasi organizzazione o individuo dovrebbe tenere pienamente conto delle esigenze degli anziani e dei disabili durante la progettazione e lo sviluppo dell’applicazione per i servizi pubblici.

Da ciò discendono due ordini di considerazioni.

Da un lato, gli anziani ei disabili non possono essere obbligati a utilizzare strumenti tecnologici. Ad esempio, oltre a ordinare cibo scansionando QR Code e pagare il conto con pagamenti digitali, i ristoranti devono fornire metodi di ordine e pagamento tradizionali come alternative.

D’altra parte, gli sviluppatori dovrebbero prendere in considerazione le caratteristiche degli anziani e dei disabili quando progettano e sviluppano prodotti rilevanti, ad esempio aggiungendo una funzione sonora per i progettisti di persone con disabilità visive, consentendo caratteri grandi per gli utenti anziani, ecc.

Allinearsi da un punto di vista etico

La raccolta e l’utilizzo dei dati hanno portato grandi comodità e vantaggi nella vita quotidiana delle persone. D’altra parte, tuttavia, è stato osservato che i dati personali e la privacy degli utenti stanno diventando estremamente vulnerabili e facili da violare. Ad esempio, esisteva una piattaforma online per la chiamata dell’auto in cui il conducente poteva controllare direttamente le informazioni personali (ad es. sesso, età, lavoro, ecc.) registrate dal passeggero senza alcun consenso, il che ha generato opportunità criminali per alcuni trasgressori.

Tutto ciò porta alla domanda: qual è la linea di fondo, quale il limite, quando si tratta di attività di elaborazione dati e ricerca e sviluppo di nuove tecnologie ad essi relative?

L’articolo 28 stabilisce che qualsiasi organizzazione o individuo che svolga attività di trattamento dei dati o di  ricerca e sviluppo di nuove tecnologie, deve contribuire alla promozione dello sviluppo economico e sociale, al miglioramento del benessere delle persone e al rispetto della morale e dell’etica sociale.

Si può notare come la DSL imponga alcuni requisiti morali specifici relativamente alle attività di elaborazione dei dati e di ricerca e sviluppo di nuove tecnologie dei dati. In passato, le autorità di regolamentazione competenti si sono concentrate maggiormente su questioni legali e di conformità durante la revisione delle attività di elaborazione dei dati.

Detto questo, le aziende che si occupano di scambio di dati, confronto di informazioni, sviluppo di software e altre attività correlate, dovranno condurre valutazioni preliminari circa il rispetto dell’etica e della morale in tutte le loro attività, in modo da evitare che la violazione di regole morali ed etiche possa influenzare la reputazione aziendale.

Come la DSL si rapporta alle esistenti leggi sulla sicurezza dei dati e delle informazioni

In Cina esistono tre leggi relative alla protezione dei dati e delle informazioni:

  • La legge sulla sicurezza informatica della Repubblica popolare cinese (“Legge sulla sicurezza informatica”), implementata il 1 giugno 2017.
  • La legge sulla protezione delle informazioni personali della Repubblica popolare cinese (seconda revisione della bozza) (“La bozza PIPL”), in vigore dal 1 Novembre 2021.
  • La legge sulla sicurezza dei dati, in vigore dal 1 settembre 2021.

Mentre il comune obiettivo di queste tre leggi è costruire un quadro giuridico completo per regolare il regime di sicurezza delle informazioni e dei dati in Cina, le loro priorità sono diverse. Il confronto tra loro è illustrato nella tabella seguente.

Leggi cinesi sulla sicurezza dei dati e delle informazioni

Con l’entrata in vigore della DSL,  il quadro normativo sulla protezione dei dati in Cina ne esce senz’altro rafforzato. Tuttavia, la legge assomiglia ad uno schema per la supervisione e la protezione della sicurezza dei dati che tuttavia rimanda ad ulteriori fonti normative.

Le regole specifiche per l’attuazione della DSL sono e saranno infatti contenute in altre leggi e regolamenti di supporto, ai  quali perciò dovrà prestarsi la massima attenzione.

China Briefing è prodotta da Dezan Shira & Associates. Con uffici in Cina, Hong Kong, Vietnam, India, Indonesia, Singapore, Germania, Italia, Stati Uniti e Russia, Dezan Shira supporta gli investitori stranieri in Asia da tre decenni.

Hai una domanda su come fare affari in Asia? Contattateci all’indirizzo italiandesk@dezshira.com, o visitateci qui.