Obowiązująca w Chinach od 1 listopada 2021 r. Ustawa o ochronie danych osobowych (PIPL) przyniosła znaczne zmiany w chińskim systemie ochrony danych osobowych, poprzez uregulowanie oraz ujednolicenie wielu jego aspektów. Jednym z uregulowanych elementów jest zagadnienie transgranicznego przepływu danych, którego najważniejsze zasady zostały ustanowione w art. 38-43 PIPL. Wśród wprowadzonych wymogów znajduje się konieczność poddania się rządowej ocenie bezpieczeństwa (security assessment), przeprowadzanej przez państwowy departament ds. bezpieczeństwa cybernetycznego i informatyzacji[1].
Zuzanna Choińska, absolwentka Wydziału Prawa i Administracji UW
Uzupełnienie dla wyżej wymienionych przepisów ma stanowić wydany 29 października przez Chińską Administrację Cyberprzestrzeni oraz przedstawiony do publicznych konsultacji projekt wytycznych (Outbound Data Transfer Security Assessment Measures), dostarczających długo oczekiwanych szczegółów na temat procesu oceny bezpieczeństwa, który należy przeprowadzić przed transferem szerokiego spektrum danych poza granice Chin[2]. Zgodnie z projektem, środki oceny będą miały na celu „standaryzację eksportu danych z Chin” oraz „ochronę informacji osobowych, bezpieczeństwa narodowego i interesu publicznego”[3].
Zaproponowane wytyczne, w połączeniu z wejściem w życie PIPL, to zdecydowanie niekorzystna wiadomość dla chińskich platform cyfrowych. Nowe przepisy dają chińskim władzom kolejne narzędzia oraz środki, a także nowe uprawnienia, które mogą być wykorzystane do podporządkowywania sobie spółek technologicznych działających na chińskim rynku, w szczególności w zakresie dostępu do przetwarzanych przez nie danych osobowych, będących cennym surowcem dla rozwoju technologii. Jest to kolejny krok rządu w celu uzyskania większego wpływu na konkurencję rynkową oraz finanse przedsiębiorstw[4]. W ten sposób chińskie spółki zmuszane są do jak najbliższych kontaktów z władzami, co ma przynieść korzyści w postaci rządowego wsparcia, ale wymaga również wyzbycia się swojej autonomii.
Nowe regulacje to także kolejne, niekorzystne wymogi dla przedsiębiorstw technologicznych z państw trzecich działających na rynku chińskim. Stają one coraz częściej przed trudnymi wyborami równoważącymi lokalizację danych, fragmentację działalności, ryzyko regulacyjne czy ryzyko utraty reputacji. Największym problemem staje się jednak nadmierna kontrola ze strony chińskich władz, a także cenzura oraz wzrost kosztów, jaki za tym wszystkim następuje. Wszystkie te czynniki już doprowadziły do wycofania się niektórych spółek wielonarodowych, takich jak Yahoo czy Epic Games. Ostatnio przestał również funkcjonować LinkedIn, ze względu na wymóg lepszego moderowania treści, do którego Microsoft nie zdecydował się dostosować[5]. W ten sposób, krok po kroku, przedsiębiorstwa technologiczne będą wycofywać się z chińskiego rynku, pozostawiając pole dla rodzimych spółek podporządkowanych władzy.
Omawiane wytyczne to kolejny krok do wzmocnienia wpływów rządu chińskiego na działalność sektora prywatnego, a przede wszystkim platform cyfrowych. Na podstawie samego projektu nie można przewidzieć, jakie będą ostateczne wymogi. Jednakże można przypuszczać, że prowadzenie działalności przez podmioty z państw trzecich może zostać znacznie utrudnione, a może nawet niemożliwe ze względu na wymogi prawne. Z pewnością stanie się nieopłacalne, nie tylko pod względem ekonomicznym.