China heeft de voorbije jaren regelgeving in het kader van de nationale veiligheid uitgebracht die het uitvoeren van gevoelige data verbiedt. Dat leidde tot onrust bij buitenlandse bedrijven. Nieuwe aanvullende regels komen tegemoet aan die bezorgdheid en maken normale commerciële datatransfers probleemloos.
De Cyberspace Administration of China (CAC), de regelgever voor cyberveiligheid, heeft nu bijkomende regels uitgevaardigd die de uitvoer van data vergemakkelijken. De nieuwe regels worden onmiddellijk van kracht.
De beperkingen op de buitenlandse transfers van data worden versoepeld en het terrein van gevoelige data die een veiligheidsonderzoek vereisen ingeperkt. Het is nu ook duidelijker hoe de registratie van data-uitvoer moet gebeuren en hoe de veiligheidscontrole daarop zal plaatsvinden.
Volgens het CAC zullen de regels de lasten voor bedrijven sterk verminderen en willen ze de nationale dataveiligheid combineren met een grotere openheid naar het buitenland.
Recente wetgeving
De wetgeving rond veiligheid van data-uitvoer is relatief recent. Er is een Wet op de cyberveiligheid, een Wet op de dataveiligheid en een Wet op de bescherming van persoonsgegevens. Verder zijn er toepassingsregels in de industrie.
De ‘Maatregelen om de veiligheid van data-uitvoer te controleren’ die van kracht werden in september 2022, vermelden dat bedrijven die data verwerken van meer dan één miljoen personen een veiligheidscontrole moeten ondergaan vooraleer ze data mogen uitvoeren.
In juni 2023 kwamen er ‘Maatregelen betreffende het standaardcontract voor de uitvoer van persoonsgegevens’. Ze voorzien dat sommige bedrijven die persoonsgegevens verwerken, deze enkel kunnen uitvoeren wanneer de buitenlandse ontvanger een standaardcontract ondertekent. Ook sommige bedrijven die met gegevens van minder dan één miljoen personen werken vallen onder deze regel.
Te streng en/of te vaag
In november 2023 vroeg de European Union Chamber of Commerce in China de regels duidelijker te maken. De te strenge of te vage regels jagen buitenlandse bedrijven onnodig op kosten.
Uit een enquête van de American Chamber of Commerce in China,eveneens in 2023, bleek dat de strengere datapolitiek één van de drie grootste obstakels voor investeringen in innovatie in China is.
Tegemoetkoming
De nieuwe regels bevatten een lijst met zes soorten data-uitvoer die vrijgesteld worden van registratieplicht en veiligheidscontrole. Het gaat onder meer over data voortkomend uit internationale zakenactiviteiten of uit academische samenwerking en over persoonsgegevens die dienen voor grensoverschrijdende aankopen en betalingen.
Verder kunnen vrijhandelszones de uitvoer van data regelen met een negatieve lijst; concreet wil dit zeggen dat alles mag zolang het niet expliciet verboden is. Men verwacht dat Shanghai dit systeem zeker zal invoeren.
Bedrijven die toch nog door een veiligheidsprocedure moeten gaan voor hun datatransfers krijgen daarvoor meer tijd.
Bron: Caixin