Tabula rasa digitale. È quello che rischiano le piattaforme di servizi internet in Cina se non si adegueranno al nuovo regime di regolamentazioni per l’industria dei big data messo in atto da Pechino. A soli tre mesi dall’entrata in vigore della legge sulla sicurezza dati, la Data Security Law (Dsl), e a poco più di 30 giorni dall’implementazione della legge sulla privacy, la Personal Information Protection Law (Pipl), sono già 38 le app finite sotto inchiesta per accumulo illecito di informazioni personali e rischi legati alla sicurezza nazionale. Tra queste anche la super app della messaggistica cinese Wechat, di proprietà del colosso Tencent, a cui è stato proibito di pubblicare aggiornamenti del software e lanciare nuove applicazioni.
Il nuovo impianto legislativo creato dal governo cinese sembra voler «lanciare un segnale a queste aziende che nessuno è troppo grande per essere al riparo» dalla supervisione statale, dice a il manifesto Rogier Creemers, professore associato presso la Leiden University e cofondatore dell’istituto di ricerca sulle politiche tecnologiche cinesi DigiChina. Ma le compagnie tecnologiche cinesi, contrariamente a quelle straniere, si stanno mostrando resilienti, e i media statali parlano di queste manovre come di una «guida amministrativa temporanea». Dietro alla campagna di regolamentazione dei big data, c’è infatti un obiettivo strategico di gran lunga più complesso: preparare l’industria tecnologica sotto il profilo della sicurezza informatica e reindirizzare gli sforzi produttivi delle big tech in settori più utili all’interesse nazionale.
Secondo il ministero per l’Industria e le Tecnologie di informazione cinese, l’industria dei big data raggiungerà i 470 miliardi di dollari entro il 2025. I dati sono ormai un “fattore di produzione”. Proteggerli, una questione di sicurezza nazionale. I provvedimenti promulgati in questi mesi cercano dunque di fare ordine, categorizzando i rischi legati al trasferimento transfrontaliero dei dati e rendendo trasparenti le relazioni tra i diversi agenti nel loro processo di compravendita. Ecco che la Dsl centralizza i poteri statali sulla supervisione dei dati considerati “fondamentali” e riafferma il principio del sovranismo digitale. Con la Pipl, invece, si controlla l’accumulo di “informazioni personali” da parte delle aziende e si vincolano quelle più grandi a conservare le informazioni raccolte in data center locali.
Una delle caratteristiche più innovative della Dsl è la natura flessibile dei “dati fondamentali” o core data. “Non esiste una definizione esauriente di cosa conta come dato fondamentale”, spiega Creemers. “La legge rimanda a ogni ministero il compito di individuare questi dati all’interno della propria area di competenza, rendendo più facile aggiornare il catalogo con nuove categorie di informazioni soggette al controllo statale”. Un compendio trasversale tra diversi settori e in continuo aggiornamento. Un esempio recente riguarda i dati provenienti dai sistemi di identificazione automatica (Ais) cinesi utilizzati in tutto il mondo per il tracciamento del traffico navale. A metà novembre gli enti regolatori del settore hanno indicato questi dati come “fondamentali” secondo la Dsl. Per evitare di incorrere in sanzioni e intrusivi accertamenti governativi, diversi provider hanno confermato all’agenzia di stampa Reuters di avere interrotto la compravendita di tali informazioni a parti straniere. E così, il traffico dati proveniente dalle navi cargo presenti in acque cinesi è crollato dell’85% in meno di un mese. Prevenire è meglio che curare. E il monito delle autorità è uno solo: chiunque gestisce dati, dovrà farlo in modo responsabile.
Dove la Dsl punta a evitare i danni alla sicurezza nazionale che possono nascere tramite l’utilizzo illecito dei big data, la Pipl regolamenta la relazione orizzontale tra grandi conglomerati tecnologici e consumatori, dando a questi ultimi maggiori garanzie sull’impiego trasparente dei propri dati. Per questo motivo, la normativa è spesso associata al framework europeo per il trattamento dei dati personali, il Gdpr. Le due regolamentazioni presentano tuttavia delle differenze sostanziali. “In Occidente parlare di protezione dati equivale a parlare di protezione delle informazioni personali”, riporta Creemers. “La Cina invece sta provando a fare qualcosa di diverso. Il controllo dei dati non è finalizzato a proteggere l’individuo, ma a salvaguardare la sicurezza nazionale nel nome dell’interesse collettivo”.
Rimosso il filtro occidentale, il paragone cade: nell’universo legislativo cinese il concetto di “diritto fondamentale alla privacy” su cui si fonda il Gdpr, non esiste. La Pipl è invece strumentale per una ristrutturazione delle relazioni tra i gestori di dati e gli individui a cui si riferiscono, e fa un passo in avanti rispetto alla normativa europea nel responsabilizzare in modo esplicito le diverse parti coinvolte nel loro trasferimento e utilizzo.
Il binomio normativo appena entrato in vigore serve anche da incentivo per stimolare l’industria privata della sicurezza informatica. Il governo starebbe “indicando alle aziende che gestiscono dati di prepararsi a passare degli audit di sicurezza” per continuare a operare normalmente. “Ancora non ci sono le specifiche su cosa questi assesment di sicurezza includeranno – continua Creemers – ma è probabile che richiederanno l’utilizzo di software legittimi e hardware sicuri, in un paese che ancora manca di sistemi operativi locali e dove fino a poco tempo fa la maggioranza dei software girava su copie contraffatte”. In altre parole, per evitare rallentamenti e perdite economiche, alle aziende tecnologiche conviene investire in sistemi di sicurezza e in componenti strutturali sicuri secondo gli standard indicati dall’ente regolatore della sicurezza digitale, la Cyberspace Administration of China.
Non è un caso lo slancio verso l’autoproduzione mostrato da Tencent e Alibaba, che di recente hanno presentato delle componenti hardware di design locale, aiutando a proteggere il tallone d’Achille dell’industria tecnologica cinese, quello della produzione dei chip. Significativa anche la creazione dell’app di messaggistica crittografata per le agenzie governative Lanxin, una risposta statale alle accuse di violazione dei dati e data breach mosse dal governo ai danni di Wechat.
Più che una stretta al tecnologico, quella di Pechino è una rettificazione, che responsabilizza i gestori di dati e reindirizza la loro filiera produttiva. Non un crackdown, ma un build-up responsabile e utile all’interesse nazionale. Se le big tech cinesi hanno costruito l’imponente vascello dell’economia digitale, l’impianto normativo a tutela della sicurezza dati rimarca invece l’intenzione del Partito Comunista di rimanere al timone e indicare la rotta. “Il messaggio che il governo sta mandando – dice Creemers – è che le aziende tech non devono sedersi sugli allori e diventare dei bancomat che aiutano pochi ad arricchirsi. Al contrario, vuole che continuino a innovare in quei settori dove la Cina ha bisogno, ovvero non nell’area delle applicazioni ma nella ricerca per lo sviluppo di tecnologie chiave”.