Ochrona danych osobowych po…. chińsku

Konfucjusz mawiał że podróż 10 tysięcy mil zaczyna się od pierwszego kroku. Zapraszam na omówienie chińskiego systemu danych osobowych. Słowo „chiński” oznacza skomplikowany. Język chiński, a nawet alfabet jest całkowicie odmienny od naszego. Podobnie system prawny, (w tym ochrona danych osobowych) rządzą się zupełnie innymi prawami oraz inną filozofią!

Chińska Republika Ludowa wobec informatyzacji

Czy  warto zastanawiać się jak wygląda ochrona danych osobowych w Chinach? Warto – Chiny to najludniejsze państwo świata o populacji przekraczającej 1,3 mld osób, czyli 19,1% populacji światowej. Pod względem powierzchni jest 3. na świecie, a pod względem wielkości gospodarki 2 po USA (pod względem PKB nominalnego), jak i 1 pod względem PKB realnego.

Chiny są państwem o ustroju socjalistycznym. Jak w każdej republice ludowej oznacza to skomplikowanie systemu prawnego. Z jednej strony mamy szereg ustaw i tzw. law in book, ale z drugiej strony tzw. law in action, które mocno się od siebie odróżniają.

W Polsce Ludowej, obok instytucji państwowych duże znaczenie miały komitety, na czele z Komitetem Centralnym PZPR.

Podobnie w Chinach, istnieją instytucje rządowe, ale prym wiodą plena partyjne, towarzysze itd. Jeszcze trudniej jednoznacznie określić gospodarkę – jest ona centralnie planowana, ale przeszła bardzo silne reformy wolnorynkowe. Nie można więc powiedzieć jednoznacznie, że jest planistyczna lub wolnorynkowa.

Z punktu widzenia ochrony danych, spore znaczenie ma również polityka dotycząca praw człowieka. Należy pamiętać, że w 1998 r. zapoczątkowano Projekt Złota Tarcza, czasami zwany Wielkim Firewallem Chińskim. Blokowany jest szereg stron, nie tylko informacyjnych i politycznych, ale także portale społecznościowe.

Między innymi YouTube, Facebook, Twitter, Google+, Snapchat i Instagram są w Chinach zakazane. Jednak, w przeciwieństwie np. do Iranu, blokada najpopularniejszych międzynarodowych społecznościówek, pozwoliła rozwinąć skrzydła lokalnym rozwiązaniom. W Iranie odwrotnie – energia obywateli została spożytkowana w kierunku obchodzenia centralnie nakładanych blokad.

Zainteresowanie mediami społecznościowymi w Chinach jest ogromne. Wpływa na to masowa migracja pokoleń na linii wieś-miasto, rozłąka z rodziną, a także samotność związana z narzuconym modelem rodziny 2+1”.

źródło: http://czaplicka.eu/social-media-po-chinsku/

Przed wiekami Państwo Środka, zasłynęło ze względu na politykę zamknięcia, której symbolem był Wielki Mur. W XXI w. zamknięcie spowodowane jest centralnym wpływaniem na treści internetowe.

Źródła prawa

Wydawać by się mogło, że posiadając tylu internautów, Chiny narzucą wysokie standardy ochrony danych. Tak się jednak nie stało. Chińczycy zwrócili większą uwagę na temat prawa do prywatności dopiero niedawno, bo w 2016 roku!

W Chinach nie istnieje jedna kompleksowa ustawa o ochronie danych osobowych. Jest to zasadnicza różnica w porównaniu z systemem europejskim, a nawet rosyjskim!

W konstytucji Chin nie ma postanowień dotyczących ochrony danych. Sam ten fakt jest znamienny. Zwłaszcza, że ochrona prywatności występuje tylko raz i to w odniesieniu do „wolności i prywatności korespondencji” (art. 40).

Dlaczego tak się dzieje, skąd nikłe zainteresowanie ochroną prywatności?

Wyjaśnieniem tego jest mentalność Chińczyków. W Europie bardzo ważną wartością jest indywidualizm i jednostka.

A w Chinach? Zupełnie na odwrót. Niczym w roju pszczół, liczy się zbiorowość, a jednostka niewiele znaczy. To zbiorowość jest wartością którą należy chronić. Od czasu starożytnych mówiono, że „Han jednoczy wszystko co znajduje się pod słońcem”. Państwo oraz jego jedność miały prymat nad jednostkami. Takie podejście do praw człowieka, odbija się również na postrzeganiu ochrony danych osobowych.

Wracając do źródeł prawa, to wyłącznie z prawa cywilnego i prawa karnego, mogą być wywodzone takie ogólne prawa jak prawo do prywatności lub do dobrej reputacji (wydaje się, że jest to odpowiednik dobrego imienia).

Przykładowo art. 101 k.c. przewiduje, że „Obywatele i osoby prawne korzystają z prawa do reputacji. Osobowość obywateli jest chroniona prawem, a używanie obraźliwych, zniesławianych lub innych środków mających na celu uszczuplenie reputacji obywateli lub osób prawnych jest zabronione” (Art. 101 k.c.). Sankcja karna do powyższego przepisu zawarta jest w kodeksie karnym.

I to by było na tyle…. Nie mamy więcej żadnych regulacji na poziomie ustaw!

Lukę tę w pewnym aspekcie nadrabia Najwyższy Sąd Ludowy, który w swoim orzecznictwie stara się wskazywać na naruszenia, ale zdecydowanie odbiega to od naszych standardów.

Istnieją też „para-przepisy”- różne dyrektywy wydawane przez organa polityczne i to one stanowią podstawę legislacji. Wicie, rozumicie?!

Trzonem chińskich przepisów są więc następujące akty prawne:

1. Decyzja o wzmocnieniu ochrony informacji przekazywanych online. Ogłoszona w dniu 28 grudnia 2012 r. przez Stały Komitet Narodowego Kongresu Ludowego (drugi najwyższy organ legislacyjny). Prawo to liczy 12 artykułów, które dotyczą wyłącznie danych i informacji przetwarzanych w wersji elektronicznej.
2. Krajowa norma technologii informacyjnych o zabezpieczeniach – wytyczne dotyczące ochrony danych osobowych w systemie informacyjnym dla usług publicznych i handlowych (obowiązująca od 01 lutego 2013 r.), opublikowana przez Urząd Kontroli Jakości, Kontroli, Standaryzacji i Administracji Chin.

Celem wskazanych aktów jest ochrona bezpieczeństwa informacji online, ochrona praw obywateli, osób prawnych lub innych organizacji oraz zapewnienie bezpieczeństwa narodowego.

Wytyczne są jedynie wskazówką techniczną i oficjalnie nie są prawnie wiążące. Jednakże ze względu na fakt, że określają tak szczegółowe kwestie jak eksport danych, poufność danych, dostęp osób do danych oraz ze względu na fakt, że brak jest innych wiążących przepisów ustawowych i wykonawczych, które dostarczałyby szczegółowych wskazówek dotyczących przetwarzania danych – pełnią funkcję prawa!

Ale to jeszcze nie wszystko! System prawny w Chinach pozwala prowincjom, regionom, a nawet miastom na wprowadzenie specjalnego prawa mającego zastosowanie tylko w obrębie ich jurysdykcji.

W tym kontekście wiele spośród nich, zdecydowało się na wprowadzenie w życie odpowiedniego ustawodawstwa dotyczącego ochrony danych (rozporządzenie dotyczące informatyki w prowincji Jiangsu lub miejskie postanowienia dotyczące ochrony systemu informatycznego w mieście Xuzhou) lub wprowadzenia przepisów dotyczących ochrony danych w inny sposób (podobnie uchwała o ochronie konsumentów w Szanghaju lub rozporządzenie w sprawie informacji  w prowincji Henan).

Prawo w książkach (law in books) jest zagmatwane, rozproszone i całkowicie odmienne od naszego. Dodatkowo praktyka systemu socjalistycznego jeszcze bardziej utrudnia zrozumienie istoty funkcjonowania systemu. Prawdopodobnie nawet Konfucjusz miałby problemy z objęciem rozumem całości. Niejasność i skomplikowanie prawa nigdy na dłuższą metę nikomu nie służą. Trzeba było poczekać do pierwszych medialnych tragedii, które zelektryzowały opinię publiczną.

Ludzkie tragedie i zmiana podejścia

W rzymskiej tradycji prawnej przyjęło się mówić, że najlepsze prawo może stać się najwyższym bezprawiem. Niektórzy interpretują to powiedzenie również tak, że najwyższe bezprawie staje się stymulatorem do uchwalenia najlepszego prawa. Tak było już w przeszłości: prawa człowieka powstały po tragicznych wydarzeniach II Wojny Światowej. Jakiego więc bodźca potrzebował chiński ustawodawca?

Chińska opinia publiczna zbulwersowała się śmiercią nastolatka, który dostał zawału serca dwa dni po tym, gdy przez oszustwo telekomunikacyjne stracił oszczędności całej rodziny, która wiele lat odkładała oszczędności na jego studia. Media nagłośniły wtedy wiele podobnych tragedii.

Na początku Ministerstwo Bezpieczeństwa Publicznego interweniowało w sposób indywidualny. Szybko uzyskano nakaz aresztowania, znaleziono i przykładnie ukarano winnych.

Jednakże opinia publiczna chciała, aby władze zajęły się rozwiązaniem problemu sposób systemowy. Początkowo Najwyższy Sąd Ludowy, Prokuratura Najwyższa Ludowa, Ministerstwo Bezpieczeństwa Publicznego, Ministerstwo Przemysłu i Technologii Informatycznej ogłosiły, że będą zapobiegać oraz zwalczać przestępczość związaną z siecią telekomunikacyjną.

Dnia 7 listopada 2016 chiński Narodowy Kongres Ludowy przyjął ustawę o cyberprzestrzeni, która wejdzie w życie 1 czerwca 2017 r. Uważa się, że będzie to nowy etap ochrony danych w Chinach. Nowy przełom.

W znowelizowanych przepisach prawa cywilnego oraz ustawie o bezpieczeństwie cybernetycznym określono ochronę danych jako podstawowe prawo cywilne. Warto zwrócić tu uwagę, że to wciąż niższa ranga niż w Europie, gdzie dane osobowe chronione są na poziomie konstytucyjnym.

Ustawodawstwo przewiduje nadzór rządu chińskiego nad cyberprzestrzenią, definiuje obowiązki w zakresie bezpieczeństwa operatorów sieci i zwiększa ochronę informacji osobistych.

Ustanawia również system uregulowań w odniesieniu do krytycznej infrastruktury informacyjnej i nakłada wymogi dotyczące lokalizowania danych w niektórych gałęziach przemysłu.

Operatorzy sieciowi

Wchodząca w życie 1 czerwca 2017 roku Ustawa o bezpieczeństwie cybernetycznym wymaga, aby operatorzy sieci przestrzegali rygorystycznych zobowiązań dotyczących bezpieczeństwa w sieci.

W szczególności operatorzy sieci muszą przedsięwziąć techniczne środki monitorowania i rejestrowania działania sieci i zdarzeń związanych z bezpieczeństwem oraz przechowywać dzienniki sieci przez co najmniej sześć miesięcy (retencja danych).

Ponadto operatorzy sieci zobowiązani są do udzielania wsparcia technicznego i pomocy organom bezpieczeństwa publicznego i krajowym organom ds. bezpieczeństwa w celu śledzenia bezpieczeństwa i przestępczości.

Zgodnie z prawem operatorzy sieci muszą obowiązkowo zweryfikować tożsamość użytkowników przy świadczeniu usług (takich jak posiadanie numeru komórkowego zarówno na linię stacjonarną i sieć komórkową, dostęp do Internetu i rejestracji nazw domen). Generalnie niedozwolone będzie świadczenia usług, dopóki użytkownicy nie ujawnią swojej tożsamości.

Dodatkowo sieć musi być przetestowana przez licencjonowaną instytucję certyfikującą w celu zapewnienia zgodności z odpowiednimi normami krajowymi. Produkty i usługi objęte zakresem „kluczowych urządzeń sieciowych” i „wyspecjalizowanych produktów zabezpieczeń sieciowych” nie mogą być dopuszczone do obrotu na rynku chińskim o ile nie przeszły proces certyfikacji lub testowania.

Rząd opracuje i wyda katalog Kluczowych Zabezpieczeń. Jeśli system ten zadziała, zapewne stopniowo podniesie bezpieczeństwo. Powstaje jednak obawa, czy nie skończy się na niejasności przepisów?

Ochrona danych osobowych w sensie ścisłym

Ustawa o bezpieczeństwie internetowym jest pierwszym aktem prawnym w którym określono zasady prawne dotyczące ochrony danych osobowych. Jeśli więc takim aktem międzynarodowym w Europie była Dyrektywa 95/46 WE z 1995 r, to w Chinach wydanie takiego prawa jest opóźnione o 22 lata!

Ustawa o bezpieczeństwie cybernetycznym przewiduje, że operatorzy sieci powinni zachować tajemnicę zebranych danych osobowych, a gromadzenie i wykorzystywanie danych osobowych musi odbywać się zgodnie z zasadami legalności, prawidłowości i konieczności.

Przetwarzający dane muszą przestrzegać wymagań prawnych dotyczących udzielania informacji i uzyskiwania zgody. Wygląda więc na to, że filary europejskiego systemu ochrony danych, przynajmniej w niektórych elementach, zostały uwzględnione w Państwie Środka.

W przypadku zdarzenia naruszającego zbieranie danych osobowych administratorzy danych będą mieli obowiązek zgłoszenia naruszania odpowiedniemu organowi, a także skontaktować się z podmiotem którego dane są zbierane. Wygląda więc na to, że powstanie chiński GIODO!

Firmy i osoby fizyczne, które są bezpośrednio odpowiedzialne za niedochowanie standardów mogą zostać ukarane grzywną w wysokości nieprzekraczającej około 15 000 USD.

Podsumowanie

Państwo Środka rządzi się swoimi prawami. Z jednej strony ogranicza działanie amerykańskich aplikacji internetowych, a nawet całych serwisów. Chroni dane osobowe przed wyciekiem za ocean. Z drugiej strony, dopiero uczy sobie radzić z rodzimymi oszustami, których ściganie było do tej pory mało efektywne.

Wydaje się, że ostatnia nowelizacja stanowi pewne uporządkowanie zagadnienia. Obawiam się jednak, że Smok nie będzie w stanie zapewnić ochrony obywateli, a przynajmniej od razu.

Najważniejsze, że temat zrobił się medialny.  Opinia publiczna zdaje sobie sprawę, że jest to sprawa istotna. To się opłaci całemu systemowi.

Bez gwarancji bezpieczeństwa, nowoczesna gospodarka oparta na informacji, przestaje się rozwijać. Spada zainteresowanie usługami i zyskowność branży e-commerce. Zmniejsza się wymiana informacji.

Dlatego wszystkim Chińczykom życzę, aby chiński smok postawił na dane osobowe!