Tidlig i juni innførte Kina offisielt forskrifter om standardkontrakter for grenseoverskridende overføring av personopplysninger, som krever at databehandlere (inkludert selskaper som behandler data for færre enn 1 million personer) må ha kontrakter med utenlandske mottakere før overføring.
De nye reglene er en del av Beijings forsøk på å stramme inn kontrollen over innenlandske data i nasjonal sikkerhets navn.
For tiden består landets øverste juridiske rammeverk for håndtering av personvern av tre lover: cybersikkerhetsloven, personvernloven og loven om beskyttelse av personopplysninger.
Følgelig har sentralregjeringen etablert et regime for håndtering av eksport av personopplysninger. I tillegg til tiltakene i standardkontrakten inkluderer regimet regler som krever at selskaper gjennomfører sikkerhetsvurderingsregistrering hos den nasjonale internettilsynsmyndigheten eller søker om sertifisering for beskyttelse av personopplysninger fra den kompetente myndigheten.
Xu Ke, direktør for forskningssenteret for digital økonomi og juridisk innovasjon ved University of International Business and Economics, sa at regulatorer sliter med å finne en balanse mellom å forbedre datasikkerheten og å fremme datadrevet økonomisk vekst.
Høyt antall selskaper, lav godkjenningsrate
I henhold til sikkerhetsvurderingstiltak for grenseoverskridende dataoverføringer, som trådte i kraft 1. september, må selskaper som behandler personopplysninger knyttet til mer enn 1 million mennesker gjennomgå en sikkerhetsvurdering hvis de ønsker å overføre data til utlandet.
Bedrifter må sende inn sikkerhetsevalueringsrapporter til lokale nettverksregulatorer og Cyberspace Administration of China (CAC) for to runder med gjennomgang.
For tiden anses overføring av data til utlandet som lovlig dersom overføreren signerer en kontrakt med mottakeren og bekrefter at dataene som skal overføres består sikkerhetstesten til den kompetente myndigheten.
Selv om tiltakene trådte i kraft i september, har implementeringen vært vanskelig på grunn av det store antallet selskaper og mangel på menneskelige ressurser til å evaluere sikkerhetsrapportene deres.
Innen utgangen av april hadde Shanghais cyberspace-administrasjon mottatt mer enn 400 evalueringsrapporter, hvorav bare 0,5 prosent var godkjent av CAC.
Situasjonen er lik andre steder. På landsbasis har myndighetene mottatt mer enn 1000 søknader om å overføre data til utlandet, hvorav færre enn 10 har bestått de to vurderingsrundene, ifølge kilder i Caixin.
På nasjonalt nivå utføres hoveddelen av arbeidet med å gjennomgå og godkjenne sikkerhetsrapporter av CNCERT/CCs tekniske senter for cybersikkerhet, som har en total stab på rundt 100 personer.
«Vage» kriterier
I tillegg til bemanningsbegrensninger, forsinker mangel på klarhet i vurderingskriteriene godkjenningsprosessen, ettersom regulatorer og selskaper er uenige om hvorfor den nødvendige dataoverføringen er nødvendig.
For eksempel må søkeren forklare hvorfor det er lovlig, rimelig og nødvendig å overføre data til en utenlandsk part for behandling, men det gis ingen ytterligere veiledning.
Xu Ke advarte om at bruk av en «alt-i-ett»-mekanisme kan føre til for store restriksjoner på visse bransjer og sektorer, noe som hindrer den frie flyten av data fordi nivået av bekymringer for nasjonal sikkerhet er forskjellig.
He Yuan, administrerende direktør for Data Law Research Center ved Shanghai Jiao Tong University, bemerket at arbeidsmengden for lokale regulatorer kan øke betydelig ettersom selskaper med færre enn 1 million ansatte også må signere standardkontrakter fra og med juni.
Siden 2023 har myndighetene på fastlandet trappet opp informasjonsarbeidet, som å veilede selskaper slik at de kan gjøre seg kjent med reglene for dataoverføring.
Høye samsvarskostnader, vanskeligheter med å kommunisere med utenlandske mottakere og regulatorisk usikkerhet er imidlertid blant faktorene som Beijing ikke har klart å løse for bedrifter.
Dyr
For å unngå problemer har selskaper en tendens til å konsultere tredjepartsbyråer angående innsending av sikkerhetsvurderingsrapporter.
Imidlertid kan serviceavgiftene som disse konsulentbyråene krever lett komme opp i hundrevis av millioner yuan, noe som setter små selskaper i en ulempe. Kvaliteten på tjenestene som tilbys av disse byråene kan også variere.
Selv med hjelp fra konsulenter har mange bedrifter fortsatt problemer med å få godkjenninger. Mange førstegangssøknader oppfyller ikke fullt ut de regulatoriske kravene, sa Zhang Yao, partner i Sun & Young Partners, et advokatfirma basert i Shanghai.
Selv om regulatorer har avklart krav rundt kjernespørsmål som hvilke data som må overføres til utlandet, gjennom hvilke systemer, til hvem og om det er sikkerhetsrisikoer, krever det «mye kostnader og innsats» fra selskapenes side å løse disse problemene.
Og for multinasjonale selskaper, selv om de lykkes med å sende personopplysninger utenlands, står de fortsatt overfor løpende investeringer i samsvar med regler ved senere bruk, sa Chen Jihong, partner i Beijing-baserte Zhong Lun Law Firm.
I tillegg må dataoverføreren sende inn informasjon om den utenlandske mottakeren i en rapport – noe få selskaper er villige til å dele. For eksempel erklærte giganten Microsoft offentlig at de ikke ville samarbeide med Kinas forespørsler om vurdering av datasikkerhet.
(Ifølge Nikkei Asia)
[annonse_2]
Kilde
![[Foto] Lam Dong: Bilder av skader etter en mistenkt innsjøsprengning i Tuy Phong](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/02/1762078736805_8e7f5424f473782d2162-5118-jpg.webp)
![[Foto] President Luong Cuong mottar USAs krigsminister Pete Hegseth](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/02/1762089839868_ndo_br_1-jpg.webp)
Kommentar (0)