تواجه الصين صعوبة في تحقيق هدفين: تحقيق التوازن بين الأمن وتعزيز اقتصاد البيانات

في أوائل شهر يونيو/حزيران، بدأت الصين رسميا تنفيذ اللوائح الخاصة بالعقود القياسية لنقل المعلومات الشخصية عبر الحدود، والتي تتطلب من معالجي البيانات (بما في ذلك الشركات التي تعالج بيانات أقل من مليون شخص) إبرام عقود مع المتلقين في الخارج قبل النقل.

وتشكل القواعد الجديدة جزءا من جهود بكين الرامية إلى تشديد السيطرة على البيانات المحلية باسم حماية الأمن القومي.

في الوقت الحالي، يتكون الإطار القانوني الأعلى في البلاد لإدارة خصوصية البيانات من ثلاثة قوانين: قانون الأمن السيبراني، وقانون خصوصية البيانات، وقانون حماية المعلومات الشخصية.

وبناءً على ذلك، أنشأت الحكومة المركزية نظامًا لإدارة تصدير البيانات الشخصية. بالإضافة إلى التدابير الواردة في العقد النموذجي، يتضمن النظام قواعد تُلزم الشركات بإجراء تقييمات أمنية مع الهيئة الوطنية لمراقبة الإنترنت أو التقدم بطلب للحصول على شهادة حماية البيانات الشخصية من الجهة المختصة.

وقال شيو كي، مدير مركز أبحاث الاقتصاد الرقمي والابتكار القانوني في جامعة الأعمال الدولية والاقتصاد، إن الجهات التنظيمية تكافح من أجل إيجاد التوازن بين تعزيز أمن البيانات وتعزيز النمو الاقتصادي القائم على البيانات.

عدد كبير من الشركات ومعدل موافقة منخفض

وبموجب تقييمات الأمن لنقل البيانات عبر الحدود، والتي دخلت حيز التنفيذ في الأول من سبتمبر/أيلول، يتعين على الشركات التي تعالج البيانات الشخصية المتعلقة بأكثر من مليون شخص الخضوع لتقييم أمني إذا كانت تريد نقل البيانات إلى الخارج.

يتعين على الشركات تقديم تقارير التقييم الذاتي للأمن إلى هيئات تنظيم الشبكات المحلية وإدارة الفضاء الإلكتروني في الصين (CAC) لجولتين من المراجعة.

في الوقت الحالي، يعتبر نقل البيانات إلى الخارج قانونيًا إذا وقع الناقل عقدًا مع المتلقي وأقر بأن البيانات المراد نقلها تجتاز اختبار الأمان للسلطة المختصة.

ورغم أن هذه الإجراءات دخلت حيز التنفيذ في سبتمبر/أيلول الماضي، إلا أن تنفيذها كان صعبا بسبب العدد الكبير من الشركات ونقص الموارد البشرية اللازمة لتقييم تقاريرها الأمنية.

وبحلول نهاية شهر أبريل/نيسان، تلقت إدارة الفضاء الإلكتروني في شنغهاي أكثر من 400 تقرير تقييم، لم توافق إدارة الفضاء الإلكتروني إلا على 0.5% منها.

الوضع مشابه في أماكن أخرى. على الصعيد الوطني، تلقت السلطات أكثر من ألف طلب لنقل البيانات إلى الخارج، منها أقل من عشرة اجتازت جولتي المراجعة، وفقًا لمصادر كايكسين.

على المستوى الوطني، يتم تنفيذ غالبية أعمال مراجعة الموافقة على التقارير الأمنية من قبل المركز الفني للأمن السيبراني CNCERT/CC، والذي يبلغ إجمالي عدد موظفيه حوالي 100 شخص.

معايير "غامضة"

وبالإضافة إلى القيود المفروضة على الموظفين، فإن عدم الوضوح في معايير التقييم يؤدي إلى إبطاء عملية الموافقة، مع وجود خلافات بين الجهات التنظيمية والشركات حول سبب ضرورة نقل البيانات المطلوبة.

على سبيل المثال، يجب على مقدم الطلب أن يوضح سبب كون نقل البيانات إلى طرف أجنبي للمعالجة قانونيًا ومعقولًا وضروريًا، ولكن لا يتم تقديم أي إرشادات أخرى.

وحذر السيد شو كي من أن تطبيق آلية "الكل في واحد" قد يؤدي إلى فرض قيود مفرطة على بعض الصناعات والقطاعات، مما يعيق التدفق الحر للبيانات لأن مستوى التسبب في مخاوف الأمن القومي مختلف.

وأشار هي يوان، المدير التنفيذي لمركز أبحاث قانون البيانات في جامعة شنغهاي جياو تونغ، إلى أن عبء العمل على الهيئات التنظيمية المحلية قد يزيد بشكل كبير حيث سيتعين على الشركات التي تضم أقل من مليون موظف أيضًا توقيع عقود قياسية بدءًا من يونيو.

منذ عام 2023، كثفت السلطات في البر الرئيسي جهودها الدعائية، مثل إصدار إرشادات للشركات للتعرف على قواعد نقل البيانات.

ومع ذلك، فإن تكاليف الامتثال المرتفعة، والصعوبات في التواصل مع المتلقين في الخارج، وعدم اليقين التنظيمي من بين العوامل التي لم تتمكن بكين من حلها بالنسبة للشركات.

غالي

لتجنب المشاكل، تميل الشركات إلى استشارة وكالات خارجية فيما يتعلق بتقديم تقارير تقييم الأمان.

ومع ذلك، قد تصل رسوم الخدمات التي تفرضها هذه الوكالات الاستشارية بسهولة إلى مئات الملايين من اليوانات، مما يضع الشركات الصغيرة في وضع غير مواتٍ. كما أن جودة الخدمات التي تقدمها هذه الوكالات قد تتفاوت.

حتى مع مساعدة الاستشاريين، لا تزال العديد من الشركات تواجه صعوبة في الحصول على الموافقات. وصرح تشانغ ياو، الشريك في شركة صن آند يونغ بارتنرز للمحاماة في شنغهاي، بأن العديد من الطلبات المقدمة لأول مرة لا تستوفي المتطلبات التنظيمية بالكامل.

في حين أوضحت الجهات التنظيمية المتطلبات المتعلقة بالقضايا الأساسية المتعلقة بالبيانات التي تحتاج إلى نقلها إلى الخارج، ومن خلال أي أنظمة، ولمن، وما إذا كانت هناك مخاطر أمنية، فإن "حل هذه القضايا يتطلب الكثير من التكلفة والجهد" من جانب الشركات.

وبالنسبة للشركات المتعددة الجنسيات، حتى لو نجحت في إرسال البيانات الشخصية إلى الخارج، فإنها لا تزال تواجه استثمارات مستمرة في الامتثال في الاستخدام اللاحق، حسبما قال تشين جيهونغ، الشريك في شركة تشونج لون للمحاماة ومقرها بكين.

علاوة على ذلك، يجب على ناقل البيانات تقديم معلومات عن المتلقي الخارجي في تقرير، وهو أمرٌ نادرًا ما ترغب الشركات في مشاركته. على سبيل المثال، صرّحت شركة مايكروسوفت العملاقة علنًا بأنها "لن تتعاون" مع طلبات تقييم أمن البيانات الصينية.

(وفقا لصحيفة نيكي آسيا)