Le aziende che operano in Cina sono alle prese con le verifiche degli adempimenti previsti dalla China Cybersecurity Law (“CSL”). Si tratta di una legge primaria entrata in vigore il 1 ° giugno 2017 e stabilisce un quadro normativo di alto livello, volto a disciplinare la raccolta, la trasmissione e l’uso di dati personali, nonché di informazioni rilevanti da parte degli operatori di rete allo scopo di garantire la sicurezza informatica.
La CSL riunisce in un testo, in modo finalmente organico, una serie di previsioni frammentate che dettavano obblighi in materia di data protection, anche se le fonti normative rimangono molte e spesso si sovrappongono. Resta certamente una normativa complessa e non ancora del tutto definita, attorno alla quale rimangono diversi spazi di incertezza, anche considerando che la Cyberspace Administration of China (“CAC”), l’agenzia di governo cinese incaricata di applicare la CSL, ha emesso una serie di documenti e linee guida, non tutte ancora ufficialmente promulgate.
Lo scopo espressamente dichiarato dalla CSL è quello di garantire la sicurezza informatica, la tutela della sovranità nel cyberspazio, la sicurezza nazionale, la tutela dei diritti legittimi e degli interessi dei cittadini, delle persone giuridiche e di altre organizzazioni e promuovere un solido sviluppo economico. E’ una norma, quindi, dall’ambito estremamente ampio e ambizioso.
La Cybersecurity Law si applica espressamente agli operatori di rete “Network operators” e agli operatori di infrastrutture critiche informatizzate (“Critical Information Infrastructure” – “CII”).
China cybersecurity law: stesse regole per operatori cinesi e stranieri
La definizione di Network Operators è molto ampia, pertanto può essere interpretata in modo da includere un’ampia gamma di settori diversi; qualsiasi società (indipendentemente dalle dimensioni e dalla dimensione nazionale o multinazionale) che gestisca la sua rete – compresi i siti Web e le reti interne ed esterne – per fornire prodotti o servizi o raccogliere dati in Cina potrebbe molto probabilmente rientrare nel campo di applicazione.
La CSL non distingue tra Network Operators stabiliti in territorio nazionale o fuori e la bozza di Linee guida per la valutazione della sicurezza del trasferimento di dati transfrontaliero, emesso il 30 agosto 2017 (“Progetto di linee guida per la sicurezza transfrontaliera”) comprende qualsiasi operatore di rete, anche avente sede all’estero o non registrato nella RPC, ma che fornisce prodotti o servizi nella RPC, tra i destinatari degli obblighi contenuti nella CSL.
Per quanto riguarda le CII, si tratta di infrastrutture critiche che incidono sulla sicurezza nazionale, sull’economia nazionale e sul sostentamento delle persone in modo tale che, se i dati fossero divulgati, danneggiati, persi o distrutti, la sicurezza nazionale e gli interessi pubblici potrebbero subire gravi danni. Il CSL fornisce un elenco non esaustivo di settori “critici”, tra cui le telecomunicazioni, i servizi di informazione, i settori di energia, trasporti, servizi pubblici, servizi finanziari e servizi pubblici, cloud computing e big data.
“Infrastrutture critiche” anche i grandi siti online
Nelle Linee Guida per la definizione delle CII emesse dal CAC nel luglio 2016 è stabilita una procedura finalizzata a determinare se un’azienda rientri tra le CII ed è specificato che possono essere ritenute “critical information infrastructure”, tra gli altri, anche i siti internet con più di 1 milione di visitatori al giorno o piattaforme online con più di 10 milioni di utenti registrati.
La normativa non ha ad oggetto solo i dati personali, ma anche le informazioni considerate rilevanti, definite “important data”.
Mentre i dati personali sono definiti all’interno della CSL (all’art 76, par. 5), le informazioni rilevanti non sono definite all’interno del testo della Cybersecurity, ma nel documento Measures on Security Assessment of the Cross-border Transfer of Personal Information (“Draft Measures”), che fornisce una guida dettagliata relativamente ai trasferimenti transfrontalieri di dati.
Cosa si intende per “dati personali” in Cina
Sono considerati dati personali le informazioni trattate con qualsiasi mezzo, non solo elettronico, in grado, da sole o in combinazione con altre informazioni, a identificare una persona fisica, inclusi il nome, la data di nascita, numero del documento d’identità, i dati biometrici, indirizzi e numeri di telefono. L’articolo 15 del Draft Measures amplia leggermente questa definizione e include, tra le altre, la corrispondenza e le informazioni di contatto, numeri di conto, i dati relativi alla geolocalizzazione, le password, i dati relativi agli acquisti e alle abitudini al consumo.
Lo stesso art. 15 definisce, invece, le informazioni rilevanti (“important data”) come le informazioni che riguardano la sicurezza nazionale, lo sviluppo economico e agli interessi sociali e pubblici, suscettibili, in caso di diffusione, perdita, distruzione, utilizzo non autorizzato, di cagionare gravi danni alla sicurezza nazionale, alle relazioni diplomatiche, all’economia nazionale, agli interessi sociali e pubblici, alle forze dell’ordine o alle infrastrutture critiche.
Nella prima parte del testo di CSL sono riportate le “General Provisions” che contengono disposizioni applicabili ai network operators, riassunte e schematizzate, senza pretesa di esaustività, nella tabella che segue:
| Misure operative (art. 21) | Obblighi:
|
| Consenso (artt. 22) | I fornitori di prodotti e servizi Internet devono ottenere il consenso prima di raccogliere i dati dei clienti (ndr. salve eccezioni). |
| Identità (art. 24) | I Network Operators devono verificare l’identità di un cliente, prima di fornire i servizi elencati nell’art. 24 (tra cui servizi di accesso alla rete, di domain registration e di messaggistica istantanea). |
| Emergency response plans (art. 25) | I Network Operators devono implementare un piano di risposta agli incidenti di sicurezza informatica, in grado di fronteggiare tempestivamente i rischi di vulnerabilità del sistema, virus, attacchi alla rete e accessi non autorizzati. |
| Supporto all’autorità (art. 28) | I Network Operators sono tenuti a fornire supporto tecnico e assistenza agli uffici di pubblica sicurezza (“PSB”), per la protezione della sicurezza nazionale e per la prevenzione e le indagini su attività criminali. |
| Sistemi di reclamo e reporting (art. 49) | I Network Operators sono tenuti a porre in essere un sistema di denunce e segnalazioni relative alla sicurezza informatica, a rendere disponibili al pubblico informazioni su come presentare un reclamo, che dovrà essere gestito tempestivamente. |
Gli artt. 31 ss contengono le previsioni, maggiormente stringenti, applicabili ai soggetti che rientrano nella definizione di CII, tra cui i seguenti:
| Security Management Institutions (art 34) | istituire un team dedicato alla gestione della sicurezza informatica e designare in modo specifico dei soggetti in charge. |
| State Security Review (art. 35) | sottoporsi a un controllo di sicurezza effettuato dal CAC e dal Consiglio di Stato laddove acquisti prodotti o servizi che possano influire sulla sicurezza nazionale |
| Accordo di riservatezza (Art 36) | sottoscrivere un accordo di riservatezza con tutti i fornitori |
| Storage within China (art 37) | salvare tutti i dati personali e le informazioni rilevanti generati nella RPC all’interno del territorio della PRC e effettuare la manutenzione tecnica della rete all’interno della RPC. Laddove fosse necessario fornire tali informazioni e dati personali a soggetti siti fuori dal territorio RPC, dovrà essere effettuato un security assessment. |
| Cybersecurity Assessment (art 38) | effettuare una valutazione annuale della sicurezza della rete e dei potenziali rischi; riportare le valutazioni, nonché i rimedi ipotizzati all’autorità competente. |
| Management of information (art 47) | monitorare le informazioni rilasciate dagli utenti e, laddove rilevi informazioni la cui pubblicazione o diffusione è vietata da qualsiasi legge o regolamento amministrativo, cessare immediatamente la trasmissione di tali informazioni, prevederne la cancellazione o qualsiasi altra misura che ne impedisca la diffusione, conservare la documentazione pertinente e segnalare l’accaduto alle autorità. |
Informazioni di sicurezza
Particolare attenzione alla protezione dei dati personali viene data nel capitolo IV della CSL, che riguarda la sicurezza delle informazioni. Ai sensi della CSL, sono imposti ai Network Operators e alle CII i seguenti obblighi:
| Confidentiality (art 40) | Garantire misure di protezione delle informazioni dell’utente, che devono essere mantenute strettamente riservate. |
| Legittimità e necessità (art 41) | Raccogliere e utilizzare i dati personali secondo principi di legittimità e necessità; informare l’utente, prima di raccogliere i dati personali, sulle modalità di raccolta e utilizzo dei dati, indicando esplicitamente le finalità e i mezzi della raccolta, ottenere il consenso al trattamento da parte delle persone interessate, laddove richiesto dalla normativa. [In merito al trattameno di dati personali occorre tenere in considerazione il documento Draft PI Specification Amendments, che fornisce ulteriori linee guida in merito agli obblighi relativi al trattamento dei dati personali (prevede, ad esempio, specifiche misure, come la crittografia, da adottare in relazione ai dati sensibili, per i quali è richiesto l’ottenimento di un consenso informato) e il documento Guidelines for Cross Border Data Transfer, in cui sono contenute dettagliate prescrizioni relativamente ai trasferimenti di informazioni (dati personali e important data) all’estero. Infine, senza pretesa di esaustività, si segnala anche il documento Consumer Protection Law, che fornisce indicazioni in merito all’invio di comunicazioni commerciali.]. |
| Trattamento e comunicazione dei dati Misure di sicurezza Breach notifications (art 42) | Non diffondere, danneggiare, manomettere i dati personali raccolti; non comunicare i dati personali a terzi senza il consenso dell’interessato, a meno che i dati non vengano resi anonimi. Adottare misure di sicurezza idonee a garantire la sicurezza dei dati personali e proteggerli da diffusione, comunicazioni non autorizzate o perdita. Intraprendere immediatamente azioni correttive in caso di violazione e informarne tempestivamente gli interessati e l’autorità governativa competente; |
| Diritto alla cancellazione e rettifica (art 43) | L’interessato ha diritto di chiedere la cancellazione dei dati personali, nel caso in cui ritenga che l’operatore di rete abbia trattato i dati in violazione di una disposizione di legge. Ha anche diritto di ottenere la rettifica dei propri dati personali quando ravvisi che siano trattati in modo erroneo. L’operatore di rete deve, quindi, adottare le misure necessarie a permettere l’adeguato riscontro delle richieste degli interessati. Il documento Draft PI Specification Amendments prevede anche un diritto alla portabilità dei dati. |
| Management of information (art 47) | Gestire le informazioni rilasciate dagli utenti e, laddove trovi informazioni la cui pubblicazione o diffusione è vietata da qualsiasi legge o regolamento amministrativo, deve cessare immediatamente la trasmissione di tali informazioni, prevederne la cancellazione o qualsiasi altra misura che ne impedisca la diffusione, conservare la documentazione pertinente e segnalare l’accaduto alle autorità. |
Il Draft Ministry of Public Security (MPS) Regulations on the Graded Protection of Cyber Security (the MPS Regulation), emesso nel giugno 2018 dal Ministero della Pubblica Sicurezza della RPC (“MPS”) inserisce ulteriori obblighi e definisce un sistema di classificazione per le reti situate nella RPC in base al loro livello di rischio, valutato anche in considerazione del potenziale impatto delle reti sulla sicurezza nazionale, l’ordine sociale, gli interessi pubblici. Più alta è la classificazione, maggiore è il numero di requisiti sul livello di sicurezza che deve essere mantenuto.
Gli operatori di rete, per determinare il livello delle proprie reti, devono eseguire, già in fase di progettazione, un self-assessment che deve essere ripetuto ogni volta che vi è un cambiamento significativo.
Cybersecurity, cruciale l’organo di governance
Le reti che il MPS ha classificato a livello 3 o superiore (con un rischio, quindi, estremamente grave per i diritti e gli interessi individuali o per gli interessi pubblici o la sicurezza nazionale) saranno soggetti a ulteriori obblighi di sicurezza, tra cui l’obbligo di adottare misure proattive per monitorare e rilevare le minacce informatiche, sviluppare una piattaforma di gestione della protezione della sicurezza informatica e un piano di risposta agli incidenti, notificare gli incidenti al MPS entro 24 ore e condurre regolarmente cybersecurity emergency response drills.
La normativa, come anticipato, ha un raggio d’azione molto ampio e risulta, quindi, fondamentale disporre di un organo appropriato di governance della cybersecurity per monitorare, rilevare e rispondere agli incidenti di sicurezza, mantenere un’idonea mappatura dei dati personali e delle informazioni rilevanti e delle modalità di raccolta, elaborazione e archiviazione, verificare che le procedure e i processi aziendali consentano di garantire i controlli richiesti dalle normative, sviluppare ruoli e responsabilità chiari in relazione alla sicurezza informatica e alla gestione della tutela delle informazioni e dei dati personali, assicurare l’implementazione delle misure richieste dalle normative citate laddove i dati personali e le informazioni rilevanti siano trasferite fuori dal territorio della RPC.
