China

Chinese National Intelligence Law

door

Werking, gevaren, risico’s en gevolgen voor de rest van de wereld

In 2017 heeft China een wet aangenomen die wereldwijd grote impact heeft op privacy, digitale veiligheid en geopolitieke verhoudingen: de Chinese National Intelligence Law (NIL). Deze wet verplicht alle Chinese organisaties, bedrijven én individuen om samen te werken met de Chinese inlichtingen- en veiligheidsdiensten. Dit geldt zowel binnen China als buiten de landsgrenzen, ook wanneer het gaat om dochterbedrijven in Europa of de Verenigde Staten.

Deze wet staat centraal in discussies over technologische afhankelijkheid, cloudgebruik, telecominfrastructuur, social media en databeveiliging. Hieronder lees je wat de wet precies inhoudt, welke risico’s zij creëert en welke diensten en bedrijven er direct onder vallen.

1. Wat is de Chinese National Intelligence Law?

De National Intelligence Law (NIL) werd aangenomen op 27 juni 2017 en trad kort daarna in werking. Het doel van de wet is officieel het versterken van de nationale veiligheid en het faciliteren van inlichtingenwerkzaamheden.

De wet geeft de Chinese overheid zeer ruime bevoegdheden. De kern staat in Artikel 7, dat wereldwijd veel aandacht heeft gekregen:

“Alle organisaties en burgers moeten de nationale inlichtingendiensten ondersteunen, assisteren en meewerken aan hun werkzaamheden, en moeten het werk van de inlichtingendiensten geheimhouden.”

Daarmee is de wet uitzonderlijk in reikwijdte: iedere Chinese organisatie, publiek of privaat, commercieel of non-profit, is verplicht mee te werken wanneer de overheid informatie wil hebben.

2. Wat betekent dit in de praktijk?

Verplichte medewerking zonder weigermogelijkheid

Bedrijven en organisaties moeten gegevens, toegang of ondersteuning leveren wanneer dit door de inlichtingendiensten wordt gevraagd. Er is in de praktijk geen reële mogelijkheid om te weigeren.

Geheimhoudingsplicht

Als de Chinese overheid toegang vraagt tot data, systemen of communicatie, dan mag het betrokken bedrijf dit niet bekendmaken aan klanten, gebruikers of buitenlandse autoriteiten. Transparantie over dergelijke verzoeken is dus wettelijk uitgesloten.

Extraterritoriale werking

De wet geldt ook buiten China voor:

  • internationale vestigingen van Chinese bedrijven;
  • datacenters in Europa of de VS die eigendom zijn van Chinese bedrijven;
  • dochterondernemingen waar een Chinees moederbedrijf zeggenschap heeft;
  • joint ventures waarin Chinese partijen een beslissende rol hebben.

Zelfs wanneer data fysiek in Europa wordt opgeslagen, kan de Chinese overheid die via deze wet opvragen.

3. Waarom is deze wet zo controversieel?

Ongekende toegang tot data

In theorie heeft de Chinese overheid rechtmatige toegang tot uiteenlopende soorten gegevens, waaronder:

  • klant- en gebruikersgegevens;
  • communicatie- en locatiedata;
  • zakelijke documenten en intellectueel eigendom;
  • clouddata en logbestanden;
  • video- en sensorgegevens van camera’s en IoT-apparaten;
  • financiële data en transactiegeschiedenis.

Gebrek aan transparantie

Door de geheimhoudingsplicht mogen bedrijven niet melden dat de overheid om toegang heeft gevraagd. Daardoor kunnen gebruikers, klanten, partners en toezichthouders nooit volledig weten of en hoe hun data door inlichtingendiensten wordt ingezien of gebruikt.

Risico op misbruik

De wet kan worden ingezet voor meer dan klassieke nationale veiligheid. Denk aan:

  • economische spionage en toegang tot bedrijfsgeheimen;
  • druk op buitenlandse overheden of bedrijven;
  • beïnvloeding van publieke opinie via social media en platforms;
  • monitoring van dissidenten, journalisten en diaspora-netwerken in het buitenland.

Botsing met Europese privacywetgeving

De Chinese National Intelligence Law staat op gespannen voet met de Europese privacywetgeving (AVG). Een Chinese cloudaanbieder kan in de praktijk nooit volledige AVG-garanties bieden, omdat de Chinese staat toegang kan afdwingen buiten de gebruiker of klant om.

4. Welke bedrijven vallen onder de National Intelligence Law?

In de kern geldt: alle bedrijven met een Chinese oorsprong of een Chinees moederbedrijf vallen onder de National Intelligence Law. Dat betreft zowel bekende namen als minder zichtbare infrastructuurleveranciers.

A. Telecommunicatie en netwerken

  • Huawei
  • ZTE
  • China Mobile
  • China Telecom
  • China Unicom

Deze bedrijven leveren wereldwijd routers, 4G/5G-infrastructuur, backbone-netwerken en netwerkapparatuur.

B. Cloud- en IT-diensten

  • Alibaba Cloud
  • Tencent Cloud
  • Huawei Cloud
  • Baidu Cloud
  • China Mobile Cloud
  • Kingsoft Cloud

Deze diensten worden steeds vaker gebruikt buiten China, onder andere door bedrijven en in sommige gevallen door overheden of kennisinstellingen.

C. Social media en apps

  • Tencent (WeChat, QQ)
  • ByteDance (TikTok, Douyin, CapCut)
  • Weibo
  • Baidu (zoekmachine en apps)

Deze apps verzamelen grote hoeveelheden communicatie-, gedrags- en locatiegegevens van gebruikers over de hele wereld.

D. Hardware en IoT

  • Xiaomi (smartphones, smart home)
  • Lenovo (pc’s, laptops, servers)
  • DJI (drones)
  • Hisense (tv’s en elektronica)
  • Camera’s en IoT-apparaten van diverse Chinese merken

Deze apparaten draaien software die op afstand updates ontvangt en potentieel data kan versturen naar servers buiten Europa.

E. Security- en surveillancetechnologie

  • Hikvision
  • Dahua
  • Uniview
  • SenseTime
  • Megvii

Deze bedrijven leveren camera’s, gezichtsherkenningssystemen en surveillancesoftware en worden in verband gebracht met grootschalige monitoring, ook van bevolkingsgroepen binnen China.

F. Gamingbedrijven

  • Tencent Games
  • Riot Games (100 procent eigendom van Tencent)
  • Epic Games (groot minderheidsbelang Tencent)
  • Supercell (grotendeels eigendom van Tencent)

Online games verzamelen gedragsgegevens, sociale interacties en soms ook spraak- en chatdata.

5. Wat zijn de risico’s voor burgers, bedrijven en overheden?

Toegang tot gevoelige persoonsgegevens

Via Chinese diensten en hardware kan een zeer compleet beeld ontstaan van individuen: locatiegeschiedenis, communicatiepatronen, contacten, voorkeuren, financiële gegevens en zelfs gezichts- en stemprofielen.

Bedreiging voor nationale veiligheid

Wanneer Chinese technologie wordt gebruikt in kritieke infrastructuur, zoals telecom, energie, transport of gezondheidszorg, bestaat het risico dat data, beheerrechten of kwetsbaarheden kunnen worden misbruikt in een geopolitieke context.

Economische spionage

Voor bedrijven is er een reëel risico dat concurrentiegevoelige informatie via systemen, cloudplatformen of communicatiekanalen kan worden onderschept. Denk aan R&D-data, productieprocessen of strategische plannen.

Monitoring van diaspora en activisten

Journalisten, politieke activisten, mensenrechtenorganisaties en diaspora-gemeenschappen kunnen via digitale middelen worden gevolgd, ook wanneer zij buiten China wonen of werken.

Risico voor kritieke infrastructuur

Door de inzet van Chinese netwerkapparatuur en cloudoplossingen in vitale sectoren ontstaat een langdurige afhankelijkheid. Dat maakt landen kwetsbaar voor druk, sabotage of het uitlekken van cruciale informatie.

Gebrek aan rechtsbescherming

Anders dan in Europa, waar onafhankelijke toezichthouders en rechtbanken een rol spelen bij privacybescherming, hebben burgers en bedrijven in China weinig mogelijkheden om zich tegen datatoegang door de staat te verzetten.

6. Hoe gaan landen hiermee om?

Steeds meer landen voeren maatregelen in om de risico’s van de Chinese National Intelligence Law te beperken.

Voorbeelden van maatregelen zijn:

  • verbod of beperking van Huawei en ZTE in 5G-netwerken;
  • uitsluiting van Chinese cameramerken in overheidsgebouwen;
  • beperkingen op TikTok en andere apps op overheidsapparatuur;
  • striktere aanbestedingsregels voor kritieke infrastructuur;
  • stimuleren van Europese en nationale alternatieven voor cloud en telecom.

7. Wat kunnen organisaties en burgers doen?

Voor organisaties en overheden

  • vermijd Chinese clouddiensten voor gevoelige of vertrouwelijke data;
  • gebruik Europese of nationale cloudoplossingen zonder buitenlands moederbedrijf;
  • voorkom inzet van Chinese netwerkapparatuur in kritieke infrastructuur;
  • voer security-audits uit op camera’s en IoT-apparatuur;
  • beperk het gebruik van apps als TikTok en WeChat op zakelijke toestellen.

Voor burgers

  • wees terughoudend met het delen van persoonsgegevens in Chinese apps;
  • gebruik waar mogelijk privacyvriendelijke alternatieven voor communicatie;
  • schakel tracking, cloudkoppelingen en locatie zoveel mogelijk uit;
  • denk na over welke apparatuur je in huis haalt, vooral op het gebied van camera’s en smart home.

Structurele risico’s door de Chinese National Intelligence Law

De Chinese National Intelligence Law maakt het in feite onmogelijk voor Chinese bedrijven om volledige privacygaranties te geven aan gebruikers buiten China. De wet verplicht totale medewerking aan inlichtingenverzoeken, zonder transparantie richting klanten of toezichthouders.

Voor consumenten, bedrijven en overheden betekent dit dat technologie uit China, hoe geavanceerd of aantrekkelijk geprijsd ook, een reëel risico vormt voor privacy, veiligheid en digitale soevereiniteit. Bewuste keuzes, striktere regels en het gebruik van alternatieven zijn essentieel voor iedereen die grip wil houden op zijn digitale omgeving.