China castigará a aquellos que encuentren una vulnerabilidad en la seguridad informática en el país y lucren con ello, sobre todo, cuando no tienen autorizado vender esa información confidencial. La nueva regulación fue publicada en conjunto por parte del Ministerio de Industria y Tecnología de la Información (MIIT), la Administración del Ciberespacio de China y el Ministerio de Seguridad Pública.
Estas nuevas reglas también prohíben a las instituciones y a las personas participar en el descubrimiento, recopilación y liberación de vulnerabilidades en Internet y proporcionar datos sensibles a entidades extranjeras. Tales vulnerabilidades son una característica de los principales ataques en ciberseguridad, incluyendo uno este mes atribuido a un grupo hacker en Rusia que infectó múltiples empresas en al menos 17 países.
Aunado a ello, los proveedores de servicios de Internet están obligados a presentar documentación ante el MIIT dentro de los días posteriores al descubrimiento de cualquier tipo de vulnerabilidad. Ello con la intención de evitar las filtraciones de información a través de sitios web y medios de comunicación, poniendo en riesgo los interés de un gran número de usuarios.
Otro punto importante de la nueva ley es que no se debe publicar ningún tipo de información sobre ciberseguridad, al menos sin antes haber sido aprobada por el Ministerio de Seguridad Pública. Los registros de almacenamiento no pueden durar más de seis meses y la venta de información sobre vulnerabilidades informáticas con fines de lucro, chantajes o fraudes está prohibida.
En cuestión de instituciones bancarias, las entidades financieras que se consideren vulnerables a ciberataques están obligados a utilizar únicamente productos de seguridad fabricados en China en medida de lo posible. Los proveedores extranjeros que venden routers y algunos otros productos de red en el país están obligados a revelar detalles de su funcionamiento y las características de cifrado.
Beijing es cada vez más sensible al control sobre la información acerca de su población y su economía, las empresas tienen prohibido almacenar datos sobre clientes chinos fuera de China. En mayo de 2021 estudiantes universitarios de la provincia de Jiangsu fueron condenados a dos años y medio por fraude. Ello después de haber aprovechado vulnerabilidades informáticas en aplicaciones móviles de la cadena de comida rápida KFC para obtener comidas gratuitas y obtener ganancias causando a la compañía pérdidas por 200 mil yuanes (311 mil 740 dólares).
La nueva norma estipulada por las autoridades ministeriales en China, entrará en vigor a partir del 1 de septiembre de 2021. Si en algún momento se viola cualquier punto del reglamento, las autoridades pertinentes como el MIIT sancionarán estas acciones de acuerdo a la ley en China.