• Into China

Nowy chiński projekt ustawy o bezpieczeństwie danych w internecie

Updated: Aug 22, 2019

Ochronna danych w Chińskiej Republice Ludowej nie jest łatwym tematem, jednak trudno odmówić Chinom pracowitości w tej dziedzinie. Mimo wprost wyrzeczenia się prywatności na rzecz bezpieczeństwa, rządowe instytucje dalej pracują nad ograniczeniem wycieku danych do niepowołanych źródeł.

Urząd ds. Cyberprzestrzeni w Chinach (Cyberspace Administration of China [CAC]) 13 czerwca przedstawił kolejny projekt ustawy o ochronie danych w Internecie. Jest on dostępny publicznie i możliwy do ocenienia, CAC czeka na opinie ekspertów jak i zwykłych mieszkańców Chin do 8 sierpnia tego roku. Jest to zaskakująca decyzja, ze względu na poprzednią ustawę która przeszła proces legislacyjny w 2017, a weszła w życie dopiero 1 maja 2018, zawierając jednak kilka przepisów nieprzystających do obecnych światowych trendów w dziedzinie ochrony danych. Dzisiejszy projekt stanowi odpowiedź na najbardziej palące problemy, skracając nadużycia za pomocą danych internautów. Poniżej autor pozwala sobie na opisanie kilku interesujących fragmentów zawartych we wspomnianym projekcie.

Projekt dokonuje podziału danych na “dane osobowe” oraz “istotne dane”. Ta pierwsza kategoria oznaczać ma informacje zawarte w nośnikach elektronicznych które same w sobie lub w połączeniu z innymi informacjami mogą być użyte do zidentyfikowania osoby - czyli między innymi imię, data urodzenia, numer dowodu, opis wyglądu, adres, numer telefonu itp.

Jako istotne dane zdefiniowane są informacje które w razie wycieku stanowią bezpośrednie zagrożenie bezpieczeństwa narodowego, ekonomicznego lub społecznego, tudzież grożące zdrowiu lub życiu ludzkiemu. Przykłady podane w projekcie opisują niepublikowane informacje rządowe, dane na temat dużej ilości ludzi, informacje o zdrowiu i kodzie genetycznym, czy też informacje o złożach naturalnych.

Zaproponowano, aby operatorzy sieci zamierzający przenosić istotne dane poza granice kraju musieli dokonać samooceny jakości przesyłanych danych w temacie ich wrażliwości i wagi, a następnie powiadomić o tym odpowiedni organ rządowy (w tym przypadku CAC) i otrzymać pozwolenie. Operatorzy sieci mają być również zobowiązani do autokontroli i otrzymania pozytywnej oceny od CAC aby przesyłać dane osobowe, niezależnie od ich liczby, jakości czy potencjalnego ryzyka. Jest to sytuacja bardzo restrykcyjna i element ten raczej nie przetrwa do finalnej ustawy, stanowiąc spore spowolnienie w działaniu dużej ilości usług bazujących na wymianie danych z całym światem. Aby wysyłać dane osobowe operator sieci musiałby każdorazowo zawierać umowę z potencjalnym kontrahentem-odbiorcą danych, która także podlega ocenie przez CAC.

Przechodząc do regulacji GDPR (tudzież po polsku - RODO), znaczące jest jest wyróżnienie zgody domniemanej oraz zgody wprost, gdzie pierwsza rozumiana jest jako domniemanie zgody poprzez zachowywanie się podmiotu jakby wyraził zgodę, a druga jako wprost wyrażona w formie pisemnej zgoda na warunki przytoczone w umowie (“lub w formie innej czynności wyrażającej wprost zgodę” - niepotrzebnie konfundujący dodatek w projekcie trochę zbliżający obie definicje). Jest to rozróżnienie które było dużo mniej ostre, a w praktyce bezużyteczne w obowiązującej ustawowej poprzedniczce. Zmiana ta wymaga jednak sporego wpływu na zachowania podmiotów, którą mieliśmy okazję sami zaobserwować podczas pierwszych miesięcy egzystowania RODO w Polsce.

Projekt poświęca więcej miejsca na regulację reklam dedykowanych dla użytkownika, wybieranych na podstawie danych zebranych na jego temat. Użytkownik musi mieć zagwarantowaną możliwości zrezygnowania z tej usługi, aby uniknąć profilowania przez reklamodawcę. Zakazane jest również profilowanie użytkownika poprzez pryzmat jego pochodzenia, religii lub niepełnosprawności. Nie wolno również reklamodawcom korzystać z danych bezpośrednio indywidualnych dla danego użytkownika, a jedynie dokonywać profilowania niebezpośredniego, poprzez badanie danej grupy jako całości - a kiedy dana reklama jest oparta na profilowaniu, musi znajdować się przy niej informacja o tym fakcie.

Bardzo ważnym elementem pozostaje zniesienie wymogu ilościowo-jakościowego co do wycieku informacji. W obecnej ustawie CAC musi zostać poinformowany o wycieku danych osobistych jeżeli w danym przypadku ucierpiało więcej niż milion podmiotów, albo wrażliwe dane osobiste odnoszą się do ekonomii lub interesu publicznego. W projekcie ten wymóg został usunięty i w przypadku każdej utraty danych organ administracyjny musi zostać powiadomiony o fakcie umożliwiający przedsięwzięcie czynności minimalizujących szkodę.

Propozycję legislacyjną należy ocenić pozytywnie ze względu na dotykanie obecnie, w dobie informacji istotnych kwestii. Martwi dalej kilka elementów wspomnianych wyżej, jak np. nieostrość definicji. Niemniej, projekt dalej pozostaje niegotowym dokumentem, do którego będziemy mieli dostęp w nadchodzących miesiącach. Tendencja jest zdecydowanie napełniająca optymizmem i niewątpliwie przełoży się na zwiększony komfort egzystowania w chińskim Internecie.

26 views
logo Chinese Law Association
logo Międzywydziałoego Koła Naukowego Kultury i Prawa Chińskiego

©2018 by IntoChina.

Materiały współtworzone przez:

  • Grey Facebook Icon
  • Grey LinkedIn Icon