ในช่วงต้นเดือนมิถุนายน จีนได้บังคับใช้กฎระเบียบอย่างเป็นทางการเกี่ยวกับสัญญาแบบมาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งกำหนดให้ผู้ประมวลผลข้อมูล (รวมถึงบริษัทที่ประมวลผลข้อมูลที่มีประชากรน้อยกว่า 1 ล้านคน) ต้องมีสัญญากับผู้รับในต่างประเทศก่อนจึงจะโอนได้
กฎระเบียบใหม่เป็นส่วนหนึ่งของความพยายามของปักกิ่งที่จะเข้มงวดการควบคุมข้อมูลภายในประเทศในนามของการปกป้องความมั่นคงของชาติ
ปัจจุบันกรอบกฎหมายหลักของประเทศเกี่ยวกับการจัดการความเป็นส่วนตัวของข้อมูลประกอบด้วยกฎหมาย 3 ฉบับ ได้แก่ กฎหมายความมั่นคงปลอดภัยทางไซเบอร์ กฎหมายคุ้มครองความเป็นส่วนตัวของข้อมูล และกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ด้วยเหตุนี้รัฐบาลกลางจึงได้จัดตั้งระบบบริหารจัดการการส่งออกข้อมูลส่วนบุคคล นอกเหนือจากมาตรการในสัญญาแบบมาตรฐานแล้ว ระบบยังรวมถึงกฎเกณฑ์ที่กำหนดให้บริษัทต่างๆ ต้องดำเนินการลงทะเบียนประเมินความปลอดภัยกับหน่วยงานกำกับดูแลอินเทอร์เน็ตแห่งชาติ หรือสมัครขอรับใบรับรองการคุ้มครองข้อมูลส่วนบุคคลจากหน่วยงานที่มีอำนาจ
Xu Ke ผู้อำนวยการศูนย์วิจัยเศรษฐกิจดิจิทัลและนวัตกรรมทางกฎหมาย มหาวิทยาลัยธุรกิจระหว่างประเทศและเศรษฐศาสตร์ กล่าวว่า หน่วยงานกำกับดูแลกำลังดิ้นรนเพื่อรักษาสมดุลระหว่างการปรับปรุงความปลอดภัยของข้อมูลและการส่งเสริมการเติบโตทางเศรษฐกิจที่ขับเคลื่อนด้วยข้อมูล
จำนวนบริษัทมาก อัตราการอนุมัติต่ำ
ตามการประเมินความปลอดภัยสำหรับการถ่ายโอนข้อมูลข้ามพรมแดน ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 กันยายน บริษัทต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบุคคลมากกว่า 1 ล้านคนจะต้องผ่านการประเมินความปลอดภัยหากต้องการถ่ายโอนข้อมูลไปยังต่างประเทศ
บริษัทต่างๆ จะต้องส่งรายงานการประเมินตนเองด้านความปลอดภัยไปยังหน่วยงานกำกับดูแลเครือข่ายท้องถิ่นและสำนักงานบริหารไซเบอร์สเปซของจีน (CAC) เพื่อการตรวจสอบสองรอบ
ในปัจจุบันการโอนข้อมูลไปต่างประเทศจะถือว่าถูกกฎหมายหากผู้โอนลงนามในสัญญากับผู้รับและยืนยันว่าข้อมูลที่จะโอนผ่านการทดสอบความปลอดภัยของหน่วยงานที่มีอำนาจ
แม้ว่ามาตรการต่างๆ จะมีผลใช้บังคับตั้งแต่เดือนกันยายน แต่การนำไปปฏิบัติกลับทำได้ยากเนื่องจากมีบริษัทจำนวนมากและขาดทรัพยากรบุคคลในการประเมินรายงานด้านความปลอดภัย
ภายในสิ้นเดือนเมษายน ฝ่ายบริหารไซเบอร์สเปซของเซี่ยงไฮ้ได้รับรายงานการประเมินผลมากกว่า 400 รายงาน โดยมีเพียง 0.5 เปอร์เซ็นต์เท่านั้นที่ได้รับการอนุมัติจาก CAC
สถานการณ์ที่อื่นก็คล้ายกัน หน่วยงานต่างๆ ทั่วประเทศได้รับใบสมัครมากกว่า 1,000 ใบเพื่อถ่ายโอนข้อมูลไปยังต่างประเทศ โดยมีเพียง 10 ใบเท่านั้นที่ผ่านการพิจารณา 2 รอบ แหล่งข่าวจาก Caixin เปิดเผย
ในระดับชาติ งานตรวจสอบการอนุมัติรายงานด้านความปลอดภัยส่วนใหญ่ดำเนินการโดยศูนย์เทคนิคความปลอดภัยทางไซเบอร์ CNCERT/CC ซึ่งมีพนักงานรวมประมาณ 100 คน
เกณฑ์ “คลุมเครือ”
นอกเหนือจากข้อจำกัดด้านบุคลากรแล้ว การขาดความชัดเจนในเกณฑ์การประเมินยังทำให้กระบวนการอนุมัติล่าช้าลง โดยหน่วยงานกำกับดูแลและบริษัทต่างๆ มีความเห็นไม่ตรงกันว่าเหตุใดจึงจำเป็นต้องโอนข้อมูลที่ร้องขอ
ตัวอย่างเช่น ผู้สมัครจะต้องอธิบายว่าเหตุใดการโอนข้อมูลไปยังฝ่ายต่างประเทศเพื่อประมวลผลจึงเป็นสิ่งที่ถูกกฎหมาย สมเหตุสมผล และจำเป็น แต่ไม่มีการให้คำแนะนำเพิ่มเติมใดๆ
นายซู่เคอ เตือนว่าการใช้กลไก "ครบวงจร" อาจนำไปสู่ข้อจำกัดที่มากเกินไปต่ออุตสาหกรรมและภาคส่วนบางภาคส่วน ส่งผลให้การไหลเวียนของข้อมูลเป็นไปอย่างเสรีได้ยาก เนื่องจากระดับของการก่อให้เกิดปัญหาความมั่นคงของชาตินั้นแตกต่างกัน
เหอ หยวน ผู้อำนวยการบริหารของศูนย์วิจัยกฎหมายข้อมูลแห่งมหาวิทยาลัยเจียวทงเซี่ยงไฮ้ กล่าวว่าปริมาณงานของหน่วยงานกำกับดูแลในพื้นที่อาจเพิ่มขึ้นอย่างมาก เนื่องจากบริษัทที่มีพนักงานน้อยกว่า 1 ล้านคนจะต้องลงนามในสัญญาแบบมาตรฐานตั้งแต่เดือนมิถุนายนเป็นต้นไป
ตั้งแต่ปี 2023 หน่วยงานในแผ่นดินใหญ่ได้เพิ่มความพยายามด้านการประชาสัมพันธ์ เช่น การดำเนินการให้คำแนะนำแก่บริษัทต่างๆ เพื่อให้คุ้นเคยกับกฎการถ่ายโอนข้อมูล
อย่างไรก็ตาม ต้นทุนการปฏิบัติตามที่สูง ความยากลำบากในการสื่อสารกับผู้รับในต่างประเทศ และความไม่แน่นอนของกฎระเบียบ ถือเป็นปัจจัยที่ปักกิ่งยังไม่สามารถแก้ไขได้สำหรับธุรกิจต่างๆ
แพง
เพื่อหลีกเลี่ยงปัญหา บริษัทต่างๆ มักปรึกษากับหน่วยงานภายนอกเกี่ยวกับการส่งรายงานการประเมินความปลอดภัย
อย่างไรก็ตาม ค่าธรรมเนียมบริการที่บริษัทที่ปรึกษาเหล่านี้เรียกเก็บอาจสูงถึงหลายร้อยล้านหยวน ทำให้บริษัทขนาดเล็กเสียเปรียบ คุณภาพของบริการจากหน่วยงานเหล่านี้อาจแตกต่างกันไปได้เช่นกัน
แม้จะมีที่ปรึกษาคอยช่วยเหลือ แต่ธุรกิจหลายแห่งยังคงประสบปัญหาในการได้รับการอนุมัติ ตามที่จางเหยา หุ้นส่วนของ Sun & Young Partners ซึ่งเป็นบริษัทกฎหมายในเซี่ยงไฮ้ กล่าว การสมัครครั้งแรกจำนวนมากไม่เป็นไปตามข้อกำหนดด้านกฎระเบียบอย่างครบถ้วน
แม้ว่าหน่วยงานกำกับดูแลจะได้ชี้แจงข้อกำหนดเกี่ยวกับประเด็นหลักๆ เช่น ข้อมูลใดที่จำเป็นต้องโอนไปยังต่างประเทศ ผ่านระบบใด ส่งไปยังใคร และมีความเสี่ยงต่อความปลอดภัยหรือไม่ แต่การ "จัดการปัญหาเหล่านี้ต้องใช้ต้นทุนและความพยายามอย่างมาก" จากทางบริษัทต่างๆ
และสำหรับบริษัทข้ามชาติ แม้ว่าพวกเขาจะประสบความสำเร็จในการส่งข้อมูลส่วนบุคคลไปยังต่างประเทศ แต่พวกเขาก็ยังต้องเผชิญกับการลงทุนด้านการปฏิบัติตามข้อกำหนดอย่างต่อเนื่องในการใช้งานในภายหลัง เฉิน จี้หง หุ้นส่วนสำนักงานกฎหมาย Zhong Lun ในปักกิ่งกล่าว
นอกจากนี้ ผู้โอนข้อมูลยังต้องส่งข้อมูลเกี่ยวกับผู้รับในต่างประเทศในรายงาน ซึ่งเป็นสิ่งที่ธุรกิจเพียงไม่กี่แห่งเท่านั้นที่ยินดีจะแบ่งปัน ตัวอย่างเช่น บริษัทยักษ์ใหญ่ Microsoft ประกาศต่อสาธารณะว่า "จะไม่ให้ความร่วมมือ" ในการร้องขอการประเมินความปลอดภัยของข้อมูลของจีน
(อ้างอิงจาก นิกเคอิ เอเชีย)
แหล่งที่มา
การแสดงความคิดเห็น (0)