21. november 2018
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Hiina küberkaitseseadus paneb ettevõtjaid pead murdma

Erakogu
Foto: Mikk Raud
Vastupidiselt andmete vabale liikumisele Euroopa Liidus toimub Hiinas andmete “põlistamine”, mis seab turule sisenejad uute väljakutsete ette, kirjutab Hongkongi ja Pekingi ülikooli vilistlane, ettevõtte Control Risks küberriskide konsultant Mikk Raud Hongkongist.

Kui Hiina kommunistliku partei juhid tormiliste 80ndate lõpul esimest korda internetiga kokku puutusid, ei olnud nende esimeseks küsimuseks mitte see, kuidas internetti enda kasuks tööle panna, vaid pigem sooviti mõista, kuidas uut fenomeni efektiivselt kontrollima asuda. Hiina internetikasutajate arv on tänaseks kasvanud üle kahe korra suuremaks kui Ameerika Ühendriikide rahvaarv ja ületab 800 miljoni piiri. Hiina on suurte tehnoloogiafirmade Baidu, Alibaba ja Tencent’i juhtimisel tõusnud konkurentsitult maailma juhtriigiks e-kaubanduse ja -finantsteenuste vallas.

Kui tavalisele hiinlasele võimaldab see kõik igapäevased toimingud alates juurviljade tellimisest kuni väikelaenude võtmiseni mugavalt ära teha mobiiltelefonis, siis tehnoloogiaettevõtetega sümbioosis tegutsevale Hiina valitsusele tagab see ligipääsu massilisele andmekogule, millest lähtudes maailma peagi suurimat majandust juhtida. Vastupidiselt Euroopa Liidus äsja jõustunud isikuandmete kaitse üldmäärusele (GDPR) ei kuulu Hiinas aga esmane õigus isikuandmetele mitte inimesele, vaid riigile, mis neid enda huvides ära kasutab. Näide demonstreerimaks, kuidas suurandmeid riigijuhtimises rakendatakse, on hetkel veel arendusjärgus olev „sotsiaalse krediidi” süsteem, mille põhjal kodanikke ja ettevõtteid vastavalt nende elustiilile ja äritegevusele riiklikust vaatevinklist „hindama“ asutakse.

Suurest tulemüürist ehk Hiina internetti rangelt tsenseerivast mehhanismist on teadlik ehk iga Hiinat külastanud ja oma harjumuspärastele veebikeskkondadele nagu Gmail või Facebook raskustega ligipääsenud eestlane. Eestis ei ole aga eriti räägitud Hiinas tugevalt juurdunud andmete n-ö põlistamisest. 2014. aastal loodud Hiina Küberruumi Administratsiooni (Cyberspace Administration of China) käe all on Hiina astunud olulisi samme, et lisaks internetiliikluse jälgimisele ka kõik riigi territooriumil tekitatud andmed, intellektuaalne vara ning informatsioon valitsuse kontrollile allutada.

Hiina juhtkonna suhtumise informatsiooni võtab hästi kokku tänaseks juba kukutatud küberpoliitika pealiku Lu Wei väljaütlemine, et internet on kui kaheteraline mõõk: Internet ja sellega kaasnev infoühiskond on Hiina majanduskasvule ja inimeste heaolule märkimisväärselt kaasa aidanud, ent samas hoiab iga Hiina parteijuhti öösiti üleval just küsimus, mis juhtub totalitaarse ühiskonnakorraldusega, kui informatsioon ühel päeval vabalt liikuma pääseb. Suuresti antud mõtteviisist juhituna jõustas Hiina rahvakongress 2017. aasta juunis riigi esimese laiaulatusliku küberkaitseseaduse, mis koos mitmete lisamäärustega on tänaseks juba üle aasta Hiinas tegutsevaid kohalikke ja välismaa ettevõtteid pead murdma pannud.

Hiina küberkaitseseadus Euroopa Liidu isikuandmete kaitse üldmääruse taustal

Esmapilgul sarnaneb Hiina küberkaitseseadus väga ELis 2018. aasta mais jõustunud isikuandmete kaitse üldmäärusega. Kahe regulatsiooni vahel on siiski põhimõtteline erinevus. ELi üldmäärus juhindub printsiibist, et iga inimese andmed kuuluvad isikule endale ja tal õigus neid kontrollida ning kasutamist juhtida. Hiina küberkaitseseadus põhineb aga vastupidisel – mis tahes andmete ligipääsule on esmane õigus riigil. Hiina küberkaitseseadus tugineb põhimõttel, et andmeid tuleb iga hinna eest kontrollida, eriti kui need puudutavad Hiina kodanikke või Hiinaga seonduvat informatsiooni.

Siit tuleneb kahe uue regulatsiooni esimene peamine erinevus. Nagu nimigi ütleb, on ELi isikuandmete kaitse üldmääruse peamine eesmärk kaitsta isikuandmeid. Hiina seadusele alluvad andmed jaotuvad aga kolmeks: isikuandmed, tundlikud isikuandmed ning tähtsad andmed. Kui esimesse kategooriasse kuuluvad andmed, mille põhjal võib inimese identiteedi tuvastada ja teise kategooriasse nt inimese meditsiinilised või psühholoogilised eripärad, siis “oluliste andmete” alla liigitub informatsioon, mis seondub rahvusliku julgeoleku, majandusliku arengu ja avaliku huviga. Selline sõnastus seaduses tuleneb ilmselt valitsuse soovist tõlgendada igas seaduses leiduvat sätet vastavalt vajadusele ja seetõttu peetakse seda äärmiselt ähmaseks ja kõikehõlmavaks.

Hiina küberkaitseseadus kehtib ainult Hiinas kogutud andmetele, kuid rakendub siiski igale Hiinas tegutsevale ettevõttele. Seadus jaotab subjektid kaheks: arvutivõrgu operaatorid (network operator) ja kriitilise informatsiooni infrastruktuuri operaatorid (critical information infrastructure operators). Esimese kategooria alla kuuluvad kõik vähemalt kolme seadet ühendava arvutivõrgu omanikud, haldajad või teenusepakkujad, ehk sisuliselt ka iga majapidamine, kus on kasutuses üks sülearvuti ja kaks mobiiltelefoni. Enamikel ettevõtetest ei tohiks seega küsimust olla, kas antud seadus neile rakendub või mitte.

Teise kategooria, ehk kriitilise informatsiooni infrastruktuuri operaatorite definitsioon on aga ebaselgem. Iga ettevõte, mis tegutseb kommunikatsiooni-, energia-, liiklus-, vee-, või finants- jms teenuste valdkonnas, võib end kahtlemata teise kategooriasse liigitada. Lisaks kuulub sinna aga ka iga ettevõtmine, mille hävinemise, rikke või andmete lekke korral võib ohtu sattuda Hiina rahvuslik julgeolek või rahva heaolu. Kriitilist infrastruktuuri, nagu energiajaamasid või telekommunikatsioonivõrke haldavate firmade kõrval on potentsiaalseteks näideteks veel toiduainete, meditsiinitoodete- ja seadmete, tööstusliku kauba ja kõiksugu tehnoloogia tootjad. Seega on valitsus jätnud endale üsna vabad käed määratlemaks, kes millise kohtlemise osaliseks saab. Ettevõtete seisukohalt on see määratlus aga ülioluline, sest kriitilise informatsiooni infrastruktuuri operaatoritele rakenduvad niigi karmidele tingimustele lisaks veel kõrgendatud nõudmised.

Nii arvutivõrgu kui kriitilise informatsiooni infrastruktuuri operaatoritele kehtib kohustus andmeid vähemalt kuus kuud hoiustada ning neile valitsuse nõudmisel ligipääs tagada ja ametnikega koostööd teha. Teise kategooriasse kuuluvad ettevõtted peavad aga andmed “kohalikustama”, ehk kõik Hiinas kogutud andmed ka Hiina territooriumil hoiustama. Informatsiooni väljaviimiseks tuleb taotleda luba valitsuselt ja detailselt selle vajalikkust selgitada. Just sel põhjusel avas nt Apple möödunud aastal Guizhou’s suure andmekeskuse, millele Ameerika tehnoloogiahiid sisuliselt igal hetkel Hiina ametniku ligi laskma peab. Lisaks tuleb kriitilise informatsiooni infrastruktuuri operaatoritel enam tähelepanu pöörata andmete turvalisusele, firmasisestele küberkaitsemäärustele ning isegi sellele, mis tehnoloogiat üldse Hiinas kasutada tohib. See on ülioluline säte, mis näitab režiimi soovi vahetada välja seni veel riigis laiaulatuslikult kasutuses olev lääne tehnoloogia kohaliku vastu, nii majanduslikel põhjustel kui ka jälgimis- ja turvakaalutlustel.

Oluliseks erinevuseks ELi isikuandmete kaitse üldmääruse ja Hiina küberkaitseseaduse vahel on veel nende jõustamine. Kui ELi üldmääruse täitmist viivad ellu liikmesriikide andmekaitseametid, siis Hiina seaduse põhiline rakendaja on Hiina politseiamet, mis tähendab, et seaduserikkujad on võimalik kriminaalse vastutuse alla võtta. Kuigi Hiina politsei uurimise alla langemine on õigustatult vast iga lääne ettevõtja suuremaid hirmusid, siis suureks paanikaks ei ole veel põhjust. Erinevalt nii mõnegi Hiinas elava välismaalase arvamusest, et kohalik valitsus soovib iga hinna eest külaliste elu raskeks teha, ei ole režiimi põhimureks mitte see keskealine ameerika ärimees või hiina keelt õppiv noor eurooplane, vaid ikka kohalik elanikkond, kelle kontrolli all hoidmine on partei vaatevinklist sõna otseses mõttes elu ja surma küsimus.

Mõju Eestile ja meie ettevõtjatele

Eesti ja Hiina suhted on 2015. aasta jaanuaris Eesti uhiuue saatkonnahoone avamisest Pekingis jõudsalt arenenud. Mitmed vastastikused ministrite tasemel külastused kulmineerusid septembrikuise president Kersti Kaljulaidi visiidiga Pekingisse kohtumaks nii president Xi Jinpingi kui peaminister Li Keqiangiga. Muuhulgas arutati koostööd logistika ja e-kaubanduse valdkonnas, mida ilmestab nt Hiina suurima erakullerfirma SF Expressi partnerlus Omnivaga. Eesti võtab ka järjest aktiivsemalt osa Hiina juhitavast Kesk- ja Ida-Euroopa 16+1 initsiatiivist, mille pikaajaline eesmärk on siinne piirkond hiinlaste uue massiivse Siiditee projektiga siduda.

Toimunud arengute valguses on viimastel aastatel rohkem Eesti ettevõtteid suuna Hiina turule võtnud. Näiteks avas Saaremaa ettevõte Saare Erek septembris Hubei provintsis tehase, mis on seni suurim investeering Eestist Hiinasse. Kuigi mastaapidelt on Eesti ettevõtete tegevus Hiinas veel väike, ei tähenda see, et Hiina küberkaitseseadusest mööda vaadata saab. Uusi mängureegleid peab iga Hiinas tegutsev Eesti ettevõtja tundma.

Esmalt tuleks põhjalikult üle vaadata kohalik äristrateegia ja andmekäitlusplaanid ning proovida mõista, kas firma tegevus võiks langeda kriitilise informatsiooni infrastruktuuri kategooriasse. Vastuse otsimisel võib endalt küsida, kas minu tegevus võiks Hiina politseiametnikule rahvusliku stabiilsuse või ohutuse seisukohalt kas või kaudselt huvi pakkuda. Kerge see aga pole, sest ka nt mitmed toidukullerfirmad on kriitilise informatsiooni infrastruktuuri operaatoriteks nimetatud.

Teiseks peaks üle vaatama, mis tehnoloogialahendusi Hiinas kasutatakse või kasutada plaanitakse ning hindama nende turvalisust ja vastavust seatud standarditega. Siin tuleks kaaluda ka kohalike ja off-shore võrgusüsteemide koostalitusvõimet ning erinevaid variante kohalike andmekeskuste rajamiseks. Viimaks oleks kasulik heita pilk peale krüpteerimis- ja VPN-tehnoloogiate kasutamisele, mida kaks olulisemat küberkaitseseaduse lisamäärust puudutavad.

Infoühiskonna väärtushinnangud

Lisaks otsesele mõjule eestlaste äritegevusele, tasub olukorda vaadelda ka riiklikul tasandil. Eesti ja Hiina vaheline koostöö e-kaubanduses ja infotehnoloogia vallas ilmestab mõlema riigi lugupidamist innovatsiooni ja sellega kaasneva arengu vastu. Samas erineb aga riiklik suhtumine informatsiooni ja selle liikumisse Eesti ja Hiina puhul kardinaalselt. Kui Eesti peab end digitaliseerumise ja vaba infoühiskonna eestvedajaks, siis Hiina jaoks kujutab kontrollimata informatsioon suurimat ohtu režiimi püsimajäämisele.

Siin kajastub tüüpiline Hiinaga äritegevat läänlast kimbutav dilemma: kas hüljata potentsiaalne Hiina turult saadav kasum ja enda tõekspidamistele truuks jääda või pigistada raha nimel silm kinni ja heita ideoloogilised erinevused tagaplaanile. Informatsiooni ja andmete kontekstis hakkab tunduma, et lääne suurettevõtted on valinud just teise variandi. Mainitud Apple’i andmekeskusele lisaks on aastaid Hiinast eemale hoitud ja hoidnud Google’gi nüüd katsetamas tsenseeritud otsingumootori käivitamist, et massilisest Hiina turupirukast oma osa saada.

Kuigi Eesti ettevõtjad veel nõnda sisuliste küsimuste ees ei seisa, sõltub iga välismaa firma tegutsemisvabadus Hiinas just nende päritoluriigi retoorikast Hiina suunal. Praeguses olukorras on Eestil kahtlemata mõistlik jätkata riiklikku toetust Hiina-suunalisele äritegevusele ning pingutada stabiilsete partnerlussuhete hoidmise nimel. Aeg-ajalt tasub aga peatuda ja meelde tuletada meie enda vaba infoühiskonna väärtushinnanguid, mida iga endast lugupidav demokraatlik riik mis tahes põhjustel ohtu seada ei tohi.

Liitu ITuudiste uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Indrek KaldITuudised.ee toimetajaTel: 511 1112
Anne WellsReklaami projektijuhtTel: 5880 7755