O que os MNCs precisam aprender para conectar legalmente sedes, subsidiárias, filiais e funcionários dentro ou fora da China?

Um número crescente de corporações multinacionais (“MNCs”) com vários estabelecimentos ou escritórios em toda a China encontrará uma questão comum de como encontrar uma maneira rápida, segura e confiável de compartilhar informações e recursos entre subsidiárias e sedes no exterior através de redes. Além disso, os funcionários viajantes ou aqueles que trabalham em casa (em particular, levando em conta o recente surto COVID-19 que resultou em situações de fechamento de escritórios e bloqueio de escritórios) exigem uma solução igualmente segura e confiável para se conectar à rede de computadores de seus negócios a partir de locais remotos.

No entanto, o status legal da VPN para conexão de rede na China parece ser obscuro, acompanhado de ações de execução relativamente pró-ativas tomadas contra vpn ilegais para conexão de rede transfronteiriça. Particularmente, a Secretaria de Segurança Pública de Pequim (“PSB”) anunciou recentemente a repressão ilegal da VPN como um de seus projetos especiais de 2020.

Para ajudar a navegar pelas empresas através desse dilema, este artigo introduzirá o arcabouço legal e a prática sobre como alcançar legalmente as conexões de rede da MNC para fins comerciais internos i) entre sua sede estrangeira e suas subsidiárias/filiais chinesas e ii) dentro da China, como para a conexão de rede de subsidiárias/filiais domésticas, e para a conexão remota de rede dos funcionários.

O status legal da VPN para conexão de rede

A tecnologia VPN em si não é ilegal sob o atual regime legal na China. No entanto, os serviços de telecomunicações para fins comerciais, categorizados como serviço básico de telecomunicações (“BTS”) ou serviço de telecomunicações de valor agregado (“IVAS”), se realizado com base em VPN, são exigidos nos regulamentos chineses de telecomunicações e suas regras de implementação para solicitar licenças administrativas relevantes, incluindo:

• Categoria I BTS: Serviços internacionais de telecomunicações de dados;

• Categoria II BTS: Serviços de comunicação de dados domésticos de rede fixa;

• Categoria I IVAS: Serviços de rede privada virtual do protocolo de Internet nacional.

Os requisitos para solicitar uma licença específica variam dependendo da natureza do serviço de telecomunicações realizado, entre outros, seja para fornecer uma conexão transfronteiriço ou doméstica.

Por outro lado, um MNC não é obrigado a solicitar as licenças acima para alcançar sua conexão de rede através de serviços de telecomunicações fornecidos por um ISP licenciado se suas atividades previstas satisfazerem o teste não comercial.

a. VPN para conexão de rede transfronteiriço

O serviço de VPN para conexão transfronteiriço na China é um serviço de telecomunicações altamente regulamentado para acesso internacional a canais de internet sob regulamentos chineses de telecomunicações, que exige licenças administrativas especiais (por exemplo, categoria I BTS: Serviços internacionais de telecomunicações de dados) do Ministério da Indústria e Tecnologia da Informação da China (“MIIT”). As empresas são proibidas de auto-estabelecer ou alugar circuitos privados (incluindo VPN) sem obter aprovação das autoridades reguladoras de telecomunicações.

Além disso, o MIIT exige que o serviço de VPN no que diz respeito a circuitos privados internacionais seja utilizado apenas pelos usuários para seus negócios oficiais internos exclusivamente e não seja usado para se conectar com data centers nacionais e estrangeiros ou plataformas de negócios para a realização de qualquer operação comercial pública de telecomunicações.

Portanto, os MNCs considerando o uso de conexões de rede privada transfronteiriço devem se envolver com operadoras de telecomunicações licenciadas pelo BTS para alugar diretamente

i) dentro da China, circuitos privados internacionais (incluindo VPNs) fornecidos pelas referidas operadoras de telecomunicações licenciadas, ou

ii) de circuitos privados internacionais no exterior (incluindo VPNs) fornecidos pelas referidas operadoras de telecomunicações licenciadas, ou encomendar um operador no exterior para fazê-lo.

Ao estabelecer redes internas de escritórios através desses circuitos privados, os MNCs podem confiar a terceiros qualificados (incluindo empresas com licenças comerciais, incluindo IP-VPN doméstica, transmissão de dados domésticos de rede fixa, etc.) para fornecer serviços de terceirização, como integração de sistemas, manutenção, etc., mas tais terceiros são proibidos de se envolver em circuito privado internacional (incluindo VPN) negócios de aluguel ou venda de recursos.

As empresas devem manter políticas restritivas de acesso à rede interna e ficar atentas e vigilantes para as regras relevantes e tendências de ação de execução, de modo a evitar possíveis interrupções nos negócios no acesso à rede ou conexões no futuro.

b. VPN para conexão de rede doméstica

Da mesma forma que as conexões transfronteiriços, a VPN para serviços de conexão doméstica, incluindo principalmente vpn local-a-local (para conexão de rede de subsidiárias/filiais domésticas) e VPN de acesso remoto (para conexão remota de rede dos funcionários), são reguladas sob o Regulamento de Telecomunicações.

As VPNs local a site estão geralmente sujeitas aos regulamentos ip-VPN na China. De acordo com o Catálogo Classificado de Serviços de Telecomunicações, “serviço doméstico de rede privada virtual da Internet (IP-VPN)” refere-se a:

“serviços prestados por uma operadora usando recursos próprios ou alugados da rede de Internet, através do protocolo TCP/IP, para personalizar a rede de usuários fechadas da Internet para usuários domésticos. A rede privada virtual da Internet é estabelecida principalmente através do túnel IP e de outras tecnologias baseadas em TCP/IP, que fornece um certo grau de segurança e confidencialidade. A rede privada pode alcançar a transmissão de pacotes transparente criptografada.”

Embora a leitura literal das regulamentações relativas aos respectivos requisitos de licenciamento seja geralmente entendida como aplicada apenas às atividades de telecomunicações como um serviço (ou seja, para fins comerciais), a atitude do regulador chinês de telecomunicações tende a ser mais conservadora. Consultas de fundo anteriores com o MIIT sugerem que uma empresa poderia ser necessária para obter a aprovação ip-VPN para o seu próprio estabelecimento de uma conexão de rede doméstica entre diferentes escritórios, dependendo de uma determinação caso a caso pelo regulador sobre como a rede é implantada e conectada, e se é apenas para fins não comerciais.

Ou seja, os MNCs podem se envolver com isps licenciados pelo VATS para alcançar sua conexão de rede doméstica com sede na China. Se um MNC pretende estabelecer uma solução de conexão local-site de rede doméstica por meio de IP-VPN para suas subsidiárias dentro da China para seu uso interno de negócios, o MIIT, se o teste de finalidade não comercial for visto como falho, pode exigir que o MNC solicite uma licença de IVA categoria I (B13) para fornecer “serviços de rede privada virtual do protocolo de Internet”. No entanto, se fornecer soluções para acesso remoto à rede por funcionários viajantes ou aqueles que trabalham apenas em casa, o MIIT reconhece que ele pode ser considerado como um propósito de negócios puramente interno (ou seja, para fins não comerciais), portanto, os requisitos de licenciamento do VATS não se aplicarão nesse caso.

Na prática, porém, tem sido observada menos aplicação contra a VPN sem aprovação para negócios internos e uso não comercial, em oposição à aplicação comparativamente agressiva de limpeza e desligamento contra serviços de VPN não autorizados para conexões transfronteiriças.

Mais obrigações a serem notárias para conexões de rede na China

O design de VPN para conexões de rede domésticas pode envolver a operação de algum tipo de serviços on-premise acessíveis a partir da internet. Se esse for o caso, a empresa pode estar sujeita a outras obrigações, inclusive por exemplo:

• Inscrição iCP para abertura das portas 80, 8080 e 443.

Um registro de provedor de conteúdo de internet (“ICP”) (para fins não comerciais) ou licença (para fins comerciais) será necessário para aqueles servidores web no local hospedados na China. Após o registro com ou licença do MIIT, esses servidores devem ser posteriormente arquivados junto ao PSB local. Sem arquivar tais servidores e a abertura dessas portas, o site que está operando nas portas 80, 8080 e 443 será bloqueado pelas operadoras locais de telecomunicações sob telecomunicações relevantes e regras internacionais.

• O cumprimento dos requisitos de segurança cibernética e proteção de informações pessoais sob a Lei de Segurança Cibernética da China (“CSL”) e suas regras e regulamentos de implementação.

Uma empresa que opera uma VPN para conexão de rede poderia ser considerada como uma operadora de rede8 sob o CSL e, portanto, talvez sujeita a requisitos legais para, por exemplo:

° implementar medidas de proteção de segurança de acordo com a classificação da rede conforme definido no regime de proteção multinenta (“MLPS”); ° designar pessoal para ser responsável pela segurança da rede; ° estabelecer e implementar políticas de segurança e medidas técnicas de segurança;

° ter diretrizes operacionais e procedimentos em vigor para a segurança física e a gestão da segurança cibernética;

° monitorar o status de segurança cibernética e implementar o gerenciamento de incidentes de segurança cibernética e reter registros de rede relevantes por nada menos que 6 meses, etc.

Observações

Ao avaliar a viabilidade das conexões de rede transfronteiriça e doméstica para fins comerciais internos, os MNCs devem cumprir suas respectivas obrigações nos regulamentos de telecomunicações aplicáveis, levando em consideração requisitos mais amplos de segurança cibernética. Como esta é uma área em rápida evolução na China, os MNCs devem continuar monitorando qualquer desenvolvimento regulatório.

você pode gostar também