Inuti Kinas oväntade strävan att skydda dataintegriteten

En ny integritetslagstiftning skulle likna Europas GDPR mycket – men kommer den att begränsa statlig övervakning? 19 augusti 2020 Hong

Stefan Chow





Sent på sommaren 2016 fick Xu Yuyu ett samtal som lovade att förändra hennes liv. Hennes poäng för antagningsprov, fick hon veta, hade vunnit hennes antagning till engelska avdelningen vid Nanjings universitet för post och telekommunikation. Xu bodde i staden Linyi i Shandong, en kustprovins i Kina, sydost om Peking. Hon kom från en fattig familj, enbart beroende av sin fars ringa inkomst. Men hennes föräldrar hade mödosamt sparat till hennes undervisning; mycket få av hennes släktingar hade någonsin gått på college.

Några dagar senare fick Xu ett nytt samtal om att hon också hade tilldelats ett stipendium. För att samla in de 2 600 yuan ($370) behövde hon först sätta in en aktiveringsavgift på 9 900 yuan på sitt universitetskonto. Efter att ha ansökt om ekonomiskt stöd bara några dagar innan, kopplade hon in pengarna till numret som uppringaren gav henne. Den natten rusade familjen till polisen för att rapportera att de hade blivit lurade. Xus far sa senare att hans största ånger var att fråga polisen om de fortfarande kunde få tillbaka sina pengar. Svaret – troligen inte – förvärrade bara Xus förödelse. På vägen hem fick hon en hjärtattack. Hon dog på sjukhus två dagar senare.

Frågan om teknonationalism

Den här historien var en del av vårt septembernummer 2020



  • Se resten av frågan
  • Prenumerera

En undersökning fastställde att även om det första samtalet var äkta, hade det andra kommit från bedragare som hade betalat en hackare för Xus nummer, antagningsstatus och begäran om ekonomiskt stöd.

För kinesiska konsumenter som är alltför bekanta med att få sin data stulen blev Xu ett emblem. Hennes död väckte ett nationellt ramaskri för bättre skydd av dataintegriteten. Bara månader innan hade EU antagit General Data Protection Regulation (GDPR), ett försök att ge europeiska medborgare kontroll över hur deras personuppgifter används. Under tiden var Donald Trump på väg att vinna det amerikanska presidentvalet, delvis underblåst av en kampanj som i stor utsträckning förlitade sig på väljardata. Dessa uppgifter inkluderade detaljer om 87 miljoner Facebook-konton, olagligt erhållna av konsultföretaget Cambridge Analytica. Kinesiska tillsynsmyndigheter och juridiska forskare följde dessa händelser noga.


I väst är det en allmän uppfattning att varken den kinesiska regeringen eller kineserna bryr sig om integritet. Amerikanska teknikjättar utövar denna förmodade likgiltighet för att hävda att betungande integritetslagar skulle sätta dem i en konkurrensnackdel för kinesiska företag. I sitt vittnesmål från senaten 2018 efter Cambridge Analytica-skandalen uppmanade Facebooks vd, Mark Zuckerberg, tillsynsmyndigheter att inte slå ner alltför hårt på teknologier som ansiktsigenkänning. Vi måste fortfarande göra det så att amerikanska företag kan förnya sig inom dessa områden, sa han, annars kommer vi att hamna efter kinesiska konkurrenter och andra runt om i världen.



I verkligheten är denna bild av kinesiska attityder till privatliv inaktuell. Under de senaste åren har den kinesiska regeringen, i syfte att stärka konsumenternas förtroende och deltagande i den digitala ekonomin, börjat implementera integritetsskydd som i många avseenden liknar dem i Amerika och Europa idag.

Trots att regeringen har stärkt konsumenternas integritet har den ökat statlig övervakning. Den använder DNA-prover och annan biometri, som ansikts- och fingeravtrycksigenkänning, för att övervaka medborgare i hela landet. Man har skärpt internetcensuren och utvecklat ett socialt kreditsystem, som straffar beteenden som myndigheterna säger försvagar den sociala stabiliteten. Under pandemin implementerade den ett system med hälsokodappar för att diktera vem som kunde resa, baserat på deras risk att bära på coronaviruset. Och den har använt en mängd invasiv övervakningsteknik i sitt hårda förtryck av muslimska uigurer i den nordvästra regionen Xinjiang.

Denna paradox har blivit ett avgörande inslag i Kinas framväxande datasekretessregim, säger Samm Sacks, en ledande Kinaforskare vid Yale och New America, en tankesmedja i Washington, DC. Det väcker en fråga: Kan ett system bestå med starka skydd för konsumenternas integritet, men nästan inget mot statlig snokning? Svaret påverkar inte bara Kina. Dess teknikföretag har ett alltmer globalt fotavtryck, och tillsynsmyndigheter runt om i världen övervakar dess politiska beslut.




November 2000 markerar utan tvekan födelsen av den moderna kinesiska övervakningsstaten. Den månaden tillkännagav ministeriet för allmän säkerhet, den statliga myndigheten som övervakar den dagliga brottsbekämpningen, ett nytt projekt på en mässa i Peking. Byrån föreställde sig ett centraliserat nationellt system som skulle integrera både fysisk och digital övervakning med den senaste tekniken. Den fick namnet Golden Shield.

Ivriga att tjäna pengar arbetade västerländska företag inklusive det amerikanska konglomeratet Cisco, finska telekomjätten Nokia och kanadensiska Nortel Networks med byrån på olika delar av projektet. De hjälpte till att konstruera en rikstäckande databas för att lagra information om alla kinesiska vuxna, och utvecklade ett sofistikerat system för att kontrollera informationsflödet på internet – det som så småningom skulle bli den stora brandväggen. Mycket av den inblandade utrustningen hade faktiskt redan standardiserats för att göra övervakningen enklare i USA – en konsekvens av Communications Assistance for Law Enforcement Act från 1994.

Den kinesiska regeringen har börjat implementera integritetsskydd som liknar dem i Amerika och Europa idag.



Trots den standardiserade utrustningen försvårades Golden Shield-projektet av datasilos och torvkrig inom den kinesiska regeringen. Med tiden övergick ministeriets strävan efter ett unikt, enhetligt system till två separata operationer: ett övervaknings- och databassystem, ägnat åt att samla in och lagra information, och det sociala kreditsystemet, som ett 40-tal statliga departement deltar i. När människor upprepade gånger gör det. saker som inte är tillåtna – från jaywalking till att engagera sig i affärskorruption – deras sociala kreditpoäng sjunker och de kan blockeras från saker som att köpa tåg- och flygbiljetter eller ansöka om ett bolån.


Samma år tillkännagav ministeriet för allmän säkerhet Golden Shield, gick Hong Yanqing in på ministeriets polisuniversitet i Peking. Men efter sju års träning, efter att ha tagit sina kandidat- och magisterexamen, började Hong få andra tankar om att bli polis. Han ansökte istället om att studera utomlands. Hösten 2007 hade han flyttat till Nederländerna för att påbörja en doktorsexamen i internationell lag om mänskliga rättigheter, godkänd och subventionerad av den kinesiska regeringen.

Under de kommande fyra åren bekantade han sig med västerländsk juridik genom sin doktorandforskning och en rad praktikplatser vid internationella organisationer. Han arbetade på Internationella arbetsorganisationen med global diskrimineringslagstiftning på arbetsplatser och Världshälsoorganisationen för trafiksäkerhet i Kina. Det är en väldigt legalistisk kultur i väst - det slår mig verkligen. Folk verkar gå till domstol mycket, säger han. Till exempel, för mänskliga rättigheter, handlar de flesta läroböckerna om de viktiga fall i domstol som löser frågor om mänskliga rättigheter.

Hong tyckte att detta var konstigt ineffektivt. Han såg att gå till domstol som en sista utväg för att korrigera lagens brister, inte ett huvudverktyg för att fastställa den i första hand. Lagstiftning som skapats mer heltäckande och med större eftertanke, trodde han, skulle uppnå bättre resultat än ett system som lappats ihop genom en slumpmässig ackumulering av rättspraxis, som i USA.

Efter examen bar han dessa idéer tillbaka till Peking 2012, på tröskeln till Xi Jinpings uppstigning till presidentposten. Hong arbetade på FN:s utvecklingsprogram och sedan som journalist för People's Daily, den största tidningen i Kina, som ägs av regeringen.

Xi började snabbt utöka omfattningen av regeringscensuren. Inflytelserika kommentatorer, eller Big Vs – uppkallade efter sina verifierade konton på sociala medier – hade blivit bekväma med att kritisera och förlöjliga det kinesiska kommunistpartiet. Hösten 2013 arresterade partiet hundratals mikrobloggare för vad det beskrev som skadlig ryktesspridning och paraderade en särskilt inflytelserik på nationell tv för att göra ett exempel av honom.

Ögonblicket markerade början på en ny era av censur. Året därpå grundades Cyberspace Administration of China. Den nya centrala myndigheten ansvarade för allt som rör internetreglering, inklusive nationell säkerhet, media- och talcensur och dataskydd. Hong lämnade People's Daily och gick med i byråns avdelning för internationella frågor. Han representerade det i FN och andra globala organ och arbetade med cybersäkerhetssamarbete med andra regeringar.

I juli 2015 hade Cyberspace Administration släppt ett utkast till sin första lag. Cybersäkerhetslagen, som trädde i kraft i juni 2017, krävde att företag skaffa samtycke från människor att samla in deras personliga information. Samtidigt skärpte den internetcensuren genom att förbjuda anonyma användare – en bestämmelse som upprätthålls av regelbundna statliga inspektioner av data från internetleverantörer.

Våren 2016 försökte Hong återvända till akademin, men byrån bad honom stanna. Cybersäkerhetslagen hade medvetet lämnat regleringen av personuppgiftsskydd vag, men konsumentdataintrång och stölder hade nått outhärdliga nivåer. En studie från 2016 av Internet Society of China visade att 84 % av de tillfrågade hade drabbats av någon läcka av sina data, inklusive telefonnummer, adresser och bankkontouppgifter. Detta ledde till en växande misstro mot digitala tjänsteleverantörer som krävde tillgång till personlig information, som skjuts, matleverans och finansiella appar. Xu Yuyus död hällde olja på lågorna.

Regeringen oroade sig för att sådana känslor skulle försvaga deltagandet i den digitala ekonomin, som hade blivit en central del av dess strategi för att stödja landets avtagande ekonomiska tillväxt. Tillkomsten av GDPR fick också regeringen att inse att kinesiska teknikjättar skulle behöva uppfylla globala integritetsnormer för att kunna expandera utomlands.

Hong blev ansvarig för en ny arbetsgrupp som skulle skriva en personlig informationsskyddsspecifikation (PIPS) för att hjälpa till att lösa dessa utmaningar. Dokumentet, även om det inte är bindande, skulle berätta för företag hur tillsynsmyndigheter hade för avsikt att implementera cybersäkerhetslagen. I processen hoppades regeringen att den skulle få dem att själva anta nya normer för dataskydd.


Hongs arbetsgrupp började översätta alla relevanta dokument de kunde hitta till kinesiska. De översatte integritetsriktlinjerna som lagts ut av Organisationen för ekonomiskt samarbete och utveckling och av dess motsvarighet, Asia-Pacific Economic Cooperation; de översatte GDPR och California Consumer Privacy Act. De översatte till och med Vita husets konsumentskyddslagstiftning från 2012, införd av Obama-administrationen men som aldrig stiftades i lag. Hela tiden träffade Hong regelbundet europeiska och amerikanska dataskyddstillsynsmyndigheter och forskare.

Bit för bit, från dokumenten och samråden, framkom ett allmänt val. Folk sa, i mycket förenklade termer, 'Vi har en europeisk modell och den amerikanska modellen', minns Hong. De två tillvägagångssätten skiljde sig väsentligt i filosofi och genomförande. Vilken att följa blev arbetsgruppens första debatt.

Kärnan i den europeiska modellen är tanken att människor har en grundläggande rättighet att få sina uppgifter skyddade. GDPR lägger bevisbördan på datainsamlare, såsom företag, för att visa varför de behöver uppgifterna. Däremot gynnar den amerikanska modellen industrin framför konsumenterna. Företag definierar själva vad som utgör rimlig datainsamling; konsumenterna får bara välja om de vill använda den verksamheten. Lagarna om dataskydd är också mycket mer bitvis än i Europa, uppdelade mellan sektoriella tillsynsmyndigheter och specifika stater.

En epidemikontrollarbetare kontrollerar temperaturen hos människor som står i kö för att testas för covid-19 i Xicheng-distriktet i centrala Peking.

KEVIN FRAYER/GETTY BILDER

På den tiden, utan en central lag eller en enda myndighet med ansvar för dataskydd, liknade Kinas modell mer den amerikanska. Arbetsgruppen fann dock den europeiska strategin övertygande. Den europeiska regelstrukturen, hela systemet, är tydligare, säger Hong.

Men de flesta av arbetsgruppens medlemmar var representanter från kinesiska teknikjättar, som Baidu, Alibaba och Huawei, och de ansåg att GDPR var för restriktiv. Så de antog dess breda drag – inklusive dess begränsningar för datainsamling och dess krav på datalagring och radering av data – och lättade sedan upp en del av språket. GDPR:s princip om dataminimering hävdar till exempel att endast nödvändig data ska samlas in i utbyte mot en tjänst. PIPS ger utrymme för annan datainsamling som är relevant för den tillhandahållna tjänsten.

PIPS trädde i kraft i maj 2018, samma månad som GDPR äntligen trädde i kraft. Men när kinesiska tjänstemän såg USA:s omvälvning över Facebook- och Cambridge Analytica-skandalen insåg de att ett icke-bindande avtal inte skulle vara tillräckligt. Cybersäkerhetslagen hade inte en stark mekanism för att upprätthålla dataskydd. Tillsynsmyndigheter kunde bara bötfälla överträdare med upp till 1 000 000 yuan ($140 000), ett obetydligt belopp för stora företag. Kort därefter röstade National People's Congress, Kinas högsta lagstiftande organ, för att börja utarbeta en lag om skydd av personuppgifter inom sin nuvarande femåriga lagstiftningsperiod, som slutar 2023. Den skulle stärka dataskyddsbestämmelserna, ge strängare straff och eventuellt skapa en ny kronofogdemyndighet.

Efter Cambridge Analytica, säger Hong, förstod den statliga myndigheten: 'Okej, om du inte verkligen implementerar eller upprätthåller dessa integritetsregler, då kan du få en stor skandal, till och med påverka politiska saker.'


Den lokala polisutredningen av Xu Yuyus död identifierade så småningom bedragarna som hade ringt henne. Det hade varit ett gäng på sju som hade lurat många andra offer på mer än 560 000 yuan med hjälp av olagligt erhållen personlig information. Domstolen slog fast att Xus död hade varit ett direkt resultat av stressen över att förlora sin familjs besparingar. På grund av detta, och hans roll i att iscensätta tiotusentals andra samtal, dömdes huvudledaren Chen Wenhui, 22, till livstids fängelse. De övriga fick straff mellan tre och 15 år.

xu yuyu

Uppmuntrade började kinesiska medier och konsumenter mer öppet kritisera integritetskränkningar. I mars 2018 väckte internetsökjätten Baidus vd, Robin Li, upprördhet i sociala medier efter att ha antytt att kinesiska konsumenter var villiga att byta integritet mot säkerhet, bekvämlighet eller effektivitet. Nonsens, skrev en användare av sociala medier, senare citerad av People's Daily. Det är mer korrekt att säga att [det är] omöjligt att försvara [vår integritet] effektivt.

I slutet av oktober 2019 uttryckte sociala medier-användare återigen ilska efter att bilder började cirkulera på en skolas elever som bär hjärnvågsövervakande pannband, förmodligen för att förbättra deras fokus och inlärning. Den lokala utbildningsmyndigheten gick så småningom in och sa till skolan att sluta använda pannbanden eftersom de kränkte elevernas integritet. En vecka senare stämde en kinesisk juridikprofessor ett djurpark i Hangzhou för att ha ersatt dess fingeravtrycksbaserade inträdessystem med ansiktsigenkänning, och sa att djurparken hade misslyckats med att få hans medgivande för att lagra hans bild.

Men allmänhetens växande känslighet för intrång i konsumenternas integritet har inte lett till många begränsningar för statlig övervakning, och inte ens mycket granskning av den. Som Maya Wang, en forskare vid Human Rights Watch, påpekar, beror detta delvis på att de flesta kinesiska medborgare inte känner till omfattningen eller omfattningen av regeringens verksamhet. I Kina, liksom i USA och Europa, finns det breda offentliga och nationella säkerhetsundantag från dataskyddslagar. Cybersäkerhetslagen tillåter till exempel regeringen att kräva uppgifter från privata aktörer för att hjälpa till vid brottsutredningar. Ministeriet för allmän säkerhet ackumulerar också enorma mängder data om individer direkt. Som ett resultat kan dataintegriteten inom industrin stärkas utan att nämnvärt begränsa statens tillgång till information.

Uppkomsten av pandemin har dock rubbat denna olustiga balans.


Den 11 februari släppte Ant Financial, en finansteknikjätte med huvudkontor i Hangzhou, en stad sydväst om Shanghai, en appbyggande plattform som heter AliPay Health Code. Samma dag släppte regeringen i Hangzhou en app som den hade byggt med hjälp av plattformen. Hangzhou-appen bad människor att självrapportera sin rese- och hälsoinformation och gav dem sedan en färgkod av rött, gult eller grönt. Plötsligt var Hangzhous 10 miljoner invånare tvungna att visa en grön kod för att ta tunnelbanan, handla mat eller gå in i ett köpcentrum. Inom en vecka hade lokala myndigheter i över 100 städer använt AliPay Health Code för att utveckla sina egna appar. Den rivaliserande teknikjätten Tencent följde snabbt efter med sin egen plattform för att bygga dem.

Apparna synliggjorde en oroande nivå av statlig övervakning och utlöste en ny våg av offentlig debatt. I mars hävdade Hu Yong, en journalistikprofessor vid Pekings universitet och en inflytelserik bloggare på Weibo, att regeringens pandemidatainsamling hade passerat en gräns. Det hade inte bara lett till att information stulits, skrev han, utan det hade också öppnat dörren för att sådan data kunde användas utöver sitt ursprungliga syfte. Har historien någonsin visat att när regeringen väl har övervakningsverktyg kommer den att upprätthålla blygsamhet och försiktighet när de använder dem? han frågade.

Har historien någonsin visat att när regeringen väl har övervakningsverktyg kommer den att upprätthålla blygsamhet och försiktighet när de använder dem?'

Faktum är att i slutet av maj avslöjade läckta dokument planer från Hangzhou-regeringen på att skapa en mer permanent hälsokodapp som skulle ge medborgare poäng för beteenden som att träna, röka och sova. Efter ett offentligt ramaskri avbröt stadens tjänstemän projektet. Att statliga medier också hade publicerat berättelser som kritiserade appen hjälpte troligen.

Debatten tog sig snabbt till centralregeringen. Den månaden meddelade National People's Congress att den hade för avsikt att snabba upp lagen om skydd av personuppgifter. Omfattningen av de uppgifter som samlades in under pandemin hade gjort en stark tillämpning mer brådskande, sa delegaterna, och lyfte fram behovet av att klargöra omfattningen av regeringens datainsamlings- och dataraderingsförfaranden under speciella nödsituationer. I juli hade det lagstiftande organet föreslagit en ny strikt godkännandeprocess för statliga myndigheter att genomgå innan data samlas in från privata plattformar. Språket förblir återigen vagt, för att konkretiseras senare - kanske genom ett annat icke-bindande dokument - men detta drag kan markera ett steg mot att begränsa den breda omfattningen av befintliga statliga undantag för nationell säkerhet, skrev Sacks och andra kinesiska forskare vid New America.

Hong tror på samma sätt att diskrepansen mellan regler som styr industrin och statlig datainsamling inte kommer att bestå, och att regeringen snart kommer att börja begränsa sin egen räckvidd. Vi kan inte bara tilltala en aktör samtidigt som vi lämnar den andra utanför, säger han. Det skulle inte vara ett särskilt vetenskapligt tillvägagångssätt.

Andra observatörer håller inte med. Regeringen skulle lätt kunna göra ytliga ansträngningar för att ta itu med offentliga reaktioner mot synlig datainsamling utan att verkligen röra kärnan i ministeriet för offentlig säkerhets nationella verksamhet, säger Wang, från Human Rights Watch. Hon tillägger att alla lagar sannolikt skulle tillämpas ojämnt: I Xinjiang har turkiska muslimer inget som helst att säga till om hur de behandlas.

Ändå är Hong fortfarande optimist. I juli började han arbeta som lärare i juridik vid Pekings universitet, och han har nu en blogg om cybersäkerhet och datafrågor. Varje månad träffar han en spirande gemenskap av dataskyddsombud i Kina, som noggrant tittar på hur datastyrning utvecklas runt om i världen.

Uppdatering: Ytterligare citat har lagts till verket.

Dölj