Cyberbezpieczeństwo i ochrona danych w ostatnich latach stały się coraz szerzej dyskutowanymi zagadnieniami w Chińskiej Republice Ludowej. Chińskie władze podejmują kolejne kroki, aby osiągnąć promowaną przez nich „suwerenność sieci”. W ten trend wpisują się także działania legislacyjne chińskiego ustawodawcy, który tworzy obecnie kompleksowy system w zakresie cyberbezpieczeństwa i ochrony danych. Już w 2017 roku weszła w życie Ustawa ChRL o cyberbezpieczeństwie (chiń. Zhonghua Renmin Gongheguo wangluo anquan fa: 中华人民共和国网络安全法). Dwa kolejne akty, czyli Ustawa ChRL o bezpieczeństwie danych (chiń. Zhonghua Renmin Gongheguo shuju anquan fa: 中华人民共和国数据安全法) oraz Ustawa ChRL o ochronie informacji osobowych (chiń. Zhonghua Renmin Gongheguo geren xinxi baohu fa: 中华人民共和国个人信息保护法) są aktualnie procedowane przez Stały Komitet Ogólnochińskiego Zgromadzenia Przedstawicieli Ludowych i znajdują się w fazie konsultacji. Poniższy artykuł przedstawia najważniejsze regulacje obowiązującej już Ustawy o cyberbezpieczeństwie, a w szczególności zawarty w niej obowiązek lokalizacji danych, do którego muszą stosować się wszyscy przedsiębiorcy działający na terytorium Chińskiej Republiki Ludowej.
Z racji specyfiki chińskiego systemu politycznego główny nacisk w Ustawie o cyberbezpieczeństwie położono na ochronę suwerenności sieci, bezpieczeństwa państwowego i interesu publicznego. Jednym z przejawów tej aksjologii, który budzi kontrowersje wśród podmiotów zagranicznych, jest nałożenie obowiązku przechowywania pewnych kategorii danych i informacji w granicach ChRL. Ze względu na ogólny charakter Ustawy o cyberbezpieczeństwie jej przepisy będą uszczegółowiane w szeregu regulacji mających charakter soft law. Choć te unormowania wciąż podlegają konsultacjom i zmianom, organy administracyjne stosują je w praktyce podczas kontrolowania przedsiębiorców pod kątem spełniania wymogów cyberbezpieczeństwa. Kogo dokładnie i jakich danych dotyczy obowiązek lokalizacji na terenie ChRL?
Zakres podmiotowy Ustawy o cyberbezpieczeństwie i wydawanych na jej podstawie aktów jest teoretycznie bardzo szeroki, obejmuje bowiem wszystkie podmioty, które zapewniają usługi sieciowe lub posiadają lub zarządzają systemem złożonym z komputerów lub innych urżądzeń końcowych oraz powiązanego z nimi sprzętu, który w ramach pewnych zasad i procedur zbiera, przechowuje, przesyła, wymienia i przetwarza dane. Choć w art. 37 Ustawy o cyberbezpieczeństwie nałożono obowiązek lokalizacji danych na terenie ChRL jedynie na „operatorów informatycznej infrastruktury krytycznej” (chiń. guanjian xinxi jichusheshi de yunyingzhe: 关键信息基础设施的运营者), to jednocześnie nie zdefiniowano tego pojęcia, pozostawiając organom administracyjnym możliwość swobodnej interpretacji w tym zakresie. Z tego powodu w praktyce każdy zagraniczny przedsiębiorca działający w chińskiej sieci będzie mógł być objęty tym nakazem.
Zakres przedmiotowy art. 37 Ustawy o cyberbezpieczeństwie również jest bardzo szeroki. Operatorzy informatycznej infrastruktury krytycznej są bowiem zobowiązani do przechowywania na terenie ChRL informacji osobowych oraz „ważnych danych”. Przez pojęcie „informacje osobowe” rozumie się wszelkiego rodzaju informacje zapisane elektronicznie lub w jakikolwiek inny sposób, które pozwalają samodzielnie bądź w połączeniu z innymi informacjami na identyfikację konkretnej osoby fizycznej. Do przykładowego katalogu informacji osobowych zaliczono imiona i nazwiska, daty urodzenia, numery dowodów tożsamości, dane biometryczne, adresy oraz numery telefonów. W Ustawie o cyberbezpieczeństwie nie zdefiniowano jednak w żaden sposób „ważnych danych” (chiń. zhongyao shuju: 重要数据), co znów pozostawia dużą swobodę władzy wykonawczej.
Obecnie wskazówek interpretacyjnych w zakresie tego pojęcia można szukać w projekcie Regulacji Bezpiecznego Zarządzania Danymi opublikowanym w 2019 roku przez Biuro Centralnego Komitetu Bezpieczeństwa Internetu oraz Informatyzacji Komunistycznej Partii Chin. „Ważne dane” zostały określone w tym dokumencie jako dane, które w razie ich wycieku, mogą bezpośrednio wpłynąć na bezpieczeństwo państwa, bezpieczeństwo gospodarki, porządek społeczny, zdrowie publiczne lub bezpieczeństwo. Jako przykład tego typu danych podano nieopublikowane informacje rządowe; wykluczono z kolei z tego katalogu tajemnice przedsiębiorstwa oraz informacje osobowe.
Zgodnie z Ustawą o cyberbezpieczeństwie operatorzy informatycznej infrastruktury krytycznej powinni ustanowić inspektora ochrony ważnych danych oraz informacji osobowych, a także opracować mechanizmy reagowania na wszelkie incydenty związane z bezpieczeństwem takich danych i informacji oraz procedurę zgłaszania skarg. Mają oni też obowiązek prowadzenia dziennika aktywności sieciowej, w tym wszelkich incydentów, przez okres 6 miesięcy. Co więcej, wspomniany wyżej projekt Regulacji Bezpiecznego Zarządzania Danymi nakazuje operatorom przekazanie wszelkich danych departamentom chińskiej Rady Państwowej (będącej odpowiednim polskiej Rady Ministrów), jeżeli są im potrzebne do wypełniania ich obowiązków związanych z ochroną bezpieczeństwa narodowego, zarządzaniem społeczeństwem czy regulowaniem gospodarki.
Naruszenie obowiązków wskazanych w Ustawie o cyberbezpieczeństwie oraz związanych z nią regulacjach niesie za sobą ryzyko wysokich kar administracyjnych. Zgodnie z art. 64 Ustawy o cyberbezpieczeństwie przedsiębiorca może zostać ukarany karą finansową w wysokości do 1 miliona juanów (ok. 559 000 zł). Co więcej, tego typu kary mogą być nałożone na osoby, które bezpośrednio zarządzają działalnością przedsiębiorstwa, lub pracowników bezpośrednio zaangażowanych w naruszenie prawa. W przypadku poważnego złamania prawa przedsiębiorca może zostać zmuszony do zawieszenia działalności lub zamknięcia strony internetowej. Właściwe organy mogą także cofnąć zezwolenia na prowadzenie działalności.
Podsumowując, chińska Ustawa o cyberbezpieczeństwie poprzez nałożenie obowiązku lokalizacji danych wraz z towarzyszącymi jej regulacjami implementuje w praktyce ideę suwerenności sieci, która cieszy się coraz większą popularnością w wielu państwach. Przedsiębiorcy, którzy chcą rozpocząć lub kontynuować obecność na chińskim rynku, muszą dostosować się do licznych wymogów formułowanych zarówno w tamtejszym ustawodawstwie, jak i wewnętrznych aktach administracyjnych wpływających na praktykę działalności urzędów regulacyjnych. Co więcej, w 2021 roku należy spodziewać się przyjęcia przez ustawodawcę Ustawy o bezpieczeństwie danych oraz Ustawy o ochronie danych osobowych, które znacznie poszerzą zakres regulacji obejmujących podmioty operujące w ChRL. Wcześniejsze przygotowanie się do wdrożenia przepisów z zakresu ochrony danych pomoże uniknąć surowych kar administracyjnych za niedostosowanie się do wymogów.