بررسی استانداردهای جدید حفاظت اطلاعات شخصی در چین

بررسی استانداردهای جدید حفاظت اطلاعات شخصی در چین
تاریخ انتشار : ۲۵ بهمن ۱۳۹۶

دولت چین اخیراً نسخه نهایی استانداردهای جدید ملی در موردحفاظت از اطلاعات شخصی و مقرراتی پیرامون رضایت کاربر و نحوه جمع‌آوری، ذخیره و اشتراک اطلاعات شخصی را منتشر کرده است.

به گزارش گرداب، بر اساس مقاله تهیه‌شده از سوی سام ساکس (Samm Sacks)، عضو ارشد برنامه سیاست فناوری در مرکز مطالعات استراتژیک و بین‌المللی (CSIS) در واشنگتن دی سی، دولت چین اخیراً نسخه نهایی استانداردهای جدید ملی در موردحفاظت از اطلاعات شخصی و مقرراتی پیرامون رضایت کاربر و نحوه جمع‌آوری، ذخیره و اشتراک اطلاعات شخصی را منتشر کرده است.

تصمیم‌گیری در مورد تنظیم این استانداردها در ماه می سال جاری گرفته شده اما هنوز چگونگی دقیق اجرای آن مشخص نیست. علیرغم عدم اطمینان در مورد اثرات این استاندارد، زبان آن کاملاً جامع و حتی دشوارتر از مقررات کلی حفاظت اطلاعات اتحادیه اروپا (GDPR) است. بااین‌حال، تقارب رو به رشد رویکردهای اروپا و چین در سازمان‌های حفاظت اطلاعات جدید، منجر به انزوای بیشتر شرکت‌های آمریکایی با روش‌های واکنشی شده است. ساکس در اینجا به برخی سؤالات انتقادی مطرح‌شده می‌پردازد :

سؤال 1 : سازمان حافظت اطلاعات چینی چیست؟
پاسخ 1 : با تصویب اصول گسترده قانون امنیت سایبری چین، اما مسائل کلیدی حل‌نشده اجرایی و منطقه‌ای باقی ماندند. ایده این قانون، پیروی از استانداردها و ابزارها برای پر کردن شکاف‌ها در زمان یافتن اختلافات از سوی سهامداران بود. قانون امنیت سایبری شامل شش سیستم می‌شود که با هم چارچوبی در زمینه فناوری اطلاعات و ارتباطات (ICT) در چین ایجاد می‌کنند. استانداردهای جدید ملی متعلق به چهارمین سیستم است که "سیستم حفاظت اطلاعات مهم و شخصی" نامیده می‌شود.

سازمان حفاظت اطلاعات نوظهور چین هنوز دو تا سه سال دیگر تا تکامل فاصله دارد اما طبق گفته افراد دخیل در شکل‌گیری سیستم، این سازمان مشخص‌کننده سه دسته است : اطلاعات شخصی، انتقال داده‌ها و مدیریت و حکومت‌داری داده‌ها.
بنابراین سازمان حفاظت اطلاعات شامل قانون امنیت سایبری و حداقل 10 استاندارد پیشنهادی است. امسال کارشناسان منتظر اضافه شدن قانون دیگری با تمرکز خاص بر حفاظت اطلاعات شخصی هستند. برخی منتقدین معتقدند که این قانون ضروری نیست زیرا موضوع به‌طور گسترده تحت پوشش چارچوب حفاظت از داده‌ها قرار دارد. اما گزارش ملی کنگره مردمی در ماه دسامبر سال گذشته خواستار پیش‌نویس یک قانون جدید مجزا شد.

واضح است که چین به سمت ایجاد یک سازمان ملی نظارت داده‌ها، با پیامدهای عمده برای همکاری بین‌المللی میان شرکت‌های چینی و خارجی پیش می‌رود.

سؤال 2 : چرا این استاندارد مهم است؟
پاسخ 2 : در میان صدها استاندارد امنیت سایبری در چین، استاندارد حفاظت اطلاعات شخصی به دو دلیل اصلی حائز اهمیت است : اول اینکه این استاندارد موضوع بحث‌های مداوم یک‌ساله دولت و شرکت‌های چيني را پوشش می‌دهد. در چین میان افراد حامی حفاظت از حریم خصوصی داده‌های بیشتر و افراد متمایل به توسعه زمینه‌هایی مانند هوش مصنوعی و داده‌های بزرگ بدون محدودیت در مورد نحوه استفاده از داده‌ها تضاد وجود دارد. موجودیت این بحث برای ناظران بیرونی شناخته‌شده نیست.

این استاندارد با اعمال محدودیت‌های شدید در "استفاده ثانوی" داده‌ها را فراتر از هدف اصلی، یک چارچوب جامع و فرآیند جمع‌آوری، ذخیره‌سازی، رسیدگی و به اشتراک‌گذاری اطلاعات شخصی را ایجاد می‌کند. به‌عنوان‌مثال، مقررات مفصلی برای رضایت کاربر، ازجمله الزاماتی را پوشش می‌دهد و داده‌ها قبل از به اشتراک‌گذاری باید شناسایی شوند و رضایت از افراد اهمیت دارد. چگونگی اجرای دقیق این استاندارد به‌طور کامل مشخص نیست اما واضح است که بررسی چگونگی رسیدگی به داده‌های کاربر و نحوه اشتراک‌گذاری آن‌ها توسط شرکت‌ها بر اساس این استاندارد صورت می‌گیرد.

دوماً مردم چین در هفته‌های اخیر آگاهی زیادی در مورد حقوق حریم خصوصی داده‌ها به دست آورده‌اند. یک سازمان محافظت از مصرف‌کننده تحت حمایت دولت، موتور جستجوی Baidu را به دلیل جمع‌آوری اطلاعات شخصی کاربر (اعم از محل، پیام‌ها، مخاطبین) بدون رضایت کاربر متهم کرده است. در این مورد گزینه پیش‌فرض Alipay  به سیستم امتیازدهی اعتباری خود اجازه می‌داد به داده‌های کاربر دسترسی پیدا کند؛ در پی این اتفاق شرکت Ant Financial از تمامی کاربران عذرخواهی کرد.

پیشرفت حفظ حریم خصوصی اطلاعات سؤالاتی مربوط به اجرای اعتباری اجتماعی را به وجود می‌آورد. رسانه‌های غربی به سیستم اعتباری اجتماعی چین توجه خاصی دارد زیرا دولت چین قصد دارد اعتماد و اعتبار شهروندانش را با جمع‌آوری تمام معاملات و داده‌های دیگر، ارزیابی کند. موسسه تحقیقات بین‌المللی و استراتژیکی پترسون با همکاری نیوآمریکا به بررسی عمیق‌تر در مورد چگونگی حفظ حریم خصوصی و تنظیم مقررات در میان عوامل متعددی می‌پردازند که اجرای سیستم اعتباری اجتماعی را دشوار می‌کند.

سؤال 3 : مقایسه سازمان حفاظت اطلاعات چین با GDPR
پاسخ 3 : دیدگاه‌های جهانی فراتر از چین در مورد رویکردهای تنظیمات داده‌ها در سراسر اتحادیه اروپا، آسیا و ایالات‌متحده قابل‌مشاهده است. تقسیم‌بندی‌ها و موانع بازار در مورد الزامات جریان اطلاعات و حریم خصوصی در همه‌جا دیده می‌شود که قابلیت همکاری بین‌المللی را به یک چالش بزرگ تبدیل کرده است.

منتقدین با نگاهی عمیق‌تر سازمان حفاظت اطلاعات چین را با دیگر سازمان‌ها مقایسه کرده‌اند. یک استاندارد چینی به‌تنهایی قابل قیاس با قانون کلی حفاظت اطلاعات نیست زیرا GDPR یک سند گسترده قانونی است که فرآیندهای قانونی طولانی دارد. چند تفاوت بارز میان سازمان حفاظت اطلاعات چین و GDPR عبارت‌اند از :

•    قانون کلی حفاظت داده‌ها برای انواع خاصی از اطلاعات بکار برده می‌شود، درحالی‌که اطلاعات شخصی حساس در استاندارد چینی بسیار گسترده بوده و برای هر نوع اطلاعات شخصی استفاده می‌شود که به افراد، اموال، شهرت و سلامت روحی و جسمی فرد آسیب می‌رساند.
•    استفاده از GDPR در مورد نوع خاصی از شرایط رضایت برای جمع‌آوری اطلاعات شخصی مجاز است و مؤکداً نیازی به رضایت برای به اشتراک گذاشتن داده‌ها نیست. منافع قانونی یک کنترل‌کننده یا شخص ثالث که در اینجا اهمیت دارد در استاندارد چینی وجود ندارد.
•    در مقایسه با GDPR، اگر فرد از منابع دیگری به اطلاعات دسترسی داشته باشد، استاندارد چینی به‌طور واضح در مورد اطلاعات اخطار نمی‌دهد.
•    استاندارد چینی الزامات خاص‌تری مرتبط با تست‌های امنیتی و روش‌های پردازش اطلاعات شخصی دارد و این باعث ایجاد تفاوتی بزرگ می‌شود : خطر امنیت ملی، سازمان حفاظت داده‌های چین (نه‌فقط استاندارد) را تهدید می‌کند اما در مورد GDPR این‌طور نیست.
برای شرکت‌های چینی نحوه برخورد این دو سازمان بر آرمان‌های جهانی آن‌ها تأثیر می‌گذارد، به‌خصوص به دلیل اینکه شرکت‌های اینترنتی مانند Alibaba مراکز اطلاعات و ابری در اروپا ایجاد کرده‌اند. شرکت‌های مخابراتی چینی که برای ساخت زیرساخت‌های اینترنتی به یک شیوه در سراسر اروپا باهم رقابت می‌کنند، به‌صورت ابتکاری می‌توانند از هر دو سیستم استفاده کنند.

سؤال 4 : ایالات‌متحده در کجای این مسیر قرار دارد؟
پاسخ 4 : باوجود بحث‌ها و تفاوت‌های موجود در چین، این کشور و اتحادیه اروپا به سمت ایجاد سازمان‌های طلایی دارای اشتراک بیشتر نسبت به ایالات‌متحده درحرکت هستند. آمریکا علاوه بر نداشتن سیاست حفظ حریم خصوصی اطلاعات ملی، مفهوم یکسانی از مالکیت یا رضایت داده‌های کاربر را نیز ندارد. درنتیجه، مجبور است راه‌حل‌های دقیق و سازگار با GDPR، مانند تنظیم مذاکراتی چون Privacy Shield و سایر روش‌های پیچیده برای انتقال اطلاعات شخصی توسط شرکت‌های چندملیتی، ارائه دهد. شرکت‌های آمریکایی از نظر سیاست‌های اطلاعاتی با روش‌های واکنشی به‌عنوان قوانین داده جدید در افزایش شکل‌دهی عملیات در بازارهای بزرگ جهانی به انزوا رسیده‌اند.

پیوست : معنای استانداردها در سیستم چینی چیست؟
در چین، استانداردهای ملی بیشتر به‌عنوان ابزاری برای اجرای قوانین و مقررات سطوح بالاتر و به‌عنوان یک قانون، به‌جای مشخصات فنی یا چارچوب اختیاری، عمل می‌کنند و این همان چیزی است که ما به‌طورمعمول در مورد استانداردهای غربی فکر می‌کنیم. دولت با تصویب این استانداردها، انگیزه قوی برای شرکت‌های خارجی و داخلی چین در پذیرش آن‌ها به وجود می‌آورد.

هنوز عملکرد خوب این استاندارد در رابطه با چارچوب قانونی وسیع‌تر امنیت سایبری مشخص نیست و شاید به‌عنوان مقرراتی عمل کند که در آن شرکت‌ها بر اساس معیارهایش حسابرسی یا گواهی می‌شوند. اما این استاندارد بیشتر به‌عنوان "مشخصات" شناخته می‌شود.
کمیته فنی استانداردهای امنیت اطلاعات ملی چین (TC260) بیش از 240 استاندارد امنیت سایبری (مانند ابر، سیستم‌های کنترل صنعتی و داده‌های بزرگ) را از سال 2010 تاکنون به‌ویژه در راستای قانون امنیت سایبری چین توسعه داده است که بسیاری از آن‌ها هنوز هم در قالب پیش‌نویس و به‌صورت توضیحات صنعتی باقی‌مانده‌اند. این استانداردها به‌منظور تفسیر جزئیات مقررات گسترده موجود در قانون امنیت سایبری، به‌ویژه در مورد عناصر بحث‌برانگیزی مطرح می‌شوند که هنوز دولت و صنعت در مورداجرای آن به توافق نرسیده‌اند.