Bắc Kinh đã thông qua hai luật vào 9-2021 - Luật Bảo mật Dữ liệu (DSL) và Luật Bảo vệ Thông tin Cá nhân (PIPL) - hạn chế các luồng dữ liệu xuyên biên giới và thực thi nội địa hóa.
Các quy định, được xây dựng dựa trên nền tảng của Luật An ninh mạng năm 2017, có tác động trên phạm vi rộng đối với cách các công ty hoạt động ở Trung Quốc.
Mặc dù Bắc Kinh cho biết họ cần phải bảo vệ dữ liệu cá nhân và tăng cường an ninh quốc gia, nhưng các quy định “mơ hồ” đã khiến việc tuân thủ trở nên khó khăn và tạo ra sự không chắc chắn về chính sách cho các công ty Mỹ, Hội đồng Kinh doanh Mỹ-Trung cho biết trong một báo cáo dựa trên các cuộc phỏng vấn với 30 công ty Mỹ.
Matthew Margulies, phó chủ tịch cấp cao của hội đồng cho biết: “Các công ty Mỹ muốn và cần tận dụng sức mạnh toàn cầu của họ ở Trung Quốc, nhưng họ lo lắng rằng chi phí, độ phức tạp và bản chất của dữ liệu và khuôn khổ quyền riêng tư của Trung Quốc ngày càng tăng sẽ hạn chế khả năng của họ”.
Các quy định mới, khác nhau giữa các khu vực và ngành, đang gây áp lực lên các doanh nghiệp, bao gồm cả khách sạn, vốn phải đối mặt với sự giám sát bổ sung từ các cơ quan quản lý về dữ liệu thực tiễn của họ do khối lượng thông tin cá nhân được xử lý.
Báo cáo cho biết: “Do đó, hầu như tất cả các khách sạn lớn sẽ phải tuân theo các ngưỡng khối lượng thông tin cá nhân, áp đặt các nghĩa vụ tương đương với các yêu cầu dữ liệu quan trọng. Những nghĩa vụ này bao gồm đầu tư vào phần cứng đắt tiền trong các khách sạn, thực hiện các phương pháp kiểm toán mới và thuê thêm nhân viên quản trị dữ liệu”.
Giống như Luật An ninh mạng, DSL yêu cầu các công ty thực hiện các biện pháp để bảo vệ “dữ liệu quan trọng”, nhưng nó cũng bổ sung thêm một yêu cầu để bảo vệ “dữ liệu cốt lõi”. Dữ liệu đó đề cập đến thông tin liên quan đến an ninh quốc gia và kinh tế, phúc lợi của người dân hoặc lợi ích công cộng quan trọng.
Trong lĩnh vực ô tô, phạm vi rộng của “dữ liệu quan trọng” khiến các công ty khó theo dõi vì nó bao gồm thông tin được thu thập trong chuỗi cung ứng vật lý của lĩnh vực ô tô, bao gồm dữ liệu nghe nhìn, dữ liệu trạm sạc tự động, dữ liệu về dòng người như cũng như dữ liệu về giao thông và bản đồ, báo cáo cho biết.
Hội đồng vận động hành lang kinh doanh cho biết khuôn khổ an ninh mạng của Trung Quốc không phù hợp với các quy định tương đương quốc tế khác, chẳng hạn như Quy định chung về bảo vệ dữ liệu của EU, mà nhiều công ty Mỹ đã quen thuộc và tuân thủ.
Trong lĩnh vực tài chính, các hạn chế do Ngân hàng Nhân dân Trung Quốc đặt ra trong năm 2011 và 2019 đối với việc chuyển qua biên giới thông tin nhận dạng khách hàng và giao dịch thu được khi tiến hành thẩm định liên quan đến tài trợ chống rửa tiền và chống khủng bố đang tạo ra “những thách thức liên tục đối với quốc tế các tổ chức tài chính sử dụng mô hình hoạt động toàn cầu”, báo cáo cho biết.
Hội đồng cho biết, các quy định hiện tại cũng yêu cầu các công ty phải được chính phủ cho phép đánh giá bảo mật và sự đồng ý của người dùng trước khi chuyển dữ liệu, đây không phải là một thực tế phổ biến bên ngoài Trung Quốc.
Một nhà sản xuất thiết bị y tế hàng đầu đã quyết định ngừng phát triển một chương trình từ xa để quản lý sản phẩm của mình ở Trung Quốc, theo một ví dụ được trích dẫn trong báo cáo, vì “khả năng” gián đoạn các luồng dữ liệu xuyên biên giới quan trọng khiến việc cung cấp sản phẩm “quá phức tạp, tốn kém và có khả năng không sinh lời”.
Một mối quan tâm chính khác của các công ty là nội địa hóa dữ liệu, đòi hỏi thông tin thu thập được ở Trung Quốc phải được lưu trữ ở đó. Nội địa hóa làm gián đoạn mạng lưới toàn cầu của các công ty lớn.
Một cuộc khảo sát của Hội đồng Kinh doanh Mỹ-Trung Quốc năm ngoái đã nêu bật những lo ngại của các thành viên rằng các công ty có hệ thống toàn cầu hóa có thể phải đối mặt với sự chậm trễ hoặc hạn chế do yêu cầu truyền dữ liệu xuyên biên giới khi cập nhật hệ điều hành hoặc giao tiếp trực tiếp với khách hàng.