Dopo un anno di gestazione e due bozze aperte a commenti nelle fasi di revisione, il Comitato permanente dell’assemblea nazionale del popolo cinese ha approvato l’attesa legge per la sicurezza dei dati informatici. La Data Security Law (Dsl) entrerà in vigore dal 1° settembre 2021 e costituisce un importante tassello nel mosaico del sovranismo digitale di Pechino. Unitamente alla legge sulla privacy e alle misure anti-trust per contenere la supremazia delle big tech, la regolamentazione della sicurezza dati riafferma l’intenzione del Partito comunista di stabilirsi come solo garante e sovrintendente dell’ecosistema digitale nazionale.
Che cosa prevede la Data Security Law?
La nuova legge sulla sicurezza dei dati abbraccerà diversi settori, dalla tecnologia alle telecomunicazioni, ma anche trasporti, sanità e istruzione. Oltre a completare la normativa sulla sicurezza informatica del 2017, che vietava il trasferimento di dati sensibili al di fuori dei confini cinesi, la Dsl prevede una centralizzazione dei poteri statali sui dati elaborati nella Repubblica Popolare (anche quelli di proprietà delle aziende private), che verranno protetti e controllati nel nome della sicurezza nazionale. Tramite indicazioni a enti e privati su come gestire la raccolta, elaborazione e compravendita di dati, la nuova legge pone le fondamenta per un ampio framework legislativo che riguarderà tutti i servizi legati a Internet. Il tutto sotto la stretta supervisione del Partito.
Dopo avere chiarito la definizione di “elaborazione dati” e “sicurezza dei dati”, la Dsl si sviluppa su tre filoni principali:
- Protezione dei dati fondamentali: secondo l’articolo 20 della nuova legge, il regolamento per la sicurezza dei dati sarà fondato su una classificazione gerarchica dei dati. Un vero e proprio “catalogo dei dati importanti” stabilito a livello nazionale sui quali il governo potrà esercitare il controllo. Verranno inoltre diffuse delle linee guida su come raccogliere e conservare i dati in sicurezza. Spetterà alle istituzioni supervisionare il loro corretto utilizzo.
- Regolamentazione del trasferimento dati oltre i confini: l’articolo 30 prevede l’istituzione di un’infrastruttura per il trattamento e l’elaborazione dei dati fondamentali (Critical Information Infrastructure, CII) che controlli il trasferimento di dati fuori dai confini cinesi. Su questi dati, considerati sensibili per la sicurezza nazionale, si potrà applicare la legge sulla sicurezza informatica. Sarà la Cyber Security Administration a supervisionare (e eventualmente impedire) il loro trasferimento. Zona grigia in questa parte della regolamentazione è la definizione ancora troppo vaga di dati fondamentali. Senza indicazioni precise, il ventaglio di dati su cui il Pcc ha facoltà di accesso in base al principio della sicurezza nazionale si allarga drasticamente. Un problema annoso per le aziende tecnologiche del Dragone come Tencent o Alibaba, che da anni operano anche in ambito internazionale. In caso di “verifiche sulla sicurezza nazionale o per indagini penali”, le aziende dovranno infatti sottoporsi a ispezioni e concedere allo stato accesso ai propri dati sensibili.
- Obbligo di licenza per i servizi di elaborazione dati: in base all’articolo 33, i provider di servizi informatici dovranno richiedere dei permessi per l’elaborazione dati. Questa misura va di pari passo con i massicci investimenti di Pechino nella creazione di data center statali. È un ulteriore tentativo da parte del Pcc di stabilire un ecosistema digitale a guida statale fondato sui dati.
Perché è importante?
Fino a oggi affetta da gravi carenze normative, con questa nuova legge la Cina si prepara a diventare uno degli stati più preparati dal punto di vista giuridico sotto il profilo della sicurezza informatica, ma soprattutto della compravendita di dati. Pechino ha riconosciuto la loro importanza come nuova moneta di scambio del futuro e vuole fare dell’informazione digitale la forza trainante dell’economia del paese. È dunque necessario creare un apparato normativo solido a protezione dei dati e allargare la maglia delle competenze del governo centrale nella loro gestione. Con la nuova legge sulla sicurezza dati, inoltre, Pechino aggiunge un altro proiettile in canna per tenere sotto controllo le big tech, dopo le sanzioni antitrust degli scorsi mesi. Per realizzare un ecosistema digitale che sia completamente sotto la supervisione del Pcc, il governo ha bisogno di assoggettare chi in Cina custodisce già miliardi di dati. Ecco perché le compagnie tecnologiche cinesi saranno le prime a essere interessate da questa legge.
Quali le conseguenze per chi non si attiene alla nuova legge?
La sicurezza dei dati è un affare costoso. Chi non si atterrà alle nuove regolamentazioni di sicurezza dati sarà soggetto a multe fino a 500mila yuan e rischia la revoca della licenza commerciale. Le aziende non avranno molto tempo per conformarsi alla Dsl, che entrerà in vigore già dal 1° settembre. Ma non solo. Parte integrante della normativa è l’individuazione di colpevoli ben precisi. In caso di mancata collaborazione con le autorità statali o di protezione dei dati insufficiente, il soggetto responsabile può essere multato fino a 100 mila yuan.
Di Lucrezia Goldin
Giornalista praticante, laureata in Chinese Studies alla Leiden University. Scrive per il FattoQuotidiano.it, Fanpage e Il Manifesto. Si occupa di nazionalismo popolare e cyber governance si interessa anche di cinema e identità culturale. Nel 2017 è stata assistente alla ricerca per il progetto “Chinamen: un secolo di cinesi a Milano”. Dopo aver trascorso gli ultimi tre anni tra Repubblica Popolare Cinese e Paesi Bassi, ora scrive di Cina e cura per China Files la rubrica “Weibo Leaks: storie dal web cinese”.