„Zakończono epokę brutalnego rozwoju chińskich spółek technologicznych” – głosiły chińskie media w 2021 r. Ten „brutalny” rozwój związany był nie tylko z problemami związanymi z prawami autorskimi, czy „dzikim” rozwojem technologii głównie informacyjnej, ale również z niekontrolowanym wyciekiem danych osobowych osób korzystających z różnych aplikacji, czy też robiących zakupy przez Internet.
Kilka lat temu władze Państwa Środka zapowiedziały powstrzymanie bezładnej ekspansji kapitału i zapewnienie warunków uczciwej konkurencji. Wprowadzono nowe regulacje, w szczególności dotyczące ochrony danych osobowych, których łamanie zagrożone zostało dotkliwymi karami. W dalszym ciągu szereg organów i instytucji w Chinach wprowadza nowe zasady dotyczące platform e-commerce. Zajęto się prawem antymonopolowym, finansowym, tym dotyczącym konsumentów i przede wszystkim chroniącym prywatność osób fizycznych.
W przypadku konsumentów istotnym aktem prawnym jest ustawa o ochronie danych osobowych (ang.: Personal Information Protection Law, PIPL, chiń.: 中华人民共和国个人信息保护法, Zhōnghuá Rénmín Gònghéguó Gèrén Xìnxī Bǎohù Fǎ), która weszła w życie 1 listopada 2021 r. (o jej projekcie pisaliśmy tu: https://prawochinskie.com.pl/ochrona-danych-osobowych-w-chinach/). Na przestrzeni ponad roku obowiązywania ustawy widać już, że chińskie władze nie mają zamiaru lekceważyć ochrony danych osobowych – pierwsze spółki zostały już ukarane.
Sprawa Didi
Najgłośniejszą sprawą ukarania chińskiej spółki za nieprzestrzegania prawa o ochronie danych osobowych oraz ustawy o bezpieczeństwie danych (ang.: Data Security Law, DSL, chiń.: 中华人民共和国数据安全法 Zhōnghuá Rénmín Gònghéguó Shùjù Ānquán Fǎ) była grzywna w wysokości 8 mld juanów nałożona na chińską spółkę Didi Chuxing Technology Co.
Didi Chuxing Technology Co. (dalej: „Didi”) jest pekińską spółką oferująca wynajem pojazdów, usługi transportowe, car-sharing, usługi kurierskie itp. W zakresie działalności należałoby ją porównać do zachodniego Ubera. Zatrudnia kilkanaście milionów kierowców, działa w kilkunastu państwach i posiada kilkaset milionów użytkowników. W 2021 r. została wymieniona przez magazyn Time w setce najbardziej wpływowych spółek na świecie. Jest to więc ogromne przedsiębiorstwo, które świadcząc usługi zbiera dane osobowe klientów i kierowców, czyli osób fizycznych.
Didi weszło na giełdę amerykańską w lipcu 2021 r. uzyskując 4.4 mld dolarów. Bardzo szybko po tym wydarzeniu Cyberspace Administration of China (CAC) ogłosiło śledztwo w sprawie naruszeń bezpieczeństwa narodowego na skutek działań Didi. W związku z powyższym ze sklepów internetowych usunięto aplikację Didi, co zablokowało rejestrację nowych użytkowników.
Po przeprowadzeniu kontroli CAC nie ogłosiło publicznie całości naruszeń jakie odnalazło. Publicznie powołano się na kwestie bezpieczeństwa narodowego i ujawniono tylko część zarzutów, tj.: gromadzenie nadmiernej ilości danych osobowych pasażerów (np. zdjęcia twarzy, wieku, zawodu), nieuzasadnione przechowywanie danych dotyczących wykształcenia kierowców, brak zabezpieczeń dla przechowywania numerów dowodów osobistych kierowców, analizowanie podróży klientów bez ich wyraźnej zgody, nieinformowanie klientów o celu gromadzenia i przetwarzania danych osobowych. W wyniku tej kontroli 21 lipca 2022 na Didi nałożono wspomnianą wcześniej grzywnę w wysokości 8 mld RMB oraz kary w wysokości po 1 mln RMB na CEO Cheng Wei i Prezes Liu Qing.
Wydaje się, że śledztwo przeprowadzone przez CAC w sprawie Didi wynikało z braku zastosowania przez Didi procedur zalecanych przez CAC przed wejściem na nowojorską giełdę. W czasie rocznego śledztwa akcje Didi straciły na wartości, a pod koniec roku 2022 spółka ogłosiła wycofanie się z giełdy amerykańskiej. Działania CAC miały więc ogromny wpływ na politykę rozwoju tego przedsiębiorstwa
Sprawa Didi z jednej strony pokazuje, że władze chińskie poważnie podchodzą do kwestii ochrony danych osobowych, z drugiej jednak strony decyzja CAC jest z prawnego punktu widzenia niepokojąca. Wiele wskazuje na to, że CAC badał stan spraw w Didi sprzed wejścia w życie ustawy o ochronie danych osobowych, a więc doniesienia zdają się sugerować, że w tym przypadku prawo zadziałało wstecz.
Jedno jest jednak pewne, planując otwarcie oddziału lub przedstawicielstwa w Chinach należy obok wszystkich formalności pamiętać również o obowiązkach dotyczących ochrony danych osobowych eksportowanych przez nasz oddział/przedstawicielstwo do Unii Europejskiej. Oznacza to konieczność podjęcia konkretnych działań i żelaznego trzymania się przyjętych regulaminów, pod groźbą wielomilionowej kary.
PIPL a spółki zagraniczne
Zachowanie wymaganych formalności nie jest proste. Zawarte w PIPL (ang.: Personal Information Protection Law) i innych ustawach wymagania są stosunkowo nowe i bywa różnie z regulacjami dotyczącymi ich wprowadzenia (zdarza się, że nie zostały zatwierdzone odpowiednie wzory dokumentów, bądź też nie ustanowiono odpowiednich organów do przeprowadzenia wymaganych procedur).
Jednak spółki zagraniczne działające w Chinach, które chciałyby przesyłać zebrane w Chinach dane osobowe za granicę muszą stosować się do przepisów. Biorąc pod uwagę powyżej opisany przykład chińskiego giganta Didi nie należy lekceważyć ochrony danych osobowych w Chinach. Prawo chińskie nakłada na podmioty eksportujące szereg obowiązków. Rozpatrując wybór najlepszej metody ochrony danych osobowych zgodnie z przepisami należy najpierw określić cel, ilość i charakter przetwarzania danych. Dopiero na tej podstawie można dokonać wyboru metody.
Według prawa spółki eksportujące dane osobowe za granicę Chin mogą przejść weryfikację w CAC, otrzymać certyfikat od upoważnionej instytucji (co porównywane jest do europejskich wiążących reguł korporacyjnych) lub podpisać standardowe klauzule umowne, których wzory powinny być udostępnione przez chińskie władze. Obecnie (początek 2023 r.) powyższe nie zostały jeszcze w pełni wdrożone do systemu chińskiego, co prowadzi do pewnego chaosu w kwestiach ochrony danych osobowych. W tym względzie proponujemy więc trzymać rękę na pulsie i korzystać z usług profesjonalistów zajmujących się kwestiami ochrony danych osobowych w Chinach.
W ostatnich latach chiński rząd przeciwstawia się szerzącej się fali oszustw z wykorzystaniem danych osobowych, ich wyciekami i nielegalnym handlem. Przy czym nieco niepokojące jest stosowanie przepisów ignorując ogólnie obowiązujące zasady, np. zasady, iż prawo nie powinno działać wstecz. Z pewnością znajdując się na chińskim rynku należy ściśle przestrzegać regulacji dotyczących ochrony danych osobowych, a w szczególności, jeżeli dane te przesyłane są za granicę.
Artykuł autorstwa Beaty Frenkiel