Krótka odpowiedź

Tak – chiński obowiązek lokalnego przechowywania danych zagraża użytkownikom spoza Chin, gdy ich dane znajdują się na serwerach w Chinach lub są zarządzane przez podmioty podlegające chińskiemu prawu.

Ramy prawne i daty wejścia w życie

Główne akty prawne to Cybersecurity Law (CSL) z 2017 roku, National Intelligence Law z 2017 roku, Data Security Law (DSL) obowiązująca od 1 września 2021 roku oraz Personal Information Protection Law (PIPL) obowiązująca od 1 listopada 2021 roku. W praktyce te regulacje tworzą ramy uprawniające organy, w szczególności Cyberspace Administration of China (CAC), do kontroli transferów danych, żądań dostępu oraz przeprowadzania przeglądów bezpieczeństwa przed eksportem danych.

National Intelligence Law nakłada ogólny obowiązek współpracy z władzami wywiadowczymi, a CSL i DSL definiują kategorie danych wymagających dodatkowej ochrony lub lokalizacji. PIPL wprowadza zasady przetwarzania danych osobowych i ma efekt częściowo eksterytorialny wobec danych obywateli chińskich.

Firmy przetwarzające dane osobowe ponad 1 000 000 osób podlegają szczególnym wymogom: obowiązkowi przeprowadzenia oceny bezpieczeństwa przed eksportem danych oraz zwiększonym kontrolom regulatora.

Zakres obowiązku lokalnego przechowywania danych

Chińskie przepisy rozróżniają kategorie danych oraz przesądzają o obowiązku lokalizacji na podstawie skali, wrażliwości i znaczenia gospodarczego. W praktyce obowiązek lokalizacji dotyczy danych:

  • danych uznanych za „ważne” w kontekście infrastruktury krytycznej lub gospodarczej,
  • dużych zbiorów danych osobowych przekraczających próg 1 000 000 osób,
  • danych wrażliwych, takich jak biometryczne, zdrowotne, finansowe czy dotyczące poglądów politycznych,
  • informacji o zachowaniach online i interakcjach cyfrowych istotnych dla bezpieczeństwa i porządku publicznego.

W praktyce definicja „ważnych danych” jest częściowo uzależniona od interpretacji regulatora i może obejmować zbiory, które z punktu widzenia operatora wydają się neutralne, ale dla regulatora mają znaczenie strategiczne.

Mechanizmy dostępu władz chińskich do danych

Gdy dane znajdują się na terytorium Chin, organy państwowe mają szerokie możliwości dostępu do centrów danych i infrastruktury. W szczególności:

systemy zarządzania kluczami szyfrującymi i mechanizmy kontroli dostępu często pozostają w gestii podmiotów w Chinach, co upraszcza żądania odszyfrowania danych i uzyskanie dostępu administracyjnego. Dodatkowo CAC i inne agencje mogą na podstawie CSL i DSL żądać przeprowadzenia inspekcji, przekazania kopii danych lub udostępnienia informacji systemowych.

National Intelligence Law nakłada na organizacje obowiązek współpracy z organami wywiadu, co obejmuje zarówno spółki chińskie, jak i oddziały firm zagranicznych działających w Chinach. W rezultacie techniczne bariery, takie jak szyfrowanie, tracą skuteczność, gdy klucze lub elementy infrastruktury kluczowe dla poufności znajdują się na terytorium Chin.

Dlaczego ryzyko dotyczy użytkowników poza Chinami

  • eksterytorialny zasięg przepisów, zwłaszcza PIPL, obejmujący przetwarzanie danych obywateli chińskich poza granicami Chin,
  • współpraca z lokalnymi partnerami i podwykonawcami, która może powodować replikację danych lub przechowywanie kopii w Chinach,
  • praktyki techniczne operatorów polegające na replikacji i backupie w centrach danych zlokalizowanych w Chinach, co powoduje, że dane użytkowników spoza Chin trafiają pod jurysdykcję chińską.

W efekcie obywatel, klient lub pracownik z Polski czy innych krajów może znaleźć się w sytuacji, w której jego dane osobowe są dostępne lokalnym władzom chińskim mimo że nigdy nie przebywał w Chinach.

Konsekwencje dla użytkowników poza Chinami — konkretne ryzyka

Ryzyka mają wymiar techniczny, prawny i reputacyjny. Najważniejsze przykłady zagrożeń to:

ujawnienie danych osobowych organom państwowym — dane finansowe, medyczne czy biometryczne mogą być wymagane przez chińskie organy, jeżeli przechowywane są w Chinach lub administrowane przez podmiot zobowiązany do współpracy.

śledzenie i identyfikacja osób narażonych — aktywiści, dziennikarze, pracownicy firm międzynarodowych oraz kontrahenci mogą zostać zidentyfikowani na podstawie logów dostępu, metadanych i analizy zachowań cyfrowych.

ograniczenia techniczne wynikające z lokalizacji kluczy szyfrujących — jeśli klucze do deszyfrowania przechowywane są w Chinach lub znajdują się pod kontrolą chińskiego dostawcy, skuteczność szyfrowania maleje z punktu widzenia ochrony przed krajowymi żądaniami.

konsekwencje prawne i kontraktowe dla firm z innych jurysdykcji — transfer danych do Chin stwarza ryzyko naruszenia prawa miejscowego (np. GDPR) i może rodzić sankcje administracyjne oraz spory sądowe.

Konflikt prawny z innymi jurysdykcjami (przykład: GDPR)

Transfer danych z UE do Chin może naruszać warunki GDPR, jeśli ochrona danych po stronie odbiorcy nie jest równoważna z poziomem przewidzianym w unijnym prawie. Firmy z siedzibą w UE realizujące transfery danych do Chin narażają się na sankcje i spory prawne, jeżeli przepisy chińskie wymuszają ujawnienie danych.

W praktyce organizacje muszą rozważyć ryzyko kolizji przepisów: obowiązki wobec regulatora chińskiego mogą wejść w konflikt z obowiązkami wynikającymi z ochrony prywatności osób trzecich w innych krajach. Brak możliwości spełnienia obu obowiązków równocześnie powoduje konieczność wyboru ryzyka prawnego i biznesowego.

Praktyczne obserwacje i implikacje za lata 2021–2023

  • przeglądy bezpieczeństwa przeprowadzane przez CAC stały się stałym elementem procesu eksportu danych i często prowadziły do zatrzymania transferu,
  • wielokrotnie w wyniku kontroli regulator żądał przechowywania kopii danych w Chinach lub wprowadzenia dodatkowych klauzul kontraktowych i technicznych ograniczeń,
  • firmy z dużymi zbiorami (>1 000 000 użytkowników) notorycznie podlegały bardziej rozbudowanym kontrolom i wymaganiom dokumentacyjnym.

Te praktyczne obserwacje oznaczają, że decyzja o wykorzystaniu usług chmurowych lub partnerów w Chinach wymaga w wielu przypadkach wcześniejszej, szczegółowej analizy ryzyka i przygotowania procedur zgodności.

Scenariusze ryzyka — konkretne przypadki użycia

Przykładowe scenariusze obrazują, jak realnie dochodzi do ekspozycji danych użytkowników spoza Chin:

Usługa chmurowa z centrum danych w Chinach: użytkownik z Polski przechowuje zdjęcia lub dokumenty u dostawcy, którego centrum znajduje się w Chinach. Dane podlegają lokalnym regulacjom, a organy chińskie mogą uzyskać do nich dostęp.

Międzynarodowy serwis z partnerem hostującym w Chinach: operator rezydujący poza Chinami korzysta z replikacji i backupu u lokalnego partnera. Kopia bazy danych klientów trafia do Chin i podlega krajowym przepisom.

Analiza danych przez platformę wykorzystującą chińską infrastrukturę: platforma przechowuje i przetwarza duże zbiory danych (>1 000 000 rekordów) i przed wywozem wyników podlega przeglądowi CAC, co może doprowadzić do ograniczeń w przekazywaniu wyników poza Chiny.

Środki ograniczające ryzyko dla organizacji

  1. przeprowadzenie mapowania danych i identyfikacji zbiorów przekraczających próg 1 000 000 osób,
  2. wykonywanie oceny wpływu na ochronę danych (DPIA) przed podpisaniem umów z dostawcami działającymi w Chinach,
  3. wdrożenie segmentacji i polityk przechowywania — przechowywanie danych wrażliwych poza Chinami i replikacja jedynie danych niekrytycznych,
  4. stosowanie silnego szyfrowania end-to-end z kluczami zarządzanymi poza Chinami i w zaufanej jurysdykcji,
  5. audyty łańcucha dostaw i zawieranie klauzul umownych precyzujących obowiązki dotyczące lokalizacji danych oraz postępowania wobec żądań władz.

Wdrożenie tych środków nie eliminuje całkowicie ryzyka, ale znacząco je ogranicza poprzez zmniejszenie powierzchni eksponowanych danych i podniesienie bariery technicznej oraz prawnej przed uzyskaniem dostępu przez chińskie organy.

Środki ograniczające ryzyko dla użytkowników indywidualnych

Użytkownicy indywidualni powinni przyjąć praktyczne zasady ograniczające ekspozycję danych:

unikaj przechowywania danych w usługach z centrum w Chinach i wybieraj dostawców z transparentną lokalizacją centrów danych,

stosuj szyfrowanie po stronie klienta, szyfrując pliki lokalnie przed wysłaniem ich na serwer,

ogranicz udostępniane informacje w profilach i aplikacjach oraz regularnie weryfikuj polityki prywatności i informacje o podwykonawcach.

Wskazania dla decydentów i zespołów prawnych

Zarządzający ryzykiem informatycznym i zespoły prawne powinny traktować wymogi lokalizacji danych jako element stałego procesu decyzyjnego przy wyborze dostawców i architektur usług. Oceny wpływu na ochronę danych i audyty techniczne warto przeprowadzić przed podpisaniem umów z dostawcami działającymi w Chinach. Dodatkowo rekomendowane są:

regularne testy odporności na żądania władz, przygotowanie planów reakcji na żądania ujawnienia danych oraz wpisanie w umowach klauzul dotyczących powiadamiania o żądaniach ze strony państw i ograniczeń transferów.

Techniczne konsekwencje i ryzyka operacyjne

Techniczne aspekty, które mają istotne znaczenie dla poziomu bezpieczeństwa danych, to przede wszystkim:

dostęp władz: bezpośredni dostęp do serwerów zlokalizowanych w Chinach zwiększa ryzyko pozyskania surowych danych i metadanych, szyfrowanie i zarządzanie kluczami: jeśli klucze są przechowywane w Chinach, możliwość technicznej ochrony maleje,

transfery i przeglądy: przeglądy CAC opóźniają eksport danych, mogą wymagać lokalnego przechowywania kopii oraz dodatkowej dokumentacji,

konflikt prawny: równoległe obowiązki wynikające z prawa chińskiego i prawa innych jurysdykcji, jak GDPR, powodują trudne wybory przed organizacjami.

Końcowa uwaga o zarządzaniu ryzykiem

Decyzje dotyczące architektury danych i wyboru dostawców muszą uwzględniać nie tylko koszty i wydajność, ale też ryzyko prawne i polityczne. Długoterminowe strategie bezpieczeństwa danych powinny łączyć ocenę prawną, techniczne zabezpieczenia oraz audyt łańcucha dostaw, aby zminimalizować prawdopodobieństwo, że dane użytkowników spoza Chin zostaną objęte chińską jurysdykcją bez adekwatnej ochrony.

Przeczytaj również: