top of page
  • תמונת הסופר/תעמוס איתן

פרטיות וסין - זה לא הולך ביחד... (חלק א')



ב-20 באוגוסט 2021 התעורר העולם לשחר של יום חדש - הקונגרס הסיני העביר חקיקה שנועדה להגן על הפרטיות! החוק - The Personal Information Protection Law ("PIPL") - כונה לא פעם ולא פעמייםלא שלוש פעמים) כה-GDPR של סין. "ימות המשיח הגיעו" - זעקו כותרות בעיתון - "המשטר הטוטליטרי הסיני התעורר והבין שזכויות אדם זה חשוב, ובראשן - הזכות לפרטיות".


האמנם?


הפוסט הזה הוא החלק הראשון מתוך סדרה של שני פוסטים. היום, בחלק הראשון, אני אציג בקצרה את ה-PIPL ואת ההוראות המרכזיות שמופיעות בו. אני אנסה גם להתווכח עם התפיסה הפופולרית לפיה ה-PIPL הוא המקבילה הסינית ל-GDPR, ואנסה להראות איך הוראות חוק ב-PIPL שהוצגו בעיקר כ"התאמות לתרבות הסינית" הופכות את ה-PIPL למשהו רחוק מאוד מה-GDPR. למעשה, כך אני טוען, ה-PIPL הוא לא חוק שמגן על הפרטיות, אלא הוא חוק שמעניק כלים למשטר הסיני לפיקוח ובקרה. בחלק השני אני אבקש להציג את ה-PIPL כחלק מתפיסה פוליטית רחבה יותר של סין והמפלגה הקומוניסטית הסינית. כדי לעשות את זה אני אעזר בספרו הנהדר של ניצן דוד פוקס (בעל הבלוג הנהדר - המשחק הגדול, מומלץ בחום!).


אז מה זה ה-PIPL בכלל? מדובר בחוק הגנת הפרטיות המרכזי של סין, והוא מהווה חלק ממארג חקיקתי שלם של המפלגה הקומוניסטית בסין שכולל גם את ה-Cyber Security Law (בתוקף מאז 2017) וגם את ה-Data Security Law (בתוקף מאז ספטמבר 2021). הטקסט המלא לא תורגם באופן רשמי לאנגלית (למיטבי ידיעתי - אף חקיקה סינית לא תורגמה בתרגום רשמי לאנגלית), אבל אפשר למצוא תרגומים לא רעים בכלל כאן וכאן. כדי לחסוך לכם את הקריאה, הנה כמה הוראות חוק מרכזיות מתוך ה-PIPL:


  1. סעיף 2 ל-PIPL קובע את ההוראה המרכזית של ההגנה על פרטיותם של אנשים ("The personal information of any natural person shall be protected by law"). נשמע מבטיח.

  2. סעיף 3 ל-PIPL קובע היכן חל ה-PIPL. מן הסתם, הוא חל בתוך סין. לצד זאת, בדומה ל-GDPR, החוק הזה חל גם מחוץ לסין על חברות שאינן-סיניות, אם החברות הללו מספקות מוצרים ושירותים בתוך סין או "מנתחות את ההתנהגות" של אנשים בתוך סין. ההוראות הללו, כאמור, דומות מאוד להוראות ה-GDPR, אבל כבר עכשיו אפשר למצוא את האינדיקציה הראשונה לשוני והיא מתבטאת בתוספת קטנה. התוספת הזאת קובעת שה-PIPL חל גם ב"נסיבות אחרות" שייקבעו בהמשך חקיקה. המשמעות היא שיש כאן פתח לרגולטורים הסינים להחליט שהוראות ה-PIPL חלות גם על חברות שהן לא סיניות, לא מספקות שירותים או מוצרים בסין, ולא מנתחות התנהגות של אזרחים סינים.

  3. נקפוץ לסעיף 13 ל-PIPL. הסעיף הזה קובע מתי אפשר לעבד מידע אישי של אנשים. למשל, כאשר יש הסכמה של האדם לכך שהמידע האישי שלו יעובד. בנוסף, מותר לעבד מידע אישי של אנשים גם כשעיבוד המידע הוא חלק מהוראות ההסכם שבין האדם לבין החברה (נניח, כאשר מבצעים רכישה של מוצר אונליין, ומספקים את פרטי האשראי, אפשר לטעון שהחברה מעבדת את פרטי האשראי לא רק על-בסיס הסכמה אלא גם כחלק מההסכם שבינה לבין האדם). כאשר משווים את סעיף 13 להוראות המקבילות ב-GDPR מתגלה הבדל חשוב נוסף: על-פי ה-GDPR, חברות יכולות לעבד מידע אישי אם יש להן "אינטרס עסקי לגיטימי" לעשות את זה. דוגמה קלאסית היא להריץ בדיקות אוטומטיות על המידע האישי כדי לגלות מקרים של הונאה כלפי החברה. עם זאת, לפי ה-PIPL, אין אפשרות לחברות לעבד מידע אישי על-בסיס של "אינטרס עסקי לגיטימי".

  4. נקפוץ לסעיף 40 ל-PIPL. הסעיף הזה קובע כי חברות מסוימות שמספקות שירותים חיוניים וכן חברות שמעבדות מידע אישי על מעל כמות מסוימת של אנשים (הכמות לא נקבעה בחוק) - מחויבים לעבד את המידע בתוך סין עצמה. הוראה דומה ניתן לראות גם ב-GDPR, ועסקנו בה בפוסט על מקס שרמס. עם זאת, הוראות כאלה בחקיקה קובעות לרוב מנגנונים שמאפשרים הוצאה של המידע מחוץ לטריטוריה. למשל, לפי ה-GDPR, האיחוד האירופי יכול לבדוק את דיני הגנת הפרטיות של מדינה מסוימת ולהחליט שהם מספקים הגנה ראויה לפרטיות של אזרחים אירופיים. עם זאת, ב-PIPL, המנגנונים שמאפשרים העברה של מידע מורכבים הרבה יותר, וכוללים ברובם אישור (פרטני או גורף) של משרד הסייבר הסיני.

  5. סעיף 71 ל-PIPL קובע סנקציות פליליות על הפרה של הוראות החוק (בניגוד ל-GDPR, שם אין סנקציות פליליות במקרים של הפרה).


יש הבדלים רבים נוספים בין ה-GDPR ל-PIPL, אבל אלה ההבדלים שנראים לי מרכזיים כדי לבסס את הטענה הבאה: המטרה של ה-GDPR והמטרה של ה-PIPL היא שונה. ה-GDPR הוא חוק קשוח. קשה מאוד לציית לכל ההוראות שלו, ויש אספקטים מסוימים בעולם העסקים שבהם ה-GDPR ממש מקשה ופוגע בפעילות. אבל, וזה אבל חשוב, ה-GDPR מושתת על בסיס תיאורטי של איזון בין פרטיות לבין זכויות ואינטרסים אחרים. כך למשל קובעת אחת הפסקאות הראשונות בדברי הפתיחה של ה-GDPR (הדגשתי כמה מילות מפתח):

"The processing of personal data should be designed to serve mankind. The right to the protection of personal data is not an absolute right; it must be considered in relation to its function in society and be balanced against other fundamental rights, in accordance with the principle of proportionality."

נכון, אלה רק דברי הפתיחה, ואין להם תוקף פורמלי כמו הוראות החוק עצמו. אבל, וגם זה אבל חשוב, העיקרון הזה שזור לאורך הוראותיו של ה-GDPR. כפי שאמרנו קודם, חברות יכולות לעבד מידע אישי אם יש להן אינטרס עסקי לגיטימי לעשות את זה, משמע שחברות רשאיות לערוך את הניתוח המשפטי בעצמן ולקבוע האם האינטרס העסקי שלהן הוא "לגיטימי" או לא. ה-PIPL לא מאפשר גמישות וחופש כאלה. לפי ה-GDPR, חברות לא חשופות לדין הפלילי אם הן הפרו את הוראות החוק. ה-PIPL חושף חברות, ובכירים בהן, לדין הפלילי. לפי ה-GDPR, חברות מחויבות אמנם לאחסן את המידע בתוך האיחוד האירופי, אבל יש להן גם דרכים פרקטיות, וללא פיקוח ממשלתי הדוק, שלא לעשות את זה. ה-PIPL מחייב פיקוח ממשלתי הדוק על כל הוצאה של מידע אל מחוץ לסין.


כל זה מלמד אותנו, לדעתי, שה-PIPL הוא לא מנגנון להגנה על זכותם לפרטיות של אזרחי סין, אלא הוא עוד אחד מאמצעי השליטה והבקרה של המשטר הסיני. בחלק הבא אני אנסה להוכיח את הטענה הזאת ולהראות שההבדלים בין ה-GDPR וה-PIPL הם לא הבדלי תרבות, אלא משרתים את האינטרסים של המפלגה הקומוניסטית הסינית.

Comments


bottom of page