Kína kettős céllal küzd: a biztonság és az adatgazdaság előmozdítása egyensúlyban tartásával.

Június elején Kína hivatalosan is hatályba lépett a határokon átnyúló személyesadat-továbbításra vonatkozó szabványos szerződésekről szóló szabályozás, amely előírja az adatfeldolgozók (beleértve az 1 milliónál kevesebb személy adatait feldolgozó vállalatokat is) számára, hogy az adattovábbítás előtt szerződést kössenek a külföldi címzettekkel.

Az új szabályok Peking azon erőfeszítéseinek részét képezik, hogy a nemzetbiztonság nevében szigorítsa a belföldi adatok feletti ellenőrzést.

Jelenleg az ország adatvédelmi kezelésének legfőbb jogi keretét három törvény alkotja: a kiberbiztonsági törvény, az adatvédelmi törvény és a személyes adatok védelméről szóló törvény.

Ennek megfelelően a központi kormányzat létrehozott egy személyesadat-export-kezelési rendszert. A szabványos szerződésben foglalt intézkedéseken túlmenően a rendszer olyan szabályokat is tartalmaz, amelyek előírják a vállalatok számára, hogy biztonsági értékelési regisztrációt végezzenek a nemzeti internetfelügyeleti hatóságnál, vagy személyesadat-védelmi tanúsítványt kérjenek az illetékes hatóságtól.

Xu Ke, a Nemzetközi Üzleti és Gazdaságtudományi Egyetem digitális gazdasággal és jogi innovációval foglalkozó kutatóközpontjának igazgatója szerint a szabályozó hatóságok nehezen tudják egyensúlyt teremteni az adatbiztonság fokozása és az adatvezérelt gazdasági növekedés előmozdítása között.

Magas számú vállalat, alacsony jóváhagyási arány

A szeptember 1-jén hatályba lépett, határokon átnyúló adatátvitelre vonatkozó biztonsági értékelési intézkedések értelmében az egymilliónál több emberhez kapcsolódó személyes adatokat feldolgozó vállalatoknak biztonsági értékelésen kell átesniük, ha külföldre kívánnak adatokat továbbítani.

A vállalatoknak biztonsági önértékelési jelentéseket kell benyújtaniuk a helyi hálózati szabályozóknak és a Kínai Kibertér-felügyeletnek (CAC) két körös felülvizsgálatra.

Jelenleg az adatok külföldre történő továbbítása akkor tekinthető legálisnak, ha az átadó szerződést köt a címzettel, és benyújtja, hogy az átadandó adatok megfelelnek az illetékes hatóság biztonsági tesztjének.

Bár az intézkedések szeptemberben léptek hatályba, végrehajtásuk nehézkes volt a vállalatok nagy száma és a biztonsági jelentéseik értékeléséhez szükséges emberi erőforrások hiánya miatt.

Április végéig Sanghaj kiberbiztonsági igazgatása több mint 400 értékelő jelentést kapott, amelyeknek mindössze 0,5 százalékát hagyta jóvá a CAC.

Hasonló a helyzet máshol is. Országszerte a hatóságok több mint 1000 kérelmet kaptak adatok külföldre történő továbbítására, amelyek közül kevesebb mint 10 eset ment át a két elbírálási körben – közölték a Caixin forrásai.

Országos szinten a biztonsági jelentések felülvizsgálatának és jóváhagyásának nagy részét a CNCERT/CC kiberbiztonsági műszaki központja végzi, amelynek összesen körülbelül 100 alkalmazottja van.

„Homályos” kritériumok

A személyzeti korlátok mellett az értékelési kritériumok nem egyértelműsége is lassítja a jóváhagyási folyamatot, mivel a szabályozó hatóságok és a vállalatok nem értenek egyet abban, hogy miért szükséges a kötelező adatátvitel.

Például a kérelmezőnek el kell magyaráznia, hogy miért jogszerű, ésszerű és szükséges az adatok külföldi félnek történő feldolgozásra történő továbbítása, de további útmutatást nem ad.

Xu Ke úr figyelmeztetett, hogy egy „mindent egyben” mechanizmus alkalmazása túlzott korlátozásokhoz vezethet bizonyos iparágakban és szektorokban, akadályozva az adatok szabad áramlását, mivel a nemzetbiztonsági aggályok mértéke eltérő.

He Yuan, a Sanghaji Jiao Tong Egyetem Adatjogi Kutatóközpontjának ügyvezető igazgatója megjegyezte, hogy a helyi szabályozó hatóságok munkaterhelése jelentősen megnőhet, mivel júniustól az 1 milliónál kevesebb alkalmazottat foglalkoztató vállalatoknak is szabványos szerződéseket kell aláírniuk.

2023 óta a szárazföldi hatóságok fokozták a nyilvánosságra hozatali erőfeszítéseiket, például útmutatást adtak a vállalatoknak az adatátviteli szabályok megismeréséhez.

A magas megfelelési költségek, a külföldi címzettekkel való kommunikáció nehézségei és a szabályozási bizonytalanság azonban azok a tényezők közé tartoznak, amelyeket Peking nem tudott megoldani a vállalkozások számára.

Drága

A problémák elkerülése érdekében a vállalatok hajlamosak harmadik fél ügynökségekkel konzultálni a biztonsági értékelési jelentések benyújtásával kapcsolatban.

Azonban ezeknek a tanácsadó ügynökségeknek a szolgáltatási díjai könnyen elérhetik a több százmillió jüant, ami hátrányos helyzetbe hozza a kisvállalatokat. Az ügynökségek által nyújtott szolgáltatás minősége is változó lehet.

Még tanácsadók segítségével is sok vállalkozásnak nehézséget okoz az engedélyek megszerzése. Sok első alkalommal benyújtott kérelem nem felel meg teljes mértékben a szabályozási követelményeknek – mondta Zhang Yao, a Sun & Young Partners sanghaji székhelyű ügyvédi iroda partnere.

Míg a szabályozó hatóságok tisztázták az alapvető követelményeket azzal kapcsolatban, hogy milyen adatokat kell külföldre továbbítani, milyen rendszereken keresztül, kinek, és vannak-e biztonsági kockázatok, „ezeknek a problémáknak a rendezése sok költséget és erőfeszítést igényel” a vállalatok részéről.

És a multinacionális vállalatok számára, még ha sikerül is személyes adatokat külföldre küldeniük, továbbra is folyamatos megfelelési beruházásokkal kell szembenézniük a későbbi felhasználás során – mondta Chen Jihong, a pekingi székhelyű Zhong Lun Ügyvédi Iroda partnere.

Ráadásul az adatátadónak egy jelentésben kell információkat benyújtania a külföldi címzettről – ezt kevés vállalat hajlandó megosztani. Például az óriás Microsoft nyilvánosan kijelentette, hogy „nem működik együtt” Kína adatbiztonsági értékelési kérelmeivel.

(A Nikkei Asia szerint)