چگونه قوانین جدید داده‌ها در چین تجارت فراتر از مرزها را سخت‌تر می‌کند

هنگامی که مقامات چینی بررسی امنیت سایبری غول مسافرتی Didi Chuxing را در حوزه داده‌ها آغاز کردند، این اقدام تلاش دیگری را در راستای  سرکوب گسترده صنعت فناوری این کشور نشان داد.

اما این نیز یک مورد منحصر به فرد بود:Didi  اولین شرکتی بود که در چین مورد چنین بازبینی نظارتی قرار گرفت و نشان داد که مقامات در مورد نحوه جمع آوری، ذخیره و استفاده از داده‌ها توسط شرکت‌ها جدی هستند.

چین مدت‌هاست به دنبال محافظت از اینترنت داخلی خود در برابر نفوذ خارجی با سیاستی است که آن را “حاکمیت سایبری” می‌نامد، اما مجموعه‌ای از قوانین و مقررات جدید شرکت‌ها – اعم از خارجی و داخلی – را مجبور می‌کند تا داده‌های مربوط به مشتریان داخلی و عملیات داخل آن را حفظ کنند.

علاوه بر قوانین مختلف حاکم بر بومی سازی داده‌ها، قانون امنیت داده جدید، اولین قانون این کشور است که برای محدود کردن روش‌های پردازش و استفاده از داده‌ها طراحی شده است. این امر تأثیرات گسترده‌ای بر نحوه فعالیت شرکت‌های فناوری در چین خواهد داشت.

در اینجا نگاهی داریم به قوانین داده‌های فراتر از مرزهای چین، چرا در حال حاضر آنها را اجرا می‌کنیم و معنای آنها برای غول‌های فناوری و کاربران آنها چیست؟

قوانین داده‌های مرزی چین چیست؟

از طریق اجرای سه قانون اخیر-قانون امنیت سایبری، قانون امنیت داده‌ها (DSL) و قانون حفاظت از اطلاعات شخصی (PIPL)- چین طیف وسیعی از اقدامات را در دست اجرا دارد که جریان داده‌های فرا مرزی را محدود کرده و محلی سازی داده‌ها را اعمال می‌کند.

برخی قوانین در مورد نگهداری داده‌ها در چین از سال ۲۰۱۷، هنگامی که قانون امنیت سایبری لازم الاجرا شد، وضع شده است. در این قانون، زیرساخت‌های اطلاعاتی حیاتی به طور وسیع به عنوان هر چیزی تعریف شده است که اگر آسیب ببیند، یا افشا شود امنیت ملی را تهدید می‌کند.

این قانون راهنمایی‌هایی در مورد نوع مشاغل یا بخش‌هایی که ممکن است با چنین زیرساخت‌هایی برخورد کنند ارائه می‌دهد. ارتباطات عمومی، سیستم‌های اطلاعاتی، انرژی، آب، حمل و نقل، امور مالی، مراقبت‌های بهداشتی و سایر خدمات عمومی ذکر شده است.

مهمترین مشارکت قانون در امنیت داده‌ها دو قانون جدید است که قبلاً وجود نداشت:

• شرکت‌هایی که به‌عنوان اپراتورهای زیرساخت اطلاعات مهم در نظر گرفته می‌شوند باید داده‌های جمع آوری شده در سرزمین اصلی چین را به صورت محلی ذخیره کنند؛
• این شرکت‌ها همچنین باید برای اطمینان از ارسال هر یک از این داده‌ها به خارج از کشور، ارزیابی امنیتی انجام دهند.

وظیفه شرکت‌ها این است که اقداماتی را انجام دهند که اطلاعات آنها را ایمن کند. به طور خاص از مشاغل خواسته می‌شود که شخصی را در زمینه امنیت سایبری، آموزش، طبقه بندی، پشتیبان گیری و رمزگذاری داده‌های مهم تعیین کنند.

جدیدترین قوانین داده‌های چین در سال جاری به تصویب رسید که بر اساس قانون امنیت سایبری بنا شده است.

DSL بر فعالیت‌های مربوط به پردازش داده‌ها تمرکز دارد و PIPL بر اطلاعات شخصی تمرکز می‌کند. در مورد قوانین خاص برای ارسال داده به خارج از کشور، اما قوانین بسیاری از آنچه در قانون امنیت سایبری وجود دارد را تجدید می‌کند در حالی که دامنه قوانین و مجازات‌ها را افزایش می‌دهد.

مانند قانون امنیت سایبری، DSL نیاز به حفاظت از “داده‌های مهم” دارد، اما همچنین الزام به حفاظت از “داده‌های اصلی” را اضافه می‌کند در حالی که PIPL با مقررات عمومی حفاظت از داده‌های اروپا (GDPR) مقایسه شده است، چین اطلاعات شخصی را به طور گسترده‌تری تعریف می‌کند. نسبت به بسیاری از کشورهای دیگر به عنوان مثال، حتی اگر داده‌های خاصی نتوانند یک کاربر را شناسایی کنند، تا زمانی که “مربوط به اشخاص حقیقی شناسایی شده یا قابل شناسایی است”، همچنان تحت PIPL قرار می‌گیرد.

بر اساس همه این قوانین، شرکت‌هایی که مایل به انتقال داده به خارج از کشور هستند باید برای رسیدگی به نگرانی‌های مربوط به حریم خصوصی، ایمنی و امنیت سایبری مورد بازبینی قرار گیرند. با این حال، دقیقاً نحوه عملکرد شرکت‌ها در انجام این کار هنوز مشخص نشده است. انتظار می‌رود مقررات آینده ادارات مختلف دولتی برخی ابهامات قوانین را برطرف کند.

مجازات ارسال داده به خارج از کشور چیست؟

بر اساس قانون امنیت سایبری، ارسال داده‌ها به خارج از کشور بدون مجوز می‌تواند ۵۰ تا ۱۰۰ هزار یوان (۷،۷۳۰ دلار تا ۱۵،۴۵۰ دلار) جریمه داشته باشد. همچنین ممکن است پرسنل مسئول ۱۰٫۰۰۰ تا ۱۰۰٫۰۰۰ یوان جریمه شوند. در صورت تخلفات جدی، شرکت‌ها باید وب سایت‌های خود را تعطیل کرده یا مجوزهای تجاری آنها معلق یا لغو می‌شود. ذخیره داده‌های غیرمجاز در خارج از کشور با مجازات‌های بیشتری همراه است و جریمه‌ای تا سقف ۵۰۰۰۰۰ یوان را در پی دارد.

DSL بسته به میزان شدیدتر نقض قوانین دولت، مجازات‌ها را به میزان قابل توجهی تشدید می‌کند. در حالی که برخی از جریمه‌های تحت قانون امنیت سایبری می‌تواند تا یک میلیون یوان به دلیل عدم حفاظت از داده‌ها و اطلاعات شخصی باشد، DSL برای تخلفات مربوط به داده‌های اصلی – یعنی داده‌هایی که بر حاکمیت یا امنیت ملی تأثیر می‌گذارد – تا ۱۰ میلیون یوان جریمه در نظر می‌گیرد.

نقض داده‌های مهم می‌تواند به موجب قانون جدید ۱۰۰،۰۰۰ تا یک میلیون یوان جریمه داشته باشد، در حالی که شرکت‌هایی که اقدامات اصلاحی را انجام نداده‌اند می‌توانند تا ۲ میلیون یوان جریمه شوند. همچنین افرادی که مسئولیت امنیت سایبری را بر عهده دارند می‌توانند به طور جداگانه برای پرونده‌های مربوط به داده‌های مهم تا ۱ میلیون یوان جریمه شوند.

چرا چین اکنون این قوانین را تصویب می‌کند؟

درهم آمیختگی رویدادها، این زمان را به فرصت ایده‌آلی برای اقدام پکن در امنیت داده تبدیل کرده است، که محلی سازی داده‌ها بخش بزرگی از آن است. اهداف سیاستگذاری هم نیاز به امنیت بهتر در کشور را که به طور سنتی در استانداردهای امنیت اینترنت عقب افتاده است نشان می‌دهد و هم تمایل دولت مرکزی برای کنترل بیشتر بر بخش دیجیتالی را که یکبار آزاد کار می‌کرد، نشان می‌دهد.

یکی از نگرانی‌های فوری، نیاز به رسیدگی به قوانین خارج از کشور است که استانداردهای حاکمیت داده‌ها را تحت تأثیر قرار داده است.

PIPL به عنوان راهی برای مطابقت با استانداردهای اروپا با GDPR در نظر گرفته می‌شود. DSL تا حدی به عنوان پاسخی به قانون تصویب قانون خارج از کشور از داده‌ها (ابر) ۲۰۱۸ در ایالات متحده تلقی می‌شود. دومی به ایالات متحده اجازه می‌دهد دسترسی به داده‌ها را صرف نظر از جایی که در آن ذخیره شده است، درخواست کند.

بر اساس DSL، شرکتی که داده‌های متعلق به یک شهروند آمریکایی را در یک سرور چینی ذخیره می‌کند، ممکن است نتواند به طور قانونی این داده‌ها را بدون تأیید مناسب به دولت ایالات متحده تحویل دهد. این امر شرکت‌ها را مجبور می‌کند که قوانین را رعایت کنند.

نگرانی‌های امنیتی پکن از سوی واشنگتن، موجب شده است تا چندین غول فناوری چینی را در لیست سیاه قرار دهد که مهمترین آنها سازنده تجهیزات مخابراتی هوآوی است.

با وجود قهرمانان فناوری چین در دفاع در خارج، پکن این فرصت را دارد که با استفاده از همان منطقی که دولت‌های خارجی علیه شرکت‌های چینی استفاده کرده‌اند، کنترل داده‌ها را در داخل کشور تشدید کند.

تمرکز بر امنیت داده‌ها همچنین با سرکوب گسترده پکن بر بخش فناوری همراه است که به نام تقویت قانون ضد تراست، امنیت سایبری و رفاه اجتماعی انجام شده است.

به طور عملی‌تر، اینترنت چین مدت‌هاست از حملات سایبری متعدد و نشت اطلاعات رنج می‌برد. یافتن اطلاعات شخصی مانند شماره تلفن، کارت ملی و اطلاعات تشخیص چهره در برخی از پلتفرم‌های تجارت الکترونیکی دست دوم کشور آسان بوده است.

این امر در طول همه گیری کووید -۱۹ که طی آن حملات سایبری افزایش یافته است، به نگرانی بزرگتری تبدیل شده است. کار و آموزش از راه دور به معنای فرصت‌های بیشتر برای هکرها است که از اقدامات ضعیف امنیت سایبری مانند VPN های سوء مدیریت شده یا سرورهای Microsoft Exchange استفاده می‌کنند – که هکرهای چینی در آن دست داشته‌اند.

دولت چین قبلاً از رمزگذاری بیزار بود و به دنبال این بود که داده‌ها را در جایی نگه دارد که بتوان به راحتی آنها را زیر نظر گرفت. اما در حال حاضر قانون امنیت داده‌ها مستلزم رمزنگاری داده‌های حساس است و در صورت نیاز در دسترس مقامات قرار می‌گیرد و در حالت ایده‌آل از دید دشمنان خارجی پنهان می‌ماند.

این امر چه تاثیری بر شرکت‌های فعال در چین خواهد داشت؟

وقتی قانون امنیت سایبری چهار سال پیش به اجرا درآمد، تأثیر آن تقریباً فوری بود. شرکت‌های خارجی ناگهان مجبور شدند شیوه‌های داده خود را ارزیابی کنند تا ببینند آیا از قانون پیروی می‌کنند یا خیر، که این برای شرکت‌هایی که بر کنترل متمرکز زیرساخت‌های ابر متکی هستند مشکل است.

این امر منجر به برخی تصمیمات بحث برانگیز در بین شرکت‌های فناوری جهانی شد. اپل مجبور شد کلیدهای رمزگذاری را برای مشتریان iCloud چینی به داخل کشور منتقل کند.

برای مایکروسافت، سازمان‌های مختلف درون شرکت رویکردهای متفاوتی را اتخاذ کردند. اسکایپ با الزامات داده جدید مطابقت نداشت و در نهایت از فروشگاه‌های برنامه حذف شد، اما سایت شبکه حرفه‌ای این شرکت LinkedIn برای ادامه فعالیت در کشور با داده‌های محلی و شرایط سانسور مطابقت دارد.

در حالی که شرکت‌های داخلی برای جابجایی‌های غیرقانونی غیرمجاز با مجازات‌های جدیدی روبرو بودند، اکثر سرورهای آنها قبلاً در چین بودند، بنابراین قانون نیازی به تغییر قابل توجه منابع نداشت.

با وجود DSL و PIPL، حتی شرکت‌های داخلی نیز با هزینه‌های جدید انطباق روبرو هستند که شامل داشتن پرسنل خاص مسئول مدیریت امنیت سایبری است.

با توجه به گستردگی قوانین، برخی از شرکت‌ها ممکن است مدیریت داده‌های مربوط به چین را برون سپاری کنند. استفان وونگ کای یی، کمیسیونر سابق حریم خصوصی هنگ کنگ در این باره می‌گوید که مشاغل محلی هنگام رسیدگی به داده‌های سرزمین اصلی ممکن است نیاز به استخدام مأموران رعایت مقررات یا مراجعه به نمایندگی‌های تخصصی داشته باشند.

یکی دیگر از تأثیرات بر شرکت‌های داخلی محدودیت در جذب سرمایه است. پکن شرکت‌های غنی از داده را برای حضور در خارج از کشور محدود می‌کند. این می‌تواند ضربه‌ای برای بسیاری از شرکت‌های بستر اینترنتی باشد که امیدوار بودند از ارزش بیشتر در مبادلات ایالات متحده استفاده کنند. به عنوان مثال، بایدنس، مالک تیک‌تاک، یک بار به دنبال لیست نیویورک بود اما اکنون در حال آماده سازی IPO هنگ کنگ است.

به طور کلی، الزامات محلی سازی داده‌ها می‌تواند نحوه عملکرد سیستم عامل‌های بزرگ ابری را تغییر دهد. معماری رایانش ابری در شرکت‌های بزرگ فناوری آمریکا مانند آمازون، گوگل و مایکروسافت برای داده‌های محلی طراحی نشده است. اما پیشرفت‌های جدید در محاسبات لبه به عناصر برنامه‌های کاربردی اجازه می‌دهد داده‌های مرتبط با آنها در مکان‌های جغرافیایی خاصی نگهداری شوند.

با افزایش تعداد کشورهایی که قوانین محلی سازی داده‌ها را اجرا می‌کنند، این امر به یک عنصر مهم در محاسبات ابری تبدیل می‌شود. هند، برزیل و روسیه، در میان دیگران، قوانین محلی سازی داده‌های خود را معرفی کرده‌اند.

قوانین چین وسیع‌تر از آن چیزی است که بسیاری از کشورها در حال تصویب آن هستند، اما بیشترین تأثیر ممکن است از اندازه بازار آن ناشی شود. پس از وضع قانون امنیت ملی ۲۰۲۰ پکن بر هنگ کنگ، شرکت‌های بین‌المللی فناوری از جمله فیس بوک، گوگل، مایکروسافت و توییتر اعلام کردند که رسیدگی به درخواست‌های اطلاعاتی پلیس هنگ کنگ را متوقف کرده‌اند.

در سرزمین اصلی چین، شرکت‌های بین‌المللی به سرعت راه‌هایی را برای پیروی از قوانین جدید داده‌ها پیدا کرده‌اند که نشان دهنده قدرت بازار در کشوری است که در حال حاضر یک میلیارد کاربر اینترنت دارد.

منبع