211service.com
Dentro de la búsqueda inesperada de China para proteger la privacidad de los datos
Una nueva ley de privacidad se parecería mucho al RGPD de Europa, pero ¿restringirá la vigilancia estatal? 19 de agosto de 2020
stefen chow
A fines del verano de 2016, Xu Yuyu recibió una llamada que prometía cambiar su vida. Le dijeron que sus puntajes en el examen de ingreso a la universidad le habían valido la admisión al departamento de inglés de la Universidad de Correos y Telecomunicaciones de Nanjing. Xu vivía en la ciudad de Linyi en Shandong, una provincia costera de China, al sureste de Beijing. Provenía de una familia pobre, singularmente dependiente de los escasos ingresos de su padre. Pero sus padres habían ahorrado minuciosamente para su matrícula; muy pocos de sus familiares habían ido alguna vez a la universidad.
Unos días después, Xu recibió otra llamada diciéndole que también le habían otorgado una beca. Para cobrar los 2600 yuanes (370 dólares), primero tuvo que depositar una tarifa de activación de 9900 yuanes en su cuenta de la universidad. Habiendo solicitado ayuda financiera solo unos días antes, transfirió el dinero al número que le dio la persona que llamó. Esa noche, la familia corrió a la policía para denunciar que habían sido estafados. El padre de Xu dijo más tarde que su mayor arrepentimiento fue haberle preguntado al oficial si aún podrían recuperar su dinero. La respuesta, probablemente no, solo exacerbó la devastación de Xu. De camino a casa sufrió un infarto. Murió en un hospital dos días después.
Esta historia fue parte de nuestra edición de septiembre de 2020
- Ver el resto del número
- Suscribir
Una investigación determinó que, si bien la primera llamada había sido genuina, la segunda provino de estafadores que le pagaron a un pirata informático por el número de Xu, el estado de admisión y la solicitud de ayuda financiera.
Para los consumidores chinos, demasiado familiarizados con el robo de sus datos, Xu se convirtió en un emblema. Su muerte provocó una protesta nacional por mayores protecciones de privacidad de datos. Solo unos meses antes, la Unión Europea había adoptado el Reglamento General de Protección de Datos (GDPR), un intento de dar a los ciudadanos europeos el control sobre cómo se utilizan sus datos personales. Mientras tanto, Donald Trump estaba a punto de ganar las elecciones presidenciales estadounidenses, impulsado en parte por una campaña que se basó en gran medida en los datos de los votantes. Esos datos incluían detalles sobre 87 millones de cuentas de Facebook, obtenidas ilícitamente por la consultora Cambridge Analytica. Los reguladores chinos y los académicos legales siguieron de cerca estos eventos.
En Occidente, se cree ampliamente que ni el gobierno chino ni el pueblo chino se preocupan por la privacidad. Los gigantes tecnológicos estadounidenses utilizan esta supuesta indiferencia para argumentar que las onerosas leyes de privacidad los pondrían en desventaja competitiva frente a las empresas chinas. En su testimonio en el Senado de 2018 después del escándalo de Cambridge Analytica, el director ejecutivo de Facebook, Mark Zuckerberg, instó a los reguladores a no tomar medidas drásticas contra tecnologías como el reconocimiento facial. Todavía tenemos que lograr que las empresas estadounidenses puedan innovar en esas áreas, dijo, o de lo contrario nos quedaremos atrás de los competidores chinos y otros en todo el mundo.
En realidad, esta imagen de las actitudes chinas hacia la privacidad está desactualizada. En los últimos años, el gobierno chino, buscando fortalecer la confianza y la participación de los consumidores en la economía digital, ha comenzado a implementar protecciones de privacidad que en muchos aspectos se asemejan a las de Estados Unidos y Europa en la actualidad.
Sin embargo, incluso cuando el gobierno ha fortalecido la privacidad del consumidor, ha aumentado la vigilancia estatal. Utiliza muestras de ADN y otros datos biométricos, como el reconocimiento facial y de huellas dactilares, para monitorear a los ciudadanos en todo el país. Ha endurecido la censura en Internet y ha desarrollado un sistema de crédito social, que castiga los comportamientos que, según las autoridades, debilitan la estabilidad social. Durante la pandemia, implementó un sistema de aplicaciones de códigos de salud para dictar quién podía viajar, según su riesgo de portar el coronavirus. Y ha utilizado una gran cantidad de tecnologías de vigilancia invasivas en su dura represión de los uigures musulmanes en la región noroccidental de Xinjiang.
Esta paradoja se ha convertido en una característica definitoria del régimen de privacidad de datos emergente de China, dice Samm Sacks, un destacado académico de China en Yale y New America, un grupo de expertos en Washington, DC. Plantea una pregunta: ¿Puede un sistema soportar fuertes protecciones para la privacidad del consumidor, pero casi ninguna contra la intromisión del gobierno? La respuesta no afecta solo a China. Sus empresas de tecnología tienen una presencia cada vez más global y los reguladores de todo el mundo están atentos a sus decisiones políticas.
Podría decirse que noviembre de 2000 marca el nacimiento del moderno estado de vigilancia chino. Ese mes, el Ministerio de Seguridad Pública, la agencia gubernamental que supervisa el cumplimiento diario de la ley, anunció un nuevo proyecto en una feria comercial en Beijing. La agencia imaginó un sistema nacional centralizado que integraría tanto la vigilancia física como la digital utilizando la última tecnología. Fue nombrado Escudo Dorado.
Ansiosas por sacar provecho, las empresas occidentales, incluido el conglomerado estadounidense Cisco, el gigante finlandés de las telecomunicaciones Nokia y la canadiense Nortel Networks, trabajaron con la agencia en diferentes partes del proyecto. Ayudaron a construir una base de datos a nivel nacional para almacenar información sobre todos los adultos chinos y desarrollaron un sistema sofisticado para controlar el flujo de información en Internet, lo que eventualmente se convertiría en el Gran Cortafuegos. De hecho, gran parte del equipo involucrado ya se había estandarizado para facilitar la vigilancia en los EE. UU., como consecuencia de la Ley de Asistencia de Comunicaciones para el Cumplimiento de la Ley de 1994.
El gobierno chino ha comenzado a implementar protecciones de privacidad que se asemejan a las de Estados Unidos y Europa en la actualidad.
A pesar del equipo estandarizado, el proyecto Golden Shield se vio obstaculizado por silos de datos y guerras territoriales dentro del gobierno chino. Con el tiempo, la búsqueda del ministerio de un sistema único y unificado se convirtió en dos operaciones separadas: un sistema de base de datos y vigilancia, dedicado a recopilar y almacenar información, y el sistema de crédito social, en el que participan unos 40 departamentos gubernamentales. cosas que no están permitidas, desde cruzar la calle imprudentemente hasta involucrarse en corrupción comercial, su puntaje de crédito social cae y se les puede bloquear cosas como comprar boletos de tren y avión o solicitar una hipoteca.
En el mismo año en que el Ministerio de Seguridad Pública anunció el Escudo Dorado, Hong Yanqing ingresó a la universidad de policía del ministerio en Beijing. Pero después de siete años de entrenamiento, después de haber recibido su licenciatura y maestría, Hong comenzó a dudar en convertirse en policía. En cambio, solicitó estudiar en el extranjero. Para el otoño de 2007, se mudó a los Países Bajos para comenzar un doctorado en derecho internacional de los derechos humanos, aprobado y subvencionado por el gobierno chino.
Durante los siguientes cuatro años, se familiarizó con la práctica occidental del derecho a través de su investigación de doctorado y una serie de pasantías en organizaciones internacionales. Trabajó en la Organización Internacional del Trabajo en la legislación mundial sobre discriminación en el lugar de trabajo y en la Organización Mundial de la Salud en seguridad vial en China. Es una cultura muy legalista en Occidente, eso realmente me sorprende. La gente parece ir mucho a los tribunales, dice. Por ejemplo, para la ley de derechos humanos, la mayoría de los libros de texto tratan sobre casos significativos en los tribunales que resuelven cuestiones de derechos humanos.
Hong descubrió que esto era extrañamente ineficiente. Vio ir a los tribunales como un recurso final para reparar las insuficiencias de la ley, no como una herramienta principal para establecerla en primer lugar. Creía que una legislación elaborada de manera más integral y con mayor previsión lograría mejores resultados que un sistema remendado a través de una acumulación desordenada de jurisprudencia, como en los EE. UU.
Después de graduarse, llevó estas ideas a Beijing en 2012, en vísperas del ascenso de Xi Jinping a la presidencia. Hong trabajó en el Programa de las Naciones Unidas para el Desarrollo y luego como periodista del Diario del Pueblo, el periódico más grande de China, que es propiedad del gobierno.
Xi comenzó a expandir rápidamente el alcance de la censura gubernamental. Los comentaristas influyentes, o Big Vs, llamados así por sus cuentas verificadas en las redes sociales, se habían sentido cómodos criticando y ridiculizando al Partido Comunista Chino. En el otoño de 2013, el partido arrestó a cientos de microblogueros por lo que describió como rumores maliciosos y exhibió a uno particularmente influyente en la televisión nacional para convertirlo en un ejemplo.
El momento marcó el comienzo de una nueva era de censura. Al año siguiente, se fundó la Administración del Ciberespacio de China. La nueva agencia central era responsable de todo lo relacionado con la regulación de Internet, incluida la seguridad nacional, la censura de los medios y del discurso y la protección de datos. Hong dejó el Diario del Pueblo y se unió al departamento de asuntos internacionales de la agencia. Lo representó en la ONU y otros organismos globales y trabajó en la cooperación en ciberseguridad con otros gobiernos.
Para julio de 2015, la Administración del Ciberespacio había publicado un borrador de su primera ley. La Ley de Ciberseguridad, que entró en vigor en junio de 2017, exigió que las empresas obtengan el consentimiento de las personas para recopilar su información personal. Al mismo tiempo, reforzó la censura de Internet al prohibir a los usuarios anónimos, una disposición aplicada por las inspecciones regulares del gobierno de los datos de los proveedores de servicios de Internet.
En la primavera de 2016, Hong buscó regresar a la academia, pero la agencia le pidió que se quedara. La Ley de Ciberseguridad había dejado deliberadamente vaga la regulación de la protección de datos personales, pero las violaciones y el robo de datos de los consumidores habían alcanzado niveles insoportables. Un estudio de 2016 realizado por Internet Society of China encontró que el 84% de los encuestados habían sufrido alguna filtración de sus datos, incluidos números de teléfono, direcciones y detalles de cuentas bancarias. Esto estaba estimulando una creciente desconfianza hacia los proveedores de servicios digitales que requerían acceso a información personal, como aplicaciones financieras, de entrega de alimentos y de transporte. La muerte de Xu Yuyu vertió aceite sobre las llamas.
Al gobierno le preocupaba que tales sentimientos debilitaran la participación en la economía digital, que se había convertido en una parte central de su estrategia para apuntalar el lento crecimiento económico del país. La llegada de GDPR también hizo que el gobierno se diera cuenta de que los gigantes tecnológicos chinos tendrían que cumplir con las normas de privacidad globales para expandirse en el extranjero.
Hong fue puesto a cargo de un nuevo grupo de trabajo que escribiría una Especificación de protección de información personal (PIPS) para ayudar a resolver estos desafíos. El documento, aunque no vinculante, les diría a las empresas cómo los reguladores pretenden implementar la Ley de Ciberseguridad. En el proceso, esperaba el gobierno, los impulsaría a adoptar nuevas normas para la protección de datos por sí mismos.
El grupo de trabajo de Hong se dedicó a traducir todos los documentos relevantes que pudieron encontrar al chino. Tradujeron las pautas de privacidad publicadas por la Organización para la Cooperación y el Desarrollo Económicos y por su contraparte, la Cooperación Económica Asia-Pacífico; tradujeron GDPR y la Ley de Privacidad del Consumidor de California. Incluso tradujeron la Declaración de Derechos de Privacidad del Consumidor de la Casa Blanca de 2012, presentada por la administración Obama pero que nunca se convirtió en ley. Mientras tanto, Hong se reunió regularmente con los reguladores y académicos de protección de datos europeos y estadounidenses.
Poco a poco, de los documentos y consultas, surgió una elección general. La gente decía, en términos muy simplistas, 'Tenemos un modelo europeo y un modelo estadounidense', recuerda Hong. Los dos enfoques divergieron sustancialmente en filosofía e implementación. Cuál seguir se convirtió en el primer debate del grupo de trabajo.
En el centro del modelo europeo se encuentra la idea de que las personas tienen el derecho fundamental a que se protejan sus datos. GDPR coloca la carga de la prueba en los recopiladores de datos, como las empresas, para demostrar por qué necesitan los datos. Por el contrario, el modelo estadounidense privilegia a la industria sobre los consumidores. Las empresas definen por sí mismas lo que constituye una recopilación de datos razonable; los consumidores solo pueden elegir si usar ese negocio. Las leyes sobre protección de datos también son mucho más fragmentarias que en Europa, divididas entre reguladores sectoriales y estados específicos.

Un trabajador de control de epidemias verifica la temperatura de las personas que esperan en la fila para hacerse la prueba de covid-19 en el distrito de Xicheng, en el centro de Beijing.
IMÁGENES DE KEVIN FRAYER/GETTYEn ese momento, sin una ley central o una agencia única a cargo de la protección de datos, el modelo de China se parecía más al estadounidense. El grupo de trabajo, sin embargo, encontró convincente el enfoque europeo. La estructura de reglas europeas, todo el sistema, es más claro, dice Hong.
Pero la mayoría de los miembros del grupo de trabajo eran representantes de gigantes tecnológicos chinos, como Baidu, Alibaba y Huawei, y sintieron que el RGPD era demasiado restrictivo. Así que adoptaron sus trazos generales, incluidos sus límites en la recopilación de datos y sus requisitos en el almacenamiento y la eliminación de datos, y luego relajaron parte de su lenguaje. El principio de minimización de datos de GDPR, por ejemplo, sostiene que solo se deben recopilar los datos necesarios a cambio de un servicio. PIPS permite la recopilación de otros datos relevantes para el servicio prestado.
PIPS entró en vigencia en mayo de 2018, el mismo mes en que finalmente entró en vigencia el RGPD. Pero mientras los funcionarios chinos observaban la agitación en Estados Unidos por el escándalo de Facebook y Cambridge Analytica, se dieron cuenta de que un acuerdo no vinculante no sería suficiente. La Ley de Ciberseguridad no contaba con un mecanismo sólido para hacer cumplir la protección de datos. Los reguladores solo podían multar a los infractores con hasta 1.000.000 de yuanes (140.000 dólares), una cantidad intrascendente para las grandes empresas. Poco después, la Asamblea Popular Nacional, el máximo órgano legislativo de China, votó para comenzar a redactar una Ley de Protección de Información Personal dentro de su período legislativo actual de cinco años, que finaliza en 2023. Reforzaría las disposiciones de protección de datos, establecería penas más duras y potencialmente crear una nueva agencia de aplicación.
Después de Cambridge Analytica, dice Hong, la agencia gubernamental entendió: 'Está bien, si realmente no implementas o haces cumplir esas reglas de privacidad, entonces podrías tener un gran escándalo, que incluso afectaría las cosas políticas'.
La investigación de la policía local sobre la muerte de Xu Yuyu finalmente identificó a los estafadores que la habían llamado. Había sido una pandilla de siete que había estafado a muchas otras víctimas por más de 560,000 yuanes utilizando información personal obtenida ilegalmente. El tribunal dictaminó que la muerte de Xu había sido el resultado directo del estrés de perder los ahorros de su familia. Debido a esto, y a su papel en la orquestación de decenas de miles de otras llamadas, el cabecilla, Chen Wenhui, de 22 años, fue sentenciado a cadena perpetua. Los demás recibieron sentencias de entre tres y 15 años.
Envalentonados, los medios y los consumidores chinos comenzaron a criticar más abiertamente las violaciones de la privacidad. En marzo de 2018, el director ejecutivo del gigante de búsquedas en Internet Baidu, Robin Li, desató la indignación en las redes sociales después de sugerir que los consumidores chinos estaban dispuestos a cambiar la privacidad por seguridad, conveniencia o eficiencia. Tonterías, escribió un usuario de las redes sociales, citado más tarde por el Diario del Pueblo. Es más exacto decir [es] imposible defender [nuestra privacidad] de manera efectiva.
A fines de octubre de 2019, los usuarios de las redes sociales expresaron nuevamente su enojo después de que comenzaron a circular fotos de estudiantes de una escuela que usaban vinchas para monitorear ondas cerebrales, supuestamente para mejorar su enfoque y aprendizaje. La autoridad educativa local finalmente intervino y le dijo a la escuela que dejara de usar las cintas para la cabeza porque violaban la privacidad de los estudiantes. Una semana después, un profesor de derecho chino demandó a un zoológico de vida silvestre de Hangzhou por reemplazar su sistema de entrada basado en huellas dactilares con reconocimiento facial, diciendo que el zoológico no había obtenido su consentimiento para almacenar su imagen.
Pero la creciente sensibilidad del público a las infracciones de la privacidad del consumidor no ha llevado a muchos límites a la vigilancia estatal, ni siquiera a un escrutinio de la misma. Como señala Maya Wang, investigadora de Human Rights Watch, esto se debe en parte a que la mayoría de los ciudadanos chinos no conocen la escala o el alcance de las operaciones del gobierno. En China, al igual que en EE. UU. y Europa, existen amplias exenciones de seguridad pública y nacional a las leyes de privacidad de datos. La Ley de Ciberseguridad, por ejemplo, permite que el gobierno exija datos de actores privados para ayudar en las investigaciones legales penales. El Ministerio de Seguridad Pública también acumula cantidades masivas de datos sobre individuos directamente. Como resultado, la privacidad de los datos en la industria puede fortalecerse sin limitar significativamente el acceso del estado a la información.
Sin embargo, el inicio de la pandemia ha alterado este equilibrio inestable.
El 11 de febrero, Ant Financial, un gigante de la tecnología financiera con sede en Hangzhou, una ciudad al suroeste de Shanghái, lanzó una plataforma de creación de aplicaciones llamada AliPay Health Code. El mismo día, el gobierno de Hangzhou lanzó una aplicación que había creado utilizando la plataforma. La aplicación de Hangzhou pidió a las personas que autoinformaran su información de viaje y salud, y luego les dio un código de color rojo, amarillo o verde. De repente, a los 10 millones de residentes de Hangzhou se les pidió que mostraran un código verde para tomar el metro, comprar comestibles o ingresar a un centro comercial. En una semana, los gobiernos locales de más de 100 ciudades habían utilizado el Código de salud de AliPay para desarrollar sus propias aplicaciones. El gigante tecnológico rival Tencent lo siguió rápidamente con su propia plataforma para construirlos.
Las aplicaciones hicieron visible un nivel preocupante de vigilancia estatal y provocaron una nueva ola de debate público. En marzo, Hu Yong, profesor de periodismo en la Universidad de Beijing y bloguero influyente en Weibo, argumentó que la recopilación de datos sobre la pandemia por parte del gobierno había cruzado la línea. No solo había dado lugar a instancias de robo de información, escribió, sino que también había abierto la puerta a que dichos datos se usaran más allá de su propósito original. ¿Ha demostrado alguna vez la historia que una vez que el gobierno tenga herramientas de vigilancia, mantendrá la modestia y la cautela al usarlas? preguntó.
¿Ha demostrado alguna vez la historia que una vez que el gobierno tenga herramientas de vigilancia, mantendrá la modestia y la cautela al usarlas?'
De hecho, a fines de mayo, los documentos filtrados revelaron planes del gobierno de Hangzhou para crear una aplicación de código de salud más permanente que calificaría a los ciudadanos en comportamientos como hacer ejercicio, fumar y dormir. Después de una protesta pública, los funcionarios de la ciudad cancelaron el proyecto. El hecho de que los medios estatales también hayan publicado historias que critican la aplicación probablemente ayudó.
El debate rápidamente llegó al gobierno central. Ese mes, el Congreso Nacional del Pueblo anunció que tenía la intención de acelerar la Ley de Protección de Información Personal. La escala de los datos recopilados durante la pandemia había hecho que la aplicación estricta fuera más urgente, dijeron los delegados, y destacaron la necesidad de aclarar el alcance de los procedimientos de recopilación y eliminación de datos del gobierno durante emergencias especiales. Para julio, el cuerpo legislativo había propuesto un nuevo proceso estricto de aprobación por parte de las autoridades gubernamentales antes de recopilar datos de plataformas del sector privado. El lenguaje nuevamente sigue siendo vago, para ser desarrollado más tarde, tal vez a través de otro documento no vinculante, pero este movimiento podría marcar un paso hacia la limitación del amplio alcance de las exenciones gubernamentales existentes para la seguridad nacional, escribieron Sacks y otros académicos de China en New America.
Hong también cree que la discrepancia entre las reglas que rigen la recopilación de datos de la industria y el gobierno no durará, y el gobierno pronto comenzará a limitar su propio alcance. No podemos simplemente dirigirnos a un actor y dejar al otro fuera, dice. Ese no sería un enfoque muy científico.
Otros observadores no están de acuerdo. El gobierno fácilmente podría hacer esfuerzos superficiales para abordar la reacción negativa del público contra la recopilación de datos visibles sin tocar realmente el núcleo de las operaciones nacionales del Ministerio de Seguridad Pública, dice Wang, de Human Rights Watch. Agrega que cualquier ley probablemente se aplicaría de manera desigual: en Xinjiang, los musulmanes túrquicos no tienen nada que decir sobre cómo son tratados.
Aún así, Hong sigue siendo optimista. En julio, comenzó a trabajar como profesor de derecho en la Universidad de Beijing y ahora mantiene un blog sobre seguridad cibernética y problemas de datos. Mensualmente, se reúne con una comunidad incipiente de oficiales de protección de datos en China, quienes observan detenidamente cómo evoluciona el gobierno de datos en todo el mundo.
Actualizar: Se han agregado citas adicionales a la pieza.
