La Administración del Ciberespacio de China está solicitando comentarios públicos sobre el borrador de regulaciones recientemente publicado, que tiene como objetivo clasificar los datos de la red en tres categorías principales en función de la importancia de los datos de la red para la seguridad nacional, el interés público y los intereses comerciales.
China ha emitido un borrador de regulaciones destinadas a clasificar los datos en línea en función de su importancia para la seguridad nacional y el interés público. Los requisitos de protección de datos estarán vinculados de acuerdo con esta clasificación.
La Administración del Ciberespacio de China (CAC) emitió un conjunto de leyes el domingo, que incluye una clasificación de datos propuesta y un marco de seguridad. Está buscando comentarios públicos sobre el proyecto de ley hasta el 13 de diciembre.
El regulador dijo que las reglas propuestas protegerían mejor los derechos legales de las personas e institutos, así como la seguridad nacional y los intereses públicos, informó el periódico estatal Global Times .
Según el proyecto de reglamento, los datos se clasificarían en tres categorías principales: básicos, importantes y generales, según su impacto e importancia para la seguridad nacional, el interés público o los derechos e intereses legales de las personas y organizaciones.
Citando a observadores de la industria, el informe señaló que los datos de una aeronave militar o aeropuertos se clasificarían como datos básicos, mientras que la información sobre el transporte de carga en los aeropuertos civiles serían datos importantes y los datos sobre vuelos generales se considerarían datos generales.
La legislación propuesta, que consta de nueve capítulos, detalla más los requisitos sobre cómo se deben proteger los datos de acuerdo con su clasificación.
También describió cómo los datos recopilados dentro de China deben transferirse al extranjero, incluida la notificación a los propietarios de dichos datos con detalles sobre los destinatarios, como su nombre e información de contacto, así como el propósito de la transferencia de datos.
El proyecto de ley estipulaba además que se podrían imponer multas de hasta 10 millones de yuanes (1,56 millones de dólares) si se infringían las normas que rigen la transferencia de datos a mercados fuera de China.
El uso de datos biométricos, como el rostro, las huellas dactilares, la forma de andar y la voz, tampoco debe utilizarse como el único medio de identificación personal, según el proyecto de ley. Esto tenía como objetivo restringir los esfuerzos para obligar a las personas a proporcionar sus datos biométricos personales.
La ley propuesta también establecía la inclusión de incidentes de seguridad de datos como parte del mecanismo nacional de emergencia de incidentes de ciberseguridad, lo que significaba que tales medidas deberían activarse e implementarse de manera oportuna para mitigar los posibles daños y riesgos de seguridad.
Además, las organizaciones no deben negarse a proporcionar servicios o “obstaculizar” los servicios normales, en caso de que los propietarios de los datos opten por no dar su consentimiento para la recopilación de su información personal que no se considere necesaria para la prestación de dichos servicios.
LAS OPI EN HONG KONG PUEDEN REQUERIR UNA REVISIÓN DE CIBERSEGURIDAD
El borrador del reglamento también requeriría que las organizaciones, cuyas actividades de procesamiento de datos influirían o podrían influir en la seguridad nacional, se sometan a una evaluación de ciberseguridad si desean cotizar en Hong Kong, informó South China Morning Post (SCMP). Si se aprueba, esto podría introducir otra supervisión regulatoria para las empresas tecnológicas chinas como Bytedance y Didi Chuxing que podrían estar considerando una OPI en Hong Kong.
Las leyes propuestas no detallaban criterios que constituirían preocupaciones de seguridad nacional, pero enumeraban una serie de “datos importantes” que podrían considerarse como tales, incluidos datos gubernamentales no publicados, investigaciones científicas, datos sobre genética y datos sobre sectores clave como telecomunicaciones y energía, señaló SCMP.
La legislación fue diseñada para implementarse junto con otras regulaciones de China que regían el uso y la recopilación de datos, a saber, la Ley de Ciberseguridad de 2017, así como la Ley de Seguridad de Datos y la Ley de Protección de Información Personal (PIPL) que se aprobaron este año.
Aprobado en agosto , PIPL entró en vigor el 1 de noviembre, estableciendo reglas básicas sobre cómo se recopilan, utilizan y almacenan los datos. Se aplica a las organizaciones extranjeras que procesan datos personales en el extranjero con el fin, entre otros, de proporcionar productos y servicios a los consumidores chinos, así como de analizar el comportamiento de los consumidores chinos. También deberán establecer agencias designadas o designar representantes con base en China para que asuman la responsabilidad de los asuntos relacionados con la protección de datos personales.
PIPL contiene una sección que se aplica específicamente a la transmisión de datos transfronterizos. Esta sección estipula que las empresas que necesitan eliminar información personal de China deben primero realizar una “evaluación de impacto de la protección de la información personal”.
Los infractores que no cumplan con la orden para corregir el incumplimiento se enfrentarán a una multa de hasta RMB 1 millón (US $ 150,000), y los responsables de asegurar el cumplimiento pueden ser multados desde RMB 10,000 (US $ 1,500) a RMB 100,000 (US $ 15,000). Multas.) Para casos “graves”, las autoridades chinas también pueden imponer multas de hasta 50 millones de yuanes ($ 7,5 millones) o el 5% de la facturación anual de la empresa en el año fiscal anterior. Además, sus operaciones comerciales pueden suspenderse o los permisos y licencias comerciales pueden revocarse.