uredi› krajšaj› T:165 M:354 Z: [×]

V zakulisju presenetljivih kitajskih prizadevanj za varovanje zasebnosti podatkov

Šu Juju je sredi leta 2016 dobila klic, ki naj bi ji spremenil življenje. Z rezultati sprejemnega izpita za fakulteto si je priborila vpis na oddelek za angleščino na univerzi za pošto in telekomunikacije v Nandžingu, so ji povedali po telefonu.

Tate Ryan-Mosley, MIT Technology Review

Šu je živela v mestu Linji v Šandongu, obalni kitajski provinci jugovzhodno od Pekinga. Izvirala je iz revne družine, ki je bila odvisna od očetove skromne plače. A starši so skrbno varčevali za njeno šolnino – zelo malo njenih sorodnikov je šlo študirat.

Nekaj dni pozneje so Šu spet poklicali in ji povedali, da je dobila tudi štipendijo. Za nakazilo 2.600 juanov (370 dolarjev) bi morala najprej na svoj študentski račun položiti 9.900 juanov »aktivacijske takse«. Ker je za finančno podporo nekaj dni prej res zaprosila, je denar nakazala na številko, ki ji jo je povedal klicatelj. Tisti večer je družina nato odhitela na policijo prijavit, da so jo ogoljufali. Šujin oče je pozneje povedal, da najbolj obžaluje trenutek, ko je policista vprašal, ali bodo še kdaj videli svoj denar. Odgovor, da najverjetneje ne, je Šu le pahnil v še večji obup. Na poti domov je doživela infarkt in dva dneva pozneje je v bolnišnici umrla.

Med preiskavo so ugotovili, da je bil prvi klic pristen, drugega pa je opravil goljuf, ki je hekerju plačal za Šujino številno, status vpisa in podatke iz prošnje za finančno podporo.

Kitajski porabniki so že kar vajeni, da kradejo njihove osebne podatke. Šu je zato postala njihova ikona. Njena smrt je sprožila vsedržavne pozive za večjo varnost zasebnosti. Le nekaj mesecev prej je Evropska unija sprejela splošno uredbo o varstvu podatkov (GDPR), s katero naj bi državljani evropskih držav dobili nadzor nad uporabo svojih osebnih podatkov. Takrat je Donald Trump ravno jurišal na zmago na predsedniških volitvah, volivce pa je med drugim podžigal tudi s kampanjo, ki je v veliki meri temeljila na podatkih o volivcih. Med temi so bile tudi podrobnosti o 87 milijonih uporabniških računov na Facebooku, do katerih se je protizakonito dokopalo svetovalno podjetje Cambridge Analytica. Kitajski zakonodajalci in pravni strokovnjaki so podrobno spremljali to dogajanje.

Na Zahodu prevladuje prepričanje, da niti kitajski vladi niti samim prebivalcem ni mar za zasebnost. Ameriški tehnološki velikani to domnevno brezbrižnost izrabljajo kot argument, da bi z nadležnimi zakoni o zasebnosti kitajski tekmeci imeli tržno prednost pred njimi. Facebookov direktor Mark Zuckerberg je v svojem pričevanju pred senatom leta 2018 po škandalu zaradi Cambridge Analytica pristojne prosil, naj ne nastopijo prestrogo proti tehnologijam, kot je prepoznava obraza. »Kljub vsemu moramo poskrbeti, da bodo ameriška podjetja lahko inovativna tudi na tem področju,« je poudaril, »ali pa bomo zaostali za kitajskimi in drugimi tekmeci po svetu.«

Zgled je Evropa

V resnici je to mnenje o kitajskem odnosu do zasebnosti zastarelo. V zadnjih nekaj letih je kitajska vlada, ki bi rada okrepila zaupanje porabnikov v digitalno gospodarstvo in njihovo sodelovanje v njem, uvedla varovalke zasebnosti, ki v marsikaterem oziru spominjajo na te, ki jih danes poznamo v Evropi in Združenih državah Amerike.

A čeprav je država poskrbela za učinkovitejše varovanje zasebnosti, je hkrati okrepila svoj nadzor. Z vzorci DNK in drugimi biometričnimi metodami, kot sta prepoznava obraza in prstnih odtisov, nadzoruje državljane po vsej državi. Cenzuro na internetu je še zaostrila in uvedla sistem »družbenega ugleda«, po katerem kaznuje vedenjske vzorce, ki po mnenju oblasti slabijo družbeno stabilnost. Med pandemijo je začela uporabljati sistem aplikacij »zdravstvenega koda«, s katerim je določala, kdo sme potovati, in sicer na podlagi ocene tveganja za prenašanje koronavirusa. Poleg tega pri neusmiljenem zatiranju muslimanskih Ujgurov v severozahodni provinci Sinkiang uporablja vrsto invazivnih nadzornih tehnologij.

To protislovje postaja osrednja lastnost kitajske porajajoče se ureditve pri zasebnosti podatkov. Ob njem se postavlja vprašanje, ali sistem lahko obstane, če ima močne varovalke za ohranjanje zasebnosti porabnikov, a skoraj nobene proti vohljanju vlade. Odgovor ni relevanten le za Kitajsko. Tamkajšnja tehnološka podjetja povečujejo svoj globalni odtis in zakonodajalci po vsem svetu spremljajo njeno politiko.

November 2000 upravičeno pomeni rojstvo sodobne kitajske države nadzora. Takrat je ministrstvo za javno varnost, vladna agencija, ki nadzoruje vsakodnevno upoštevanje zakonov, na strokovnem sejmu v Pekingu napovedalo nov projekt. Agencija je predvidela centraliziran državni sistem, ki bi povezoval tako fizični nadzor kot digitalnega ob uporabi najnovejše tehnologije. Poimenovali so ga zlati ščit.

Zahodna podjetja, vključno z ameriškim konglomeratom Cisco, s finskim telekomunikacijskim velikanom Nokia in kanadsko družbo Nortel Networks, so želela izkoristiti poslovno priložnost in so zato z agencijo sodelovala pri različnih fazah projekta. Pomagala so sestaviti državno podatkovno banko za shranjevanje podatkov o vseh kitajskih odraslih in razvila zapleten sistem nadzora nad internetnim podatkovnim tokom – iz tega je potem nastal veliki požarni zid. Veliko uporabljene opreme je že bilo standardizirane za lažje nadzorovanje v ZDA, kar je posledica zakona o komunikacijski podpori kazenskemu pregonu iz leta 1994.

Kljub standardizirani opremi so projekt Zlati ščit zavirali omejen dostop do podatkov in interni boji za premoč v kitajski vladi. Sčasoma so se prizadevanja ministrstva za enoten sistem izkristalizirala v dva ločena projekta: sistem nadzora in podatkovna zbirka, posvečena zbiranju in shranjevanju podatkov, ter tako imenovani sistem družbenega ugleda, pri katerem sodeluje okoli 40 vladnih oddelkov. Če ljudje ponavljajo vzorce, ki niso dovoljeni – od prečkanja ceste zunaj prehoda do korupcije v poslu –, njihova ocena družbenega ugleda upade in jim je mogoče prepovedati, na primer, nakup letalske karte ali vozovnice za vlak pa tudi vlogo za posojilo.

Isto leto, kot je ministrstvo za javno varnost napovedalo projekt Zlati ščit, se je na policijsko fakulteto ministrstva v Pekingu vpisal Hong Jančing. Po sedmih letih usposabljanja, ko je pridobil tudi magistrski naziv, je Hong dobil pomisleke o policijskem poklicu. Zaprosil je za študij v tujini. Jeseni 2007 se je preselil na Nizozemsko in začel doktorski študij mednarodnih zakonov o človekovih pravicah. Študij mu je dovolila in ga delno tudi financirala kitajska vlada.

V naslednjih štirih letih se je med raziskovalnim delom in vrsto pripravništev v mednarodnih organizacijah seznanil z zahodnim pravnim sistemom. V Mednarodni delavski organizaciji se je ukvarjal z globalnim zakonom o diskriminaciji na delovnem mestu, v Svetovni zdravstveni organizaciji pa s prometno varnostjo na Kitajskem. »Na zahodu vlada izrazito legalistična kultura – to me je res osupnilo. Ljudje veliko hodijo na sodišče,« je povedal. »Denimo v večini učbenikov v zvezi z zakoni o človekovih pravicah razlagajo o pomembnih sodnih primerih zaradi kršenja človekovih pravic.«

A Hong se je vsemu temu čudil, saj se mu ni zdelo učinkovito. Zanj je sodišče zadnji izhod, da se pokrpa nezadostnost zakonov, ne pa temeljno orodje za njihovo uveljavljanje. Zakonodaja, ki bi bila temeljitejša in bolje premišljena, bi po njegovem prepričanju lahko dosegla primernejše rezultate kot sistem, sestavljen iz naključnega nabora sodne prakse, kot to velja za ZDA.

Po doktoratu je leta 2012 te ideje odnesel nazaj v Peking, in sicer tik pred vzponom Ši Džinpinga na predsedniški položaj. Hong je delal za razvojni program OZN in nato kot novinar za People's Daily, največji časnik na Kitajskem v lasti države.

Cenzura se krepi

Ši je hitro začel širiti vladno cenzuro. Vplivni komentatorji, znani po svojih preverjenih prispevkih na družbenih omrežjih, so vse bolj sproščeno grajali kitajsko komunistično stranko in se norčevali iz nje. Jeseni 2013 pa je stranka aretirala na stotine malih blogerjev zaradi zlonamernega širjenja govoric, enega najvplivnejših pa razkazovala tudi po državni televiziji kot svarilo drugim.

Ti dogodki so napovedali začetek novega obdobja cenzure. Naslednje leto so ustanovili kitajsko kibernetično administracijo – novo centralno vladno agencijo, odgovorno za vse, kar je povezano z zakonsko ureditvijo interneta, vključno z državno varnostjo, mediji ter s cenzuro govora in z varovanjem podatkov. Hong je zapustil časopis in se pridružil oddelku za mednarodne zadeve v okviru te agencije. Zastopal ga je v OZN in drugih mednarodnih telesih ter z drugimi državami sodeloval pri vzpostavljanju kibernetične varnosti.

Julija 2015 je kibernetična administracija predstavila osnutek svojega prvega zakona. Kibernetični zakon, ki je začel veljati junija 2017, je predpisoval, da morajo podjetja pridobiti dovoljenje ljudi za zbiranje njihovih osebnih podatkov. Hkrati je okrepila internetno cenzuro in prepovedala anonimne uporabnike – ta člen so uveljavljali z rednimi uradnimi pregledi podatkov pri ponudnikih internetnih storitev.

Spomladi 2016 je Hong želel nadaljevati akademsko kariero, a so ga v agenciji prosili, naj ostane. Zakon o kibernetični varnosti je namreč preohlapno urejal varovanje zasebnih podatkov, njihova kraja in kršitve so dosegle nevzdržne razsežnosti. Raziskava Internetnega društva Kitajske iz leta 2016 je pokazala, da je 84 odstotkov vprašanih doživelo zlorabo svojih podatkov, vključno s telefonsko številko, z naslovom in s podatki o bančnem računu. Vse to je poglobilo nezaupanje do ponudnikov digitalnih storitev, ki so zahtevali dostop do osebnih podatkov, recimo dostavljavci hrane, finančne aplikacije in ponudniki taksi prevozov. Smrt Šu Juju je le še prilila olja na ogenj.

Vlado je skrbelo, da bi takšno vzdušje lahko okrnilo sodelovanje v digitalnem gospodarstvu, ki je osrednji del njene strategije za spodbujanje gospodarske rasti. Ob sprejetju splošne uredbe o varstvu podatkov se je vlada tudi zavedela, da bodo kitajski tehnološki velikani morali sprejeti mednarodna načela o zasebnosti, če se bodo hoteli širiti v tujini.

Honga so zadolžili za vodenje nove posebne ekipe, ki bi ta vprašanja razrešila s pripravo specifikacije o varovanju zasebnosti (Personal Information Protection Specification – PIPS). Dokument naj sicer ne bi bil zavezujoč in bi podjetjem nakazal, kako so oblasti nameravale uresničevati zakon o kibernetični varnosti. Upale so, da bo to dodatna spodbuda in bodo sama od sebe sprejela nova merila za varovanje podatkov.

Hongova ekipa je začela prevajati vse mogoče dokumente, povezane z zadevo, v kitajščino. Prevedli so smernice o zasebnosti, ki sta jih objavili Organizacija za gospodarsko sodelovanje in razvoj ter njena sorodna organizacija za azijsko tihomorsko gospodarsko sodelovanje. Prevedli so tudi evropsko uredbo GDPR in kalifornijski zakon o zasebnosti porabnikov. Med prevodi se je znašel celo osnutek zakona o pravicah porabnikov do zasebnosti, ki ga je leta 2012 pripravila Obamova administracija, vendar nikoli ni bil potrjen. Hong se je redno sestajal s pristojnimi za zakone za varovanje podatkov v Evropi in ZDA ter s strokovnjaki.

Iz vseh prevedenih dokumentov in na podlagi posvetov se je korak za korakom izluščila splošna smer. »Ljudje so preprosto povedano ugotovili, da obstajata dva modela, ameriški in evropski. Pristopa sta se precej razlikovala tako po filozofiji kot po uresničevanju v praksi, in odločitev, kateremu slediti, je postala osrednja tema razprav med člani ekipe,« se spominja Hong.

GDPR je preveč omejujoč

Bistvo evropskega modela je načelo, da imajo ljudje temeljno pravico do varovanja svojih podatkov. Uredba GDPR breme utemeljevanja, zakaj potrebujejo podatke, nalaga zbirateljem podatkov, kot so podjetja. Nasprotno pa ameriški model privilegira industrijo, ne uporabnikov. Podjetja sama določijo, kaj zanje pomeni razumno zbiranje podatkov, porabniki lahko izbirajo le, ali se s tem strinjajo in bodo sodelovali s podjetjem. Zakoni o varovanju podatkov so tudi neprimerno bolj razdrobljeni kot v Evropi in razdeljeni po sektorjih, odvisni pa so tudi od posamezne zvezne države.

Kitajski model je takrat, ker ni obstajal krovni zakon ali posebna agencija, zadolžena za varovanje podatkov, bolj spominjal na ameriškega. Hongova ekipa pa je ugotovila, da je evropski pristop boljši. »Ustroj evropskih predpisov in sistem kot celota sta jasnejša,« je komentiral Hong.

A večino članov ekipe so predstavljali zaposleni v kitajskih tehnoloških velikanih, kot so Baidu, Alibaba in Huawei, in njim se je evropska uredba zdela preveč omejevalna, zato so sprejeli njena splošna načela, vključno z omejitvami pri zbiranju podatkov in zahtevami za njihovo shranjevanje ter brisanje, vendar so besedilo omilili. Načelo o minimizaciji, na primer, pravi, da se sme zbirati le nujne podatke v zamenjavo za storitev. Kitajska uredba omogoča manevrski prostor za zbiranje še drugih podatkov, koristnih za ponudnika storitev.

Kitajske specifikacije PIPS so začele veljati maja 2018, istega meseca kot evropska uredba. A ob spremljanju ameriških zapletov zaradi škandala s Facebookom in Cambridge Analytico so kitajski uradni predstavniki spoznali, da nezavezujoči sporazum ne bo dovolj. Zakon o kibernetični varnosti ni vključeval močnega mehanizma za dejansko uveljavljanje varovanja podatkov. Zakonodajalci so lahko le kaznovali kršitelje z do milijon juanov (140.000 dolarjev), kar je za velike družbe zanemarljiv znesek. Malo pozneje je kitajski parlament, nacionalni ljudski kongres, izglasoval, da se v okviru trenutnega petletnega zakonodajnega obdobja, ki se bo zaključilo 2023, začne pripravljati osnutek zakona o varovanju osebnih podatkov. Z njim bi zaostrili predpise o varovanju podatkov, določili strožje kazni in po potrebi ustanovili novo agencijo za nadzor nad izvajanjem teh zakonov.

Po direndaju zaradi Cambridge Analytice »je vladni agenciji postalo jasno, da lahko pride do hudega škandala, ki bi utegnil vplivati tudi na politične zadeve, če ne bi bilo poskrbljeno za resno upoštevanje predpisov o zasebnosti«, je povedal Hong.

Med policijsko preiskavo smrti Šu Juju so nazadnje le odkrili goljufe, ki so jo poklicali po telefonu. Šlo je za sedemčlansko tolpo, ki je z zlorabo zasebnih podatkov ogoljufala tudi številne druge žrtve za več kot 560.000 juanov. Sodišče je razsodilo, da je Šujina smrt neposredna posledica stresa, ker je zapravila družinske prihranke. Dvaindvajsetletnega Čena Venhvija so zaradi tega in njegove glavne vloge pri nekaj deset tisoč klicih obsodili na dosmrtno zaporno kazen, druge pa na zaporne kazni od treh do 15 let.

Kitajski mediji in porabniki so se ob tem opogumili in začeli bolj odkrito kritizirati kršitve zasebnosti. Marca 2018 je direktor velikega iskalnika Baidu, Robin Li, razbesnel uporabnike družbenih omrežij, potem ko je namignil, da so kitajski porabniki pripravljeni žrtvovati svojo zasebnost v imenu varnosti, udobja in učinkovitosti. »Traparija,« je napisal neki uporabnik, ki so ga potem navajali tudi v People's Dailyju. »Natančneje bi bilo reči, da je nemogoče učinkovito braniti svoje zasebnosti.«

Konec lanskega oktobra so uporabniki družbenih omrežij spet izrazili svoje nezadovoljstvo, ko so začele krožiti fotografije študentov z naglavnimi trakovi, ki so merili možganske valove, s čimer naj bi se domnevno izboljšali njihova koncentracija in zmožnost učenja. Potem se je vendarle zganila lokalna izobraževalna oblast in šoli prepovedala uporabo teh trakov, ker kršijo zasebnost dijakov. Teden dni pozneje je kitajski predavatelj prava tožil živalski vrt Hangčou, ker je svoj sistem na prstni odtis, ki ga je uporabljal za vstop, zamenjal s prepoznavo obraza, saj živalski vrt naj ne bi pridobil soglasja za shranjevanje njegove fotografije.

A kljub večji občutljivosti javnosti na kršenje zasebnosti porabnikov to ni pripomoglo k omejevanju državnega nadzora oziroma k njegovemu preverjanju. Kot poudarja Maya Wang, raziskovalka pri organizaciji Human Rights Watch, je to delno posledica neobveščenosti večine kitajskih državljanov, saj se sploh ne zavedajo stopnje in obsega poseganja vlade v njihovo zasebnost. Na Kitajskem, tako kot v ZDA in Evropi, je v zakonih o zasebnosti podatkov kar nekaj varnostnih izjem. Zakon o kibernetični varnosti vladi omogoča, da zaradi lažje kazenske preiskave od zasebnikov zahteva posredovanje podatkov. Ministrstvo za javno varnost prav tako neposredno zbira velike količine podatkov, zato bi zasebnost lahko bolje zavarovali brez pomembnega omejevanja države pri njenem dostopu do podatkov.

Začetek pandemije je zamajal že tako občutljivo ravnovesje.

Finančni tehnološki velikan Ant Financial s sedežem v Hangčouju, mestu jugozahodno od Šanghaja, je 11. februarja predstavil platformo za razvijanje aplikacij AliPay Health Code. Istega dne so mestne oblasti predstavile aplikacijo, izdelano prav na tej platformi, in sicer naj bi ljudje prek nje samoprijavljali podatke o svojih potovanjih in zdravju, nato pa bi dobili barvno kodo rdeče, rumene oziroma zelene stopnje. Deset milijonov meščanov je nenadoma moralo pokazati zeleno kodo, če so se želeli peljati s podzemno železnico, iti po nakupih in vstopiti v nakupovalno središče. V nekaj tednih so lokalne oblasti v več kot sto mestih na platformi AliPay Health Code razvile lastne aplikacije. Kmalu je sledil tudi veliki tekmec Tencent s svojo platformo za razvoj aplikacij.

Te aplikacije so razkrile skrb vzbujajočo raven državnega nadzora in sprožile nov val javnih razprav. Hu Jong, predavatelj novinarstva na pekinški univerzi in vplivni bloger na Weibo, je marca zapisal, da je uradno zbiranje podatkov o pandemiji prešlo vse meje. Ni prišlo le do primerov kraje podatkov, je zapisal, temveč se z njimi odpirajo vrata tudi do takšnih podatkov, ki jih potem lahko zlorabijo za namene, drugačne od tistih, zaradi katerih so jih shranili. »Je zgodovina že kdaj pokazala, da se država trudi za zmernost in skromnost pri uporabi orodij nadzora?« se je vprašal.

»Je zgodovina že kdaj pokazala, da se država trudi za zmernost in skromnost pri uporabi orodij nadzora?«

Konec maja so dokumenti, ki so pricurljali v javnost, dejansko razkrili načrte mestne vlade Hangčouja za razvoj dolgoročne aplikacije za zdravstveno kodo, s katero bi meščane ocenjevali po njihovih navadah, na primer vadbi, kajenju in spanju. Zaradi ogorčenja javnosti so uradniki načrt preklicali. Tu so vlogo verjetno odigrali tudi državni mediji, ki so objavljali kritične zgodbe o aplikaciji.

Razprava se je kmalu razširila tudi v državni vladi. Tisti mesec je kitajski ljudski kongres napovedal, da bo po hitrem postopku sprejel zakon o varovanju osebnih podatkov. Zaradi obsega med pandemijo zbranih podatkov je stroga zakonodaja postala še nujnejša, so povedali delegati, in zdaj je še pomembneje seznaniti javnost s tem, koliko podatkov zbira vlada v izrednih razmerah in po kakšnem postopku jih briše. Julija je zakonodajno telo predlagalo nov, strog postopek odobritve, preden oblasti lahko zahtevajo podatke od zasebnih platform. Ubeseditev je kljub vsemu ostala ohlapna in naj bi jo izpilili pozneje – morda z novim nezavezujočim dokumentom –, vendar bi ta poteza lahko pomenila korak naprej pri omejevanju širokega obsega trenutnih izjem v imenu državne javnosti, so zapisali kitajski strokovnjaki iz miselnega trusta New America s sedežem v Washingtonu.

Tudi Hong je prepričan, da se bo razkorak med predpisi o zbiranju podatkov za industrijo in tistimi za državo zmanjševal. Država bo kmalu začela omejevati samo sebe: »Ne moremo imeti predpisov za enega akterja, drugemu pa pustimo proste roke,« je rekel. »To tudi ne bi bil primeren strokovni pristop.«

Drugi opazovalci se ne strinjajo. Vlada bi z lahkoto le na videz reševala težave z zbiranjem podatkov, ne bi se lotila jedra delovanja ministrstva za javno varnost, je poudarila Wangova iz Human Rights Watch. Dodala je, da samo uresničevanje zakonov ne bo enako dosledno pri vseh: »V Sinkiangu turški muslimani nimajo niti najmanjšega vpliva na to, kako ravnajo z njimi.«

Kakorkoli že, Hong ostaja optimist. Julija je začel predavati pravo na pekinški univerzi in piše blog o kibernetični varnosti ter težavah z zbiranjem podatkov. Vsak mesec se sestaja z vse večjo skupnostjo kitajskih uradnikov, zadolženih za varovanje podatkov, ki skrbno spremljajo, kakšne so razmere glede tega po svetu.

Copyright Technology Review, distribucija Tribune Content Agency