A China luta com objetivos duplos de equilibrar a segurança com a promoção da economia de dados

No início de junho, a China oficialmente colocou em vigor regulamentações sobre contratos padrão para transferências internacionais de informações pessoais, que exigem que os processadores de dados (incluindo empresas que processam dados de menos de 1 milhão de pessoas) tenham contratos com destinatários estrangeiros antes da transferência.

As novas regras fazem parte dos esforços de Pequim para reforçar o controle de dados domésticos em nome da segurança nacional.

Atualmente, a principal estrutura legal do país para gerenciamento de privacidade de dados consiste em três leis: a Lei de Segurança Cibernética, a Lei de Privacidade de Dados e a Lei de Proteção de Informações Pessoais.

Nesse sentido, o governo central estabeleceu um regime de gestão de exportação de dados pessoais. Além das medidas previstas no contrato padrão, o regime inclui regras que exigem que as empresas realizem um registro de avaliação de segurança junto à autoridade nacional de supervisão da internet ou solicitem a certificação de proteção de informações pessoais junto à autoridade competente.

Xu Ke, diretor do centro de pesquisa sobre economia digital e inovação jurídica da Universidade de Negócios e Economia Internacionais, disse que os reguladores estão lutando para encontrar um equilíbrio entre melhorar a segurança de dados e promover o crescimento econômico baseado em dados.

Alto número de empresas, baixa taxa de aprovação

De acordo com as medidas de avaliação de segurança sobre transferências transfronteiriças de dados, que entraram em vigor em 1º de setembro, as empresas que processam dados pessoais relacionados a mais de 1 milhão de pessoas devem passar por uma avaliação de segurança se quiserem transferir dados para o exterior.

As empresas devem enviar relatórios de autoavaliação de segurança aos reguladores de rede locais e à Administração do Ciberespaço da China (CAC) para duas rodadas de revisão.

Atualmente, a transferência de dados para o exterior é considerada legal se o cedente assinar um contrato com o destinatário e declarar que os dados a serem transferidos passam no teste de segurança da autoridade competente.

Embora as medidas tenham entrado em vigor em setembro, sua implementação tem sido difícil devido ao grande número de empresas e à falta de recursos humanos para avaliar seus relatórios de segurança.

Até o final de abril, a administração do ciberespaço de Xangai recebeu mais de 400 relatórios de avaliação, dos quais apenas 0,5% foram aprovados pelo CAC.

A situação é semelhante em outros lugares. Em todo o país, as autoridades receberam mais de 1.000 solicitações de transferência de dados para o exterior, das quais menos de 10 passaram pelas duas rodadas de análise, disseram fontes da Caixin.

Em nível nacional, a maior parte do trabalho de revisão e aprovação de relatórios de segurança é feita pelo centro técnico de segurança cibernética CNCERT/CC, que conta com uma equipe total de cerca de 100 pessoas.

Critérios “vagos”

Além das restrições de pessoal, a falta de clareza nos critérios de avaliação está atrasando o processo de aprovação, com reguladores e empresas discordando sobre o motivo da transferência de dados necessária.

Por exemplo, o requerente deve explicar por que a transferência de dados para uma parte estrangeira para processamento é legal, razoável e necessária, mas nenhuma orientação adicional é fornecida.

O Sr. Xu Ke alertou que a aplicação de um mecanismo "tudo em um" poderia levar a restrições excessivas em certos setores e indústrias, dificultando o livre fluxo de dados porque o nível de preocupação com a segurança nacional é diferente.

He Yuan, diretor executivo do Centro de Pesquisa de Direito de Dados da Universidade Jiao Tong de Xangai, observou que a carga de trabalho dos reguladores locais pode aumentar significativamente, já que empresas com menos de 1 milhão de funcionários também terão que assinar contratos padrão a partir de junho.

Desde 2023, as autoridades continentais intensificaram os esforços de publicidade, como a orientação para que as empresas se familiarizem com as regras de transferência de dados.

No entanto, altos custos de conformidade, dificuldades de comunicação com destinatários estrangeiros e incerteza regulatória estão entre os fatores que Pequim não conseguiu resolver para as empresas.

Caro

Para evitar problemas, as empresas tendem a consultar agências terceirizadas sobre o envio de relatórios de avaliação de segurança.

No entanto, as taxas de serviço cobradas por essas agências de consultoria podem facilmente chegar a centenas de milhões de yuans, colocando as pequenas empresas em desvantagem. A qualidade do serviço prestado por essas agências também pode variar.

Mesmo com a ajuda de consultores, muitas empresas ainda enfrentam dificuldades para obter aprovação. Muitos pedidos iniciais não atendem integralmente aos requisitos regulatórios, afirmou Zhang Yao, sócio da Sun & Young Partners, escritório de advocacia com sede em Xangai.

Embora os reguladores tenham esclarecido os requisitos em torno de questões centrais sobre quais dados precisam ser transferidos para o exterior, por meio de quais sistemas, para quem e se há riscos de segurança, "resolver essas questões exige muito custo e esforço" por parte das empresas.

E para empresas multinacionais, mesmo que consigam enviar dados pessoais para o exterior, elas ainda enfrentam investimentos contínuos em conformidade no uso subsequente, disse Chen Jihong, sócio do escritório de advocacia Zhong Lun, sediado em Pequim.

Além disso, o transferidor de dados deve enviar informações sobre o destinatário estrangeiro em um relatório — algo que poucas empresas estão dispostas a compartilhar. Por exemplo, a gigante Microsoft declarou publicamente que "não coopera" com as solicitações de avaliação de segurança de dados da China.

(De acordo com o Nikkei Asia)