1. Inleiding

Op 1 mei 2018 treedt in China in werking de “Personal Information Security Specification”. De nieuwe “Standard” met betrekking tot beveiliging van persoonsgegevens.

Deze Standard maakt onderdeel uit van het veel omvattende Data Protection Regime. Onder dit Regime vallen verschillende wettelijke maatregelen en beleidsinstrumenten, zoals de Cyber Security Law, die op 1 juni 2017 in werking trad, verschillende beleidsinstrumenten (“maatregelen”) en een tiental Standards, waarvan de per 1 mei a.s. van kracht wordende Standard er één is.

De Standard vult de Chinese privacywetgeving nader in, ten aanzien van de bescherming van persoonsgegevens.

De nieuwe Standard is grotendeels gebaseerd op de Europese Privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR) genoemd.

De Standard lijkt dan ook in veel opzichten op de Europese wetgeving, maar vertoont ook duidelijke verschillen.

Hoewel de Standard in het Chinese systeem niet wettelijk afdwingbaar is, biedt het een referentiekader voor de toepassing, en handhaving van de Cyber Security Law die het nader invult.

In meerdere opzichten zijn de Cyber Security Law en de nieuwe Standard dus van belang voor ondernemingen die in China gevestigd zijn. Of ondernemingen die weliswaar niet in China geregistreerd zijn, maar wel hun data delen met ondernemingen die wel in China zijn gevestigd.

Hieronder volgt een korte uiteenzetting van de Cyber Security Law en de nieuwe Standard.

Daarna volgt een vergelijking tussen de Standard enerzijds en de AVG/GDPR anderzijds.

Tot slot, een afrondende conclusie.

  1. De Cyber Security Law

De Chinese Cyber Security Law is een soort raamwet. Het regelt een breed spectrum aan ICT-gerelateerde zaken maar laat de uitwerking daarvan over aan nader vast te stellen maatregelen, waaronder de zogenoemde Standards. De per 1 mei 2018 in werking tredende Standard “Personal Information Security Specification”, is daar één van.

De Cyber Security Law is niet zonder kritiek. Gewezen wordt op een mogelijke, en oncontroleerbare, inmenging van de Chinese overheid in privacyaangelegenheden.

Zo meldt het Algemeen ambtsbericht China van het Ministerie van Buitenlandse Zaken (19 februari 2018) hierover:

 

Cyber Security Law

De Cyber Security Law of the People’s Republic of China trad op 1 juni 2017 in werking. De wet houdt in dat bedrijven hun digitale gegevens moeten opslaan in China en beschikbaar houden voor mogelijke controle door de Chinese autoriteiten. Hierdoor ontstond een grotere overheidscontrole op het digitale netwerkverkeer van bedrijven en organisaties. Mensenrechtenverdedigers spraken van een verdere inperking van de internetvrijheid van China en vreesden voor een nog strengere controle op publicaties die afwijken van de lijn van de CCP.

 

De Cyber Security Law maakt zoals gezegd onderdeel uit van het meer omvangrijke Chinese Data Protection Regime. Dat Regime is in ontwikkeling en de komende jaren zal daar nadere invulling aan worden gegeven. Overleg binnen de Chinese overheid enerzijds en tussen de overheid en bedrijven anderzijds zal mede bepalend zijn voor de uiteindelijke vormgeving van het Data Protection Regime.

Op dit moment werkt de Chinese overheid aan een nieuwe wet, die zich met name richt op de beveiliging van persoonsgegevens.

Al met al een “lappendeken” van regelgeving en beleidsinstrumenten.

Voor bedrijven die in China gevestigd zijn of anderszins Chinese data laten verwerken (en of transporteren) dus zaak om de ontwikkelingen op dit gebied nauwlettend te blijven volgen.

III. De Personal Information Security Specification Standard

Deze per 1 mei a.s. in werking tredende Standard maakt deel uit van het Chinese Data Protection Regime. In het bijzonder werkt deze Standard de, eveneens van het Data Protection Regime deel uitmakende, Cyber Security Law nader uit.

De Standard behandelt het verzamelen, opslaan, verwerken en delen van persoonsgegevens.

De Standard maakt deel uit van de paar honderd “Information Security Technology” Standards (de zogenoemde “TC 260” Standards; National Information Security Standardization Technical Committee 260) die een breed spectrum aan Cyber veiligheid gerelateerde onderwerpen behandelen.

Zoals bijvoorbeeld: Cloud Computing, Big Data (Artificial Intelligence), IT-producten en dus ook persoonsgegevens.

 

Standards in China zijn voornamelijk bedoeld om wetten en beleidsmaatregelen nader uit te werken en te implementeren. Het beste zijn deze Standards te vergelijken met wat wij in Europa richtsnoeren zouden noemen.

Niet-bindende besluiten die de lijnen op een bepaald beleidsterrein uitzetten. Net als hier zijn ook in China richtsnoeren (Standards) weliswaar niet bindend, maar zijn zij vaak het kader waarin vervolgens wel bindende besluiten worden genomen.

  1. De Cyber Security Law en de AVG/GDPR

De AVG/GDPR heeft model gestaan voor de Personal Information Security Specification Standard. Beide regelingen vertonen overeenkomsten. Zo behandelen zij, als centraal thema, de bescherming van persoonsgegevens.

Maar, de gelijkenis is vooral oppervlakkig. In detail zijn er veel verschillen. Ook overigens vanuit ideologisch oogpunt.

De AVG/GDPR is ingegeven vanuit de gedachte dat het beveiligen van persoonsgegevens en het waarborgen van privacy, vooral ook bij grensoverschrijdende overdracht van die persoonsgegevens, een grondrecht is. Daarnaast wordt gewezen op de versterking van de interne markt. (Zie artikel 1 AVG en de Overwegingen uit de Preambule 1-13.)

 

De Chinese overheid benadert privacy en Cyber Security vanuit een geheel andere invalshoek. Namelijk, voornamelijk vanuit de veiligheid van de Chinese Staat.

Tijdens de eerste bijeenkomst van de Cyberspace Administration of China in februari 2014 benoemde President Xi Jinping het als volgt:

“Without cybersecurity, there is no national security; without informatization, there is no modernization”.

 

En, vanuit deze beschermingsgedachte is ook de laatste Standard vormgegeven. De Chinese staat ziet cyber-onafhankelijkheid als het kunnen controleren van data, zowel binnen China als grensoverschrijdend.

Data (“Important Data”) die onder de Chinese privacyregelingen vallen beslaan derhalve niet alleen zuivere persoonsgegevens, maar ook bedrijfsgeheimen en overheidsgeheimen (die elkaar overigens kunnen overlappen). En informatie die de staat aanmerkt als “gevoelig” (cultureel en/of politiek). Wat daarmee precies wordt bedoeld is niet duidelijk.

De Cyber Security Law is een open normen regeling die, zoals gezegd, nader ingevuld wordt met beleidsregels en Standards. Welke regels en Standards zelf, de nodige ruimte bieden voor interpretatie.

In dit verband is van belang op te merken dat, anders dan in het systeem van de AVG/GDPR, het Chinese systeem geen (centrale) autoriteit kent die verantwoordelijk is voor het toezicht op en de naleving van de privacywetgeving.

Onder het regime van de AVG/GDPR is in dit verband een centrale rol weggelegd voor de zogenoemde Toezichthoudende Autoriteit (op Europees niveau: het Europees Comité voor gegevensbescherming). In China is zo’n functionaris en/of orgaan afwezig.

Dat roept vragen op over de wijze van interpretatie van de verschillende wet- en regelgevingen, die niet altijd met elkaar in lijn zijn. Bij gebreke van een centrale autoriteit zullen zo verwerkers van relevante data geconfronteerd kunnen worden met verschillende toepassingen van de Chinese regelgeving. Zowel op landelijk als op lokaal niveau.

Het gebrek aan een overkoepelend toezichthoudend orgaan kan zo willekeur in de hand werken.

 

Een voorbeeld van een onderwerp waarbij de nieuwe Standard essentieel afwijkt van de Cyber Security Law (die de Standard nota bene moet concretiseren), is het onderwerp van de “toestemming”.

(In de AVG/GDPR, één van de rechtmatigheidscriteria om persoonsgegevens te mogen verwerken).

De Cyber Security Law staat het niet toe dat data worden verwerkt, buiten toestemming van de betrokkenen om. De Standard daarentegen, laat dat wel toe.

 

De vraag of en zo ja in hoeverre de nieuwe Standard van toepassing is op Chinese en buitenlandse bedrijven, ligt open.

Zoals gezegd, de Standard heeft geen bindende kracht. Aan de andere kant is de Standard op dit moment het enige instrumentarium dat de open normen uit de Cyber Security Law gedetailleerd invult op het thema van beveiliging van persoonsgegevens. Het wordt dan ook in brede kring aangenomen dat de Standard wel degelijk van toepassing zal zijn. En, dat aan de daarin gestelde eisen zal moeten worden voldaan.

(Ook al wijkt de Standard op onderdelen essentieel af van de Cyber Security Law, zoals bijvoorbeeld het onderwerp van de “toestemming”.)

 

Bij dit alles komt dat het bureaucratische systeem in China, op het gebied van privacy- en cyberveiligheid, onoverzichtelijk is door de vele overheidsinstanties die op dit terrein actief zijn. Zowel op centraal niveau als op lokaal niveau.

  1. Conclusie

Op het gebied van het verwerken en beveiligen van persoonsgegevens lijken de Chinese en Europese regelgeving in veel opzichten op elkaar. De AVG/GDPR heeft aan de basis gestaan van de nieuwe privacy Standard.

Maar in de uitwerking van de bepalingen van de respectievelijke rechtssystemen vallen duidelijke verschillen op.

Een belangrijke reden hiervoor zijn de verschillen in ratio van de bepalingen.

Wordt in Europa bescherming van privacy in eerste instantie gezien als een grondrecht van individuen, in China staat de veiligheid van de Staat voorop. Vandaar ook dat de Chinese regelgeving zowel cyberveiligheid als privacy van persoonsgegevens tezamen heeft willen bundelen.

In China zal uitleg en toepassing van cyberveiligheid- en privacyregels altijd vanuit die gedachte worden benaderd. Of het nu gaat om de verzameling, opslag en verwerking van persoonsgegevens of van andere gegevens, die de Chinese Staat aanmerkt als “Important Data”, dan wel als “gevoelig”.

 

Hoewel artikel 2 van de Cyber Security Law doet vermoeden dat de bepalingen van de wet alleen van toepassing zijn op verwerkers (“Network operators”) die gevestigd zijn in China (“….. within the mainland territory of the People’s Republic of China”), wordt algemeen aangenomen dat ook bedrijven buiten China te maken kunnen krijgen met de Chinese regelgeving.

De reikwijdte van de Chinese regelgeving is niet beperkt tot ondernemingen zelf. Zij strekt zich ook uit tot hun klanten en leveranciers, die zich in China bevinden.

Zodoende kunnen ondernemingen buiten China te maken krijgen met de Chinese regelgeving wanneer data die in verband staan met hen, feitelijk verwerkt worden door zakenpartners die zich in China bevinden.

 

Voor bedrijven die al te maken hebben met de Cyber Security Law en aanverwante regelgeving, luidt het devies om de verdere ontwikkelingen op dit gebied de komende jaren nauwgezet te volgen.

En, regelmatig te monitoren of zij (nog) voldoen aan de eisen.

Voor nieuwkomers geldt het advies om te controleren of zij voldoen aan het vereiste van “Network Operator” en zo ja, of niet ook verdergaande verplichtingen uit de Cyber Security Law op hen van toepassing zijn.

Bijvoorbeeld indien zij in de categorie “Operators of Critical Information Infrastructure” vallen, waardoor aangescherpte voorzieningen van kracht zijn.

En, ook voor hen geldt de aanbeveling om de ontwikkelingen op dit onderwerp goed te blijven volgen.

 

Aanstaande belangrijke ontwikkelingen zijn:

  • De in voorbereiding zijnde nieuwe wet op het gebied van beveiliging van persoonsgegevens;
  • De per 31 december 2018 van kracht wordende “Measures on the security assessment of cross-border transfer of personal information and important data”, ook wel de “Data localization Provision” genoemd.