Zoals de Financial Times beschrijft in een recent artikel heeft de buitenwereld soms het idee dat de Chinese staat een groot geheel vormt waarbij toezicht gefaciliteerd wordt door grootschalige dataverzameling en het delen van enorme hoeveelheden big data tussen centrale en decentrale overheidsorganen en private bedrijven. De praktijk ligt vaak een stuk genuanceerder…
Data-uitwisseling is in China in de praktijk sterk gefragmenteerd en overheidsorganen delen niet graag data met elkaar. Deze situatie is bijvoorbeeld al lange tijd een struikelblok bij de implementatie van het sociaal kredietsysteem. Private bedrijven willen op hun beurt de middenklasse niet onnodig tegen zich in het harnas jagen en geven echt niet zonder slag of stoot al hun data op, zeker niet als daar geen opdracht van de centrale overheid voor gegeven is. Een recent voorbeeld is het bericht dat Alibaba en Tencent weigerden consumentendata te delen met een overheidsorgaan dat financiële kredietwaardigheid bepaalt. Private bedrijven zijn bovendien als de dood dat een corrupte ambtenaar met de data aan de haal gaat en deze verkoopt op de zwarte markt. Ook zou een verkeerde omgang met data van gebruikers hun koersen op de Amerikaanse aandelenmarkt kunnen schaden.
Samm Sacks, een expert op het gebied van cyber security in China en iemand met een zeer genuanceerde mening, geeft in het Financial Times-artikel en tijdens een recente hoorzitting aan dat de overheid niet beschikt over één grote opslagplaats voor alle data en dat verschillende overheidsorganen niet graag data met elkaar delen omdat die data hen grote politiek macht geeft. Het feit dat de overheid voor de invoering van de Health Code –die we uitvoerig besproken hebben in deel 5 van deze reeks – en onderdelen van het sociaal kredietsysteem moest aankloppen bij technologiebedrijven als Baidu, Alibaba en Tencent zegt overigens ook veel over het technologisch vermogen van de overheid zelf.
Samm Sacks tijdens een recente getuigenis over Tik Tok.
Versplintering van Health Code-apps
Bij het traceren van besmettingen voor het coronavirus maakte de overheid in eerste instantie gebruik van de data via zendmasten van de drie grote telecomproviders van China, alle drie staatsbedrijven. Maar de locatiedata op basis van zendmasten kunnen tot wel 2 kilometer afwijken, wat ze niet erg betrouwbaar maakt voor het traceren van besmettingen. In tegenstelling tot technologieën als bluetooth, die in verschillende andere landen worden ingezet bij corona-apps, kunnen zendmastdata wel bepalen in welke stad of wijk je bent geweest, maar niet met grote nauwkeurigheid de exacte locatie binnen zo’n groot gebied.
Welke data precies gebruikt worden in de Health Code-apps is niet duidelijk. Gezien het feit dat ze functioneren binnen de ecosystemen van platforms als AliPay en WeChat, waarin de locatie op basis van GPS kan worden getraceerd, is het echter niet ondenkbaar dat die locatiedata worden gebruikt in het voorspellend model achter de Health Code. Mogelijk worden locatiedata van bedrijven waar men mobiel heeft betaald of gescande QR-codes van taxichauffeurs en leenfietsen ook ingezet. Tencent, het bedrijf achter WeChat, en Alibaba beweren beide stellig geen gebruikersgegevens met de overheid te delen voor de Health Code, maar bij het installeren van de Health Code-apps die binnen hun ecosystemen draaien wordt wel nadrukkelijk gevraagd om toestemming voor het delen van locatiedata. Technode rapporteert daarnaast dat apps van de bezorgdiensten Meituan en Ele.me kopers van medicijnen tegen hoest en koorts vragen hun ID-gegevens op te geven bij zo’n bestelling. Volgens Meituan zijn ze verplicht dergelijke data door te geven aan de autoriteiten voor epidemiebestrijding.
Net zoals Europese landen veelal hun eigen beleid volgen in de strijd tegen corona hebben de verschillende regionale niveaus in China, van provincies tot gemeenten en steden, hun eigen belangen en implementaties. Je ziet het op straat terug in de fysieke blokkades die ze in de afgelopen maanden opwierpen en de schermutselingen die optraden toen de provinciale grens tussen Hubei en Jiangxi weer werd geopend. Ook de Health Code-apps zijn een mooi voorbeeld van de versplintering op regionaal niveau in de digitale wereld. Verschillende steden en provincies maken gebruik van verschillende apps, soms die van Alibaba of Tencent, soms een eigen app. En niet elke app wordt overal gebruikt, waardoor personen die zich regelmatig tussen steden verplaatsen soms genoodzaakt zijn meerdere apps te gebruiken. Radii-medewerkster Carol Yin maakte een video van de diverse apps waar ze mee geconfronteerd werd tijdens een reis van Shanghai naar Wuxi.
Dat zelfs binnen één regio één Health Code vaak niet voldoende is bleek toen de afgelopen weken een aantal scholen in China voorzichtig weer werd opgestart. Alsof er nog niet genoeg versplintering was lanceerde Tencent een speciaal nieuw QR-codesysteem voor studenten genaamd Fuxuema (‘Terug naar School Code’). Studenten dienen vanaf 14 dagen voor tot 14 dagen na aanvang van de school dagelijks hun temperatuur en andere gezondheidsinformatie door te geven in de app. De informatie resulteert in een status, die via WeChat Work, een Slack-achtige variant op WeChat, gedeeld kan worden met onderwijsfunctionarissen en leraren. Telecombedrijf China Mobile heeft vervolgens weer een vergelijkbaar systeem voor studenten.
Fuxuema screenshots (bron: Tencent Cloud WeChat Account)
Er zijn momenteel in heel China meer dan 100 verschillende Health Code-apps actief. Begin mei kwam de overheid met instructies voor standaardisatie zodat verschillende regio’s elkaars Health Code apps kunnen gaan accepteren en restricties op binnenlandse reizen versoepeld kunnen worden.
De schijn van high-tech
Er is over het algemeen weinig bekend over de werking van technologie die de Chinese overheid inzet, maar deze doet het maar al te graag voorkomen dat ze zeer geavanceerde systemen gebruikt. Je hoort de overheid zelden protesteren wanneer binnenlandse en buitenlandse pers haar eigen conclusies trekken over het bestaan van gigantische big data-systemen waarbij alles van social media tot gezichtsherkenningscamera’s feilloos met elkaar is verbonden. Maar wie verder kijkt dan z’n neus lang is ziet vaak de houtje-touwtjerealiteit. Een mooi voorbeeld is de veelbesproken zonnebrillen van politieagenten die een paar jaar geleden in het nieuws waren. Ze zouden uitgerust zijn met een AI-chip met gezichtsherkenning. Paul Mozur, journalist voor de New York Times, wist toestemming los te peuteren bij de autoriteiten voor het uitproberen van de bril en hij kwam er al snel achter dat de gezichtsherkenning enkel werkte als het betreffende object slechts enkele meters van de agent verwijderd was, stil bleef staan en recht in de camera keek. Een scenario dat in de praktijk zelden voor zal komen. Maar de schijn geobserveerd te worden doet bij het volk natuurlijk veel meer dan de daadwerkelijke (gebrekkige) observatie, net zoals de 200 miljoen camera’s die in China hangen maar waarvan slechts een klein deel is uitgerust met een AI-chip.
Dus ook toen Reuters recentelijk met een bericht kwam over brillen die lichaamstemperatuur kunnen meten kon ik me niet onttrekken aan de vraag hoe praktisch het nu eigenlijk is om met zo’n bril op rond te moeten lopen. Zou een agent niet liever de mensen goed willen zien en geholpen willen worden door een apart scherm met alarmfunctie?
Privacy
Alhoewel het wellicht niet de beleving is van veel westerlingen, wordt de discussie over bescherming van persoonsgegevens in China steeds heviger en werkt de overheid aan wetgeving die neigt naar de striktheid van de Europese GDPR, maar dan wel vooral voor de private sector. De Cyberspace Administration of China (CAC) tikt private bedrijven regelmatig op de vingers voor ongeoorloofd datagebruik of het lekken of verhandelen van data. Het klinkt veel mensen misschien vreemd in de oren, maar ik heb de indruk dat China richting private bedrijven een stuk strenger is dan de VS richting haar technologische giganten. Ook werden overheidsorganen er de laatste tijd aan herinnerd dat ze voor coronabestrijding geldende wetgeving dienen te volgen. Ondanks deze waarschuwingen biecht een anonieme medewerker van een privaat technologiebedrijf in het Financial Times-artikel op dat data van zijn werkgever, te weten online aankopen in Wuhan, werden gebruikt om overheidsdata te verrijken. En 300 van de 2.000 klachten die in januari en februari bij het CAC binnenkwamen waren gerelateerd aan corona-apps, die als we Alibaba en Tencent mogen geloven onder de verantwoordelijkheid van de overheid vallen.
Zoals bij zoveel nieuwe technologie in China loopt bescherming en wetgeving ook hier achter op de innovatie. Wie eigenaar is van de data en wie de verantwoordelijke beheerder is blijft vaak onduidelijk. Steun voor verbeterde privacybescherming komt soms uit onverwachte hoek. Zo beweert Wang Rong, een onderzoeker in de denktank van Tencent, dat China’s wettelijke kader helemaal niet klaar is voor bescherming van persoonsgegevens bij apps als de Health Code. Hij vindt dat China Europa’s GDPR zou moeten volgen en duidelijk onderscheid zou moeten maken tussen partijen die data beheren (de overheid) en degenen die data bewerken (China’s techbedrijven) en dat de bijbehorende verantwoordelijkheden voor deze partijen helder moeten zijn.
Begin februari riep de CAC de regionale autoriteiten op om actief gebruik te maken van big data, inclusief persoonsgegevens, bij het voorkomen en beperken van de epidemie. Die persoonlijke informatie dient dan wel beschermd te worden en verzameling van data mag alleen gebeuren met goedkeuring van daartoe door het Chinese kabinet aangewezen gezondheidsautoriteiten. Dataverzameling dient zich ook te beperken tot risicogroepen als (vermoedelijk) besmette personen en personen met wie zij in contact waren gekomen. De data mag niet voor andere doelen gebruikt worden en ook niet met derden gedeeld worden zonder toestemming van het betreffende individu. Ook dienen maatregelen genomen te worden tegen diefstal en het lekken van de data. Die vereisten doen inderdaad sterk denken aan de GDPR: dataverzameling dient gepast, noodzakelijk en evenredig aan het doel te zijn. Men dient zelfs te beoordelen of er andere, minder privacygevoelige methoden zijn om hetzelfde doel te bereiken. Theoretisch wordt er dus best veel gedaan om privacy te waarborgen en gaat de bescherming van de burger in China verder dan we in het westen soms denken. Met de versnippering van dataverzameling en -verwerking en apps is de vraag echter hoe goed deze richtlijnen in de praktijk gevolgd worden.
Lees ook de andere delen uit deze serie.