Gli elevati rischi legali nel fare affari con Pechino

Fare impresa in Cina è diventata attività "pericolosa", non solo economicamente. E' necessario conoscere le norme e i regolamenti nazionali, i fini e le relative implicazioni per non incorrere in sanzioni e privazioni della propria libertà personale

Dal 2015, il Partito Comunista Cinese (PCC), sotto la guida del suo Segretario Generale Xi Jinping, ha approvato ed integrato diverse leggi e regolamenti in materia di sicurezza nazionale, cybersicurezza e privacy dei dati, ampliando la sorveglianza governativa sulle aziende nazionali e straniere (comprese quelle italiane) che operano in Cina.

Foto GettyImages

Quadro generale dei rischi

Diversi sono i rischi connessi all'adozione di queste norme.

In primis, esse forniscono al governo una base legale più ampia per l'accesso e il controllo dei dati detenuti dalle aziende straniere in Cina.

In secondo luogo, tali società potrebbero incorrere in sanzioni, sia nello svolgimento di attività commerciali tradizionali, considerate oggi da Pechino come spionaggio, sia per le condotte ritenute essere di aiuto alle sanzioni straniere adottate contro la Cina.

Infine, questa regolamentazione può costringere i cittadini cinesi impiegati localmente dalle aziende straniere (comprese quelle italiane) ad assistere gli sforzi di intelligence del PCC.

Leggi e le loro implicazioni

AGGIORNAMENTO DELLA LEGGE SUL CONTROSPIONAGGIO

Il 26 aprile 2023, Xi Jinping ha promulgato la quarta Legge della Repubblica popolare cinese contro lo spionaggio, la cui bozza è stata rivista e adottata in pari data dal Comitato permanente della XIV Assemblea nazionale del popolo. La norma è entrata in vigore il 1° luglio 2023.

Tale nuova regolamentazione - che amplia la portata soggettiva ed oggettiva di quella precedente - presenta evidenti analogie con la legge sull’intelligence nazionale (NIL) con particolare riferimento all'introduzione dell'obbligo erga omnes di collaborare con l'intelligence di stato, anche quando i soggetti passivi (cittadini, imprese , organizzazioni, ecc.) risiedono al di fuori dei confini nazionali.

Sul piano oggettivo, la norma presenta un serio rischio di genericità, con evidenti riflessi in ambito applicativo. La novella, infatti, non solo ha determinato una estensione della definizione di spionaggio - portandola dai segreti di Stato e di intelligence a qualsiasi documento, dato, materiale o oggetto relativi agli interessi della interessi di sicurezza nazionale - ma non ne ha neppure definto esattamente i termini (esempio, cosa si intende per documento, dato, ecc).

Due sono le implicazioni da considerare:

• i rischi legali o di incertezza per le aziende straniere, i giornalisti, gli accademici e i ricercatori.

• tutti i documenti, i dati, i materiali o gli oggetti potrebbero essere considerati rilevanti per la sicurezza nazionale a causa dell'ambiguità normativa.

LA LEGGE del 2021 SULLA SEGNALAZIONE DELLE VULNERABILITÀ INFORMATICHE

Nel luglio del 2021 il governo cinese ha pubblicato il Regolamento sulla gestione delle vulnerabilità della sicurezza nei prodotti di rete che introduce regole più severe per le procedure di divulgazione delle vulnerabilità informatiche all'interno dei confini del Paese.

Le nuove regole includono articoli controversi, come quelli sulle restrizioni per impedire ai ricercatori di sicurezza di rivelare i dettagli del bug prima che un fornitore abbia una ragionevole possibilità di rilasciare correzioni e la divulgazione obbligatoria dei dettagli del bug alle autorità statali entro due giorni dalla sua segnalazione.

Il regolamento mette in guardia anche dalle sanzioni per i fornitori che non rilasciano patch per le vulnerabilità segnalate, le organizzazioni che raccolgono rapporti sulle vulnerabilità ma non riescono a proteggere le proprie piattaforme e per i ricercatori di sicurezza e chiunque altro abusi di vulnerabilità senza patch.

SCOPO

• Obbliga tutte le società (comprese quelle italiane) con con sede in Cina di segnalare alle autorità cinesi le vulnerabilità informatiche scoperte nei loro sistemi o software.

• Tali vulnerabilità non possono essere divulgate pubblicamente o condivise all'estero finché le autorità di Pechino non completi la valutazione.

IMPLICAZIONI

• Può fornire alle autorità cinesi l'opportunità di sfruttare le falle del sistema prima che le vulnerabilità informatiche siano pubblicamente note.

LA LEGGE del 2021 SULLA PROTEZIONE DEI DATI PERSONALI (PIPL)

Il 1° novembre 2021 è entrata in vigore la nuova legge cinese sulla protezione delle dati personali (PIPL). Composta da 74 articoli suddivisi in otto capitoli, la PIPL è la prima legislazione cinese che regola la protezione delle informazioni personali e dei dati delle “persone fisiche” che si trovano in Cina.

Anche se sulla carta la PIPL non differisce drasticamente dalla GDPR dell'Unione Europea, le ambiguità presenti in alcune delle sue disposizioni, le danno il potenziale per essere una legge sulla privacy dei dati molto più severa. Attualmente vi è un elevato livello di incertezza normativa, poiché non è chiaro quanto rigorosamente verrà applicata e su quali aspetti si concentrerà il governo cinese.

SCOPO

• Codifica i diritti alla privacy dei cittadini cinesi.

• Obbligano le aziende nazionali e straniere (comprese quelle italiane) di conformarsi alle revisioni.

IMPLICAZIONI

• Controlla il trattamento dei dati personali all'interno e all'esterno dei confini cinesi quando si forniscono prodotti o servizi a persone all'interno della Cina. Infatti, ha un'ampia portata extraterritoriale fondata sugli interessi di sicurezza.

• Limita la capacità delle aziende in Cina di raccogliere e conservare i dati personali.

• Autorizza il governo cinese a raccogliere dati personali per azioni che Pechino ritiene essere di interesse pubblico

ANTI-FOREIGN SANCTIONS LAW del 2021

La nuova legge sulle sanzioni anti-straniere (AFSL) approvata il 10 giugno 2021 è un segnale al resto del mondo di ciò che la Cina è disposta a fare per proteggere i propri interessi e preservare la stabilità del suo sistema politico. Fonti ufficiali l’hanno inquadrata come un meccanismo di autodifesa che consente a Pechino di contrastare le sanzioni straniere, ma la legge è in realtà molto più espansiva (vedi analisi qui).

SCOPO

• Indica i casi nei quali il governo cinese può adottare misure contro le sanzioni straniere, autorizzandolo ad intraprendere azioni contro persone o entità che attuano o assistono sanzioni straniere contro la Cina.

IMPLICAZIONI

• Facilita la capacità di Pechino di rivalersi su entità straniere che ritiene abbiano svolto un ruolo di assistenza nell'attuazione di sanzioni straniere

• Incertezza nelle definizione della condotta. La soglia per ritenere sussistente l'azione di "assistenza" nell'attuazione di sanzioni straniere, infatti, non è specificata nella legge.

• Può costringere le aziende straniere a rispettare le norme cinesi piuttosto che quelle dello Stato di origine e, in caso di violazione, affrontare conseguenze legali.

LA LEGGE SULLA SICUREZZA DEI DATI del 2021

La legge sulla sicurezza dei dati (DSL) istituisce un quadro che classifica i dati raccolti e archiviati in Cina in base al loro potenziale impatto sulla sicurezza nazionale cinese e ne regola l'archiviazione e il trasferimento in base al livello di classificazione dei dati (vedi un'analisi legale qui).

Le violazioni comportano sanzioni pecuniarie e persino la sospensione dell'attività e la revoca di licenze o permessi. La persona direttamente responsabile dell’implementazione della conformità all’interno dell’azienda sarà esposta a rischi di sanzioni.

La legge è generalmente vista come una risposta al Clarifying Lawful Overseas Use of Data Act (CLOUD Act) degli Stati Uniti, che conferisce alle forze dell'ordine statunitensi l'autorità di obbligare le società che rientrano nella giurisdizione statunitense a produrre i dati richiesti indipendentemente da dove essi sono archiviati.

SCOPO

• Classifica i dati in un sistema a livelli in base all'interpretazione di Pechino dell'importanza dei dati per la sicurezza dello Stato.

• Sottopone i flussi di dati transfrontalieri a ulteriori requisiti normativi e divieti aggiuntivi.

• Consente a Pechino di controllare o negare i trasferimenti transfrontalieri e rifiutare le richieste di trasferimento di dati da parte di governi stranieri

IMPLICAZIONI

• Espande l'accesso e il controllo del PCC sulle aziende e sui dati all'interno della Cina

• Aumenta la capacità della Cina di controllare il flusso dei dati verso l'esterno.

• Impone sanzioni più severe alle imprese con sede in Cina (comprese quelle italiane) in caso di non conformità.

LA LEGGE NAZIONALE SULL'INTELLIGENCE del 2017

Nel 2017, in Cina è stata adottata la legge sull’intelligence nazionale (NIL) che dispone l’obbligo, per tutte le organizzazioni e i cittadini cinesi, di collaborare con il governo per questioni di sicurezza.

Un rapporto dello studio legale svedese chiarisce la vastità della portata applicativa di questa legge:

• “La NIL si applica a livello globale ai gruppi cinesi, per cui tutte le filiali, anche quelle al di fuori della Cina, potrebbero essere soggette alla NIL. Poiché la società madre cinese è soggetta alla NIL, la NIL potrebbe, dal punto di vista del diritto internazionale pubblico, avere giurisdizione anche sulle filiali estere del gruppo. Inoltre, la capogruppo cinese ha poteri di governance sulle filiali estere, che potrebbero imporre la loro conformità alla NIL. […] La NIL si applica a tutte le organizzazioni in Cina, un termine che sembra includere tutti i tipi di società stabilite in Cina, indipendentemente dalla proprietà, cioè azionisti cinesi privati e pubblici così come azionisti stranieri. […] La NIL si applica a tutti i cittadini cinesi e, poiché non sembra avere un’esplicita limitazione geografica, potrebbe essere interpretata per applicarsi a tutti i cittadini cinesi anche quando risiedono al di fuori della Cina”.

SCOPO

• Stabilisce che i cittadini o le organizzazioni private debbano assistere i Ministeri della Pubblica Sicurezza e della Sicurezza di Stato (i massimi organi di intelligence cinese) negli sforzi di intelligence.

IMPLICAZIONI

• Crea responsabilità legali "affermative" erga omnes di fornire accesso alle agenzie di intelligence cinesi o di collaborare con esse.

• Può costringere i cittadini cinesi assunti localmente dalle aziende straniere ad assistere gli sforzi dell'intelligence nazionale cinese.

LA LEGGE SULLA CYBERSICUREZZA del 2017

Pechino ha promulgato la CSL il 7 novembre 2016 ed è entrata in vigore il 1 giugno 2017, con l’obiettivo di stabilire un regime normativo uniforme per la sicurezza informatica e la protezione dei dati in Cina

Molteplici agenzie governative sono coinvolte nell'attuazione di questa norma, tra cui:

• Cyberspace Administration of China (CAC) e i suoi uffici locali

• Ministero della Pubblica Sicurezza (MPS) e Uffici locali di Pubblica Sicurezza

• Ministero dell'Industria e delle Tecnologie dell'Informazione (MIIT) e Uffici locali delle telecomunicazioni

• Altri regolatori settoriali, come:

  • Ministero della Scienza e della Tecnologia (MOST)

  • Amministrazione nazionale dell'energia (NEA)

  • Commissione cinese per la regolamentazione bancaria e assicurativa (CBIRC)

Sebbene alcune disposizioni debbano ancora essere implementate, la CSL viene attualmente applicata nei seguenti modi:

• Impone obblighi di base in materia di protezione dei dati e sicurezza informatica agli operatori di rete, compresi obblighi di conformità con le norme del sistema di protezione multilivello (MLPS)

• Fornisce un quadro normativo per gli operatori delle infrastrutture critiche informatizzate (CII).

• Stabilisce un meccanismo di revisione della sicurezza informatica per prodotti e servizi di rete che potrebbero mettere a rischio la sicurezza nazionale della Cina

• Stabilisce i requisiti di certificazione pre-vendita per apparecchiature di rete critiche e prodotti per la sicurezza di rete

• Impone requisiti per proteggere i dati raccolti nelle operazioni delle reti

• Prevede una vasta gamma di sanzioni per le aziende non conformi

SCOPO

• Delinea l'approccio della Cina alla sicurezza informatica.

• Obbligo per le aziende di infrastrutture critiche (non definite nella legge) di conservare i loro dati all'interno dei confini della Cina.

• Richiede che i dati archiviati in Cina siano accessibili ai suoi servizi di intelligence

IMPLICAZIONI

• Le aziende devono localizzare alcuni tipi di dati conservati all'interno dei confini cinesi, compresi quelli di aziende straniere (anche italiane) che operano in settori critici non meglio definiti definiti

LA LEGGE SULLA SICUREZZA NAZIONALE del 2015

Il 1° luglio 2015, Pechino ha adottato la Legge sulla sicurezza nazionale, entrata in vigore lo stesso giorno.

La legge dice che la “sicurezza” deve essere mantenuta in tutti i campi, dalla cultura all’istruzione al cyberspazio, assegnando il controllo della National Security ad un'agenzia centrale.

SCOPO

• Delinea le responsabilità dell'intera società in materia di sicurezza nazionale cinese

• Stabilisce che i cittadini e le organizzazioni private della Cina devono assistere il governo centrale e i servizi di intelligence in materia di sicurezza quando ordinato

IMPLICAZIONI

• Obbliga le aziende e i cittadini cinesi di fornire assistenza a tutte le agenzie di sicurezza nazionale

• Può obbligare i cittadini cinesi assunti localmente dalle aziende straniere Iitaliane comprese) a fornire assistenza nelle indagini che possono smascherare elementi operativi di aziende e/o cittadini stranieri.