Binnen de onverwachte zoektocht van China om de privacy van gegevens te beschermen

Een nieuwe privacywet zou veel lijken op de Europese AVG, maar zal het staatstoezicht beperken? 19 augustus 2020 Hong

Stefan Chow





Laat in de zomer van 2016 kreeg Xu Yuyu een telefoontje dat beloofde haar leven te veranderen. Haar toelatingsexamens voor de universiteit, zo werd haar verteld, hadden haar toelating tot de Engelse afdeling van de Nanjing University of Posts and Telecommunications opgeleverd. Xu woonde in de stad Linyi in Shandong, een kustprovincie in China, ten zuidoosten van Peking. Ze kwam uit een arm gezin en was bijzonder afhankelijk van het schamele inkomen van haar vader. Maar haar ouders hadden nauwgezet gespaard voor haar schoolgeld; heel weinig van haar familieleden waren ooit naar de universiteit geweest.

Een paar dagen later kreeg Xu nog een telefoontje dat ze ook een beurs had gekregen. Om de 2.600 yuan ($ 370) te innen, moest ze eerst een activeringsvergoeding van 9.900 yuan op haar universiteitsaccount storten. Nadat ze enkele dagen eerder financiële steun had aangevraagd, maakte ze het geld over naar het nummer dat de beller haar had gegeven. Die avond haastte de familie zich naar de politie om te melden dat ze waren opgelicht. Xu's vader zei later dat zijn grootste spijt was dat hij de officier vroeg of ze hun geld nog steeds terug konden krijgen. Het antwoord - waarschijnlijk niet - verergerde de verwoesting van Xu alleen maar. Op weg naar huis kreeg ze een hartaanval. Ze stierf twee dagen later in een ziekenhuis.

De kwestie van het technonationalisme

Dit verhaal maakte deel uit van ons nummer van september 2020



  • Zie de rest van het nummer
  • Abonneren

Een onderzoek wees uit dat, hoewel het eerste telefoontje echt was, het tweede afkomstig was van oplichters die een hacker hadden betaald voor het nummer, de toelatingsstatus en het verzoek om financiële hulp van Xu.

Voor Chinese consumenten die maar al te bekend waren met het feit dat hun gegevens werden gestolen, werd Xu een embleem. Haar dood leidde tot een nationale verontwaardiging voor meer bescherming van de gegevensprivacy. Slechts enkele maanden eerder had de Europese Unie de Algemene Verordening Gegevensbescherming (AVG) aangenomen, een poging om Europese burgers controle te geven over hoe hun persoonlijke gegevens worden gebruikt. Ondertussen stond Donald Trump op het punt de Amerikaanse presidentsverkiezingen te winnen, mede aangewakkerd door een campagne die grotendeels afhankelijk was van kiezersgegevens. Die gegevens bevatten details over 87 miljoen Facebook-accounts, illegaal verkregen door het adviesbureau Cambridge Analytica. Chinese regelgevers en juristen volgden deze gebeurtenissen op de voet.


In het Westen wordt algemeen aangenomen dat noch de Chinese regering, noch het Chinese volk om privacy geeft. Amerikaanse technologiereuzen hanteren deze vermeende onverschilligheid om te beweren dat zware privacywetten hen in een concurrentienadeel ten opzichte van Chinese bedrijven zouden plaatsen. In zijn getuigenis van de Senaat van 2018 na het Cambridge Analytica-schandaal, drong de CEO van Facebook, Mark Zuckerberg, er bij de regelgevers op aan niet te hard te snoeien in technologieën zoals gezichtsherkenning. We moeten er nog voor zorgen dat Amerikaanse bedrijven op die gebieden kunnen innoveren, zei hij, anders lopen we achter op Chinese concurrenten en anderen over de hele wereld.



In werkelijkheid is dit beeld van de Chinese houding ten opzichte van privacy verouderd. De afgelopen jaren is de Chinese overheid, die het vertrouwen van de consument en de deelname aan de digitale economie wil versterken, begonnen met het implementeren van privacybeschermingen die in veel opzichten lijken op die in Amerika en Europa van vandaag.

Hoewel de overheid de privacy van consumenten heeft versterkt, heeft ze het staatstoezicht opgevoerd. Het gebruikt DNA-monsters en andere biometrie, zoals gezichts- en vingerafdrukherkenning, om burgers in het hele land te volgen. Het heeft de internetcensuur aangescherpt en een sociaal kredietsysteem ontwikkeld, dat gedragingen straft waarvan de autoriteiten zeggen dat het de sociale stabiliteit verzwakken. Tijdens de pandemie heeft het een systeem van gezondheidscode-apps geïmplementeerd om te dicteren wie mag reizen, op basis van hun risico om het coronavirus bij zich te dragen. En het heeft een hele reeks invasieve bewakingstechnologieën gebruikt bij de harde onderdrukking van moslim Oeigoeren in de noordwestelijke regio van Xinjiang.

Deze paradox is een bepalend kenmerk geworden van China's opkomende regime voor gegevensprivacy, zegt Samm Sacks, een vooraanstaand China-geleerde aan Yale en New America, een denktank in Washington, DC. Het roept een vraag op: kan een systeem standhouden met sterke bescherming voor de privacy van de consument, maar bijna geen tegen snuffelen door de overheid? Het antwoord is niet alleen van invloed op China. Haar technologiebedrijven hebben een steeds mondialere voetafdruk en regelgevers over de hele wereld houden haar beleidsbeslissingen in de gaten.




November 2000 markeert aantoonbaar de geboorte van de moderne Chinese toezichtstaat. Die maand kondigde het ministerie van Openbare Veiligheid, de overheidsinstantie die toezicht houdt op de dagelijkse wetshandhaving, een nieuw project aan op een handelsbeurs in Peking. Het bureau had een gecentraliseerd nationaal systeem voor ogen dat zowel fysiek als digitaal toezicht zou integreren met behulp van de nieuwste technologie. Het kreeg de naam Gouden Schild.

Westerse bedrijven, waaronder het Amerikaanse conglomeraat Cisco, de Finse telecomgigant Nokia en het Canadese Nortel Networks, wilden graag geld verdienen en werkten samen met het bureau aan verschillende delen van het project. Ze hielpen bij het opzetten van een landelijke database voor het opslaan van informatie over alle Chinese volwassenen, en ontwikkelden een geavanceerd systeem voor het regelen van de informatiestroom op internet - wat uiteindelijk de Grote Firewall zou worden. Veel van de betrokken apparatuur was in feite al gestandaardiseerd om bewaking in de VS te vergemakkelijken - een gevolg van de Communications Assistance for Law Enforcement Act van 1994.

De Chinese overheid is begonnen met het implementeren van privacybeschermingen die lijken op die in Amerika en Europa vandaag.



Ondanks de gestandaardiseerde apparatuur werd het Golden Shield-project gehinderd door datasilo's en turfoorlogen binnen de Chinese overheid. In de loop van de tijd veranderde het streven van het ministerie naar een enkelvoudig, verenigd systeem in twee afzonderlijke operaties: een bewakings- en databasesysteem, gewijd aan het verzamelen en opslaan van informatie, en het sociale kredietsysteem, waaraan zo'n 40 overheidsdiensten deelnemen. Wanneer mensen herhaaldelijk dingen die niet zijn toegestaan ​​- van jaywalking tot zakelijke corruptie - hun sociale kredietscore daalt en ze kunnen worden geblokkeerd voor zaken als het kopen van trein- en vliegtickets of het aanvragen van een hypotheek.


In hetzelfde jaar dat het ministerie van Openbare Veiligheid het Gouden Schild aankondigde, ging Hong Yanqing naar de politieuniversiteit van het ministerie in Peking. Maar na zeven jaar training en het behalen van zijn bachelor- en masterdiploma, begon Hong te twijfelen of hij politieagent zou worden. In plaats daarvan solliciteerde hij om in het buitenland te gaan studeren. In het najaar van 2007 was hij naar Nederland verhuisd om te beginnen met een doctoraat in internationaal mensenrechtenrecht, goedgekeurd en gesubsidieerd door de Chinese overheid.

De volgende vier jaar maakte hij zich door zijn promotieonderzoek en een reeks stages bij internationale organisaties vertrouwd met de westerse rechtspraktijk. Hij werkte bij de Internationale Arbeidsorganisatie aan de wereldwijde wetgeving inzake discriminatie op de werkplek en de Wereldgezondheidsorganisatie aan verkeersveiligheid in China. Het is een erg legalistische cultuur in het Westen - dat valt me ​​echt op. Mensen lijken veel naar de rechter te stappen, zegt hij. Voor mensenrechtenwetgeving gaan de meeste leerboeken bijvoorbeeld over de belangrijke rechtszaken die mensenrechtenkwesties oplossen.

Hong vond dit vreemd inefficiënt. Hij zag een gang naar de rechter als een laatste redmiddel om de tekortkomingen van de wet op te lossen, niet als een van de belangrijkste instrumenten om deze in de eerste plaats vast te stellen. Wetgeving die uitgebreider en met meer voorbedachte rade werd opgesteld, zou volgens hem betere resultaten opleveren dan een systeem dat door een lukrake opeenhoping van jurisprudentie in elkaar werd gestoken, zoals in de VS.

Na zijn afstuderen nam hij deze ideeën in 2012 mee naar Peking, aan de vooravond van Xi Jinpings benoeming tot president. Hong werkte bij het VN-ontwikkelingsprogramma en vervolgens als journalist voor de People's Daily, de grootste krant in China, die eigendom is van de overheid.

Xi begon de reikwijdte van de overheidscensuur snel uit te breiden. Invloedrijke commentatoren, of Big Vs - genoemd naar hun geverifieerde accounts op sociale media - waren comfortabel geworden met het bekritiseren en belachelijk maken van de Chinese Communistische Partij. In het najaar van 2013 arresteerde de partij honderden microbloggers voor wat zij omschreef als kwaadaardige geruchtenmakerij en paradeerde een bijzonder invloedrijke op de nationale televisie om een ​​voorbeeld van hem te maken.

Het moment markeerde het begin van een nieuw tijdperk van censuur. Het jaar daarop werd de Cyberspace Administration of China opgericht. De nieuwe centrale instantie was verantwoordelijk voor alles wat met internetregulering te maken had, inclusief nationale veiligheid, media- en spraakcensuur en gegevensbescherming. Hong verliet de People's Daily en trad toe tot de afdeling internationale zaken van het bureau. Hij vertegenwoordigde het bij de VN en andere mondiale instanties en werkte aan samenwerking op het gebied van cyberbeveiliging met andere regeringen.

In juli 2015 had de Cyberspace Administration een ontwerp van haar eerste wet vrijgegeven. De cyberbeveiligingswet, die in juni 2017 van kracht werd, vereiste dat bedrijven toestemming van mensen moesten krijgen om hun persoonlijke informatie te verzamelen. Tegelijkertijd verscherpte het de internetcensuur door anonieme gebruikers te verbieden - een bepaling die wordt afgedwongen door regelmatige overheidsinspecties van gegevens van internetserviceproviders.

In het voorjaar van 2016 probeerde Hong terug te keren naar de academische wereld, maar het bureau vroeg hem te blijven. De cyberbeveiligingswet had de regulering van de bescherming van persoonsgegevens met opzet vaag gelaten, maar inbreuken op consumentengegevens en diefstal hadden ondraaglijke niveaus bereikt. Uit een onderzoek van de Internet Society of China uit 2016 bleek dat 84% van de ondervraagden enige lekkage had opgelopen van hun gegevens, waaronder telefoonnummers, adressen en bankrekeninggegevens. Dit leidde tot een groeiend wantrouwen jegens digitale dienstverleners die toegang nodig hadden tot persoonlijke informatie, zoals taxiritten, voedselbezorging en financiële apps. Xu Yuyu's dood goot olie op de vlammen.

De regering vreesde dat dergelijke sentimenten de deelname aan de digitale economie zouden verzwakken, die een centraal onderdeel was geworden van haar strategie om de vertragende economische groei van het land te ondersteunen. De komst van de AVG deed de regering ook beseffen dat Chinese techreuzen aan wereldwijde privacynormen zouden moeten voldoen om naar het buitenland uit te breiden.

Hong kreeg de leiding over een nieuwe taskforce die een Personal Information Protection Specification (PIPS) zou schrijven om deze uitdagingen op te lossen. Het document, hoewel niet bindend, zou bedrijven vertellen hoe regelgevers de cyberbeveiligingswet wilden implementeren. De regering hoopte daarbij dat ze hen zou aansporen om zelf nieuwe normen voor gegevensbescherming aan te nemen.


De taskforce van Hong begon met het vertalen van elk relevant document dat ze konden vinden in het Chinees. Ze vertaalden de privacyrichtlijnen die zijn opgesteld door de Organisatie voor Economische Samenwerking en Ontwikkeling en door haar tegenhanger, de Asia-Pacific Economic Cooperation; zij vertaalden de AVG en de California Consumer Privacy Act. Ze vertaalden zelfs de 2012 White House Consumer Privacy Bill of Rights, geïntroduceerd door de regering-Obama, maar nooit in wet omgezet. Ondertussen had Hong regelmatig ontmoetingen met Europese en Amerikaanse toezichthouders en wetenschappers op het gebied van gegevensbescherming.

Stukje bij beetje kwam uit de documenten en consultaties een algemene keuze naar voren. Mensen zeiden heel simplistisch: 'We hebben een Europees model en het Amerikaanse model', herinnert Hong zich. De twee benaderingen verschilden aanzienlijk in filosofie en uitvoering. Welke te volgen werd het eerste debat van de taskforce.

De kern van het Europese model is het idee dat mensen een fundamenteel recht hebben op bescherming van hun gegevens. De AVG legt de bewijslast bij gegevensverzamelaars, zoals bedrijven, om aan te tonen waarom ze de gegevens nodig hebben. Daarentegen geeft het Amerikaanse model de industrie voorrang boven consumenten. Bedrijven bepalen zelf wat redelijke gegevensverzameling is; consumenten kunnen alleen kiezen of ze dat bedrijf willen gebruiken. De wetten inzake gegevensbescherming zijn ook veel fragmentarischer dan in Europa, verdeeld over sectorale regelgevers en specifieke staten.

Een medewerker voor epidemische controle controleert de temperaturen van mensen die in de rij wachten om te worden getest op covid-19 in het Xicheng-district in het centrum van Peking.

KEVIN FRAYER/GETTY IMAGES

In die tijd, zonder een centrale wet of enkele instantie die verantwoordelijk was voor gegevensbescherming, leek het Chinese model meer op het Amerikaanse. De taskforce vond de Europese aanpak echter overtuigend. De Europese regelstructuur, het hele systeem, is duidelijker, zegt Hong.

Maar de meeste leden van de taskforce waren vertegenwoordigers van Chinese techreuzen, zoals Baidu, Alibaba en Huawei, en ze vonden dat de AVG te beperkend was. Dus namen ze de grote lijnen over - inclusief de limieten voor gegevensverzameling en de vereisten voor gegevensopslag en gegevensverwijdering - en versoepelden ze vervolgens een deel van de taal. Het AVG-principe van dataminimalisatie houdt bijvoorbeeld in dat alleen noodzakelijke gegevens mogen worden verzameld in ruil voor een dienst. PIPS biedt ruimte voor andere gegevensverzameling die relevant is voor de geleverde dienst.

PIPS werd van kracht in mei 2018, dezelfde maand dat de AVG uiteindelijk van kracht werd. Maar toen Chinese functionarissen de Amerikaanse onrust over het Facebook- en Cambridge Analytica-schandaal zagen, realiseerden ze zich dat een niet-bindende overeenkomst niet voldoende zou zijn. De cyberbeveiligingswet had geen sterk mechanisme om gegevensbescherming af te dwingen. Regelgevers konden overtreders alleen boetes opleggen tot 1.000.000 yuan ($ 140.000), een onbeduidend bedrag voor grote bedrijven. Kort daarna stemde het Nationale Volkscongres, het hoogste wetgevende orgaan van China, om te beginnen met het opstellen van een wet op de bescherming van persoonsgegevens binnen de huidige wetgevingsperiode van vijf jaar, die eindigt in 2023. Het zou de bepalingen inzake gegevensbescherming versterken, strengere straffen voorzien en mogelijk een nieuwe handhavingsinstantie oprichten.

Na Cambridge Analytica, zegt Hong, begreep de overheidsinstantie: 'Oké, als je die privacyregels niet echt implementeert of handhaaft, kun je een groot schandaal krijgen, zelfs politieke zaken.'


Het lokale politieonderzoek naar de dood van Xu Yuyu identificeerde uiteindelijk de oplichters die haar hadden gebeld. Het was een bende van zeven die vele andere slachtoffers van meer dan 560.000 yuan had bedrogen met illegaal verkregen persoonlijke informatie. De rechtbank oordeelde dat de dood van Xu een direct gevolg was van de stress van het verlies van het spaargeld van haar familie. Vanwege dit, en zijn rol bij het orkestreren van tienduizenden andere telefoontjes, werd de leider, Chen Wenhui, 22, veroordeeld tot levenslang in de gevangenis. De anderen kregen straffen tussen de drie en vijftien jaar.

xu yuyu

Aangemoedigd begonnen Chinese media en consumenten openlijker kritiek te uiten op privacyschendingen. In maart 2018 wekte Robin Li, de CEO van internetzoekgigant Baidu, verontwaardiging op de sociale media nadat hij had gesuggereerd dat Chinese consumenten bereid waren privacy in te ruilen voor veiligheid, gemak of efficiëntie. Onzin, schreef een gebruiker van sociale media, later geciteerd door de People's Daily. Het is nauwkeuriger om te zeggen dat [het] onmogelijk is om [onze privacy] effectief te verdedigen.

Eind oktober 2019 uitten gebruikers van sociale media opnieuw hun woede nadat er foto's begonnen te circuleren van leerlingen van een school die hersengolven met hoofdbanden droegen, zogenaamd om hun focus en leren te verbeteren. De lokale onderwijsautoriteit kwam uiteindelijk tussenbeide en vertelde de school om te stoppen met het gebruik van de hoofdbanden omdat ze de privacy van de studenten schendden. Een week later klaagde een Chinese professor in de rechten een dierentuin in Hangzhou aan voor het vervangen van het op vingerafdrukken gebaseerde invoersysteem door gezichtsherkenning.

Maar de groeiende gevoeligheid van het publiek voor inbreuken op de privacy van consumenten heeft niet geleid tot veel beperkingen op het staatstoezicht, en zelfs niet tot veel controle ervan. Zoals Maya Wang, een onderzoeker bij Human Rights Watch, aangeeft, komt dit gedeeltelijk omdat de meeste Chinese burgers de omvang of reikwijdte van de overheidsactiviteiten niet kennen. In China zijn er, net als in de VS en Europa, brede openbare en nationale veiligheidsuitzonderingen op gegevensprivacywetten. Zo stelt de Cybersecuritywet de overheid in staat om gegevens op te vragen van private actoren om te helpen bij strafrechtelijke onderzoeken. Het ministerie van Openbare Veiligheid verzamelt ook rechtstreeks enorme hoeveelheden gegevens over individuen. Als gevolg hiervan kan de gegevensprivacy in de industrie worden versterkt zonder de toegang van de staat tot informatie aanzienlijk te beperken.

Het begin van de pandemie heeft dit ongemakkelijke evenwicht echter verstoord.


Op 11 februari bracht Ant Financial, een financiële technologiegigant met hoofdkantoor in Hangzhou, een stad ten zuidwesten van Shanghai, een app-bouwplatform uit met de naam AliPay Health Code. Diezelfde dag bracht de regering van Hangzhou een app uit die ze met het platform had gebouwd. De Hangzhou-app vroeg mensen om zelf hun reis- en gezondheidsinformatie te rapporteren en gaf ze vervolgens een kleurcode van rood, geel of groen. Plots moesten de 10 miljoen inwoners van Hangzhou allemaal een groene code tonen om de metro te nemen, boodschappen te doen of een winkelcentrum binnen te gaan. Binnen een week hadden lokale overheden in meer dan 100 steden de AliPay Health Code gebruikt om hun eigen apps te ontwikkelen. Rivaliserende techgigant Tencent volgde snel met een eigen platform om ze te bouwen.

De apps maakten een zorgwekkend niveau van staatstoezicht zichtbaar en leidden tot een nieuwe golf van publiek debat. In maart voerde Hu Yong, een professor journalistiek aan de Universiteit van Peking en een invloedrijke blogger op Weibo, aan dat de verzameling van pandemische gegevens door de regering een grens had overschreden. Het had niet alleen geleid tot gevallen waarin informatie werd gestolen, schreef hij, maar het had ook de deur geopend voor het gebruik van dergelijke gegevens buiten het oorspronkelijke doel. Heeft de geschiedenis ooit aangetoond dat als de overheid eenmaal bewakingsinstrumenten heeft, ze bescheiden en voorzichtig zal zijn bij het gebruik ervan? hij vroeg.

Heeft de geschiedenis ooit aangetoond dat als de overheid eenmaal bewakingsinstrumenten heeft, ze bescheiden en voorzichtig zal zijn bij het gebruik ervan?'

Eind mei onthulden uitgelekte documenten inderdaad plannen van de regering van Hangzhou om een ​​meer permanente gezondheidscode-app te maken die burgers zou scoren op gedrag als sporten, roken en slapen. Na een publieke verontwaardiging annuleerden stadsfunctionarissen het project. Dat door de staat gerunde media ook verhalen hadden gepubliceerd waarin de app werd bekritiseerd, hielp waarschijnlijk.

Het debat vond al snel zijn weg naar de centrale overheid. Die maand kondigde het Nationale Volkscongres aan dat het van plan was de wet op de bescherming van persoonsgegevens te versnellen. De omvang van de gegevens die tijdens de pandemie zijn verzameld, had een sterke handhaving urgenter gemaakt, zeiden afgevaardigden, en benadrukten de noodzaak om de reikwijdte van de procedures voor gegevensverzameling en gegevensverwijdering van de overheid tijdens speciale noodsituaties te verduidelijken. In juli had de wetgevende instantie een nieuw strikt goedkeuringsproces voorgesteld dat overheidsinstanties moeten ondergaan voordat ze gegevens van platforms uit de particuliere sector verzamelen. De taal blijft opnieuw vaag, om later te worden uitgewerkt - misschien via een ander niet-bindend document - maar deze stap zou een stap kunnen zijn in de richting van het beperken van de brede reikwijdte van bestaande vrijstellingen van de overheid voor nationale veiligheid, schreven Sacks en mede-Chinese geleerden in New America.

Hong is ook van mening dat de discrepantie tussen de regels voor het verzamelen van gegevens door de industrie en de overheid niet zal duren, en dat de overheid binnenkort haar eigen reikwijdte zal gaan beperken. We kunnen niet zomaar de ene acteur aanspreken en de andere buiten beschouwing laten, zegt hij. Dat zou geen erg wetenschappelijke benadering zijn.

Andere waarnemers zijn het daar niet mee eens. De regering zou gemakkelijk oppervlakkige inspanningen kunnen leveren om de publieke weerslag tegen het verzamelen van zichtbare gegevens aan te pakken zonder echt de kern van de nationale operaties van het ministerie van Openbare Veiligheid te raken, zegt Wang van Human Rights Watch. Ze voegt eraan toe dat wetten waarschijnlijk ongelijk zouden worden gehandhaafd: in Xinjiang hebben Turkse moslims geen enkele zeggenschap over hoe ze worden behandeld.

Toch blijft Hong een optimist. In juli begon hij als docent rechten aan de Universiteit van Peking en houdt hij nu een blog bij over cyberbeveiliging en datakwesties. Maandelijks ontmoet hij een ontluikende gemeenschap van gegevensbeschermingsfunctionarissen in China, die nauwlettend volgen hoe gegevensbeheer over de hele wereld evolueert.

Bijwerken: Er zijn aanvullende citaten aan het stuk toegevoegd.

zich verstoppen