ในช่วงต้นเดือนมิถุนายน จีนได้บังคับใช้กฎระเบียบอย่างเป็นทางการเกี่ยวกับสัญญาแบบมาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งกำหนดให้ผู้ประมวลผลข้อมูล (รวมถึงบริษัทที่ประมวลผลข้อมูลที่มีประชากรน้อยกว่า 1 ล้านคน) ต้องมีสัญญากับผู้รับในต่างประเทศก่อนจึงจะถ่ายโอนได้
กฎใหม่เป็นส่วนหนึ่งของความพยายามของปักกิ่งที่จะเข้มงวดการควบคุมข้อมูลภายในประเทศในนามของการปกป้องความมั่นคงของชาติ
ปัจจุบันกรอบกฎหมายสูงสุดของประเทศสำหรับการจัดการความเป็นส่วนตัวของข้อมูลประกอบด้วยกฎหมาย 3 ฉบับ ได้แก่ กฎหมายความมั่นคงปลอดภัยไซเบอร์ กฎหมายความเป็นส่วนตัวของข้อมูล และกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ด้วยเหตุนี้ รัฐบาลกลางจึงได้กำหนดระเบียบการจัดการการส่งออกข้อมูลส่วนบุคคล นอกจากมาตรการในสัญญามาตรฐานแล้ว ระเบียบดังกล่าวยังมีกฎเกณฑ์ที่กำหนดให้บริษัทต่างๆ ดำเนินการประเมินความปลอดภัยกับหน่วยงานกำกับดูแลอินเทอร์เน็ตแห่งชาติ หรือยื่นขอใบรับรองการคุ้มครองข้อมูลส่วนบุคคลจากหน่วยงานที่มีอำนาจ
Xu Ke ผู้อำนวยการศูนย์วิจัย เศรษฐกิจ ดิจิทัลและนวัตกรรมทางกฎหมาย มหาวิทยาลัยธุรกิจระหว่างประเทศและเศรษฐศาสตร์ กล่าวว่า หน่วยงานกำกับดูแลกำลังดิ้นรนเพื่อหาสมดุลระหว่างการเสริมสร้างความปลอดภัยของข้อมูลและการส่งเสริมการเติบโตทางเศรษฐกิจที่ขับเคลื่อนด้วยข้อมูล
จำนวนบริษัทมาก อัตราการอนุมัติต่ำ
ภายใต้การประเมินความปลอดภัยสำหรับการถ่ายโอนข้อมูลข้ามพรมแดน ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 กันยายน บริษัทต่างๆ ที่ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบุคคลมากกว่า 1 ล้านคนจะต้องผ่านการประเมินความปลอดภัยหากต้องการถ่ายโอนข้อมูลไปยังต่างประเทศ
บริษัทต่างๆ จะต้องส่งรายงานการประเมินตนเองด้านความปลอดภัยไปยังหน่วยงานกำกับดูแลเครือข่ายท้องถิ่นและสำนักงานบริหารไซเบอร์สเปซของจีน (CAC) เพื่อการตรวจสอบสองรอบ
ในปัจจุบันการโอนข้อมูลไปต่างประเทศจะถือว่าถูกกฎหมายก็ต่อเมื่อผู้โอนลงนามในสัญญากับผู้รับและยืนยันว่าข้อมูลที่จะโอนนั้นผ่านการทดสอบความปลอดภัยของหน่วยงานที่มีอำนาจหน้าที่
แม้ว่ามาตรการดังกล่าวจะมีผลบังคับใช้ตั้งแต่เดือนกันยายน แต่การนำไปปฏิบัติกลับทำได้ยากเนื่องจากมีบริษัทจำนวนมากและขาดทรัพยากรบุคคลในการประเมินรายงานด้านความปลอดภัย
ภายในสิ้นเดือนเมษายน ฝ่ายบริหารไซเบอร์สเปซของเซี่ยงไฮ้ได้รับรายงานการประเมินผลมากกว่า 400 ฉบับ โดยมีเพียง 0.5 เปอร์เซ็นต์เท่านั้นที่ได้รับการอนุมัติจาก CAC
สถานการณ์ในที่อื่นๆ ก็คล้ายคลึงกัน ทั่วประเทศ ทางการได้รับใบสมัครมากกว่า 1,000 ใบเพื่อถ่ายโอนข้อมูลไปยังต่างประเทศ ซึ่งในจำนวนนี้มีไม่ถึง 10 ใบที่ผ่านการพิจารณาสองรอบ แหล่งข่าวจาก Caixin กล่าว
ในระดับชาติ งานตรวจสอบการอนุมัติรายงานความปลอดภัยส่วนใหญ่ดำเนินการโดยศูนย์เทคนิคความปลอดภัยทางไซเบอร์ CNCERT/CC ซึ่งมีเจ้าหน้าที่รวมประมาณ 100 คน
เกณฑ์ “คลุมเครือ”
นอกเหนือจากข้อจำกัดด้านบุคลากรแล้ว การขาดความชัดเจนในเกณฑ์การประเมินยังทำให้กระบวนการอนุมัติล่าช้าลง โดยหน่วยงานกำกับดูแลและบริษัทต่างๆ มีความเห็นไม่ตรงกันว่าเหตุใดจึงจำเป็นต้องโอนข้อมูลที่ร้องขอ
ตัวอย่างเช่น ผู้สมัครจะต้องอธิบายว่าเหตุใดการโอนข้อมูลไปยังฝ่ายต่างประเทศเพื่อประมวลผลจึงเป็นสิ่งที่ถูกต้องตามกฎหมาย สมเหตุสมผล และจำเป็น แต่ไม่มีการให้คำแนะนำเพิ่มเติมใดๆ
นายซูเค่อเตือนว่าการใช้กลไกแบบ “ครบวงจร” อาจนำไปสู่การจำกัดที่มากเกินไปในอุตสาหกรรมและภาคส่วนบางภาคส่วน ส่งผลให้การไหลเวียนของข้อมูลเป็นไปอย่างเสรีได้ยาก เนื่องจากระดับของการก่อให้เกิดความกังวลด้านความมั่นคงของชาตินั้นแตกต่างกัน
นายเหอ หยวน ผู้อำนวยการบริหารศูนย์วิจัยกฎหมายข้อมูลแห่งมหาวิทยาลัยเจียวทง เซี่ยงไฮ้ กล่าวว่าภาระงานของหน่วยงานกำกับดูแลในพื้นที่อาจเพิ่มขึ้นอย่างมาก เนื่องจากบริษัทที่มีพนักงานน้อยกว่า 1 ล้านคนจะต้องลงนามในสัญญามาตรฐานตั้งแต่เดือนมิถุนายนเป็นต้นไป
ตั้งแต่ปี 2023 หน่วยงานในแผ่นดินใหญ่ได้เพิ่มความพยายามในการประชาสัมพันธ์ เช่น จัดทำคำแนะนำให้บริษัทต่างๆ คุ้นเคยกับกฎการถ่ายโอนข้อมูล
อย่างไรก็ตาม ต้นทุนการปฏิบัติตามที่สูง ความยากลำบากในการสื่อสารกับผู้รับในต่างประเทศ และความไม่แน่นอนด้านกฎระเบียบ เป็นปัจจัยบางประการที่ปักกิ่งยังไม่สามารถแก้ไขได้สำหรับธุรกิจต่างๆ
แพง
เพื่อหลีกเลี่ยงปัญหา บริษัทต่างๆ มักจะปรึกษากับหน่วยงานภายนอกเกี่ยวกับการส่งรายงานการประเมินความปลอดภัย
อย่างไรก็ตาม ค่าบริการที่เรียกเก็บโดยบริษัทที่ปรึกษาเหล่านี้อาจสูงถึงหลายร้อยล้านหยวน ซึ่งทำให้บริษัทขนาดเล็กเสียเปรียบ คุณภาพการบริการจากบริษัทเหล่านี้ก็อาจแตกต่างกันไปเช่นกัน
แม้จะมีที่ปรึกษาคอยช่วยเหลือ แต่ธุรกิจหลายแห่งก็ยังคงประสบปัญหาในการขออนุมัติ จางเหยา หุ้นส่วนของซัน แอนด์ ยัง พาร์ทเนอร์ส บริษัทกฎหมายในเซี่ยงไฮ้ กล่าวว่า ใบสมัครครั้งแรกจำนวนมากไม่เป็นไปตามข้อกำหนดของหน่วยงานกำกับดูแลอย่างครบถ้วน
แม้ว่าหน่วยงานกำกับดูแลจะได้ชี้แจงข้อกำหนดเกี่ยวกับประเด็นหลักๆ เกี่ยวกับข้อมูลที่ต้องโอนไปต่างประเทศ ผ่านระบบใด ส่งถึงใคร และมีความเสี่ยงด้านความปลอดภัยหรือไม่ แต่การ "จัดการปัญหาเหล่านี้ต้องใช้ต้นทุนและความพยายามอย่างมาก" จากทางบริษัท
และสำหรับบริษัทข้ามชาติ แม้ว่าพวกเขาจะประสบความสำเร็จในการส่งข้อมูลส่วนบุคคลไปยังต่างประเทศ แต่พวกเขาก็ยังต้องเผชิญกับการลงทุนเพื่อปฏิบัติตามข้อกำหนดอย่างต่อเนื่องในการใช้งานในภายหลัง เฉิน จีหง หุ้นส่วนสำนักงานกฎหมาย Zhong Lun ในปักกิ่ง กล่าว
ยิ่งไปกว่านั้น ผู้ถ่ายโอนข้อมูลจะต้องส่งข้อมูลเกี่ยวกับผู้รับในต่างประเทศในรูปแบบรายงาน ซึ่งเป็นสิ่งที่บริษัทน้อยรายจะยินดีเปิดเผย ตัวอย่างเช่น บริษัทยักษ์ใหญ่อย่าง Microsoft ได้ออกมาประกาศต่อสาธารณะว่า “จะไม่ให้ความร่วมมือ” กับคำขอประเมินความปลอดภัยข้อมูลของจีน
(อ้างอิงจาก Nikkei Asia)
แหล่งที่มา
การแสดงความคิดเห็น (0)