Reklama

Polityka i prawo

Chiny zacieśniają kontrolę nad transgranicznymi transferami danych

Autor. Patrick Amoy / Unsplash

Chiny jeszcze mocniej zacieśniają kontrolę nad transgranicznymi transferami danych dokonywanymi przez międzynarodowe firmy. Nowe regulacje, które zaczęły obowiązywać z początkiem miesiąca, wywrą wpływ na wiele sektorów gospodarki.

Reklama

Obowiązek uzyskiwania certyfikatu ochrony danych osobowych lub przeprowadzenia audytu bezpieczeństwa przez rządową administrację w Pekinie przez firmy przetwarzające dane osobowe użytkowników z Chin i działające na rynku międzynarodowym - to tylko niektóre nowe przepisy, które wdrożone zostały do systemu prawnego ChRL z dniem 1 czerwca tego roku.

Reklama

Nowe zapisy wzmacniają kontrolę Pekinu nad transgranicznymi transferami danych osobowych , co przekłada się na liczne obowiązki nie tylko dla firm międzynarodowych działających na chińskim rynku, ale także dla przedsiębiorstw z ChRL, które chcą działać globalnie - wskazuje chiński serwis Caixin.

Nowe przepisy, nowe wątpliwości

Caixin podkreśla, że nowy reżim prawny dostarcza firmom wielu wątpliwości - zapisy uznawane są za niejasne. Szczególnych trudności w interpretacji dostarcza kwestia audytów, które miałyby być prowadzone przez rządowe agencje - w opinii biznesu, mogą one przekładać się na spowolnienie działalności i np. opóźnienia w wypuszczaniu nowych usług na rynek, co stanowi bezpośredni cios w możliwość konkurencyjnego funkcjonowania.

Reklama

Tymczasem, rząd w Pekinie w nowym prawie upatruje sposobu na wzmocnienie rodzimej cyfrowej gospodarki, która jest pompowana przez Xi Jinpinga i stanowi aktualnie koło zamachowe dla Chin. Czy nowe prawo przełoży się na jej spowolnienie? Jeśli tak, ChRL zgubi własny protekcjonizm i dążność do zwiększenia kontroli nad danymi.

Skomplikowany reżim

Przepisy weszły w życie 1 września ub. roku - jednak wdrożone do chińskiego systemu prawnego zostały dopiero z początkiem czerwca. Trudności sprawia obowiązek audytowania - chińska kadra urzędnicza na poziomie centralnym nie dysponuje odpowiednimi zasobami ludzkimi, by sprostać piętrzącym się sprawom.

Chińska Administracja Cyberprzestrzeni (CAC) wraz z chińskim CERT-em (CNCERT) łącznie dysponują personelem liczącym ok. 100 osób - pisze Caixin. To za mało, aby wykonywać tysiące audytów. Problemem pozostaje również wspomniana interpretacja przepisów, które nie powinny być stosowane w sposób zbyt ogólny, gdyż mogą doprowadzić do zbyt restrykcyjnego działania nowego prawa.

Kogo obejmuje nowe prawo?

Wszystkie firmy, które przetwarzają dane mniejszej niż milion osób liczby podmiotów i chcą przesyłać je za granicę - to zarówno firmy chińskie, jak i podmioty z rynku międzynarodowego.

Firmy te będą musiały nie tylko zawrzeć specjalną umowę z podmiotami, które będą miały dostęp do danych użytkowników z ChRL, ale także zgłosić się do odpowiedniej komórki administracyjnej. Dodatkowo dochodzi obowiązek audytowania i certyfikacji w rządowych agencjach, często realizowany za pomocą firm konsultingowych pobierających za to dodatkowe opłaty.

Według ekspertów cytowanych przez agencję, osiągnięcie zgodności z nowymi przepisami może być bardzo trudne - narażać firmy na koszty, trudności komunikacyjne oraz niepewność regulacyjną.

Kolejne regulacje

To nie pierwsze regulacje zaostrzające prawo ochrony danych osobowych w Chinach, a w szczególności transfery danych za granicę. Pierwszą odsłoną zmian prawnych było chińskie prawo cyberbezpieczeństwa, które stosuje się do wszystkich firm chcących transferować dane obywateli ChRL za granicę. Przepisy weszły w życie we wrześniu 2022 r. i zobowiązują firmy do uzyskiwania oceny cyberbezpieczeństwa przez CAC w przypadku, jeśli za granicę wysyłają "dane o dużym znaczeniu", są operatorami infrastruktury informacyjnej, przetwarzają dane powyżej 1 mln osób, a także udostępniły podmiotom zagranicznym bazy danych, zawierające informacje o co najmniej 100 tys. osób lub przesłały tam dane wrażliwe co najmniej 10 tys. osób.

Inną regulacją jest prawo bezpieczeństwa danych, które weszło w życie w listopadzie ub. roku i zobowiązuje podmioty, które chcą transferować dane za granicę do uzyskiwania certyfikatu ochrony danych osobowych od agencji, bądź podlegających pod administrację, bądź przez nią zatwierdzonych. Wymagane są również tradycyjne umowy z podmiotami, do których dane mają trafiać.

Wraz z przepisami, które wdrożono w życie z dniem 1 czerwca, regulacje tworzą kompleksowy reżim prawny, który - jakkolwiek może faktycznie przyczynić się do znacznego zwiększenia kontroli państwa nad danymi, to jednocześnie stanowi prawdziwe wyzwanie interpretacyjne i organizacyjne dla podlegających mu podmiotów.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Komentarze