All’interno dell’ordinamento Cinese in materia di Cyber-security, Data security, e Private Data Protection, la Riforma delle Misure per la Sicurezza Informatica (“Misure”), con soli 22 articoli, contiene i regolamenti amministrativi che guidano e disciplinano direttamente le procedure di revisione della sicurezza sulla base della PRC Cybersecurity Law. Ha quindi un livello gerarchico ed effettivo significativamente importante nella struttura legislativa e si collega strettamente e direttamente all’amministrazione e all’esercizio delle forze dell’ordine. Per quanto riguarda la ratio legislativa, in questo documento sono state concesse importanti considerazioni alla sicurezza nazionale.

Proprio il 12 luglio 2021, per la prima volta dall’entrata in vigore delle Misure, l’Ufficio informazioni Internet statale ha pubblicato la Bozza della Riforma delle Misure (di seguito denominata “Bozza”).

Dai dettagli di questa revisione si ricava che il recente incidente per cui DIDI è stato bandito dopo la riforma della Cybersecurity, a causa di problemi di sicurezza dei dati, ha avuto un grande impatto su questa Bozza.

Più specificamente, l’11 giugno 2021, DIDI Chuxing, un’unicorno che si era fusa con Uber e godeva di un monopolio in Cina, ha presentato ufficialmente una richiesta di IPO alla SEC negli Stati Uniti. Il 30 giugno, a soli 20 giorni dalla presentazione, DIDI è stata registrata con successo e quotata alla Borsa di New York. Quindi, il 2 luglio 2021, il China National Network Information Office ha pubblicato la riforma della Cybersecurity sull’attività della società DIDI in Cina. Inoltre, ha richiesto che tutte le app DIDI fossero ritirate dal negozio online per consentire un’opportuna rettifica e ha interrotto la registrazione di nuovi utenti durante il periodo di revisione. Il motivo risiede nel sospetto per cui DIDI raccogliesse e utilizzasse informazioni private in grave violazione di leggi e regolamenti. Alla data di questo articolo, il funzionamento di DIDI non è stato ripristinato.

L’applicazione della riforma della Cybersecurity nei confronti di DIDI è il primo caso di applicazione da parte delle autorità cinesi dopo l’entrata in vigore della Cybersecurity Law. È molto probabile che le controversie relative alla sicurezza dei dati e al trasferimento dei dati all’estero causate dalla presunta vendita di pacchetti di dati degli utenti da parte di DIDI negli Stati Uniti siano la ragione diretta per cui DIDI è stata oggetto di attenzione.

L’articolo 6 della Bozza aggiunge esplicitamente: “Per poter richiedere una quotazione all’estero, un operatore deve richiedere al CRC una revisione della cybersecurity, qualora sia in possesso delle informazioni personali di più di 1 milione di utenti”. Difficile non pensare al suddetto incidente.

Inoltre, la Bozza ha anche esteso direttamente la procedura di revisione speciale a tre mesi, che originariamente doveva essere completata entro 45 giorni. Le autorità competenti hanno acquisito esperienza pratica di prima mano nel caso di revisione della cybersecurity di DIDI.

Ai sensi dell’articolo 10 della Bozza, i fattori di revisione della cybersecurity sono stati riqualificati da “Il rischio di furto, fuga, corruzione dei dati chiave” a “Il rischio di furto, fuga, corruzione o uso o esportazione illegale di qualsiasi dato critico o chiave o una grande quantità di informazioni personali”. Le informazioni personali e i dati dell’utente devono essere oggetto di revisione e protezione. La Bozza ha mostrato una chiara direzione da seguire per la protezione, che fornirà un’introduzione pratica per l’avvio della procedura di revisione della Cybersecurity.

Sebbene questa volta sia stata rilasciata solo la Bozza della riforma, senza alcuna certezza riguardo ulteriori modifiche di questa versione durante le deliberazioni successive, si può comunque percepire che il caso DIDI ha reso il governo cinese consapevole dei potenziali problemi di sicurezza nazionale riguardo i dati degli utenti detenuti dai giganti di Internet e ha mostrato l’urgenza e l’attenzione del governo sul monitoraggio del trasferimento di questi dati all’estero. Con l’entrata in vigore Data Security Law il ​​1° settembre 2021 e l’introduzione di successive leggi, regolamenti e misure pertinenti e, in generale, con il turbolento ambiente politico internazionale, si può prevedere che il governo cinese presterà un’attenzione senza precedenti e alla supervisione della sicurezza online. Si consiglia alle imprese di prepararsi per l’inasprimento della vigilanza in arrivo.