Chinese wet op cyberveiligheid door Europese bedrijven betwist (upd)

Op 1 juni wordt de Chinese wet op de cyberveiligheid van kracht. De wet wordt over het algemeen goed ontvangen omdat ze eindelijk voor data privacy moet zorgen. Maar buitenlandse bedrijven protesteren tegen bepaalde clausules en vragen om het uitstellen van invoering van de wet. Volgens buitenlandse bronnen zou de Chinese overheid nu toch  gedeeltelijk met hun wensen rekening houden.

De wet komt grotendeels overeen met de voorzieningen over de privacy van persoonlijke data in de General Data Protection Regulation van de EU. Naast de bezorgdheid voor privacy is de wet ook een onderdeel van maatregelen om Chinese eigen technologie te beschermen tegen de buitenlandse (Amerikaanse) spionage die klokkenluider Snowden bekend maakte.
Ze verplicht bedrijven maatregelen te nemen om de data die ze bijhouden te beschermen. Gevoelige bedrijven moeten alle data in verband met Chinese burgers of die de nationale veiligheid betreffen verplicht op servers in China bijhouden. Grote hoeveelheden persoonlijke gegevens mogen slechts naar het buitenland gezonden worden mits toelating van een controleorganisme. Welke bedrijven gevoelig zijn ligt nog niet vast. Uiteraard zal het om banken en energiebedrijven gaan, maar ook om bedrijven die data verzamelen waarvan het lekken ‘het welzijn van de burger kan schaden’. Deze bedrijven moeten een rapport laten maken waarin de veiligheid en de controleerbaarheid van hun data bevestigd wordt en waaruit blijkt dat de nationale veiligheid niet in het gedrang kan komen.
.
Buitenlandse multinationals vrezen dat de nieuwe wet hun kosten zal verhogen, hen kwetsbaar maakt voor industriële spionage, en Chinese bedrijven een oneerlijk voordeel geeft. De Europese Kamer van Koophandel in Beijing komt op voor uitstel en aanpassing.
Multinationals zullen al de data over hun klanten niet meer buiten China kunnen poolen. Dat zal kosten meebrengen. Zo zouden nu al buitenlandse bedrijven hun data overbrengen van het datacentrum van Amazon in Singapore naar dat van Alibaba in China. Alibaba heeft datacentra in China maar ook in diverse andere landen, om in overeenstemming te zijn met de lokale wetten.
Alhoewel de wet geen onderscheid maakt tussen Chinese en buitenlandse bedrijven, worden Chinese bedrijven veel minder getroffen. Velen hebben geen buitenlandse activiteiten. Wie wel buitenlandse activiteiten heeft stuurt meestal al zijn data naar Chinese datacenters.
De wet is enerzijds erg vaag, en anderzijds erg breed van toepassingsgebied. Ze zou de overheid zelfs kunnen toestaan de broncode van buitenlandse computerprogramma’s op te vragen. Dat verklaart Carly Ramsey, van Control Risks, een consultant voor risicomanagement.
In april is ook een ontwerp van wet over encryptie gepubliceerd dat aansluit bij de huidige wet. Dit ontwerp laat de regering toe steun bij het kraken van encryptie te eisen indien de nationale veiligheid in het gedrang komt. Hiermee komen we in een gelijkaardige situatie als de VS waar Apple weigerde het FBI te helpen bij het kraken van de code van een iPhone.

Succes  op de valreep? 

Een dag voor de wet van kracht wordt  heeft de Cybersecurity Administration bekend gemaakt dat buitenlandse bedrijven tot 19 maand uitstel kunnen krijgen om te voldoen aan de regels betreffende het naar het buitenland overbrengen van data. Dat meldt de South China Morning Post.  De pers van het vasteland laat diezelfde Cybersecurity Administration verklaren dat de wet hoegenaamd niet dient om de toegang van buitenlandse bedrijven tot de Chinese markt te bemoeilijken, doch maakt geen melding van het uitstel.

Wat de wet concreet zegt

Bedrijven en overheidsdepartementen moeten privé-informatie die ze bewaren encrypteren of op een andere manier beveiligen
Persoonlijke informatie over burgers verzamelen wordt strafbaar, tenzij er toestemming voor verleend is
Alle bedrijven moeten een beveiligingsrapport laten maken vooraleer ze persoonlijke informatie over meer dan 500.000 personen of data die de nationale veiligheid of het algemeen belang in het gedrang kunnen brengen mogen exporteren.
Bedrijven die te maken hebben met kritieke infrastructuur moeten persoonlijke informatie en andere belangrijke data die in China verzameld zijn in het land zelf opslaan.
Belangrijke netwerkproducten en diensten mogen slechts in China verkocht worden nadat ze onderzocht zijn in verband met de nationale veiligheid.
Bron: Financial Times, China Economic Net, South China Morning Post, china.org.cn

1 comment for “Chinese wet op cyberveiligheid door Europese bedrijven betwist (upd)

Een reactie achterlaten

Je e-mailadres zal niet getoond worden. Vereiste velden zijn gemarkeerd met *