ארכיון תגיות: סייבר

BIG DATA, הגנת הפרטיות וטיוטת חוק הסייבר החדש בסין

מדוע חברות אינטרנט זרות חוששות מעדכוני החקיקה האחרונים בסין ?

ההתפתחות הטכנולוגית המהירה בסין והשימוש הגובר באתרי אינטרנט ואפליקציות מצד צרכנים, מציבים אתגרים חדשים לממשלה ומאלצים אותה להתמודד באופן יעיל יותר עם תחום ה-BIG DATA, הגנת הפרטיות ואבטחת המידע.

משרד התעשייה והמסחר בסין פרסם ב-5 לאוגוסט 2016 טיוטת תיקון לחוק זכויות הצרכן. התיקון כולל תקנות בנושא הגנת פרטיות המידע ואבטחת נתונים, שבין היתר יוסיפו חובות על עסקים הפועלים בסין בהתנהלותם מול הצרכנים, ויסייעו להגן על פרטיותם וזכויותיהם של הצרכנים.

ממשלת סין סימנה לראשונה, בתיקון הקודם לחוק ב-2013, את חשיבות ההגנה על מידע אישי של צרכנים והנושא עוגן בחוק. אולם עד כה, הניסוח הכללי של החוק הקשה על הצרכנים, ארגוני זכויות הצרכנים ורשויות האכיפה לשמור מפני הפרת זכויות, כך שהחוק לא נאכף.

סעיפי התיקון האחרון מוסיפים חובות על החברות והעסקים, וקובעים כי מעתה הם ייאלצו ליידע במפורש את הצרכנים ולקבל את הסכמתם לגבי: המידע שנאסף, המטרה לשמה הוא נאסף ואופן השימוש בו. בנוסף, על עסקים ייאסר למסור מידע אישי אודות צרכנים לחברות צד ג' (כמו חברות פרסום, ספקי שירות ועוד) ללא הסכמת הצרכנים, אלא אם המידע הוא אנונימי (מידע שלא ניתן לקשור לאדם מסוים באופן בו האדם יהיה ניתן לזיהוי) ושלא ניתן לבצע בו דה-אנונימיזציה. גם נושא הספאם (שליחת דואר אלקטרוני, הודעות SMS וביצוע שיחות טלמרקטינג) נכלל בתיקון החוק, כך שעסקים לא יורשו לפעול באותן דרכים ללא הסכמה מפורשת מצד הצרכנים.

על עסקים יהיה לפתח מערכת פנימית של ניהול ושמירה על המידע האישי שנאסף, הכוללת כלים לאבטחת המידע, פיתוח מערכת תלונות יעילה, ועמידה בשאר תנאי החוק. במקרה של דליפה או איבוד מידע מצד העסקים, הם יחויבו ליידע את הצרכנים באופן מיידי ולפעול בהתאם להוראות החוק. כמו כן, החוק מחייב את העסקים לשמור תיעוד של פעילותם בהתאם לדרישות החוק לתקופה של 5 שנים לפחות.

התיקון לחוק מכיל עקרונות של לגיטימיות וצורך אמיתי באיסוף ושימוש במידע אישי של צרכנים מצד עסקים. בנוסף למצוין לעיל, פרק 4 לתיקון מציין כי הוראות ספציפיות יחולו על עסקים על פי התחומים השונים, ביניהם: חינוך, תיירות, בריאות, תרבות, מזון ושתייה, נדל"ן, משלוחים, שירותי הדרכה (Training), שירותי סוכנויות ואחרים.

חברות הפועלות בסין נדרשות לעקוב אחר עדכוני החקיקה הצפויים ולהכירם לעומק כדי לעמוד בדרישות החוק. במקרה של הפרת החוק או התקנות הספציפיות הנוגעות להם, עסקים עלולים לשאת בקנסות שונים בהתאם לחומרת ההפרה שנגרמה. במקרים חמורים יותר, הפרת החוק תוכל להוביל להשעיה ואף לשלילת רישיון העסק של החברה שנמצאה אחראית. טיוטת החוק הייתה פתוחה להערות הציבור עד ה-5 לספטמבר 2016 והחוק הסופי צפוי להתפרסם עד סוף השנה.

חוק הסייבר – פרסום הטיוטה השנייה לחוק וההשלכות על חברות אינטרנט בסין

ממשלת סין החליטה לאחרונה כי היא רוצה להדק את השליטה על טכנולוגיית המידע וה-Big Data בסין. בהמשך לחקיקת חוק הביטחון הלאומי וחוק הלוחמה בטרור ב-2015, הממשל הסיני עובד כבר חודשים ארוכים על טיוטת חוק הסייבר, אשר בין היתר יחייב כי מידע על אזרחים סינים וכל מידע אחר אשר נאסף בסין יישאר על שרתים בסין.

בעוד שכיום אין גישה לפלטפורמות כגון גוגל, פייסבוק, אינסטגרם וטוויטר בסין, קיים חשש שחוק הסייבר החדש ירחיב את בעיות הגישה על חברות אינטרנט בינלאומיות נוספות, זאת דרך החלת תנאים שחברות זרות לא יוכלו (או לא ירצו) לעמוד בהם מסיבות שונות, ביניהן חשיפת קניין רוחני, סודות מסחריים, מאגרי מידע ומידע פנימי אחר.

נראה כי בטיוטת החוק השנייה, שהייתה פתוחה להערות הציבור עד ה-4 לאוגוסט, ממשלת סין מציבה אתגרים של ממש בפני חברות מערביות שיצטרכו להתאים עצמן לסטנדרטים החדשים שייקבעו, ככל שיחולו עליהן.

הנושאים החשובים שהועלו בטיוטה:

מידע אישי: טיוטת החוק מגנה באופן מקיף על המידע האישי של האזרחים בסין, ודורשת מחברות אינטרנט להחזיק במערכת אבטחת מידע שתגן על פרטיות משתמשים, דרך שמירת המידע האישי שנאסף ומעובד על ידן.

על אף מספר סעיפים המחייבים הגנה על ביטחון המידע של המשתמשים, החוק מטיל על "מפעילי רשתות" (מושג שאינו מוגדר באופן חד משמעי) חובה לרשום משתמשים בשמם האמיתי וכן לבצע אימות של פרטי הזיהוי על פי תעודת זהות או דרכים אחרות. ברור כי מדובר בדרישה שתהיה קשה ליישום בקרב אותם מפעילי רשתות.

עניין נוסף הוא שטיוטת החוק קובעת כי "מידע אישי רגיש" יהיה בעל חשיבות עליונה ורשויות החוק יהיו אלו שיגדירו את היקף המידע הרגיש ואת מידת ההגנה הדרושה עליו. לאור העובדה שאין הגדרה ספציפית ל"מידע אישי רגיש" בחוק, הדבר עלול לכלול מערכות מידע בתעשיות רבות שיחוייבו להתאים את עצמן לכך.

צנזורה ומעקב אחר משתמשים בסין: חברות אינטרנט יצטרכו להעניק למשטרה ולרשויות החוק כל עזרה נדרשת בחקירות פליליות או מטעמי בטחון לאומי. כמו כן ידרשו החברות לצנזר תוכן בלתי חוקי ולדווח על כך מייד לרשויות. גם כאן, הסעיפים אינם מוגדרים באופן מוחלט אך כן ברור שאי עמידה בהם עשויה לגרום לסגירת החברה, חסימת האתר או קבלת קנס כספי. כמו כן במקרים מסוימים, חברות אף ידרשו להעביר מידע מסווג או ציוד לרשויות החוקרות. דרישה נוספת של החוק ממנה חוששות חברות בינלאומיות היא הקניית "דלת אחורית" למערכות המידע והנתונים של החברה, דרכה יוכלו הרשויות החוקרות לקבל גישה לתקשורת מוצפנת אך חשופה.

באופן כללי, טיוטת החוק מכילה יותר התחייבויות על חברות אינטרנט לא רק בהיבטים של הגנת המידע על המשתמשים אלא גם ביצוע יותר בקרה ושליטה על המידע ועונשים וקנסות גדולים יותר על אי ציות. בנוסף לכך, תקנות נוספות צפויות להיקבע על ידי הרשות האדמיניסטרטיבית האחראית על הסייבר בסין. כפועל יוצא מכך, האחסון והעברת המידע של פרטי משתמשים סינים יהיו כפופים להערכה ולהחלטת רשות זו, אשר תוכל לסרב להעביר את הנתונים מחוץ לסין.

על אף סעיפי החוק הנוקשים, נראה שממשלת סין הסירה מספר סעיפים מטיוטת החוק הקודמת שהעלו התנגדויות בקרב הקהילה הבינלאומית. בימים אלו, בכירים בסין מנהלים מגעים עם חברות טכנולוגיה מערביות במטרה להביא לניסוח טיוטה סופית של החוק.