Transgraniczny przepływ danych osobowych w Chinach wobec nowych wytycznych

Obo­wią­zu­ją­ca w Chi­nach od 1 listo­pa­da 2021 r. Usta­wa o ochro­nie danych oso­bo­wych (PIPL) przy­nio­sła znacz­ne zmia­ny w chiń­skim sys­te­mie ochro­ny danych oso­bo­wych, poprzez ure­gu­lo­wa­nie oraz ujed­no­li­ce­nie wie­lu jego aspek­tów. Jed­nym z ure­gu­lo­wa­nych ele­men­tów jest zagad­nie­nie trans­gra­nicz­ne­go prze­pły­wu danych, któ­re­go naj­waż­niej­sze zasa­dy zosta­ły usta­no­wio­ne w art. 38–43 PIPL. Wśród wpro­wa­dzo­nych wymo­gów znaj­du­je się koniecz­ność pod­da­nia się rzą­do­wej oce­nie bez­pie­czeń­stwa (secu­ri­ty asses­sment), prze­pro­wa­dza­nej przez pań­stwo­wy depar­ta­ment ds. bez­pie­czeń­stwa cyber­ne­tycz­ne­go i infor­ma­ty­za­cji^[1].

Zuzan­na Cho­iń­ska, absol­went­ka Wydzia­łu Pra­wa i Admi­ni­stra­cji UW

Uzu­peł­nie­nie dla wyżej wymie­nio­nych prze­pi­sów ma sta­no­wić wyda­ny 29 paź­dzier­ni­ka przez Chiń­ską Admi­ni­stra­cję Cyber­prze­strze­ni oraz przed­sta­wio­ny do publicz­nych kon­sul­ta­cji pro­jekt wytycz­nych (Out­bo­und Data Trans­fer Secu­ri­ty Asses­sment Measu­res), dostar­cza­ją­cych dłu­go ocze­ki­wa­nych szcze­gó­łów na temat pro­ce­su oce­ny bez­pie­czeń­stwa, któ­ry nale­ży prze­pro­wa­dzić przed trans­fe­rem sze­ro­kie­go spek­trum danych poza gra­ni­ce Chin^[2]. Zgod­nie z pro­jek­tem, środ­ki oce­ny będą mia­ły na celu „stan­da­ry­za­cję eks­por­tu danych z Chin” oraz „ochro­nę infor­ma­cji oso­bo­wych, bez­pie­czeń­stwa naro­do­we­go i inte­re­su publicz­ne­go”^[3].

Zapro­po­no­wa­ne wytycz­ne, w połą­cze­niu z wej­ściem w życie PIPL, to zde­cy­do­wa­nie nie­ko­rzyst­na wia­do­mość dla chiń­skich plat­form cyfro­wych. Nowe prze­pi­sy dają chiń­skim wła­dzom kolej­ne narzę­dzia oraz środ­ki, a tak­że nowe upraw­nie­nia, któ­re mogą być wyko­rzy­sta­ne do pod­po­rząd­ko­wy­wa­nia sobie spół­ek tech­no­lo­gicz­nych dzia­ła­ją­cych na chiń­skim ryn­ku, w szcze­gól­no­ści w zakre­sie dostę­pu do prze­twa­rza­nych przez nie danych oso­bo­wych, będą­cych cen­nym surow­cem dla roz­wo­ju tech­no­lo­gii. Jest to kolej­ny krok rzą­du w celu uzy­ska­nia więk­sze­go wpły­wu na kon­ku­ren­cję ryn­ko­wą oraz finan­se przed­się­biorstw^[4]. W ten spo­sób chiń­skie spół­ki zmu­sza­ne są do jak naj­bliż­szych kon­tak­tów z wła­dza­mi, co ma przy­nieść korzy­ści w posta­ci rzą­do­we­go wspar­cia, ale wyma­ga rów­nież wyzby­cia się swo­jej autonomii.

Nowe regu­la­cje to tak­że kolej­ne, nie­ko­rzyst­ne wymo­gi dla przed­się­biorstw tech­no­lo­gicz­nych z państw trze­cich dzia­ła­ją­cych na ryn­ku chiń­skim. Sta­ją one coraz czę­ściej przed trud­ny­mi wybo­ra­mi rów­no­wa­żą­cy­mi loka­li­za­cję danych, frag­men­ta­cję dzia­łal­no­ści, ryzy­ko regu­la­cyj­ne czy ryzy­ko utra­ty repu­ta­cji. Naj­więk­szym pro­ble­mem sta­je się jed­nak nad­mier­na kon­tro­la ze stro­ny chiń­skich władz, a tak­że cen­zu­ra oraz wzrost kosz­tów, jaki za tym wszyst­kim nastę­pu­je. Wszyst­kie te czyn­ni­ki już dopro­wa­dzi­ły do wyco­fa­nia się nie­któ­rych spół­ek wie­lo­na­ro­do­wych, takich jak Yahoo czy Epic Games. Ostat­nio prze­stał rów­nież funk­cjo­no­wać Lin­ke­dIn, ze wzglę­du na wymóg lep­sze­go mode­ro­wa­nia tre­ści, do któ­re­go Micro­soft nie zde­cy­do­wał się dosto­so­wać^[5]. W ten spo­sób, krok po kro­ku, przed­się­bior­stwa tech­no­lo­gicz­ne będą wyco­fy­wać się z chiń­skie­go ryn­ku, pozo­sta­wia­jąc pole dla rodzi­mych spół­ek pod­po­rząd­ko­wa­nych władzy.

Oma­wia­ne wytycz­ne to kolej­ny krok do wzmoc­nie­nia wpły­wów rzą­du chiń­skie­go na dzia­łal­ność sek­to­ra pry­wat­ne­go, a przede wszyst­kim plat­form cyfro­wych. Na pod­sta­wie same­go pro­jek­tu nie moż­na prze­wi­dzieć, jakie będą osta­tecz­ne wymo­gi. Jed­nak­że moż­na przy­pusz­czać, że pro­wa­dze­nie dzia­łal­no­ści przez pod­mio­ty z państw trze­cich może zostać znacz­nie utrud­nio­ne, a może nawet nie­moż­li­we ze wzglę­du na wymo­gi praw­ne. Z pew­no­ścią sta­nie się nie­opła­cal­ne, nie tyl­ko pod wzglę­dem ekonomicznym.