סין מתמודדת עם מטרות כפולות של איזון אבטחה עם קידום כלכלת נתונים

בתחילת יוני, סין יישמה רשמית תקנות בנוגע לחוזים סטנדרטיים להעברות מידע אישי חוצות גבולות, המחייבות מעבדי נתונים (כולל חברות המעבדות נתונים של פחות ממיליון איש) להיות בעלי חוזים עם נמענים בחו"ל לפני ההעברה.

הכללים החדשים הם חלק ממאמציה של בייג'ינג להדק את השליטה על נתונים מקומיים בשם הביטחון הלאומי.

נכון לעכשיו, המסגרת המשפטית המובילה במדינה לניהול פרטיות מידע מורכבת משלושה חוקים: חוק אבטחת הסייבר, חוק פרטיות המידע וחוק הגנת המידע האישי.

בהתאם לכך, הממשלה המרכזית קבעה משטר ניהול ייצוא נתונים אישיים. בנוסף לאמצעים בחוזה הסטנדרטי, המשטר כולל כללים המחייבים חברות לבצע רישום הערכת אבטחה ברשות הלאומית לפיקוח על האינטרנט או להגיש בקשה לאישור הגנה על מידע אישי מהרשות המוסמכת.

שו קה, מנהל מרכז המחקר לכלכלה דיגיטלית וחדשנות משפטית באוניברסיטת עסקים וכלכלה בינלאומיים, אמר כי הרגולטורים מתקשים למצוא איזון בין שיפור אבטחת המידע לבין קידום צמיחה כלכלית מונעת נתונים.

מספר חברות גבוה, שיעור אישור נמוך

במסגרת אמצעי הערכת אבטחה בנוגע להעברות נתונים חוצות גבולות, שנכנסו לתוקף ב-1 בספטמבר, חברות המעבדות נתונים אישיים הקשורים ליותר ממיליון בני אדם חייבות לעבור הערכת אבטחה אם ברצונן להעביר נתונים לחו"ל.

חברות חייבות להגיש דוחות הערכה עצמית של האבטחה לרגולטורים המקומיים של הרשת ולמנהל הסייברספייס של סין (CAC) לשני סבבי בדיקה.

כיום, העברת נתונים לחו"ל נחשבת חוקית אם המעביר חותם על חוזה עם המקבל ומצהיר כי הנתונים שיועברו עוברים את מבחן האבטחה של הרשות המוסמכת.

למרות שהצעדים נכנסו לתוקף בספטמבר, יישומם היה קשה עקב מספרן הרב של החברות וחוסר במשאבי אנוש להערכת דוחות האבטחה שלהן.

עד סוף אפריל, מנהל הסייברספייס של שנגחאי קיבל יותר מ-400 דוחות הערכה, מתוכם רק 0.5 אחוזים אושרו על ידי ה-CAC.

המצב דומה במקומות אחרים. ברחבי המדינה, הרשויות קיבלו יותר מ-1,000 בקשות להעברת נתונים לחו"ל, מתוכן פחות מ-10 עברו את שני סבבי הבדיקה, כך מסרו מקורות בקאישין.

ברמה הלאומית, עיקר עבודת הסקירה והאישור של דוחות אבטחה נעשית על ידי המרכז הטכני לאבטחת סייבר CNCERT/CC, המונה כ-100 איש בסך הכל.

קריטריונים "מעורפלים"

בנוסף לאילוצי כוח אדם, חוסר בהירות בקריטריונים להערכה מאט את תהליך האישור, כאשר רגולטורים וחברות חלוקים בדעותיהם לגבי הסיבה לדחיית העברת הנתונים הנדרשת.

לדוגמה, על המבקש להסביר מדוע העברת נתונים לצד זר לצורך עיבוד היא חוקית, סבירה והכרחית, אך לא ניתנות הנחיות נוספות.

מר שו קה הזהיר כי יישום מנגנון "הכל באחד" עלול להוביל להגבלות מוגזמות על תעשיות ומגזרים מסוימים, ולעכב את הזרימה החופשית של נתונים משום שרמת הגרימת חששות לביטחון לאומי שונה.

הא יואן, המנהל בפועל של מרכז המחקר לדיני נתונים באוניברסיטת ג'יאו טונג בשנגחאי, ציין כי עומס העבודה על הרגולטורים המקומיים עלול לגדול משמעותית, שכן חברות עם פחות ממיליון עובדים יצטרכו גם הן לחתום על חוזים סטנדרטיים החל מיוני.

מאז 2023, הגבירו הרשויות ביבשת את מאמצי ההסברה, כגון הנחיות לתאגידים להכיר את כללי העברת הנתונים.

עם זאת, עלויות ציות גבוהות, קשיים בתקשורת עם מקבלי שירותים בחו"ל וחוסר ודאות רגולטורית הם בין הגורמים שבייג'ינג לא הצליחה לפתור עבור עסקים.

יָקָר

כדי להימנע מצרות, חברות נוטות להתייעץ עם סוכנויות צד שלישי בנוגע להגשת דוחות הערכת אבטחה.

עם זאת, דמי השירות שגובות סוכנויות ייעוץ אלו יכולים להגיע בקלות למאות מיליוני יואן, מה שמציב חברות קטנות בעמדת נחיתות. איכות השירות הניתנת על ידי סוכנויות אלו יכולה גם היא להשתנות.

אפילו בעזרת יועצים, עסקים רבים עדיין מתקשים לקבל אישורים. בקשות רבות המוגשות בפעם הראשונה אינן עומדות במלואן בדרישות הרגולטוריות, אמר ג'אנג יאו, שותף במשרד עורכי הדין סאן אנד יאנג פרטנרס משנחאי.

בעוד שרגולטורים הבהירו דרישות סביב סוגיות מרכזיות של אילו נתונים יש להעביר לחו"ל, דרך אילו מערכות, למי, והאם ישנם סיכוני אבטחה, "מיון סוגיות אלו דורש הרבה עלויות ומאמץ" מצד החברות.

ועבור חברות רב-לאומיות, גם אם הן מצליחות לשלוח מידע אישי לחו"ל, הן עדיין מתמודדות עם השקעות מתמשכות בתאימות בשימושן העוקב, אמר צ'ן ג'יהונג, שותף במשרד עורכי הדין ג'ונג לון שבסיסו בבייג'ינג.

יתרה מכך, מעביר הנתונים חייב להגיש מידע על הנמען מחו"ל בדוח - דבר שמעט חברות מוכנות לשתף. לדוגמה, ענקית מיקרוסופט הכריזה בפומבי שהיא "לא משתפת פעולה" עם בקשות הערכת אבטחת המידע של סין.

(לפי ניקיי אסיה)