I praktiken har Kinas rättsliga myndigheter ofta inte smidig tillgång till internetföretagens uppgifter.
Kina utforskar för att uppnå en optimal balans mellan statens, allmänhetens, företagens och individens intressen vid datainhämtning för att säkerställa att rättsliga myndigheter får åtkomst till uppgifterna med minimal skada.
Artikeln, Interest Measurement and Typical Ways for Access to the Data of Internet Enterprises by Judicial Authorities (司法机关 调 取 互联网 企业 数据 之 利益 衡量 与 化 路径), publicerad i Journal of National Procurators College (国家 检察官 学院 学报) ), Nr 11, 2020 , presenterar detaljerna om rättsliga myndigheters tillgång till uppgifter om internetföretag. Författarna till denna artikel är Dr. Bei Jinxin (贝金欣), tredje åklagarens högsta åklagare för Supreme People's Procuratorate, och Dr. Xie Shu (谢 澍), docent vid Kinas universitet för statsvetenskap och lag.
I. Börjar med ett ärende
Artikeln börjar med en Vid involverar en Didi-förare och en passagerare i Kina i augusti 2018.
Didi är en kinesisk internetjätte som erbjuder tjänster som Uber. I augusti 2018 rånade, våldtog och dödade en kvinnlig förare på sin plattform en kvinnlig passagerare och dumpade sedan kroppen. Detta fall chockade hela landet och väckte stor uppmärksamhet.
När den misstänkta begick brottet hade offrets vänner informerats om situationen och ringde polisen, och polisen bad genast Didi att lämna uppgifterna för att identifiera förarens och fordonets plats för att stoppa brottet Så snart som möjligt. Didi ville emellertid inte lämna ut sina uppgifter till polisen och vägrade därför att samarbeta, vilket så småningom ledde till offrets död.
Under processen att tillhandahålla nättjänster samlar och behärskar Internetföretag en stor mängd användardata. Från detta fall påpekar författarna att Kina ska formulera relevanta regler för att klargöra under vilka omständigheter och i vilken utsträckning rättsliga myndigheter kan kräva att internetleverantörerna avslöjar kundens personliga information.
För internetföretag finns det en konflikt mellan skyddet av personuppgifter och de rättsliga myndigheternas krav på datainhämtning, och de måste ta reda på lösningen för att hantera konflikten. De framtida reglerna kommer att hjälpa Internetföretagen att ta itu med denna konflikt och ta bort osäkerheten i sådana frågor.
II. Hur man hanterar konflikten inom den befintliga rättsliga ramen
I Kina har ett par befintliga lagar på olika hierarkiska nivåer och inom olika områden redan fastställt att Internetföretag är skyldiga att tillhandahålla tillämplig information och data.
Till exempel under administrativ brottsbekämpning kan folkets regeringsavdelningar på provinsnivå eller högre kräva att relevanta avdelningar, institutioner och personal omedelbart samlar in och rapporterar relevant information när risken för cybersäkerhetsincidenter intensifieras. Se artikel 54 i ”Cybersäkerhetslagen” (网络 安全 法).
Institutioner som bedriver internetfinansiering ska lämna rapporter om stora transaktioner och misstänkta transaktioner till centret för penningtvätt i enlighet med relevanta bestämmelser om penningtvätt. Se artikel 14 i ”Administrativa åtgärder för penningtvätt och finansiering av terrorism för institutioner som bedriver Internetfinansiering (för genomförande av prövningar)”(互联网 金融 从业 机构 反洗钱 和 反恐怖 融资 管理 办法 (试行)).
Under brottsutredningen ska domstolen, prokuratoriet och polismyndigheterna ha befogenhet att samla in eller erhålla bevis från enheter eller individer. Internetoperatörer ska också tillhandahålla tekniskt stöd och stöd för offentliga säkerhetsorgan och statliga säkerhetsorgan i sina ansträngningar för att skydda statens säkerhet och utreda brottslig verksamhet i enlighet med lagen. Se artikel 54 i straffprocesslagen och artikel 28 i cybersäkerhetslagen.
Ovan nämnda regler specificerar myndigheternas befogenheter att få tillgång till uppgifter om internetföretag och internetföretagens skyldighet att ge hjälp. På grund av komplexiteten i specifika situationer och bristen på detaljerade bestämmelser har emellertid sådana regler inte implementerats lika bra som förväntat. Ovan nämnda Didi-fall är ett typiskt exempel.
III. Hur ser internetföretag dessa regler
De flesta kinesiska internetföretag tror att tillhandahållande av data undergräver deras egenintresse i viss utsträckning, så de har följande oro över hur man ska svara på de rättsliga myndigheternas krav:
För det första är det bekymrat över negativa recensioner.
Uppgifter är direkt relaterade till kundernas integritet, så om internetföretag avslöjar kundernas integritet för andra, även om lagen är förenlig med lagar, kommer det sannolikt att väcka kundernas avsky. Eftersom uppgiftsskyddspolitiken skiljer sig från land till land kan dessutom implementeringen av ett lands regler av internetföretag leda till ett hinder för deras utveckling i ett annat land och leda till diskriminerande behandling.
För det andra kan det öka företagens driftskostnader.
Med den kontinuerliga tillväxten av olaglig och kriminell verksamhet på Internet ökar också frekvensen av datainhämtning från rättsliga myndigheter. Eftersom det är vanligare för rättsliga myndigheter att begära datainhämtning från internetföretag kostar det oundvikligen mer personal, teknik, webbplatser och andra resurser för internetföretag.
För det tredje leder informationsspridning till potentiella affärsrisker.
Uppgifterna om företag har enormt ekonomiskt värde. Företag oroar sig för att de rättsliga myndigheterna kommer att använda uppgifterna för andra aktiviteter än brottsutredningar, dela uppgifterna med andra organisationer eller resultera i dataläckage efter datainhämtningen på grund av otillräckliga säkerhetsåtgärder. En sådan typ av informationsspridning utgör ett stort hot mot företagets verksamhet.
IV. Hur kommer Kina att lösa denna fråga i framtiden
Medan en uppsättning omfattande och rimliga regler fortfarande är aktuella, kan internetföretagens handlingar att tillhandahålla eller inte tillhandahålla uppgifter både orsaka sekundär skada och sedan väcka allmänhetens tvivel hos internetföretag och till och med leda till rättegångar. Därför hävdar författarna att framtida regler, vare sig det är konservativa eller radikala, kanske inte är det bästa valet.
Den 3 juli 2020, Lag om datasäkerhet (utkast) (Utkastet, 数据 安全 法 (草案)) publicerades på webbplatsen för National People's Congress (NPC) för offentlig kommentar. I utkastet anges att staten kommer att införa ett skyddssystem på flera nivåer på data och att den måste uppfylla sin sociala skyldighet, såsom att skydda datasäkerhet när den genomför datainaktiviteter.
Författarna föreslår att reglerna för rättsliga myndigheter för att hämta data från internetföretag kan utformas i enlighet med dataskyddslagen. Med andra ord ska lagstiftare, enligt indikatorer som brådskande och risken för omständigheterna med datainhämtning och graden av kränkning av personliga rättigheter genom datainhämtningen, upprätta en svarhierarkisk mekanism för internetföretagen för att underlätta internetföretag att formulera och behandla begäran om datainsamling i enlighet med olika svarsnivåer.
Författarnas förslag är hittills bara en teoretisk åsikt, och vi har inte funnit att Kinas rättsliga myndigheter ännu har börjat förbereda sig för en liknande mekanism.
Medverkande: Guodong Du 杜国栋