Wymóg lokalnego przechowywania danych w Chinach zwiększa realne ryzyko dostępu chińskich władz do danych osób spoza Chin, zwłaszcza gdy dane są przechowywane na serwerach w chińskiej jurysdykcji lub zarządzane przez lokalnych partnerów. Prawne i techniczne mechanizmy wprowadzane od 2017 roku do 2021 roku tworzą ramy, w których państwowe żądania dostępu do informacji są wykonalne, a ochrona osób z zagranicy jest ograniczona przez mechanizmy nadzorcze i wymogi bezpieczeństwa.

Ramy prawne — najważniejsze fakty

Ustawa o bezpieczeństwie danych (Data Security Law) weszła w życie 1 września 2021 roku, a Ustawa o ochronie danych osobowych (Personal Information Protection Law, PIPL) obowiązuje od 1 listopada 2021 roku. Już wcześniej, w 2017 roku, przyjęto National Intelligence Law, który nakłada na organizacje obowiązek współpracy z organami wywiadu. Organ nadzorczy — Cyberspace Administration of China (CAC) — prowadzi rejestry, przeprowadza przeglądy bezpieczeństwa i wydaje wytyczne dotyczące transferów danych.

Firmy przetwarzające dane osobowe ponad 1 000 000 osób podlegają szczególnym wymogom: muszą przeprowadzać oceny bezpieczeństwa przed eksportem danych, powiadamiać regulatora o istotnych zmianach właścicielskich i być przygotowane na dodatkowe kontrole. Raporty międzynarodowe i analizy prawne opublikowane w latach 2021–2023 wielokrotnie wskazywały, że połączenie tych przepisów oraz struktury nadzorczej zwiększa prawdopodobieństwo, że państwowe żądania dostępu do danych mogą być realizowane także wobec danych osób zagranicznych.

Kluczowe daty i progi

– 1 września 2021: wejście w życie Data Security Law,
– 1 listopada 2021: wejście w życie PIPL,
– 2017: uchwalenie National Intelligence Law,
– próg 1 000 000 osób: dodatkowe obowiązki raportowania i oceny transferu danych.

Jakie dane obejmuje obowiązek lokalizacji

  • dane określone jako „ważne” (np. informacje o infrastrukturze krytycznej lub danych gospodarczych),
  • duże zbiory danych osobowych (np. bazy przekraczające 1 000 000 osób),
  • dane wrażliwe (np. biometryczne, zdrowotne, finansowe, poglądy polityczne),
  • informacje o zachowaniach online i interakcjach cyfrowych.

Przepisy definiują te kategorie szeroko, a w praktyce kryteria oceny „ważności” danych pozostają częściowo uznaniowe — to oznacza, że regulatorzy i organy administracji mają dużą swobodę w kwalifikowaniu konkretnych zbiorów jako wymagających lokalnego przechowywania lub szczególnej ochrony.

W jaki sposób władze uzyskują dostęp do danych

Dostęp do danych jest uzyskiwany wieloma kanałami: poprzez formalne żądania organów ścigania i wywiadu (na podstawie przepisów takich jak National Intelligence Law), poprzez obowiązkowe oceny bezpieczeństwa przy planowanym transferze danych za granicę, a także przez inspekcje i audyty u lokalnych dostawców chmurowych i operatorów telekomunikacyjnych. W praktyce dostęp staje się szczególnie prosty, gdy:

– dane fizycznie znajdują się na terytorium Chin, co umożliwia bezpośrednie wejście służb do centrów danych;
– klucze szyfrujące, mechanizmy zarządzania dostępem lub zapasowe kopie danych są przechowywane w Chinach;
– operator usługi korzysta z lokalnego partnera hostingowego, który podlega obowiązkowi współpracy z regulatorami.

Konsekwencje dla użytkowników spoza Chin

Dla osób i organizacji spoza Chin konsekwencje są realne: od niezamierzonego ujawnienia danych osobowych po ryzyko represji politycznych i konfliktów prawnych z jurysdykcjami macierzystymi. Przykłady skutków:

– ujawnienie danych finansowych, medycznych czy biometrycznych organom państwowym w Chinach,
– identyfikacja i śledzenie aktywistów, dziennikarzy lub pracowników firm zagranicznych korzystających z usług hostowanych w Chinach,
– konflikt prawny: transfer danych realizowany ze względu na chińskie wymogi może narazić firmę z siedzibą w UE na naruszenie rozporządzenia GDPR, co rodzi ryzyko sankcji i sporów prawnych,
– utrata wartości rynkowej i ryzyko wycieku tajemnic handlowych podczas przeglądów bezpieczeństwa lub w wyniku współpracy z lokalnymi partnerami.

Analizy prawne i raporty organizacji pozarządowych w latach 2021–2023 zgłaszały przypadki, w których wymogi lokalizacji i obowiązkowe przeglądy spowodowały, że międzynarodowe przedsiębiorstwa zmieniły strukturę przetwarzania danych lub musiały zarejestrować lokalnych przedstawicieli, co w praktyce zwiększało ryzyko państwowego dostępu.

Mechanizmy kontroli transferu danych

Przed transferem danych za granicę firmy muszą wykonać ocenę bezpieczeństwa lub zastosować inne mechanizmy zgodnie z PIPL i Data Security Law. CAC prowadzi przeglądy dla danych uznanych za „ważne” i może blokować transfery lub wymagać lokalnego przechowywania kopii zapasowych. Dla podmiotów przetwarzających dane ponad próg 1 000 000 osób obowiązkiem jest również informowanie regulatora o zmianach właścicielskich oraz poddanie się dodatkowym audytom. W praktyce proces ten może prowadzić do:

– zatrzymania transferu na czas przeglądu,
– wymogu przechowywania kopii danych w Chinach,
– formalnych zobowiązań kontraktowych zmieniających status danych.

Dowody i analizy

Przepisy PIPL i Data Security Law oraz istniejące prawo wywiadowcze dają podstawy prawne do współpracy firm z organami państwowymi. Międzynarodowe raporty i komentarze prawne z lat 2021–2023 wielokrotnie wskazywały, że ochrona praw osób spoza Chin może być niewystarczająca wobec mechanizmów nadzoru i wymogów bezpieczeństwa. W praktyce niektóre globalne firmy decydowały się na zawieranie umów z lokalnymi partnerami hostingowymi, co skutkowało przemieszczaniem lub replikacją danych w Chinach i zwiększeniem prawdopodobieństwa dostępu przez lokalne władze.

Ryzyka techniczne i łańcuch dostaw

Ryzyka techniczne związane z lokalizacją danych obejmują zarówno bezpośredni dostęp fizyczny do centrów danych, jak i luki wynikające z łańcucha dostaw. Kluczowe czynniki to:

– stosowanie lokalnych partnerów chmurowych oraz usługodawców, którzy przechowują kopie zapasowe na terytorium Chin,
– trzymanie kluczy szyfrujących lub mechanizmów zarządzania dostępem w Chinach, co ułatwia odszyfrowanie danych,
– aktualizacje oprogramowania i komponenty sprzętowe importowane do centrów danych, które mogą wprowadzać dodatkowe wektory ataku lub funkcje umożliwiające zdalny dostęp.

Analizy bezpieczeństwa wskazują, że najmniejszy wektor — np. lokalny dostawca utrzymujący dostęp administracyjny do systemów — może znacznie zwiększyć ryzyko kompromitacji danych.

Konflikt prawa i skutki dla firm globalnych

Firmy z siedzibą w UE, USA czy innych jurysdykcjach muszą godzić obowiązki nakładane przez chińskie prawo z obowiązkami wynikającymi z prawa krajowego lub regionalnego. Typowe konsekwencje:

– złożone analizy prawne i techniczne związane z oceną, które przepisy mają pierwszeństwo,
– konieczność przeprowadzania szczegółowych ocen wpływu na ochronę danych osobowych (DPIA) oraz konsultacji z regulatorami w macierzystych jurysdykcjach,
– ryzyko sankcji administracyjnych lub kar wynikających z naruszenia prawa ochrony danych w kraju macierzystym.

W praktyce firmy często angażują doradców prawnych, zespoły ds. zgodności i ekspertów technicznych, aby zaprojektować architekturę danych zgodną zarówno z chińskimi wymogami, jak i z regulacjami macierzystych rynków.

Jak firmy mogą ograniczyć ryzyko

Firmy mogą ograniczyć ryzyko poprzez zestaw działań organizacyjnych, technicznych i kontraktowych. Najskuteczniejsze podejścia obejmują:

– ograniczenie przekazywania do Chin tylko do danych absolutnie niezbędnych dla działalności lokalnej i segmentacja baz danych tak, aby dane klientów chińskich były przechowywane oddzielnie od danych użytkowników zagranicznych,
– stosowanie silnej pseudonimizacji i minimalizacji danych przed transferem za granicę, tak aby identyfikatory osobowe były usuwane lub zastępowane,
– wprowadzenie szyfrowania end-to-end z kluczami przechowywanymi poza Chinami oraz ścisłego zarządzania cyklem życia kluczy, aby fizyczne przechowywanie danych w Chinach nie oznaczało automatycznego dostępu dla stron trzecich,
– negocjowanie z dostawcami jasnych klauzul umownych dotyczących ochrony danych, ograniczeń dostępu administracyjnego, możliwości przeprowadzenia audytu oraz procedur reagowania na żądania organów,
– przeprowadzanie regularnych audytów i due diligence lokalnych dostawców, weryfikacja konfiguracji centrów danych oraz monitorowanie zmian w prawie i praktykach regulatora CAC.

Dodatkowo warto opracować scenariusze reakcji na incydenty, przewidujące kroki prawne i operacyjne na wypadek otrzymania żądania ujawnienia danych przez władze chińskie.

Co użytkownicy indywidualni mogą zrobić

Użytkownicy mogą aktywnie zmniejszyć swoją ekspozycję poprzez wybory dotyczące usług i praktyk użytkowania. Zalecane działania:

– sprawdzenie lokalizacji serwerów i centrów danych usługodawcy przed zarejestrowaniem konta oraz czy w regulaminie jest informacja o replikacji danych w Chinach,
– wybór usług oferujących end-to-end szyfrowanie oraz jasne zarządzanie kluczami szyfrującymi,
– ograniczenie udostępniania dokumentów i wrażliwych danych w chmurze, gdy usługa deklaruje przetwarzanie lub przechowywanie w Chinach,
– ostrożność wobec aplikacji i usług wymagających dostępu do dużych ilości danych osobowych lub biometrycznych, zwłaszcza gdy nie ma możliwości kontrolowania miejsca przechowywania danych.

Użytkownikom należy przypomnieć, że VPNy i inne narzędzia nie zawsze zapewniają ochronę przed żądaniami prawnymi skierowanymi do operatorów usług — techniczne maskowanie ruchu nie zastąpi braku kontroli nad miejscem przechowywania i zarządzaniem danymi.

Przykłady praktyczne i historyczne

W praktyce wiele firm technologicznych decydowało się na współpracę z lokalnymi partnerami hostingowymi, aby utrzymać obecność rynkową w Chinach. W takich modelach serwery i kopie zapasowe były umieszczane na terytorium Chin, co pociągało za sobą obowiązki wynikające z lokalnego prawa i wystawienie danych na przeglądy bezpieczeństwa przez regulatorów. Analizy z lat 2021–2023 wskazują, że przeglądy bezpieczeństwa przeprowadzane przez CAC stały się standardowym elementem procesu transferu danych i często skutkowały koniecznością przechowywania repliki danych w Chinach lub wprowadzenia dodatkowych mechanizmów kontroli.

Konsekwencją takich praktyk były zmiany architektury systemów informatycznych, restrukturyzacja umów z dostawcami oraz wzrost kosztów compliance w związku z koniecznością spełnienia obu, często sprzecznych, wymogów prawnych.

Ocena ryzyka

W ocenie ryzyka warto przyjąć pragmatyczne podejście oparte na rodzaju danych i skali przetwarzania: wysoki poziom ryzyka występuje przy przechowywaniu danych wrażliwych i biometrycznych na terenie Chin; średni poziom ryzyka dotyczy dużych zbiorów danych osobowych powyżej progu 1 000 000 osób; niski poziom ryzyka to ograniczone, zanonimizowane zbiory bez identyfikatorów osobowych. Przy ocenie zawsze należy uwzględnić specyfikę działalności, przepisy kraju macierzystego oraz możliwości techniczne zabezpieczenia danych.

Wnioski praktyczne

Firmy i użytkownicy spoza Chin doświadczają zwiększonego ryzyka prywatności, gdy dane znajdują się pod jurysdykcją Chin. Ryzyko przyjmuje formę potencjalnego dostępu przez organy państwowe, konfliktów prawnych z innymi jurysdykcjami oraz podatności łańcucha dostaw. Praktyczne działania zmniejszające ryzyko to segmentacja danych, minimalizacja transferów, stosowanie silnego szyfrowania z kluczami poza Chinami oraz regularne audyty i due diligence dostawców. Decyzje o architekturze danych powinny być podejmowane na podstawie oceny prawnej, technicznej i biznesowej, z uwzględnieniem dynamicznych zmian w przepisach i praktykach nadzorczych.