في أوائل شهر يونيو/حزيران، بدأت الصين رسميا تنفيذ اللوائح الخاصة بالعقود القياسية لنقل المعلومات الشخصية عبر الحدود، والتي تتطلب من معالجي البيانات (بما في ذلك الشركات التي تعالج بيانات أقل من مليون شخص) إبرام عقود مع المتلقين في الخارج قبل النقل.

وتشكل القواعد الجديدة جزءا من جهود بكين الرامية إلى تشديد السيطرة على البيانات المحلية باسم حماية الأمن القومي.

في الوقت الحالي، يتكون الإطار القانوني الأعلى في البلاد لإدارة خصوصية البيانات من ثلاثة قوانين: قانون الأمن السيبراني، وقانون خصوصية البيانات، وقانون حماية المعلومات الشخصية.

وبناء على ذلك، أنشأت الحكومة المركزية نظامًا لإدارة تصدير البيانات الشخصية. بالإضافة إلى التدابير الواردة في العقد القياسي، يتضمن النظام قواعد تلزم الشركات بإجراء تسجيل تقييم أمني لدى هيئة الإشراف على الإنترنت الوطنية أو التقدم بطلب للحصول على شهادة حماية المعلومات الشخصية من السلطة المختصة.

وقال شو كي، مدير مركز أبحاث الاقتصاد الرقمي والابتكار القانوني في جامعة الأعمال والاقتصاد الدولية، إن الجهات التنظيمية تكافح من أجل إيجاد التوازن بين تعزيز أمن البيانات وتعزيز النمو الاقتصادي القائم على البيانات.

عدد كبير من الشركات ومعدل موافقة منخفض

وبموجب تقييمات الأمن لنقل البيانات عبر الحدود، والتي دخلت حيز التنفيذ في الأول من سبتمبر/أيلول، يتعين على الشركات التي تعالج البيانات الشخصية المتعلقة بأكثر من مليون شخص الخضوع لتقييم أمني إذا كانت تريد نقل البيانات إلى الخارج.

يتعين على الشركات تقديم تقارير التقييم الذاتي للأمن إلى الجهات التنظيمية للشبكات المحلية وإدارة الفضاء الإلكتروني في الصين (CAC) لجولتين من المراجعة.

في الوقت الحالي، تعتبر عمليات نقل البيانات إلى الخارج قانونية إذا وقع الناقل عقدًا مع المتلقي وأكد أن البيانات التي سيتم نقلها تجتاز اختبار الأمان للسلطة المختصة.

ورغم أن هذه الإجراءات دخلت حيز التنفيذ في سبتمبر/أيلول الماضي، إلا أن تنفيذها كان صعبا بسبب العدد الكبير من الشركات ونقص الموارد البشرية اللازمة لتقييم تقاريرها الأمنية.

وبحلول نهاية شهر أبريل/نيسان، تلقت إدارة الفضاء الإلكتروني في شنغهاي أكثر من 400 تقرير تقييم، لم توافق إدارة الفضاء الإلكتروني إلا على 0.5% منها.

والوضع مماثل في أماكن أخرى. وكشفت مصادر كايكسين أن السلطات على مستوى البلاد تلقت أكثر من ألف طلب لنقل البيانات إلى الخارج، منها أقل من 10 طلبات اجتازت جولتين من المراجعة.

على المستوى الوطني، يتم تنفيذ غالبية أعمال مراجعة الموافقة على التقارير الأمنية من قبل المركز الفني للأمن السيبراني CNCERT/CC، والذي يبلغ إجمالي عدد موظفيه حوالي 100 شخص.

معايير "غامضة"

وبالإضافة إلى القيود المتعلقة بالتوظيف، فإن الافتقار إلى الوضوح في معايير التقييم يؤدي إلى إبطاء عملية الموافقة، مع وجود خلافات بين الجهات التنظيمية والشركات حول سبب ضرورة نقل البيانات المطلوبة.

على سبيل المثال، يجب على مقدم الطلب أن يوضح سبب كون نقل البيانات إلى طرف أجنبي للمعالجة قانونيًا ومعقولًا وضروريًا، ولكن لا يتم تقديم أي إرشادات أخرى.

وحذر السيد شو كي من أن تطبيق آلية "الكل في واحد" قد يؤدي إلى فرض قيود مفرطة على بعض الصناعات والقطاعات، مما يعيق التدفق الحر للبيانات لأن مستوى التسبب في مخاوف الأمن القومي مختلف.

وأشار هي يوان، المدير التنفيذي لمركز أبحاث قانون البيانات في جامعة شنغهاي جياو تونغ، إلى أن عبء العمل على الهيئات التنظيمية المحلية قد يزيد بشكل كبير حيث سيتعين على الشركات التي تضم أقل من مليون موظف أيضًا توقيع عقود قياسية بدءًا من يونيو.

منذ عام 2023، كثفت السلطات في البر الرئيسي جهودها الدعائية، مثل إصدار إرشادات للشركات للتعرف على قواعد نقل البيانات.

ومع ذلك، فإن تكاليف الامتثال المرتفعة، والصعوبات في التواصل مع المتلقين في الخارج، وعدم اليقين التنظيمي من بين العوامل التي لم تتمكن بكين من حلها بالنسبة للشركات.

غالي

لتجنب المشاكل، تميل الشركات إلى استشارة وكالات خارجية فيما يتعلق بتقديم تقارير تقييم الأمان.

ومع ذلك، فإن رسوم الخدمة التي تفرضها وكالات الاستشارات هذه يمكن أن تصل بسهولة إلى مئات الملايين من اليوانات، مما يضع الشركات الصغيرة في وضع غير مؤات. وقد تختلف جودة الخدمة المقدمة من هذه الوكالات أيضًا.

حتى مع مساعدة الاستشاريين، لا تزال العديد من الشركات تواجه صعوبة في الحصول على الموافقات. وقال تشانج ياو، شريك في شركة صن آند يونج بارتنرز للمحاماة ومقرها شنغهاي، إن العديد من الطلبات المقدمة لأول مرة لا تلبي المتطلبات التنظيمية بالكامل.

في حين أوضحت الجهات التنظيمية المتطلبات المتعلقة بالقضايا الأساسية المتعلقة بالبيانات التي تحتاج إلى نقلها إلى الخارج، ومن خلال أي أنظمة، ولمن، وما إذا كانت هناك مخاطر أمنية، فإن "حل هذه القضايا يتطلب الكثير من التكلفة والجهد" من جانب الشركات.

وبالنسبة للشركات المتعددة الجنسيات، حتى لو نجحت في إرسال البيانات الشخصية إلى الخارج، فإنها لا تزال تواجه استثمارات مستمرة في الامتثال في الاستخدام اللاحق، حسبما قال تشين جيهونغ، الشريك في شركة تشونج لون للمحاماة ومقرها بكين.

ناهيك عن ذلك، يجب على ناقل البيانات تقديم معلومات حول المتلقي في الخارج في التقرير - وهو الأمر الذي لا ترغب سوى عدد قليل جدًا من الشركات في مشاركته. على سبيل المثال، أعلنت شركة مايكروسوفت العملاقة علناً أنها "لن تتعاون" مع طلبات الصين لتقييم أمن البيانات.

(وفقا لصحيفة نيكي آسيا)