Prywatność w Chinach
Chiny jako lider cyfrowej rewolucji, ale jednocześnie państwo o największej populacji na świecie oferują swoim obywatelom szereg usług związanych z przetwarzaniem danych obywateli na niespotykaną dotąd skalę. Problemem nie jest jedynie przetwarzanie masowych ilości danych. Ich centralizacja i wykorzystanie sieci neuronowych nie służy jedynie do zapewnienia bezpieczeństwa obywatelom czy też realizacji obowiązków ustawowych, ale również jest to zakrojona na dużą skalę akcja inwigilacji i realizacja polityki partii poprzez naruszenie m.in. prywatności. Programy rozpoznawania twarzy czy też wdrażanie programów oceny społecznej może napawać niepokojem, szczególnie wobec braku odpowiednich uregulowań w tej materii. Co ważne istniejące akty prawne tylko mgliście rysują aspekt ochrony danych osobowych i prywatności jednocześnie dopuszczając możliwość choćby cenzury prewencyjnej.[1] Biorąc pod uwagę otoczenie prawne oraz działania rządu chińskiego przy jednoczesnym drapieżnym rozwoju chińskich gigantów technologicznych warto obserwować rozwój przepisów okalających aspekty prywatności w Państwie Środka.
Ochrona dóbr osobistych
Kwestia prywatności, prawa ochrony dóbr osobistych nie powinna być analizowana bez oderwania od postrzegania w kulturze chińskiej w kontekście również kulturowym. W zachodniej kulturze prywatność jest jednym z fundamentów funkcjonowania państw, nawet Konwencja o Ochronie Praw Człowieka wskazuje to prawo jako jedno z podstawowych. Państwo Środka zawsze stawiało bezpieczeństwo i ład społeczny ponad prawem do prywatności. Samo przyzwolenie na ingerencję społeczeństwa, czy też władzy w prywatną sferę życia obywatela nie wynika jedynie z ustroju panującego w tym kraju, ale również z kultury, która prawo do prywatności łączy bardziej z dobrami osobistymi, czy też konkretniej z “Mianzi” czyli twarzy.[2] Prywatność dotyczyła co do zasady wstydliwych aspektów życia lub przestępczych działań, a co za tym idzie, jeżeli ktoś chciał zachować informacje z daleka od innych osób to raczej było to postrzegane negatywnie. Aktualnie, przez planowane zmiany w przepisach może to się zmienić, przynajmniej w teorii prawnej.
Regulacje konstytucyjne
Chiński system prawny nieodzownie jest związany z kulturą kształtowaną od wieków. Warto wskazać, że samo pojęcie prywatności odnosiło się zazwyczaj do negatywnych informacji, które pozostawały w ukryciu i należało je ukrywać ze względu na zachowania dobrego imienia. Dlatego też kulturowo, społeczeństwo chińskie nigdy nie było zainteresowane walką o swoją prywatność, ponieważ w przypadku naruszenia ich czci lub informacji wrażliwych rozwiązywali problem bez udziału urzędów czy też sądu.[3] I tak właśnie chińska ustawa zasadnicza nie porusza aspektu prywatności jako takiej, lecz koncentruje się na ochronie wolności oraz tajemnicy korespondencji. Wyłączone spod tej ochrony są jedynie przypadki związane z gwarantem bezpieczeństwa państwa lub postępowania karnego. Przejawem tego wyjątku jest właśnie możliwość cenzury korespondencji w przypadkach wskazanych w przepisach szczególnych. Jednakże ustawa zasadnicza wprost nie chroni prywatności czy też nie zawiera postanowień odnoszących się do ochrony danych osobowych.
Co istotne wobec braku definicji prywatności i wskazania wprost prawa do niej często naruszenie prawa do prywatności w rozumieniu zachodnim jest tłumaczone w kontekście walki z korupcją lub zwalczaniem finansowania terroryzmu.[4] W przypadku ewentualnych zgłaszanych roszczeń, rozpatrywanie prawa do prywatności opierało się na ogólnych zasadach prawa cywilnego, było utożsamiane ze zniesławieniem. Dotyczyło to jednak jedynie przypadków gdy naruszenie prywatności wywierało skutek względem dóbr osobistych zainteresowanego.[5] Sam rząd chiński jednak nie jest skory do zaakceptowania prawa do prywatności jako odrębnego prawa człowieka. Może o tym świadczyć wdrożony Narodowy Plan Ochrony Praw Człowieka, gdzie występuje jedynie zobowiązanie do niepodejmowania działań ingerujących w sferę prywatności jednostki.[6] Występują jedynie instrukcje dla podmiotów prywatnych odnoszących się do przetwarzania danych osobowych oraz opisywany poniżej projekt Personal Information Protection Law.
Regulacje ustawowe
Wobec braku kompleksowych regulacji dotyczących prywatności i danych osobowych Ministerstwo Gospodarki i Technologii wydało wiążący katalog zasad obejmujących sektor telekomunikacyjny i internetowy.[7] Od 2013 pojawiły się w chińskim systemie prawnym zasady, które znane są w zachodnim prawodawstwie, takie jak obowiązek przetwarzania danych zgodnie z prawem, z zachowaniem reguły proporcjonalności i niezbędności, a także konieczność uzyskania zgody w przypadku gdy jest to wymagane. Podmiot przetwarzający dane jest również zobowiązany do spełnienia obowiązku informacyjnego względem osoby, której dane dotyczą co do celu, metodach i zakresie przetwarzania danych.[8]
Inną regulacją dotyczącą aspektu prywatności i danych osobowych o randze ustawy jest ustawa o ochronie konsumentów. Od marca 2014 podmioty na podstawie tej ustawy są zobowiązane do ochrony informacji na temat jednostki a także ochrony prawa do prywatności w zakresie, w jakim świadczą usługi na rzecz konsumentów.[9] Tak samo jak w polskim systemie prawnym, bez zgody konsumenta nie można przesyłać niezamówionych informacji handlowych, a dane powinny pozostawać pod odpowiednimi środkami bezpieczeństwa. Ustawa również potwierdza obowiązek wskazany w instrukcjach ministerstwa gospodarki i technologii do spełnienia obowiązku informacyjnego względem konsumenta co do celu, zakresu i sposoby przetwarzania danych.
Dopiero od 15 marca 2017 roku Kodeks cywilny wprost w art. 111 wskazuje, że Dane osobowe osoby fizycznej podlegają ochronie prawnej. Każda organizacja lub osoba, która potrzebuje uzyskać dane osobowe osoby, uzyskuje takie informacje zgodnie z prawem i gwarantuje bezpieczeństwo takich informacji. Nikt nie może nielegalnie zbierać, wykorzystywać, przetwarzać, przekazywać, handlować, udostępniać ani publikować danych osobowych innych osób.[10]
Jednakże aktem prawnym, który w najszerszy sposób ujął kwestię przetwarzania danych osobowych jest nowe prawo dot. cyberprzestrzeni.[11] Głównym aspektem, który obejmują postanowienia tej ustawy, jest zwiększenie ochrony w zakresie transgranicznego transferu danych, a także danych wrażliwych. Co ważne, podmiotem tych przepisów są nie tylko instytucje prowadzące działalność gospodarczą na terenie Państwa Środka, ale również te przesyłające dane do Chin. [12]
Na podmioty pod reżimem powyższych przepisów, w przypadku ich naruszenia mogą być nakładane grzywny, a osobom naruszającym przepisy grozi zakaz zajmowania określonych stanowisk czy też kara pozbawienia wolności.[13] Co więcej, prywatność jest również obwarowana sankcjami karnymi. Bezprawne przeszukanie zarówno osoby czy też miejsca jej przebywania zagrożone jest karą do trzech lat pozbawienia wolności lub ograniczenia wolności.Natomiast naruszenie tajemnicy korespondencji, przez ukrywanie, niszczenie bądź bezprawne otwieranie cudzych wiadomości może skutkować nałożeniem kary do roku pozbawienia wolności lub ograniczenia wolności.[14]Nowelizacja z 2009 roku wprowadziła penalizację naruszenia prawa do ochrony danych osobowych poprzez wykorzystanie danych niezgodnie z ich przeznaczeniem. Czyn ten jest zagrożony grzywną, ograniczeniem wolności, a także karą do trzech lat pozbawienia wolności.
RODO a sprawa chińska
RODO 3 lata temu wprowadziło popłoch w biznesowym świecie zmieniając zasady i punkty nacisku związane z przetwarzaniem danych osobowych, z jednej strony uelastyczniło zasady panujące w cyfrowym świecie danych, z drugiej natomiast wprowadzając znaczne kary administracyjne, zmotywowało administratorów do większej świadomości na temat wykorzystywanych danych i celów w jakich są przetwarzane. Pomogło też w uświadamianiu osób, których te dane dotyczą o ich prawach. RODO stało się również pewnym wyznacznikiem standardów ochrony prywatności w cyfrowym świecie. Rozpoczęło dyskurs, który rozlał się nie tylko na inne państwa i wspólnoty (owocując choćby California Consumer Privacy Act w Stanach Zjednoczonych), ale również zachęciło to prywatne podmioty do zwracania większej uwagi w ramach obowiązujących standardów i wprowadzania nowych (chociażby Apple i jego zmiana polityki prywatności skoncentrowanej na prywatność użytkownika nie tylko pod względem danych osobowych, ale w szerszym podejściu- również materiałów reklamowych). Dlatego tym bardziej warto zwrócić uwagę na nowe regulacje dotyczące danych osobowych w Chinach biorąc pod uwagę ich nieustanny rozwój cyfrowy jak i możliwość, że część rozwiązań systemowych wprowadzanych w Państwie Środka może w niedalekiej przyszłości być wprowadzana w zachodnim świecie, ze względu na zmieniający się świat cyfrowej rewolucji.
RODO w realiach azjatyckich
Uregulowanie sprawy danych osobowych w systemie prawnym Chin dotychczas opierało się jedynie na przepisach rozsianych po wielu aktach jednocześnie nie tworzących kompleksowej ochrony obywatela jako użytkownika końcowego. Zaczynając od najważniejszych z dokumentów prawnych- Chiny nie zdecydowały się na uregulowanie kwestii prywatności w ustawie zasadniczej (tak jak zrobiła to choćby Polska w art. 47 Konstytucji RP). Do niedawna prawo to było wysnuwane z przepisów kodeksu cywilnego (art. 38, 39 i 40), a aktualnie określone zostało wprost artykułem 111.[15] Ta zmiana przez niektórych była nazywana początkiem wielkiej rewolucji. Teraz można zaobserwować jej kolejne kroki.
W październiku 2020 roku opublikowano projekt ustawy o ochronie danych osobowych Chińskiej Republiki Ludowej (Personal Information Protection Law). Z ciekawszych postanowień art. 4 definiuje dane osobowe jako: zapisane elektronicznie, bądź w inny sposób informacje dotyczące zidentyfikowanej lub identyfikowalnej osoby fizycznej, z wyłączeniem informacji zanonimizowanych. Przetwarzaniem danych osobowych natomiast nazwano przechowywanie, wykorzystywanie, przetwarzanie, przesyłanie, oferowanie oraz publikowanie danych osobowych. Mimo rozbieżności w nazewnictwie można uznać, że podmiot przetwarzający dane można zrównać z Administratorem danych pochodzącym z uregulowań RODO.
Dalej ustawa podobnie jak RODO wskazuje, że bez zgody wyrażonej wprost podmiot przetwarzający dane nie może ich przetwarzać, choć przewiduje ona kilka wyjątków- są nimi niezbędność przetwarzania wynikająca z obowiązków ustawowych, ale również: ”w rozsądnym zakresie” przetwarzanie danych przez dziennikarzy i media dla dobra publicznego interesu. Projekt ustawy również nakłada obowiązek na pozyskanie zgody na przetwarzanie katalogu danych wrażliwych takich jak rasa, wyznanie czy tez informacje biometryczne oraz inne dane które w przypadku wycieku mogą prowadzić do dyskryminacji osoby której dane dotyczą czy też poważnego naruszenia bezpieczeństwa osobistego, co ważne ten katalog jest otwarty.
Projektowane przepisy również, podobnie jak RODO, gwarantują prawa związane z danymi osobowymi. Prawo do informowania i wyjaśnienia o sposobie przetwarzania danych, otrzymania kopii tych danych, poprawiania przetwarzania danych osobowych a także ich wykasowania. Co ciekawe na podobieństwo do europejskich regulacji, Państwo Chińskie na podstawie art. 42 nowej ustawy będzie miało prawo do podejmowania środków zaradczych co do podmiotów nie zarejestrowanych czy też funkcjonujących w Chinach, lecz naruszających prawa obywateli Chin wynikających z tej ustawy.
Co więcej przepisy nie przewidują jedynie praw i obowiązków, ale również mechanizmy egzekwowania dostosowania się do powyższych przepisów: Art. 62 projektowanej ustawy przewiduje kary od ostrzeżeń przez zajęcia przychodu uzyskanego niezgodnie z przepisami aż po kary administracyjne: od ~5700 zł (10000 RMB) do nawet ~28.000.000 zł (50.000.000 RMB) lub 5% zysku podmiotu ukaranego, biorąc pod uwagę wcześniejsze rok obrotowy. Dodatkowo ustawa przewiduje odpowiedzialność karną oraz cywilną we wskazanych przypadkach.
Stosowanie przepisów
Można uznać, że to początek rewidowania możliwości i sposobów ochrony danych osobowych w ramach usług świadczonych w cyberprzestrzeni. Po wejściu w życie przepisów pierwsze podmioty z sektora IT otrzymały kary związane z naruszeniem nowych zasad ochrony danych, prywatności oraz udostępniania treści w sieci. Zaplanowano wtedy również kontrole podejścia dostawców usług świadczonych drogą elektroniczną co do prywatności.
Należy podkreślić, że wraz z rozwojem usług cyfrowych oraz zwiększaniem obecności Państwa Środka na cyfrowej mapie świata, również społeczeństwo chińskie jest nie tylko bardziej świadome swoich praw z zakresu prywatności, ale również wymaga ich respektowania od koncernów branży IT.
Ważnym aspektem wchodzącym w sferę prywatności są rozwiązania rządowe, takie jak niesławny system zaufania społecznego[16], czy też system monitoringu wizyjnego wzbogaconego o rozpoznawanie twarzy z wykorzystaniem sieci neuronowych[17]. Rodzi to wątpliwości nie tylko w zakresie naruszenia prywatności czy nadmiernego zbierania danych, ale również w zakresie naruszeń innych praw człowieka i działań chińskiego rządu w stosunku do Ujgurów.[18] W przypadku takich zastosowań narzędzi masowego śledzenia oraz przetwarzania danych najlepiej można zaobserwować jak istotne jest prawo do prywatności i jego systemowa ochrona, także jak może zostać przedłożony interes rządowy i bezpieczeństwo krajowe ponad jednostkę czy też nawet całą grupą etniczną. Rozwój tego systemu postępuje i z kolejnymi etapami coraz bardziej ingeruje on w prywatność obywateli. Rozwijanie systemów śledzących oraz wykorzystywanie Big Data do oceny społeczeństwa jest szeroki i groźny nie tylko w stosunku do prywatnych jednostek, ale również ma wpływ na życie obywateli oraz ich rodzin. To właśnie na podstawie wyników z systemu zaufania społecznego państwo ma możliwość, niczym bank nieudzielający kredytu, blokować dostęp do usług publicznych, relegować z uczelni osoby oceniane negatywnie oraz ich rodziny. Docelowa implementacja systemu w skali kraju miała nastąpić do końca 2020 roku, natomiast ze względu na pandemię została przełożona.[19] Co ciekawe, system nie zbiera danych jedynie z publicznych rejestrów, rozwiązania krajowe przewidują również udostępnienie danych od podmiotów prywatnych od ich klientów.[20]
Jak już wcześniej wskazano, kolejnym projektem rodzącym wątpliwości w obszarze ochrony danych osobowych i wprost naruszającym prywatność jest powszechny system monitoringu wzbogacony o system rozpoznawania twarzy zbudowany na sieciach neuronowych[21]. Już samo przetwarzanie danych w tak wysokim stopniu oraz scentralizowanie ich zbierania rodzi pytania i obawy co do ich przetwarzania i zabezpieczenia, szczególnie biorąc pod uwagę doniesienia o naruszeniach bezpieczeństwa danych i nieautoryzowanym dostępie do serwerów.[22]
Dużo groźniejszym celem przetwarzania tych danych jednak jest śledzenie, identyfikowanie, kategoryzowanie osób z mniejszości etnicznych. Jest to niebezpieczne nie tylko, ze względu na liczne prześladowania, do jakich dochodzi w Państwie Środka, lecz również ze względu na fakt, że obecne przepisy zezwalają na takie działania.
Realna ochrona
W kontekście całości powyższych rozwiązań należy wskazać, że państwo ma prawo do przyjęcia rozwiązań prawnych i faktycznych, by w odpowiedni sposób zabezpieczyć interes państwa, spokój społeczny i bezpieczeństwo społeczeństwa, kończąc na prawach jednostki. Biorąc pod uwagę zmiany w przepisach, które przyjmuje Państwo Środka, można uznać, że Chińczycy kierują się ku zachodnim rozwiązaniom. Jest to interesujące na wielu poziomach, nie tylko ze względu, że do dzisiaj Komisja Europejska nie przyjęła decyzji mającej na celu stwierdzenie odpowiedniego stopnia ochrony danych osobowych, tak jak to miało miejsce choćby w przypadku Stanów Zjednoczonych. W obecnym stanie legislacyjnym Chiny nie realizują założeń RODO, przez co taki transfer danych na podstawie decyzji lub też z wykorzystaniem standardowych klauzul umownych nie może mieć miejsca. Jednocześnie kierunek, który, obrały można ocenić pozytywnie, przynajmniej w teorii legislacyjnej przyjmowane będą rozwiązania znane z rozwiązań europejskich czy też z Kalifornii. Jednakże dopiero po implementacji przepisów i ich stosowaniu okaże się, czy nastąpił zwrot w polityce ochrony danych w Państwie Środka, czy też będzie to jedynie zasłona legislacyjna. Podkreślić należy, że już teraz Chiny związane są umowami międzynarodowymi nakazującymi im respektowanie standardów zachodnich jeżeli chodzi o prywatność, jednak praktyki północnej stolicy odbiegają od teorii traktatów.
Wnioski
Chiny oparły prawo do prywatności i ochrony danych osobowych postanowień w niektórych zapisach konstytucji, lecz przez brak implementacji tych zasad w porządek ustawowy powoduje,że nie jest ona skuteczna. Widoczne jest rozproszenie ochrony danych w wielu dokumentach, które tworzą system prywatności i ochrony danych osobowych w ramach aktywności podmiotów z sektora prywatnego.
Wydaje się, że chiński system zaczyna obierać kierunek, który objęły wcześniej kraje europejskie jak i Stany Zjednoczone. O ile aktualnie obowiązujące przepisy nie dają pewności zabezpieczenia obywatela przed nadużyciami ze strony władzy czy też podmiotów prywatnych, to projektowany model prawnej ochrony danych osobowych daje taką szansę.
Bez znaczenia jednak jaki model zostanie przyjęty, to przede wszystkim od jego stosowanie będzie zależała realna ochrona prywatności. W Państwie Środka od zawsze na pierwszym miejscu było stawiane bezpieczeństwo państwa i społeczeństwa, nie zaś jednostki jako takiej i jej prawo ochrony prywatności i danych osobowych. Te rozważania są o tyle istotne, że bez niezależnego organu ochrony danych i stosowania zasad wynikających z przyjętych przepisów samo ich uchwalenie niczego nie zmieni.
A co nawet istotniejsze, Chiny nieustannie rozwijają technologie mające na celu zwiększenie bezpieczeństwa centralnego kosztem prywatności. Potwierdza to system analizy twarzy, czy też monitoring ruchu w świecie użytkowników chińskich aplikacji, z których korzysta cały świat. Przyszłość pokaże, czy nowe rozwiązania prawne będą skuteczniejsze i czy będą pozwalały na zwiększenie prywatności, czy też będą jedynie blankietowym rozwiązaniem niezmieniającym rzeczywistości, w której powszechne są naruszenia podstawowych praw człowieka i obywatela.
[1] Konstytucja Chińskiej Republiki Ludowej z dnia 4 grudnia 1982 r.
[2] https://pl.wikipedia.org/wiki/Twarz_(socjologia) Dostęp: 05.02.2021 r.
[3] C. Jingchun, Protecting The Right To Privacy In China, „Victoria University of Wellington Law Review” 2005, 36, s. 645–664; zob. również: H. Zhao, H.X. Dong, Research on Personal Privacy Protection of China in the Era of Big Data, „Open Journal of Social Sciences” 2017, 5, s. 139–145, https://doi.org/10.4236/jss. 2017.56012 [dostęp 05.02.2021]
[4] See Wang Liming [王利明], Right of Personality [人格权法] (Beijing: Law Press, 1997), p 151.[dostęp 05.02.2021]
[5] W. Gray, H.R. Zheng, Opinion of the Supreme People’s Court on Questions Concern- ing the Implementation of the General Principles of Civil Law of the People’ s Republic of China (Translation), s. 79, https://repository.law.umich.edu/cgi/viewcontent.cgi?article =2541&context=articles [dostęp 05.02.2021].
[6] The Right to Privacy in China. Submitted by Privacy International, and the Law and Technology Centre of the University of Hong Kong. March 2013. Stakeholder Report Uni- versal Periodic Review, 17th Session – China, https://uprdoc.ohchr.org/uprweb/downloadfile. aspx?filename=142&file=EnglishTranslation [dostęp 05.02.2021].
[7] Revisiting the data protection regime in China, https://deutschland.taylorwessing. com/documents/get/463/revisiting-the-data-protection-regime-in-china.pdf/show_on_screen [dostęp 28.05.2021]
[8] Ibidem
[9] Ibidem
[10] Article 111, General Principles of Civil Law of the People’s Republic of China,, https://www.npc.gov.cn/englishnpc/lawsoftheprc/202001/c983fc8d3782438fa775a9d67d6e82d8.shtml [dostęp 28.05.2021]
[11] R. Staden ten Brink, J. Wang, D. Veldhoen, A. Arnbak, China’s new cybersecurity law – effective as of 1 June 2017, „Trade Security Journal” 2017, Issue 2, s. 27.
[12] TRADE AND AGRICULTURE DIRECTORATE TRADE COMMITTEE 21.12.2018, https://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=TAD/TC/WP(2018)19/FINAL&docLanguage=En [dostęp 05.02.2021].
[13]Ibidem
[14] H. Xue, Privacy and personal data protection in China: An update for the year end 2009, „Computer Law & Security Review” 2010, 26 [dostęp 05.02.2021]
[15] Article 111, General Principles of Civil Law of the People’s Republic of China, https://www.npc.gov.cn/englishnpc/lawsoftheprc/202001/c983fc8d3782438fa775a9d67d6e82d8.shtml [dostęp 28.05.2021]
[16] New Horizons https://nhglobalpartners.com/china-social-credit-system-explained/ [dostęp 28.05.2021]
[17] Daniel Neyland Privacy, surveillance and Public Trust, 2006
[18] ihamu Yi and Ermaimaiti Ya „Uyghur face recognition method combining 2DDCT with POEM „, Proc. SPIE 10605, LIDAR Imaging Detection and Target Recognition 2017, 106052E (15 November 2017); https://doi.org/10.1117/12.2292981 [dostęp: 05.02.2021]
[19] New Horizons https://nhglobalpartners.com/china-social-credit-system-explained/ [dostęp 28.05.2021]
[20] J. Karsten, D.M. West, China’s social credit system spreads to more daily transactions, Brookings, June 18, 2018. [dostęp 28.05.2021]
[21] [https://www.theatlantic.com/magazine/archive/2020/09/china-ai-surveillance/614197/ Dostęp online: 05.02.2021
Comments (3)
Zastanawiam się na ile to chińskie RODO rózni Państwo Środka od innych państw? Z jednej strony widoczne rozproszenie zasad w licznych dokumentach, z drugiej jednak Cjiny jak wszystkie cywilizowane kraje starają się nadążać ze zmianami prawnymi dot.ochrony ważnych dóbr ich obywateli. A może się mylę?
Wręcz przeciwnie, w kwestii legislacyjnej wręcz przybliża do zachodnich zasad jeżeli chodzi o ochronę danych osobowych. Ważniejsza jednak będzie praktyka, ponieważ zasady przyjęte w tej regulacji powinny wymusić szereg zmian w postępowaniu chińskich organów i firm. Zobaczymy co praktyka przyniesie.
Co by nie powiedzieć Chiny zaskakują. Znajdują własne rozwiązania na wszystkich polach działalności. Czy te regulacje dot.ochrony wizerunku itp. wymagają tam doskonalenia?