China acaba de modificar su normativa de ciberseguridad para incorporar dos conceptos estratégicos: la cuestión de la defensa y el uso de la inteligencia artificial (IA). La novedad se conoció en el marco de la reciente 18ª sesión del Comité Permanente de la XIV Asamblea Popular Nacional, donde se aprobó una enmienda a la Ley de Ciberseguridad para normativizar el desarrollo y el uso de tecnologías emergentes, sobre todo la inteligencia artificial (IA), a la vez que robustecer el esquema de penalizaciones en materia de ciberseguridad. Este nuevo marco regirá a partir del 1 de enero de 2026. Pero no sólo eso. También se acaba de publicar el “Marco de Gobernanza de Seguridad en Inteligencia Artificial”, un documento técnico y político que redefine cómo el país avanza y discute sobre los riesgos asociados; a la par que trascendió que el próximo plan quinquenal se cimentaría en la innovación y el uso transversal de la IA.
La enmienda
Este 28 de octubre, el Comité de Constitución y Derecho del Congreso Nacional del Pueblo de la República de China comunicó que enmendó su Ley de Ciberseguridad, sancionada en 2016 e implementada un año más tarde, para incorporar conceptos como el de seguridad nacional, promoción de la investigación en IA (con creación de la infraestructura necesaria y la mejora de los estándares éticos); además de incorporarla como herramienta de resguardo.
La actualización normativa, además, incrementa las penalizaciones por la responsabilidad cibernético-informática, a la vez que clasifica y penaliza la violación de una red. Por ejemplo, se multiplican las cargas y multas por una vulnerabilidad, donde las personas responsables y las empresas pueden enfrentar el pago de tasas que varían según sea la gravedad y el impacto; mientras que los operadores de infraestructura crítica pueden sufrir hasta la revocación de sus licencias, entre otros castigos administrativos severos. E,inclusive, se aspira a articular mejor con otras reglamentaciones, como con la Ley de Seguridad de Datos y la de Protección de Información Personal, entre otras.
Imagen creada con chatGPT
El gobierno local publicó en su portal web que “la 18ª reunión del Comité Permanente de la 14ª Asamblea Popular Nacional decidió enmendar la Ley de Ciberseguridad de la República Popular China”. Allí, incorpora el concepto general de seguridad nacional y adelanta que promoverá la construcción de un “poder cibernético”, a la vez que habilita el uso de la IA para tal fin.
Dice: “El Estado apoya la investigación teórica básica sobre inteligencia artificial y el desarrollo de tecnologías clave como los algoritmos, promueve la construcción de infraestructuras como los recursos de datos de entrenamiento y la potencia informática, mejora las normas éticas para la inteligencia artificial, refuerza la vigilancia y evaluación de riesgos y la supervisión de la seguridad, y promueve la aplicación y el desarrollo saludable de la inteligencia artificial”.
Y precisa que “el Estado apoya enfoques innovadores para la gestión de la ciberseguridad y el uso de nuevas tecnologías, como la inteligencia artificial, para mejorar el nivel de protección de la ciberseguridad”.
En otro articulado, identificado con el n°42, adelanta que los operadores de red deberán cumplir con éstas y otras disposiciones normativas al procesar información personal (además de esta ley, el Código Civil, la Ley de Protección de Datos Personales de la República Popular China, entre otras normativas), a la vez que incorpora penalidades.
“Si un operador de red incumple sus obligaciones de protección de la seguridad de la red, según lo estipulado en los artículos 23 y 27 de esta Ley, el departamento competente correspondiente le ordenará realizar las correcciones necesarias, le emitirá una advertencia y podrá imponerle una multa de entre 10.000 y 50.000 yuanes; si se niega a realizar las correcciones o provoca consecuencias como poner en peligro la seguridad de la red, se le impondrá una multa de entre 50.000 y 500.000 yuanes, y la persona directamente responsable y demás personas directamente responsables se les impondrán multas de entre 10.000 (1.400 dólares) y 100.000 yuanes (140.000 dólares)”, advierte.
En cuanto a las sanciones para los operadores de infraestructura crítica, el articulado prevé que la autoridad competente ordene ejecutar correcciones y se prevén multas de entre los 50.000 (70.000 dólares) y los 100.000 yuanes, que se multiplican en caso de que esas correcciones no se realicen en tiempo y forma o si los actos tuvieran “consecuencias graves para la ciberseguridad” por, por ejemplo, sufrir fugas masivas de datos o la pérdida parcial de la función de infraestructuras críticas de información. En este caso, por ejemplo, las multas escalan entre los 500.000 (más de 70.000 dólares) y los dos millones de yuanes (unos 282.000 dólares), con variaciones de jerarquías.
“Sin ciberseguridad no hay seguridad nacional”
El texto completo de esta enmienda -disponible aquí- fue acompañado por –aqui- por la declaración de Wang Ruihe, subdirector de la Comisión de Asuntos Legislativos del Comité Permanente de la Asamblea Popular Nacional, en el que se sentencia que “sin ciberseguridad no hay seguridad nacional, ni funcionamiento económico y social estable, y no se pueden garantizar los intereses de la gran mayoría de la población”.
Pixabay – Elchinator
“Desde su entrada en vigor el 1 de junio de 2017, ha desempeñado un papel vital en la salvaguarda de la soberanía, la seguridad y los intereses de desarrollo del ciberespacio nacional, la protección de los derechos e intereses legítimos de todas las partes en el ciberespacio y la promoción del desarrollo saludable de la informatización económica y social”, dijo Wang Ruihe sobre esta ley que ahora se modificó, y subrayó la necesidad del caso.
“En los últimos años, la tecnología de la información ha avanzado rápidamente y las aplicaciones de red se han generalizado y se han integrado cada vez más en la vida y la producción social. Al mismo tiempo, los riesgos de ciberseguridad se han acentuado, con la frecuencia de actividades ilícitas como la intrusión en redes, los ciberataques y la difusión de información ilegal”, dijo.
En ese discurso también precisó que, para realizar esta enmienda, se desarrolló una investigación intersectorial en la que participaron funcionarios, empresarios y académicos; además de haber realizado dos consultas públicas ad hoc; y resumió que la revisión se centró en la visión sobre el estado de derecho y la construcción de un “sólido poder cibernético”.
Propuso, a su vez, enfocarse en la resolución de problemas (con el fortalecimiento de las responsabilidades legales y sanciones); reforzar “la conexión orgánica con leyes pertinentes” (entre las que destaca a las leyes de Seguridad de Datos, de Protección de Información Personal y l de Sanciones Administrativas); y diferenciar las responsabilidades legales de los distintos actores de la cadena (tanto los vinculados a la seguridad de las operaciones de red, como a la seguridad de la información en la red).
Gobrenanza 2.0
Días previos a la sanción de esta enmienda, la a Administración del Ciberespacio de China (CAC) publicó la versión 2.0 de su “Marco de Gobernanza de Seguridad en Inteligencia Artificial”, un documento que ofrece detalles técnicos pero también de la mira política del país en torno a la mitigación de los riesgos asociados al uso y al desarrollo de IA.
También se trata de una novedad que se inscribe el nuevo plan quinquenal del país -que sería aprobado recién en marzo de 2026-, donde la IA cimenta el impuso de su desarrollo económico: se trata del Plan IA+ y es una apuesta en la que todos los ámbitos de su vida en sociedad, desde la industria hasta la educación y la administración pública, estarán atravesados por la IA hasta el fin de la década.
Foto de Andy Kelly en Unsplash
Según dio a conocer Wired, la aspiración estratégica pasa por redefinir el modelo de desarrollo económico del país al pasar de crecimiento impulsado por la industria tradicional a uno cimentado en la innovación, el conocimiento, la digitalización y la sustentabilidad; de un desarrollo en “cantidad” a uno con “calidad”. Esto, claro, inmerso en una larga batalla de la geoestrategia.
Pero volviendo al Marco de Gobernanza -disponible aquí-, este documento refleja la preocupación que el uso y desarrollo de la IA genera, y propone un enfoque común de Gobernanza de la Seguridad de la IA, basado en nociones como la seguridad común, integral, cooperativa y sostenible, con el afán de prevenir y desactivar sus riesgos de seguridad, garantizar su tenga un impacto beneficioso para la humanidad y se proteja la soberanía nacional.
En ese sentido, establece dos grandes categorías de riesgos: los inherentes a la IA y los de su uso.
En los inherentes detalla los riesgos que involucran los modelos algorítmicos, no sólo por su sesgo o manipulación, sino por su falta de fiabilidad (alucinaciones) y el peligro vinculado a los datos (tanto por su recopilación como uso ilegal y fuga), además del posible uso para afectar a las infraestructuras y las cadenas de suministro.
En lo que a aplicaciones de la IA refiere, destaca desde el uso inadecuado en el ciberespacio hasta su impacto en el mundo terrenal al introducir riesgos económicos y sociales, pero también de los vinculados a la cognición (y los silos informativos) y a la ética.
El trabajo aborda dos tipos de posibles medidas, una vinculada al fortalecimiento de la infraestructura y las cadenas de suministro, a la vez que plantea la necesidad de implementar un sistema escalonado de clasificación por riesgo para las aplicaciones de IA. También, señala la necesidad de avanzar con la trazabilidad y el etiquetado obligatorio del contenido generado por IA, de mejorar las legislaciones vinculadas a la seguridad de datos y de protección de la información personal; de fomentar el desarrollo de una IA con revisión ética y del abordaje de sus riesgos mediante mecanismos de cooperación global.
En ese sentido, advierte una posible pérdida del control humano de la herramienta y plantea preocupación por su posible uso catastrófico para crear armas, e insta a crear mecanismos internacionales de “apagado” de situaciones de emergencia.
Anque no posee carácter regulatorio, este trabajo desarrollado por el Comité Técnico de Normalización de la Seguridad de la Información (TC260) y el Centro Nacional de Respuesta a Emergencias Informáticas (CNCERT-CC), al calor de la CAC, se propone como hoja de ruta y de reflexión para este país y para el resto del mundo.
Debe estar conectado para enviar un comentario.