Con l’entrata in vigore della ‘Data Security Law’ e della ‘Personal Information Protection Law’ (PIPL), rispettivamente a settembre e novembre 2021, la Cina si sta dotando di una stringente normativa di protezione e sicurezza dei dati – personali e non. Cosa significa in termini di sovranità digitale?
Innanzitutto, si tratta di leggi che emergono in un peculiare contesto domestico e internazionale. Il secondo, in particolare, è d’interesse per questo articolo. A livello geopolitico, infatti, la sicurezza dei dati è divenuta strumento e tema di carattere diplomatico con l’emergere della competizione tecnologica e commerciale tra USA e Cina. La sicurezza dei dati è stata problematizzata dall’allora presidente Trump per escludere Huawei e altre aziende cinesi dalla fornitura di reti 5G negli Stati Uniti, ma già con l’entrata in vigore della ‘Cybersecurity Law’ nel 2017 la Cina aveva imposto la localizzazione su server presenti in territorio cinese di dati sensibili raccolti in Cina. In questo stesso contesto, l’UE adottava nel 2016 il ‘General Data Protection Regulation’ (GDPR), una prima norma che definisce un’applicazione extraterritoriale della tutela dei dati dei cittadini europei.
In breve, nel periodo a cavallo tra il 2016 e il 2017, con l’approvazione del GDPR, l’arrivo di Trump alla Casa Bianca e l’entrata in vigore della Cybersecurity Law, la protezione dei dati faceva il suo ingresso dirompente nel reame della sovranità digitale.
Una legge ‘breve’ per un contesto in evoluzione
Nonostante Data Security Law e PIPL si collochino in un contesto emergente già in parte tracciabile, è difficile prevedere le conseguenze della loro applicazione nei rapporti fra aziende di paesi diversi e nei rapporti fra Cina e altre potenze globali. Il testo della PIPL è breve e, secondo alcuni analisti, si presenta più che altro come una legge quadro la cui applicazione dipenderà da misure future adottate dal governo di Pechino. La Data Security Law invece si somma alla Cybersecurity Law nel regolare il trasferimento dei dati all’estero sulla base di criteri di sensibilità e valore economico degli stessi.
Al di là di questi limiti analitici, è possibile tracciare alcune tendenze nel mercato digitale cinese, alla luce della posizione delle aziende cinesi nel mercato digitale globale, per cercare di anticipare alcune potenziali conseguenze della nuova normativa. A livello globale, McKinsey ritiene che più del 3% del PIL globale dipendesse dalla circolazione dei dati già nel 2014. Per questo, i paesi al cui interno vengono prodotti grandi masse di dati e che sono in grado di produrre tecnologie ad intenso uso di dati tendono a cercare di restringerne la circolazione per poter trarne vantaggio competitivo. Tecnologie ad intenso uso di dati, ad esempio, sono le telecamere a riconoscimento facciale, il cui algoritmo necessita un enorme quantità di dati biometrici (banalmente: visualizzare tanti volti) per poter distinguere un volto da un altro e associarlo a un nome. Pechino oggi è la città del mondo a maggior concentrazione di telecamere a riconoscimento facciale, una tecnologia che aziende cinesi quali Hikvision esportano nel mondo – spesso anche a favore di altri regimi autoritari.
Tuttavia, sarebbe riduttivo limitare l’analisi all’esportazione di una forma di regime autoritario e di capitalismo della sorveglianza – per quanto si possa trattare di aspetti rilevanti. La nuova normativa, infatti, mira anche ad affrontare questioni politiche interne, tra cui la crescente preoccupazione di settori della popolazione riguardo all’uso dei dati provenienti dal riconoscimento facciale. Anche se questo tema merita di essere trattato più ampiamente altrove, va sottolineato che quella della sorveglianza è una questione che ha suscitato polemiche nella cybersfera cinese.
Inoltre, non sono solo tecnologie della sorveglianza ad aver bisogno di grandi quantità di dati. Anche più semplici forme di machine learning per l’automatizzazione di processi lavorativi ripetitivi hanno la stessa necessità.
Implicazioni geopolitiche
Al netto dei dovuti timori riguardo alla natura totalitaria del regime cinese, sul piano della competizione la scelta della Cina di dotarsi di una stringente normativa in materia di protezione dei dati non deve sorprendere. Al pari dei suoi concorrenti internazionali, la Cina mira a mantenere una forma di controllo sulla circolazione di una risorsa – i dati – che in Cina è prodotta in enorme quantità da attori domestici e internazionali, mirando a creare un suo vantaggio competitivo nello sviluppo, tra l’altro, di tecnologie con intelligenza artificiale. Visto il percorso già tracciato a livello globale dalle politiche dell’amministrazione Trump, dal GDPR e dalla Cybersecurity Law (e visto il permanere di un clima di competizione tra USA e Cina), è plausibile che nuove normative sul controllo della circolazione dei dati possano emergere in Cina come in Occidente, anche al di là del ‘semplice’ dovere di tutelare la riservatezza di aziende e cittadini.
