Yoğun olarak kişisel verilerin korunması merkezinde bir süredir, gerek yeni çıkan bazı yabancı akademik kaynaklardan, gerekse Amerika Birleşik Devletleri (“ABD”) ve Avrupa Birliği (“AB”) merkezli birtakım uluslararası ticaret organizasyonu yetkililerinin yorumlarından ve mezkûr akademik kaynaklara atıflarından hareketle, ABD ve AB piyasaları arasında süregelen çekişme yanında yeni bir boyut olarak artık Çin’in daha sık konuşulmaya başlandığı görülmekte.
ABD ve Avrupa’nın mahremiyet ve gizlilik kavramlarına yükledikleri farklı anlamlar, ABD’de ifade özgürlüğü ve gizlilik üzerinden şekillenirken AB’de mahremiyet ve kişi temel hak ve özgürlükleri temelinden korunmaya çalışılmakta idi. Bu farklılıklardan kaynaklanan düzenleme yorumlamaları da farklı olmakta idi[1]. Çin'in uygulaması ise burada kendine özgü bir boyut katarak ön plana çıkmaktadır.
Çin’in daha ziyade “veri egemenliği” üzerine kurulu bir sistem ile, bilhassa yurtdışı aktarım konusunda (benzer noktalar olmakla birlikte) GDPR’dan (General Data Protection Regulation – Avrupa Genel Veri Koruma Tüzüğü) ayrışan bir kendine özgü ulusal güvenlik kabulü söz konusu olmuştur. Bu da GDPR ve ABD düzenlemelerinden farklı ek gereklilikler getirmektedir. Örneğin, kişisel verilerin aktarımında, kişisel bilgi/ veri[2] alıcısının, konumundan bağımsız olarak belirli şartları sağlaması gerekmektedir. Buna göre (Personal Information Protection Law of the People’s Republic of China – “PIPL” md. 38 ila 43)[3];
- Kişisel bilgi/ veri sahibinin ayrı ve bilgilendirilmiş rızasının alınması;
- Kişisel bilgilerin/ verilerin korunması etki değerlendirmesi yapılması ve kayıt tutulması; ve
- Transfer için yeterli güvencelerin sağlanmasını sağlamak için PIPL'de belirtilen önlemlerden birinin benimsenmesi.
PIPL’de belirlenen önlemler ise şunları içermektedir:
- Devlet Siber Güvenlik ve Bilişim Dairesi (“CAC”) tarafından düzenlenen bir güvenlik değerlendirmesinden geçmek,
- CAC hükümlerine göre belirlenen uzman bir kuruluştan kişisel veri koruma sertifikası almak;
- CAC tarafından formüle edilen bir standart bir sözleşme akdetmek;
- Kanunlarda veya idari düzenlemelerde veya CAC tarafından sağlanan diğer koşulları karşılamak.
Bunlarla birlikte; md. 40 uyarınca, CAC tarafından belirlenen veri miktarına ulaşan CIIO’lar (Critical Information Infrastructure Operators – Kritik Bilgi Altyapı Operatörleri) ve kişisel bilgi/ veri işleyicileri, bunları, Çin Halk Cumhuriyeti sınırları içinde saklamak durumundadır. Yurtdışında saklamaları gerekiyor ise, CAC tarafından yapılacak bir güvenlik değerlendirmesinden geçmek gerekecek olup CAC’ın yapılmamasına müsaade etme hakkı da bulunmakta olup bu halde de yine PIPL hükümlerine tabi olacaktır.
41. madde gereğince Çin Halk Cumhuriyeti yetkili makamlarının onayı olmadan, Çin Halk Cumhuriyeti'nin anakara topraklarında saklanan kişisel bilgiler, yabancı adli veya kolluk kuvvetlerine verilemeyecektir. Yine Çin Halk Cumhuriyeti vatandaşlarının hak ve menfaatlerini ihlal eden, Çin Halk Cumhuriyeti ulusal güvenliğine veya kamu menfaatlerine zarar veren işleme eylemleri konusunda CAC işleme ve aktarımı sınırlama, yasaklama listesine koyma, uyarıda bulunma gibi tedbirler alabilecek; keza herhangi bir ülke veya bölge tarafından Çin Halk Cumhuriyeti'ne karşı ayrımcı yasaklar, sınırlamalar ve benzeri tedbirler alındığında Çin Halk Cumhuriyeti'nin de fiili durum temelinde söz konusu ülke veya bölgeye karşılık tedbirler uygulama hakkı olacaktır.
Diğer yandan AB ve ABD’deki uygulayıcıların yorumları değerlendirildiğinde, PIPL’in şirketlerin uyumlanması konusunda da ortaya net uygulama kuralları koymaması, Çin düzenleyici ve denetleyici kuruluşlarının yol göstermemesi nedeniyle de bunun aslında bir “meydan okuma” olarak görüldüğü yorumunu yapmak mümkün[4]. Yine PIPL’in esasında, Çin vatandaşlarının verisini işleyen “her yer” için bir (yer bakımından) kapsam çizdiği de dikkate alındığında kullanılan “meydan okuma” tabiri ve korkusu ile Çin’in ortaya çıkardığı bu “öngörülemez”liğin Batıda yarattığı kaygı daha net anlaşılmaktadır[5].
Çok sınırlı olarak yer verdiğimiz bir kısım hükümlerden de anlaşılacağı üzere, Çin sınırlarının çok ötesinde bir etki getirecek olan PIPL konusunda ABD ve AB akademi ve kurumlarının, “aynı dijital ekonominin içerisindeysek küresel iş birliği gerekir” yaklaşımları ve bunu bir tür “kazan-kazan oyunu” olarak ifade etmeleri normaldir[6].
Dünya Ticaret Örgütü (DTÖ) bünyesindeki “JSI e-commerce” (Joint Statement Initiative on Electronic Commerce) de bunun sonuçlarından biridir[7]. Zannediyoruz ki, PIPL’in Çin Halk Cumhuriyeti’nin devlet olarak, kişisel veri koruması ile ilgili uluslararası normların oluşturulmasına güçlü bir şekilde katılacağını, bu alanda uluslararası teatiyi ve iş birliğini, bu kural, norm ve standartların diğer ülkeler, bölgeler ve uluslararası kuruluşlarla karşılıklı olarak tanınmasını teşvik edeceğini öngördüğü PIPL md. 12’nin de verdiği güven ile hareket eden DTÖ, JSI’ı hayata geçirmeye çalışmaktadır.
Buna göre, Çin’in de aralarında bulunduğu DTÖ üyesi devletler, hukukun uluslararası e-ticaret bağlamında oynadığı rol, bundan kaynaklanan ticari ilişkileri düzenlemek için ulusal veya uluslar üstü mevzuatta yapılacaklar, bunla ilgili sınır ötesi düzeyde politikaların geliştirilmesi, e-ticaret, elektronik imza, mahremiyet, fikri mülkiyet, dijital kimlik, akıllı sözleşmeler, yapay zeka ve blok zincir yapıları, bilgi teknolojileri gibi konularda bilhassa AB, ABD ve Çin’in düzenleyici çerçeveleri kapsamında ortaya çıkan yeni zorlukların uluslararası hukuk ortamında uluslar üstü bir yasal çerçeve ile oluşturulması girişimindedir.
Dipnotlar
Lee A. Bygrave, The Place of Privacy In Data Protection Law, University of South Wales Law Journal, Vol: 24, No: 1, 2001. http://www.austlii.edu.au/au/journals/UNSWLJ/2001/6.html); Muammer Ketizmen, Türk Ceza Hukukunda Bilişim Suçları, Ankara, Adalet Yayınevi, 2008, s. 197. ↩︎
Yazıda “veri” denilmekle birlikte PIPL’de “information” ifade ve içeriğinin kullanıldığı görülmektedir. ↩︎
https://iapp.org/news/a/chinas-pipl-takes-effect-compliance-a-challenge/ ↩︎
The Personal Information Protection Law: China’s Version of the GDPR? https://www.jtl.columbia.edu/bulletin-blog/the-personal-information-protection-law-chinas-version-of-the-gdpr; China: Comprehensive Personal Information Protecton Regime Established, https://insightplus.bakermckenzie.com/bm/data-technology/china-comprehensive-personal-information-protection-regime ↩︎
Detaylı görüşler için Bkz. Finocchiaro, Giusella/ Balestra, Luigi/ Timoteo, Marina, Major Legal Trends in the Digital Economy, The Approach of the EU, the US, and China, Il Mulino. https://www.mulino.it/isbn/9788815294067# ↩︎
https://www.wto.org/english/tratop_e/ecom_e/joint_statement_e.htm ↩︎