China

Chinese Cybersecurity Law

door

Werking, verplichtingen, gevaren en risico’s voor Europa en de rest van de wereld

De Chinese Cybersecurity Law (CSL), die op 1 juni 2017 in werking trad, is een van de belangrijkste wetten in het Chinese data- en technologiestelsel. De wet bepaalt hoe data binnen China moet worden verzameld, verwerkt, beschermd en opgeslagen. Maar de impact reikt veel verder dan China zelf. Omdat de wet geldt voor alle bedrijven die in China opereren of online diensten aanbieden aan Chinese gebruikers, heeft de CSL mondiale gevolgen.

De Cybersecurity Law staat bekend als een krachtige juridische basis waarmee de Chinese overheid toegang kan krijgen tot data, bedrijfsgeheimen, digitale infrastructuur en communicatiesystemen. De wet vormt samen met de National Intelligence Law (2017) en de Data Security Law (2021) een compleet raamwerk dat buitenlandse bedrijven en gebruikers wereldwijd raakt.

1. Wat is de Chinese Cybersecurity Law?

De Cybersecurity Law is een brede wet die bedoeld is om netwerkveiligheid, nationale veiligheid en dataregulering in China te versterken. De wet richt zich op internetproviders, netwerkbeheerders, clouddiensten, hardwareleveranciers en alle ondernemingen die digitale systemen gebruiken.

De belangrijkste doelen van de wet zijn:

  • bescherming van nationale veiligheid;
  • controle over digitale infrastructuur en data binnen China;
  • reguleren van bedrijven die data verzamelen of verwerken;
  • versterken van toezicht op technologie en netwerkbeveiliging.

2. Kernbepalingen van de Cybersecurity Law

1. Verplichte data-lokalisatie in China

Alle “kritieke informatie-infrastructuur” (CII) moet data binnen China opslaan. Dat betekent dat westerse bedrijven die diensten leveren in China hun data vaak niet buiten China mogen opslaan of verwerken.

2. Verplichte beveiligingsaudits en inspecties

Overheidsinstanties mogen op elk moment veiligheidsinspecties uitvoeren bij bedrijven. Dit kan toegang omvatten tot:

  • servers en datacenters;
  • broncode;
  • netwerkconfiguraties;
  • beveiligingssystemen;
  • gebruikersdata.

3. Toegang tot technische interfaces

In veel gevallen moeten bedrijven technische interfaces beschikbaar stellen zodat autoriteiten toegang hebben tot data of systemen wanneer dit wordt verlangd.

4. Verplicht beheer van netwerken en content

Netwerkbeheerders moeten actief content monitoren, ongewenste content verwijderen en rapporteren aan de autoriteiten.

5. Verplichtingen voor gebruikersidentificatie

Online diensten moeten werken met real-name verificatie. Gebruikers kunnen niet anoniem opereren op Chinese platforms.

6. Strenge regels voor beveiliging

Bedrijven moeten verplicht geavanceerde maatregelen nemen zoals monitoring, logging, incidentmelding en controle van alle netwerkelementen.

3. Waarom is de Cybersecurity Law controversieel?

Extraterritoriale invloed

Bedrijven buiten China die zaken doen binnen de Chinese markt vallen onder de CSL. Europese bedrijven kunnen dus gedwongen worden data in China op te slaan of audits te ondergaan.

Koppeling met de National Intelligence Law

Hoewel de Cybersecurity Law zich richt op netwerkveiligheid, verplicht de National Intelligence Law alle bedrijven om data te delen met inlichtingendiensten. In combinatie betekenen de wetten dat China:

  • data kan opvragen;
  • bedrijven kan verplichten tot medewerking;
  • bedrijven kan verbieden dit bekend te maken.

Risico op misbruik

Toegang tot data via de CSL kan worden ingezet voor economische spionage, politieke druk, toezicht op diaspora, beïnvloeding van westerse bedrijven en strategisch voordeel voor staatsbedrijven.

4. Welke bedrijven vallen onder de Cybersecurity Law?

De wet geldt voor alle bedrijven die digitale systemen gebruiken, waaronder:

A. Chinese technologiebedrijven

  • Huawei
  • ZTE
  • Tencent (WeChat, QQ)
  • Alibaba / Alibaba Cloud
  • ByteDance (TikTok, Douyin)
  • Baidu
  • DJI (drones)
  • Hikvision, Dahua (camera’s en beveiliging)

B. Buitenlandse bedrijven actief in China

  • e-commercebedrijven;
  • banken;
  • autofabrikanten;
  • cloudproviders;
  • internationale hotelketens;
  • social media bedrijven die toegang bieden aan Chinese gebruikers;
  • software- en internetdiensten die in China actief zijn.

C. Op afstand verbonden dochterbedrijven

Zelfs Europese of Amerikaanse vestigingen van Chinese bedrijven vallen automatisch onder de CSL, omdat het moederbedrijf in China gevestigd is.

5. Risico’s van de Chinese Cybersecurity Law

Risico 1: Dwang tot toegang tot data

Bedrijven kunnen worden verplicht om data te verstrekken aan Chinese autoriteiten zonder dat gebruikers of klanten daarvan op de hoogte zijn.

Risico 2: Inbreuk op privacy en AVG

Europese gebruikersgegevens die via Chinese bedrijven lopen, zijn niet volledig beschermd door de AVG.

Risico 3: Economische en technologische spionage

De verplichting om systemen open te stellen voor audits kan bedrijfsgeheimen blootleggen.

Risico 4: Mogelijke toegang tot kritieke infrastructuur

Apparatuur zoals routers, camera’s, servers of drones kunnen worden gebruikt voor toezicht of dataverzameling.

Risico 5: Manipulatie en beïnvloeding

Controle over digitale platformen creëert ruimte voor beïnvloeding van publieke opinie en politieke processen.

Risico 6: Weinig rechtsbescherming

In China is er geen onafhankelijke rechterlijke toetsing vergelijkbaar met Europese systemen.

6. Hoe reageren landen hierop?

Veel landen nemen maatregelen om risico’s te beperken, zoals:

  • verboden of beperkingen op Huawei in 5G-netwerken;
  • verboden op TikTok op overheidsapparatuur;
  • verboden op Hikvision en Dahua in publieke gebouwen;
  • vereisten voor strengere supply chain beveiliging;
  • stimuleren van nationale en Europese cloudoplossingen.

7. Wat kunnen organisaties en consumenten doen?

Organisaties

  • vermijd Chinese cloud- en dataopslagdiensten voor gevoelige informatie;
  • beperk het gebruik van Chinese hardware (zoals camera’s en routers) in kritieke omgevingen;
  • voer cybersecurity-audits uit op IoT- en netwerkapparatuur;
  • gebruik Europese clouds en infrastructuur voor vertrouwelijke data.

Consumenten

  • wees voorzichtig met gegevensdeling in Chinese apps;
  • gebruik privacyvriendelijke alternatieven voor communicatie;
  • beperk machtigingen zoals locatie, microfoon en contacten;
  • kies zorgvuldig welke hardware je in huis haalt.

De Chinese Cybersecurity Law versterkt staatscontrole en creëert wereldwijde risico’s

De Chinese Cybersecurity Law vormt samen met de National Intelligence Law een juridisch fundament dat de overheid zeer brede toegang geeft tot data en digitale infrastructuur. Voor bedrijven en burgers buiten China betekent dit dat technologie en diensten uit China structurele risico’s vormen voor privacy, veiligheid en digitale soevereiniteit.

Het is daarom cruciaal om bewust om te gaan met Chinese technologie, risico’s te kennen en alternatieven te overwegen wanneer privacy, autonomie en veiligheid prioriteit hebben.