La crittografia per le attività commerciali: La prima Legge promulgata in materia di crittografia commerciale in Cina

Il 26 ottobre 2019, il Comitato Permanente del Congresso Nazionale Popolare Cinese ha approvato la Legge sulla crittografia della Repubblica Popolare Cinese (di seguito denominata “Legge sulla Crittografia”), che entrerà in vigore il 1 ° gennaio 2020. Prima dell’approvazione della Legge sulla Crittografia, l’unica fonte di diritto in materia era il Codice di Crittografia Commerciale, un regolamento amministrativo emesso nel 1999 che disciplinava il controllo della crittografia. Pertanto, la Legge sulla crittografia è considerata come la prima legge generale esclusivamente dedicata all’argomento.

La nuova Legge classifica la crittografia per la prima volta in 3 diverse categorie, che sono crittografia di base, ordinaria e commerciale. La crittografia di base e la crittografia ordinaria sono coperte dal segreto di Stato e devono essere amministrate in modo uniforme ed esclusivamente dai dipartimenti specifici, mentre la crittografia commerciale non è coperta da segreto di Stato.

In primo luogo, la Legge sulla Crittografia ha rimosso l’ottenimento della Licenza come requisito per l’accesso al mercato, per liberalizzare ulteriormente il mercato. Inoltre, introduce le seguenti novità:

1) Le imprese a partecipazione straniera sono equiparate alle imprese azionali in materia di crittografia commerciale e possono svolgere analogamente attività quali ricerca scientifica, produzione, vendita, assistenza, importazione ed esportazione di crittografia commerciale;

2) I codici commerciali utilizzati per i prodotti di largo consumo non sono soggetti alla Licenza di importazione e al sistema di controllo delle esportazioni;

3) E’ stato abolito l’esame e l’approvazione da parte delle Amministrazioni per lo sviluppo, produzione, importazione e uso dei prodotti di crittografia commerciale. Inoltre, la valutazione della sicurezza e la certificazione dei prodotti di crittografia commerciale devono essere effettuate solo nei settori relativi alla sicurezza nazionale, all’economia nazionale e mezzi di sussistenza delle persone e interessi sociali e pubblici.

In secondo luogo, la Legge sulla Crittografia ha istituito il sistema di rilevamento e autenticazione della crittografia commerciale attraverso le previsioni dell’articolo 25 e 26. Le aziende che utilizzano la crittografia commerciale possono accettare volontariamente il rilevamento e l’autenticazione della crittografia commerciale; i prodotti di crittografia commerciale che riguardano la sicurezza nazionale, l’economia nazionale e il sostentamento delle persone e gli interessi sociali e pubblici devono essere elencati nel “Catalogo dei prodotti specifici per le apparecchiature essenziali per la rete e la sicurezza della rete” (aggiornato regolarmente) e devono essere venduti o forniti solo dopo l’obbligatoria certificazione di collaudo rilasciata da istituti qualificati. Allo stesso tempo, se il servizio di crittografia commerciale è destinato a dispositivi di rete e prodotti per la sicurezza di reti speciali, l’agenzia di autenticazione di crittografia commerciale dovrà anche verificare la qualità del servizio di crittografia commerciale.

In terzo luogo, i principali operatori delle infrastrutture per l’informazione sono tenuti a valutare e verificare la sicurezza delle operazioni di crittografia commerciale. Riguardo gli operatori delle infrastrutture per informazioni cruciali, coloro che utilizzano la crittografia commerciale per la protezione dovranno effettuare autonomamente una valutazione della sicurezza delle operazioni di crittografia commerciale o rivolgersi ad un’agenzia di rilevamento della crittografia commerciale. Coloro che acquistano prodotti e servizi di rete che prevedono la crittografia commerciale che possono intaccare la sicurezza nazionale dovranno superare l’esame da parte della sicurezza nazionale.

Pertanto, i principali operatori delle infrastrutture di informazione dovranno eseguire la valutazione della sicurezza e gli obblighi di revisione della sicurezza nazionale per svolgere le proprie attività relative alla crittografia commerciale. In pratica, molte aziende hanno già analizzato l’utilizzo della crittografia commerciale ai sensi dei “Requisiti di Base GM / T 0054-2018 per l’utilizzo di crittografia dei sistemi di informazione”.

La promulgazione e l’entrata in vigore della Legge sulla Crittografia in generale può essere considerata una buona notizia per le imprese operanti nella crittografia commerciale, in particolare le imprese a partecipazione straniera, principalmente nei seguenti modi:

1) I prodotti di consumo di massa importati (come vari prodotti elettronici con funzioni di comunicazione), compresi i componenti e le tecnologie di crittografia, potrebbero non necessitare più di noiosi processi di autenticazione con password, che facilitano la conseguente distribuzione dei prodotti nel mercato cinese;

2) I componenti e le tecnologie di crittografia per l’export utilizzati dalle imprese a partecipazione straniera ai fini della comunicazione interna, all’interno del gruppo o con i loro partner commerciali, non necessitano più di fastidiose approvazioni e formalità di conservazione dei documenti in modo che possano essere utilizzate liberamente;

3) Un’impresa straniera che possiede la capacità di ricerca e sviluppo della tecnologia di crittografia può entrare nel mercato cinese con un partner cinese o da sola.

In ogni caso, per le aziende è fondamentale tenersi aggiornati sui successivi sviluppi della Legge sulla Crittografia e delle relative normative al fine di adottare le misure necessarie per adeguarsi alla riforma.