Grote schoonmaak internet China – deel 3: dataprivacy

Dit artikel verscheen op 12 februari op de website China Talk. Het is het derde van een reeks die ChinaSquare in overleg met de auteur overneemt.

Ed Sander* staat in de reeks ‘China’s grote internetschoonmaak’ stil bij nieuwe regels rondom dataprivacy. 

De aanleiding voor de reeks was een aantal ontwikkelingen rond de beursgang van de aan Alibaba gelieerde Ant Group van Jack Ma. Die passen in een serie van aanscherpingen van wetten en regels voor de tot voor kort wildwestachtige Chinese internetsector. In een serie artikelen neem Ed Sander van China Talk deze maatregelen onder de loep. In het eerste deel keek hij naar de nieuwe antimonopoliewetgeving, in het tweede deel naar de nieuwe regels voor de fintechmarkt. En nu dus: dataprivacy.

In het tweede deel van deze serie lazen we hoe de Chinese fintechmarkt er begin december tijdens een congres in Singapore flink van langs kreeg van Guo Shuqing, een van de financiële toezichthouders. Een van de kritiekpunten was, dat de fintechbedrijven op ongepaste wijze data verzamelen, gebruiken en soms zelfs verhandelen. Guo noemde een aantal maatregelen die de overheid had genomen of zal nemen om dit probleem aan te pakken:

• De Civil Code (burgerlijk wetboek) biedt wettelijke bescherming m.b.t. het gebruik van persoonsgegevens.
• Er wordt gewerkt aan een Personal Information Protection Law.
• De toezichthouders werken aan regulering ter beveiliging van financiële data.

Laten we eens een kijkje nemen in de privacywetgeving in China.

Privacywetgeving in China

China is misschien niet het eerste land waar je aan denkt bij privacy, maar de afgelopen jaren zijn er indrukwekkende stappen gezet bij de bescherming van burgers tegen misbruik van hun data door private bedrijven en zelfs de overheid. Hoewel er natuurlijk verregaande uitzonderingen gelden ten behoeve van de  binnenlandse veiligheid komt de reeds ingevoerde en op handen zijnde wetgeving sterk in de buurt van de Europese GDPR. Dat zal resulteren in bescherming van persoonsgegevens die verder gaat dan die in de Verenigde Staten (mede dankzij Hong Yanqing, een Chinees die in Nederland studeerde).

Burgerlijk wetboek

De Civil Code die Guo noemde is in mei 2020, 6 jaar nadat men er aan begon te werken, goedgekeurd door het Nationaal Volkscongres en trad op 1 januari 2021 in werking. Het document bevat een grote hoeveelheid wetten, deels bestaand en een deel betreft bescherming van persoonlijke gegevens en privacyrechten. In de Civil Code is het recht op privacy en de principes van bescherming van persoonsgegevens voor het eerst goed omschreven. Persoonsgegevens worden gedefinieerd en er wordt net als in de GDPR een wettelijke basis voor verwerking van persoonsgegevens vastgelegd, alsmede de verplichtingen voor verwerkers van persoonsgegevens en de rechten van de burgers (meer details zijn hier te lezen).

Een aantal opmerkelijke punten met betrekking tot het opvragen of verstrekken van gegevens:

• er is goedkeuring van het individu of een wettelijke voogd nodig
• het doel, de methode en de omvang van gegevensverwerking moeten duidelijk zijn
• verzamelde gegevens dienen vertrouwelijk behandeld te worden en mogen niet met derden gedeeld worden tenzij het individu in de data niet meer te identificeren is (anonimisering)
• er gelden regels omtrent beveiliging van data en meldingsplicht bij datalekken
• een individu heeft recht op toegang tot een kopie van zijn gegevens, mag correctie eisen bij fouten en mag verwijdering eisen als de verwerker in overtreding is.
• zaken als spamming (via verschillende communicatiekanalen) en cameratoezicht worden aan banden gelegd

Personal Information Protection Law

De Cybersecurity Law van 2017 en Personal Information Security Specification (PISS) van 2018 hadden al eerder bepaalde regels voor dataverwerking opgelegd. Bij het maken van de PISS had China de GDPR en de California Consumer Privacy Act goed bestudeerd. Uiteindelijk koos men voor de Europese aanpak, die strenger is richting bedrijven en burgers beter beschermt. Op aandringen van de internetbedrijven, die betrokken waren bij het opstellen van de PISS, werd echter wat water bij de wijn gedaan qua restricties voor hun sector. Na het Cambridge Analytica-schandaal bij Facebook besefte de overheid echter, dat de Cybersecurity Law en PISS onvoldoende mogelijkheden boden voor wetshandhaving en het opleggen van boetes.

De Civil Code was weer een stap voorwaarts en de Personal Information Protection Law (PIPL) die in de maak is zal nog een stap verder gaan. Het afgelopen jaar heeft de overheid extra vaart gezet achter deze nieuwe wet, omdat er tijdens de coronacrisis wel erg twijfelachtige dataverzameling door overheden ontstond. Het wetsontwerp is bedoeld om te voorkomen dat bedrijven, organisaties en individuen persoonlijke gegevens “willekeurig verzamelen, illegaal verkrijgen, overmatig gebruiken en illegaal kopen en verkopen”. Het bevat ongeveer 70 artikelen over de manier waarop persoonsgegevens mogen worden verzameld, opgeslagen, gebruikt, verwerkt, gedeeld en openbaar gemaakt, evenals over de rechten van mensen die hun gegevens verstrekken en de plichten van degenen die deze beheren.

Vergelijking met Europese wetgeving

Net als bij de Europese wetgeving dient een gebruiker vooraf expliciet akkoord te gaan met de verwerking en het gebruik van zijn data. Een individu heeft het recht te weten wat er met zijn data gedaan wordt en het recht om een verzoek tot correctie of verwijdering te doen. De verzamelende partij mag niet meer data verzamelen dan nodig is voor de beschreven gebruiksvormen. Ook mag men niet weigeren een product of dienst te leveren als een individu bepaalde data niet (langer) wil delen. Op deze regels gelden natuurlijk enkele uitzonderingen, en voor bepaalde gevoelige data (o.a. etniciteit, religie, biometrie, gezondheid, locatie) gelden strengere regels voor het verzenden naar buiten de landsgrenzen. Opmerkelijk genoeg geeft het wetsontwerp ook aan, dat het verzamelen van beelden en gebruik van apparatuur voor persoonlijke identificatie op straat alleen is toegestaan voor doeleinden van publieke veiligheid. Al met al lijkt het wetsontwerp in grote lijnen dus sterk op de Europese GDPR, die er mede model voor heeft gestaan, en overlapt het de Civil Code deels.

Bestraffing

In november 2020 sloot de gebruikelijke reactieperiode van een maand waarin men feedback kon geven op het PIPL wetsvoorstel. Wanneer de wet van kracht wordt is nog niet bekend en het laatste woord over het wetsvoorstel is nog niet gesproken. Zo ligt de vage bewoording voor regulering van gezichtsherkenning, een onderwerp waar steeds meer mensen zich zorgen om maken, onder vuur. Maar als de wet van kracht wordt zal het de straffen voor overtredingen flink opschroeven. Overtreders krijgen een waarschuwing, moeten hun gedrag ‘rectificeren’ en illegaal verkregen gelden worden in beslag genomen. Gaan ze opnieuw de fout in of betreft het een zeer ernstige zaak, dan kunnen ze rekenen op boetes tot aan 50 miljoen RMB (bijna €6,5 miljoen) of 5% van de omzet van het bedrijf in het voorgaande jaar. Ook kunnen vergunningen al dan niet tijdelijk ingetrokken worden.

Hoognodig

Al deze nieuwe wetgeving is hoognodig, omdat bescherming van persoonsgegevens, ondanks meer dan 200 bestaande wetten, regels en instructies, nog onvoldoende is in China. Eerder schreef ik al over de vele privacyschandalen in het land. Een studie uit 2016 wees uit dat 84% van de respondenten te maken heeft gehad met lekken van zijn of haar data, inclusief telefoonnummer, adres en bankgegevens. Niet alleen het beperken van dergelijk misbruik van data, maar ook het herstellen van het vertrouwen van de consument in de digitale economie, die zo belangrijk was voor de groei van China, is bij het maken van de nieuwe wetgeving een belangrijk doel voor de overheid.

Al genomen maatregelen

Op basis van de reeds bestaande wetten heeft de overheid al diverse stappen gezet. Zo begon ze in januari 2019 populaire smartphone-apps te controleren op illegale en buitensporige dataverzameling. Eind 2019 haalde de overheid 100 apps offline die geen privacyverklaring hadden, onvoldoende omschreven wat er met de data gedaan werd en onnodige data verzamelden. Onder de boosdoeners waren een aantal banken en Kaola, een cross-border commerceplatform dat kort daarvoor door Alibaba gekocht was. De meeste bedrijven kwamen uit de financiële sector, online onderwijs, online literatuur en e-commerce.

Een jaar later, in oktober 2020 bracht het Ministerie van Industrie en Informatietechnologie (MIIT) een lijst uit met 131 apps die inbreuk maakten op de rechten van gebruikers. De apps verzamelden ongepaste of onnodige data of vroegen om buitensporige toestemmingen. Gebruikers moeten vaak kiezen tussen het gemak van een app en hun eigen privacy. Als de toestemmingen niet worden verleend kan men de app vaak niet gebruiken. Dat laatste zou in theorie onder de Civil Code niet meer toegestaan zijn.

Data scraping

De combinatie big data en fintech baart de autoriteiten al lange tijd zorgen. Een van de zorgen betreft ‘data scraping’, een proces waarbij software het internet afstruint op zoek naar persoonsgegevens. Woekeraars gebruiken die data vervolgens om mensen onder druk te zetten bij het terugbetalen van leningen. Ook ontvangen consumenten telefoontjes en SMSjes via ‘scraped’ gegevens van het internet. Volgens de Internet Security Law van 2017 is dataverzameling via dergelijke ‘web crawling’ enkel toegestaan bij openbare data, maar is het zonder toestemming van het individu illegaal voor privégegevens en gevoelige gegevens. Apps voor online leningen verkrijgen die toestemming vaak op slinkse wijze via de lange gebruikersovereenkomst van de app. Consumenten die dit niet nauwkeurig lezen geven dan onbewust akkoord voor het uitlezen van contacten en delen van data met derden. In september 2019 deden de autoriteiten onderzoek bij diverse bedrijven en in oktober 2019 liet de overheid fintechbedrijven beloven zich niet schuldig te maken aan data scraping.

Stroomversnellingen

Tijdens de Central Economic Work Conference, welke van 16 t/m 18 december gehouden werd, werd ‘het beteugelen van monopolies en het voorkomen van wanordelijke kapitaaluitbreiding’ nog eens aangehaald als een van de acht prioriteiten van de overheid. De wet- en regelgeving over de identificatie van monopolies bij internetplatforms, het beheer van gegevensverzameling en -gebruik en de bescherming van de rechten van de consument dienen verbeterd te worden en financiële innovatie dient onder zorgvuldig toezicht te worden uitgevoerd.

Op 7 januari verklaarde een door de overheid gesteunde consumentenorganisatie, dat Chinese internetbedrijven persoonsgegevens hebben misbruikt om mensen aankopen op te dringen. Internetbedrijven zouden moeten stoppen met het uitlezen van persoonsgegevens om vervolgens andere prijzen te berekenen. Dergelijke prijsdiscriminatie was ook een van de aanklachten die zijn gemaakt in de recente antimonopoliewetgeving (zie het eerste artikel in deze reeks). Ook werd het laten tonen van persoonlijke advertenties bestempeld als het ontnemen van vrije keuze bij de consument. Deze sentimenten worden door een groot deel van de samenleving gedeeld; in september gaf 75% van de ondervraagden in een poll van een staatszender aan oneerlijk behandeld te zijn bij het doen van online aankopen.

Op 1 februari zette de overheid de in november in gang gezette antimonopoliewetgeving nog eens extra kracht bij met een werkplan om de invoering van die wetgeving te versterken en verbeteren. Het plan noemde nadrukkelijk de verzameling, het gebruik en het beheer van gebruikersgegevens en de bescherming van de rechten van de consument als aandachtspunten. De platformbedrijven (met name online gezondheidszorg, online onderwijs, logistieke diensten door derden, real-time bezorging, online kantoorsoftware & administratieve diensten) en de ‘sharing economy’ werden ook specifiek genoemd als aandachtsgebieden.

Dat de tijden van laks toezicht voorbij zijn bleek op 31 januari, toen de Agricultural Bank of China door de toezichthouders op de financiële markt een boete van 4,2 miljoen RMB (ruim een half miljoen euro) kreeg opgelegd voor slechte beveiliging van gegevens, waaronder het niet melden van een noodsituatie met informatiesystemen, onvoldoende beveiliging van netwerken en lekken van gegevens via haar webportals.

Samenvattend …

Samenvattend zijn er de afgelopen jaren diverse nieuwe wetten en regels ingevoerd voor de bescherming van persoonsgegevens en de bescherming van de privacy van burgers. De regels komen dicht in de buurt van de strenge Europese GDPR. Het struikelblok is in China meestal de handhaving van wetten, maar als de overheid daarin slaagt zijn de nieuwe regels een grote stap in de bescherming van de burgers en inperking van misbruik door internetbedrijven.

Op 26 januari zei Yi Gang, een van de financiële toezichthouders, tijdens een virtuele bijeenkomst van het World Economic Forum, dat consumenten over het algemeen tevreden zijn over Alipay. Ant Group dient echter klachten over data privacy op te lossen voor het z’n weg weer voort kan zetten. Ant zou data die momenteel tussen zijn verschillende platforms gedeeld wordt moeten isoleren per divisie, net als bij banken gebeurt. Ant zou data uit mobiele betalingen dus niet meer mogen gebruiken voor het verkopen van leningen en vermogensbeheer. 

Wat we nog niet besproken hebben zijn de data voor kredietbeoordeling. De centrale bank zou heel graag de beschikking krijgen over data van internetbedrijven die daarvoor gebruikt kunnen worden. In het vierde deel van deze reeks kijken we daar verder naar.

* Ed Sander is mede-oprichter van ChinaTalk, een organisatie gespecialiseerd in kennisoverdracht over China en met name over e-commerce, cultuurverschillen en digitale innovatie in China. Hij verzorgt over die thema’s lezingen, gastcolleges en trainingen.
Op dit ogenblik zit in het cursusaanbod van Ed Sander de (betaalde) e-learning cursus e-commerce in China https://www.chinatalk.nl/onze-diensten/lezingen-e-learning/e-learning/
Zie ook dit interview https://www.customertalk.nl/artikelen/interview/innovaties-in-china-als-zinnige-lessen-voor-online