Nová legislativa – zákon o kybernetické bezpečnosti a zákon o ochraně osobních dat

08.08.2018

Až do roku 2017 chyběla v oblasti kybernetické bezpečnosti a ochrany dat na internetu ucelená celostátní legislativa. 1. června 2017 nabyl účinnosti Zákon o kybernetické bezpečnosti,[1] který se skládá z šesti pilířů - kontrola obsahu na internetu, ochranný systém kybernetické bezpečnosti, bezpečnostní ochranný systém kritické informační infrastruktury, ochrana osobních a jiných důležitých dat, řízení síťových produktů a služeb, řešení incidentů. Předpis je velmi obecné povahy a bude potřebovat doplnění dalšími předpisy, na kterých se intenzivně pracuje. Jak je patrné již z názvů jednotlivých oblastí, kromě ochrany dat a bezpečnosti se zaměřuje i na sektor, který je pro vládu neméně důležitý - kontrola obsahu. Nejedná se samozřejmě o nic nového, stát vykonává efektivní kontrolu nad internetovým obsahem již od samého počátku, nová úprava ale možnosti kontroly rozšiřuje. Další oblasti pak mimo jiné zavádí povinnosti pro státní orgány a poskytovatele služeb, ale spíše obecně formulované, s předpokladem vydání speciálních předpisů.[2]

Jeden z doplňujících předpisů, rozvádějící právě ochranu osobních dat jako jednoho z pilířů úpravy, nabyl účinnosti na začátku letošního května, pár týdnů před zmiňovaným GDPR. Nabízí se tedy srovnání těchto dvou předpisů, které se potýkají s podobnou problematikou.

Specifikace ochrany osobních údajů,[3] jak se zákon nazývá, do jisté míry vychází z GDPR. Evropská úprava sloužila jako modelová předloha při tvorbě Specifikace, v obou najdeme podobné instituty a terminologii.[4] Je ovšem třeba říct, že se jedná o zcela rozdílné právní dokumenty - GDPR je výsledkem několikaletého legislativního procesu a jedná se o komplexní právní předpis, kdežto Specifikace je doplňující předpis k obecné úpravě kybernetické bezpečnosti a svým rozsahem se GDPR nemůže rovnat.

Specifikace je závazná pro všechny "správce osobních údajů", kteří mohou rozhodovat o účelu a způsobu zpracování těchto dat na území Číny; dotýká se tedy i všech zahraničních společností vyvíjejících zde činnost, při které dochází ke zpracování osobních dat. Čínská úprava je preciznější v definování požadavků na bezpečnostní standardy a testování správců údajů. To do jisté míry souvisí s celkovým pojetím režimu ochrany dat v Číně - stát má zájem na efektivním výkonu zpracování dat a řeší se zde národní bezpečnostní rizika, což se v případě GPDR říct nedá.[5]

Správce údajů má, stejně jako podle GDPR, povinnost od subjektu údajů získat souhlas s jejich zpracováním, který musí být vždy výslovný. V oznámení o soukromí a zpracování údajů, se kterým subjekt dává souhlas, nesmí chybět informace o způsobu a četnosti zpracovávání, místě úložiště dat, informace o sdílení dat třetím osobám, možnosti stížností na postup správce, upozornění na bezpečnostní pravidla či kontaktní informace správce. V porovnání s GDPR jsou požadavky na výčet přísnější; dle evropské úpravy je např. možné některou informaci z výčtu vynechat a pouze odkázat na jiný dokument, kde je možné ji nalézt - to je zde výslovně zakázáno.

Definice "osobního údaje" je pro oba předpisy totožná, pojem "citlivý osobní údaj" má v čínském podání ovšem extenzivnější výklad - jedná se jakýkoli údaj, který, v případě ztráty či zneužití, může poškodit osoby či majetek, pověst, zdraví, či vede k diskriminaci.

Práva subjektů údajů jsou v obou předpisech víceméně totožná. Snad jen lhůty na vyřízení požadavku jsou pod čínskou úpravou v některých případech kratší. Co se týká výmazu dat či "práva být zapomenut", obě úpravy subjektům údajů tuto možnost dávají. GDPR ovšem v určitých případech toto právo subjektu nepřiznává (např. při právu svobody projevu, plnění právní povinnosti, u veřejného zájmu či vědeckého výzkumu); Specifikace je v tomto ohledu absolutní.

Poslední srovnávanou oblastí je sdílení dat s třetími osobami. Specifikace i samotný Zákon o kybernetické bezpečnosti vyžadují souhlas se sdílením osobních údajů třetím stranám, GDPR tento požadavek striktně nevyžaduje. Souhlas ale dle Specifikace není nutný v případě, že se jedná o sdílení veřejně dostupných údajů, a za situace, kdy je sdílení dat nezbytné pro trestní vyšetřování; v těchto případech si např. stát může data vyžádat. Dle čínské úpravy má správce zároveň povinnost vést záznamy o sdílení osobních údajů třetím stranám.

Ze srovnání vyplývá, že je Specifikace přísnější, co se povinností pro správce údajů týká, a zároveň více štědrá v garantování práv subjektů osobních údajů. Nesmíme ale zapomenout na rozdílnou povahu těchto právních předpisů - zatímco Specifikace je rozvedením obecné úpravy v Zákoně o kybernetické bezpečnosti, GDPR je nařízením EU a jeho text umožňuje a snad i předpokládá svoji specifikaci členskými státy EU, aby tak ustanovení byla šita na míru potřebám jednotlivých států za současného dodržení jednotné unijní formy. Specifikace je také v porovnání s GDPR více věcným a stručným dokumentem.

Sociální sítě - nadvláda jménem WeChat

V zemi má přístup k internetu necelých 800 milionů lidí,[6] jedná se tak jednoznačně o světového lídra v této statistice. Drtivá většina z nich využívá některé z dostupných sociálních sítí. Nejsou mezi nimi ale např. Facebook (ten byl zablokován v roce 2009) či WhatsApp (zablokován v roce 2017). Výsadní postavení mezi sociálními sítěmi zaujímá WeChat, jehož mobilní aplikaci používá na celém světě 1,1 miliardy lidí, z toho 900 milionů denně.[7] Byl založen v roce 2011 a z hlediska funkce, kterou v dnešní čínské společnosti zastává, není srovnatelný s žádnou jinou sociální sítí známou na západě. WeChat neslouží jen ke komunikaci mezi uživateli a sdílení obsahu, ale i jako "pomocník" pro každodenní život: obsahuje např. elektronickou peněženku, kam uživateli chodí výplata a přes kterou může platit v obchodech či nájem za byt, obchodní centrum, kde si může nakoupit oblečení či jízdenku na vlak, služby, přes které se objednává taxi či půjčuje kolo; kromě toho sleduje polohu zařízení 24/7 pro zlepšení fungování služeb. Služba tak o uživateli sbírá velké množství dat.

Není tajemstvím, že WeChat má úzké vazby na vládní stranu, která jej od samého počátku podporuje.[8] Právě tento fakt vzbuzuje u uživatelů obavy ze sledování jejich aktivit státem, neboť ten má ke všem údajům přístup a netají se tím. Uživatelé ale nemají na výběr a s podmínkami užívání služby musí souhlasit; pro běžného Číňana je zcela nepředstavitelné, že by ze dne na den přestal používat WeChat - bez nadsázky řečeno se bez něj v dnešní moderní Číně nedá přežít.

Rostoucí nespokojenost s nedostatečnou ochranou osobních dat

Ochrana osobních údajů na internetu se mezi uživateli stává stále diskutovanějším tématem. Přispělo k tomu i několik nedávných kauz úniků či sdílení dat a jejich použití třetími osobami.

Můžeme začít opět sociální sítí WeChat. Letos v dubnu vyšlo najevo, že společnost ukládá veškeré zprávy poslané v rámci sítě a má k nim přístup, a to včetně těch, které uživatel trvale smazal. Ačkoliv se proti tomuto nařčení WeChat v minulosti ohradil[9] a tvrdil, že poslané zprávy ze svých serverů smaže ihned po doručení a poté jsou dostupné pouze ze zařízení, z něhož byly odeslány, nedávný případ toto tvrzení vyvrací. Na začátku roku získala Městská kázeňská inspekce a dohledová komise v prefektuře Hefei v provincii Anhui sérii smazaných zpráv z konverzace mezi subjekty podezřelými z přestupku, na jejímž základě vedla vyšetřování, které skončilo doznáním se k disciplinárním přestupkům a celkem 63 uděleným trestům.[10] Tento případ poukazuje jednak na chabou, až neexistující ochranu osobních údajů a soukromí při používání sociální sítě, ale zejména na úzkou provázanost sociální sítě se státem, který má k datům v podstatě neomezený přístup.

V dalším případu na začátku letošního roku vyšlo najevo, že jedna z největších čínských finančních společností Ant Financial (součást skupiny Alibaba, předního hráče mezi internetovými obchodníky) automaticky a bez udělení souhlasu zapsala své uživatele do programu nazvaného Sesame Credit. Ten monitoruje chování uživatelů na sociálních sítích, jejich interakce, nákupy na e-shopu Alibaba či finanční transakce, tato data vyhodnocuje a podle předem daného vzorce uživateli udělí skóre v rozmezí od 350 do 950 bodů. Motivací je dosažení co nejvyššího skóre, díky čemuž si uživatel může např. vzít půjčku s výhodnějším úrokem či rychleji získat cestovní vízum do EU. Uživatelé tak nevědomky poskytovali svá citlivá data společnosti Ant Financial a ta je sdílela s třetími stranami, mimo jiné se státem.[11] Je na místě uvést, že do programu Sesame Credit se dobrovolně zapojili uživatelé, kteří ochotně vyměnili kus svého soukromí za ekonomické úlevy.

Množí se případy, kdy vyšlo najevo, že jsou shromažďované údaje předávány mezi správci bez udělení souhlasů, a tyto údaje jsou dále využívány.[12] Je otázkou, jaké části uživatelů tato situace ve skutečnosti vadí, a ještě větší otázkou, jaká část nalezne chuť a odvahu nespokojenost vyjádřit. Kritici nedostatečné ochrany se pochopitelně najdou a mohou slavit dílčí úspěchy - novou legislativu zajišťující větší kontrolu nad osobními údaji, ale i stále větší prostor, který ochrana dat ve veřejné diskuzi získává.

Plány do budoucna: Velký bratr v praxi?

I přes právní úpravu, která ochraně osobních dat přikládá vysokou důležitost, ale subjekty údajů zřejmě čeká studená sprcha v podobě jedné velké výjimky z ochrany soukromí jednotlivce. V roce 2014 vláda představila dokument nazvaný Nástin plánu pro vybudování sociálního kreditového systému.[13] Dokument je velmi obsáhlý, nepřehledný a plný obecných frází, ale obsahuje radikální myšlenku, kterou se vláda zavázala do roku 2020 uskutečnit - vytvoření státního hodnotícího systému "důvěryhodnosti", podobného Sesame Credit zmíněnému výše. Každému občanovi bude přiřazeno osobní skóre, jenž se bude odvíjet od jeho aktivit v soukromém životě - budou se mu přičítat či odečítat body za včasné placení účtů, obsah sledovaný na internetu či v televizi, konverzace s přáteli na sociální síti, nákup v obchodech, chůze přes přechod na červenou či za změnu skóre lidí, s nimiž je v kontaktu. Sledovat se bude celkem 5 oblastí - finanční historie, dodržování smluvních závazků, osobní charakteristiky, chování a mezilidské vztahy. Podle vzorce se vypočítá výše skóre jednotlivce, to poté bude určující pro jeho možnosti a postavení ve společnosti - například bude mít vliv na získání zaměstnání či vzdělání, možnost vycestovat do zahraničí, rychlost připojení k internetu či rezervování stolu v restauraci, přičemž toto skóre bude veřejně dostupné.

Čína má již dnes natolik širokou a propracovanou síť sledovacích prostředků, že pro ni podobný program není nereálný - zejména díky nejrozsáhlejšímu kamerovému systému na světě[14] s technologiemi face recognition a vládní kontrole internetu a sociálních sítí. Neustále je sledován veškerý pohyb osob v ulicích měst či konverzace na sociálních sítích; na druhou stranu je třeba přiznat, že to stejné se do jisté míry děje i u nás. Rozdílné je ale použití takto získaných dat - zatímco na západě slouží zejména k potírání kriminality, čínská vláda je využívá k potlačení názorových odpůrců a upevnění své pozice (což je de facto dle platného čínského práva také potírání kriminality, ale to je druhá věc).

Nyní se vláda na zavedení systému připravuje tak, že osmi soukromým subjektům (včetně např. WeChatu či Ant Financial) udělila licenci k vytvoření a spuštění systémů a algoritmů k počítání sociálního skóre a tyto projekty sleduje. Poznatky poté využije u vlastního projektu, přičemž je možné, že správou vládního systému pověří jednu ze zmíněných společností.

A jak do tohoto programu zapadá ochrana osobních dat jednotlivců na internetu? Dle našich měřítek příliš ne.

Závěrem můžeme zhodnotit situaci takto: z hlediska právní úpravy ochrany osobních dat na internetu se Čína dostává a v blízké budoucnosti dostane na úroveň západních standardů, jen co dokončí práce na doplňující legislativě k Zákonu o kybernetické bezpečnosti, který je účinný od loňského roku. Správci údajů budou s daty muset zacházet v souladu s poměrně vysokými standardy a uživatelé budou mít své údaje relativně pod kontrolou. Co se ale týká faktického "bezpečí" osobních údajů na internetu, změnu k vyšší ochraně čekat zřejmě nelze - ne snad vinou správců údajů (zejména poskytovatelů služeb), ale spíše kvůli neomezenému přístupu státních orgánů k datům pod kontrolou správců, a také s ohledem na výše zmíněné plány vlády na zvýšení kontroly nad obyvatelstvem, až děsivě připomínající myšlenky autorů dystopií.

[1] Dostupné z: https://chinacopyrightandmedia.wordpress.com/2016/11/07/cybersecurity-law-of-the-peoples-republic-of-china/

[2] Triolo, Paul et al. (2017). China's Cybersecurity Law One Year On. [online] NewAmerica.org. Dostupné z: https://www.newamerica.org/cybersecurity-initiative/digichina/blog/chinas-cybersecurity-law-one-year

[3] Dostupné zde, v čínském jazyce: https://www.gb688.cn/bzgk/gb/newGbInfo?hcno=4FFAA51D63BA21B9EE40C51DD3CC40BE

[4] Sacks, Samm (2018). China's Emerging Data Privacy System and GDPR. [online] CSIS. Dostupné z: https://www.csis.org/analysis/chinas-emerging-data-privacy-system-and-gdpr

[5] Sacks, Samm (2018). New China Data Privacy Standard Looks More Far-Reaching than GDPR. [online] CSIS. Dostupné z: https://www.csis.org/analysis/new-china-data-privacy-standard-looks-more-far-reaching-gdpr

[6] Statista, (2017). Countries with the highest number of internet users as of December 2017. [online] Dostupné z: https://www.statista.com/statistics/262966/number-of-internet-users-in-selected-countries/

[7] Business of Apps, (2017). WeChat Revenue and Usage Statistics. [online] Dostupné z: https://www.businessofapps.com/data/wechat-statistics/

[8] Pymnts.com, (2017). WeChat Shares Consumer Data With Chinese Government. [online] Dostupné z: https://www.pymnts.com/safety-and-security/2017/wechat-hands-over-user-data-to-chinese-government-amid-privacy-concerns/

[9] Huang, Zheping (2018). What Tencent left out when it denied spying on you over WeChat. [online] Quartz. Dostupné z: https://qz.com/1170046/tencents-wechat-denies-storing-chat-history-but-its-users-are-monitored-by-the-chinese-government/

[10] Mai, Jun (2018). Growing privacy fears in China after cadres punished over 'deleted' WeChat messages. [online] SCMP. Dostupné z: https://www.scmp.com/news/china/policies-politics/article/2143920/growing-privacy-fears-china-after-cadres-punished-over

[11] Botsman, Rachel (2017). Big data meets Big Brother as China moves to rate its citizens. [online] Wired.co.uk. Dostupné z: https://www.wired.co.uk/article/chinese-government-social-credit-score-privacy-invasion

[12] General, Ryan (2017). WeChat Admits It Gives All Private User Data to the Chinese Government. [online] Nextshark.com. Dostupné z: https://nextshark.com/wechat-admits-gives-private-user-data-chinese-government/

[13] Dostupné z: https://chinacopyrightandmedia.wordpress.com/2014/06/14/planning-outline-for-the-construction-of-a-social-credit-system-2014-2020

[14] Grenoble, Ryan (2017). Welcome To The Surveillance State: China's AI Cameras See All. [online] Huffpost. Dostupné z: https://www.huffingtonpost.com/entry/china-surveillance-camera-big-brother_us_5a2ff4dfe4b01598ac484acc?guccounter=1


Zdroj: https://www.pravniprostor.cz/clanky/ostatni-pravo/cina-ochrana-osobnich-dat-na-internetu-socialni-site-a-role-statu