Chiny zmagają się z podwójnym celem: zrównoważeniem bezpieczeństwa z promowaniem gospodarki opartej na danych

Na początku czerwca Chiny oficjalnie wprowadziły przepisy dotyczące standardowych umów dotyczących transgranicznego przekazywania danych osobowych. Przepisy te wymagają, aby podmioty przetwarzające dane (w tym firmy przetwarzające dane osób mniejszych niż 1 milion) zawierały umowy z odbiorcami zagranicznymi przed dokonaniem transferu.

Nowe przepisy są częścią wysiłków Pekinu zmierzających do zaostrzenia kontroli danych krajowych w imię bezpieczeństwa narodowego.

Obecnie najważniejsze krajowe ramy prawne dotyczące zarządzania prywatnością danych składają się z trzech ustaw: ustawy o cyberbezpieczeństwie, ustawy o ochronie danych osobowych i ustawy o ochronie danych osobowych.

W związku z tym rząd centralny ustanowił system zarządzania eksportem danych osobowych. Oprócz środków przewidzianych w umowie standardowej, system ten obejmuje przepisy zobowiązujące firmy do rejestracji w krajowym urzędzie nadzoru nad internetem w celu przeprowadzenia oceny bezpieczeństwa lub ubiegania się o certyfikat ochrony danych osobowych od właściwego organu.

Xu Ke, dyrektor centrum badawczego poświęconego gospodarce cyfrowej i innowacjom prawnym na Uniwersytecie Międzynarodowego Biznesu i Ekonomii, powiedział, że organy regulacyjne mają problem ze znalezieniem równowagi między zwiększaniem bezpieczeństwa danych a promowaniem wzrostu gospodarczego opartego na danych.

Duża liczba firm, niski wskaźnik akceptacji

Zgodnie z przepisami dotyczącymi oceny bezpieczeństwa transgranicznego przesyłania danych, które weszły w życie 1 września, firmy przetwarzające dane osobowe ponad 1 miliona osób muszą przejść ocenę bezpieczeństwa, jeśli chcą przesyłać dane za granicę.

Przedsiębiorstwa muszą składać raporty z samooceny bezpieczeństwa lokalnym regulatorom sieci i Chińskiej Administracji Cyberprzestrzeni (CAC) w celu przeprowadzenia dwóch rund przeglądu.

Obecnie przekazywanie danych za granicę jest uznawane za legalne, jeżeli przekazujący podpisze umowę z odbiorcą i oświadczy, że przekazywane dane przejdą testy bezpieczeństwa przeprowadzone przez właściwy organ.

Chociaż środki te weszły w życie we wrześniu, ich wdrażanie okazało się trudne ze względu na dużą liczbę firm i brak zasobów ludzkich, które mogłyby ocenić ich raporty dotyczące bezpieczeństwa.

Do końca kwietnia szanghajska administracja ds. cyberprzestrzeni otrzymała ponad 400 raportów ewaluacyjnych, z których CAC zatwierdził zaledwie 0,5 proc.

Podobna sytuacja panuje gdzie indziej. W całym kraju władze otrzymały ponad 1000 wniosków o transfer danych za granicę, z czego mniej niż 10 przeszło dwie tury rozpatrywania, podały źródła Caixin.

Na szczeblu krajowym większość prac związanych z przeglądaniem i zatwierdzaniem raportów dotyczących bezpieczeństwa wykonuje centrum techniczne ds. cyberbezpieczeństwa CNCERT/CC, zatrudniające łącznie około 100 osób.

„Niejasne” kryteria

Oprócz ograniczeń kadrowych, brak jasności kryteriów oceny spowalnia proces zatwierdzania, a organy regulacyjne i firmy nie są zgodne co do konieczności przekazywania danych.

Na przykład wnioskodawca musi wyjaśnić, dlaczego przekazanie danych do przetwarzania zagranicznemu podmiotowi jest zgodne z prawem, rozsądne i konieczne, ale nie podano żadnych dalszych wskazówek.

Pan Xu Ke ostrzegł, że zastosowanie mechanizmu „wszystko w jednym” może doprowadzić do nadmiernych ograniczeń w niektórych branżach i sektorach, utrudniając swobodny przepływ danych, ponieważ poziom zagrożenia dla bezpieczeństwa narodowego jest różny.

He Yuan, dyrektor wykonawczy Centrum Badań nad Prawem Danych na Uniwersytecie Jiao Tong w Szanghaju, zauważył, że obciążenie pracą lokalnych organów regulacyjnych może znacznie wzrosnąć, ponieważ firmy zatrudniające mniej niż milion pracowników również będą musiały podpisywać standardowe umowy od czerwca.

Od 2023 r. władze Chin kontynentalnych zintensyfikowały działania informacyjne, m.in. poprzez wydawanie wytycznych dla przedsiębiorstw, mających na celu umożliwienie im zapoznania się z przepisami dotyczącymi przesyłania danych.

Jednak wysokie koszty przestrzegania przepisów, trudności w komunikacji z odbiorcami zagranicznymi i niepewność regulacyjna to niektóre z czynników, których Pekinowi nie udało się rozwiązać na korzyść przedsiębiorstw.

Drogi

Aby uniknąć problemów, firmy często konsultują się z agencjami zewnętrznymi w kwestii przesyłania raportów z oceny bezpieczeństwa.

Jednak opłaty pobierane przez te agencje konsultingowe mogą z łatwością sięgać setek milionów juanów, co stawia małe firmy w niekorzystnej sytuacji. Jakość usług świadczonych przez te agencje może być również zróżnicowana.

Nawet z pomocą konsultantów wiele firm wciąż ma trudności z uzyskaniem pozwoleń. Wiele wniosków składanych po raz pierwszy nie w pełni spełnia wymogi regulacyjne, powiedział Zhang Yao, partner w Sun & Young Partners, kancelarii prawnej z siedzibą w Szanghaju.

Chociaż organy regulacyjne doprecyzowały wymogi dotyczące podstawowych kwestii, takich jak to, jakie dane muszą być przesyłane za granicę, za pośrednictwem jakich systemów, do kogo i czy istnieją zagrożenia bezpieczeństwa, „rozwiązanie tych kwestii wymaga od firm dużych nakładów finansowych i wysiłku”.

Jak powiedział Chen Jihong, partner w kancelarii prawnej Zhong Lun z siedzibą w Pekinie, nawet jeśli korporacje międzynarodowe zdołają przesłać dane osobowe za granicę, nadal będą musiały ponieść ciągłe inwestycje w zapewnienie zgodności z przepisami przy ich późniejszym wykorzystaniu.

Co więcej, podmiot przekazujący dane musi przedstawić w raporcie informacje o zagranicznym odbiorcy – a niewiele firm jest skłonnych się nimi podzielić. Na przykład gigant Microsoft publicznie oświadczył, że „nie współpracuje” z chińskimi wnioskami o ocenę bezpieczeństwa danych.

(Według Nikkei Asia)