Bez internetové bezpečnosti není státní bezpečnosti
Jak uvádí Samm Sacks, která se otázce kybernetické bezpečnosti věnuje v rámci svého působení v americkém Centru pro strategická a mezinárodní studia, je zákon o kybernetické bezpečnosti pouze završením dlouhodobých snah administrativy prezidenta Siho o dosažení kompletní kontroly nad kyberprostorem v ČLR. Základy pro takovou kontrolu byly položeny již v některých opatřeních z předchozích let (například v protiteroristickém zákoně z r. 2015 nebo v zákoně o státní bezpečnosti z jara letošního roku).
Nový komplexní zákon řeší problematiku kyberprostoru v intencích premisy prezidenta Si Ťin-pchinga: „Bez internetové bezpečnosti není státní bezpečnosti“ (没有网络安全就没有国家安全). Čínské pojetí kybernetické bezpečnosti se nezaobírá bezpečností individuálních uživatelů internetu, ale bezpečností státu, jak ji chápe komunistická strana. Např. lokalizace dat pro čínské užvatele neznamená jejich lepší ochranu, ale právě naopak, jejich zpřístupnění čínským vyšetřovatelům pro případný trestní postih.
Prozatím je nejviditelnějším výsledkem zákona odstranění několika desítek (zatím na šedesát) zábavních účtů a blogů o celebritách z WeChatu, Weibo a dalších platforem s odůvodněním, že kolovat po internetu má pouze zdravý a pozitivní obsah. Budoucí dopady budou nejspíš závažnější.
V roce 2015 proklamoval Peking na Mezinárodní konferenci o internetu v če-ťiangském Wu-čenu poprvé veřejně požadavek všestranné suverenity států nejen ve sféře domácí politiky, ale také v oblasti internetu a ochrany dat. Uplatňovat národní zákony na globální síť není však úplně jednoduché. Ani nový zákon nevnesl do situace jasno; je to jen další z řady předpisů, které operují blíže nevysvětlenou novou terminologií a trpí absencí detailního zpracování.
Co se v Číně uvaří, to se v Číně sní
Mezinárodní právní firma Hogan Lovells zpracovala již krátce po schválení návrhu zákona jeho krátkou analýzu, a v devětasedmdesáti článcích nového zákona identifikovala tři pilíře politiky čínské vlády v otázce správy kyberprostoru – regulaci kyberprostorových technologií, požadavek úzké spolupráce s vládou a lokalizaci dat. Obavy mezinárodních společností budí především poslední zmíněný požadavek. Konkrétně, článek 37 nového zákona stanoví, že:
Osobní informace a další důležitá data shromážděná nebo vytvořená provozovateli kritické informační infrastruktury během fungování v rámci pevninského území Čínské lidové republiky budou uchovávána na území ČLR.
Data vyprodukovaná (eventuálně shromážděná) v Číně budou muset být uložena na čínských serverech. Dodejme ještě, že šíři pojmu „osobní informace“ a „další důležitá data“ zákon přesně nespecifikuje: Vysvětlení termínu se může ukrývat v nevinněji vyhlížejících nařízeních vztahujících se k otázce přeshraniční bezpečnosti. Vodítko poskytuje návrh Pokynů pro posouzení bezpečnosti přeshraničních transferů, kde se termín „důležitých údajů“ už objevil také. Zmíněný dokument ze dne 27. května je definuje jakožto informace, které mohou „ovlivňovat nebo poškozovat vládu, stát, armádu, ekonomiku, kulturu, společnost, technologie, informace a další otázky národní bezpečnosti. “ Je tedy evidentní, že otázkou národní bezpečnosti může být nakonec prakticky vše.
Cokoli poskytnete ČLR, může být použito proti vám
Otázkou přenosu dat se dále zabývají Opatření k posuzování bezpečnosti přeshraničního přenosu osobních informací a důležitých údajů, která nabyla účinnosti taktéž k 1. červnu; plně respektovat toto opatření budou muset obchodní společnosti od prosince 2018 (dle Samm Sacks tento termín spíše pomůže regulátorům formulovat doplňující pravidla, než aby dal firmám čas se připravit).
Opatření stanoví, že předmětem kontroly přenosu dat budou všichni „provozovatelé sítí“. Provozovatelem sítě by přitom mohla být každá osoba, která vlastní a řídí IT síť (např. správci sítí, dílčí administrátoři a poskytovatelé služeb). To vyvolává otázky po rozsahu – pokud bude například elektronický obchod vyhodnocen jako kritická infrastruktura, budou moci v případě potřeby čínské bezpečnostní složky požadovat veškeré osobní údaje na něm zachycené. To je ostatně také podstatou plánovaného systému “společenského kreditu”, který má podle dat shromažďovaných na Internetu automaticky vyhodnocovat stupeň spolehlivosti jednotlivých uživatelů. Hrozba zneužití celého systému k potlačení základních svobod je nabíledni. V pozoru jsou také ochránci duševního vlastnictví – nový systém přímo vybízí k průmyslové špionáži.