ในช่วงต้นเดือนมิถุนายน จีนได้บังคับใช้กฎระเบียบอย่างเป็นทางการเกี่ยวกับสัญญาแบบมาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งกำหนดให้ผู้ประมวลผลข้อมูล (รวมถึงบริษัทที่ประมวลผลข้อมูลที่มีประชากรน้อยกว่า 1 ล้านคน) ต้องมีสัญญากับผู้รับในต่างประเทศก่อนจึงจะโอนได้

กฎระเบียบใหม่เป็นส่วนหนึ่งของความพยายามของปักกิ่งที่จะเข้มงวดการควบคุมข้อมูลภายในประเทศในนามของการปกป้องความมั่นคงของชาติ

ปัจจุบันกรอบกฎหมายหลักของประเทศเกี่ยวกับการจัดการความเป็นส่วนตัวของข้อมูลประกอบด้วยกฎหมาย 3 ฉบับ ได้แก่ กฎหมายความมั่นคงปลอดภัยทางไซเบอร์ กฎหมายคุ้มครองความเป็นส่วนตัวของข้อมูล และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ด้วยเหตุนี้รัฐบาลกลางจึงได้จัดตั้งระบบบริหารจัดการการส่งออกข้อมูลส่วนบุคคล นอกเหนือจากมาตรการในสัญญาแบบมาตรฐานแล้ว ระบบยังรวมถึงกฎเกณฑ์ที่กำหนดให้บริษัทต่างๆ ต้องดำเนินการลงทะเบียนประเมินความปลอดภัยกับหน่วยงานกำกับดูแลอินเทอร์เน็ตแห่งชาติ หรือสมัครขอรับใบรับรองการคุ้มครองข้อมูลส่วนบุคคลจากหน่วยงานที่มีอำนาจ

Xu Ke ผู้อำนวยการศูนย์วิจัย เศรษฐกิจ ดิจิทัลและนวัตกรรมทางกฎหมาย มหาวิทยาลัยธุรกิจระหว่างประเทศและเศรษฐศาสตร์ กล่าวว่า หน่วยงานกำกับดูแลกำลังดิ้นรนเพื่อรักษาสมดุลระหว่างการปรับปรุงความปลอดภัยของข้อมูลและการส่งเสริมการเติบโตทางเศรษฐกิจที่ขับเคลื่อนด้วยข้อมูล

จำนวนบริษัทมาก อัตราการอนุมัติต่ำ

ตามการประเมินความปลอดภัยสำหรับการถ่ายโอนข้อมูลข้ามพรมแดน ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 กันยายน บริษัทต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบุคคลมากกว่า 1 ล้านคนจะต้องผ่านการประเมินความปลอดภัยหากต้องการถ่ายโอนข้อมูลไปยังต่างประเทศ

บริษัทต่างๆ จะต้องส่งรายงานการประเมินตนเองด้านความปลอดภัยไปยังหน่วยงานกำกับดูแลเครือข่ายท้องถิ่นและสำนักงานบริหารไซเบอร์สเปซของจีน (CAC) เพื่อการตรวจสอบสองรอบ

ในปัจจุบันการโอนข้อมูลไปต่างประเทศจะถือว่าถูกกฎหมายหากผู้โอนลงนามในสัญญากับผู้รับและยืนยันว่าข้อมูลที่จะโอนผ่านการทดสอบความปลอดภัยของหน่วยงานที่มีอำนาจ

แม้ว่ามาตรการต่างๆ จะมีผลใช้บังคับตั้งแต่เดือนกันยายน แต่การนำไปปฏิบัติกลับทำได้ยากเนื่องจากมีบริษัทจำนวนมากและขาดทรัพยากรบุคคลในการประเมินรายงานด้านความปลอดภัย

ภายในสิ้นเดือนเมษายน ฝ่ายบริหารไซเบอร์สเปซของเซี่ยงไฮ้ได้รับรายงานการประเมินผลมากกว่า 400 รายงาน โดยมีเพียง 0.5 เปอร์เซ็นต์เท่านั้นที่ได้รับการอนุมัติจาก CAC

สถานการณ์ที่อื่นก็คล้ายกัน แหล่งข่าว Caixin เปิดเผยว่า หน่วยงานต่างๆ ทั่วประเทศได้รับใบสมัครมากกว่า 1,000 ใบเพื่อถ่ายโอนข้อมูลไปยังต่างประเทศ ในจำนวนนี้มีเพียง 10 ใบเท่านั้นที่ผ่านการพิจารณา 2 รอบ

ในระดับชาติ งานตรวจสอบการอนุมัติรายงานด้านความปลอดภัยส่วนใหญ่ดำเนินการโดยศูนย์เทคนิคความปลอดภัยทางไซเบอร์ CNCERT/CC ซึ่งมีพนักงานรวมประมาณ 100 คน

เกณฑ์ “คลุมเครือ”

นอกเหนือจากข้อจำกัดด้านบุคลากรแล้ว การขาดความชัดเจนในเกณฑ์การประเมินยังทำให้กระบวนการอนุมัติล่าช้าลง โดยหน่วยงานกำกับดูแลและบริษัทต่างๆ มีความเห็นไม่ตรงกันว่าเหตุใดจึงจำเป็นต้องโอนข้อมูลที่ร้องขอ

ตัวอย่างเช่น ผู้สมัครจะต้องอธิบายว่าเหตุใดการโอนข้อมูลไปยังฝ่ายต่างประเทศเพื่อประมวลผลจึงเป็นสิ่งที่ถูกกฎหมาย สมเหตุสมผล และจำเป็น แต่ไม่มีการให้คำแนะนำเพิ่มเติมใดๆ

นายซู่เคอ เตือนว่าการใช้กลไก "ครบวงจร" อาจนำไปสู่การจำกัดที่มากเกินไปในอุตสาหกรรมและภาคส่วนบางภาคส่วน ส่งผลให้การไหลเวียนของข้อมูลเป็นไปอย่างเสรีได้ยาก เนื่องจากระดับของการก่อให้เกิดปัญหาความมั่นคงของชาตินั้นแตกต่างกัน

เหอ หยวน ผู้อำนวยการบริหารของศูนย์วิจัยกฎหมายข้อมูลแห่งมหาวิทยาลัยเจียวทงเซี่ยงไฮ้ กล่าวว่าปริมาณงานของหน่วยงานกำกับดูแลในพื้นที่อาจเพิ่มขึ้นอย่างมาก เนื่องจากบริษัทที่มีพนักงานน้อยกว่า 1 ล้านคนจะต้องลงนามในสัญญาแบบมาตรฐานตั้งแต่เดือนมิถุนายนเป็นต้นไป

ตั้งแต่ปี 2023 หน่วยงานในแผ่นดินใหญ่ได้เพิ่มความพยายามด้านการประชาสัมพันธ์ เช่น การดำเนินการแนะนำสำหรับบริษัทต่างๆ เพื่อให้คุ้นเคยกับกฎการถ่ายโอนข้อมูล

อย่างไรก็ตาม ต้นทุนการปฏิบัติตามที่สูง ความยากลำบากในการสื่อสารกับผู้รับในต่างประเทศ และความไม่แน่นอนของกฎระเบียบ ถือเป็นปัจจัยที่ปักกิ่งยังไม่สามารถแก้ไขได้สำหรับธุรกิจต่างๆ

แพง

เพื่อหลีกเลี่ยงปัญหา บริษัทต่างๆ มักปรึกษากับหน่วยงานภายนอกเกี่ยวกับการส่งรายงานการประเมินความปลอดภัย

อย่างไรก็ตาม ค่าธรรมเนียมบริการที่บริษัทที่ปรึกษาเหล่านี้เรียกเก็บอาจสูงถึงหลายร้อยล้านหยวน ทำให้บริษัทขนาดเล็กเสียเปรียบ คุณภาพของการบริการจากหน่วยงานเหล่านี้อาจแตกต่างกันไปได้เช่นกัน

แม้จะมีที่ปรึกษาคอยช่วยเหลือ แต่ธุรกิจหลายแห่งยังคงประสบปัญหาในการได้รับการอนุมัติ ตามที่จางเหยา หุ้นส่วนของ Sun & Young Partners ซึ่งเป็นบริษัทกฎหมายในเซี่ยงไฮ้ กล่าว การสมัครครั้งแรกจำนวนมากไม่เป็นไปตามข้อกำหนดด้านกฎระเบียบอย่างครบถ้วน

แม้ว่าหน่วยงานกำกับดูแลจะได้ชี้แจงข้อกำหนดเกี่ยวกับประเด็นหลักๆ เช่น ข้อมูลใดที่จำเป็นต้องโอนไปต่างประเทศ ผ่านระบบใด ส่งไปยังใคร และมีความเสี่ยงต่อความปลอดภัยหรือไม่ แต่การ "จัดการปัญหาเหล่านี้ต้องใช้ต้นทุนและความพยายามอย่างมาก" จากทางบริษัทต่างๆ

และสำหรับบริษัทข้ามชาติ แม้ว่าพวกเขาจะประสบความสำเร็จในการส่งข้อมูลส่วนบุคคลไปยังต่างประเทศ แต่พวกเขาก็ยังต้องเผชิญกับการลงทุนด้านการปฏิบัติตามข้อกำหนดอย่างต่อเนื่องในการใช้งานในภายหลัง เฉิน จี้หง หุ้นส่วนสำนักงานกฎหมาย Zhong Lun ในปักกิ่งกล่าว

นอกจากนี้ ผู้โอนข้อมูลยังต้องส่งข้อมูลเกี่ยวกับผู้รับในต่างประเทศในรายงาน ซึ่งเป็นสิ่งที่ธุรกิจเพียงไม่กี่แห่งเท่านั้นที่ยินดีจะแบ่งปัน ตัวอย่างเช่น บริษัทยักษ์ใหญ่ Microsoft ประกาศต่อสาธารณะว่า "จะไม่ให้ความร่วมมือ" กับคำขอประเมินความปลอดภัยของข้อมูลของจีน

(อ้างอิงจาก นิกเคอิ เอเชีย)