In Cina, le regole per l’esportazione dei dati segnano una nuova era di governance pratica

Le linee guida cinesi per l’esportazione dei dati simboleggiano una nuova era di governance pratica dell’economia digitale in cui Pechino farà pressione sulle aziende locali e straniere affinché si allineino con i suoi obiettivi di supremazia tecnologica e autosufficienza economica.

   Il 29 ottobre il principale regolatore di Internet del paese, la Cyber Space Administration of China (CAC), ha pubblicato una bozza del documento dal titolo “Misure per la valutazione della sicurezza in uscita dai dati”, che descrive in dettaglio un nuovo processo di revisione della sicurezza obbligatorio per le aziende con utenti in Cina che desiderano inviare informazioni su tali utenti all’estero. Le linee guida consentono a Pechino di controllare i flussi di dati per vari settori sulla base di vaghe definizioni di “interesse nazionale”. La revisione della sicurezza richiederà 45-60 giorni e prenderà in considerazione fattori come il potenziale danno in caso di fuga di dati, nonché “l’ambiente di sicurezza informatica” dei paesi di destinazione, le capacità di protezione dei dati delle aziende e lo scopo di inviare dati all’estero. Le linee guida potranno essere commentate fino al 28 novembre, anche se sono previste poche modifiche.

   Le aziende che saranno soggette al nuovo processo di revisione della sicurezza includono quelle che:

• Elaborano le informazioni personali di almeno 1 milione di utenti in Cina.
• Gestiscono i dati delle “infrastrutture critiche” che, se trapelati, potrebbero minacciare la sicurezza nazionale, gli interessi economici, l’interesse pubblico o i diritti dei cittadini della Cina.
• Esportano o prevedono di esportare le informazioni personali di almeno 100.000 utenti cinesi.
• Esportano o prevedono di esportare informazioni personali ritenute particolarmente “sensibili” (come dati biometrici, finanziari o di geolocalizzazione) su almeno 10.000 utenti cinesi.

   Le linee guida proposte forniscono maggiori dettagli su come le autorità gestiranno i dati e le pratiche di sicurezza informatica definite in tre principali leggi tecnologiche, che insieme impongono le opinioni di Pechino sulla sovranità dei dati. La legge cinese sulla sicurezza informatica del 2017, insieme alla più recente legge sulla sicurezza dei dati e legge sulla protezione delle informazioni personali, renderà le aziende sempre più soggette ai capricci dei regolatori e consentirà a Pechino di trattare i dati privati ​​come una risorsa nazionale.

   Le regole delineate nella legge cinese sulla sicurezza informatica del 2017 in merito agli “operatori di infrastrutture di informazioni critiche” (CIIO) impongono la segnalazione degli incidenti aziendali e i processi di valutazione della sicurezza e autorizzano lo stato a influenzare le decisioni sul personale per i team di sicurezza informatica aziendale. I CIIO sono stati definiti solo ad agosto per includere qualsiasi organizzazione per la quale l’interruzione delle operazioni potrebbe mettere in pericolo la sicurezza nazionale cinese, il benessere nazionale, l’interesse pubblico o i mezzi di sussistenza delle persone.

   La nuova legge cinese sulla sicurezza digitale , entrata in vigore il 1° settembre, incarica i funzionari locali di definire i livelli di “dati importanti” all’interno di vari settori. Sottopone inoltre le aziende che gestiscono “dati importanti” a controlli sull’esportazione dei dati basati su revisioni di sicurezza imposte dallo stato, che sono definiti dalle linee guida sull’esportazione appena rilasciate.

   La legge sulle informazioni personali, appena entrata in vigore il 1° novembre, definisce come le aziende dovrebbero gestire le informazioni personali che ora sono anche soggette a controlli sulle esportazioni. Le autorità possono anche vietare alle aziende (comprese quelle estere) di gestire le informazioni degli utenti cinesi se mettono in pericolo la sicurezza nazionale o gli interessi pubblici.

   Queste leggi e le nuove regole sull’esportazione dei dati rivelano le opinioni espansive di Pechino sulla sicurezza nazionale e una crescente propensione a regolamentare l’industria, nonché una minore attenzione politica sulla crescita economica. Le ampie categorie di aziende e pratiche sui dati soggette a queste leggi mostrano la nuova volontà di Pechino di gestire attivamente la complessa economia digitale, invece di lasciare questi affari alle società tecnologiche e regolamentare solo quando emergono rischi sistemici (ad esempio piattaforme di prestito peer-to-peer). In mezzo alla sua competizione strategica con gli Stati Uniti e in Europa, Pechino sta anche espandendo le sue definizioni di sicurezza nazionale per comprendere la prosperità economica e l’interesse pubblico, il che offre alle autorità la capacità di sfruttare l’industria per raggiungere obiettivi politici a lungo termine come la supremazia tecnologica della Cina, una maggiore autosufficienza economica e un controllo più stretto sulle informazioni digitali. Le sempre più numerose definizioni delle pratiche relative ai dati e delle categorie di aziende, come si è visto nelle recenti leggi tecnologiche, comprese le nuove norme sull’esportazione dei dati proposte, consentiranno a Pechino di regolamentare gradualmente la sfera digitale e selezionare le maggiori minacce digitali alla sua politica statale, economica e alla sicurezza, agli interessi.

   Infine, queste leggi segnano una nuova era della governance cinese incentrata sulla qualità rispetto alla quantità nella crescita economica, che include flussi di dati strettamente gestiti, segnando un netto contrasto con il tradizionale atteggiamento laissez-faire di Pechino nei confronti delle aziende straniere dal 1982.

Bianca Laura Stan